馬永忠

【摘? 要】 為應(yīng)對(duì)高校日益復(fù)雜的網(wǎng)絡(luò)環(huán)境安全挑戰(zhàn)，文章針對(duì)性地探索了構(gòu)建面向攻擊鏈聚合的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式。通過(guò)深入分析高校網(wǎng)絡(luò)的特點(diǎn)和攻擊鏈理論，設(shè)計(jì)了一套涵蓋預(yù)防、檢測(cè)、響應(yīng)和恢復(fù)策略的完整運(yùn)營(yíng)模式，并結(jié)合了如SIEM系統(tǒng)、下一代防火墻和EDR等先進(jìn)的安全聚合技術(shù)與工具。研究得出，應(yīng)用此模式不僅有效地提高了網(wǎng)絡(luò)安全防護(hù)能力，還為高校提供了高效的網(wǎng)絡(luò)安全信息管理和分析手段，從而有助于構(gòu)建更加安全、穩(wěn)定的高校網(wǎng)絡(luò)環(huán)境。

【關(guān)鍵詞】 高校安全運(yùn)營(yíng)；IOC；IOA；XDR；網(wǎng)端告警聚合

一、高校網(wǎng)絡(luò)環(huán)境的特點(diǎn)與挑戰(zhàn)

（一）高校網(wǎng)絡(luò)的復(fù)雜性

高校網(wǎng)絡(luò)環(huán)境因其獨(dú)特的教育和研究背景，形成了極為復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)。首先，從硬件設(shè)備的角度，高校網(wǎng)絡(luò)需要支持各種設(shè)備接入，包括但不限于學(xué)生的個(gè)人電腦、移動(dòng)設(shè)備、實(shí)驗(yàn)室的專業(yè)儀器以及為特定學(xué)術(shù)研究而定制的系統(tǒng)。每種設(shè)備都有其特定的網(wǎng)絡(luò)需求和安全挑戰(zhàn)。其次，由于學(xué)校涵蓋了從本科到博士的各個(gè)學(xué)階，以及眾多不同的學(xué)術(shù)和研究部門(mén)，這導(dǎo)致了不同的用戶對(duì)網(wǎng)絡(luò)的需求也有很大的差異。例如，設(shè)計(jì)專業(yè)的學(xué)生可能需要大量的帶寬來(lái)下載和上傳大型文件，而計(jì)算機(jī)科學(xué)的研究生可能需要特定的端口來(lái)進(jìn)行遠(yuǎn)程服務(wù)器訪問(wèn)。這種多元性和復(fù)雜性要求網(wǎng)絡(luò)管理員必須具備高度的技術(shù)專業(yè)性，以確保網(wǎng)絡(luò)既能滿足多樣化的需求，同時(shí)也保持穩(wěn)定和安全。

（二）高校網(wǎng)絡(luò)中的信息安全教育和意識(shí)形態(tài)問(wèn)題

高校網(wǎng)絡(luò)環(huán)境不僅面臨技術(shù)層面的挑戰(zhàn)，還深受信息安全教育和意識(shí)形態(tài)問(wèn)題的困擾。首先，雖然大多數(shù)學(xué)生都是數(shù)字原住民，但他們對(duì)網(wǎng)絡(luò)安全的認(rèn)知往往仍然停留在表面，缺乏深入的信息安全教育和培訓(xùn)。這導(dǎo)致了許多潛在的安全風(fēng)險(xiǎn)，例如：輕易點(diǎn)擊未知鏈接、下載不明軟件或在不安全的網(wǎng)站上輸入個(gè)人信息等。其次，高校作為學(xué)術(shù)自由和知識(shí)傳播的圣地，也面臨著意識(shí)形態(tài)的挑戰(zhàn)。網(wǎng)絡(luò)上各種不同的聲音和觀點(diǎn)交織，如何確保學(xué)生在開(kāi)放的網(wǎng)絡(luò)環(huán)境中堅(jiān)守正確的意識(shí)形態(tài)，不被有害信息所侵蝕，是每所高校都需要面對(duì)的現(xiàn)實(shí)問(wèn)題。

