(以下内容根据北京大学计算中心周昌令老师在第二期北京高校信息化技术沙龙中的主题演讲整理而成)
我从2003年开始在北京大学计算中心任职,之前和尚群老师等同事一起搭档,主要做网络运维方面的工作,直到2019年才转到了网络安全室。今天,我想分享一些我在网络安全工作中的经验和感悟。
尚群老师在第一期技术沙龙中介绍过,北京大学校园网的用户规模超过12万人。我们的网络安全防护规模也同样非常庞大,目前有1909个备案登记的网站,7406个服务器账号,涉及几十台网络安全设备。
校园网面临的网络安全挑战
我们校园网面临的网络安全挑战,最主要有三个方面:
首先,如果采用被动的安全防护措施,风险是不可预见的。新的漏洞随着技术的发展不断被发现,例如Apache、Log4j2等,这些漏洞的影响范围广,危害严重。网络安全人员只能采取紧急应对措施,试图将损失降至最低。因此,网络安全问题无法从技术的根源上得到彻底解决。
其次,校园网的网站和信息系统数量众多,安全防护的难度很大。在实际管理中,非常容易有疏漏的地方。同时,学校网络安全的重要保障时间节点也非常多,包括特定节日、活动、会议、高考等,这都增加了防护工作的压力。
第三,安全意识教育和安全队伍建设方面也面临很多困难。网络安全不仅是信息部门的事情,还需要全校师生的共同配合。因此,我们坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。备案在册的业务系统许多归属二级院系管理,如果这些应用系统本身出现漏洞,或者出现管理疏忽如配置泄露、弱密码等问题时,我们没有管理权限,只能提醒告知要求整改,最终的处置落实还得院系自己来完成。同时用户终端的安全问题也可能影响整个校园网。在这种体制下,我们必须想办法提高全校师生的网络安全意识,以方便网络安全相关工作的顺利推进。
主动防护体系建设思路
在北京大学,我们尝试构建了网络安全主动防护体系,在安全管理、安全运维和安全服务的基础上,推动网络安全人才培养,“建设好一个平台、常态化开展两项演练”。具体来说,一个平台是指安全综合管理平台,包括对所有网络安全人员、设备资产和安全事件等的统一管理;两项演练是指钓鱼演练和网络安全攻防演练。接下来,我详细介绍主动防护体系相关的内容。
安全综合管理平台
北京大学的安全综合管理平台是我们根据网络安全工作的实际需要,逐步自主开发的。平台的主要功能分为三大类:队伍建设、安全运维、信息资产。以网站新备案申请为例:申请人首先登录平台登记网站相关的信息,安全综合管理平台会与网上办事大厅流程联动,相关申请由院系主管领导审批后,在安全综合管理平台按流程一步一步进行网站扫描、源代码审计或灰盒审计、安装主机防护软件、人工渗透测试等过程,只有所有的安全检查都通过了,流程才能顺利进行。这就是我们网站备案的一个完整、系统化的过程。通过安装插件、调用外部接口、使用自己开发的工具等方式,我们可以在平台上进行主动的安全扫描,拓展各种网络安全功能。在平台的信息资产部分,我们可以管理校园网的全部内容,包括所有对外开放的端口、提供的服务、其他运维平台、教育部和省市区相关部门的安全资产信息和安全事件,以及我们自己的扫描器等所有信息都会在平台上统一管理。在平台的队伍建设和组织工作部分,因为校内网络安全的第一责任人往往是院系或机关单位的领导,书记或院长等,所以我们增加了体系化的组工信息。总的来说,我们希望通过安全综合管理平台,对安全防护工作实现全面、规范化的管理。
对于网站的登记备案,我们要求备案的网站只对校外开放的必要端口,严格限制远程登录、数据库等高风险端口的校外访问权限,加强端口级别的访问控制。同时,我们会在每年的9月份启动一项年度审核工作,重新检查所有的备案信息,对于那些长时间未使用或者访问量过低的网站,我们会建议网站管理员进行关闭和注销的流程。这个流程仍然是在平台上提出申请、通过院系审批,最后由我们来取消网站的域名和其他相关资源。
再以安全服务管理为例,我们的平台提供了安全扫描、人工渗透、源码审计等服务管理。我们会将来自安全公司的报告、事件以及我们自有产品的信息收集起来,统一上传到平台上。平台会自动进行识别,并向相关责任人发送邮件提醒。这种规范化的管理方式产生了非常明显的效果。2020年,我们加大了安全扫描的力度,发现的高风险漏洞的数量大幅上升,但在近两年的加大整改力度后,漏洞数量明显下降,网站资产的安全性得到了显著提升。
