共计 3515 个字符,预计需要花费 9 分钟才能阅读完成。
随着人工智能、大数据、物联网等新一代信息技术的迅猛发展,教育信息化 2.0 和智慧校园建设疾速推动。但与此同时,挖矿木马、勒索病毒、钓鱼邮件等网络安全威逼层出不穷,对高校数字化改革与信息化倒退带来极大的挑战。
在此背景下,近日,腾讯平安联结雷峰网、腾讯云开发者社区、腾讯产业互联网学堂推出的高校网络安全主题沙龙在线上召开,上海交通大学信息化推动办公室副主任姜开达、腾讯平安高级架构师张飞凡、雷峰网副总编辑林觉民三位专家做客直播间,独特探讨高校如何构筑网络安全屏障。
浅析高校网络安全攻打特色
林觉民:近年来,高校网络安全攻打事件呈现出怎么的趋势?
姜开达:从早些年的“冲击波病毒”、“震荡波病毒”到当初的木马后门、攻防反抗、数据透露,随同着互联网倒退,高校的网络安全态势也在一直产生新的变动。一是教育网站的篡改类安全事件显著降落;二是近几年来数据安全和个人信息相干的安全事件有所增加;三是高校的供应链平安状况较为突出,全国有三千多所高校,这些高校的资产数量十分多,教务零碎、财务零碎、OA 零碎等很多零碎都能够通过互联网间接拜访,一旦其软件产品呈现了可被近程利用的安全漏洞,将会产生大面积的、连片式的网络安全危险。
林觉民:从产业视角来看,为何会呈现上述趋势?
张飞凡:首先从 IT 技术变动来看,云、AI、大数据、物联网、挪动互联等新兴技术在教育行业的广泛应用,给网络安全带来了较为粗浅的影响,须要在发展信息化建设的同时,同步发展平安建设;第二,从监管视角来看,频发的网络安全事件也牵引了国家更加器重网络安全,高校需投入更多人力、物力、财力发展平安建设与经营,防止安全事件的产生;第三,具备匿名性特色的比特币衰亡,为黑客的网络攻击变现提供了助力,由此导致教育行业网络攻击事件越来越多。
林觉民:高校网络安全危险中,哪几类攻打占比最高?
姜开达:从数量上来看,随同着扫描带来的自动化攻打比拟多,还有一些是针对凋谢端口和凋谢服务的暴力破解,比方针对服务器 22 端口的暴力破解,针对远程桌面 3389 的暴力破解。各种破绽的自动化利用,带来了高校勒索病毒、挖矿木马等一系列安全事件。此外,高校这几年频发的还有钓鱼攻打和有目标的定向攻打。
张飞凡:高校是一个很典型的场景,学校会面临较大的病毒木马危险。学生的安全意识绝对较为单薄,零碎的高危破绽不及时修复,师生之间、同学之间用 U 盘拷贝数据而不杀毒,都可能导致终端感化病毒。同时,黑客极有可能利用学生的电脑作为跳板,在学校外部发展横向攻打。
高校网络安全工作“痛难点”透析
林觉民:高校为何会成为以后网络安全攻打的次要指标?
姜开达:学校的利用中存储着大量师生个人信息和敏感数据,黑客能够窃取这些数据进行售卖并获利;学校里的数据中心、高性能计算中心领有大量的计算资源和存储资源,攻击者能够通过攻打服务器取得这些资源,来发展挖矿流动,通过虚构货币来牟利;同时学校还有大量的科研数据、考试数据,攻击者通过攻打取得这些数据后都有利可图,所以黑客会不遗余力、千方百计地对高校信息系统进行攻打和入侵。
林觉民:高校网络安全建设普遍存在哪些问题和难点?
姜开达:不同高校信息化建设倒退阶段不一样,导致高校对网络安全的意识和平安建设的迫切水平也不一样,平安建设的难点最终聚焦在人、财、物三个方面。一方面高校十分不足平安方面的业余技术人员和平安管理人员;另一方面高校在信息化整体经费投入无限的状况下,平安建设资金的投入不足保障,甚至是严重不足;此外,运维能力有余和局部学校零碎上云,也促使高校亟需基于云的云平安体系、云平安机制,来保障信息系统利用的平安。
林觉民:针对挖矿木马、勒索病毒这类大规模网络攻击,高校该如何实现无效防护?
张飞凡:从技术角度来看,能够从终端和流量两个门路解决挖矿和勒索问题;从治理视角来看,学校需定期对学生进行培训、进行安全意识的宣导,倡议每位同学装置个人版防护软件查杀病毒、定期修复高危破绽,不给勒索软件和挖矿木马提供生存的空间;从整体信息化建设角度来看,倡议学校应用像企业微信这样反对文件发送和流传的平台,升高校内 U 盘拷贝应用的频率,促使校园网络更加平安。
林觉民:从网络安全建设从业者视角来看,如何评估学校的平安建设成熟度?有哪些维度可辅助考量?
