【原】2024高校網絡安全發展趨勢分析

“近年來，各式新技術層出不窮，網絡安全邊界變得復雜和模糊，大數據與人工智能（AI）的廣泛應用，各類未知的安全威脅正在不斷涌現。”楊紅波表示，目前國內外各類網絡攻擊層出不窮且攻擊方式越來越多，網絡安全形勢越來越嚴峻。他認為，在這樣的環境下，2024年高校網絡安全發展趨勢可以總結為人工智能下的數據安全、基礎設施下的網絡安全、全面監管下的供應鏈安全這三點。

人工智能（AI）技術是人類發展的新領域，以ChatGPT和Sora為代表的生成式人工智能技術帶來了通用人工智能（AGI）的曙光。隨著AI技術的深入應用，也會引發網絡安全和數據安全隱患，猶如一個硬幣的兩面，需要我們關注并找到有效的應對方法。

目前，網絡攻擊的方式和手段在AI技術的推動下正在不斷演變，呈現出分布式、智能化和自動化的特點。與此同時，AI在訓練和應用過程中，會處理包含敏感數據在內的大量數據，如用戶的個人信息和生物識別數據，這些新穎的技術給網絡安全防護帶來了新的挑戰。北京外國語大學是教育部“人工智能助推教師隊伍建設行動”的第一批唯一試點高校，用技術創新了教學模式，加入了物聯網和人工智能相關應用，這也對學校的網絡安全防護提出了新的要求。

針對人工智能下的數據安全，高校首先要對個人信息的收集和使用加強監管。第一，數據的采集要確保“一數一源”，這樣既可以確保數據的一致性，又可針對數據源加強防護；第二，在數據建設階段，要遵循數據設計規范，保證數據的保密性、權威性，這樣可作為數據源向學校數據中心提供基礎數據；第三，在使用數據時，要確保數據必須有合法來源，內部信息要脫敏使用，第三方系統調用時要確保“只使用不存儲”的原則。

2023年5月，國家網信辦等七部門聯合發布《生成式人工智能服務管理暫行辦法》；2023年11月，包括中國、美國與歐盟在內的28個國家代表，在全球首屆AI安全峰會中簽署了《布萊切利宣言》，一致同意加強國際合作，建立面向人工智能的監管框架。在這樣的背景下，人工智能安全技術正在被全球監管機構、行業參與者和工業界持續關注和積極參與。未來，隨著法律法規的逐步完善、公眾意識的提高和技術的發展，個人信息保護的力度將持續加強。

當前，高校普遍都進入了智慧校園發展階段，在國家政策引導、各部門協同推進下，新型智慧高校建設取得了顯著成效，涌現出“一網通辦”“OA辦公”“智能教室”等一批創新應用。物聯網（IoT）、移動互聯網、虛擬仿真等新技術應用的不斷推動帶來了新的安全問題，也進一步增加了網絡空間和物理空間安全的相互依賴性。

網絡是聯接物理設施的紐帶，既是智慧校園發展的關鍵基石，也是支撐學校數字化高效協同、校園服務的載體。服務中斷、勒索軟件攻擊、信息泄露等問題的發生，將對智慧校園的日常運營造成巨大的損失。隨著網絡安全監管理念的創新和監管手段的進步，應統籌推進安全風險分析、協同監管機制、智能監管技術和安全應急處置等方面建設，為智慧校園發展保駕護航。

信息技術的蓬勃發展離不開高新企業的力量，高校網絡產品和服務的供應鏈已演變為復雜的組成結構。供應鏈安全問題已不僅限于產品范疇，而是波及整個供應鏈的各個環節。如今，供應鏈安全威脅和風險攻擊日益凸顯。比如，某關鍵軟件產品被曝高危漏洞，其帶來的影響是巨大的，很大程度上會涉及多個高校或多個業務系統。在攻防演練過程中，紅隊就研究VPN或者OA系統的漏洞，一旦得到POC，便會波及多所高校。這時，產品在高校的通用性決定了其影響范圍，其顯著的特點就是“一點多面”，后果可想而知。所以，高校在供應鏈安全方面要嚴格把關，系統實施必須經過專家論證，系統上線必須經過源代碼檢查和安全檢測，并經過一段時間的試運行，組織驗收后才能正式上線。

高校業務系統數量較多，網絡安全防護工作任重而道遠。目前，北京外國語大學設有信息化建設與管理辦公室，統籌學校信息化建設和網絡安全管理工作，通過管理加技術多方位的手段，嚴格把關，對學校信息化系統掌握主動權，形成信息化系統資產臺賬，形成全生命周期的監管體系，形成高校環境下的網絡安全防護體系。

此外，網絡安全制度體系化、網絡安全責任制同樣發揮著非常重要的作用。高校加強網絡安全責任體制落實、各部門主管責任落實、技術部門運維工作落實，外加高新公司的專業產品和安全服務，是目前網絡安全工作運行與年度考核的機制。隨著相關法律法規的制定和施行，高校未來的整體防護能力將會越來越強。

