導(dǎo)讀網(wǎng)絡(luò)安全是標(biāo)準(zhǔn)的提高，是成本的對抗。在可控的成本下，首先做好安全防護(hù)，提高攻擊成本。黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制2021年8月4日，《人民日報(bào)》頭版發(fā)布《....

網(wǎng)絡(luò)安全是標(biāo)準(zhǔn)的提高，是成本的對抗。在可控的成本下，首先做好安全防護(hù)，提高攻擊成本。

黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制

2021年8月4日，《人民日報(bào)》頭版發(fā)布《中國共產(chǎn)黨黨內(nèi)法規(guī)體系》一文。

同時，《中國共產(chǎn)黨黨內(nèi)法規(guī)匯編》公開發(fā)行，收錄了《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》（以下簡稱《實(shí)施辦法》）。

《實(shí)施辦法》的公開發(fā)布對厘清網(wǎng)絡(luò)安全責(zé)任、落實(shí)保障措施、推動網(wǎng)信事業(yè)發(fā)展產(chǎn)生巨大影響。

《實(shí)施辦法》提到，各級黨委（黨組）對本地區(qū)本部門網(wǎng)絡(luò)安全工作負(fù)主體責(zé)任，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是第一責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。

《實(shí)施辦法》還要求把網(wǎng)絡(luò)安全工作納入重要議事日程，明確工作機(jī)構(gòu)，加大人力、財(cái)力、物力的支持和保障力度。

高校應(yīng)當(dāng)落實(shí)黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制，成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，加強(qiáng)對學(xué)校網(wǎng)絡(luò)安全與信息化建設(shè)的統(tǒng)籌領(lǐng)導(dǎo)。

應(yīng)當(dāng)定期舉行以領(lǐng)導(dǎo)小組組長和主要成員參與的會議，可按季度召開會議，應(yīng)每年召開網(wǎng)絡(luò)安全專題會議。

年初應(yīng)當(dāng)制定和發(fā)布網(wǎng)絡(luò)安全年度工作要點(diǎn)，年中可配合屬地監(jiān)管部門完成網(wǎng)絡(luò)安全自查和整改，年末形成網(wǎng)絡(luò)安全年度工作總結(jié)。

應(yīng)當(dāng)開展監(jiān)測、預(yù)警和通報(bào)工作，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，開展網(wǎng)絡(luò)安全事件應(yīng)急演練，落實(shí)網(wǎng)絡(luò)安全等級保護(hù)工作，開展關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定工作。

監(jiān)測工作主要是要利用網(wǎng)絡(luò)安全設(shè)備比如防火墻、WAF、態(tài)勢感知等安全設(shè)備、滲透測試等安全服務(wù)、上級主管部門通報(bào)的漏洞等發(fā)現(xiàn)網(wǎng)站或者信息系統(tǒng)存在的安全隱患，形成通報(bào)材料要求二級單位進(jìn)行整改。

預(yù)警工作一般是有重大網(wǎng)絡(luò)安全隱患或者重要時期保障的時候應(yīng)當(dāng)向二級單位發(fā)送預(yù)警，要求對安全隱患進(jìn)行自查并整改或者啟動重要時期保障值班值守機(jī)制。

通報(bào)工作一般要求在監(jiān)測或者預(yù)警發(fā)現(xiàn)問題后，通過一定的通報(bào)手段，及時有效地將信息下發(fā)給二級單位，在二級單位未能及時整改時采用技術(shù)手段做好保護(hù)或者緩解措施。

應(yīng)急響應(yīng)工作主要是在網(wǎng)絡(luò)安全事件出現(xiàn)后，最大限度減少事件對學(xué)校業(yè)務(wù)的損害，保障學(xué)校業(yè)務(wù)正常運(yùn)行，規(guī)范信息系統(tǒng)應(yīng)急處理流程。

學(xué)校應(yīng)當(dāng)根據(jù)國家、教育行業(yè)、屬地等相關(guān)標(biāo)準(zhǔn)和文件，結(jié)合學(xué)校實(shí)際，制定本校的網(wǎng)絡(luò)安全應(yīng)急預(yù)案，并定期執(zhí)行演練，以便相關(guān)人員熟練掌握，規(guī)范處置措施與操作流程，確保預(yù)案切實(shí)有效，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全事件處置的科學(xué)化、規(guī)范化。也應(yīng)督促要求二級單位根據(jù)學(xué)校的應(yīng)急響應(yīng)文件，制定本單位的應(yīng)急響應(yīng)機(jī)制并上報(bào)給學(xué)校。

攻防演練

公安部網(wǎng)絡(luò)安全保衛(wèi)局一級巡視員、副局長兼總工程師郭啟全提出，網(wǎng)絡(luò)安全防控體系是“打”出來的經(jīng)驗(yàn)，并且還提出構(gòu)建國家網(wǎng)絡(luò)安全綜合防控體系的新目標(biāo)與“三化六防”的新理念。

