We're sunsetting PodQuest on 2025-07-28. Thank you for your support!
Export Podcast Subscriptions
cover of episode 北京大学网络安全主动防护体系建设

北京大学网络安全主动防护体系建设

2024/11/14
logo of podcast 网络安全AI说

网络安全AI说

Shownotes Transcript

选自公众号:教育数字化观察

原文链接:周昌令:北京大学网络安全主动防护体系建设)

1、背景

北京大学校园网的用户规模超过12万人。我们的网络安全防护规模也同样非常庞大,目前有1909个备案登记的网站,7406个服务器账号,涉及几十台网络安全设备。

2、主动防护体系建设思路

“建设好一个平台、常态化开展两项演练”。具体来说,一个平台是指安全综合管理平台,包括对所有网络安全人员、设备资产和安全事件等的统一管理;两项演练是指钓鱼演练网络安全攻防演练

2.1安全综合管理平台北京大学的安全综合管理平台是我们根据网络安全工作的实际需要,逐步自主开发的。平台的主要功能分为三大类:队伍建设、安全运维、信息资产

以网站新备案申请为例:申请人首先登录平台登记网站相关的信息,安全综合管理平台会与网上办事大厅流程联动,相关申请由院系主管领导审批后,在安全综合管理平台按流程一步一步进行网站扫描、源代码审计或灰盒审计、安装主机防护软件、人工渗透测试等过程,只有所有的安全检查都通过了,流程才能顺利进行。这就是我们网站备案的一个完整、系统化的过程。

通过安装插件、调用外部接口、使用自己开发的工具等方式,我们可以在平台上进行主动的安全扫描,拓展各种网络安全功能。在平台的信息资产部分,我们可以管理校园网的全部内容,包括所有对外开放的端口、提供的服务、其他运维平台、教育部和省市区相关部门的安全资产信息和安全事件,以及我们自己的扫描器等所有信息都会在平台上统一管理。

在平台的队伍建设和组织工作部分,因为校内网络安全的第一责任人往往是院系或机关单位的领导,书记或院长等,所以我们增加了体系化的组工信息。总的来说,我们希望通过安全综合管理平台,对安全防护工作实现全面、规范化的管理。

对于网站的登记备案,我们要求备案的网站只对校外开放的必要端口,严格限制远程登录、数据库等高风险端口的校外访问权限,加强端口级别的访问控制。同时,我们会在每年的9月份启动一项年度审核工作,重新检查所有的备案信息,对于那些长时间未使用或者访问量过低的网站,我们会建议网站管理员进行关闭和注销的流程

再以安全服务管理为例,我们的平台提供了安全扫描、人工渗透、源码审计等服务管理。我们会将来自安全公司的报告、事件以及我们自有产品的信息收集起来,统一上传到平台上。平台会自动进行识别,并向相关责任人发送邮件提醒。这种规范化的管理方式产生了非常明显的效果。2020年,我们加大了安全扫描的力度,发现的高风险漏洞的数量大幅上升,但在近两年的加大整改力度后,漏洞数量明显下降,网站资产的安全性得到了显著提升。

2.2钓鱼邮件演练网络安全工作的重要一环是提高师生的网络安全意识。其中一个广泛存在的问题,也是与每位校园网用户的财产安全直接相关的问题,是邮件安全。我们尝试了一些基于发信行为模式的检测方法,如考察用户的地理位置、使用习惯、作息规律等,以判断校内用户邮箱是否被盗,但对遏制钓鱼邮件的效果有限。总的来说,从源头上解决钓鱼邮件问题具有一定难度,因此我们强调宣传网络安全知识,提高师生的安全防范意识。

我们第一次进行钓鱼邮件演练是在2021年5月份。大致流程是采用Coremail邮件系统的后台功能,通过脚本直接批量发送邮件。每封邮件内容完全一样,为了保护隐私,在钓鱼链接里我们也不发送与记录用户密码等敏感信息。当然这会给分析统计带来困难,预期也会有用户对钓鱼服务器进行攻击。因此我们使用了商业的蜜罐系统来做钓鱼服务器,它有溯源识别功能,再加上与校园网IP信息关联可以粗略判断中招用户的身份。由于是第一家“吃螃蟹”的高校,尽管我们做了很多预案,实际上还是有一些意料之外的事情发生。例如我们虚构了一个不存在的“北京大学后勤管理处”,许多师生认为应该是总务处,结果给他们带来了很多麻烦。但由此也能看出,第一次钓鱼邮件演练还是有成效的,也获得了不错的反响。

在第一次演练结束后,我们想要对所有上当的用户进行统计分析,结果发现这个过程非常费时也不准确。因此在第二次演练时,我们使用专门的软件,给每人发的邮件里加上专属ID,这样可以直接对应到每个用户。同时,为了保护用户隐私,我们第二次演练同样也不发送用户密码信息。此外,我们也吸取了第一次的经验教训,设计了与计算中心业务相关的钓鱼邮件内容,避免影响其它部门的正常工作。第三次演练时,我们进一步增加了仿真度,不仅完全仿照了学校统一门户认证的界面,域名也只有一个字母不一样,“edu”的“e”下面多了一个点,也是钓鱼网站很常用的混淆方式。虽然仿真度非常高,但真正中招的比例却下降了,说明这三次演练是非常有成效的。在此之后,我们收到了许多好的反馈,包括北大的国际关系学院,有很多老师是国家智库成员,经常遭到网络攻击。他们对网络安全特别重视,特地申请加练,我们也为国关学院安排了一次专门的演练。在第四次钓鱼邮件演练中,我们还与北京大学心理与认知学院合作,根据不同人群设置了不同的钓鱼邮件内容,并增加了新的二维码模式的钓鱼邮件。这几次演练在全校师生间引起了很高的讨论度,达到了很好的宣传效果

2.3校内攻防演练攻防演练也是非常有意义的校级网络安全活动。最开始的时候,我们把扫描和渗透测试发现的业务系统高危漏洞通知各院系单位。但是,部分单位对高危漏洞的理解不足,因此在相关的网络安全工作中的积极性不高。为了解决这个问题,我们在2021年和2022年连续举办了两次实网攻防演练,在这些演练中,我们发现了若干重大的安全风险。每次演练我们都会召开网信工作会,并把结果向学校领导进行汇报。在听取汇报之后,学校领导非常重视,要求对应部门限期整改,并由督察室进行督办。相比于发漏洞整改通知,攻防演练实际地模拟了服务器被攻陷的情形,直观展示出漏洞可能造成的严重后果,更能引起大家的重视。经过两次演练,大家对网络安全的重视程度和安全意识都得到了显著提高。

在建设好平台和开展两项演练之外,我们也建立了一系列网络安全教育的机制。通过组织相关的讲座和沙龙活动,提高师生的安全意识和技能。同时,我们还积极组织参与各种安全比赛和各级攻防演练对抗活动,让学生团队参与到网络安全的日常工作中,提升网安队伍的整体实力。