从应急实践看教育安全

1、从应急实践，看教育安全 奇安信集团行业安全研究中心主任 裴智勇 裴智勇 奇安信集团行业安全研究中 心主任，长期从事网络安全 大数据研究与网络诈骗犯罪 研究，著有各类专业安全研 究报告200余万字。 领导主编多本网络安全科普 图书：走近安全、透 视APT、应急响应、 工业互联网安全-百问百 答等。 这里放上这里放上 您帅气逼您帅气逼 人的照片人的照片 自我介绍 目录 Contents 1. 教育行业安全数据分析 2. 教育行业应急典型案例 3. 教育行业其他安全事件 4. 教育行业安全问题透视 5. 推荐关注 教育行业安全数据分析01 补天漏洞：教育行业排名第一 2019年1-12月， 补天漏洞

2、响应平 台共收录全国网 站的安全漏洞 68521个 事件型漏洞占99% 通用型漏洞：某一类 系统共同存在的安全 漏洞，具有一定的普 适性，通常可以通过 标准化方法进行检测。 事件型漏洞：某一个 系统特有的安全漏洞， 一般与系统的管理、 配置不当或特殊开发 过程等因素有关，一 般需要通过人工挖掘 来发现。 漏洞的地域分布与技术类型 2019年1-12月， 奇安信集团安 服团队共参与 和处置全国范 围内大中型政 企机构网络安 全应急响应事 件1029起 威胁的发现方式，考验机构的安全能力 业务专网、数据库是主要受灾区 黑产活动严重影响教育系统安全运行 教育行业应急典型案例02 学生电脑感染挖矿木马

3、，直接影响到办公区域 发病症状 2019.3地职业学校 发现针对445端口 的攻击流量 学校办公区电脑系 统缓慢 初诊情况 学生自备电脑感染 Wannamine 4.0挖 矿木马 挖矿木马可利用永 恒之蓝漏洞在局域 网内进行快速传播 病因诊断 学生区网络和教学 办公区网络没有进 行有效的访问控制 策略 办公区内有大量电 脑没有安装永恒之 蓝漏洞补丁 治疗方案 全面部署企业级终 端安全管理软件 给办公区电脑打上 必要补丁 在网络上隔离学生 区与办公区 某中医药大学遭遇Crysis勒索病毒 发病症状 2019年4月，某地 中医药大学遭遇勒 索病毒攻击 业务系统中的文件 被加密 影响了正常的教学 办

4、公 初诊情况 Crysis变种病毒 病因诊断 Web服务器使用了 弱口令被暴破,并 成为攻击跳板 内网大量主机或服 务器存在弱口令和 永恒之蓝漏洞，使 黑客可以轻松登录， 从而释放勒索病毒。 治疗方案 舍弃数据重装系统 各服务器分别设置 独立的前密码 部署企业级安全软 件，打补丁 渗透测试排查隐患 引发事故的弱口令 弱口令：1qaz!QAZ 四大法宝破解弱口令 暴力破解法 把密码所有可能的排列组合都试 验一遍。用现代计算机手段， 15位的纯数字密码，暴力破解 只需0点几秒。 生日攻击法 姓名、单位、生日和电话，父母、 子女、爱人的号码，排列排列， 组合组合，又有20%的密码会被 黑客们猜到了。

5、 T 流行弱密码 世界上最流行的100个密码，可 以登录全球70%的上网账户。 以下都是弱密码：123456、 password、woaini1314-流行 语）、!qazwsx-键盘组合 拖库与撞库 拿下一个网站，盗取所有人的帐 号和密码，这叫拖库。用拖库得 到的帐号密码，再去批量尝试登 录其他的网站，十有八九也能成 功，这就叫撞库。 生暴 流拖 口令安全原则是攻防对抗的产物 防暴破防暴破破解类破解类 密码就要足够长，足够复 杂，15位以上，数字 + 字母大小写 + 特殊符号 防流行弱防流行弱密码密码 至少要让自己与众不同， 安全水准超过平均水平 防生日攻击防生日攻击法法 与个人信息、家人信

