高校威脅情報(bào)融合共享建設(shè)與應(yīng)用研究
——高校網(wǎng)絡(luò)安全綜合治理

宋正榮，夏美武

（銅陵學(xué)院，安徽銅陵 244061)

1 概述

黨的十八屆三中全會(huì)通過(guò)的《中共中央關(guān)于全面深化改革若干問題的決議》提出“沒有教育信息化就沒有教育現(xiàn)代化”的戰(zhàn)略指導(dǎo)。隨著高校信息化逐漸向智慧化、數(shù)字化校園模式發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、5G 等新型技術(shù)廣泛應(yīng)用于高校的信息化系統(tǒng)中，越來(lái)越多的網(wǎng)絡(luò)設(shè)備、信息終端、業(yè)務(wù)系統(tǒng)部署到校園網(wǎng)中，通過(guò)平臺(tái)集成化、數(shù)據(jù)共享化等模式打破了傳統(tǒng)校園網(wǎng)“業(yè)務(wù)孤立、數(shù)據(jù)孤島”，實(shí)現(xiàn)讓“數(shù)據(jù)多跑路”的一網(wǎng)通辦能力體系，給學(xué)校管理、老師教學(xué)、學(xué)生學(xué)習(xí)帶來(lái)了全新的信息模式，極大地提高了學(xué)校的教學(xué)質(zhì)量和學(xué)習(xí)效率。

與此同時(shí)，現(xiàn)代化數(shù)字校園建設(shè)發(fā)展也面臨著更加嚴(yán)峻的網(wǎng)絡(luò)威脅，如網(wǎng)絡(luò)入侵、數(shù)據(jù)竊密、網(wǎng)頁(yè)篡改、挖礦木馬、勒索病毒等安全事件頻頻發(fā)生。面對(duì)新型的APT 攻擊、0Day 漏洞、加密流量等高級(jí)威脅的出現(xiàn)，其未知性和隱蔽性的特點(diǎn)，使得傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備或防御體系無(wú)法有效應(yīng)對(duì)，也已成為當(dāng)前高校網(wǎng)絡(luò)信息化安全建設(shè)工作的難點(diǎn)。如何對(duì)海量的安全攻擊威脅數(shù)據(jù)快速地進(jìn)行識(shí)別、分析、提取后形成高價(jià)值的情報(bào)數(shù)據(jù)，并實(shí)現(xiàn)標(biāo)準(zhǔn)化情報(bào)數(shù)據(jù)的共享分發(fā)協(xié)作，完成攻擊威脅檢測(cè)阻斷來(lái)保障校園網(wǎng)網(wǎng)絡(luò)與信息系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行，威脅情報(bào)體系建設(shè)是高校網(wǎng)絡(luò)信息化安全綜合治理體系建設(shè)中的關(guān)鍵要素。

2 威脅情報(bào)定義與發(fā)展

Gartner 在2014 年發(fā)表的《安全威脅情報(bào)服務(wù)市場(chǎng)指南》(Market Guide for Security Threat Intelligence Service)[1]中提出的定義，即：威脅情報(bào)是關(guān)于IT 或信息資產(chǎn)所面臨的現(xiàn)有或潛在威脅的循證知識(shí)，包括情境、機(jī)制、指標(biāo)、推論與可行建議，這些知識(shí)可為威脅響應(yīng)提供決策依據(jù)。

2015 年，Jon Friedman 和Mark Bouchard 在《網(wǎng)絡(luò)威脅情報(bào)權(quán)威指南》(Definitive Guide to Cyber Threat Intelligence)中對(duì)威脅情報(bào)所下的定義：對(duì)敵方的情報(bào)及其動(dòng)機(jī)、企圖和方法進(jìn)行收集、分析和傳播，幫助各個(gè)層面的安全和業(yè)務(wù)成員保護(hù)企業(yè)關(guān)鍵資產(chǎn)。

因此，威脅情報(bào)就是保護(hù)資產(chǎn)的威脅信息集合。通過(guò)威脅情報(bào)檢測(cè)識(shí)別，可對(duì)被保護(hù)資產(chǎn)存在或潛在的安全威脅進(jìn)行感知，對(duì)被保護(hù)資產(chǎn)遭受的安全威脅趨勢(shì)提供數(shù)據(jù)依據(jù)和處置決策。

