高校威脅情報融合共享建設與應用研究
——高校網絡安全綜合治理

宋正榮，夏美武

（銅陵學院，安徽銅陵 244061)

1 概述

黨的十八屆三中全會通過的《中共中央關于全面深化改革若干問題的決議》提出“沒有教育信息化就沒有教育現代化”的戰略指導。隨著高校信息化逐漸向智慧化、數字化校園模式發展，云計算、大數據、物聯網、5G 等新型技術廣泛應用于高校的信息化系統中，越來越多的網絡設備、信息終端、業務系統部署到校園網中，通過平臺集成化、數據共享化等模式打破了傳統校園網“業務孤立、數據孤島”，實現讓“數據多跑路”的一網通辦能力體系，給學校管理、老師教學、學生學習帶來了全新的信息模式，極大地提高了學校的教學質量和學習效率。

與此同時，現代化數字校園建設發展也面臨著更加嚴峻的網絡威脅，如網絡入侵、數據竊密、網頁篡改、挖礦木馬、勒索病毒等安全事件頻頻發生。面對新型的APT 攻擊、0Day 漏洞、加密流量等高級威脅的出現，其未知性和隱蔽性的特點，使得傳統的網絡安全防護設備或防御體系無法有效應對，也已成為當前高校網絡信息化安全建設工作的難點。如何對海量的安全攻擊威脅數據快速地進行識別、分析、提取后形成高價值的情報數據，并實現標準化情報數據的共享分發協作，完成攻擊威脅檢測阻斷來保障校園網網絡與信息系統的安全、可靠、穩定運行，威脅情報體系建設是高校網絡信息化安全綜合治理體系建設中的關鍵要素。

2 威脅情報定義與發展

Gartner 在2014 年發表的《安全威脅情報服務市場指南》(Market Guide for Security Threat Intelligence Service)[1]中提出的定義，即：威脅情報是關于IT 或信息資產所面臨的現有或潛在威脅的循證知識，包括情境、機制、指標、推論與可行建議，這些知識可為威脅響應提供決策依據。

2015 年，Jon Friedman 和Mark Bouchard 在《網絡威脅情報權威指南》(Definitive Guide to Cyber Threat Intelligence)中對威脅情報所下的定義：對敵方的情報及其動機、企圖和方法進行收集、分析和傳播，幫助各個層面的安全和業務成員保護企業關鍵資產。

因此，威脅情報就是保護資產的威脅信息集合。通過威脅情報檢測識別，可對被保護資產存在或潛在的安全威脅進行感知，對被保護資產遭受的安全威脅趨勢提供數據依據和處置決策。

2014年10月，美國國家標準與技術研究院(NIST)發布了《NIST SP800-150: Guide to Cyber Threat Information Sharing》草案[2]，2016 年10 月發布終稿。NIST SP800-150是對NIST SP 800-61的擴充，將信息共享、協調、協同擴展至事件響應的全生命期中。該標準旨在幫助組織在事故應急響應生命周期過程中建立、參與和維護信息共享、協同合作關系，提出威脅情報應具備時效性、相關性、準確性、具體性、可執行性等特征。

威脅情報概念在2015年前后被引入中國市場，并在2017年、2018年得到快速發展。2018年10月10日，威脅情報國家標準——《信息安全技術網絡安全威脅信息格式規范》(GB/T 36643-2018)正式發布，成為國內第一個關于威脅情報的標準[3]。2019年以后，隨著等保2.0標準、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》《關鍵信息基礎設施安全保護條例》等政策法規的陸續發布，威脅情報的政策環境日益完善，威脅情報市場穩健發展。

3 高校網絡安全現狀

隨著高校校園網數字化建設進程的不斷推進和發展，校園網融會貫通，數據共享訪問，信息系統平臺化集成，移動應用智能化接入等技術場景的應用逐漸打破了傳統網絡、數據、應用、訪問等之間的隔離邊界和訪問控制，學校管理、教學、學習呈現了全新的信息化模式。隨之而來，信息化校園網所面臨的網絡安全風險也逐漸增大，APT攻擊、0Day漏洞、加密流量等高級威脅的不斷出現，由于其未知性和隱蔽性的特點，成為當前安全工作的難點。

隨著《網絡安全法》《數據安全法》《等保2.0》等法律法規頒布實施及教育部主管單位對教育行業信息化安全建設指導和政策要求，高校不斷加大校園網網絡安全建設資金投入，積極開展校園網網絡安全建設，越來越多的新一代防火墻、入侵防御、Web應用防火墻、威脅分析系統等安全設備部署到校園網中，極大地提升了校園網安全防護保障能力。但在校園網實際網絡安全運營過程中仍存在安全設備之間相對孤立，數據之間缺乏共享，安全處置滯后等問題。一是產生大量的重復數據或噪聲數據，給高校日常的網絡安全運維工作帶來極大的困難；二是傳統的網絡設備多采用靜態啟發式規則檢測機制，無法有效應對高級變化的網絡攻擊行為(APT)；三是安全設備之間缺乏有效情報數據共享協作機制，面對網絡攻擊威脅無法第一時間快速識別，響應、處置，安全“關口前移”，校園網安全事件頻頻發生。

