高校网络安全工作受到各学校的高度重视。数据显示，我国85%的高校已完成重大系统网络安全等级防护建设。 2023年，教育系统将开展第五次网络安全攻防演习。这次攻防演习的规模是历史上最大规模的。聚集了国内50余所高校攻击团队和多家安全厂商团队，将安全管理体系纳入考核内容。第一次，不会提前通知。具体时间需要常态化应对，演练更符合当前应对有组织威胁的实战需要。

然而，在“追堵”安全威胁的过程中，如何将其消灭在萌芽状态，成为高校面临的一个不可回避的问题。建设网络安全态势感知体系的重要性和必要性进一步凸显。它使我们能够预测并及时发现威胁和攻击，增强风险管理能力，在损失发生前立即采取措施，切断攻击链，从而避免安全事件的发生。事态和风险进一步扩大。

01 网络安全保障工作思路探索

为应对网络攻击威胁新趋势，打造全天候网络安全攻防对抗能力，2019年公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》号文，要求按照切实、系统、常态化要求，主动防御、纵深防御、精准防护、统筹防控、联防联控，建立全面的网络安全防御体系（简称“三化六防”），已成为当前政府、企业、组织网络安全工作的主要工作方向。

“三化六防”为高校推进网络安全建设提供了有益参考，也为中山大学态势感知体系建设提供了指导性建议，具体如下。

一方面，高校对网络安全的要求日趋专业化。

首先，它是实用的。我们必须充分认识到，网络安全的本质是人与人之间的对抗。我们必须充分认识自己的缺点和弱点以及潜在对手攻击的特点。要从发现问题、预警通知、响应处理着手。从整改到强化，每一步都需要持续警惕，才能快速应对潜在威胁。

二是制度化，主要包括加强安全技术体系、安全管理体系、安全运营体系、专业队伍建设等。

三是常态化。要对园区网边界、核心、骨干区域以及数据中心、开发运营区域等关键部位保持持续、全面、动态的安全监控和态势感知，并根据不同情况进行安全编排。场景来实现安全。设备和系统自动化的协同处理和追溯对策。

另一方面，高校网络安全工作可以从以下六个方面实施防护措施。

动态防御以风险管理为指导，持续监控网络安全状态，及时反馈，并根据攻击方式和攻击路径的变化动态调整防御策略、技术和手段。主动防御，基于可信计算技术、密码技术等实现主动安全防护，结合威胁情报、态势感知，及时发现和处置未知威胁，实施主动防护措施。纵深防御，即实行分区、区域管理，区域之间进行安全隔离和认证，实现从外到内、从边界到核心的多重防护，层层阻断攻击。精准防护，基于资产的自动化管理，综合利用内外部威胁信息，实现核心资产的快速有效保护。统筹防控以保护关键业务链为目标，进行整体安全设计，建立协调、高效、统一的安全防护架构。联防联控，与国家监管部门、防护部门等相关组织建立信息共享、协调联动的共同防护机制，构建“防、管、控”一体化的网络安全综合防控体系。高校网络安全建设的目标是构建以监测预警为核心的综合网络安全保障体系，做到可管、可见、可知、可控。这意味着我们需要对学校的重要信息资产进行全面监管，实时发现攻击威胁，识别漏洞和漏洞问题，建立协调、自动化的处置机制。通过这些努力，最终可以实现事前预防、事中发现、事后追溯、预测网络威胁趋势。 “事中发现”最为关键，可以及时切断攻击链。因此，网络安全态势感知系统的建设将变得越来越重要和紧迫。

我们希望通过一系列的网络安全防御措施，最终实现三大安全目标：一是能够“看到”，通过可视化监控确保对网络状况了如指掌；二是要能“防”，强化防御，抵御各种威胁；最后，要“管”，通过有效的管理保证网络安全的可持续性。

中山大学：高校网络安全态势感知体系建设

02 中山大学

网络安全态势感知体系建设

中山大学网络安全主要面临以下三个挑战：

首先，监管合规压力加大。随着“三法一例”的陆续颁布实施，我们需要不断检讨自己，确保安全工作得到提升。只有这样，才能更好地应对网络空间、公安、主管部门的定期检查和通报。