张飞凡:网络安全建设的成熟度是业内经久不衰的话题,从工程化视角来看,个别会通过以下三个层面进行考量:第一是平安合规层面,有没有达到等保 2.0 所要求的防护程度,技术措施和管理制度是否完备;第二是主动防御层面,网络安全危险 = 脆弱性×威逼,学校是否建设各种各样的措施去被动辨认危险和脆弱性,是否周期性对重要资产做评估、检测和加固等;第三是及时反抗的层面,学校有没有一整套包含人员、平台、工具、流程在内的机制,去疾速发现问题,并及时优化调整本身防护措施。
林觉民:应从哪些维度扫视智慧校园平安建设?
张飞凡:第一要站在布局的视角,确保信息化和网络安全做到同步布局、同步建设、同步经营,确保信息化建设的每个环节都有对应的平安保障能力;第二要站在攻防的视角构建平安体系,充分考虑网络架构的合理性,从攻防视角对待平台、流程、人员能力的完备性;第三是情报的视角,通过威逼情报欠缺整个平安能力建设、晋升对安全事件的实时剖析效率;第四是治理的视角,技术平台、经营流程在落地的时候都须要切实可行的平安管理制度进行撑持,只有把所有平安动作、平安工作正当无效的串联起来,能力切实保障整个校园网络和业务利用的安全性。
校园网络安全建设实战经验
林觉民:近年来,我国陆续出台贯彻了《网络安全法》《数据安全法》《个人信息保护法》,高校该如何增强数据安全建设?
姜开达:数据是学校十分重要的外围资产。高校需制订学校的数据管理方法,明确学校数据安全要求,同时联合学校的数据治理工作,对学校的数据资产进行分级分类,梳理相应的资源目录,发展相应的爱护工作;同时,要把相应要求传递到各个部门,传递到师生,比方数据收集的时候要遵循“最小够用”的准则,数据查看要遵循“最小受权”的准则,数据存储要遵循“最短周期”的准则,数据共享要遵循“用而不存”的准则等;另外,学校要明确数据生产、治理相应的责任主体部门,明确相干的接口标准,通过相应的规范来要求数据的依规应用;最初,能够在高校的数据场景当中尝试应用一些新技术、新办法。
林觉民:上海交通大学在 2021 年获评“上海市网络安全先进单位”,上海交大网络安全有着怎么的历程和教训?
姜开达:从治理上来看,学校陆续欠缺了包含《校园网站的治理办法》、《数据管理方法》在内的一系列治理方法,同时每年年底会发展相干网站的年审工作,定期对学校的老师网站、无人运维的网站进行清理,缩小信息系统的数量,对不同零碎提供针对性地平安防护;
从技术上来看,通过联合学校的网络安全学科劣势和人才培养工作,将学校的网络安全和信息化深度交融,建设学生平安团队,动员学校从事平安的人员晋升本身平安技能,以及购买第三方平安服务解决理论的平安问题;
从经营上来看,咱们经营着“教育破绽报告平台”这样的平安平台,目前已接管了约 15 万个破绽,并且有着 1000 多个“白帽子”,帮忙咱们剖析数据和解决各方面的安全隐患。
林觉民:平安建设单薄的高校该如何做?针对高校,腾讯有哪些平安解决方案?
张飞凡:对于平安建设单薄的高校,首先要做的是把平安能力做补充和补救,达到根本的合格线,而后基于合格线再做一些晋升性的工作。腾讯自研的零信赖平安管理系统(腾讯 iOA)护航了 100 万终端的近程办公,可帮忙高校解决近程拜访中的平安问题,同时“All in One”计划可通过客户端去解决补丁修复、弱口令以及挖矿木马、勒索病毒等一系列问题。
另外,在数据中心的重要数据保护方面,腾讯平安可帮忙客户梳理重要数据在流转、采集、传输、存储、共享等等各环节存在的平安危险和隐患,制订相应的防护措施,提供残缺的数据全生命周期平安计划。
(腾讯零信赖 iOA 部署终端已冲破 100 万,成为国内首个落地百万的零信赖产品,目前曾经广泛应用于金融、地产、物流、教育、工业等十大行业、数百家企业,帮忙用户构建全方位、一站式零信赖平安体系。)
林觉民:如何晋升学校师生的网络安全意识?
姜开达:在 9 月新生入校、新进教职工培训以及国家“网络安全宣传周”期间,引入网络安全相干培训内容,同时配合学校攻防演练让师生更粗浅地体验到身边的平安问题,另外还可通过举办学校层面的平安比赛,开掘对网络安全感兴趣的同学,进而组建网络安全生力军,补救学校的平安队伍。
以上是本期网络安全公开课的精髓内容,如需理解更多高校网络安全建设的产品和解决方案,能够分割腾讯平安高级架构师张飞凡。
(扫描二维码,增加企业微信征询)