校园网成网络攻击目标，教育信息化如何突围？

“后疫情+双减时代”的教育信息化建设需求迅速提升，教育网和教育应用上云也正在从“有边界”向“无边界”转变。然而，面对越来越趋于专业化、规模化的黑客组织攻击，教育行业却沦为挖矿病毒、勒索软件、数据泄露的重灾区。那么，如何找出一条“突围”之路呢？

夹在威胁治理与安全合规之中的校园网

近年来，国家高度重视教育信息化、数字化、智能化发展工作，更是在教育信息化2.0行动计划的推动下，在平台搭建、资源整合、基础设施建设、大数据应用等方面形成了全方位的教育模式变革和生态重构。然而，随着网络边界的模糊化，暴露的攻击面越来越多，防御手段的相对滞后，使得教育行业成为网络攻击选择的理想目标。

深信服《2021上半年勒索病毒趋势报告》和《2020年网络安全态势洞察报告》分别显示，教育行业受勒索病毒感染比例达到44%，暗网事件中的数据泄露占比高达84.51%，皆创历史新高。值得注意的是，挖矿病毒在攻击目标选择上，也瞄准了规模庞大、算力较强和疏于防范的教育大数据平台、云平台进行针对性攻击。

上述数据和事件标明，教育行业正在遭到勒索软件、暗网事件、挖矿病毒的“围剿”，而其程度甚至可以 “重灾区”来形容。与此同时，网络安全等级保护2.0、《网络安全法》、《数据安全法》、《个人信息保护法》密集出台，一起组成与现行立法并驾齐驱的框架法，这对教育行业用户来说，可谓喜忧参半。

喜的是，面对网络攻击者无时无刻、变化多端的渗透途径，教育信息化创新的前提工作必须“合法、合规”，这给后续应用提供标准化的操作指南。忧的是，这让夹在威胁治理与安全合规之中的一线人员“十分难受”。

首先，每所学校的安全建设都不可能一步到位，限于资金预算不足或政策性安全投入，每段时期或许都会增加不同用途的安全设备，但由于缺乏联动机制，最后便形成安全设备的“简单堆砌”。其次，由于缺乏专业人员，许多设备自验收之后，很少有学校会再去优化安全设备的配置，无法面对实时变化的网络威胁。最后，目前网络安全技术分支越来越细，学校不可能招聘和短时间培养不同类型的网络安全专技人才，这就让许多安全制度、安全法规变成了“一纸空文”。

借力MSS低成本构建高阶安全能力

网络安全压力逐年增加，但“钱少、没人、缺技术”的现状，让教育用户完全依赖自身的能力进行网络安全管理已经分身乏术。那么，新思路、新方法又在哪儿呢？

实际上，在教育信息化建设中采用的 “购买服务”的形式由来已久，从早年的网络链路、网站托管，到今天的考试数据分析、云服务、走班排课、双师课堂、课后服务、运维外包等等。在这种情况下，教育行业用户能否借鉴中小企业比较认可的托管式安全运营服务（MSS），持续提升风险抵御能力、化解安全压力呢？

托管式安全运营服务（MSS）是将安全服务外包给具有先进专业知识和工具，并紧跟网络安全最新趋势的服务提供商，常见服务包括托管防火墙，入侵检测，虚拟专用网，漏洞扫描和反病毒服务等等。而这项服务，不仅适用于企业和政府行业，对于教育用户同样有着强大的吸引力：

其一，由于MSSP（托管安全服务商）提供24×7全天候服务，因此学校也无需招聘专门的值守人员，甚至有的服务商还同时提供了更加专业化的防御设备，进而通过多种方式降低采购、运维、人力等成本；

其二，借助托管安全服务的外力，学校还能通过事件响应和事件调查服务，利用丰富的经验来处理紧急的安全事件，并且把所有松散的工作整合起来，形成精密编排的流程；

其三，学校不仅可在检测和修复漏洞方面实现合法、合规，更有益处形成与教育信息化发展相适应的、完备的网络与信息安全保障体系。

如果说“低成本”是吸引大量教育用户选择MSS的一个因素，那么“更高级、高先进、更全面”的网络安全管理能力，才是这笔投资最大的收益。

以教育行业近期正在加大力度整治的“挖矿病毒”为例：这项工作会涉及到网络安全管理中的资产盘点、漏洞检测、威胁发现、事件响应、追踪溯源等环节，不仅包含流量探针、安全态势感知与管控平台的部署，更需要专业化的团队对恶意样本进行更加深入的研究，否则很难在短时间内精准定位深藏内网的木马终端。

此外，随着攻击载体的发展、数据量增加，以及AI技术的加入，MSS的范畴和能力也得到了补充。在范畴方面，包括“随需可得”的托管式运营能力，这些能力要能覆盖学校网络安全工作的主要核心场景，比如日常安全运营、实战攻防运营、等保合规运营、勒索和挖矿清理等专项工作；在能力方面，比如深信服推出的“人机共智”，通过云平台的集成，实现攻防专家、数据科学家和安全分析师和AI的协同，做到7*24持续监测，及时发现，达到更好的服务效果。

勒索专项运营

从“深大”案例看托管式安全服务的双赢

随着数据泄漏、勒索软件和挖矿病毒事件不断发生，各级教育用户网络安全防御方法皆在升级中，同时也出现了大量采用MSS实践的优秀样板，其中就包括深圳大学“向内发力，向外借力” 的标杆案例。

在明确引入MMS的需求之后，深圳大学与深信服合作，通过直接利用云端MSSP（托管式安全运营服务提供商）搭建的SOC（安全运营中心）快速扩展自身的安全能力。项目实施后，深圳大学打造出了“本地+云端”的安全团队，通过技术平台与自动化流程机制将两级安全团队紧密联系在一起。一旦发现安全问题或威胁情报，云端团队会第一时间进行研判验证，迅速确定后续处置计划，形成工单交由本地团队进行处置，进而实现了7*24小时不间断的专家级保障。

这种内外合力的建设方式，以更合适的投资获得了专业级的安全保障效果。数据显示，2021年上半年，深圳大学总共监测到50876129次有效攻击，其中仅1月单月就监测到了13590808次攻击，进行通报并封禁攻击IP 291个，整体安全威胁处置率达到100%。

此外，深圳大学还结合对自身网络安全需求和安全人才缺口的分析，形成了“实战驱动”的网络安全建设思路，并建立了多层次、有梯度的网络安全人才队伍和培养策略。在这方面，通过CISP资深工程师的针对性培训，不仅网络管理员获得了安全实战技能，同时还让学校从中选拔出优秀者，加入深圳大学Aurora网络安全战队，参加以CTF（Capture The Flag，夺旗赛）为代表的各类网络安全竞赛，实现了以赛促学、以赛促教、以赛促用的目标。

小结

随着网络安全威胁形势变化日益加快，以及网络安全人才缺口不断加大，我们不难预判，教育信息化2.0时代的网络安全建设重心将会发生改变。过去那种一次到位、大投入、设备“垒墙”的建设方式将很难适用，按需使用的MSS托管式安全运营服务将会得到了更多教育行业用户的认可。