本文轉載自【科技云報道】公眾號

如今，安全運營已成為高校網絡安全建設的必選項，但所創造的護城河似乎并不夠寬廣——二級單位業務與校園網的安全威脅，已成為懸在高校信息中心網安人員頭頂的“達摩克利斯之劍”。

二級單位和校園網“危機四伏”

隨著攻防演習和安全通報的常態化，高校網絡安全的薄弱環節逐漸顯露。為應對這些挑戰，不少學校在遵循等保合規的基礎上，建設了安全運營中心，并取得了顯著成效：數據中心內部的安全風險日益收斂。

然而根據木桶原理，一個組織的網絡安全水平是由最薄弱的環節決定的。高校二級單位和校園網作為安全“洼地”。越來越多的安全威脅、攻擊事件、安全通報等，來自二級單位和校園網的用戶和終端。于是，這些安全事件在高校中早已不是新聞：

• 二級單位自建業務系統被掃出漏洞，師生終端頻繁出現違規外聯，被通報；

• 攻防實戰演習中因釣魚師生終端，數據中心被打穿，丟失靶標；

• 二級單位系統遭受攻擊，黑客冒用賬號登錄學校VPN，進而入侵數據中心，造成大量數據泄露。

  ……

以上困境，原因主要來自三個方面：安全技術、安全人員和流程制度。

從安全技術來看：現階段高校的安全關注點主要集中在數據中心，難以有效掌握二級單位和校園網的安全態勢。此外AI大模型降低了網絡攻擊門檻，增加了攻擊的隱匿性，使得檢測難度持續加大，傳統安全設備難以應對各種新型高級攻擊手段。

安全人員配置上：大部分高校缺乏安全專職人員。根據賽爾網絡發布的《高校網絡服務情況和教育信息化需求調研報告 (2022年度)》，即使是網絡安全專職人員配置相對較多的雙一流高校，專職編制在2人以下的高校依然達到了65.6%。他們每天忙于處理數據中心的安全告警和事件，就已經精疲力盡，很難分出精力來關注二級單位安全狀況。雪上加霜的是，二級單位網絡安全聯絡員，往往安全知識薄弱，導致他們對通報過來的安全問題重視程度不夠，處置時常常不知所措。

流程制度層面：信息中心和二級單位權責劃分不清晰，在高校中一直都是一個老大難的問題，信息中心在推動二級單位安全問題解決時，經常上演“皇帝不急太監急”，二級單位的安全問題難響應、難閉環。

總之，二級單位和校園網暴露的安全風險顯著增長。高校必須采取全面且前瞻性的安全措施，確保它們具備全局的網絡安全防御、監測、預警、響應處置的能力，以支撐業務持續增長和創新。

真正能打的高校安全運營中心長什么樣？

然而，想要解決上述問題，打造一個真正能打的高校安全運營中心，卻并非易事。還是得哪疼從哪兒下手，進行針對性的能力升級。

理想的狀態下：升級版的安全運營中心既能有效應對0day、高混淆、以及利用AI生成的各類高級威脅攻擊，又能依靠少量的專職人員實現高效運轉，更重要的是還能厘清各院系部門權責、打通安全工作流程。既要又要還要，似乎是一個不可能完成的任務。

好消息是，隨著網絡安全威脅檢測與響應技術的不斷進步，早期割裂、孤立的安全設備逐漸朝著統一的、體系化的安全運營方向不斷迭代演進，AI技術也越來越多的應用到了安全領域中，以XDR和安全GPT為代表的“后起之秀”開始進入大家的視線，為安全運營工作帶來了新的思路。

2021年7月，Gartner在《Hype Cycle for Security Operations, 2021》報告中，對主流的安全運營技術進行了解讀，并預測XDR（可擴展的檢測和響應平臺）作為新興技術點將成為新的安全趨勢。

從業內主流產品來看，相比傳統的安全運營技術框架，XDR的核心優勢在于深度集成多源、跨IT架構的各類安全組件，打通各項安全數據與事件，配合AI等前沿分析手段實現關聯分析與自動化響應。供應商通過XDR組件將各類安全工具進行深度整合，關聯來自云、網、端的所有安全數據和警報，以實現對整個攻擊面的全面監測與自動化響應。

GPT更不陌生，近一年，以ChatGPT為代表的大模型發展如火如荼。在網安行業，大模型也展現出強大的通用人工智能能力，成為解放生產力的重要工具，幫助網絡安全從業者簡化工作任務量，節省大量基礎性、重復性工作時間。