其中，“三化”包括實(shí)戰(zhàn)化、體系化和常態(tài)化，“六防”包括動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控，目的是將國家網(wǎng)絡(luò)安全綜合防御能力和水平上升一個新高度。

在2019年8月份網(wǎng)絡(luò)安全大會上，郭啟全指出了國內(nèi)網(wǎng)絡(luò)安全普遍存在的突出問題，包括重邊界防護(hù)，輕內(nèi)部防護(hù)，缺乏分區(qū)分域和域內(nèi)防護(hù)，一點(diǎn)突破，全網(wǎng)即被突破；部分基層單位對網(wǎng)絡(luò)安全重視不夠，防護(hù)措施不到位，成為了網(wǎng)絡(luò)攻擊的突破口等等，這些問題在高校內(nèi)部也是普遍存在的。

高校應(yīng)當(dāng)有針對性地對以上安全問題進(jìn)行分析并形成應(yīng)對措施，在事件發(fā)生前事先做好準(zhǔn)備，常規(guī)的安全措施一定要做。在安全事件發(fā)生后應(yīng)當(dāng)做好應(yīng)急響應(yīng)，進(jìn)行止損，目的在于把事件造成的損失降到最小。

高校基本上都有開展網(wǎng)絡(luò)安全等級保護(hù)制度，等保通過一些規(guī)定動作，對策略、制度、規(guī)程、臺賬、基線和設(shè)備進(jìn)行補(bǔ)齊，完成了合規(guī)要求。

但是等保相對于攻防演練，會更偏向靜態(tài)。比如一個信息系統(tǒng)即使代碼做過審計(jì)，所有組件升級到最新，無已知高危漏洞，但是一旦出現(xiàn)一個0day，整個防護(hù)可能就會全線崩潰。

當(dāng)然學(xué)校也會有一些縱深防御措施，讓0day利用起來比較困難，但是從體系上，我們還是需要通過攻防演練來實(shí)際驗(yàn)證一下整體的防御體系。

我們在應(yīng)對攻防演練的時候，應(yīng)當(dāng)有一個底線思維。堅(jiān)持底線思維要求我們凡事從壞處準(zhǔn)備，努力爭取最好的結(jié)果。“假定泄露”是零信任的一個理念，跟底線思維理念實(shí)際上是相通的，我們一定要假定，在攻防演練中，紅隊(duì)一定會突破邊界，進(jìn)入學(xué)校校園網(wǎng)甚至業(yè)務(wù)內(nèi)網(wǎng)。

因?yàn)閺亩啻喂シ姥菥殎砜矗S著防守方的防護(hù)水平提高，正面突破會比較難，紅隊(duì)已經(jīng)開始大量使用社工手段，比如使用一些方法拿到師生VPN賬戶、通過抵近攻擊在校園內(nèi)接入WiFi、發(fā)送釣魚郵件、進(jìn)入學(xué)生交流群私聊甚至直接在大群扔木馬、在多個校內(nèi)系統(tǒng)進(jìn)行水坑攻擊等。

由于高校一般師生和信息系統(tǒng)眾多，總有一些師生網(wǎng)絡(luò)安全素養(yǎng)不高、信息系統(tǒng)保護(hù)較弱的情況出現(xiàn)，形成了網(wǎng)絡(luò)攻擊的突破口，這些都要求我們的防護(hù)一定要以“紅隊(duì)一定會突破邊界”為前提來實(shí)施，具體的安全防護(hù)思路如圖1所示。

圖1 安全防護(hù)思路

反釣魚郵件演練

高校應(yīng)當(dāng)定期舉行反釣魚郵件的演練，可以根據(jù)學(xué)校實(shí)際，通過采購?fù)獍蛘咦孕写罱ㄏ到y(tǒng)完成常態(tài)化、全覆蓋的反釣魚郵件演練。如果是自行完成，則需要準(zhǔn)備以下步驟：

1.前期準(zhǔn)備：撰寫培訓(xùn)材料、編撰自測題、先禮后兵舉行演練通告、跟演練發(fā)件人業(yè)務(wù)部門溝通、報(bào)告監(jiān)管部門等。

2.搭建釣魚郵件平臺：搭建開源釣魚郵件平臺、搭建發(fā)件服務(wù)器、測試郵件服務(wù)器白名單和安全規(guī)則繞過配置、拷貝釣魚頁面、設(shè)計(jì)中招頁面、導(dǎo)入郵件列表、開始演練。

