高校网安知多少 小默带你见分晓（下）

在高校安全知多少 小默带你见分晓（上）一文中，介绍了高校信息化和网络安全的发展现状，以及高校当前所面临的诸多网络安全挑战。那么，对于安全从业者以及企业、组织的安全负责人，应该怎样去应对这些挑战呢？

本篇文章分享了默安科技的高校行业网络安全解决方案，带您一探究竟~

默安科技高校行业网络安全治理框架构建思路分为四步，如下图所示：

图 高校网络安全体系建设框架

第一步 高校IT资产风险治理

帮助高校梳理可能被攻击的资产暴露面，全方位发现当前所有IT资产并进行常态化安全监测。

第二步 主动纵深式安全防御

从网络侧、外部视角进行安全防护，以事前发现、事中溯源、事后分析的逻辑搭建主动纵深式安全防御。

第三步 软件供应链安全治理

着眼于软件自身的安全性，从软件供应链角度保障高校外采业务系统的安全性。

第四步 引入专业安全服务

针对高校安全人员短缺的问题，引入第三方专业安全服务，可以很好地补齐高校安全能力短板。

2016年的网信工作座谈会上强调了IT资产的重要性，教育部也于2021年发布相关文件对IT资产安全提出了具体的要求：

要全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。

——2016年4月19日网络安全和信息化工作座谈会

加强国家主干网、省市教育网和学校校园网的衔接，实现网络地址、域名和用户的统一管理；增强感知能力，并完善教育系统信息资产数据库，掌握信息系统（网站）情况。

——教育部《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》

那么如何将“摸清家底”融入到高校网络安全建设中去，落实教育部的要求呢？建议从以下几个方面进行：

1、资产暴露面梳理

所谓的暴露面，可以简单理解为容易被攻击的薄弱点，比如对外开放的高校网站、内部教务系统开放的端口和服务等，让高校安全运营者知晓自身的弱点。

2、资产全量发现

基于高校现有的资产清单，去发现其他未登记在册或者应该被关闭或废弃却依然活跃的“僵尸”资产。

3、全天候安全检测

将上述的暴露面与资产进行关联，周期性进行常态化的安全巡检，协助高校安全运营者定位具体风险资产，进行关闭或是安全加固。

近几年，高校网络安全事件时有发生，今年西北工业大学遭受的国家级黑客攻击事件便是一个重要的警示。并且，随着教育系统网络安全攻防演习成为常态化，提升网络安全防御能力对于各大高校来说已然迫在眉睫。

本系列上篇提到高校安全建设仍以传统为主，何为传统安全防护？即建设一个安全堡垒，确保所有资产100%安全无死角，但这几乎是无法实现的，因此需要转换思路。

大禹治水，堵不如疏

既然不能完全封死攻击者的道路，何不如提前设下陷阱，主动将其捕获？

默安科技在2016年率先提出主动欺骗防御的理念，化被动为主动，在攻击者的必经之路上构建陷阱，混淆攻击目标，感知并溯源攻击行为，最终进行攻击阻断，保障教务系统的安全，具体措施如下：

事前发现

基于真实的教务系统伪造虚假的一比一仿真系统，并在攻击者可能踩点、采集信息的地方布置误导性数据信息，或采用探针、虚假IP&网页等技术手段，混淆攻击目标，诱导攻击者落入陷阱（仿真系统）中。

事中溯源

当攻击者进入到虚假的教务系统中，窃取数据信息、放置病毒木马等时，所有行为轨迹均会被记录下来。

事后分析

针对落入陷阱的攻击者，可以进行观察、收集数据，也可以直接进行攻击阻断，同时结合一系列攻击行为进行身份溯源，甚至反向控制对方主机，作为以后安全建设的重要凭据提交给公安。

此外，这套主动防御体系除了能为高校教务系统的安全保驾护航，还能在此基础上与默安科技进一步合作：共同打造属于高校自身的攻防对抗实训室。

某大学攻防实训课程示例

补充说明：主动式欺骗防御建设并不是抛弃传统安全防护体系，而是1+1＞2的关系，前者负责诱捕和拖延，后者负责处置，相辅相成，缺一不可。

主动式欺骗防御建设主要针对教务系统的外部防护，在疫情影响和高校行业信息化的快速发展下，根据CNVD漏洞平台国家信息安全漏洞共享平台提供的数据显示，近几年的安全漏洞主要集中在应用程序或WEB应用自身。

近几年网络安全漏洞影响对象类型

图源: CNVD漏洞平台国家信息安全漏洞共享平台

然而，对于高校来说，其自身教务系统绝大多数都是向第三方开发商进行采购，或是招聘外部开发人员进行驻场开发，难以从根本上对系统进行安全管控。

这里便需要引入“软件供应链安全”的概念：

软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。 

简单来讲，软件供应链的业务流程可以抽象成开发、交付以及应用三个环节，虽然高校往往缺乏开发能力，但可以从交付阶段开始进行安全管控：

1、优化采购规范

在采购环节增加对于软件供应链安全的要求，或是在招标、合同、审计等文件中增加软件供应链条款，要求开发商必须承诺所交付教务系统的安全性。

2、提前梳理安全需求

除了关注采购、合同阶段，高校还可以在开发商着手开发前，提前向其提出对应业务系统的安全需求（此处可以由默安科技安全咨询专家进行介入指导）。例如：用户登录某个系统时，为了防止被攻击者进行口令爆破和猜解，登录功能需要具备多次输错密码后输入验证码或是输错几次需要等待一定时间的安全功能。

3、软件供应商管理制度

将软件自身安全性纳入到供应商的入围或评估标准中，对厂商进行过滤筛选，可以在一定程度上保障软件交付能力和系统安全性。

高校不同于金融、互联网这类网络安全发展走在前端的行业，很多高校都没有专门的网络安全岗位，安全能力严重不足，对此教育部也表示：

鼓励高等学校和基础电信企业进行服务质量监测，建立以用户为导向的服务质量考评机制，提高校园网络服务水平。鼓励高等学校通过购买社会服务的方式引入外部资源，提供质优价廉的网络服务保障。

——教育部&工信部：提高高等学校网络管理和服务质量的通知

高校需要具备丰富工作经验、具备优秀安全设备日志分析与场景建模能力、具备安全事件应急响应和运维能力的专业技术人员，为其提供细致、全面的安全服务，弥补其人力的不足、技术的不足、信息的不足、安全运维的不足。针对此，可以参考默安科技的高校安全服务体系：

基于对前沿攻防技术的持续研究，默安科技的安全服务团队深耕甲方安全一线，已成功为党政机关、金融、运营商、能源、制造、交通运输、教育等30多个行业500余家政企单位提供切实有效的安全保障服务，包括但不限于各类安全培训、安全咨询、重大节事安全保障、常态化安全巡检、红蓝对抗安全服务等；近年来圆满完成了北京冬奥会、全国“两会”、中国国际进口博览会、G20杭州峰会、世界互联网大会、建党百年等多项网络安全保障任务并获得致谢。