邮件安全
网络安全工作的重要一环是提高师生的网络安全意识。其中一个广泛存在的问题,也是与每位校园网用户的财产安全直接相关的问题,是邮件安全。
邮件安全需引起我们的高度重视,原因主要有三点:首先,现在的钓鱼邮件具有极强的针对性,其内含的钓鱼附件内容隐蔽性很强,钓鱼链接无论在域名还是页面设计上,与真实网站都高度相似;其次,不法分子常用难以防范的方式发送钓鱼邮件,比如盗用真实的在校师生或校友的北大邮箱进行发送,使邮件安全平台难以进行有效拦截;最后,钓鱼邮件等垃圾邮件的数量过于庞大,占到每天接收邮件总数的80%。我们尝试了一些基于发信行为模式的检测方法,如考察用户的地理位置、使用习惯、作息规律等,以判断校内用户邮箱是否被盗,但对遏制钓鱼邮件的效果有限。总的来说,从源头上解决钓鱼邮件问题具有一定难度,因此我们强调宣传网络安全知识,提高师生的安全防范意识。
我们第一次进行钓鱼邮件演练是在2021年5月份。大致流程是采用Coremail邮件系统的后台功能,通过脚本直接批量发送邮件。每封邮件内容完全一样,为了保护隐私,在钓鱼链接里我们也不发送与记录用户密码等敏感信息。当然这会给分析统计带来困难,预期也会有用户对钓鱼服务器进行攻击。因此我们使用了商业的蜜罐系统来做钓鱼服务器,它有溯源识别功能,再加上与校园网IP信息关联可以粗略判断中招用户的身份。由于是第一家“吃螃蟹”的高校,尽管我们做了很多预案,实际上还是有一些意料之外的事情发生。例如我们虚构了一个不存在的“北京大学后勤管理处”,许多师生认为应该是总务处,结果给他们带来了很多麻烦。但由此也能看出,第一次钓鱼邮件演练还是有成效的,也获得了不错的反响。
在第一次演练结束后,我们想要对所有上当的用户进行统计分析,结果发现这个过程非常费时也不准确。因此在第二次演练时,我们使用专门的软件,给每人发的邮件里加上专属ID,这样可以直接对应到每个用户。同时,为了保护用户隐私,我们第二次演练同样也不发送用户密码信息。此外,我们也吸取了第一次的经验教训,设计了与计算中心业务相关的钓鱼邮件内容,避免影响其它部门的正常工作。第三次演练时,我们进一步增加了仿真度,不仅完全仿照了学校统一门户认证的界面,域名也只有一个字母不一样,“edu”的“e”下面多了一个点,也是钓鱼网站很常用的混淆方式。虽然仿真度非常高,但真正中招的比例却下降了,说明这三次演练是非常有成效的。在此之后,我们收到了许多好的反馈,包括北大的国际关系学院,有很多老师是国家智库成员,经常遭到网络攻击。他们对网络安全特别重视,特地申请加练,我们也为国关学院安排了一次专门的演练。在第四次钓鱼邮件演练中,我们还与北京大学心理与认知学院合作,根据不同人群设置了不同的钓鱼邮件内容,并增加了新的二维码模式的钓鱼邮件。这几次演练在全校师生间引起了很高的讨论度,达到了很好的宣传效果。我们之前参加教育部会议时,科信司老师也说钓鱼邮件演练是件非常好的事情,因此我们高校都应该积极去推广。
校内攻防演练
攻防演练也是非常有意义的校级网络安全活动。最开始的时候,我们把扫描和渗透测试发现的业务系统高危漏洞通知各院系单位。但是,部分单位对高危漏洞的理解不足,因此在相关的网络安全工作中的积极性不高。为了解决这个问题,我们在2021年和2022年连续举办了两次实网攻防演练,在这些演练中,我们发现了若干重大的安全风险。每次演练我们都会召开网信工作会,并把结果向学校领导进行汇报。在听取汇报之后,学校领导非常重视,要求对应部门限期整改,并由督察室进行督办。相比于发漏洞整改通知,攻防演练实际地模拟了服务器被攻陷的情形,直观展示出漏洞可能造成的严重后果,更能引起大家的重视。经过两次演练,大家对网络安全的重视程度和安全意识都得到了显著提高。
在建设好平台和开展两项演练之外,我们也建立了一系列网络安全教育的机制。通过组织相关的讲座和沙龙活动,提高师生的安全意识和技能。同时,我们还积极组织参与各种安全比赛和各级攻防演练对抗活动,让学生团队参与到网络安全的日常工作中,提升网安队伍的整体实力。
总的来说,高校网络安全工作的重要性是毋庸置疑的。在网络安全的岗位上,我们所有人都肩负着巨大的压力和繁重的任务,落后就会挨打。我们必须从被动的防护态势转变为主动的防护策略,通过构建积极主动的安全防护体系来提升我们的整体能力。同时,网络安全领域的进步永不停歇,我们只有不断学习和提升,才能保持与时俱进。这是我们共同的责任和挑战。与大家共勉。