（三）高校網(wǎng)絡(luò)的開(kāi)放性與安全需求之間的矛盾

高校網(wǎng)絡(luò)環(huán)境在其構(gòu)建和運(yùn)營(yíng)中面臨著一個(gè)明顯的矛盾，即開(kāi)放性與安全需求之間的張力。高校是知識(shí)與創(chuàng)新的搖籃，強(qiáng)調(diào)學(xué)術(shù)自由和信息的無(wú)障礙獲取。這就要求其網(wǎng)絡(luò)環(huán)境具有高度的開(kāi)放性，以滿足30%的學(xué)術(shù)研究和50%的在線學(xué)習(xí)需求，從而為學(xué)生和教師提供豐富的學(xué)術(shù)資源、在線課程以及合作交流的平臺(tái)。同時(shí)，20%的娛樂(lè)需求也意味著學(xué)生在課余時(shí)間使用網(wǎng)絡(luò)進(jìn)行休閑與放松，這進(jìn)一步要求網(wǎng)絡(luò)的流暢性和多樣性。然而，這種開(kāi)放性也意味著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的增加。隨著網(wǎng)絡(luò)攻擊手段的不斷演進(jìn)，從基本的垃圾郵件攻擊到復(fù)雜的定向攻擊，高校網(wǎng)絡(luò)成為攻擊者的理想目標(biāo)，因?yàn)樗鼈兺ǔ０罅康难芯繑?shù)據(jù)、學(xué)生個(gè)人信息以及教育資源。因此，如何在保證開(kāi)放性的同時(shí)滿足安全需求，建立一個(gè)既開(kāi)放又安全的網(wǎng)絡(luò)環(huán)境，成為高校信息技術(shù)部門(mén)的主要挑戰(zhàn)，也是當(dāng)下網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)問(wèn)題之一。

二、攻擊鏈理論基礎(chǔ)

（一）攻擊鏈的定義

攻擊鏈，通常被定義為一系列描述網(wǎng)絡(luò)攻擊從起始到最終目標(biāo)實(shí)現(xiàn)的有序階段的模型，提供了深入理解網(wǎng)絡(luò)攻擊如何逐步發(fā)展和執(zhí)行的框架。從最初的攻擊者通過(guò)社交工程、惡意軟件等方法，探索并找到目標(biāo)用戶的潛在弱點(diǎn)，到進(jìn)一步利用這些弱點(diǎn)在用戶的瀏覽器中注入惡意代碼，每一步都揭示了攻擊者的策略和意圖。當(dāng)惡意代碼在用戶訪問(wèn)的頁(yè)面中得以執(zhí)行，它有可能完全控制用戶的瀏覽器或甚至其操作系統(tǒng)，進(jìn)而竊取敏感數(shù)據(jù)，如個(gè)人信息或登錄憑證。此外，攻擊者可能會(huì)進(jìn)一步在數(shù)據(jù)傳輸?shù)倪^(guò)程中篡改信息，破壞數(shù)據(jù)的真實(shí)性和完整性。為確保其行為不被安全系統(tǒng)捕獲，攻擊者會(huì)采用如編碼轉(zhuǎn)換、混淆等方法逃避安全過(guò)濾。最后，利用已被控制的用戶系統(tǒng)，攻擊者可能會(huì)繼續(xù)擴(kuò)大其攻擊范圍，對(duì)其他用戶發(fā)起新的攻擊活動(dòng)。整體來(lái)看，攻擊鏈不僅深入地呈現(xiàn)了一個(gè)攻擊事件的全過(guò)程，更為安全專家提供了在各個(gè)關(guān)鍵階段采取應(yīng)對(duì)措施的參考，幫助他們制訂更有效的防護(hù)策略和響應(yīng)機(jī)制。

