姜开达 上海交通大学网络信息中心副主任
历史回顾
在教育系统开展网络安全工作存在很多困难,摊子大、情况复杂、各地区经济和安全意识发展不平衡,专业的安全人员和安全团队普遍缺位。目前,全国有59万家教育机构,高校2800多所,网站20多万,IPv4地址1300多万,IPv6也在大力发展,未来的地址数量会更多。网络空间安全一直处于动态发展的过程,不断会有新的问题出现。
漏洞报告全过程的梳理如图1所示。从漏洞发现者来看,很多白帽黑客通过主动发现和报送,把漏洞提交到各种漏洞报告平台,如360补天平台、国家信息安全漏洞共享平台CNVD等,也有部分提交到行业监管机构。对漏洞接收者来说,收到漏洞信息之后,则会采取相应措施。一方面按照惯例,部分漏洞报告平台尤其是全国性的漏洞报告平台,会把漏洞信息上报给国家互联网应急中心(CNCERT),进行漏洞备案。另一方面,如果漏洞关联到相应厂商,漏洞信息也会直接反馈到厂商和涉及单位。当漏洞接收者收到漏洞之后,会根据漏洞的归属和来源,最终落实到相应用户。
漏洞报告过程如果顺畅,很快就会得到反馈。但很多时候路径并不顺畅,从漏洞发现到传达至相关系统的开发管理人员,可能会经过漫长的周期。如果中间有某一链条断裂,甚至会导致很长时间内,漏洞一直留存并在互联网上扩散传播,可能造成更大范围的安全问题。
实际工作中,因为安全漏洞的可见性高,可验证统计并定级,很适合作为网络安全工作的重要抓手。近年来教育部正在推行漏洞通报体系建设,漏洞是作为安全量化的一项重要指标。对部属高校和各省市安全工作考核排行,但我们需要客观去看待这些指标,一方面不能仅仅依靠漏洞数量去评价一个单位安全工作的好坏;另一方面,当得知漏洞之后,漏洞的解决率以及它的平均解决时间,可以作为很好的考核指标。
对学校来说做好安全工作,首先要进行信息资产梳理,摸清学校资产现状,包括对IP地址、域名、信息系统等进行全面梳理,通过校园信息资产自动发现、指纹识别、漏扫联动掌握入网设备存量,周期扫描监测,及时发现安全漏洞等安全隐患,关注师生隐私泄露,主动发现有害、敏感信息,从而全面感知学校当前的安全态势,进入全生命周期的资产安全管理。
在过去的两年中,上海交通大学通过主动漏洞扫描,有组织地人工渗透测试,以及从第三方渠道获取的各种安全威胁信息,共获取2398个安全漏洞,目前98%都已经修复。在这2000多个漏洞中,来自外部通报的不足10%,对于大部分学校而言情况也都大同小异。实际上大量的攻击都是从内部发起,因此更需要学校积极主动地开展安全工作,把大量潜在的安全漏洞、安全威胁最大化地发掘出来。
从管理层面上,校内漏洞管理要平台化,量化考核;通过周期漏扫、人工测试、应急巡检、外部情报、自动验证、漏洞定级、邮件通知、流程平台,使安全工作的可见性得以提高。
从技术层面,很难找到一个万能的扫描器,既能较好解决系统主机扫描,又能理想解决Web应用类扫描,最终发现漏洞都需要一套组合拳,通过安全扫描器、人工渗透测试、第三方情报等,包括一系列商业的扫描引擎、开源的扫描引擎、黑盒测试、源代码的白盒测试等,多渠道发现安全漏洞。针对很多不能通过自动化扫描工具检测出的安全漏洞,要进行人工测试,有条件的学校可以组织自己的力量,包括教师、学生团队,也可以购买一些安全服务,发现更多自动化扫描所不能发现的问题。当接收的安全漏洞信息非常多的情况下,需要进行验证,确定哪些信息是一直存在的,还要对漏洞、安全威胁进行定级,确定高、中、低等级。
