姜開達(dá)：構(gòu)建教育系統(tǒng)安全威脅情報(bào)共享平臺(tái)

姜開達(dá)：構(gòu)建教育系統(tǒng)安全威脅情報(bào)共享平臺(tái)

對(duì)安全漏洞和安全事件來說，不僅僅是發(fā)現(xiàn)，更重要的是要有體制保障，能夠?qū)λM(jìn)行跟蹤，一直到它消亡為止，實(shí)現(xiàn)全生命周期的閉環(huán)管理。

姜開達(dá) 上海交通大學(xué)信息網(wǎng)絡(luò)中心信息安全負(fù)責(zé)人

從當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)來看，攻防雙方高度不對(duì)稱。對(duì)于攻擊者來說，可以在不同層面選擇薄弱點(diǎn)發(fā)起攻擊，但是對(duì)于防御者而言，則需要考慮系統(tǒng)安全、應(yīng)用安全等多個(gè)層面，很難全方位兼顧。同時(shí)，學(xué)校信息化建設(shè)部門的工作非常繁瑣，安全管理和運(yùn)維工作普遍亟待加強(qiáng)。攻擊者也許只是偶然找到一個(gè)內(nèi)網(wǎng)入口，深入進(jìn)來就可能導(dǎo)致信息系統(tǒng)大面積被入侵。隨著國(guó)家和社會(huì)對(duì)安全重視程度的顯著提升，各高校也紛紛建立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，但如果在實(shí)際工作中沒有一些具體措施落地，缺少抓手，那么信息安全建設(shè)工作也很難深入推進(jìn)。對(duì)學(xué)校而言，還是需要有專門的機(jī)構(gòu)與人員來研究和思考校園網(wǎng)安全保障體系怎么和整個(gè)學(xué)校的信息化建設(shè)同步推進(jìn)，網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)。

教育行業(yè)安全現(xiàn)狀分析和工作基礎(chǔ)

安全威脅情報(bào)的來源離不開多方的支持，這幾年來我們和國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心以及安全行業(yè)的諸多機(jī)構(gòu)都保持深入的交流和合作，從中得到大量有價(jià)值的信息和經(jīng)驗(yàn)。分析匯總多渠道安全情報(bào)并及時(shí)研判，才能有更廣的視角去了解整個(gè)教育行業(yè)目前的安全態(tài)勢(shì)，然后再及時(shí)通過流程進(jìn)行處理和響應(yīng)，使得各類安全隱患在產(chǎn)生更大負(fù)面影響之前被消滅清理掉。

對(duì)于安全工作，要戰(zhàn)戰(zhàn)兢兢,如履薄冰，不能心存僥幸，很多時(shí)候只是幾小時(shí)的應(yīng)急延時(shí)，就可能引發(fā)非常嚴(yán)重的后果。

今年2月底，我們倡導(dǎo)建立了教育行業(yè)安全漏洞報(bào)告平臺(tái)，目前試運(yùn)行兩個(gè)多月以來，收錄了 12000多個(gè)漏洞，發(fā)展平臺(tái)用戶兩千多個(gè)，其中一千多名是學(xué)校教師，還有幾百名是各地對(duì)安全有濃厚興趣的學(xué)生。各學(xué)?？梢酝ㄟ^這個(gè)平臺(tái)，第一時(shí)間了解到自身相關(guān)的漏洞信息，幫助學(xué)校做查漏補(bǔ)缺的工作，提高學(xué)?？匆娡{的能力也是平臺(tái)的初衷。

通過類似的安全平臺(tái)希望能夠把安全工作量化，它可以在全國(guó)層面上有一些量化的指標(biāo)為學(xué)校提供對(duì)比參考。并不是說學(xué)校發(fā)現(xiàn)漏洞越多，安全工作做得越差。有的學(xué)校信息系統(tǒng)數(shù)量多，那么存在幾十個(gè)漏洞這是非常正常的事情。未來可以把漏洞修復(fù)率作為一個(gè)重要評(píng)價(jià)指標(biāo)，如果一個(gè)學(xué)校漏洞修復(fù)率越高，說明這個(gè)學(xué)校在信息安全方面的工作就越卓有成效。

安全威脅情報(bào)共享機(jī)制

在安全威脅情報(bào)共享方面，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心有其應(yīng)急處置方式：依托與運(yùn)營(yíng)商、域名注冊(cè)商、安全服務(wù)廠商等相關(guān)部門的快速工作機(jī)制和與涉及國(guó)計(jì)民生的重要信息系統(tǒng)部門及執(zhí)法機(jī)關(guān)密切合作機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的快速處置；同時(shí)作為國(guó)際網(wǎng)絡(luò)安全合作組織的重要成員，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET 應(yīng)急響應(yīng)組與多個(gè)世界著名的網(wǎng)絡(luò)安全機(jī)構(gòu)和各個(gè)國(guó)家級(jí)應(yīng)急組織建立了網(wǎng)絡(luò)安全事件處理合作機(jī)制。面向國(guó)內(nèi)外用戶受理網(wǎng)絡(luò)安全事件報(bào)告，及時(shí)掌握和處置突發(fā)重大網(wǎng)絡(luò)安全事件。在預(yù)警通報(bào)方面，依托對(duì)豐富數(shù)據(jù)資源的綜合分析和多渠道的信息獲取，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件的情況通報(bào)、宏觀網(wǎng)絡(luò)安全狀況的態(tài)勢(shì)分析等。6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十九條明確規(guī)定：促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

