“截止2022年3月20日,‘挖礦’整治行動共核查出疑似‘挖礦’終端70多個,發(fā)現(xiàn)可疑終端后,‘挖礦’整治行動專項工作組會在第一時間聯(lián)系第一負責人,下發(fā)整改通知并協(xié)助完成處置整改。”
——西南交通大學(xué)
信息化與網(wǎng)絡(luò)管理處副處長 唐燕梅
關(guān)于西南交通大學(xué)(以下簡稱“西南交大”)的虛擬貨幣“挖礦”整治行動,要從一則校內(nèi)通知說起。
2022年1月,西南交大全體師生收到了一則來自該校信息化與網(wǎng)絡(luò)管理處發(fā)布的《關(guān)于清理校園網(wǎng)虛擬貨幣“挖礦”活動的通知》(以下簡稱《通知》)。《通知》中強調(diào),根據(jù)教育部、四川省教育廳相關(guān)文件要求,各單位要“堅決徹底整治虛擬貨幣‘挖礦’活動……”即日起學(xué)校將啟動校園網(wǎng)內(nèi)虛擬貨幣“挖礦”活動專項核查清理工作,并通過網(wǎng)絡(luò)安全監(jiān)測平臺對校園網(wǎng)進行全天不間斷監(jiān)測。
圖片來源:西南交通大學(xué)信息化與網(wǎng)絡(luò)管理處官網(wǎng)
其實早在去年9月,國家發(fā)改委等多部門就聯(lián)合發(fā)布了《關(guān)于整治虛擬貨幣“挖礦”活動的通知》,將“挖礦”正式列為淘汰類產(chǎn)業(yè)。在一系列強監(jiān)管政策和措施下,虛擬貨幣的規(guī)模化“挖礦”在國內(nèi)已被全面禁止,但個人“挖礦”與黑客“挖礦”行為依然存在。
此外,隨著黑產(chǎn)“挖礦”產(chǎn)業(yè)鏈的日益成熟,黑客變現(xiàn)難度降低。在巨大的利益驅(qū)動下,“挖礦”病毒成為黑客最常用的攻擊手法之一。“恰好學(xué)校數(shù)據(jù)中心存放著大量服務(wù)器、云主機、虛擬主機,教室辦公終端、學(xué)生終端數(shù)量龐大,這使得高校成為‘挖礦’病毒感染的首選目標之一。”西南交大信息化與網(wǎng)絡(luò)管理處(學(xué)校虛擬貨幣“挖礦”整治行動專項工作組牽頭部門)副處長唐燕梅表示。在此背景下,教育系統(tǒng)的“挖礦”問題也引起了各級主管單位的高度重視。
西南交大:五步走構(gòu)建立體式“挖礦”治理體系
“在已發(fā)現(xiàn)的‘挖礦’終端中,98%的終端都是因為感染‘挖礦’病毒或木馬引發(fā)的‘挖礦’行為。校園網(wǎng)用戶個人安全意識薄弱,為‘挖礦’病毒入侵提供了可乘之機。”唐燕梅表示,“挖礦”整治行動要從設(shè)立第一責任人制著手,保障“挖礦”治理從排查、處置到復(fù)測的全流程閉環(huán)處置。
具體可以分為以下五個步驟:
第一步:建立第一責任人制
西南交大認為,“挖礦”整治的第一步需要率先明確第一責任人。因此,信息化與網(wǎng)絡(luò)管理處牽頭組建了行動專項工作組,負責排查“挖礦”行為;學(xué)校二級單位/部門的安全員作為第一責任人,負責通知下發(fā)及整改。
第二步:制定“挖礦”處置流程
西南交大專門制定了《校內(nèi)“挖礦”活動處置流程》,根據(jù)服務(wù)器終端和個人電腦終端采取差異性的處置流程和措施。
第三步:廣泛宣傳取得最大限度配合
作為該行動的牽頭部門,信息化與網(wǎng)絡(luò)管理處陸續(xù)在學(xué)校官網(wǎng)及官方微信發(fā)布了一系列關(guān)于清理校園網(wǎng)虛擬貨幣“挖礦”行動的通知。要想獲得學(xué)校各單位和校園網(wǎng)用戶對“挖礦”整治行動的最大限度配合,首先要讓所有參與者了解“挖礦”木馬是什么,存在哪些危害。這樣他們才能從根源上理解學(xué)校大力整治“挖礦”的原因,并且積極地參與進來。
第四步:24小時不間斷監(jiān)測
西南交大通過網(wǎng)絡(luò)安全監(jiān)測平臺對校園網(wǎng)實施24小時不間斷監(jiān)測,核查學(xué)校內(nèi)的“挖礦”終端。同時,為了避免單一維度的漏判、誤判,學(xué)校還結(jié)合深信服提供的7*24小時MSS安全托管服務(wù)監(jiān)測預(yù)警,輔助“挖礦”整治。通過技術(shù)與服務(wù)相結(jié)合,學(xué)校完成了完整、準確的“挖礦”排查。根據(jù)每日排查結(jié)果,雙方共同編制“挖礦”終端清單發(fā)放到各二級單位/部門。
第五步:提供“挖礦”病毒整治工具支持
深信服還為西南交大提供了針對個人用戶的“挖礦”病毒掃描查殺工具和針對服務(wù)器的終端管理平臺EDR,幫助疑似“挖礦”終端用戶簡捷、快速地完成病毒處置。最后,再由信息化與網(wǎng)絡(luò)管理處審核每日“挖礦”終端清單用戶上報的整治結(jié)果,確認完成整改后才允許再次接入校園網(wǎng)。
圖片來源:西南交通大學(xué)信息化與網(wǎng)絡(luò)管理處官網(wǎng)
截止目前,西南交大核查出的所有“挖礦”或疑似“挖礦”終端均已完成整改。但由于“挖礦”病毒具有持續(xù)性和易復(fù)發(fā)性,"挖礦"整治行動的開展要堅持預(yù)防與整改并重,形成持續(xù)治理的社會合力和高壓態(tài)勢,不給虛擬貨幣違法違規(guī)行為留下任何可乘之機。