AI的廣泛普及，讓網絡物理攻擊成為可能。美國麻省理工學院工程系統教授、斯隆管理學院網絡安全系聯合創始人斯圖爾特·馬德尼克（Stuart Madnick）表示，隨著生成式AI的廣泛普及，網絡犯罪者在下一階段發動物理攻擊的概率正在增長。馬德尼克認為，傳統網絡攻擊只是讓系統暫時離線，而網絡物理攻擊帶來的后果遠甚于此。他說：“如果通過傳統網絡攻擊讓發電廠停止運行，它很快就會恢復并重新上線。但是，如果黑客讓發電廠爆炸或燒毀，就無法在一兩天后恢復在線狀態，因為這些專用系統中許多零件是定制的。借助AI技術，網絡攻擊技術已經能對物理系統造成嚴重破壞。”

美國葉史瓦大學卡茨科學與健康學院項目主任兼教授、網絡安全管理平臺Onyxia首席執行官西萬·特希拉（Sivan Tehila）也擔心網絡物理攻擊的潛在上升。特希拉說：“AI支持的網絡攻擊可能很快就會發生，它們極為復雜、難以檢測和緩解。”同時，她表示，AI也在幫助防守方，AI可以分析大量數據并實時識別惡意活動，在增強網絡防御方面發揮著關鍵作用。

“數字化時代，網絡安全問題日益凸顯，高校網絡安全已引起社會各界的廣泛關注。”鄭海山表示，結合當前現狀，2024年高校網絡安全應著重關注攻擊面管理、軟件供應鏈安全管理、生成式人工智能應用這三個方面。

Gartner（美國高德納咨詢公司）將攻擊面管理分為外部攻擊面管理（External Attack Surface Management，EASM）、網絡資產攻擊面管理（Cyber Asset Attack Surface Management，CAASM）和數字風險保護服務（Digital Risk Protection Services，DRPS）三類。

EASM是指對組織在互聯網上可見的所有數字資產和脆弱性進行管理。然而，目前部分高校的攻擊面管理僅僅局限于EASM的范疇。甚至，高校大量師生各類終端以及各種教學、科研和管理等龐雜數字資產所形成的校園網環境也未被納入“外部”統一進行考慮。這使得攻擊面管理流于表“面”。

未來，在攻擊面管理方面，高校應以“攻擊者一定會進入校園網”為底線思維，比照共享數據治理，做好數字資產各類數據的整合，通過與現有工具、各類業務系統和網絡管理系統進行集成，獲取數字資產屬性，形成類似師生畫像的數字資產畫像，并基于資產梳理結果進行暴露面收縮和脆弱性管理。

近年來，在高校開展攻防演練或日常網絡安全運營過程中，越來越多的軟件供應鏈問題開始顯露。其中，包括由于各種原因導致的供應鏈中斷，對軟件的供應和更新產生影響；新的軟件開發模式所引起的特有的第三方庫和組件之間復雜的依賴關系，使得管理依賴和更新成為一項技術難度和工作量較大的任務；供應鏈企業遭受攻擊可能導致敏感運維信息泄露，惡意代碼被部署到生產環境等問題。

面對這些軟件供應鏈層面的安全風險，高校往往表現得較為被動。因為許多高校是采用外包開發或者購買成熟產品的方式進行信息化建設，并且相關運維工作也高度依賴第三方服務，這使得軟件供應鏈安全管理變得更加困難。

高校無法直接參與具體的軟件開發過程，因此也無法采用較為先進的軟件供應鏈管理和脆弱性發現工具來提升軟件代碼質量。高校即使可以從終端安全軟件收集到第三方庫和組件的使用情況，但由于各種因素的影響，比如組件是否被使用、使用程度以及是否已經采用緩解措施等原因，導致依賴脆弱性誤報率較高，管理收效甚微。因此，更多的高校只能對軟件供應商的運維服務提出要求，而無法直接干預和管理軟件開發過程中的供應鏈安全問題。

未來，高校的軟件供應鏈安全管理應當從供應商的評估和選擇出發，要求供應商持有適當的網絡安全資質證明，要求開發者獲得相關的安全認證，督促供應商提高軟件供應鏈透明度，在合同管理方面加入適當的安全條款和責任，加強運維安全，做好應急響應，實施縱深防御，加強行業內威脅情報共享等。

生成式人工智能技術在網絡安全領域可發揮較大作用，它能夠分析大量的網絡流量、惡意軟件樣本和網絡安全日志數據，同時也可以對軟件開發代碼和系統配置進行分析。此外，它還能夠歸納總結應急響應措施。這些能力使得越來越多的網絡安全廠商和服務提供商開始將生成式人工智能技術引入其產品或安全服務中。

然而，生成式人工智能技術盡管對產品功能的提升和服務人員工作量的減輕起到了積極作用，但在高校網絡安全中的顯示度并不高，其更多的是對廠商和服務提供商自身的提升。

對于高校網絡安全運營如何結合生成式人工智能而言，可以從簡單的聊天開始，例如咨詢常規的網絡安全相關問題，或提交單位的網絡拓撲結構和安全需求，由系統自動生成相應的安全策略，又或者結合單位的各類流量和日志數據，對一次攻擊行為進行深入的分析和解讀。期待未來能有更多結合生成式人工智能的場景出現，以提高高校網絡安全運營的效率。

總體來看，對于2024年高校網絡安全發展趨勢，兩位高校信息化管理者在“人工智能”和“供應鏈”兩個關鍵詞上達成共識。本刊通過這次預測，以期為2024年高校網絡安全建設與發展樹立方向。