中山大學“挖礦”治理進入動態清零階段

文/張永強

自去年底啟動虛擬貨幣“挖礦”活動整治工作以來，經過近四個月的努力，中山大學虛擬貨幣“挖礦”活動終于得到有效遏制。同時，整治工作也由集中殲滅戰階段轉入常態化“動態清零”階段。

“挖礦”活動整治期間，中山大學積極響應國家號召，各部門通力協助，共同整治“挖礦”活動。其中，信息化部門持續保持對“挖礦”活動監管的高壓態勢，不斷加強宣傳教育，全面提高計算機終端安全防護水平，重點整治防范因計算機終端感染病毒而造成的虛擬貨幣“挖礦”行為。雖然已取得一定成效，但后續整治工作仍任重道遠。

“挖礦”治理困難重重

高校承擔著人才培養、科學研究、社會服務等多項職能，校園內工作生活著數以萬計的師生員工，這為“挖礦”整治帶來了不少挑戰。

1.校園網絡管理難度大。校園網絡是統一出口的，不但接入了學校產權所有的計算機設備，還接入了師生員工攜帶的個人計算機終端，所以某種程度上也增加了校園網絡管理的難度。以中山大學為例，中山大學跨廣州、珠海、深圳三個城市辦學，校園網覆蓋3校區5校園，連接10家附屬醫院，規模大，覆蓋面廣。有線網的設備3千余臺，無線接入點超過3.6萬，有線網絡信息點超過10萬等。根據態勢感知平臺數據，目前學校校園網上網終端總數累計超過30萬臺。

2.學校網絡結構復雜、終端類型繁多。很多學校存在多運營商出口，不但在互聯網出口發生IP地址轉換，在校園網內部也存在大量NAT網絡設備，導致“挖礦”行為難以追蹤溯源。計算機終端種類繁多，既包括臺式計算機、便攜式計算機、路由器、虛擬機等，也包括自助服務設備、校園卡充值設備等；既有個人專用設備，也有多人共用設備；既有學校資產，也有個人資產。而且相關設備安全管理和安全防護水平也參差不齊。

“十三五”期間，中山大學網絡安全保障工作的重心在重要系統和重要數據的防護上，在計算機終端防護方面存在短板弱項。所以在去年11月初，當接到地方發改委協查通知時，學校“挖礦”整治工作的起步就像一場準備不足的“遭遇戰”。

構建管技結合的“挖礦”治理體系

“挖礦”整治的對象是礦工節點，礦工節點又分為獨立礦工節點和非獨立礦工節點。對于前者，要先切斷節點與虛擬貨幣網絡的通訊；對于后者，則先切斷節點與礦池服務器的通訊。接下來，要清除節點上的“挖礦”程序，最后視調查取證情況，進一步處置節點設備的管理人和所在單位。中山大學在虛擬貨幣“挖礦”整治工作中探索出了一套管技結合、雙管齊下的整治工作體系。

自上而下，全體動員

1.自上而下，打通整治通道。中山大學高度重視整治工作：學校黨委書記多次主持會議，布置整治工作；分管校領導定期聽取匯報，指導整治工作，解決整治工作中的堵點；網絡與信息中心作為牽頭部門，成立了整治工作專班，中心負責人、中心多部門業務骨干參加，明確時間表、路線圖，建立工作臺賬，掛圖作戰。

2.加強宣傳教育，增強防范意識。學校開設“挖礦”整治工作專題網站，給全校師生群發提醒郵件，利用微信公眾號推文，進行防范“挖礦”宣傳，普及終端安全防護相關知識，增強師生員工網絡安全防范意識和個人處置能力。

3.加強監察力度，完善檢查問責機制。“挖礦”整治過程中，完善的檢查問責機制不僅可以保障整治工作有序開展，還能高效推進整治進程。中山大學建立了“挖礦”檢查問責機制，加強紀檢監察力度，嚴格落實“挖礦”整治相關工作。

技術整改“三步走”

