宋正荣，夏美武

（铜陵学院，安徽铜陵 244061)

1 概述

党的十八届三中全会通过的《中共中央关于全面深化改革若干问题的决议》提出“没有教育信息化就没有教育现代化”的战略指导。随着高校信息化逐渐向智慧化、数字化校园模式发展，云计算、大数据、物联网、5G 等新型技术广泛应用于高校的信息化系统中，越来越多的网络设备、信息终端、业务系统部署到校园网中，通过平台集成化、数据共享化等模式打破了传统校园网“业务孤立、数据孤岛”，实现让“数据多跑路”的一网通办能力体系，给学校管理、老师教学、学生学习带来了全新的信息模式，极大地提高了学校的教学质量和学习效率。

与此同时，现代化数字校园建设发展也面临着更加严峻的网络威胁，如网络入侵、数据窃密、网页篡改、挖矿木马、勒索病毒等安全事件频频发生。面对新型的APT 攻击、0Day 漏洞、加密流量等高级威胁的出现，其未知性和隐蔽性的特点，使得传统的网络安全防护设备或防御体系无法有效应对，也已成为当前高校网络信息化安全建设工作的难点。如何对海量的安全攻击威胁数据快速地进行识别、分析、提取后形成高价值的情报数据，并实现标准化情报数据的共享分发协作，完成攻击威胁检测阻断来保障校园网网络与信息系统的安全、可靠、稳定运行，威胁情报体系建设是高校网络信息化安全综合治理体系建设中的关键要素。

2 威胁情报定义与发展

Gartner 在2014 年发表的《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)[1]中提出的定义，即：威胁情报是关于IT 或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

2015 年，Jon Friedman 和Mark Bouchard 在《网络威胁情报权威指南》(Definitive Guide to Cyber Threat Intelligence)中对威胁情报所下的定义：对敌方的情报及其动机、企图和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产。

因此，威胁情报就是保护资产的威胁信息集合。通过威胁情报检测识别，可对被保护资产存在或潜在的安全威胁进行感知，对被保护资产遭受的安全威胁趋势提供数据依据和处置决策。

2014年10月，美国国家标准与技术研究院(NIST)发布了《NIST SP800-150: Guide to Cyber Threat Information Sharing》草案[2]，2016 年10 月发布终稿。NIST SP800-150是对NIST SP 800-61的扩充，将信息共享、协调、协同扩展至事件响应的全生命期中。该标准旨在帮助组织在事故应急响应生命周期过程中建立、参与和维护信息共享、协同合作关系，提出威胁情报应具备时效性、相关性、准确性、具体性、可执行性等特征。

威胁情报概念在2015年前后被引入中国市场，并在2017年、2018年得到快速发展。2018年10月10日，威胁情报国家标准——《信息安全技术网络安全威胁信息格式规范》(GB/T 36643-2018)正式发布，成为国内第一个关于威胁情报的标准[3]。2019年以后，随着等保2.0标准、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《关键信息基础设施安全保护条例》等政策法规的陆续发布，威胁情报的政策环境日益完善，威胁情报市场稳健发展。

3 高校网络安全现状

随着高校校园网数字化建设进程的不断推进和发展，校园网融会贯通，数据共享访问，信息系统平台化集成，移动应用智能化接入等技术场景的应用逐渐打破了传统网络、数据、应用、访问等之间的隔离边界和访问控制，学校管理、教学、学习呈现了全新的信息化模式。随之而来，信息化校园网所面临的网络安全风险也逐渐增大，APT攻击、0Day漏洞、加密流量等高级威胁的不断出现，由于其未知性和隐蔽性的特点，成为当前安全工作的难点。

随着《网络安全法》《数据安全法》《等保2.0》等法律法规颁布实施及教育部主管单位对教育行业信息化安全建设指导和政策要求，高校不断加大校园网网络安全建设资金投入，积极开展校园网网络安全建设，越来越多的新一代防火墙、入侵防御、Web应用防火墙、威胁分析系统等安全设备部署到校园网中，极大地提升了校园网安全防护保障能力。但在校园网实际网络安全运营过程中仍存在安全设备之间相对孤立，数据之间缺乏共享，安全处置滞后等问题。一是产生大量的重复数据或噪声数据，给高校日常的网络安全运维工作带来极大的困难；二是传统的网络设备多采用静态启发式规则检测机制，无法有效应对高级变化的网络攻击行为(APT)；三是安全设备之间缺乏有效情报数据共享协作机制，面对网络攻击威胁无法第一时间快速识别，响应、处置，安全“关口前移”，校园网安全事件频频发生。