（二）攻擊鏈的各個(gè)階段和特點(diǎn)

攻擊鏈描述了從攻擊者的初步偵查到成功實(shí)施攻擊的一系列連續(xù)和分階段的步驟。首先，是偵查階段，攻擊者在這一階段主要對(duì)目標(biāo)進(jìn)行初步的信息收集和分析，識(shí)別系統(tǒng)弱點(diǎn)和可能的入侵路徑。其次，是武器化階段，在此，攻擊者為特定目標(biāo)準(zhǔn)備惡意代碼和攻擊工具，例如創(chuàng)建帶有惡意負(fù)載的文件或鏈接。接下來(lái)的傳送階段，攻擊者將這些武器化的工具傳送給受害者，常見(jiàn)的方式有電子郵件、社交工程攻擊等。一旦受害者與這些惡意載荷互動(dòng)，就進(jìn)入了利用階段，此時(shí)，目標(biāo)系統(tǒng)的漏洞被利用，為攻擊者提供了進(jìn)入系統(tǒng)的通道。在安裝階段，惡意軟件被植入目標(biāo)系統(tǒng)，并開(kāi)始執(zhí)行其預(yù)定任務(wù)。再次，攻擊者在命令和控制階段通過(guò)遠(yuǎn)程控制惡意軟件，進(jìn)一步對(duì)受害者的系統(tǒng)進(jìn)行操縱。最后，是執(zhí)行階段，攻擊者為達(dá)到其最終目的，可能會(huì)進(jìn)行數(shù)據(jù)竊取、系統(tǒng)損壞或其他惡意活動(dòng)。每個(gè)階段都有其獨(dú)特的特點(diǎn)，對(duì)防御者而言，理解這些階段是關(guān)鍵，因?yàn)樗鼮榉烙呗蕴峁┝硕鄠€(gè)潛在的干預(yù)點(diǎn)，使他們能夠更有效地阻止或減輕攻擊的影響。

三、面向攻擊鏈的高校網(wǎng)絡(luò)安全運(yùn)營(yíng)模式

（一）預(yù)防策略：識(shí)別與評(píng)估潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)

面向攻擊鏈的高校網(wǎng)絡(luò)安全運(yùn)營(yíng)模式高度重視預(yù)防策略，認(rèn)為其是維護(hù)網(wǎng)絡(luò)安全的第一道防線。在預(yù)防策略中，需要對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行深入地識(shí)別和評(píng)估，明確網(wǎng)絡(luò)中的所有資產(chǎn)、服務(wù)、應(yīng)用及其之間的依賴關(guān)系。借助先進(jìn)的網(wǎng)絡(luò)掃描和威脅情報(bào)工具，能夠定期檢測(cè)并發(fā)現(xiàn)系統(tǒng)中的潛在漏洞和配置缺陷。此外，通過(guò)對(duì)外部威脅情報(bào)的收集和分析，可以提前了解當(dāng)前的攻擊趨勢(shì)、新興的惡意軟件和攻擊技術(shù)，從而提前布置防御措施。高校還需要定期對(duì)其IT團(tuán)隊(duì)和普通用戶進(jìn)行信息安全培訓(xùn)，增強(qiáng)他們對(duì)最常見(jiàn)的社交工程攻擊、釣魚(yú)郵件等威脅的認(rèn)識(shí)，使其不成為攻擊者的易受攻擊目標(biāo)。

