在高校信息化建设和发展过程中，复杂多变、行动隐蔽的网络安全事件越来越多。传统的网络安全设备如Web应用防火墙（WAF）、入侵检测系统（IDS）等，能够针对安全威胁的某些角度和类别进行分析，但在及时、全面地找出网络中存在的真实威胁方面，不够理想和有效。同时，以高级持续性威胁（APT）为代表的高级网络攻击更是具有极大危害。从近年高校的网络安全事件可以看到，能够全面、准确评估网络安全态势，并对后续攻击行为做出准确预测的流量检测系统，是保障高校网络安全的重要基础。

在部署网络威胁感知系统之后，笔者通过关联网络管理系统，开发了网络安全治理平台，实现快速定位和处置网络安全事件，利用安全编排与自动化响应（SOAR）系统联动威胁告警和边界防火墙，自动封锁攻击IP地址。作为PDR安全模型中的检测设备，网络威胁感知系统在高校网络安全防护体系里发挥着重要的作用。本文结合高校的网络安全规划和部署，探讨网络威胁感知系统的应用，并研究网络安全治理工作和SOAR技术的落地。

网络威胁感知系统

高校部署网络威胁感知系统的主要目的是建立校园网服务器区、办公区的安全检测体系，溯源各类网络攻击，尤其是监测APT攻击和勒索病毒事件。如图1所示。

图1 网络威胁感知系统部署

APT通常利用各种手段对特定目标进行长期持续性网络攻击。APT在发动攻击之前，会精确收集攻击对象的业务流程和目标系统，主动挖掘被攻击对象受信系统和应用程序漏洞，并利用0day漏洞进行攻击。根据统计，国内疑似 APT 攻击目标的组织机构近 200 家，其中大学占比最高为40%，大学内部的科研机构是APT攻击的首要目标。针对以APT为首的高级威胁攻击，使用基于规则库、签名技术的传统防护设备无法检测，同时产生的大量无用告警也会影响对入侵攻击的判断。而威胁感知系统基于多维度的海量互联网数据，进行自动化挖掘与云端关联分析，可以提前洞悉各种安全威胁，实现对入侵途径及攻击者背景的研判与溯源。

勒索病毒作为一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式传播。该病毒性质恶劣、危害极大，给用户带来无法估量的损失。勒索病毒入侵目标系统后，会删除勒索软件样本，以躲避查杀和分析，然后利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥，利用公钥对文件进行加密。部署网络威胁感知系统后，当中毒电脑或服务器连接C&C服务器时，用户能够及时收到告警并迅速进行断网处置。

网络安全治理

部署网络威胁感知系统后，还需要安全管理制度的建设，并依此开展网络安全治理工作。

首先，应筹建以学校党委（党组）安全责任制为指导的网络安全管理机制，加强制度建设顶层设计，制定网络安全与信息化管理相关制度和办法，与二级单位签订网络安全承诺书，落实网络安全责任。

其次，应加强风险管理和应急响应，制定应急响应预案，完善网络应急管理和指挥能力建设。在管理过程中，以安全事件驱动为导向，通过邮件、即时通讯工具开展安全预警与信息通报。建立多部门协同联防联控的网络安全应急响应、应急管理机制。事前做好应急预案，开展应急演练；事中快速响应和处置；事后总结经验教训，查找根源，避免再次发生，并汲取经验教训，持续监测和评估后续的风险。在实践中，笔者单位通过调用网络威胁感知系统和网络地址管理系统的数据，开发了一个实用的网络安全治理平台，信息中心对网络安全事件进行分级分类管理，将事件与IP地址负责人进行关联，由网络安全服务人员从平台查询、打印和通知网络安全事件，从而解决“最后一公里”的问题。

最后，还要积极开展网络安全培训和教育工作，加强安全队伍的建设。高校院系和部门众多，只有建立各级多部门管理人员网络安全共同体，才能形成有效的联防联控。从管理、技术、监控、舆情方面加强人员安全培训，明确单位安全岗位职责，不定期组织专业网络安全培训，提高专业技术能力。组织开展校内二级单位安全管理员和责任人网络安全培训，建立和完善长效的网络安全机制。同时，面向校内师生广泛深入开展网络安全培训，进行常态、持续的网络安全宣传和普及教育。