2014年10月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了《NIST SP800-150: Guide to Cyber Threat Information Sharing》草案[2]，2016 年10 月發(fā)布終稿。NIST SP800-150是對(duì)NIST SP 800-61的擴(kuò)充，將信息共享、協(xié)調(diào)、協(xié)同擴(kuò)展至事件響應(yīng)的全生命期中。該標(biāo)準(zhǔn)旨在幫助組織在事故應(yīng)急響應(yīng)生命周期過(guò)程中建立、參與和維護(hù)信息共享、協(xié)同合作關(guān)系，提出威脅情報(bào)應(yīng)具備時(shí)效性、相關(guān)性、準(zhǔn)確性、具體性、可執(zhí)行性等特征。

威脅情報(bào)概念在2015年前后被引入中國(guó)市場(chǎng)，并在2017年、2018年得到快速發(fā)展。2018年10月10日，威脅情報(bào)國(guó)家標(biāo)準(zhǔn)——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》(GB/T 36643-2018)正式發(fā)布，成為國(guó)內(nèi)第一個(gè)關(guān)于威脅情報(bào)的標(biāo)準(zhǔn)[3]。2019年以后，隨著等保2.0標(biāo)準(zhǔn)、《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等政策法規(guī)的陸續(xù)發(fā)布，威脅情報(bào)的政策環(huán)境日益完善，威脅情報(bào)市場(chǎng)穩(wěn)健發(fā)展。

3 高校網(wǎng)絡(luò)安全現(xiàn)狀

隨著高校校園網(wǎng)數(shù)字化建設(shè)進(jìn)程的不斷推進(jìn)和發(fā)展，校園網(wǎng)融會(huì)貫通，數(shù)據(jù)共享訪問，信息系統(tǒng)平臺(tái)化集成，移動(dòng)應(yīng)用智能化接入等技術(shù)場(chǎng)景的應(yīng)用逐漸打破了傳統(tǒng)網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、訪問等之間的隔離邊界和訪問控制，學(xué)校管理、教學(xué)、學(xué)習(xí)呈現(xiàn)了全新的信息化模式。隨之而來(lái)，信息化校園網(wǎng)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也逐漸增大，APT攻擊、0Day漏洞、加密流量等高級(jí)威脅的不斷出現(xiàn)，由于其未知性和隱蔽性的特點(diǎn)，成為當(dāng)前安全工作的難點(diǎn)。

隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《等保2.0》等法律法規(guī)頒布實(shí)施及教育部主管單位對(duì)教育行業(yè)信息化安全建設(shè)指導(dǎo)和政策要求，高校不斷加大校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)資金投入，積極開展校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)，越來(lái)越多的新一代防火墻、入侵防御、Web應(yīng)用防火墻、威脅分析系統(tǒng)等安全設(shè)備部署到校園網(wǎng)中，極大地提升了校園網(wǎng)安全防護(hù)保障能力。但在校園網(wǎng)實(shí)際網(wǎng)絡(luò)安全運(yùn)營(yíng)過(guò)程中仍存在安全設(shè)備之間相對(duì)孤立，數(shù)據(jù)之間缺乏共享，安全處置滯后等問題。一是產(chǎn)生大量的重復(fù)數(shù)據(jù)或噪聲數(shù)據(jù)，給高校日常的網(wǎng)絡(luò)安全運(yùn)維工作帶來(lái)極大的困難；二是傳統(tǒng)的網(wǎng)絡(luò)設(shè)備多采用靜態(tài)啟發(fā)式規(guī)則檢測(cè)機(jī)制，無(wú)法有效應(yīng)對(duì)高級(jí)變化的網(wǎng)絡(luò)攻擊行為(APT)；三是安全設(shè)備之間缺乏有效情報(bào)數(shù)據(jù)共享協(xié)作機(jī)制，面對(duì)網(wǎng)絡(luò)攻擊威脅無(wú)法第一時(shí)間快速識(shí)別，響應(yīng)、處置，安全“關(guān)口前移”，校園網(wǎng)安全事件頻頻發(fā)生。

