五大策略應對高校網路安全威脅
當前,網路安全威脅錯綜複雜。網路犯罪分子攻擊手段日益翻新、愈加狡猾,利用相對簡單的IT工具和雲服務對網際網路造成了空前的混亂。就全球範圍內發生的安全事件來看,資料洩露、漏洞攻擊、勒索病毒等事件頻發,造成的損失愈加嚴重。
總體來說,未來五年的網路安全威脅趨勢將主要有如下三方面的新變化:1.從技術發展來講,安全威脅勢必與人工智慧結合。2.從威脅物件來講,網路基礎設施與金融系統可能成為重點。3.從網路終端來講,面向智慧家居、移動智慧終端的威脅概率會提高。
高校的網路安全特點
儘管如此,魔高一尺、道高一丈,在摸清傳統安全威脅與當前安全威脅趨勢的基礎上,只要做好了根本性的防護措施,就可以大大降低安全威脅的風險值。高校網路作為網路空間的組成部分,其主要特點是使用者集中、流量較大、用網行為具有一定的規律性。作為高校的科研工作者,對高校資訊化環境下的網路安全工作提出幾點建議。
第一,在意識層面,加強網路安全法教育。最近幾年,各類網際網路應用尤其是移動網際網路應用已深入到廣大師生的工作、學習與生活。加強面向師生的網路安全法律法規教育、防護技能教育、實用工具教育、法治案例宣傳、知識競賽等,對提高高校網路安全使用、傳播、獲取以及個人隱私保護,將起到重要作用。只有加強意識教育,才能從根上起到網路安全整體防範效應。
第二,在邊界防護安全方面,加強主幹風險控制。高校網路邊界接入威脅主要包括路由破壞、未授權訪問、資訊竊聽、拒絕服務攻擊、針對路由器和交換機等邊界網路裝置的網路攻擊、病毒傳播、蠕蟲分發等行為。高校經常面對海量的SYN Flood、ACK Flooding、UDPFlood、ICMP Flood、(M)Stream Flood等攻擊產生的大量垃圾資料包,大量佔用網路頻寬,造成邊界路由器和核心交換機等網路裝置的有效資料轉發能力下降,甚至核心路由和交換機因負荷過載而造成轉發延遲增大和資料包丟包率上升。此類問題的重要解決方式,是加強邊界接入的風險控制,需要不斷升級邊界核心防火牆的風險防控能力,為校園網路安全生態提供基本保障。
第三,在校園資訊系統安全方面,加強集中安全防護體系部署。當前,各高校大都已經歷了十餘年的資訊化系統建設,形成了若干資訊系統,形成了若干資訊孤島。由於更新維護不及時,各類資訊孤島其軟體架構、資料庫、應用程式均遺留了大量安全漏洞,給黑客攻擊留下了多渠道探索空間。當務之急,高校需加強資訊系統整合工程,在基礎設施、資料訪問、應用體系上進行一體化改造,加強集中式的網路安全防護體系,對校園資訊化系統尤其是財務系統、資產系統、學工系統、人事系統、科研系統、教務系統進行集中分類防護,以確保校園資訊系統的訪問安全。
第四,校園虛擬化雲服務方面,加強宿主機防控手段。校園虛擬化雲服務為集中式資訊化建設提供了便利手段,虛擬化技術本質上生成一個和真實系統行為一樣的虛擬機器器,與真實作業系統一樣,同樣存在軟體漏洞與系統漏洞,宿主機的安全問題同樣需要得到重視。一直以來無論虛擬化廠商或安全廠商都將安全的關注點放在虛擬機器系統和應用層面,而由於宿主機系統本身也都是基於Windows或Linux系統進行底層重建,因此宿主機不可避免地會面對此類漏洞和風險問題,一旦宿主機的安全防護被忽略,黑客可以直接攻破虛擬機器,從而造成虛擬機器逃逸。所以,宿主機的安全問題是虛擬化安全的根基。加強宿主機安全防控手段的主要方式是在管理體系上進行統一的標準化安全要求,在技術體系上形成分佈防控體系。
第五,在資料防護層面,加強隱私洩密風險防控。當前,傳統的防病毒軟體可以在一定程度上解決已知病毒、木馬的威脅,但各類APT攻擊在網路滲透上具有典型的持續性和隱蔽性,在滲透到資料中心內部後會長期蟄伏並不斷收集資訊,對校園資料安全形成了極大威脅。加強資料洩漏風險防控的主要手段需要從雲端儲存加密體系、多資料平臺訪問控制體系、多威脅場景的蜜罐防護體系進行多維考慮。
綜上,在網路安全威脅行為不斷變化、升級的情況下,應進一步大力加強網路安全宣傳教育,並在技術上、策略上加強風險防控。