高校如何优化“挖矿”治理体系？

　　自去年底启动虚拟货币“挖矿”活动整治工作以来，经过近四个月的努力，中山大学虚拟货币“挖矿”活动终于得到有效遏制。同时，整治工作也由集中歼灭战阶段转入常态化“动态清零”阶段。

　　“挖矿”活动整治期间，中山大学积极响应国家号召，各部门通力协助，共同整治“挖矿”活动。其中，信息化部门持续保持对“挖矿”活动监管的高压态势，不断加强宣传教育，全面提高计算机终端安全防护水平，重点整治防范因计算机终端感染病毒而造成的虚拟货币“挖矿”行为。虽然已取得一定成效，但后续整治工作仍任重道远。

“挖矿”治理困难重重

　　高校承担着人才培养、科学研究、社会服务等多项职能，校园内工作生活着数以万计的师生员工，这为“挖矿”整治带来了不少挑战。

　　1. 校园网络管理难度大。校园网络是统一出口的，不但接入了学校产权所有的计算机设备，还接入了师生员工携带的个人计算机终端，所以某种程度上也增加了校园网络管理的难度。以中山大学为例，中山大学跨广州、珠海、深圳三个城市办学，校园网覆盖3校区5校园，连接10家附属医院，规模大，覆盖面广。有线网的设备3千余台，无线接入点超过3.6万，有线网络信息点超过10万等。根据态势感知平台数据，目前学校校园网上网终端总数累计超过30万台。

　　2. 学校网络结构复杂、终端类型繁多。很多学校存在多运营商出口，不但在互联网出口发生IP地址转换，在校园网内部也存在大量NAT网络设备，导致“挖矿”行为难以追踪溯源。计算机终端种类繁多，既包括台式计算机、便携式计算机、路由器、虚拟机等，也包括自助服务设备、校园卡充值设备等；既有个人专用设备，也有多人共用设备；既有学校资产，也有个人资产。而且相关设备安全管理和安全防护水平也参差不齐。

　　“十三五”期间，中山大学网络安全保障工作的重心在重要系统和重要数据的防护上，在计算机终端防护方面存在短板弱项。所以在去年11月初，当接到地方发改委协查通知时，学校“挖矿”整治工作的起步就像一场准备不足的“遭遇战”。

构建管技结合的“挖矿”治理体系

　　“挖矿”整治的对象是矿工节点，矿工节点又分为独立矿工节点和非独立矿工节点。对于前者，要先切断节点与虚拟货币网络的通讯；对于后者，则先切断节点与矿池服务器的通讯。接下来，要清除节点上的“挖矿”程序，最后视调查取证情况，进一步处置节点设备的管理人和所在单位。中山大学在虚拟货币“挖矿”整治工作中探索出了一套管技结合、双管齐下的整治工作体系。

　　自上而下，全体动员

　　1. 自上而下，打通整治通道。中山大学高度重视整治工作：学校党委书记多次主持会议，布置整治工作；分管校领导定期听取汇报，指导整治工作，解决整治工作中的堵点；网络与信息中心作为牵头部门，成立了整治工作专班，中心负责人、中心多部门业务骨干参加，明确时间表、路线图，建立工作台账，挂图作战。

　　2. 加强宣传教育，增强防范意识。学校开设“挖矿”整治工作专题网站，给全校师生群发提醒邮件，利用微信公众号推文，进行防范“挖矿”宣传，普及终端安全防护相关知识，增强师生员工网络安全防范意识和个人处置能力。

　　3. 加强监察力度，完善检查问责机制。“挖矿”整治过程中，完善的检查问责机制不仅可以保障整治工作有序开展，还能高效推进整治进程。中山大学建立了“挖矿”检查问责机制，加强纪检监察力度，严格落实“挖矿”整治相关工作。

　 　技术整改“三步走”

