歷史回顧

在教育系統(tǒng)開展網(wǎng)絡(luò)安全工作存在很多困難，攤子大、情況復(fù)雜、各地區(qū)經(jīng)濟(jì)和安全意識(shí)發(fā)展不平衡，專業(yè)的安全人員和安全團(tuán)隊(duì)普遍缺位。目前，全國有59萬家教育機(jī)構(gòu)，高校2800多所，網(wǎng)站20多萬，IPv4地址1300多萬，IPv6也在大力發(fā)展，未來的地址數(shù)量會(huì)更多。網(wǎng)絡(luò)空間安全一直處于動(dòng)態(tài)發(fā)展的過程，不斷會(huì)有新的問題出現(xiàn)。

漏洞報(bào)告全過程的梳理如圖1所示。從漏洞發(fā)現(xiàn)者來看，很多白帽黑客通過主動(dòng)發(fā)現(xiàn)和報(bào)送，把漏洞提交到各種漏洞報(bào)告平臺(tái)，如360補(bǔ)天平臺(tái)、國家信息安全漏洞共享平臺(tái)CNVD等，也有部分提交到行業(yè)監(jiān)管機(jī)構(gòu)。對(duì)漏洞接收者來說，收到漏洞信息之后，則會(huì)采取相應(yīng)措施。一方面按照慣例，部分漏洞報(bào)告平臺(tái)尤其是全國性的漏洞報(bào)告平臺(tái)，會(huì)把漏洞信息上報(bào)給國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT），進(jìn)行漏洞備案。另一方面，如果漏洞關(guān)聯(lián)到相應(yīng)廠商，漏洞信息也會(huì)直接反饋到廠商和涉及單位。當(dāng)漏洞接收者收到漏洞之后，會(huì)根據(jù)漏洞的歸屬和來源，最終落實(shí)到相應(yīng)用戶。

漏洞報(bào)告過程如果順暢，很快就會(huì)得到反饋。但很多時(shí)候路徑并不順暢，從漏洞發(fā)現(xiàn)到傳達(dá)至相關(guān)系統(tǒng)的開發(fā)管理人員，可能會(huì)經(jīng)過漫長的周期。如果中間有某一鏈條斷裂，甚至?xí)?dǎo)致很長時(shí)間內(nèi)，漏洞一直留存并在互聯(lián)網(wǎng)上擴(kuò)散傳播，可能造成更大范圍的安全問題。

圖1 漏洞報(bào)告流程

實(shí)際工作中，因?yàn)榘踩┒吹目梢娦愿?，可?yàn)證統(tǒng)計(jì)并定級(jí)，很適合作為網(wǎng)絡(luò)安全工作的重要抓手。近年來教育部正在推行漏洞通報(bào)體系建設(shè)，漏洞是作為安全量化的一項(xiàng)重要指標(biāo)。對(duì)部屬高校和各省市安全工作考核排行，但我們需要客觀去看待這些指標(biāo)，一方面不能僅僅依靠漏洞數(shù)量去評(píng)價(jià)一個(gè)單位安全工作的好壞；另一方面，當(dāng)?shù)弥┒粗?，漏洞的解決率以及它的平均解決時(shí)間，可以作為很好的考核指標(biāo)。

對(duì)學(xué)校來說做好安全工作，首先要進(jìn)行信息資產(chǎn)梳理，摸清學(xué)校資產(chǎn)現(xiàn)狀，包括對(duì)IP地址、域名、信息系統(tǒng)等進(jìn)行全面梳理，通過校園信息資產(chǎn)自動(dòng)發(fā)現(xiàn)、指紋識(shí)別、漏掃聯(lián)動(dòng)掌握入網(wǎng)設(shè)備存量，周期掃描監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)安全漏洞等安全隱患，關(guān)注師生隱私泄露，主動(dòng)發(fā)現(xiàn)有害、敏感信息，從而全面感知學(xué)校當(dāng)前的安全態(tài)勢(shì)，進(jìn)入全生命周期的資產(chǎn)安全管理。

在過去的兩年中，上海交通大學(xué)通過主動(dòng)漏洞掃描，有組織地人工滲透測(cè)試，以及從第三方渠道獲取的各種安全威脅信息，共獲取2398個(gè)安全漏洞，目前98%都已經(jīng)修復(fù)。在這2000多個(gè)漏洞中，來自外部通報(bào)的不足10%，對(duì)于大部分學(xué)校而言情況也都大同小異。實(shí)際上大量的攻擊都是從內(nèi)部發(fā)起，因此更需要學(xué)校積極主動(dòng)地開展安全工作，把大量潛在的安全漏洞、安全威脅最大化地發(fā)掘出來。

