12月8日-12月9日,2016年高校网络信息安全学术年会在吉林长春召开。会议由中国高等教育学会教育信息化分会网络信息安全工作组、吉林大学、长春理工大学、长春工业大学主办。国内众多高校网络安全专家汇聚一堂,以“迈向安全的教育信息化”为主题,共商未来高等教育信息化领域安全发展大计。
专题技术培训
12月8日下午,大会举行了专题技术培训会。厂商代表:远江盛邦、金智教育、铱迅信息、长亭科技分别针对高校Web应用资产安全治理、高校应用系统管理安全问题、高校信息安全人才培养以及高校常见安全漏洞进行了系统分析与应对方案解读。
致辞
12月9日上午,年会在主会场拉开帷幕。
希望通过本次会议,高校联手共同筑牢网络信息安全的防火墙,通过交流沟通有无,通过平台强化合作,通过合作赢得未来。借助会议展现网络信息安全新技术,提出新举措,达成新共识。
网络信息安全工作组通过培训、沙龙、讲座带动了全国高校网络信息安全工作,特别是今年举办了“安恒杯”全国高校网络信息安全管理运维挑战赛,得到了众多高校的支持与参与。通过本次学术会议,高校网络信息安全工作者可以通过交流、探讨,推进网络信息安全工作,信息安全工作永远在路上。
年度总结报告
网络信息安全工作组去年10月10日在上海交大成立,参加到工作组的高校有287所,参与的老师有984人。工作组提出“交流、协作、联合、共享”的口号,目前工作组已开展了11场在线视频安全工作培训,近期就“如何做好高校大数据安全分析,如何搭建高校大数据的安全平台”的培训受到了广泛关注。同时,还建立高校IP/域名基础信息库、高校安全漏洞追踪系统等,工作组也完善了通报体系流程。工作组还不断提升能力以及安全工作的可见度,对高校通报的漏洞进行验证,提升可信度。
本次举办年会,旨在通过各位专家老师交流,凝聚高校力量,互相帮助。2017年,工作组将进一步加强多方合作,建立一系列规范,开展更多培训,还将继续举办第二届高校网络信息安全管理运维比赛,凝聚高校信息安全力量,提升能力,夯实网络信息安全工作的基础。明年,高校网络信息安全学术年会将在厦门举办。
主题报告
网络安全是关系到国家安全、社会稳定和个人权益的问题。安全是一种矛和盾的关系,从网络安全威胁来说,“矛”越来越锋利。网络安全已经渗透到生活的各个领域。网络安全的威胁形式由互联网到物联网,凡是能联网的都可以作为攻击的发起者。对于网络安全的“盾”而言,也会越来越强,网络安全已经上升至国家战略。另外,我国也在加强国家核心技术的研发,提升网络安全的主动防御能力。“矛盾”会长期存在,此消彼长,这是一个趋势。
网络安全法是明年工作的重点。加强网络管理体制建设,建立网络管理安全的制度,加强关键基础设施的保护和责任划分,有能力的学校要开展网络安全运行的监控,提升高校的网络安全应急响应能力。高校信息化建设的时候就要开展网络安全工作,要与信息化统一谋划、统一部署、统一实施。
截至11月28日,CNCERT主办的CNVD漏洞库向教育行业单位通报漏洞事件4496起,其中,下半年数量较多。8月起,教育行业漏洞事件(以及其他安全事件)处置机制由教育部科技司统一协调。
教育行业做好网络安全应急工作,首先要建立统一协调机制,健全安全运维的技术覆盖范围和标准体系;第二,建立与国家网信部门工作体系、国家应急保障体系的衔接,完善行业外合作机制;第三,建立安全考核责任制,督促各层级做好安全保障责任落实;第四,减少不必要的业务出口以及不恰当的信息系统外围入口。
