教育行業(yè)安全現(xiàn)狀分析和工作基礎(chǔ)

　　安全威脅情報(bào)的來(lái)源離不開(kāi)多方的支持，這幾年來(lái)我們和國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心以及安全行業(yè)的諸多機(jī)構(gòu)都保持深入的交流和合作，從中得到大量有價(jià)值的信息和經(jīng)驗(yàn)。分析匯總多渠道安全情報(bào)并及時(shí)研判，才能有更廣的視角去了解整個(gè)教育行業(yè)目前的安全態(tài)勢(shì)，然后再及時(shí)通過(guò)流程進(jìn)行處理和響應(yīng)，使得各類(lèi)安全隱患在產(chǎn)生更大負(fù)面影響之前被消滅清理掉。

　　對(duì)于安全工作，要戰(zhàn)戰(zhàn)兢兢，如履薄冰，不能心存僥幸，很多時(shí)候只是幾小時(shí)的應(yīng)急延時(shí)，就可能引發(fā)非常嚴(yán)重的后果。

　　今年2月底，我們倡導(dǎo)建立了教育行業(yè)安全漏洞報(bào)告平臺(tái)，目前試運(yùn)行兩個(gè)多月以來(lái)，收錄了12000多個(gè)漏洞，發(fā)展平臺(tái)用戶(hù)兩千多個(gè)，其中一千多名是學(xué)校教師，還有幾百名是各地對(duì)安全有濃厚興趣的學(xué)生。各學(xué)?？梢酝ㄟ^(guò)這個(gè)平臺(tái)，第一時(shí)間了解到自身相關(guān)的漏洞信息，幫助學(xué)校做查漏補(bǔ)缺的工作，提高學(xué)?？匆?jiàn)威脅的能力也是平臺(tái)的初衷。

　　通過(guò)類(lèi)似的安全平臺(tái)希望能夠把安全工作量化，它可以在全國(guó)層面上有一些量化的指標(biāo)為學(xué)校提供對(duì)比參考。并不是說(shuō)學(xué)校發(fā)現(xiàn)漏洞越多，安全工作做得越差。有的學(xué)校信息系統(tǒng)數(shù)量多，那么存在幾十個(gè)漏洞這是非常正常的事情。未來(lái)可以把漏洞修復(fù)率作為一個(gè)重要評(píng)價(jià)指標(biāo)，如果一個(gè)學(xué)校漏洞修復(fù)率越高，說(shuō)明這個(gè)學(xué)校在信息安全方面的工作就越卓有成效。

　　安全威脅情報(bào)共享機(jī)制

　　在安全威脅情報(bào)共享方面，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心有其應(yīng)急處置方式：依托與運(yùn)營(yíng)商、域名注冊(cè)商、安全服務(wù)廠商等相關(guān)部門(mén)的快速工作機(jī)制和與涉及國(guó)計(jì)民生的重要信息系統(tǒng)部門(mén)及執(zhí)法機(jī)關(guān)密切合作機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的快速處置；同時(shí)作為國(guó)際網(wǎng)絡(luò)安全合作組織的重要成員，中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET應(yīng)急響應(yīng)組與多個(gè)世界著名的網(wǎng)絡(luò)安全機(jī)構(gòu)和各個(gè)國(guó)家級(jí)應(yīng)急組織建立了網(wǎng)絡(luò)安全事件處理合作機(jī)制。面向國(guó)內(nèi)外用戶(hù)受理網(wǎng)絡(luò)安全事件報(bào)告，及時(shí)掌握和處置突發(fā)重大網(wǎng)絡(luò)安全事件。在預(yù)警通報(bào)方面，依托對(duì)豐富數(shù)據(jù)資源的綜合分析和多渠道的信息獲取，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅的分析預(yù)警、網(wǎng)絡(luò)安全事件的情況通報(bào)、宏觀網(wǎng)絡(luò)安全狀況的態(tài)勢(shì)分析等。6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第三十九條明確規(guī)定：促進(jìn)有關(guān)部門(mén)、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

　　圖1是關(guān)于教育系統(tǒng)安全威脅通報(bào)體系構(gòu)想。可以把各方安全威脅情報(bào)都統(tǒng)一匯聚到一個(gè)平臺(tái)上，該平臺(tái)通過(guò)人工處理和自動(dòng)化分析，再加上復(fù)核驗(yàn)證后進(jìn)入一個(gè)安全威脅共享基礎(chǔ)平臺(tái)。這個(gè)平臺(tái)要能夠有效發(fā)揮作用，不僅需要國(guó)家和教育部層面的頂層規(guī)劃和支持，同時(shí)也需要省級(jí)和各學(xué)校的積極響應(yīng)，充分的信息化應(yīng)用來(lái)助力安全向前發(fā)展。