從管理層面上，校內(nèi)漏洞管理要平臺(tái)化，量化考核；通過周期漏掃、人工測(cè)試、應(yīng)急巡檢、外部情報(bào)、自動(dòng)驗(yàn)證、漏洞定級(jí)、郵件通知、流程平臺(tái)，使安全工作的可見性得以提高。

從技術(shù)層面，很難找到一個(gè)萬能的掃描器，既能較好解決系統(tǒng)主機(jī)掃描，又能理想解決Web應(yīng)用類掃描，最終發(fā)現(xiàn)漏洞都需要一套組合拳，通過安全掃描器、人工滲透測(cè)試、第三方情報(bào)等，包括一系列商業(yè)的掃描引擎、開源的掃描引擎、黑盒測(cè)試、源代碼的白盒測(cè)試等，多渠道發(fā)現(xiàn)安全漏洞。針對(duì)很多不能通過自動(dòng)化掃描工具檢測(cè)出的安全漏洞，要進(jìn)行人工測(cè)試，有條件的學(xué)?？梢越M織自己的力量，包括教師、學(xué)生團(tuán)隊(duì)，也可以購買一些安全服務(wù)，發(fā)現(xiàn)更多自動(dòng)化掃描所不能發(fā)現(xiàn)的問題。當(dāng)接收的安全漏洞信息非常多的情況下，需要進(jìn)行驗(yàn)證，確定哪些信息是一直存在的，還要對(duì)漏洞、安全威脅進(jìn)行定級(jí)，確定高、中、低等級(jí)。

對(duì)于特別嚴(yán)重的漏洞，需要立即響應(yīng)，比如在防火墻上立即阻斷外部訪問；對(duì)一些低危漏洞，可以給一個(gè)較長的響應(yīng)周期，通知相應(yīng)的用戶進(jìn)行升級(jí)修復(fù)。在這個(gè)過程中，還可以通過技術(shù)手段如自動(dòng)化的郵件通知，通過一站式流程平臺(tái)把所有的信息傳遞到各個(gè)部門。

從制度層面，在信息化項(xiàng)目立項(xiàng)時(shí)，需明確作為學(xué)校的信息化主管部門，要評(píng)估各種項(xiàng)目的安全風(fēng)險(xiǎn)并給出整改建議，在項(xiàng)目驗(yàn)收、系統(tǒng)上線之前，對(duì)項(xiàng)目進(jìn)行安全性測(cè)試。在應(yīng)用上線之后，很多新的漏洞也會(huì)不斷曝出，項(xiàng)目版本的更新迭代，也可能會(huì)引入新的安全漏洞，對(duì)這些系統(tǒng)的追蹤、安全測(cè)試應(yīng)是一個(gè)長期持續(xù)和周期性的過程，也要明確學(xué)校的具體管理部門來承擔(dān)相關(guān)責(zé)任。 同時(shí)，制定安全漏洞和事件管理規(guī)定，使得安全事件的處理有理有據(jù)。

流程平臺(tái)承載安全事件流轉(zhuǎn)（如圖2所示），安全工作要依靠流程而不是靠人來督促，責(zé)任落實(shí)到人，權(quán)責(zé)明確。通過納入學(xué)校的一站式服務(wù)流程平臺(tái)，在院系網(wǎng)站負(fù)責(zé)人、院系領(lǐng)導(dǎo)間進(jìn)行層層流轉(zhuǎn)，讓所有人都加入到安全工作中，讓大家重視安全工作，最終提高所有人員的安全意識(shí)。

當(dāng)前問題

通過對(duì)2017～2018兩年的漏洞統(tǒng)計(jì)，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心、360補(bǔ)天平臺(tái)以及第三方漏洞報(bào)告平臺(tái)上報(bào)的教育系統(tǒng)安全漏洞數(shù)量可以看出，2017年漏洞報(bào)告的數(shù)量很大，但從2018年開始漏洞數(shù)量已經(jīng)明顯下降，可以反映出，通過兩年的努力，大多數(shù)學(xué)校的安全狀況已經(jīng)得到了改善，新漏洞的發(fā)現(xiàn)速度比老漏洞的發(fā)現(xiàn)速度已經(jīng)明顯下降了很多。

從漏洞的類別來看，主要包括SQL注入、弱口令、信息泄露以及一些其他漏洞。SQL注入多年來一直排在首位，對(duì)攻擊者來說，可以通過很多自動(dòng)化的工具，去完成對(duì)數(shù)據(jù)的拖庫以及一些數(shù)據(jù)的篡改。在弱口令方面，不僅包含系統(tǒng)應(yīng)用層、后臺(tái)弱口令，還有很多數(shù)據(jù)庫管理賬號(hào)也存在弱口令，這些都可能會(huì)引發(fā)數(shù)據(jù)泄露事件。還有敏感信息泄露、源代碼泄露、網(wǎng)站打包文件等，很多邏輯漏洞很難通過自動(dòng)化掃描器發(fā)現(xiàn)，需要由人工發(fā)現(xiàn)。另外還有框架漏洞，使用Java開發(fā)框架的一般都是較重要的系統(tǒng)。這些問題都比較隱蔽，而且很多并不是應(yīng)用本身而是來自框架的漏洞，需要及時(shí)關(guān)注。

