上海交通大學將安全漏洞作為重要工作抓手

歷史回顧

在教育系統開展網絡安全工作存在很多困難，攤子大、情況復雜、各地區經濟和安全意識發展不平衡，專業的安全人員和安全團隊普遍缺位。目前，全國有59萬家教育機構，高校2800多所，網站20多萬，IPv4地址1300多萬，IPv6也在大力發展，未來的地址數量會更多。網絡空間安全一直處于動態發展的過程，不斷會有新的問題出現。

漏洞報告全過程的梳理如圖1所示。從漏洞發現者來看，很多白帽黑客通過主動發現和報送，把漏洞提交到各種漏洞報告平臺，如360補天平臺、國家信息安全漏洞共享平臺CNVD等，也有部分提交到行業監管機構。對漏洞接收者來說，收到漏洞信息之后，則會采取相應措施。一方面按照慣例，部分漏洞報告平臺尤其是全國性的漏洞報告平臺，會把漏洞信息上報給國家互聯網應急中心（CNCERT），進行漏洞備案。另一方面，如果漏洞關聯到相應廠商，漏洞信息也會直接反饋到廠商和涉及單位。當漏洞接收者收到漏洞之后，會根據漏洞的歸屬和來源，最終落實到相應用戶。

漏洞報告過程如果順暢，很快就會得到反饋。但很多時候路徑并不順暢，從漏洞發現到傳達至相關系統的開發管理人員，可能會經過漫長的周期。如果中間有某一鏈條斷裂，甚至會導致很長時間內，漏洞一直留存并在互聯網上擴散傳播，可能造成更大范圍的安全問題。

圖1 漏洞報告流程

實際工作中，因為安全漏洞的可見性高，可驗證統計并定級，很適合作為網絡安全工作的重要抓手。近年來教育部正在推行漏洞通報體系建設，漏洞是作為安全量化的一項重要指標。對部屬高校和各省市安全工作考核排行，但我們需要客觀去看待這些指標，一方面不能僅僅依靠漏洞數量去評價一個單位安全工作的好壞；另一方面，當得知漏洞之后，漏洞的解決率以及它的平均解決時間，可以作為很好的考核指標。

對學校來說做好安全工作，首先要進行信息資產梳理，摸清學校資產現狀，包括對IP地址、域名、信息系統等進行全面梳理，通過校園信息資產自動發現、指紋識別、漏掃聯動掌握入網設備存量，周期掃描監測，及時發現安全漏洞等安全隱患，關注師生隱私泄露，主動發現有害、敏感信息，從而全面感知學校當前的安全態勢，進入全生命周期的資產安全管理。

在過去的兩年中，上海交通大學通過主動漏洞掃描，有組織地人工滲透測試，以及從第三方渠道獲取的各種安全威脅信息，共獲取2398個安全漏洞，目前98%都已經修復。在這2000多個漏洞中，來自外部通報的不足10%，對于大部分學校而言情況也都大同小異。實際上大量的攻擊都是從內部發起，因此更需要學校積極主動地開展安全工作，把大量潛在的安全漏洞、安全威脅最大化地發掘出來。

從管理層面上，校內漏洞管理要平臺化，量化考核；通過周期漏掃、人工測試、應急巡檢、外部情報、自動驗證、漏洞定級、郵件通知、流程平臺，使安全工作的可見性得以提高。

從技術層面，很難找到一個萬能的掃描器，既能較好解決系統主機掃描，又能理想解決Web應用類掃描，最終發現漏洞都需要一套組合拳，通過安全掃描器、人工滲透測試、第三方情報等，包括一系列商業的掃描引擎、開源的掃描引擎、黑盒測試、源代碼的白盒測試等，多渠道發現安全漏洞。針對很多不能通過自動化掃描工具檢測出的安全漏洞，要進行人工測試，有條件的學校可以組織自己的力量，包括教師、學生團隊，也可以購買一些安全服務，發現更多自動化掃描所不能發現的問題。當接收的安全漏洞信息非常多的情況下，需要進行驗證，確定哪些信息是一直存在的，還要對漏洞、安全威脅進行定級，確定高、中、低等級。