面對(duì)不對(duì)稱的“攻防對(duì)抗”威脅，攻擊技術(shù)高級(jí)化、攻擊工具武器化、攻擊目標(biāo)定向化等特性，使得高校傳統(tǒng)的網(wǎng)絡(luò)安全防御體系和安全技術(shù)疲于應(yīng)對(duì)。隨著國(guó)家及各個(gè)行業(yè)對(duì)網(wǎng)絡(luò)安全的逐漸重視，面對(duì)當(dāng)前網(wǎng)絡(luò)安全建設(shè)體系不足，安全威脅情報(bào)逐漸受到重視并且快速發(fā)展的現(xiàn)狀，通過(guò)安全威脅情報(bào)共享機(jī)制為面臨網(wǎng)絡(luò)威脅的信息資產(chǎn)主體提供準(zhǔn)確、全面的、詳細(xì)的安全威脅畫像數(shù)據(jù)知識(shí)信息，為信息安全技術(shù)人員研判和網(wǎng)絡(luò)安全設(shè)備防御處置提供數(shù)據(jù)支撐。

4 高校威脅情報(bào)建設(shè)必要性

校園網(wǎng)作為典型的信息化網(wǎng)絡(luò)環(huán)境，同時(shí)受到來(lái)自校網(wǎng)內(nèi)部與外部互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全威脅，尤其是全國(guó)高校的校園網(wǎng)建設(shè)、信息系統(tǒng)建設(shè)和應(yīng)用環(huán)境的趨同性和共性問題使得高校網(wǎng)絡(luò)與信息化遭受的網(wǎng)絡(luò)安全攻擊威脅更加嚴(yán)峻。

1)校園網(wǎng)建設(shè)之初主要以基礎(chǔ)網(wǎng)絡(luò)建設(shè)為主，保障校園網(wǎng)的連通性和校園網(wǎng)帶寬的穩(wěn)定可用性，網(wǎng)絡(luò)安全保障措施相對(duì)較弱。高校校園網(wǎng)多以大二層網(wǎng)絡(luò)域規(guī)劃建設(shè)為主，網(wǎng)絡(luò)域間訪問控制缺失。目前校園網(wǎng)普遍存在的諸多互聯(lián)網(wǎng)出入口也使得整個(gè)校園網(wǎng)網(wǎng)絡(luò)安全保障更加困難。

2)隨著信息化的發(fā)展，各高校普遍建設(shè)了以教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、OA 系統(tǒng)、辦事大廳、網(wǎng)站群系統(tǒng)、統(tǒng)一身份認(rèn)證系統(tǒng)、一卡通系統(tǒng)、期刊出版系統(tǒng)、圖書系統(tǒng)、統(tǒng)一門戶系統(tǒng)等多種類型的信息系統(tǒng)，并通過(guò)校園網(wǎng)提供各種信息服務(wù)。信息資產(chǎn)多、資產(chǎn)暴露面廣、安全漏洞頻發(fā)、軟件供應(yīng)鏈普適性較高等特性，使得高校面臨著嚴(yán)峻的安全攻擊威脅，一旦某處信息系統(tǒng)被黑客組織攻陷，將會(huì)導(dǎo)致連片式失陷的安全風(fēng)險(xiǎn)威脅。

3)很多高校在培養(yǎng)人才之外還承擔(dān)著國(guó)家、區(qū)域及行業(yè)的各項(xiàng)科學(xué)研究工作，擁有大量的各種人員信息、教學(xué)、管理及科研等重要數(shù)據(jù)。一直以來(lái)，高校網(wǎng)絡(luò)系統(tǒng)備受黑客組織青睞，頻發(fā)遭受惡意網(wǎng)絡(luò)攻擊，尤其是受惡意政治和經(jīng)濟(jì)利益驅(qū)動(dòng)的黑客組織(APT)對(duì)全國(guó)高校發(fā)起的攻擊威脅，給我國(guó)高校帶來(lái)嚴(yán)重網(wǎng)絡(luò)威脅和安全損失。如美國(guó)國(guó)家安全局(NSA)的“特定入侵行動(dòng)辦公室”TAO針對(duì)西北工業(yè)大學(xué)發(fā)起的網(wǎng)絡(luò)攻擊、竊取敏感數(shù)據(jù)的行為就是典型針對(duì)高校教育系統(tǒng)的網(wǎng)絡(luò)APT攻擊威脅。