（二）檢測(cè)策略：采用下一代防火墻技術(shù)監(jiān)測(cè)網(wǎng)絡(luò)流量

面向攻擊鏈的高校網(wǎng)絡(luò)安全運(yùn)營(yíng)模式在檢測(cè)策略上強(qiáng)調(diào)運(yùn)用先進(jìn)的下一代防火墻（NGFW）技術(shù)來(lái)細(xì)致監(jiān)測(cè)網(wǎng)絡(luò)流量。與傳統(tǒng)的防火墻只關(guān)注端口和協(xié)議不同，下一代防火墻深度解析傳輸?shù)膬?nèi)容，能夠識(shí)別和控制應(yīng)用層面的行為，從而對(duì)惡意活動(dòng)進(jìn)行更為精準(zhǔn)的檢測(cè)。NGFW集成了入侵檢測(cè)系統(tǒng)（IDS）和入侵預(yù)防系統(tǒng)（IPS），能夠?qū)崟r(shí)地識(shí)別已知的攻擊模式和異常行為，同時(shí)也支持用戶自定義規(guī)則，使其更為貼合高校的特定網(wǎng)絡(luò)環(huán)境。更為重要的是，它具備學(xué)習(xí)和適應(yīng)能力，可以根據(jù)實(shí)時(shí)網(wǎng)絡(luò)流量動(dòng)態(tài)地調(diào)整規(guī)則，實(shí)現(xiàn)對(duì)零日攻擊的有效攔截。此外，其與其他安全設(shè)備的整合能力，如沙箱、終端檢測(cè)與響應(yīng)（EDR）等，使得檢測(cè)策略更為全面和前瞻，確保高校網(wǎng)絡(luò)在各種復(fù)雜攻擊面前都能有充足的應(yīng)對(duì)準(zhǔn)備。

（三）響應(yīng)策略：利用EDR系統(tǒng)進(jìn)行快速響應(yīng)

面向攻擊鏈的高校網(wǎng)絡(luò)安全運(yùn)營(yíng)模式中，響應(yīng)策略的核心是運(yùn)用終端檢測(cè)與響應(yīng)（EDR）系統(tǒng)以確保對(duì)安全事件的迅速、高效應(yīng)對(duì)。EDR系統(tǒng)是一種專門(mén)針對(duì)終端的安全解決方案，能夠?qū)崟r(shí)監(jiān)控、記錄并分析終端上的所有活動(dòng)，從而迅速發(fā)現(xiàn)惡意行為并采取行動(dòng)。當(dāng)EDR系統(tǒng)檢測(cè)到潛在的惡意活動(dòng)時(shí)，它不僅能自動(dòng)隔離受影響的終端，阻止攻擊的進(jìn)一步傳播，還能通過(guò)深入的分析為安全團(tuán)隊(duì)提供詳細(xì)的攻擊上下文，使其能夠更為準(zhǔn)確地理解攻擊的來(lái)源、方法和目的。此外，EDR還具有強(qiáng)大的數(shù)據(jù)搜索和可視化工具，支持安全團(tuán)隊(duì)進(jìn)行進(jìn)一步的調(diào)查和取證。

（四）恢復(fù)策略：確保網(wǎng)絡(luò)和數(shù)據(jù)完整性

在面向攻擊鏈的高校網(wǎng)絡(luò)安全運(yùn)營(yíng)模式中，恢復(fù)策略扮演著至關(guān)重要的角色，它旨在發(fā)生安全事件后迅速恢復(fù)網(wǎng)絡(luò)和數(shù)據(jù)的完整性。高校網(wǎng)絡(luò)系統(tǒng)存儲(chǔ)著大量的敏感和關(guān)鍵數(shù)據(jù)，包括學(xué)術(shù)研究、學(xué)生個(gè)人信息、財(cái)務(wù)數(shù)據(jù)等，因此保障數(shù)據(jù)完整性及時(shí)恢復(fù)至其原始狀態(tài)是至關(guān)重要的。恢復(fù)策略涉及備份與災(zāi)難恢復(fù)解決方案的制訂，確保數(shù)據(jù)能在被篡改、刪除或加密（例如：勒索軟件攻擊）后被迅速恢復(fù)。同時(shí)，網(wǎng)絡(luò)完整性的恢復(fù)則要求系統(tǒng)能夠在遭受攻擊后，例如DDoS攻擊或惡意軟件入侵后，迅速隔離、清除威脅并恢復(fù)正常運(yùn)行狀態(tài)。此外，恢復(fù)策略還強(qiáng)調(diào)了對(duì)事故發(fā)生后的深入分析，通過(guò)識(shí)別攻擊的原因和缺陷，不僅修復(fù)當(dāng)前的問(wèn)題，還能夠防止類似的安全事件在未來(lái)重新發(fā)生，從而確保高校網(wǎng)絡(luò)環(huán)境的長(zhǎng)期穩(wěn)定和安全。