二是全国攻防实战演练规模不断扩大，重大会议、节日期间安全保障常态化，需要合规性和实战性双轮驱动。

三是面对境外有组织的黑客团体活动、“挖矿”、“敲诈勒索”等非法网络犯罪，以及校园内终端不规范使用带来的安全风险，学校需要积极、全面地采取措施。应对措施。确保校园网络的安全、稳定。

中山大学

在建设网络安全态势感知系统之前，需要充分了解学校的整体情况。中山大学分布于广州、珠海、深圳三个城市，覆盖五个校区和十个附属医院。校园内有600多栋联网建筑，骨干网带宽达到100G，互联网出口总带宽达到52G。此外，学校还拥有两个数据中心和一个超级计算中心，超过3000个有线网络设备和超过36000个无线接入点，以及超过10万个有线网络信息点。实名网民超过5.7万户，最大并发上网终端数超过9万台，其中无线终端超过8万台，上网终端总数达到30万台。

这些数字说明了中山大学网络的规模和复杂性。在建设网络安全态势感知体系时，必须充分考虑这些实际情况，因地制宜地规划实施，确保有效的网络安全。当然，学校资产的划分和界定是一项庞大而复杂的系统工程，目前尚未完全明确，需要进一步落实，摸清底线。

中山大学在安全态势感知体系建设过程中，贯彻技术与管理相结合的理念，逐步形成了基于态势感知的常态化安全运营体系（图1）和安全服务体系（图2）。

图1 中山大学态势感知常态化安全运营体系

图2 中山大学网络安全态势感知安全服务体系

中山大学：高校网络安全态势感知体系建设

一方面，我们监控技术能力，采取一系列措施，确保安全态势感知的全面性和高效性。

其中，数据采集最为耗时、费力，需要大量资金。在数据采集方面，在“网络”侧，学校在边界网、核心网、数据中心及各校区部署了流量探针，重点关注院系科研团队实验室和部分核心办公室的网络流量地区。对于“端”侧，过去一年来，在“挖矿”问题的管理中，逐步在服务器和部分用户电脑上部署终端安全软件EDR，以保证端点侧数据的获取。收集到的网络数据和终端数据将整合到态势感知平台中进行威胁检测和分析，并根据事件的危害程度进行分类。

在服务保障方面，保安服务公司将基于本地驻场和云托管相结合的方式提供24/7的安全监控服务，并配合学校基于安全态势感知系统保障安全运营常态化。

另一方面，落实安全管理，着力优化安全管理流程，实现管理更加便捷可靠。

在资产精细化方面，资产信息不仅从网络侧采集，还延伸到业务侧，按业务领域进行整理，如人力资源、本科教务、科研管理等。

为了实现处置自动化，我们开始探索安全自动化编排和响应能力的建设，通过态势感知平台直接驱动安全设备和系统的工作，自动应对风险。

在安全管理信息化方面，网络安全管理工作数字化，包括管理工作台账、与用户的日常协作、服务流程等，网络安全从管理向服务转变。

通过态势感知安全运营和云网络系统建设，中山大学在网络安全方面取得了一定成效。面对大量的报警噪音，技术人员可以根据系统快速减少无效报警，实现安全事件的精准定位。据统计，每周和每月的活动结束率分别达到95%和90%。

03 高校网络安全未来畅想

展望未来，中山大学将在网络安全领域走向更广阔的前沿，以前瞻性、系统性的方式探索校园网络安全体系的可持续发展。

一是重点探索综合自动化编排体系，实现基于场景的分类分级，为网络安全运营流程注入更强的个性化因素。中山大学正在积极探索建立网络安全态势评分模型。借助这个模型，不仅一线网络安全团队可以更准确地制定安全策略，而且我们中心管理层和学校领导也可以清楚地掌握学校的整体安全态势。实现科学决策，从而更好地统筹保障学校网络安全。