SOAR的应用

在日常安全运维过程中，由于攻击者具备攻击时间灵活、攻击手段多样、隐蔽性高等特点，安全工作人员只能疲于应付，在高校安全人员数量和精力有限的情况下，很难保证安全运维工作的速度、效率和质量。因此，需要有一个“智能助手”，帮助运维人员实现事件应急响应处置过程的自动化、流程化、标准化。现阶段，通过人工分析告警、手工配置封禁策略的方式，工作繁重且封禁效率低。为了解决各安全设备之间信息孤岛问题，利用不同设备厂家提供的二次开发接口，将安全监控设备、网络资产管理平台和安全阻断设备进行联动，以提高攻击阻断、应急响应的实时性，成为有效的方法。

网络安全运维人员以往通过人工方式进行告警查看、攻击研判，在面对突发、大量攻击事件时，难免会出现误封情况。为了提高攻击阻断的准确性，SOAR通过结合威胁情报信息、地理位置信息、白名单、阶梯解封模型等技术，对攻击IP进行自动化分析和过滤，建立自动化、标准化的互联网边界攻防应急响应机制，帮助高校网络安全部门实现从“被动防御+应急响应”向“主动防御+持续响应”的切换，从而建立完整的“检测、分析、防御、响应”闭环。具体流程如图2所示。

图2 安全编排与自动化响应流程

1.接收攻击告警日志

SOAR系统可通过Syslog日志，收集网络威胁感知系统的告警信息。以笔者单位为例，在网络威胁感知系统中，将威胁级别为“危急”和“高危”，攻击结果为“攻击成功”和“失陷”的告警日志，包括受害IP、攻击IP、攻击类型、首次发生时间、威胁级别、攻击结果、告警次数、告警类型等字段发送到SOAR系统。而在攻防演练期间，可以把攻击结果为“企图”和“失败”的告警加入发送范围，从而加强网络安全保障。

2.白名单过滤

由于系统基于SOAR技术替代原有的人工分析过程，所以需要通过系统内置校园网和合作单位地址白名单，关联外部威胁情报、地理位置情报能力，以提升处置过程的准确性，降低攻击IP误封给学校系统业务正常运行带来的风险。

3.防火墙联动、攻击阻断

SOAR系统采用二次开发接口方式与边界防火墙进行交互，添加封锁IP地址对象、下发策略、获取状态等，确保在面对大规模攻击事件时，自动实现秒级攻击阻断。该系统还可以根据不同时期的网络安全保障要求，设置封锁周期，实现攻击IP地址的自动解封，即边界防火墙攻击IP地址删除，同时将连续封锁的IP加入设定地址池，由管理员通过人工永久封堵。

4.发送攻击封堵报表

SOAR系统在向边界防火墙添加封锁攻击IP地址时，也将封锁地址报表通过邮件方式，定期发送到网络安全管理人员的邮箱，便于掌握网络攻击态势和安全状况。

结语

近年来，随着网络安全法、数据保护法、个人信息保护法等法律法规的颁布实施，教育行业对数据安全的关注持续提升。与此同时，以APT攻击和勒索病毒为代表的网络攻击给高校网络安全工作者带来了更加严峻的挑战。在发生网络安全事件后，精准定位攻击源、及时响应处置、防止病毒快速传播、尽最大可能减少损失，是当前高校网络安全保障工作的基本要求。网络威胁感知系统的应用已经成为安全运维人员应急、快速处置网络安全事件的最有效抓手。笔者希望通过网络威胁感知系统的应用，能够增强对敏感数据的检测能力，对异常时间和地点的敏感数据外泄进行告警，在高校数据安全防护工作中发挥重要的作用。

本文来源：《网络安全和信息化》杂志

作者：武汉大学 蔡利军 孟学军