4) 隨著全國(guó)高校數(shù)字化、智能化進(jìn)程的快速發(fā)展，校園網(wǎng)虛擬化、大數(shù)據(jù)及云平臺(tái)等技術(shù)的廣泛使用，高校逐漸加大了高性能服務(wù)器、高質(zhì)量帶寬的網(wǎng)絡(luò)鏈路的采購(gòu)建設(shè)，為高校智慧教學(xué)的開展提供基礎(chǔ)設(shè)施保障。由于網(wǎng)絡(luò)安全相對(duì)信息化建設(shè)的滯后性，使得整體安全防護(hù)能力建設(shè)相對(duì)碎片化，安全設(shè)備“孤島運(yùn)行”。加上安全意識(shí)不足、網(wǎng)絡(luò)開放、安全漏洞頻發(fā)、安全人員技術(shù)力量不足等實(shí)際，使得高校信息系統(tǒng)數(shù)據(jù)泄露、加密勒索、挖礦木馬攻擊等安全威脅事件頻發(fā)，給學(xué)校的日常管理、正常教學(xué)及社會(huì)聲譽(yù)帶來(lái)極大的安全威脅和損失。

基于高校網(wǎng)絡(luò)與信息化建設(shè)的趨同性，面臨網(wǎng)絡(luò)安全威脅的共同性，通過(guò)構(gòu)建高校用戶場(chǎng)景化的威脅情報(bào)融合共享平臺(tái)，通過(guò)對(duì)校園網(wǎng)安全威脅數(shù)據(jù)采集、外部情報(bào)和教育網(wǎng)CCERT 情報(bào)融合接入等，通過(guò)高校網(wǎng)絡(luò)威脅情報(bào)融合分析平臺(tái)進(jìn)行多源數(shù)據(jù)聚合分析和研判，有效提取針對(duì)高校行業(yè)屬性威脅情報(bào)集，從全局視角看待高校面臨的網(wǎng)絡(luò)安全威脅態(tài)勢(shì)，積極開展前置處置和應(yīng)急響應(yīng)，能積極發(fā)揮高校網(wǎng)絡(luò)安全威脅情報(bào)安全價(jià)值。

5 高校威脅情報(bào)系統(tǒng)化建設(shè)

面對(duì)當(dāng)前復(fù)雜多樣的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)攻擊逐漸趨向于組合混淆的，定向的，隱蔽和高級(jí)的(APT)的攻擊方式，傳統(tǒng)的安全設(shè)備對(duì)于此類攻擊行為疲于應(yīng)對(duì)，缺乏聯(lián)動(dòng)協(xié)作和威脅數(shù)據(jù)共享的能力，未來(lái)的網(wǎng)絡(luò)安全是一種泛安全，單一的網(wǎng)絡(luò)安全設(shè)備將無(wú)法完全應(yīng)對(duì)當(dāng)前復(fù)雜的攻擊行為。

威脅情報(bào)是某種基于證據(jù)的知識(shí)集，包括上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議，這些知識(shí)與資產(chǎn)所面臨已有的或醞釀中的威脅或危害相關(guān)，可用于保護(hù)資產(chǎn)相關(guān)主體對(duì)威脅或危害的響應(yīng)或處理決策提供信息支持。威脅情報(bào)的工作特點(diǎn)：1)一威脅情報(bào)在事前可以起到預(yù)警的作用，為安全運(yùn)營(yíng)人員響應(yīng)決策提供數(shù)據(jù)支持；2)在威脅發(fā)生時(shí)可以通過(guò)威脅情報(bào)共享協(xié)作聯(lián)動(dòng)各類安全設(shè)備進(jìn)行精準(zhǔn)檢測(cè)和自動(dòng)處置響應(yīng)；3)通過(guò)威脅情報(bào)的情報(bào)要素包括威脅源、攻擊目的、攻擊對(duì)象、攻擊手法、漏洞、攻擊特征、防御措施等在安全威脅事件發(fā)生后為安全運(yùn)營(yíng)人員提供威脅分析和溯源，并進(jìn)一步對(duì)安全策略優(yōu)化和安全措施加固等提供決策幫助。

面對(duì)高校信息化網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀，從校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)和運(yùn)維需求出發(fā)，利用大數(shù)據(jù)分析技術(shù)，通過(guò)設(shè)計(jì)威脅情報(bào)模型，對(duì)學(xué)校海量的日志數(shù)據(jù)進(jìn)行采集計(jì)算，接入第三方安全威脅情報(bào)數(shù)據(jù)，對(duì)威脅數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和交叉驗(yàn)證，有效提取包括IP、域名、服務(wù)、端口、行為特征、文件、MD5、Hash值等關(guān)鍵要素信息，對(duì)威脅情報(bào)的可信度、抗污染和老化機(jī)制進(jìn)行有效控制更新，進(jìn)而實(shí)現(xiàn)符合高校網(wǎng)絡(luò)環(huán)境場(chǎng)景需求的高校威脅情報(bào)體系，落實(shí)常態(tài)化的校園網(wǎng)安全威脅情報(bào)中心生產(chǎn)及運(yùn)營(yíng)平臺(tái)，并應(yīng)用于現(xiàn)代化智慧校園的服務(wù)運(yùn)營(yíng)和安全防御建設(shè)需求。