“挖礦”行為難以預防，因此要以假設防不住為前提，以安全運營的思想和方法，建立由事前監測預警，事中攔截阻斷，事后處置整改等部分構成的技術體系。

第一步，事前監測預警。中山大學使用校園網絡安全態勢感知平臺、安全DNS云服務和校園網出口流量管理器等產品和服務構建了虛擬貨幣“挖礦”活動監測預警體系。通過該體系對計算機終端網絡流量進行采集和分析，及時發現礦工節點與虛擬貨幣網絡、礦池服務器或遠程控制服務器的通訊；發現計算機終端對已知礦池服務器或遠程控制服務器的域名查詢，進而監測到虛擬貨幣“挖礦”活動。

第二步，事中攔截阻斷。中山大學在校園網出口防火墻、校園網出口流量管理器、校園網出口鏈路均衡設備以及校園DNS服務器上設置策略和規則，及時切斷礦工節點與虛擬貨幣網絡、礦池服務器或遠程控制服務器的通訊，阻止計算機終端對已知礦池服務器或遠程控制服務器的域名查詢，遏制虛擬貨幣“挖礦”活動。

第三步，事后處置整改。根據監測預警發現的線索，確定涉及的計算機終端；通過郵件、企業微信、電話等方式通知計算機終端使用管理人，并同時限制計算機終端的上網功能；隨后安排工作人員上門調查取證，進行進一步處置。對于主動“挖礦”行為，網絡中心將轉交學校紀檢監察部門處置。對于其他類型的“挖礦”行為，在使用管理人完成“挖礦”程序清理和計算機安全加固后，恢復計算機終端上網功能。對于限期未整改或屢次發生“挖礦”行為的，中心同時通知其所在單位。

“挖礦”治理是一項長期工作

以中山大學的經驗，高校“挖礦”治理工作一般可分為兩個階段。

第一個階段是集中殲滅階段。這一階段的目標是短時間內遏制群發性“挖礦”活動，從上級部門通報名單中摘帽。這個階段可以是“運動式”的，信息化部門牽頭成立工作專班，每日一研判、每日一調度。在研判調度會上，首先解讀前一天的運營數據，隨后各部門工作人員匯報前一天工作，對工作中遇到的問題、困難進行討論，明確下一步工作的具體安排。在這個階段，信息化部門應探索并形成一整套適應各自學校情況、可持續的“挖礦”活動處置流程。

第二階段是動態清零階段。這個階段的目標是防止“挖礦”活動反彈，避免被上級部門通報。對于零星發生的“挖礦”活動，發現一起、處置一起。這個階段是長期的，對于“挖礦”活動的完全攔截阻斷是無法實現的，況且在發現和攔截之間也有時間差。4月以來，中山大學網絡監管部門抽樣發現，學校仍存在少量“挖礦”行為，經事后溯源，均為當天發現并于第二天阻斷的行為。

如果以戰爭作比方，高校“挖礦”整治工作先是一場不期而遇的遭遇戰，然后演變成一場集中優勢兵力的殲滅戰，最終將形成一場長期持續的持久戰。中山大學信息中心負責人在總結學校整治工作的事后部分時，特別強調：

1.“挖礦”整治追求絕對清零是不現實的。動態清零的工作重點主要放在杜絕主動“挖礦”，遏制被動“挖礦”，規范科研型“挖礦”。

2.“挖礦”整治是一項長期工作，在經過短暫集中殲滅階段后必然進入長期的動態清零階段。在這個階段，學校網絡安全營運能力至關重要。

3.人的因素是關鍵。師生員工理解不理解，配合不配合，很大程度上決定著“挖礦”整治的效果。

4.治理工作不僅僅是信息化部門的工作。領導不重視、院系不積極、師生不配合，整治工作就無法持續、長期開展。

如今，“挖礦”整治已然進入攻堅期，各高校唯有立足自身，具體問題具體分析，才能實現“挖礦”活動“動態清零”，創造綠色安全的校園網絡新環境，構建網絡安全治理新生態，助力我國產業結構優化、推動節能減排、盡快實現碳達峰、碳中和的最終目標。