延遲開學、網上授課、封閉管理、線上畢業……從2020年新冠肺炎疫情的爆發開始,眾多高校的教育教學工作遭到了巨大影響。
然而,嘉陵江畔這所傳承百年的高校卻依舊“巴適的板”。在極短時間內,重慶大學上線了一大批覆蓋教學、校園生活的“互聯網+防疫”應用,以“快”保障了教學、辦公、科研、生活的有序進行:
新上線應用46個,年度訪問量高達246萬人次。
新增平臺集成業務27個,每日共享數據吞吐量達到35億。
新增開放API接口58個,全年API接口調用次數超過8000萬次。
與“快”并行的,是業務系統運行的“穩”。
疫情之下,針對高校的APT攻擊越發頻繁,大量“零接觸”校園業務的新增也衍生出0day漏洞、通用軟件漏洞、弱口令等安全風險,在防疫和新業務運維占據大量人員精力的情況下,為何還能維持住所有業務系統的安全穩定運行,沒有造成過重大的網絡安全損失?
重慶大學顯然早有準備。
主動式安全運營
實現技術、管理、運營、保障的有機融合
重慶大學各單位信息系統建設管理方式復雜多樣,且信息資產相關業務人員變動頻繁。復雜的組織架構加之人員流動、業務頻繁變更導致影子資產、高風險端口、0day漏洞、惡意變種軟件等風險不斷累積。
此外,IT資產底數不清晰、應急響應流程缺乏、安全保障體系不全等安全挑戰也成為重慶大學推進教育數字化戰略行動的關鍵掣肘。
經過多次調研,重慶大學信息化辦意識到:僅僅依靠傳統的殺病毒、防火墻、入侵檢測“老三樣”已經難以應對網絡外部攻擊。作為校園網絡安全建設的統籌者,如何構建集“防御、檢測、響應”于一體的防御體系,實現由被動防御轉為主動出擊?
從頂層規劃上,設計“技術+管理+運營+保障”四位一體的安全體系,對重慶大學來說是一次有益的嘗試。
“基于此,我們以信息資產為核心,引入深信服安全托管服務MSS,重新打通‘云端專家—信息系化辦—相關單位’之間的協作流程,通過主動式安全運營的方式開展‘資產、風險、威脅、事件、運維’的安全管理工作。”重慶大學信息化辦高級工程師涂光友介紹道。
日常工作中,深信服云端安全專家對重慶大學校內業務進行7*24小時持續監測,并在發現異常情況時第一時間發布預警,同步至重慶大學信息化辦,以此彌補專職網絡安全人員編制少的短板。
在收到預警后,重慶大學信息化辦會對安全威脅、事件進行決策處置,結合云端沉淀的安全知識庫、自動化劇本,匹配內部規范流程推動相關單位工作;學校各單位在信息化辦和云端運營專家提出的建議下,有序開展風險處置工作,極大地提升了安全能力和處置效率。
專項治理 快速實現挖*病毒的“動態清零”
在建立主動式安全運營體系的同時,重慶大學信息化辦也注意到了挖*病毒引發的種種危害。
現代挖*病毒變種速度快、往往需要多設備聯動分析才能檢測到入侵動作、定位根因。在感染終端后,挖*病毒通常會通過定時任務、駐留后門等手法長期隱藏,查殺進程無法徹底拔除該病毒。重慶大學內部資產多,網絡架構復雜且終端分布廣泛更是給挖*病毒創造了絕佳的隱藏條件。
在深信服的專業支持下,重慶大學從主動式安全運營的思路出發,針對挖*病毒開展了“事前檢測預警、事中攔截阻斷、事后處置整改”的深度治理行動,效果顯著。
響應快
借助本地設備結合深信服云端安全托管服務,從情報+挖*協議角度完整覆蓋明文、加密挖*多種場景,重慶大學對“挖*”流量進行準確率極高的多維交叉檢測和一鍵封堵。
通過云端專家全天候的監測預警,重慶大學信息化辦能夠快速完成對挖*病毒的快速響應。
誤報少
重慶大學利用安全DNS云服務針對域名類的礦池進行識別與封堵,出口通過下一代防火墻在兩校區的出口進行識別封堵礦池IP,結合線上人工分析,精準研判。
效果佳
基于云端聯動下一代防火墻主動探測不斷更新的挖*情報庫,重慶大學信息化辦快速完成終端側的感染排查和礦池IP的封堵,成功切斷了大部分挖*流量外聯主機的行為。
同時,通過校園認證系統的用戶信息同步,重慶大學信息化辦和云端專家可快速定位至風險終端/主機,實現實名制反查,并利用終端EDR進行精準查殺。針對新變種挖*病毒或反復查殺不徹底的情況,重慶大學信息化辦、云端專家資源池、線下安全專家三方聯動“會診”。
如今,針對目前已知的所有失陷主機,重慶大學完成了所有閉環處置。
成果檢驗 大型攻防演練靶標系統“0失守”
“從通知到正式開始,我們僅有四天準備時間。經過前段時間的安全運營,我們降低了內部的安全風險,處于一個較為健康的網絡環境。這次攻防演練是由國內最頂尖的網絡安全專家充當攻擊隊。學校和信息化辦積極協調資源,充分準備,迎接考驗,力求做好防守工作。”——重慶大學信息化辦高級工程師涂光友
在安全運營體系有效運轉起來后,重慶大學馬上迎來一次“大考”——行業級的大型攻防演練。
只有4天準備時間!形勢緊迫,不容懈怠。重慶大學圍繞“工作分工、資產梳理、設備加固、組織架構”四大方面開展了專項行動。
工作分工
明確以專業安全服務公司(深信服)牽頭統籌演習工作,迅速召開相關責任單位會議,部署工作任務。
資產梳理
針對已梳理了資產再次進行脆弱性收集。同時,針對靶標系統進行深入的安全檢查,做好迎戰準備。
設備加固
快速協調安全設備加固現網已知薄弱環節,重點投入安全廠商技術人員進行設備的策略調優。
組織架構
建立工作小組,各司其職,明確分工,緊密合作,與二級單位構建起統一戰線,打好本次演習攻堅戰。
在演習期間,重慶大學充分利用云端專家和威脅情報庫的能力,結合信息化辦、線下專業安服工程師的配合,主動捕捉、阻擋到白天、黑夜的一次次攻擊,及時進行封堵和加固。共計分析安全日志68萬條,排查安全威脅6起,應急處置安全事件3次,最終所有重點業務系統均經受住了攻防考驗!
正如重慶大學校領導在學校智慧校園建設研討會上做出的重要指示:
從數字化到信息化,信息化到智能化最終實現智慧化,是一條很長的路,只有讓專業的人干專業的活,才能讓這條路走的更順暢、更穩妥。
作為智慧校園建設的關鍵工作,網絡安全建設亦需要時間耕耘、專業人才加持。未來,重慶大學將繼續攜手深信服這一扎根教育行業20年,并且在網絡安全領域有著深厚技術積累的企業,一起探索一條“持續有效”的網絡安全運營新路徑,以產生更多新可能。