圖1 高校威脅情報(bào)系統(tǒng)架構(gòu)圖

1)情報(bào)數(shù)據(jù)采集

情報(bào)數(shù)據(jù)采集模塊作為威脅情報(bào)系統(tǒng)的基礎(chǔ)模塊，負(fù)責(zé)對(duì)校園網(wǎng)已有的安全設(shè)備日志進(jìn)行集中化統(tǒng)一采集預(yù)處理，包括資產(chǎn)數(shù)據(jù)，防火墻、IDS/IPS、WAF等安全設(shè)備日志數(shù)據(jù)，APT 設(shè)備、流量探針等流量數(shù)據(jù)，完成原始數(shù)據(jù)格式化和標(biāo)準(zhǔn)化操作。

2)情報(bào)數(shù)據(jù)分析

情報(bào)數(shù)據(jù)分析模塊是整個(gè)校園網(wǎng)情報(bào)中心平臺(tái)的核心系統(tǒng)模塊之一，負(fù)責(zé)對(duì)統(tǒng)一采集的原始數(shù)據(jù)進(jìn)行二次降噪去重等處理，并通過(guò)威脅情報(bào)模型算法，對(duì)威脅數(shù)據(jù)進(jìn)行聚合分析，提取關(guān)鍵的威脅情報(bào)要素，包括：IP、URL、域名、服務(wù)、端口、來(lái)源、攻擊特征、文件hash等。并通過(guò)情報(bào)數(shù)據(jù)IP資產(chǎn)測(cè)繪，識(shí)別惡意情報(bào)IP或URL 的指紋信息、社會(huì)數(shù)據(jù)等，并將情報(bào)資產(chǎn)數(shù)據(jù)和威脅數(shù)據(jù)進(jìn)行管理分析，同時(shí)通過(guò)信譽(yù)度算法進(jìn)行可信度驗(yàn)證評(píng)價(jià)，最后通過(guò)驗(yàn)證機(jī)制進(jìn)行可靠性驗(yàn)證后存入威脅情報(bào)數(shù)據(jù)庫(kù)，為情報(bào)運(yùn)營(yíng)平臺(tái)提供威脅情報(bào)數(shù)據(jù)支撐。

3)情報(bào)安全運(yùn)營(yíng)

情報(bào)安全運(yùn)營(yíng)是面向整個(gè)校園網(wǎng)威脅情報(bào)支撐的管理運(yùn)營(yíng)平臺(tái)[4]，對(duì)整個(gè)校園網(wǎng)威脅情報(bào)的態(tài)勢(shì)展示、情報(bào)數(shù)據(jù)統(tǒng)計(jì)、情報(bào)數(shù)據(jù)查詢分析、共享交換[5]、訂閱上報(bào)及生產(chǎn)策略管理，包括生產(chǎn)監(jiān)控、模型修訂、參數(shù)調(diào)整等。通過(guò)威脅情報(bào)管理運(yùn)營(yíng)平臺(tái)，實(shí)時(shí)查看校園網(wǎng)的網(wǎng)絡(luò)威脅狀態(tài)，并通過(guò)情報(bào)查詢分析和數(shù)據(jù)共享[6]，為校園網(wǎng)安全運(yùn)營(yíng)提供威脅情報(bào)驗(yàn)證分析，減輕安全運(yùn)維人員的運(yùn)維壓力，積極建立“情報(bào)共享、聯(lián)防聯(lián)控”的縱深安全防御體系。

圖2 情報(bào)類型

其中，威脅情報(bào)共享協(xié)作模塊作為整個(gè)威脅情報(bào)平臺(tái)的核心模塊，負(fù)責(zé)數(shù)據(jù)共享分發(fā)，將高校網(wǎng)內(nèi)情報(bào)數(shù)據(jù)、第三方商業(yè)情報(bào)及CCERT 教科網(wǎng)共享情報(bào)進(jìn)行融合共享分發(fā)至高校校園網(wǎng)各類安全設(shè)備，實(shí)現(xiàn)對(duì)校園網(wǎng)安全威脅協(xié)同檢測(cè)、分析、關(guān)聯(lián)協(xié)作、共享處置。