面對不對稱的“攻防對抗”威脅，攻擊技術高級化、攻擊工具武器化、攻擊目標定向化等特性，使得高校傳統的網絡安全防御體系和安全技術疲于應對。隨著國家及各個行業對網絡安全的逐漸重視，面對當前網絡安全建設體系不足，安全威脅情報逐漸受到重視并且快速發展的現狀，通過安全威脅情報共享機制為面臨網絡威脅的信息資產主體提供準確、全面的、詳細的安全威脅畫像數據知識信息，為信息安全技術人員研判和網絡安全設備防御處置提供數據支撐。

4 高校威脅情報建設必要性

校園網作為典型的信息化網絡環境，同時受到來自校網內部與外部互聯網的網絡安全威脅，尤其是全國高校的校園網建設、信息系統建設和應用環境的趨同性和共性問題使得高校網絡與信息化遭受的網絡安全攻擊威脅更加嚴峻。

1)校園網建設之初主要以基礎網絡建設為主，保障校園網的連通性和校園網帶寬的穩定可用性，網絡安全保障措施相對較弱。高校校園網多以大二層網絡域規劃建設為主，網絡域間訪問控制缺失。目前校園網普遍存在的諸多互聯網出入口也使得整個校園網網絡安全保障更加困難。

2)隨著信息化的發展，各高校普遍建設了以教務系統、財務系統、OA 系統、辦事大廳、網站群系統、統一身份認證系統、一卡通系統、期刊出版系統、圖書系統、統一門戶系統等多種類型的信息系統，并通過校園網提供各種信息服務。信息資產多、資產暴露面廣、安全漏洞頻發、軟件供應鏈普適性較高等特性，使得高校面臨著嚴峻的安全攻擊威脅，一旦某處信息系統被黑客組織攻陷，將會導致連片式失陷的安全風險威脅。

3)很多高校在培養人才之外還承擔著國家、區域及行業的各項科學研究工作，擁有大量的各種人員信息、教學、管理及科研等重要數據。一直以來，高校網絡系統備受黑客組織青睞，頻發遭受惡意網絡攻擊，尤其是受惡意政治和經濟利益驅動的黑客組織(APT)對全國高校發起的攻擊威脅，給我國高校帶來嚴重網絡威脅和安全損失。如美國國家安全局(NSA)的“特定入侵行動辦公室”TAO針對西北工業大學發起的網絡攻擊、竊取敏感數據的行為就是典型針對高校教育系統的網絡APT攻擊威脅。

4) 隨著全國高校數字化、智能化進程的快速發展，校園網虛擬化、大數據及云平臺等技術的廣泛使用，高校逐漸加大了高性能服務器、高質量帶寬的網絡鏈路的采購建設，為高校智慧教學的開展提供基礎設施保障。由于網絡安全相對信息化建設的滯后性，使得整體安全防護能力建設相對碎片化，安全設備“孤島運行”。加上安全意識不足、網絡開放、安全漏洞頻發、安全人員技術力量不足等實際，使得高校信息系統數據泄露、加密勒索、挖礦木馬攻擊等安全威脅事件頻發，給學校的日常管理、正常教學及社會聲譽帶來極大的安全威脅和損失。

基于高校網絡與信息化建設的趨同性，面臨網絡安全威脅的共同性，通過構建高校用戶場景化的威脅情報融合共享平臺，通過對校園網安全威脅數據采集、外部情報和教育網CCERT 情報融合接入等，通過高校網絡威脅情報融合分析平臺進行多源數據聚合分析和研判，有效提取針對高校行業屬性威脅情報集，從全局視角看待高校面臨的網絡安全威脅態勢，積極開展前置處置和應急響應，能積極發揮高校網絡安全威脅情報安全價值。

5 高校威脅情報系統化建設

面對當前復雜多樣的網絡環境，網絡攻擊逐漸趨向于組合混淆的，定向的，隱蔽和高級的(APT)的攻擊方式，傳統的安全設備對于此類攻擊行為疲于應對，缺乏聯動協作和威脅數據共享的能力，未來的網絡安全是一種泛安全，單一的網絡安全設備將無法完全應對當前復雜的攻擊行為。

威脅情報是某種基于證據的知識集，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于保護資產相關主體對威脅或危害的響應或處理決策提供信息支持。威脅情報的工作特點：1)一威脅情報在事前可以起到預警的作用，為安全運營人員響應決策提供數據支持；2)在威脅發生時可以通過威脅情報共享協作聯動各類安全設備進行精準檢測和自動處置響應；3)通過威脅情報的情報要素包括威脅源、攻擊目的、攻擊對象、攻擊手法、漏洞、攻擊特征、防御措施等在安全威脅事件發生后為安全運營人員提供威脅分析和溯源，并進一步對安全策略優化和安全措施加固等提供決策幫助。