四、高校網(wǎng)絡(luò)安全聚合技術(shù)與工具

（一）使用SIEM系統(tǒng)聚合和分析網(wǎng)絡(luò)安全信息

在高校的網(wǎng)絡(luò)安全架構(gòu)中，安全信息和事件管理（SIEM）系統(tǒng)作為一個(gè)核心組件，它的主要功能是實(shí)時(shí)地聚合、監(jiān)測(cè)、分析和報(bào)告來(lái)自各種網(wǎng)絡(luò)設(shè)備、系統(tǒng)和應(yīng)用的安全事件。SIEM系統(tǒng)的核心價(jià)值在于它能夠從分布在整個(gè)網(wǎng)絡(luò)環(huán)境中的各種安全日志和事件中提取、標(biāo)準(zhǔn)化并關(guān)聯(lián)信息，從而為安全團(tuán)隊(duì)提供一個(gè)集中的、全局的視角。

通過(guò)對(duì)這些數(shù)據(jù)的深入分析，SIEM不僅可以及時(shí)發(fā)現(xiàn)并告警潛在的安全威脅，如未經(jīng)授權(quán)的訪問(wèn)、惡意軟件活動(dòng)和其他異常行為，而且還可以幫助安全團(tuán)隊(duì)識(shí)別和調(diào)查攻擊的來(lái)源、手段和目的。此外，對(duì)滿足合規(guī)要求、進(jìn)行事后取證和制訂安全策略都至關(guān)重要的安全報(bào)告和儀表板，SIEM系統(tǒng)也提供了寶貴的數(shù)據(jù)支持。

（二）下一代防火墻的角色與應(yīng)用

下一代防火墻（NGFW）在高校網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用，已逐漸成為信息安全策略的重要支柱。不同于傳統(tǒng)防火墻主要側(cè)重于端口和協(xié)議的過(guò)濾，NGFW融合了深度包檢查、應(yīng)用識(shí)別、用戶身份識(shí)別及入侵防護(hù)系統(tǒng)等多種先進(jìn)技術(shù)，為高校提供了更為細(xì)致和智能的網(wǎng)絡(luò)流量管理與控制能力。它能識(shí)別并控制應(yīng)用程序級(jí)別的行為，甚至在加密的流量中也能夠進(jìn)行深入檢測(cè)，從而有效地隔離和控制那些潛在的惡意軟件和高級(jí)持續(xù)性威脅（APT）。更進(jìn)一步的，NGFW還允許管理員基于用戶、設(shè)備和應(yīng)用程序的實(shí)際身份設(shè)定策略，這對(duì)高校這種多用戶、多設(shè)備、高度開(kāi)放的網(wǎng)絡(luò)環(huán)境具有特別意義。它不僅提高了安全防護(hù)的準(zhǔn)確性，還大幅提升了網(wǎng)絡(luò)資源的利用效率。

（三）EDR的價(jià)值：從終端側(cè)獲取的遙測(cè)數(shù)據(jù)