3.最后總結(jié)：群發(fā)通報(bào)舉行鞏固和形成閉環(huán)、通知可能會繼續(xù)常態(tài)化釣魚。

常用的開源釣魚郵件平臺Gophish雖然功能齊全，但是也存在一些小問題，比如無法發(fā)送帶個性化信息的更高級的釣魚郵件，郵件模板可替換變量較少，無法發(fā)送帶跟蹤鏈接的Word附件，無法對發(fā)送的二維碼進(jìn)行自定義。

帶個性化信息的釣魚郵件是指，如果我們可以設(shè)計(jì)一個沉浸式非常高的場景，比如給一位老師發(fā)送他在科研系統(tǒng)內(nèi)的課題結(jié)項(xiàng)要求，列出他的所有課題列表，引導(dǎo)他去點(diǎn)擊一個惡意鏈接，這個釣魚郵件的隱蔽性非常高，而且是可能發(fā)生的。

網(wǎng)站內(nèi)容錯敏詞檢查

國家對網(wǎng)站內(nèi)容有一些政策法規(guī)要求，比如2019年10月31日的《中共中央關(guān)于堅(jiān)持和完善中國特色社會主義制度推進(jìn)國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》，2019年12月15日的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》，2021年9月15日的《關(guān)于進(jìn)一步壓實(shí)網(wǎng)站平臺信息內(nèi)容主體責(zé)任的意見》等等。新華社也會定期發(fā)布《新華社新聞信息報(bào)道中的禁用詞和慎用詞（最新修訂）》，公布一些禁用詞、規(guī)范用語。

以上法規(guī)都對高校網(wǎng)站內(nèi)容提出了要求，高校應(yīng)當(dāng)采取措施對網(wǎng)站內(nèi)容的表述錯誤、暗鏈、黑鏈、個人信息泄露、失效鏈接等內(nèi)容進(jìn)行相應(yīng)的整治，加強(qiáng)網(wǎng)站的傳播力、影響力和公信力。

我們認(rèn)為高校網(wǎng)站內(nèi)容問題的產(chǎn)生，既存在一些客觀因素，也有一些主觀原因。

比如，錯別字一般是因?yàn)檩斎敕ɑ蛘呔庉嬑淖止Φ撞辉鷮?shí)造成的；不規(guī)范用語主要是由于編輯人員責(zé)任意識不強(qiáng)、學(xué)習(xí)不到位等；個人信息泄露等問題主要是一些人員安全意識不足；暗鏈和黑鏈的出現(xiàn)，有一部分是由于原先網(wǎng)站被黑，即使遷移到安全性更高的網(wǎng)站群，原先被黑的內(nèi)容也原樣遷移到網(wǎng)站群，這主要是遷移后檢查不全面的問題，還有一部分是客觀原因，比如原先一個站點(diǎn)的新聞，在當(dāng)時發(fā)布的時候，可能會鏈接到一個正常的網(wǎng)站，但是隨著時間的推移，這個正常的網(wǎng)站可能在過期后網(wǎng)站域名被黑產(chǎn)接管，導(dǎo)致學(xué)校網(wǎng)站鏈接到一個不正常的網(wǎng)站 ；失效鏈接的主要原因是，原鏈接網(wǎng)站關(guān)閉，或網(wǎng)站改版導(dǎo)致鏈接失效，源站反爬機(jī)制導(dǎo)致監(jiān)測誤判等。

高校應(yīng)當(dāng)采取技術(shù)措施，聯(lián)合宣傳部等職能部門對網(wǎng)站內(nèi)容進(jìn)行監(jiān)測整改，并應(yīng)當(dāng)把監(jiān)測左移，做好前置培訓(xùn)和檢查，爭取在源頭上解決網(wǎng)站內(nèi)容錯誤問題，并通過定期的后期技術(shù)手段監(jiān)測，形成完善的網(wǎng)站內(nèi)容安全機(jī)制。

對于監(jiān)測的技術(shù)手段，比如爬蟲和中文分詞，技術(shù)上較為成熟，也比較簡單，對于錯別字的檢查，Python有類庫PyCorrector可以實(shí)現(xiàn)音似、形似、筆畫五筆編輯距離特征、語言模型困惑度特征等進(jìn)行錯別字檢查，但是誤判比較多。而對于規(guī)范用語、敏感內(nèi)容、暗鏈黑鏈來說，則需要有情報(bào)庫。

對于失效鏈接的檢查也較為簡單，有成熟免費(fèi)的軟件可以做檢查。最后，所有的這些都應(yīng)當(dāng)由人工進(jìn)行復(fù)核，減少整改人員。整體評估以后建議高校應(yīng)當(dāng)采取采購云檢測平臺的服務(wù)加上自行修改云平臺不足的模式，完成全校的網(wǎng)站內(nèi)容整改。

作者：鄭海山（廈門大學(xué)信息與網(wǎng)絡(luò)中心）

責(zé)編：高明