　　在安全防御過(guò)程中，如果學(xué)校力量過(guò)于薄弱，那么在攻防對(duì)抗當(dāng)中就會(huì)處于不利的地位。互聯(lián)網(wǎng)上有很多安全類(lèi)搜索引擎，輸入學(xué)校的IP地址或者域名等相關(guān)信息就很容易找到學(xué)校信息資產(chǎn)的更多細(xì)節(jié)，攻擊者可以通過(guò)這些信息發(fā)掘?qū)W校的弱點(diǎn)并進(jìn)行攻擊。對(duì)于任何一家學(xué)校而言，其力量都是有限的，但是對(duì)于教育行業(yè)而言，是可以通過(guò)組織力量去調(diào)動(dòng)更多的資源和力量，對(duì)行業(yè)安全進(jìn)行梳理，把基礎(chǔ)信息找出來(lái)，批量發(fā)現(xiàn)漏洞，幫助學(xué)校去發(fā)現(xiàn)和解決安全問(wèn)題。

　　實(shí)際上，學(xué)生的力量往往是無(wú)窮的，關(guān)鍵在于如何去發(fā)現(xiàn)并激活這股力量。學(xué)生是需要引導(dǎo)的，如果走在正確的道路，那么他就是“白帽子”，逐步成長(zhǎng)為安全領(lǐng)域?qū)＜遥蝗绻湃巫粤?，那么未?lái)可能就會(huì)成為“黑帽子”，踏上黑產(chǎn)的不歸路。

　　同時(shí)，安全威脅情報(bào)團(tuán)隊(duì)的人員也是非常重要的。需要考慮這些人員的來(lái)源和構(gòu)成：各高校一線優(yōu)秀安全團(tuán)隊(duì)人員；教育網(wǎng)安全運(yùn)行團(tuán)隊(duì)（CCERT/NOC）；吸引優(yōu)秀學(xué)生參與相關(guān)安全工作；必須要有一批人固定在一線運(yùn)維；兼職專(zhuān)職并重，充分利用高校人才優(yōu)勢(shì)；爭(zhēng)取長(zhǎng)期穩(wěn)定投入，保持中立屬性。

　　此外，要明確安全威脅情報(bào)分享機(jī)制的基本定位：提供有數(shù)據(jù)支撐的教育系統(tǒng)安全態(tài)勢(shì)深度感知；對(duì)全國(guó)教育系統(tǒng)各類(lèi)安全漏洞進(jìn)行匯聚和長(zhǎng)期跟蹤；對(duì)教育系統(tǒng)各類(lèi)安全事件開(kāi)展全面監(jiān)測(cè)和深度分析；拓展威脅情報(bào)來(lái)源，從全球化角度來(lái)看教育系統(tǒng)安全；形成各類(lèi)涉及教育系統(tǒng)安全的深度調(diào)查研究報(bào)告。

　　對(duì)安全漏洞和安全事件來(lái)說(shuō)，不僅僅是發(fā)現(xiàn)，更重要的是要有體制保障，能夠?qū)λM(jìn)行跟蹤，一直到它被消亡為止，實(shí)現(xiàn)全生命周期的閉環(huán)管理。同時(shí)我們要注意，安全漏洞和安全事件是有區(qū)別的，并不是系統(tǒng)有漏洞就一定會(huì)被入侵，被別人攻陷，數(shù)據(jù)遭到竊取。往往一次安全事件的背后，其中會(huì)涉及到一系列的漏洞利用過(guò)程，我們要盡早地發(fā)現(xiàn)各種可能的漏洞并積極修復(fù)起來(lái)，這樣才可能避免產(chǎn)生重大的網(wǎng)絡(luò)安全事故。

　　通過(guò)這些工作，能夠積累大量的安全數(shù)據(jù)，有了數(shù)據(jù)支撐，就可能對(duì)教育安全進(jìn)行深度分析，形成各種各樣的調(diào)查分析報(bào)告，進(jìn)而指導(dǎo)我們的工作，影響相關(guān)主管部門(mén)在安全工作上的思考和投入方向。希望通過(guò)完善這種安全情報(bào)分享機(jī)制，為全國(guó)教育系統(tǒng)安全威脅發(fā)現(xiàn)提供基礎(chǔ)服務(wù)，顯著提高各?？匆?jiàn)安全威脅的能力，推動(dòng)各校的安全體系建設(shè)。未來(lái)，我們希望不僅關(guān)注顯著暴露的安全隱患，也要涉及隱蔽的安全威脅，依托中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET應(yīng)急響應(yīng)組，在全國(guó)范圍內(nèi)發(fā)揮更大的作用。