自去年底启动虚拟货币“挖矿”活动整治工作以来,经过近四个月的努力,中山大学虚拟货币“挖矿”活动终于得到有效遏制。同时,整治工作也由集中歼灭战阶段转入常态化“动态清零”阶段。
“挖矿”活动整治期间,中山大学积极响应国家号召,各部门通力协助,共同整治“挖矿”活动。其中,信息化部门持续保持对“挖矿”活动监管的高压态势,不断加强宣传教育,全面提高计算机终端安全防护水平,重点整治防范因计算机终端感染病毒而造成的虚拟货币“挖矿”行为。虽然已取得一定成效,但后续整治工作仍任重道远。
“挖矿”治理困难重重
高校承担着人才培养、科学研究、社会服务等多项职能,校园内工作生活着数以万计的师生员工,这为“挖矿”整治带来了不少挑战。
1. 校园网络管理难度大。校园网络是统一出口的,不但接入了学校产权所有的计算机设备,还接入了师生员工携带的个人计算机终端,所以某种程度上也增加了校园网络管理的难度。以中山大学为例,中山大学跨广州、珠海、深圳三个城市办学,校园网覆盖3校区5校园,连接10家附属医院,规模大,覆盖面广。有线网的设备3千余台,无线接入点超过3.6万,有线网络信息点超过10万等。根据态势感知平台数据,目前学校校园网上网终端总数累计超过30万台。
2. 学校网络结构复杂、终端类型繁多。很多学校存在多运营商出口,不但在互联网出口发生IP地址转换,在校园网内部也存在大量NAT网络设备,导致“挖矿”行为难以追踪溯源。计算机终端种类繁多,既包括台式计算机、便携式计算机、路由器、虚拟机等,也包括自助服务设备、校园卡充值设备等;既有个人专用设备,也有多人共用设备;既有学校资产,也有个人资产。而且相关设备安全管理和安全防护水平也参差不齐。
“十三五”期间,中山大学网络安全保障工作的重心在重要系统和重要数据的防护上,在计算机终端防护方面存在短板弱项。所以在去年11月初,当接到地方发改委协查通知时,学校“挖矿”整治工作的起步就像一场准备不足的“遭遇战”。
构建管技结合的“挖矿”治理体系
“挖矿”整治的对象是矿工节点,矿工节点又分为独立矿工节点和非独立矿工节点。对于前者,要先切断节点与虚拟货币网络的通讯;对于后者,则先切断节点与矿池服务器的通讯。接下来,要清除节点上的“挖矿”程序,最后视调查取证情况,进一步处置节点设备的管理人和所在单位。中山大学在虚拟货币“挖矿”整治工作中探索出了一套管技结合、双管齐下的整治工作体系。
自上而下,全体动员
1. 自上而下,打通整治通道。中山大学高度重视整治工作:学校党委书记多次主持会议,布置整治工作;分管校领导定期听取汇报,指导整治工作,解决整治工作中的堵点;网络与信息中心作为牵头部门,成立了整治工作专班,中心负责人、中心多部门业务骨干参加,明确时间表、路线图,建立工作台账,挂图作战。
2. 加强宣传教育,增强防范意识。学校开设“挖矿”整治工作专题网站,给全校师生群发提醒邮件,利用微信公众号推文,进行防范“挖矿”宣传,普及终端安全防护相关知识,增强师生员工网络安全防范意识和个人处置能力。
3. 加强监察力度,完善检查问责机制。“挖矿”整治过程中,完善的检查问责机制不仅可以保障整治工作有序开展,还能高效推进整治进程。中山大学建立了“挖矿”检查问责机制,加强纪检监察力度,严格落实“挖矿”整治相关工作。
技术整改“三步走”
“挖矿”行为难以预防,因此要以假设防不住为前提,以安全运营的思想和方法,建立由事前监测预警,事中拦截阻断,事后处置整改等部分构成的技术体系。