對于特別嚴重的漏洞，需要立即響應，比如在防火墻上立即阻斷外部訪問；對一些低危漏洞，可以給一個較長的響應周期，通知相應的用戶進行升級修復。在這個過程中，還可以通過技術手段如自動化的郵件通知，通過一站式流程平臺把所有的信息傳遞到各個部門。

從制度層面，在信息化項目立項時，需明確作為學校的信息化主管部門，要評估各種項目的安全風險并給出整改建議，在項目驗收、系統上線之前，對項目進行安全性測試。在應用上線之后，很多新的漏洞也會不斷曝出，項目版本的更新迭代，也可能會引入新的安全漏洞，對這些系統的追蹤、安全測試應是一個長期持續和周期性的過程，也要明確學校的具體管理部門來承擔相關責任。 同時，制定安全漏洞和事件管理規定，使得安全事件的處理有理有據。

流程平臺承載安全事件流轉（如圖2所示），安全工作要依靠流程而不是靠人來督促，責任落實到人，權責明確。通過納入學校的一站式服務流程平臺，在院系網站負責人、院系領導間進行層層流轉，讓所有人都加入到安全工作中，讓大家重視安全工作，最終提高所有人員的安全意識。

當前問題

通過對2017～2018兩年的漏洞統計，根據國家互聯網應急中心、360補天平臺以及第三方漏洞報告平臺上報的教育系統安全漏洞數量可以看出，2017年漏洞報告的數量很大，但從2018年開始漏洞數量已經明顯下降，可以反映出，通過兩年的努力，大多數學校的安全狀況已經得到了改善，新漏洞的發現速度比老漏洞的發現速度已經明顯下降了很多。

從漏洞的類別來看，主要包括SQL注入、弱口令、信息泄露以及一些其他漏洞。SQL注入多年來一直排在首位，對攻擊者來說，可以通過很多自動化的工具，去完成對數據的拖庫以及一些數據的篡改。在弱口令方面，不僅包含系統應用層、后臺弱口令，還有很多數據庫管理賬號也存在弱口令，這些都可能會引發數據泄露事件。還有敏感信息泄露、源代碼泄露、網站打包文件等，很多邏輯漏洞很難通過自動化掃描器發現，需要由人工發現。另外還有框架漏洞，使用Java開發框架的一般都是較重要的系統。這些問題都比較隱蔽，而且很多并不是應用本身而是來自框架的漏洞，需要及時關注。

圖2 流程平臺承載安全事件流轉

2017年我們嘗試建立了教育行業的漏洞報告平臺SRC，經過了2017年全年漏洞報告的洗禮，到2018年，可以看到每月漏洞報告的數量已經趨于平穩，大概在幾十個到幾百個量級，也說明大量的高校通過最近一兩年的努力，對學校比較明顯可見的安全漏洞都進行了有效抑制。

對漏洞要進行分級，分清哪些是高危、中危，然后進行相應的處理，明確相應的處理周期。高危和嚴重漏洞優先處理，低危漏洞給定處理時間。很多漏洞需要一系列前提條件，并不是有漏洞就一定會被利用，可能需要和其他一些條件組合才能進行成功利用。

漏洞發現的機制。對于處于不同發展階段的學校，大家對待漏洞的態度也各不相同，有的學校還停留在不斷被動接受上級或其他渠道報告過來的漏洞通告，進行被動應急響應；有的可能主動組織學校力量（老師和同學），進行各種掃描，主動開展漏洞挖掘；有的采購相應的安全服務，幫助學校發現更多的安全隱患。同時，我們在教育漏洞報告平臺上提供獎勵，包括提供證書、紀念品等鼓勵大家發現漏洞，也鼓勵各校為SRC提供各類紀念禮品。