圖1是關(guān)于教育系統(tǒng)安全威脅通報(bào)體系構(gòu)想?？梢园迅鞣桨踩{情報(bào)都統(tǒng)一匯聚到一個(gè)平臺(tái)上，該平臺(tái)通過人工處理和自動(dòng)化分析，再加上復(fù)核驗(yàn)證后進(jìn)入一個(gè)安全威脅共享基礎(chǔ)平臺(tái)。這個(gè)平臺(tái)要能夠有效發(fā)揮作用，不僅需要國(guó)家和教育部層面的頂層規(guī)劃和支持，同時(shí)也需要省級(jí)和各學(xué)校的積極響應(yīng)，充分的信息化應(yīng)用來助力安全向前發(fā)展。

在安全防御過程中，如果學(xué)校力量過于薄弱，那么在攻防對(duì)抗當(dāng)中就會(huì)處于不利的地位?；ヂ?lián)網(wǎng)上有很多安全類搜索引擎，輸入學(xué)校的 IP 地址或者域名等相關(guān)信息就很容易找到學(xué)校信息資產(chǎn)的更多細(xì)節(jié)，攻擊者可以通過這些信息發(fā)掘?qū)W校的弱點(diǎn)并進(jìn)行攻擊。對(duì)于任何一家學(xué)校而言，其力量都是有限的，但是對(duì)于教育行業(yè)而言，是可以通過組織力量去調(diào)動(dòng)更多的資源和力量，對(duì)行業(yè)安全進(jìn)行梳理，把基礎(chǔ)信息找出來，批量發(fā)現(xiàn)漏洞，幫助學(xué)校去發(fā)現(xiàn)和解決安全問題。

實(shí)際上，學(xué)生的力量往往是無窮的，關(guān)鍵在于如何去發(fā)現(xiàn)并激活這股力量。學(xué)生是需要引導(dǎo)的，如果走在正確的道路，那么他就是“白帽子”，逐步成長(zhǎng)為安全領(lǐng)域?qū)＜?；如果放任自流，那么未來可能就?huì)成為“黑帽子”，踏上黑產(chǎn)的不歸路。

同時(shí)，安全威脅情報(bào)團(tuán)隊(duì)的人員也是非常重要的。需要考慮這些人員的來源和構(gòu)成：各高校一線優(yōu)秀安全團(tuán)隊(duì)人員；教育網(wǎng)安全運(yùn)行團(tuán)隊(duì)（CCERT/NOC）；吸引優(yōu)秀學(xué)生參與相關(guān)安全工作；必須要有一批人固定在一線運(yùn)維；兼職專職并重，充分利用高校人才優(yōu)勢(shì)；爭(zhēng)取長(zhǎng)期穩(wěn)定投入，保持中立屬性。

此外，要明確安全威脅情報(bào)分享機(jī)制的基本定位：提供有數(shù)據(jù)支撐的教育系統(tǒng)安全態(tài)勢(shì)深度感知；對(duì)全國(guó)教育系統(tǒng)各類安全漏洞進(jìn)行匯聚和長(zhǎng)期跟蹤；對(duì)教育系統(tǒng)各類安全事件開展全面監(jiān)測(cè)和深度分析；拓展威脅情報(bào)來源，從全球化角度來看教育系統(tǒng)安全；形成各類涉及教育系統(tǒng)安全的深度調(diào)查研究報(bào)告。

對(duì)安全漏洞和安全事件來說，不僅僅是發(fā)現(xiàn)，更重要的是要有體制保障，能夠?qū)λM(jìn)行跟蹤，一直到它被消亡為止，實(shí)現(xiàn)全生命周期的閉環(huán)管理。同時(shí)我們要注意，安全漏洞和安全事件是有區(qū)別的，并不是系統(tǒng)有漏洞就一定會(huì)被入侵，被別人攻陷，數(shù)據(jù)遭到竊取。往往一次安全事件的背后，其中會(huì)涉及到一系列的漏洞利用過程，我們要盡早地發(fā)現(xiàn)各種可能的漏洞并積極修復(fù)起來，這樣才可能避免產(chǎn)生重大的網(wǎng)絡(luò)安全事故。

通過這些工作，能夠積累大量的安全數(shù)據(jù)，有了數(shù)據(jù)支撐，就可能對(duì)教育安全進(jìn)行深度分析，形成各種各樣的調(diào)查分析報(bào)告，進(jìn)而指導(dǎo)我們的工作，影響相關(guān)主管部門在安全工作上的思考和投入方向。希望通過完善這種安全情報(bào)分享機(jī)制，為全國(guó)教育系統(tǒng)安全威脅發(fā)現(xiàn)提供基礎(chǔ)服務(wù)，顯著提高各?？匆姲踩{的能力，推動(dòng)各校的安全體系建設(shè)。未來，我們希望不僅關(guān)注顯著暴露的安全隱患，也要涉及隱蔽的安全威脅，依托中國(guó)教育和科研計(jì)算機(jī)網(wǎng) CERNET應(yīng)急響應(yīng)組，在全國(guó)范圍內(nèi)發(fā)揮更大的作用。