面對高校信息化網絡安全建設現狀，從校園網網絡安全建設和運維需求出發，利用大數據分析技術，通過設計威脅情報模型，對學校海量的日志數據進行采集計算，接入第三方安全威脅情報數據，對威脅數據進行關聯分析和交叉驗證，有效提取包括IP、域名、服務、端口、行為特征、文件、MD5、Hash值等關鍵要素信息，對威脅情報的可信度、抗污染和老化機制進行有效控制更新，進而實現符合高校網絡環境場景需求的高校威脅情報體系，落實常態化的校園網安全威脅情報中心生產及運營平臺，并應用于現代化智慧校園的服務運營和安全防御建設需求。

圖1 高校威脅情報系統架構圖

1)情報數據采集

情報數據采集模塊作為威脅情報系統的基礎模塊，負責對校園網已有的安全設備日志進行集中化統一采集預處理，包括資產數據，防火墻、IDS/IPS、WAF等安全設備日志數據，APT 設備、流量探針等流量數據，完成原始數據格式化和標準化操作。

2)情報數據分析

情報數據分析模塊是整個校園網情報中心平臺的核心系統模塊之一，負責對統一采集的原始數據進行二次降噪去重等處理，并通過威脅情報模型算法，對威脅數據進行聚合分析，提取關鍵的威脅情報要素，包括：IP、URL、域名、服務、端口、來源、攻擊特征、文件hash等。并通過情報數據IP資產測繪，識別惡意情報IP或URL 的指紋信息、社會數據等，并將情報資產數據和威脅數據進行管理分析，同時通過信譽度算法進行可信度驗證評價，最后通過驗證機制進行可靠性驗證后存入威脅情報數據庫，為情報運營平臺提供威脅情報數據支撐。

3)情報安全運營

情報安全運營是面向整個校園網威脅情報支撐的管理運營平臺[4]，對整個校園網威脅情報的態勢展示、情報數據統計、情報數據查詢分析、共享交換[5]、訂閱上報及生產策略管理，包括生產監控、模型修訂、參數調整等。通過威脅情報管理運營平臺，實時查看校園網的網絡威脅狀態，并通過情報查詢分析和數據共享[6]，為校園網安全運營提供威脅情報驗證分析，減輕安全運維人員的運維壓力，積極建立“情報共享、聯防聯控”的縱深安全防御體系。

圖2 情報類型

其中，威脅情報共享協作模塊作為整個威脅情報平臺的核心模塊，負責數據共享分發，將高校網內情報數據、第三方商業情報及CCERT 教科網共享情報進行融合共享分發至高校校園網各類安全設備，實現對校園網安全威脅協同檢測、分析、關聯協作、共享處置。

圖3 情報共享

6 高校威脅情報應用價值

通過對校園網安全威脅情報技術研究和場景化應用，建立校園網本地化威脅情報中心平臺，實現對校園網威脅情報數據集中采集、生產、管理與情報共享分析。滿足校園網用戶的情報訂閱與威脅溯源，對智慧校園網絡安全防護策略和威脅監測預警機制賦能，對智慧校園網進行安全運營風險評估。

1)構建可信的威脅情報運營體系，通過研究設計校園網威脅情報中心平臺，對校園網各類安全日志數據進行集中采集、歸類合并、聚合降噪、要素提取、老化控制等威脅情報生產和管理運營。并設計符合《GB/T 36643-2018 網絡安全威脅信息格式規范》、STIX系列數據格式API接口，滿足外部第三方威脅情報數據的接入和運營。

2)建立威脅情報安全共享體系，通過本地化威脅情報APIs輸出接口，給學校已有的安全防護設備進行情報賦能，提高各安全設備之間的協同聯防能力。

3)為學校的各個網絡安全檢測設備和安全態勢感知提供網絡安全檢測關聯分析依據，提升網絡安全監測預警能力，及時發現校園網網絡安全存在的潛在安全風險，為網絡安全處置研判提供決策依據。

4)通過威脅情報知識畫像體系，對校園網發生的惡意攻擊、安全事件等提供反查溯源分析能力，幫助學校安全人員對網絡安全攻擊事件進行溯源分析，加固安全風險。

總之，通過高校威脅情報系統化建設，在廣泛收集各類威脅情報的基礎之上，通過大數據分析搜集到的威脅情報，可以有效提取、精準定位針對高校行業的網絡攻擊威脅，展現威脅態勢分析，從而幫助高校積極開展前置處置和應急響應，有效及時地抵御各類針對高校的網絡安全攻擊。

通過搭建標準化威脅情報體系接口，允許可信高校用戶接入，提供上傳分析情報，擴大情報來源面，從而提升大數據分析的研判能力，提升分析準確性，提升發現及時性。同時可以為各可信高校用戶提供分析結果自動下發，反饋給各高校用戶，從而形成群防群策的高校安全體系，提升高校的整體網絡安全防護能力。