对于特别严重的漏洞,需要立即响应,比如在防火墙上立即阻断外部访问;对一些低危漏洞,可以给一个较长的响应周期,通知相应的用户进行升级修复。在这个过程中,还可以通过技术手段如自动化的邮件通知,通过一站式流程平台把所有的信息传递到各个部门。
从制度层面,在信息化项目立项时,需明确作为学校的信息化主管部门,要评估各种项目的安全风险并给出整改建议,在项目验收、系统上线之前,对项目进行安全性测试。在应用上线之后,很多新的漏洞也会不断曝出,项目版本的更新迭代,也可能会引入新的安全漏洞,对这些系统的追踪、安全测试应是一个长期持续和周期性的过程,也要明确学校的具体管理部门来承担相关责任。同时,制定安全漏洞和事件管理规定,使得安全事件的处理有理有据。
流程平台承载安全事件流转(如图2所示),安全工作要依靠流程而不是靠人来督促,责任落实到人,权责明确。通过纳入学校的一站式服务流程平台,在院系网站负责人、院系领导间进行层层流转,让所有人都加入到安全工作中,让大家重视安全工作,最终提高所有人员的安全意识。
图2 流程平台承载安全事件流转
当前问题
通过对2017~2018两年的漏洞统计,根据国家互联网应急中心、360补天平台以及第三方漏洞报告平台上报的教育系统安全漏洞数量可以看出,2017年漏洞报告的数量很大,但从2018年开始漏洞数量已经明显下降,可以反映出,通过两年的努力,大多数学校的安全状况已经得到了改善,新漏洞的发现速度比老漏洞的发现速度已经明显下降了很多。
从漏洞的类别来看,主要包括SQL注入、弱口令、信息泄露以及一些其他漏洞。SQL注入多年来一直排在首位,对攻击者来说,可以通过很多自动化的工具,去完成对数据的拖库以及一些数据的篡改。在弱口令方面,不仅包含系统应用层、后台弱口令,还有很多数据库管理账号也存在弱口令,这些都可能会引发数据泄露事件。还有敏感信息泄露、源代码泄露、网站打包文件等,很多逻辑漏洞很难通过自动化扫描器发现,需要由人工发现。另外还有框架漏洞,使用Java开发框架的一般都是较重要的系统。这些问题都比较隐蔽,而且很多并不是应用本身而是来自框架的漏洞,需要及时关注。
2017年我们尝试建立了教育行业的漏洞报告平台SRC,经过了2017年全年漏洞报告的洗礼,到2018年,可以看到每月漏洞报告的数量已经趋于平稳,大概在几十个到几百个量级,也说明大量的高校通过最近一两年的努力,对学校比较明显可见的安全漏洞都进行了有效抑制。
对漏洞要进行分级,分清哪些是高危、中危,然后进行相应的处理,明确相应的处理周期。高危和严重漏洞优先处理,低危漏洞给定处理时间。很多漏洞需要一系列前提条件,并不是有漏洞就一定会被利用,可能需要和其他一些条件组合才能进行成功利用。
漏洞发现的机制。对于处于不同发展阶段的学校,大家对待漏洞的态度也各不相同,有的学校还停留在不断被动接受上级或其他渠道报告过来的漏洞通告,进行被动应急响应;有的可能主动组织学校力量(老师和同学),进行各种扫描,主动开展漏洞挖掘;有的采购相应的安全服务,帮助学校发现更多的安全隐患。同时,我们在教育漏洞报告平台上提供奖励,包括提供证书、纪念品等鼓励大家发现漏洞,也鼓励各校为SRC提供各类纪念礼品。
授权管理机制的完善。首先,正面引导,学校和监管机构对应授权。《网络安全法》颁布后,从未来的发展看,需要对漏洞的挖掘进行正面的授权。一方面,学校可在有限的范围内对有限的机构进行授权;另一方面,对于监管机构,比如教育行政监管机构,可以组织对所在地区的学校进行相应的安全测试、检查,在较密集的时间内获得学校的整体安全状况。其次,安全测试全过程要有可追踪的安全审计。在整个安全自动化测试时,包括人工测试阶段,需要有可追踪的安全审计手段,把所有攻击、入侵、扫描都能够完整记录下来。最后需要负责任的定向安全披露机制,和教软厂商的对接。对漏洞管理者来说,应负责任定向披露漏洞,比如某个漏洞归属某学校,该漏洞只能向该学校披露,同时按照相应的监管机构要求向国家的管理部门进行上报。