端點(diǎn)檢測(cè)與響應(yīng)（EDR）技術(shù)在高校網(wǎng)絡(luò)安全中所展現(xiàn)的價(jià)值已越發(fā)明顯，特別是在當(dāng)前復(fù)雜多變的網(wǎng)絡(luò)威脅環(huán)境下。EDR的核心價(jià)值體現(xiàn)在其能夠從終端設(shè)備側(cè)獲取豐富的遙測(cè)數(shù)據(jù)，進(jìn)一步實(shí)現(xiàn)深度的行為分析和持續(xù)監(jiān)控。這意味著，與僅停留在傳統(tǒng)的簽名基礎(chǔ)檢測(cè)方法不同，EDR能夠識(shí)別并對(duì)抗先進(jìn)的持續(xù)性威脅（APT）和日益復(fù)雜的惡意軟件。在高校這種設(shè)備眾多、網(wǎng)絡(luò)環(huán)境復(fù)雜的場(chǎng)景中，EDR提供了一個(gè)全面而細(xì)致的視角，使得安全團(tuán)隊(duì)能夠?qū)崟r(shí)捕獲和分析潛在的異常行為，迅速定位并響應(yīng)安全事件。此外，EDR還支持?jǐn)?shù)據(jù)富化、威脅狩獵和深度取證等高級(jí)功能，極大增強(qiáng)了對(duì)網(wǎng)絡(luò)安全事件的解讀和應(yīng)對(duì)能力。

（四）端到端的安全策略與解決方案

端到端的安全策略與解決方案為高校網(wǎng)絡(luò)環(huán)境提供了一套全面、連續(xù)且一致的安全防護(hù)體系?？紤]到高校獨(dú)特的網(wǎng)絡(luò)環(huán)境，從學(xué)生設(shè)備到教學(xué)資源，再到后端的學(xué)術(shù)數(shù)據(jù)庫(kù)，每一個(gè)終端都成為潛在的攻擊目標(biāo)。因此，端到端的策略從每一個(gè)訪問(wèn)點(diǎn)開(kāi)始，確保數(shù)據(jù)在傳輸、存儲(chǔ)和處理過(guò)程中的安全。首先，該策略強(qiáng)調(diào)在用戶入口處進(jìn)行嚴(yán)格的身份驗(yàn)證和訪問(wèn)控制，以確保只有合法用戶能夠訪問(wèn)資源。其次，它采用先進(jìn)的加密技術(shù)，確保數(shù)據(jù)在傳輸過(guò)程中免受竊聽(tīng)和篡改。最后，該策略還關(guān)注數(shù)據(jù)的完整性和保密性，使用各種工具和技術(shù)，如入侵檢測(cè)系統(tǒng)、防火墻和安全事件管理系統(tǒng)，來(lái)監(jiān)測(cè)和應(yīng)對(duì)潛在的安全威脅。

五、結(jié)語(yǔ)

高校網(wǎng)絡(luò)環(huán)境因其開(kāi)放與獨(dú)特性面臨諸多安全威脅。攻擊鏈理論為這些威脅提供了深入的認(rèn)知與應(yīng)對(duì)策略。文章詳細(xì)探究了高校網(wǎng)絡(luò)的特性和安全挑戰(zhàn)，并借助攻擊鏈構(gòu)建了全方位的安全運(yùn)營(yíng)模式。此模式涵蓋從預(yù)防到恢復(fù)的各個(gè)階段，強(qiáng)調(diào)全過(guò)程的安全管理，并結(jié)合了現(xiàn)代網(wǎng)絡(luò)安全工具，如SIEM、下一代防火墻和EDR，旨在確保網(wǎng)絡(luò)資源的完整性和安全性。隨著技術(shù)進(jìn)步和威脅多樣化，高校需不斷更新網(wǎng)絡(luò)安全策略，為全校創(chuàng)造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

［1］ 楊舉. 基于深度學(xué)習(xí)和攻擊鏈的攻擊檢測(cè)研究［D］. 廣州：廣州大學(xué)，2023.

［2］ 楊振宇. 多維構(gòu)建高校網(wǎng)絡(luò)安全屏障［J］. 安徽水利水電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2023，23（01）：82-86.

［3］ 陳敏鋒. 高校網(wǎng)絡(luò)安全運(yùn)營(yíng)防護(hù)體系研究［J］. 無(wú)錫商業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2022，22（06）：108-112.