随着信息技术日新月异的快速发展,大数据、云计算、移动互联网和物联网等新技术在高校领域得到大面积的普及应用,高等教育行业面临的网络安全威胁和信息安全挑战也越来越严重,高校网络安全存在的许多隐患,已直接影响了教学、科研和管理的健康发展。高校大数据的快速“丰满”吸引着各路“贼人”磨刀霍霍!针对于网络信息安全问题,用大数据分析的角度去对待是一种有效的方式,也将成为势不可挡的趋势。
高校应运用大数据,分析漏洞成果和漏洞原因;IP定向分析,建立校园网络治理与稽查机制,开展行为、网络、信息、安全的四项整治;建立大数据安全联盟体系,资源共享,推进技术人才培养,让数据改变未来。
网络安全顶级学术会议会关注现实的、普遍的问题,不要低估了遇到问题的研究价值,也不要以为学术研究都需要大量的理论、数学公式。重视工程经验,因为他将有助于发现新的问题;了解学术前沿,关注行业的热点;培养得力的学生;加强交流与合作,拓宽视野,了解最新技术与方法。
网络攻击由“访问挂马网页”、“电子邮件的附件和链接”、“网站下载”这类的传统攻击技术转变到“后斯诺登时代的网络攻击技术”。“后斯诺登时代的网络攻击技术”的出现,数字签名的神话被打破。安全协议的应用是互联网安全的基础,数字签名和加密算法的破解,将振动整个安全的基石。
业界应倡导共同构建“高校网络安全威胁大数据预警分析平台”,北邮将提供网络安全威胁检测分析预警软件,攻击数据可以汇总到有条件的高校大数据平台之上,对全国高校的网络攻击提供实时攻击预警。
安全观念滞后于互联网发展,高校普遍缺乏安全体系和人员等都是教育安全威胁发生的原因。做好校园安全管理,第一,要培养网络信息安全意识、素养;第二,建立网络信息安全体系、规范、制度;第三,提升网络信息安全检测、防范、处置能力;第四,建设网络信息安全队伍、人才培养,依托校园学科团队、信息化技术支撑团队、学生团队这三方力量构建网络信息安全技术防护体系。
“不知攻,焉知防?”高校应培养一批具有国际水平的“白帽黑客”,顶尖的防御体系需要顶级“黑客”来参加设计,安全巡检、风险评估、应急响应、演练竞赛,完全融入到日常安全工作中。提升自身安全能力是高校网络信息安全建设的首要目标,安全能力要助力学校自身信息化建设。
从安全事件到安全治理的核心理念是:在较充分的技术和心态准备基础上,把握安全事件带来的机遇,推动和促成信息安全管理的实质提升。
高校做网络信息安全,首先需要将IT资源统筹管控,从掌握的资源入手,整合简化系统入口,降低整体风险,明确提供IT资源的技术部门与使用IT资源的业务部门间的责权利。第二,利用网络信息安全情报,主动参与到安全信息交流、信息分享、安全竞赛等活动,第一时间分析和处置安全情报相关安全事件。第三,转换网络信息安全工作思路,与信息化建设结合,充分利用政策环境推动良性发展理念实现,化被动为主动。第四,重视安全服务的采购和实施。
技术报告
网络信息安全最首要的工作是应用安全,业界的关注点都在安全设备视角,忽视应用的根本。现阶段,高校对安全的真正需求集中于三个方面:基础安全、应用环境安全、应用安全。基础安全包括对内应用之间的防护安全需求、对外网站的防护安全需求以及多厂商维护单位的密码及行为安全需求;应用环境安全包括登录账号后的环境安全需求、应用支撑环境安全需求以及上线的应用管控安全需求;最首要的应用安全包括不出现敏感关键词篡改、应用防护能够阻挡攻击以及信任名单审查需求。
高校网络信息安全,要在基础防护安全的基础上,着重抓应用环境安全和内外网用户访问安全,再基于大数据的安全模型建设与综合安全分析。
云计算被看做第三次IT浪潮,服务功能日益完善,种类日趋多样,云服务高速增长,虚拟化整合使IT基础架构从一般运行环境转换到战略性计算平台。云的安全经受着巨大的挑战,首先是来自外部巨量DDOS的攻击,以及内部DDOS的攻击;第二是来自网络的入侵,传统的串设备成瓶颈;第三是IO风暴,单台VM被攻击,在短时间内频繁请求磁盘上的随机文件,造成超过物理磁盘的IO极限;第四是虚拟机逃逸,一种应用,其中攻击者在允许操作系统与管理程序直接互动的虚拟机(VM)上运行代码;第五是安全管理,不同管理人员有不同的权限以及不同的配置等等。
