随着高校智慧校园建设的不断深入,大量信息系统的上线极大地提升了高校的治理能力和管理水平,海量的数据资源为高校决策提供了精准、可靠的数据支撑。然而,由于软件供应链体系的动态性、复杂性、开放性等特点,由其引发的网络安全事件层出不穷。2020年爆发的SolarWinds事件、2021年爆发的Log4Shell/Log4j远程可执行漏洞等攻击事件,均揭开了软件供应链体系存在的问题和隐患,也折射出供应链攻击存在潜在性、隐蔽性、精准性、持续性等特点。因此,如何有效地识别和防范软件供应链体系中存在的风险,确保高校信息系统安全稳定运行,确保数据资源完整可靠,是高等教育参与者需要重点关注的问题。
什么是高校软件供应链安全风险?
认识高校软件供应链
高校软件供应链是指高校在信息化建设过程中,由软硬件、网络、人员、数据等资源组成的,从需求分析、设计开发、运行维护等环节构成的全生命周期体系。高校软件供应链涉及厂商、集成商、服务商、高校师生等众多主体和人员,多种不确定因素导致的安全风险复杂而多变,脆弱的供应链可能会造成系统崩溃、业务中断、数据泄露等后果,对高校的声誉和发展产生负面影响。
软件供应链攻击定义
狭义的软件供应链攻击:美国网络安全和基础设施安全局(CISA)将软件供应链攻击定义为:“当网络威胁行为者侵入软件供应商的网络,并在供应商将软件发送给客户之前使用恶意代码破坏软件时,就会发生这种攻击。”
广义的软件供应链攻击:包含一系列网络安全威胁行为,主要针对供应商、软件开发人员和最终用户,目的是通过寻找不安全的网络协议、未受保护的服务器基础结构和不安全的编码做法,在应用和更新的过程中感染合法的应用来分发恶意软件,从而达到攻击供应链上下游企业的网络安全体系、窃取用户数据的目的。
软件供应链攻击典型案例
第一,SolarWindsSUNBURST后门。2020年12月,网络安全公司FireEye发布报告称,SolarWinds旗下的Orion基础设施管理平台的发布环境遭到入侵,攻击者在入侵SolarWinds后,将其官网提供的Orion软件安装包植入后门,从而实现供应链预制攻击。
第二,Apache Log4Shell/Log4j漏洞攻击。2021年12月,网上爆出Log4j远程命令执行漏洞,该漏洞利用了基于Java的Apache实用程序Log4j,允许黑客执行远程代码,包括完全控制服务器、通过受影响的设备或应用程序访问整个网络和数据,执行数据的删除或加密等动作。
第三,KaseyaVSA攻击。REvil勒索软件团伙在其暗网上发布消息称,他们已于2021年7月入侵了托管服务提供商Kaseya,通过攻击KaseyaVSA中的漏洞,他们的勒索软件已经影响了1500家KaseyaVSA的客户。
软件供应链环节复杂、暴露面多,导致高校软件系统在其生命周期的各个环节都存在供应链安全风险,由此受到攻击的频率和破坏程序正在逐年上升,已经成为最危险的网络安全威胁之一。
各环节安全风险分析
开发过程中的安全风险
一是第三方组件和开源代码。目前,全球已有超过80%的商业软件是在开源软件的基础上进行的二次开发,我国高校的绝大多数软件也是此种情况。开发人员依赖一系列第三方组件、开源代码和工具来创建和二次开发,使用预构建的库,开发人员只需编写专有代码,使得第三方组件库或开源代码构成了软件供应链的一部分。这样集成虽然是低成本高效率的,但同时也带来了极大的安全风险。这类代码一旦出现安全问题,势必会传递到下游的软件产品,必将造成广泛而严重的影响。
二是开发人员的技术水平参差不齐。高校软件系统多由第三方公司和师生联合开发,缺乏统一的技术标准和代码规范,一些开发人员对安全需求理解不足,代码未经充分的安全测试和审计,对开发环境管控不严,暴露了源码和系统配置等信息,导致系统存在漏洞和后门。
交付和运营过程中的安全风险
一方面,互联网暴露面过大。2023年11月,德国电信2000万网络用户中的大约90万台路由器发生故障,导致大面积网络访问受限,最终确认原因是路由设备的维护界面被暴露在互联网上,且互联网上正在发生针对性攻击。CybelAngel最新发布的报告称,防火墙之外的资产暴露已经成为各行业网络安全威胁的最大来源。
另一方面,账号泄露以及弱口令问题。据奇安信发布的《2023年中国企业勒索病毒攻击态势分析报告》,全国发生的勒索攻击重大事件中,49.5%的勒索攻击事件明确与弱口令有关。
维护过程中的安全风险
一是系统更新和软件升级。在系统更新或软件升级时,如果没有进行充分的安全测试和验证,可能会引入新的安全漏洞和隐患,甚至引发网络安全事件。