面对不对称的“攻防对抗”威胁，攻击技术高级化、攻击工具武器化、攻击目标定向化等特性，使得高校传统的网络安全防御体系和安全技术疲于应对。随着国家及各个行业对网络安全的逐渐重视，面对当前网络安全建设体系不足，安全威胁情报逐渐受到重视并且快速发展的现状，通过安全威胁情报共享机制为面临网络威胁的信息资产主体提供准确、全面的、详细的安全威胁画像数据知识信息，为信息安全技术人员研判和网络安全设备防御处置提供数据支撑。

4 高校威胁情报建设必要性

校园网作为典型的信息化网络环境，同时受到来自校网内部与外部互联网的网络安全威胁，尤其是全国高校的校园网建设、信息系统建设和应用环境的趋同性和共性问题使得高校网络与信息化遭受的网络安全攻击威胁更加严峻。

1)校园网建设之初主要以基础网络建设为主，保障校园网的连通性和校园网带宽的稳定可用性，网络安全保障措施相对较弱。高校校园网多以大二层网络域规划建设为主，网络域间访问控制缺失。目前校园网普遍存在的诸多互联网出入口也使得整个校园网网络安全保障更加困难。

2)随着信息化的发展，各高校普遍建设了以教务系统、财务系统、OA 系统、办事大厅、网站群系统、统一身份认证系统、一卡通系统、期刊出版系统、图书系统、统一门户系统等多种类型的信息系统，并通过校园网提供各种信息服务。信息资产多、资产暴露面广、安全漏洞频发、软件供应链普适性较高等特性，使得高校面临着严峻的安全攻击威胁，一旦某处信息系统被黑客组织攻陷，将会导致连片式失陷的安全风险威胁。

3)很多高校在培养人才之外还承担着国家、区域及行业的各项科学研究工作，拥有大量的各种人员信息、教学、管理及科研等重要数据。一直以来，高校网络系统备受黑客组织青睐，频发遭受恶意网络攻击，尤其是受恶意政治和经济利益驱动的黑客组织(APT)对全国高校发起的攻击威胁，给我国高校带来严重网络威胁和安全损失。如美国国家安全局(NSA)的“特定入侵行动办公室”TAO针对西北工业大学发起的网络攻击、窃取敏感数据的行为就是典型针对高校教育系统的网络APT攻击威胁。

4) 随着全国高校数字化、智能化进程的快速发展，校园网虚拟化、大数据及云平台等技术的广泛使用，高校逐渐加大了高性能服务器、高质量带宽的网络链路的采购建设，为高校智慧教学的开展提供基础设施保障。由于网络安全相对信息化建设的滞后性，使得整体安全防护能力建设相对碎片化，安全设备“孤岛运行”。加上安全意识不足、网络开放、安全漏洞频发、安全人员技术力量不足等实际，使得高校信息系统数据泄露、加密勒索、挖矿木马攻击等安全威胁事件频发，给学校的日常管理、正常教学及社会声誉带来极大的安全威胁和损失。

基于高校网络与信息化建设的趋同性，面临网络安全威胁的共同性，通过构建高校用户场景化的威胁情报融合共享平台，通过对校园网安全威胁数据采集、外部情报和教育网CCERT 情报融合接入等，通过高校网络威胁情报融合分析平台进行多源数据聚合分析和研判，有效提取针对高校行业属性威胁情报集，从全局视角看待高校面临的网络安全威胁态势，积极开展前置处置和应急响应，能积极发挥高校网络安全威胁情报安全价值。

5 高校威胁情报系统化建设

面对当前复杂多样的网络环境，网络攻击逐渐趋向于组合混淆的，定向的，隐蔽和高级的(APT)的攻击方式，传统的安全设备对于此类攻击行为疲于应对，缺乏联动协作和威胁数据共享的能力，未来的网络安全是一种泛安全，单一的网络安全设备将无法完全应对当前复杂的攻击行为。

威胁情报是某种基于证据的知识集，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于保护资产相关主体对威胁或危害的响应或处理决策提供信息支持。威胁情报的工作特点：1)一威胁情报在事前可以起到预警的作用，为安全运营人员响应决策提供数据支持；2)在威胁发生时可以通过威胁情报共享协作联动各类安全设备进行精准检测和自动处置响应；3)通过威胁情报的情报要素包括威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等在安全威胁事件发生后为安全运营人员提供威胁分析和溯源，并进一步对安全策略优化和安全措施加固等提供决策帮助。