圖2 流程平臺(tái)承載安全事件流轉(zhuǎn)

2017年我們嘗試建立了教育行業(yè)的漏洞報(bào)告平臺(tái)SRC，經(jīng)過了2017年全年漏洞報(bào)告的洗禮，到2018年，可以看到每月漏洞報(bào)告的數(shù)量已經(jīng)趨于平穩(wěn)，大概在幾十個(gè)到幾百個(gè)量級(jí)，也說明大量的高校通過最近一兩年的努力，對(duì)學(xué)校比較明顯可見的安全漏洞都進(jìn)行了有效抑制。

對(duì)漏洞要進(jìn)行分級(jí)，分清哪些是高危、中危，然后進(jìn)行相應(yīng)的處理，明確相應(yīng)的處理周期。高危和嚴(yán)重漏洞優(yōu)先處理，低危漏洞給定處理時(shí)間。很多漏洞需要一系列前提條件，并不是有漏洞就一定會(huì)被利用，可能需要和其他一些條件組合才能進(jìn)行成功利用。

漏洞發(fā)現(xiàn)的機(jī)制。對(duì)于處于不同發(fā)展階段的學(xué)校，大家對(duì)待漏洞的態(tài)度也各不相同，有的學(xué)校還停留在不斷被動(dòng)接受上級(jí)或其他渠道報(bào)告過來的漏洞通告，進(jìn)行被動(dòng)應(yīng)急響應(yīng)；有的可能主動(dòng)組織學(xué)校力量（老師和同學(xué)），進(jìn)行各種掃描，主動(dòng)開展漏洞挖掘；有的采購相應(yīng)的安全服務(wù)，幫助學(xué)校發(fā)現(xiàn)更多的安全隱患。同時(shí)，我們?cè)诮逃┒磮?bào)告平臺(tái)上提供獎(jiǎng)勵(lì)，包括提供證書、紀(jì)念品等鼓勵(lì)大家發(fā)現(xiàn)漏洞，也鼓勵(lì)各校為SRC提供各類紀(jì)念禮品。

授權(quán)管理機(jī)制的完善。首先，正面引導(dǎo)，學(xué)校和監(jiān)管機(jī)構(gòu)對(duì)應(yīng)授權(quán)?！毒W(wǎng)絡(luò)安全法》頒布后，從未來的發(fā)展看，需要對(duì)漏洞的挖掘進(jìn)行正面的授權(quán)。一方面，學(xué)?？稍谟邢薜姆秶鷥?nèi)對(duì)有限的機(jī)構(gòu)進(jìn)行授權(quán)；另一方面，對(duì)于監(jiān)管機(jī)構(gòu)，比如教育行政監(jiān)管機(jī)構(gòu)，可以組織對(duì)所在地區(qū)的學(xué)校進(jìn)行相應(yīng)的安全測(cè)試、檢查，在較密集的時(shí)間內(nèi)獲得學(xué)校的整體安全狀況。其次，安全測(cè)試全過程要有可追蹤的安全審計(jì)。在整個(gè)安全自動(dòng)化測(cè)試時(shí)，包括人工測(cè)試階段，需要有可追蹤的安全審計(jì)手段，把所有攻擊、入侵、掃描都能夠完整記錄下來。最后需要負(fù)責(zé)任的定向安全披露機(jī)制，和教軟廠商的對(duì)接。對(duì)漏洞管理者來說，應(yīng)負(fù)責(zé)任定向披露漏洞，比如某個(gè)漏洞歸屬某學(xué)校，該漏洞只能向該學(xué)校披露，同時(shí)按照相應(yīng)的監(jiān)管機(jī)構(gòu)要求向國家的管理部門進(jìn)行上報(bào)。

通過多年經(jīng)驗(yàn)我們發(fā)現(xiàn)，很多安全問題具有全局性，存在大量通用類型的漏洞，比如某個(gè)學(xué)校使用的某學(xué)生管理系統(tǒng)出現(xiàn)了一個(gè)漏洞，這個(gè)漏洞往往同時(shí)出現(xiàn)在全國其他地區(qū)成百上千的學(xué)校中，需要有通報(bào)協(xié)商機(jī)制，把漏洞告知給開發(fā)軟件的教育軟件廠商，通過管理層面進(jìn)行大范圍的通知和修復(fù)。但實(shí)際上，很多教育軟件廠商對(duì)這些軟件安全重視程度不夠，只是告知后才被動(dòng)進(jìn)行修復(fù)，很多廠商掌握的漏洞并沒有廣泛通知給所有用戶，所以未來需要更多學(xué)校攜手給這些教軟廠商更多的壓力，讓他們進(jìn)行更加主動(dòng)的開展安全工作。