通过多年经验我们发现,很多安全问题具有全局性,存在大量通用类型的漏洞,比如某个学校使用的某学生管理系统出现了一个漏洞,这个漏洞往往同时出现在全国其他地区成百上千的学校中,需要有通报协商机制,把漏洞告知给开发软件的教育软件厂商,通过管理层面进行大范围的通知和修复。但实际上,很多教育软件厂商对这些软件安全重视程度不够,只是告知后才被动进行修复,很多厂商掌握的漏洞并没有广泛通知给所有用户,所以未来需要更多学校携手给这些教软厂商更多的压力,让他们进行更加主动的开展安全工作。
未来发展
积极主动筛查安全漏洞。凡事预则立,不预则废。安全工作需要积极主动作为,安全漏洞始终并且持续存在。发现、修复、验证,需要建立一个动态的全生命周期漏洞管理过程,对发现的所有漏洞进行定期的探测复查,满足全程可控管理。其次,通过相应的管理机制,在信息化项目立项、验收以及日常运维时,建立一整套安全保障机制。虽然安全漏洞永远抓不完,但是工作持续开展并坚持下去,在一些重点保障时期,针对可能出现的问题、攻击者可能会利用的方式等都已有掌握,进行普查时把潜在的风险尽可能消除,安全就会大大提升一个等级。
最大化安全威胁情报共享。我们计划今年推进建设教育行业安全威胁情报共享机制。对学校来说,海量、分散的威胁和告警日志信息如果没有进行梳理,它的价值非常有限,需要有一个能够汇聚所有数据并对数据进行有效清洗、验证,最终把这些信息通过各种可订阅的方式定向传递给学校,这样安全威胁情报才会有实际使用的价值。因此,希望更多的高校能够联合起来,形成数据共享机制,把更多的安全风险、安全情报定向、有效传递给学校;在共享机制形成中,要获得也要付出,不同发展阶段的学校都可以做出贡献。很多学校在加入过程需要共享一些信息,比如提供学校的安全设备日志等,这样可以在更大范围分析数据,最终还是回馈给学校。
走向云安全是趋势。很多学校都开始建设各自的云计算平台,从未来发展趋势来看,应用上云,底层基础设施统一安全管理运维,可以部分解决网络操作系统层面的安全隐患,但是万能的云也不能全部解决应用安全和数据安全。
回顾整个安全工作,关注漏洞是安全工作的初级阶段。如果一直停留在对漏洞的处置阶段,安全工作将很难向前发展。现阶段,确实漏洞仍然是推动工作的抓手,通过主动组织、第三方服务或其他渠道,投入足够的资源,在有限的时间内可以解决大部分漏洞问题;很多学校通过了网络安全等级保护,在关键信息基础设施的建设中做了很多合规性的要求,但是这些安全工作即便都完成,实际上对学校核心系统的安全保护还是远远不够。我们还要思考更多,需要重构整个学校的安全保障体系,可能要如企业安全一样,更多考虑业务安全、数据安全、邮件安全以及各种系统的安全,这是未来安全工作的下一步工作重心。学校需要对安全工作进行梳理,未来应分期分批进行安全建设,部分是学校可独立完成的,部分是可以和其他学校、机构、厂商一起合作完成,一个学校很难孤立把安全建设好,需要通过合作共享的方式,共同推动整个高校安全工作向前迈进一大步。
(本文根据上海交通大学网络信息中心副主任姜开达在"2018年高校网络信息安全研讨会"上的演讲整理,整理:杨燕婷)
(来源:《中国教育网络》2019年2-3月合刊)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