圖3 情報(bào)共享

6 高校威脅情報(bào)應(yīng)用價(jià)值

通過(guò)對(duì)校園網(wǎng)安全威脅情報(bào)技術(shù)研究和場(chǎng)景化應(yīng)用，建立校園網(wǎng)本地化威脅情報(bào)中心平臺(tái)，實(shí)現(xiàn)對(duì)校園網(wǎng)威脅情報(bào)數(shù)據(jù)集中采集、生產(chǎn)、管理與情報(bào)共享分析。滿足校園網(wǎng)用戶的情報(bào)訂閱與威脅溯源，對(duì)智慧校園網(wǎng)絡(luò)安全防護(hù)策略和威脅監(jiān)測(cè)預(yù)警機(jī)制賦能，對(duì)智慧校園網(wǎng)進(jìn)行安全運(yùn)營(yíng)風(fēng)險(xiǎn)評(píng)估。

1)構(gòu)建可信的威脅情報(bào)運(yùn)營(yíng)體系，通過(guò)研究設(shè)計(jì)校園網(wǎng)威脅情報(bào)中心平臺(tái)，對(duì)校園網(wǎng)各類安全日志數(shù)據(jù)進(jìn)行集中采集、歸類合并、聚合降噪、要素提取、老化控制等威脅情報(bào)生產(chǎn)和管理運(yùn)營(yíng)。并設(shè)計(jì)符合《GB/T 36643-2018 網(wǎng)絡(luò)安全威脅信息格式規(guī)范》、STIX系列數(shù)據(jù)格式API接口，滿足外部第三方威脅情報(bào)數(shù)據(jù)的接入和運(yùn)營(yíng)。

2)建立威脅情報(bào)安全共享體系，通過(guò)本地化威脅情報(bào)APIs輸出接口，給學(xué)校已有的安全防護(hù)設(shè)備進(jìn)行情報(bào)賦能，提高各安全設(shè)備之間的協(xié)同聯(lián)防能力。

3)為學(xué)校的各個(gè)網(wǎng)絡(luò)安全檢測(cè)設(shè)備和安全態(tài)勢(shì)感知提供網(wǎng)絡(luò)安全檢測(cè)關(guān)聯(lián)分析依據(jù)，提升網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力，及時(shí)發(fā)現(xiàn)校園網(wǎng)網(wǎng)絡(luò)安全存在的潛在安全風(fēng)險(xiǎn)，為網(wǎng)絡(luò)安全處置研判提供決策依據(jù)。

4)通過(guò)威脅情報(bào)知識(shí)畫像體系，對(duì)校園網(wǎng)發(fā)生的惡意攻擊、安全事件等提供反查溯源分析能力，幫助學(xué)校安全人員對(duì)網(wǎng)絡(luò)安全攻擊事件進(jìn)行溯源分析，加固安全風(fēng)險(xiǎn)。

總之，通過(guò)高校威脅情報(bào)系統(tǒng)化建設(shè)，在廣泛收集各類威脅情報(bào)的基礎(chǔ)之上，通過(guò)大數(shù)據(jù)分析搜集到的威脅情報(bào)，可以有效提取、精準(zhǔn)定位針對(duì)高校行業(yè)的網(wǎng)絡(luò)攻擊威脅，展現(xiàn)威脅態(tài)勢(shì)分析，從而幫助高校積極開展前置處置和應(yīng)急響應(yīng)，有效及時(shí)地抵御各類針對(duì)高校的網(wǎng)絡(luò)安全攻擊。

通過(guò)搭建標(biāo)準(zhǔn)化威脅情報(bào)體系接口，允許可信高校用戶接入，提供上傳分析情報(bào)，擴(kuò)大情報(bào)來(lái)源面，從而提升大數(shù)據(jù)分析的研判能力，提升分析準(zhǔn)確性，提升發(fā)現(xiàn)及時(shí)性。同時(shí)可以為各可信高校用戶提供分析結(jié)果自動(dòng)下發(fā)，反饋給各高校用戶，從而形成群防群策的高校安全體系，提升高校的整體網(wǎng)絡(luò)安全防護(hù)能力。