　　“挖矿”行为难以预防，因此要以假设防不住为前提，以安全运营的思想和方法，建立由事前监测预警，事中拦截阻断，事后处置整改等部分构成的技术体系。

　　第一步，事前监测预警。中山大学使用校园网络安全态势感知平台、安全DNS云服务和校园网出口流量管理器等产品和服务构建了虚拟货币“挖矿”活动监测预警体系。通过该体系对计算机终端网络流量进行采集和分析，及时发现矿工节点与虚拟货币网络、矿池服务器或远程控制服务器的通讯；发现计算机终端对已知矿池服务器或远程控制服务器的域名查询，进而监测到虚拟货币“挖矿”活动。

　　第二步，事中拦截阻断。中山大学在校园网出口防火墙、校园网出口流量管理器、校园网出口链路均衡设备以及校园DNS服务器上设置策略和规则，及时切断矿工节点与虚拟货币网络、矿池服务器或远程控制服务器的通讯，阻止计算机终端对已知矿池服务器或远程控制服务器的域名查询，遏制虚拟货币“挖矿”活动。

　　第三步，事后处置整改。根据监测预警发现的线索，确定涉及的计算机终端；通过邮件、企业微信、电话等方式通知计算机终端使用管理人，并同时限制计算机终端的上网功能；随后安排工作人员上门调查取证，进行进一步处置。对于主动“挖矿”行为，网络中心将转交学校纪检监察部门处置。对于其他类型的“挖矿”行为，在使用管理人完成“挖矿”程序清理和计算机安全加固后，恢复计算机终端上网功能。对于限期未整改或屡次发生“挖矿”行为的，中心同时通知其所在单位。

“挖矿”治理是一项长期工作

　　以中山大学的经验，高校“挖矿”治理工作一般可分为两个阶段。

　　第一个阶段是集中歼灭阶段。这一阶段的目标是短时间内遏制群发性“挖矿”活动，从上级部门通报名单中摘帽。这个阶段可以是“运动式”的，信息化部门牵头成立工作专班，每日一研判、每日一调度。在研判调度会上，首先解读前一天的运营数据，随后各部门工作人员汇报前一天工作，对工作中遇到的问题、困难进行讨论，明确下一步工作的具体安排。在这个阶段，信息化部门应探索并形成一整套适应各自学校情况、可持续的“挖矿”活动处置流程。

　　第二阶段是动态清零阶段。这个阶段的目标是防止“挖矿”活动反弹，避免被上级部门通报。对于零星发生的“挖矿”活动，发现一起、处置一起。这个阶段是长期的，对于“挖矿”活动的完全拦截阻断是无法实现的，况且在发现和拦截之间也有时间差。4月以来，中山大学网络监管部门抽样发现，学校仍存在少量“挖矿”行为，经事后溯源，均为当天发现并于第二天阻断的行为。

　　如果以战争作比方，高校“挖矿”整治工作先是一场不期而遇的遭遇战，然后演变成一场集中优势兵力的歼灭战，最终将形成一场长期持续的持久战。中山大学信息中心负责人在总结学校整治工作的事后部分时，特别强调：

　　1. “挖矿”整治追求绝对清零是不现实的。动态清零的工作重点主要放在杜绝主动“挖矿”，遏制被动“挖矿”，规范科研型“挖矿”。

　　2. “挖矿”整治是一项长期工作，在经过短暂集中歼灭阶段后必然进入长期的动态清零阶段。在这个阶段，学校网络安全营运能力至关重要。

　　3. 人的因素是关键。师生员工理解不理解，配合不配合，很大程度上决定着“挖矿”整治的效果。

　　4. 治理工作不仅仅是信息化部门的工作。领导不重视、院系不积极、师生不配合，整治工作就无法持续、长期开展。

　　如今，“挖矿”整治已然进入攻坚期，各高校唯有立足自身，具体问题具体分析，才能实现“挖矿”活动“动态清零”，创造绿色安全的校园网络新环境，构建网络安全治理新生态，助力我国产业结构优化、推动节能减排、尽快实现碳达峰、碳中和的最终目标。