高校网络安全工作存在四大误区:第一,网站普遍缺少24小时值班机制,只注重防护,不重视实时监测。第二,学校网站存在涉密涉敏信息,学生个人信息泄露问题严重。网站内控信息监测不足造成学生信息的泄露,最终导致类似于“徐玉玉”案件的发生。第三,学校网站色情、赌博链接泛滥,暗链、伪链、失效链接无人监管。第四,网站文字内容错误常被忽视,学校网站注重网络安全,忽视网站信息内容安全。学校网站是对外宣传的窗口,教书育人工作看似严谨,其实大量的文字错误、甚至严重错别字更是充斥在学校网站的信息中,甚至正式文件中。
据远江盛邦统计,在发生的300起攻击事件中,教育占55%,政府占43%。高校被黑客攻击的原因主要分为五种:1、业务众多,但分属不同,无权管理;2、私搭乱建现象严重,不以检测;3、责权利不好界定,“网络中心”、“信息中心”成为替罪羊;4、专业人员配置不足;5、退出运营的网站,无人监督管理,成为孤岛网站。
对高校网络信息安全的治理,有以下“四步走”方案:第一步,摸清现网Web数量;第二步,所有Web系统备案、评估后再允许对外服务;第三步,自动化运营平台,解决安全人员不足的问题;第四步,监控、防护、防篡改系统响应。
校园网络安全现状存在工作量大、人员匮乏、难以应对千变万化的攻击等特点,这些特点导致的后果就是大量校园网站被入侵、长期受控。有两点解决思路,一是智能化,可以节省人力,利用自动化处理大量工作,应对日新月异的攻击;二是和高水平学生合作。
教育网站面临极大的威胁,6030个教育网站(约10%)一攻即破,风暴中心检测教育行业有208394个漏洞,6030个网站受高中危漏洞影响。我国院校公开植入黑页的安全事件达319起发生在二级域名的安全事件就达318起,涉及主域名数量为122个。 由此可知,我国教育网站,尤其是大专院校网站的安全问题,多集中于该校网站的二级学院、部门子域名,且常发生顶级域名下所有二级域名被同时批量入侵的事件。依靠大数据,主管部门可以监测并展开“治乱”,并开展“堵漏”工作,实时监测跟踪通报、处置,通过建设安全防御中心,统一提升安全水平。
获奖名单
高校网络信息安全管理运维挑战赛,全国共设8个赛区,129支高校团队、511人报名,89支队伍参加理论赛,68支队伍参加实践赛,42支团队获奖。分别是:
华北区
一等奖 北京邮电大学
二等奖 北京化工大学、清华大学
三等奖 内蒙古工业大学、赛尔网络有限公司、北京交通大学海滨学院
华东区
一等奖 浙江大学
二等奖 华东理工大学、山东警察学院、东南大学
三等奖 中国海洋大学、中国人民解放军理工大学、浙江师范大学、中国石油大学(华东)、华东师范大学、同济大学、合肥工业大学、浙江警察学院、复旦大学、中国科学技术大学
东北区
一等奖 东北大学
二等奖 大连理工大学、哈尔滨工业大学
三等奖 辽宁工业大学、中国医科大学、沈阳农业大学
西北区
一等奖 西安交通大学
二等奖 西安石油大学
西南区
一等奖 电子科技大学
二等奖 西南石油大学、成都大学
三等奖 西南交通大学
华中区
一等奖 国防科学技术大学
二等奖 中南民族大学、湖南大学
三等奖 郑州科技学院
华南区
一等奖 厦门大学
二等奖 华南师范大学、中山大学
三等奖 福州大学、深圳大学、华南农业大学
全国区
一等奖 北京邮电大学
二等奖 浙江大学 东北大学
三等奖 华东理工大学、国防科学技术大学、山东警察学院、厦门大学