二是运维人员的风险意识。部分运维人员由于安全意识淡漠,服务器安装了盗版软件,导致操作系统、数据库带病运行。另外,相关文档和配置文件明文存储在服务器上,极易造成密码、密钥等泄露问题。
数据保护措施不完善带来的信息泄露风险
高校信息系统中包含学校基础数据、教务信息、科研成果以及师生个人信息等敏感数据,这些数据如果被非法窃取,将会对高校及师生造成严重损失。2023年8月“南昌网警巡查执法”公众号披露了一起高校数据泄露事件,据调查可知,该高校在开展数据处理过程中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
基础网络安全防护体系不健全带来的安全风险
防火墙、IPS、安全感知平台、日志审计等安全设备存在安全漏洞或未进行有效配置,产品间缺乏有效的安全联动防御机制,安全运营能力薄弱;业务场景未进行有效分类,缺少安全防护策略;服务器开放过多端口,防火墙关闭;杀毒软件更新不及时;操作系统弱口令等情况均会引发网络安全事件。
安全风险防范“十步走”
针对软件供应链安全问题,国家也出台了相关法规和制度,例如《网络安全审查办法》《关键信息基础设施安全保护条例》等,高校只有依法合规地开展网络活动,走好下面这十步,才能构建相对完善的软件供应链安全体系。
第一步,加强软件系统的安全准入。制定全面细致的准入要求和规范,加强对软硬件产品选型、验收、入网等环节的安全检查,开展源代码审计及渗透测试工作,将相关漏洞和安全威胁消灭在初级阶段,尽量做到防护端口前移。
第二步,实施零信任机制。人为因素仍然是网络安全最大的风险,因此高校实施零信任框架显得尤为重要。零信任假定不再有传统的网络边界,而是采用更严格、连续和动态的用户身份验证方法,在每个网络和应用程序入口均部署以用户为中心的控制、审计及验证授权机制,同时防止远程控制导致的意外或故意违反安全策略等行为。
第三步,强化对软件企业的管理。软件企业作为供应链管理的重要部分,高校应该依法合规地评估其安全资质,对安全证书、风险管理计划、安全服务体系、项目开发流程、应急响应处置进行全面审核和评估,通过SDL(一套开放源代码的跨平台多媒体开发库)和SecDevOps推动软件企业实现软件应用的原生安全。
第四步,加强信息系统资产管理。高校要建立信息系统资产台账,包括但不限于技术标准、开发框架、中间件、操作系统、数据库、端口、数据加密措施、漏洞更新日志等,健全分类管理体系,严格按照最小化开放原则开放必要的端口和服务,定期审核并更新资产台账,保证在事件发生时可溯源、可处置、可恢复。
第五步,加强基础网络的安全技术防范。高校应建立多层次的网络安全防护体系,完善全局联动预警和处置机制,采取适当的数据加密、防火墙、入侵防御、审计等技术手段提高基础网络的安全性。
第六步,建立漏洞情报收集机制。加强漏洞情报收集和分析工作,与安全厂商建立合作关系,力争在第一时间获取相关开源软件、数据库及操作系统的漏洞,并与本单位的资产台账进行快速匹配,从而及时地完成漏洞扫描、修复、加固等工作。
第七步,加强安全运维管理。通过培训强化运维人员的安全意识,通过考核等手段提高其安全能力和水平,特别是对远程运维人员要加强VPN的安全防护,全面推行管理后台复杂密码和双因子认证、强制堡垒机运维等措施,对运维操作进行监测、审计、跟踪。
第八步,建立完善的数据保护机制。按照“谁主管谁负责、谁采集谁负责、谁使用谁负责”的原则,规范数据采集、存储、审核、发布、传输等工作流程,加强对外包数据处理活动的监管,完善数据安全事件应急响应机制,确保数据资源的机密性、完整性和可用性。
第九步,狠抓制度机制建设。健全安全管理制度,明确各级责任人的责权;制定事件响应和灾难恢复计划,确定事件级别、网络攻击的取证分析处置流程、网络安全演练计划等,强化供应链安全事件的响应、处置、恢复以及事件上报等环节的规范要求,做到有制可依、有规可守、有序可循。
第十步,引入软件供应链安全厂商参与全流程检测和整改。高校可以借助软件供应链安全厂商的专业能力和丰富的经验,帮助其识别和防范潜在的安全威胁,保护关键资产,规避法律纠纷,提升供应链各环节的规范性和安全保障能力。
结论与展望
随着高校信息化建设的不断深入和新兴技术的应用,高校信息系统供应链体系的安全风险也将不断变化和升级。因此,高校在建立健全管理制度、强化网络安全防护体系、规范参与者网络行为的基础上,可以适当引入区块链技术增加供应链透明度,应用物联网技术实时监控供应链网络中的各种设备,利用AI智能分析和预测技术优化供应链决策和自动化水平,在风险可控、依法合规的前提下开展高校信息系统的建设工作,从而实现提升高校治理体系和管理水平的目的。
来源:《中国教育网络》
作者:姜宏伟(吉林体育学院网络与信息中心)
责编:陈永杰