CELTSC教育信息化技术标准研讨会 | 深信服:以“挖矿”治理为抓手,实现精细化安全运营
7月8日至10日,泉城济南“热”字当头,正如这场关于教育信息化技术标准发展的年度盛会“热情似火”。
这是全国信息技术标准化技术委员会教育技术分技术委员会暨教育部教育信息化技术标准委员会(以下简称“标委会”,英文简称“CELTSC”)在今年举办的第一场大型线下活动。
标委会秘书长、清华大学教授郑莉,副秘书长、北京邮电大学教授李青,标委会主任委员、华东师范大学终身教授祝智庭及复旦大学、上海市电化教育馆、深信服等近百位教育信息化专家和单位参会。
作为CELTSC的成员单位,深信服受邀出席本次论坛。深信服教育事业部安全专家熊楚南进行了《防“矿”于未然,从挖矿治理谈高校安全体系化建设》的分享和汇报。
实现“挖矿”动态清零 采用三步走 构建四能力
2022年,高校普遍面临“挖矿”治理新挑战。尤其是3月以来,高校纷纷采取相关措施,持续治理“挖矿”活动,“挖矿”治理进入攻坚期。在实现“挖矿”动态清零的过程中,由于自身技术自身特点以及内部管理等原因,学校往往面临着诸多困难。
深信服教育事业部安全专家熊楚南表示:“考虑到高校的资金、管理压力等客观问题,挖矿处置难以一步到位,最好采用分步走的方式逐步开展,技术与管理齐头并进,最终通过学校/教育局常态化的安全运营,实现学校挖矿整治的动态清零。”
基于此,深信服认为教育行业“挖矿”治理需要构建四种能力:
第一阶段,优先增强“挖矿”行为排查能力(实现动态“清零”的前提能力)和挖矿流量封堵能力(降低被监管单位探测、通报的关键能力)。
其次,构建挖矿终端处置能力,这是避免“挖矿”问题在校园网内横向传播的关键能力。
最后,构建实现动态“清零”的根本能力--整体安全运营能力。
以“挖矿”治理为抓手,实现以安全绩效为核心的安全体系化建设
熊楚南表示,回顾挖矿治理的关键技术与经验,“挖矿”治理过程中的发生作用的本质环节有三个。一是尽早、精确地发现威胁(MTTD),二是快速、有效地响应威胁(MTTR),三是提高安全运营效能(ROI)。从长期来看构建以安全绩效为核心的安全体系化建设,持续扩展网络安全建设与管理能力,促进安全团队运营工作的有效开展,是解决多数安全事件的本质逻辑。而“挖矿治理”恰好是推动安全体系化建设的最有力抓手。
那么,什么是以安全绩效为核心的安全体系化建设呢?它本质上是由技术、组织、流程三方面构成的。深信服基于基于“人机共智”的理念,构建了智慧安全建设一张图,面向校园网基础网络、云数据中心、校园无线、科研/教学数据/个人信息等各类信息化设施,通过安全管理、安全技术、安全运营、安全评价四大体系实现校园网全面的安全支撑,最终实现“实战有效、体系合规、常态保护”的工作目标。
以安全绩效为核心的安全体系化建设本质上是构建了五大核心能力:
1.构建遥测数据聚合分析能力,实现事件高效检测
将端、网、云等遥测数据进行故事线关联,构建完整、高质量的场景化数据链,以清晰呈现事件的全过程。
2.构建日常、战时持续的安全保障能力与组织体系
确立安全工作组织体系,细化日常工作并梳理工作计划进行主动运营,面向战时提前准备保障机制,检视工作成果,“平战结合”、相辅相成、持续优化。
3.构建安全运营常态化标准化工作场景与标准化运营流程
通过运营机制对场景分类匹配不同的安全运营流程,实现安全运营工作的高效、有序进行。
4.构建云地联动7*24小时运营支撑能力
通过云端在线专家及本地服务团队构建服务梯队,同时对核心资产进行7*24小时重点保障。
5.构建以评促改的评价体系和标准
通过安全评价体系的应用,明确安全工作差距、呈现工作价值、指明建设规划方向,以评促改满足信息化发展战略需要。
当前,网络安全已进入对抗为本质的时代。“网络攻击手法变化快、复杂度强、隐蔽性高,难以依靠单纯的技防来满足,已升级到人防的阶段。”熊楚南表示,从技术防护为主的建设,向精细化安全运营转变才是应对实战对抗之大变局的解决之道。