6、息有 关的密码一律不能用 防拖防拖库库 密码要经常改换，每隔3- 6个月换一次比较合适 防撞防撞库库 密码要独立设置，特别是 社交、邮箱和支付账户一 定要单独设置密码 如何设置一个强度高，又好记的密码 密码的四项基本原则 密码是所有帐号安全的基本保 障，设置密码一般需遵守以下 原则： l 15位以上 l 数字+字母+特殊符号 l 定期修改（建议180天） l 支付、社交、邮箱等核心帐 号单独设密码 特别提示： l 帐号一旦被盗，应立即修改所有其他相关帐号的密码 l 短信验证码是一种动态的密码，千万不要告诉任何人 chuangqianmingyueguangyishidishangshuang

7、xiaobaitu2baiyoubai3liangzhierduoshuqilai4 xiyangyang#yuhuitailang$123 动脑时间 你能在2分钟内记住下面三个密码吗？哪一个密码最安全？你知 道怎样构造一个又长又好记的密码吗？ 某地大学遭僵尸网络攻击 发病症状 2019年4月,某大学 遭到僵尸网络攻击 多台主机发现异常 初诊情况 2018年3月出现爆 破登录行为 2018年7月开始内 网多台主机被多次 登录成功 攻击源头IP在境外 病因诊断 网站运维管理审计 系统暴露于公网 Web应用防火墙、 日志中心、漏洞扫 描系统、超级终端 等也暴露在公网 服务器大量弱口令 治疗方案 修

8、改所有服务器登 录密码 服务器加固 排查减少暴露面， 设置数据库隔离区， 关闭不必要的端口 和服务 教育行业其他安全事件03 湖南一高校4万学生信息被窃取 2019年3月，怀化市公安局网警在对全市高校进行例行网 络安全现场检查时发现某高校教务系统有安全漏洞，并 检查出其教务系统于2月13日被黑客利用漏洞窃取2007 级至2018级所有学生数据共计46767条。 发现该情况后，市局网警部门将案情通报给了鹤城分局 网警。怀化市公安局鹤城分局立即成立了联合专案组， 开展侦查研判及抓捕工作。通过分析黑客的攻击手段及 目的，还原网上攻击手段，民警很快锁定了在深圳的犯 罪嫌疑人周某，于3月13日上午将犯罪

9、嫌疑人周某抓获归 案。由于破案及时，被窃取的信息未发生二次扩散。 上海知名高校存在泄漏8.4TB邮件元数据风险 根据外媒 ZDNet 援引 rainbowtabl.es 安全博客上的文 章报道，上海某知名高校一个数据库因未正确配置公开 访问权限，而导致暴露了8.4TB的电子邮件元数据。 这款暴露的服务器是由CloudFlare安全总监贾斯汀潘恩 于2019年 5月22日发现的。在发现暴露一天后，该高校 接到了数据库暴露的通知。值得称道的是，该漏洞在 24 小时内被修复。 上海破获一起假冒“上海招考热线”非法获取公民信息案 22019年7月，公安机关在工作中发现假冒“上海招考热 线”网站（域名：

10、)和微信公众号（微信号 shzkrx）以上海市教育考试院官网上海招考热线的名称 及仿冒LOGO，盗用官网的各项招考信息，并涉嫌通过报 名页面骗取考生个人信息。 对此，市公安局网安总队会同徐汇公安分局立即展开案 件调查。自该假冒网站搭建以来，犯罪嫌疑人徐某某通 过该假冒网站吸引考生填写报名信息，非法获取考生信 息达一万余条，并将上述数据以共享的方式传递。至案 发，徐某某共非法获利十余万元。 某教育网站遭非法入侵，网络课程被低价倒卖 2019年5月，河北省石家庄鹿泉区公安局接到辖区某教育公 司负责人的报警称，5月7日发现其公司的网站被非法入侵， 网络上的直播课程被低价盗卖。接警后，民警立即对案件 展开侦破工作，最终锁定王某、朱某具有重大作案嫌疑。6 月23日晚，经过周密布控，办案民警在某宾馆内将二人一 举抓获。 经讯问发现，嫌疑人王某凭借其电脑黑客手段入侵该网站， 并获得管理权限。之后通过获取后台数据将直播课程低价 卖出去牟利。他们自称是网站线下代理人员，先后向七八 名学员低价倒卖了二人盗取的直播课程。二人共牟利13000 元，并平均分赃。 教育行业安全问题透视04 普遍缺乏系统性的安全规划与