授權管理機制的完善。首先，正面引導，學校和監管機構對應授權。《網絡安全法》頒布后，從未來的發展看，需要對漏洞的挖掘進行正面的授權。一方面，學校可在有限的范圍內對有限的機構進行授權；另一方面，對于監管機構，比如教育行政監管機構，可以組織對所在地區的學校進行相應的安全測試、檢查，在較密集的時間內獲得學校的整體安全狀況。其次，安全測試全過程要有可追蹤的安全審計。在整個安全自動化測試時，包括人工測試階段，需要有可追蹤的安全審計手段，把所有攻擊、入侵、掃描都能夠完整記錄下來。最后需要負責任的定向安全披露機制，和教軟廠商的對接。對漏洞管理者來說，應負責任定向披露漏洞，比如某個漏洞歸屬某學校，該漏洞只能向該學校披露，同時按照相應的監管機構要求向國家的管理部門進行上報。

通過多年經驗我們發現，很多安全問題具有全局性，存在大量通用類型的漏洞，比如某個學校使用的某學生管理系統出現了一個漏洞，這個漏洞往往同時出現在全國其他地區成百上千的學校中，需要有通報協商機制，把漏洞告知給開發軟件的教育軟件廠商，通過管理層面進行大范圍的通知和修復。但實際上，很多教育軟件廠商對這些軟件安全重視程度不夠，只是告知后才被動進行修復，很多廠商掌握的漏洞并沒有廣泛通知給所有用戶，所以未來需要更多學校攜手給這些教軟廠商更多的壓力，讓他們進行更加主動的開展安全工作。

未來發展

積極主動篩查安全漏洞。凡事預則立，不預則廢。安全工作需要積極主動作為，安全漏洞始終并且持續存在。發現、修復、驗證，需要建立一個動態的全生命周期漏洞管理過程，對發現的所有漏洞進行定期的探測復查，滿足全程可控管理。其次，通過相應的管理機制，在信息化項目立項、驗收以及日常運維時，建立一整套安全保障機制。雖然安全漏洞永遠抓不完，但是工作持續開展并堅持下去，在一些重點保障時期，針對可能出現的問題、攻擊者可能會利用的方式等都已有掌握，進行普查時把潛在的風險盡可能消除，安全就會大大提升一個等級。

最大化安全威脅情報共享。我們計劃今年推進建設教育行業安全威脅情報共享機制。對學校來說，海量、分散的威脅和告警日志信息如果沒有進行梳理，它的價值非常有限，需要有一個能夠匯聚所有數據并對數據進行有效清洗、驗證，最終把這些信息通過各種可訂閱的方式定向傳遞給學校，這樣安全威脅情報才會有實際使用的價值。因此，希望更多的高校能夠聯合起來，形成數據共享機制，把更多的安全風險、安全情報定向、有效傳遞給學校；在共享機制形成中，要獲得也要付出，不同發展階段的學校都可以做出貢獻。很多學校在加入過程需要共享一些信息，比如提供學校的安全設備日志等，這樣可以在更大范圍分析數據，最終還是回饋給學校。

走向云安全是趨勢。很多學校都開始建設各自的云計算平臺，從未來發展趨勢來看，應用上云，底層基礎設施統一安全管理運維，可以部分解決網絡操作系統層面的安全隱患，但是萬能的云也不能全部解決應用安全和數據安全。

回顧整個安全工作，關注漏洞是安全工作的初級階段。如果一直停留在對漏洞的處置階段，安全工作將很難向前發展。現階段，確實漏洞仍然是推動工作的抓手，通過主動組織、第三方服務或其他渠道，投入足夠的資源，在有限的時間內可以解決大部分漏洞問題；很多學校通過了網絡安全等級保護，在關鍵信息基礎設施的建設中做了很多合規性的要求，但是這些安全工作即便都完成，實際上對學校核心系統的安全保護還是遠遠不夠。我們還要思考更多，需要重構整個學校的安全保障體系，可能要如企業安全一樣，更多考慮業務安全、數據安全、郵件安全以及各種系統的安全，這是未來安全工作的下一步工作重心。學校需要對安全工作進行梳理，未來應分期分批進行安全建設，部分是學校可獨立完成的，部分是可以和其他學校、機構、廠商一起合作完成，一個學校很難孤立把安全建設好，需要通過合作共享的方式，共同推動整個高校安全工作向前邁進一大步。