第一步,事前监测预警。中山大学使用校园网络安全态势感知平台、安全DNS云服务和校园网出口流量管理器等产品和服务构建了虚拟货币“挖矿”活动监测预警体系。通过该体系对计算机终端网络流量进行采集和分析,及时发现矿工节点与虚拟货币网络、矿池服务器或远程控制服务器的通讯;发现计算机终端对已知矿池服务器或远程控制服务器的域名查询,进而监测到虚拟货币“挖矿”活动。
第二步,事中拦截阻断。中山大学在校园网出口防火墙、校园网出口流量管理器、校园网出口链路均衡设备以及校园DNS服务器上设置策略和规则,及时切断矿工节点与虚拟货币网络、矿池服务器或远程控制服务器的通讯,阻止计算机终端对已知矿池服务器或远程控制服务器的域名查询,遏制虚拟货币“挖矿”活动。
第三步,事后处置整改。根据监测预警发现的线索,确定涉及的计算机终端;通过邮件、企业微信、电话等方式通知计算机终端使用管理人,并同时限制计算机终端的上网功能;随后安排工作人员上门调查取证,进行进一步处置。对于主动“挖矿”行为,网络中心将转交学校纪检监察部门处置。对于其他类型的“挖矿”行为,在使用管理人完成“挖矿”程序清理和计算机安全加固后,恢复计算机终端上网功能。对于限期未整改或屡次发生“挖矿”行为的,中心同时通知其所在单位。
“挖矿”治理是一项长期工作
以中山大学的经验,高校“挖矿”治理工作一般可分为两个阶段。
第一个阶段是集中歼灭阶段。这一阶段的目标是短时间内遏制群发性“挖矿”活动,从上级部门通报名单中摘帽。这个阶段可以是“运动式”的,信息化部门牵头成立工作专班,每日一研判、每日一调度。在研判调度会上,首先解读前一天的运营数据,随后各部门工作人员汇报前一天工作,对工作中遇到的问题、困难进行讨论,明确下一步工作的具体安排。在这个阶段,信息化部门应探索并形成一整套适应各自学校情况、可持续的“挖矿”活动处置流程。
第二阶段是动态清零阶段。这个阶段的目标是防止“挖矿”活动反弹,避免被上级部门通报。对于零星发生的“挖矿”活动,发现一起、处置一起。这个阶段是长期的,对于“挖矿”活动的完全拦截阻断是无法实现的,况且在发现和拦截之间也有时间差。4月以来,中山大学网络监管部门抽样发现,学校仍存在少量“挖矿”行为,经事后溯源,均为当天发现并于第二天阻断的行为。
如果以战争作比方,高校“挖矿”整治工作先是一场不期而遇的遭遇战,然后演变成一场集中优势兵力的歼灭战,最终将形成一场长期持续的持久战。中山大学信息中心负责人在总结学校整治工作的事后部分时,特别强调:
1. “挖矿”整治追求绝对清零是不现实的。动态清零的工作重点主要放在杜绝主动“挖矿”,遏制被动“挖矿”,规范科研型“挖矿”。
2. “挖矿”整治是一项长期工作,在经过短暂集中歼灭阶段后必然进入长期的动态清零阶段。在这个阶段,学校网络安全营运能力至关重要。
3. 人的因素是关键。师生员工理解不理解,配合不配合,很大程度上决定着“挖矿”整治的效果。
4. 治理工作不仅仅是信息化部门的工作。领导不重视、院系不积极、师生不配合,整治工作就无法持续、长期开展。
如今,“挖矿”整治已然进入攻坚期,各高校唯有立足自身,具体问题具体分析,才能实现“挖矿”活动“动态清零”,创造绿色安全的校园网络新环境,构建网络安全治理新生态,助力我国产业结构优化、推动节能减排、尽快实现碳达峰、碳中和的最终目标。
作者:张永强(中山大学网络与信息中心)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。