面对高校信息化网络安全建设现状，从校园网网络安全建设和运维需求出发，利用大数据分析技术，通过设计威胁情报模型，对学校海量的日志数据进行采集计算，接入第三方安全威胁情报数据，对威胁数据进行关联分析和交叉验证，有效提取包括IP、域名、服务、端口、行为特征、文件、MD5、Hash值等关键要素信息，对威胁情报的可信度、抗污染和老化机制进行有效控制更新，进而实现符合高校网络环境场景需求的高校威胁情报体系，落实常态化的校园网安全威胁情报中心生产及运营平台，并应用于现代化智慧校园的服务运营和安全防御建设需求。

图1 高校威胁情报系统架构图

1)情报数据采集

情报数据采集模块作为威胁情报系统的基础模块，负责对校园网已有的安全设备日志进行集中化统一采集预处理，包括资产数据，防火墙、IDS/IPS、WAF等安全设备日志数据，APT 设备、流量探针等流量数据，完成原始数据格式化和标准化操作。

2)情报数据分析

情报数据分析模块是整个校园网情报中心平台的核心系统模块之一，负责对统一采集的原始数据进行二次降噪去重等处理，并通过威胁情报模型算法，对威胁数据进行聚合分析，提取关键的威胁情报要素，包括：IP、URL、域名、服务、端口、来源、攻击特征、文件hash等。并通过情报数据IP资产测绘，识别恶意情报IP或URL 的指纹信息、社会数据等，并将情报资产数据和威胁数据进行管理分析，同时通过信誉度算法进行可信度验证评价，最后通过验证机制进行可靠性验证后存入威胁情报数据库，为情报运营平台提供威胁情报数据支撑。

3)情报安全运营

情报安全运营是面向整个校园网威胁情报支撑的管理运营平台[4]，对整个校园网威胁情报的态势展示、情报数据统计、情报数据查询分析、共享交换[5]、订阅上报及生产策略管理，包括生产监控、模型修订、参数调整等。通过威胁情报管理运营平台，实时查看校园网的网络威胁状态，并通过情报查询分析和数据共享[6]，为校园网安全运营提供威胁情报验证分析，减轻安全运维人员的运维压力，积极建立“情报共享、联防联控”的纵深安全防御体系。

图2 情报类型

其中，威胁情报共享协作模块作为整个威胁情报平台的核心模块，负责数据共享分发，将高校网内情报数据、第三方商业情报及CCERT 教科网共享情报进行融合共享分发至高校校园网各类安全设备，实现对校园网安全威胁协同检测、分析、关联协作、共享处置。

图3 情报共享

6 高校威胁情报应用价值

通过对校园网安全威胁情报技术研究和场景化应用，建立校园网本地化威胁情报中心平台，实现对校园网威胁情报数据集中采集、生产、管理与情报共享分析。满足校园网用户的情报订阅与威胁溯源，对智慧校园网络安全防护策略和威胁监测预警机制赋能，对智慧校园网进行安全运营风险评估。

1)构建可信的威胁情报运营体系，通过研究设计校园网威胁情报中心平台，对校园网各类安全日志数据进行集中采集、归类合并、聚合降噪、要素提取、老化控制等威胁情报生产和管理运营。并设计符合《GB/T 36643-2018 网络安全威胁信息格式规范》、STIX系列数据格式API接口，满足外部第三方威胁情报数据的接入和运营。

2)建立威胁情报安全共享体系，通过本地化威胁情报APIs输出接口，给学校已有的安全防护设备进行情报赋能，提高各安全设备之间的协同联防能力。

3)为学校的各个网络安全检测设备和安全态势感知提供网络安全检测关联分析依据，提升网络安全监测预警能力，及时发现校园网网络安全存在的潜在安全风险，为网络安全处置研判提供决策依据。

4)通过威胁情报知识画像体系，对校园网发生的恶意攻击、安全事件等提供反查溯源分析能力，帮助学校安全人员对网络安全攻击事件进行溯源分析，加固安全风险。

总之，通过高校威胁情报系统化建设，在广泛收集各类威胁情报的基础之上，通过大数据分析搜集到的威胁情报，可以有效提取、精准定位针对高校行业的网络攻击威胁，展现威胁态势分析，从而帮助高校积极开展前置处置和应急响应，有效及时地抵御各类针对高校的网络安全攻击。

通过搭建标准化威胁情报体系接口，允许可信高校用户接入，提供上传分析情报，扩大情报来源面，从而提升大数据分析的研判能力，提升分析准确性，提升发现及时性。同时可以为各可信高校用户提供分析结果自动下发，反馈给各高校用户，从而形成群防群策的高校安全体系，提升高校的整体网络安全防护能力。