未來發(fā)展

積極主動(dòng)篩查安全漏洞。凡事預(yù)則立，不預(yù)則廢。安全工作需要積極主動(dòng)作為，安全漏洞始終并且持續(xù)存在。發(fā)現(xiàn)、修復(fù)、驗(yàn)證，需要建立一個(gè)動(dòng)態(tài)的全生命周期漏洞管理過程，對(duì)發(fā)現(xiàn)的所有漏洞進(jìn)行定期的探測(cè)復(fù)查，滿足全程可控管理。其次，通過相應(yīng)的管理機(jī)制，在信息化項(xiàng)目立項(xiàng)、驗(yàn)收以及日常運(yùn)維時(shí)，建立一整套安全保障機(jī)制。雖然安全漏洞永遠(yuǎn)抓不完，但是工作持續(xù)開展并堅(jiān)持下去，在一些重點(diǎn)保障時(shí)期，針對(duì)可能出現(xiàn)的問題、攻擊者可能會(huì)利用的方式等都已有掌握，進(jìn)行普查時(shí)把潛在的風(fēng)險(xiǎn)盡可能消除，安全就會(huì)大大提升一個(gè)等級(jí)。

最大化安全威脅情報(bào)共享。我們計(jì)劃今年推進(jìn)建設(shè)教育行業(yè)安全威脅情報(bào)共享機(jī)制。對(duì)學(xué)校來說，海量、分散的威脅和告警日志信息如果沒有進(jìn)行梳理，它的價(jià)值非常有限，需要有一個(gè)能夠匯聚所有數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行有效清洗、驗(yàn)證，最終把這些信息通過各種可訂閱的方式定向傳遞給學(xué)校，這樣安全威脅情報(bào)才會(huì)有實(shí)際使用的價(jià)值。因此，希望更多的高校能夠聯(lián)合起來，形成數(shù)據(jù)共享機(jī)制，把更多的安全風(fēng)險(xiǎn)、安全情報(bào)定向、有效傳遞給學(xué)校；在共享機(jī)制形成中，要獲得也要付出，不同發(fā)展階段的學(xué)校都可以做出貢獻(xiàn)。很多學(xué)校在加入過程需要共享一些信息，比如提供學(xué)校的安全設(shè)備日志等，這樣可以在更大范圍分析數(shù)據(jù)，最終還是回饋給學(xué)校。

走向云安全是趨勢(shì)。很多學(xué)校都開始建設(shè)各自的云計(jì)算平臺(tái)，從未來發(fā)展趨勢(shì)來看，應(yīng)用上云，底層基礎(chǔ)設(shè)施統(tǒng)一安全管理運(yùn)維，可以部分解決網(wǎng)絡(luò)操作系統(tǒng)層面的安全隱患，但是萬能的云也不能全部解決應(yīng)用安全和數(shù)據(jù)安全。

回顧整個(gè)安全工作，關(guān)注漏洞是安全工作的初級(jí)階段。如果一直停留在對(duì)漏洞的處置階段，安全工作將很難向前發(fā)展。現(xiàn)階段，確實(shí)漏洞仍然是推動(dòng)工作的抓手，通過主動(dòng)組織、第三方服務(wù)或其他渠道，投入足夠的資源，在有限的時(shí)間內(nèi)可以解決大部分漏洞問題；很多學(xué)校通過了網(wǎng)絡(luò)安全等級(jí)保護(hù)，在關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)中做了很多合規(guī)性的要求，但是這些安全工作即便都完成，實(shí)際上對(duì)學(xué)校核心系統(tǒng)的安全保護(hù)還是遠(yuǎn)遠(yuǎn)不夠。我們還要思考更多，需要重構(gòu)整個(gè)學(xué)校的安全保障體系，可能要如企業(yè)安全一樣，更多考慮業(yè)務(wù)安全、數(shù)據(jù)安全、郵件安全以及各種系統(tǒng)的安全，這是未來安全工作的下一步工作重心。學(xué)校需要對(duì)安全工作進(jìn)行梳理，未來應(yīng)分期分批進(jìn)行安全建設(shè)，部分是學(xué)校可獨(dú)立完成的，部分是可以和其他學(xué)校、機(jī)構(gòu)、廠商一起合作完成，一個(gè)學(xué)校很難孤立把安全建設(shè)好，需要通過合作共享的方式，共同推動(dòng)整個(gè)高校安全工作向前邁進(jìn)一大步。