安全GPT像是一個“iPhone”式的革新時刻。傳統檢測引擎在大模型的加持下，將實現更加高效率的檢出，帶動整個行業生產力的提升：一是大幅加快事件響應速度，自動撰寫事件報告；二是提高威脅檢測和搜尋能力；三是緩解人才短缺問題。

正因如此，XDR+GPT越來越受到教育行業的關注。特別是在提升安全運營效率，消弭二級單位和校園網暴露的安全風險方面，開始發揮出重要價值。這套技術方案是如何對癥下藥，解決高校安全運營中的特定問題，實際效果又如何呢？

高校落地實踐：XDR+GPT提升實戰效果和運營效率

以深信服在行業內率先發布的高校安全運營2.0為例，它是以高質量的遙測數據為基礎，通過XDR、SOAR、ASM、MDR等新技術與云端服務的協同，同時疊加安全GPT技術應用，實現安全運營“智能駕駛”，提升實戰效果和運營效率。

深信服高校安全運營2.0解決方案示意圖

技術方面：實戰有效、聯動響應，大幅提升安全效果

近年來，各地高校頻繁遭遇有組織、有計劃且針對性明確的攻擊活動。在面對0day、高混淆等各類高級威脅攻擊時，檢測能力是關鍵。

通過XDR+GPT對威脅檢測能力進行提升，需要完成以下三個步驟。第一步需要在數據中心、二級單位、校園網部署各類組件，擴展全校威脅數據來源，并為聯動處置打好基礎。其后，利用XDR構建實戰化檢測響應平臺，通過采集E+N數據，結合ATTCK模型，提升檢測和溯源精度及能力。最后引入GPT檢測大模型賦能威脅檢測，提升未知威脅檢測和0day攻擊的檢測效果。

用戶A是一所985大學。該校經過三期建設將原有的NDR平臺升級為深信服XDR平臺。

在使用過程中，XDR將一周時間內4000萬條來自信息中心、二級單位托管主機、自有服務器的告警，通過E+N聚合成13起有效的安全攻擊事件，大幅提升安全運維效率。今年年初，用戶開始試用深信服安全檢測GPT賦能XDR做高級威脅檢測。期間獨報多起0day漏洞利用攻擊、Nday攻擊等行為，結合XDR形成完整攻擊故事線，幫助信息中心快速定性攻擊，排查威脅。

人員方面：云地協同、智能駕駛，降低安全運營工作壓力

大部分高校編制有限，短時間增加大量編制基本上是“天方夜譚”。因此通過MSS、GPT等技術手段對運營效率進行提升，降低安全運營工作壓力，對于現階段的高校來說是更加切實可行的辦法。

借助深信服MSS，云端在線專家與本地服務團隊相得益彰、互為補充，高校在短時間內就可以完善服務梯隊，提升閉環響應能力。而引入安全GPT虛擬運營專家后，高校也將實現針對低誤報事件的自主研判、智能值守，降低安全人員工作量，大幅提升安全運營效率。

用戶B是一所沿海高校，信息中心網絡安全的專職人員只有1人。四年前，學校通過外采駐場服務協助安全運維，進行安全策略配置、基線管理、安全監管、自查報送、事件協助處置等。

但，隨著攻防演練常態化和重保時間加長，暴露了高階安全分析專家和夜間安全值守的不足。

引入深信服MSS安全托管服務后，該用戶迅速構建起云地協同安全服務能力，為學校帶來了7*24小時持續守護、有效預防和主動閉環的體系化安全運營效果。

此外，深信服安全GPT協助學校運維老師實現事件研判、排查檢索和告警事件的值守處置，助力該校安全運營邁向“智能駕駛”。深信服GPT平臺也幫助學校安全團隊學生迅速學習和掌握安全告警和事件的研判分析能力，從而能夠更深入學校的安全運營工作。

流程方面：運營閉環、安全有價，實現二級單位/校園網高效管理

考慮到各大高校二級單位、校園網用戶和終端數量眾多，管理復雜。信息中心需厘清各院系部門權責、打通安全工作流程、實現安全評價，讓安全工作事事有著落。XDR的工單能力，相比SOAR有了進一步明顯提升，這讓信息中心在建立面向二級單位以及校園網的高效流程式管理時，更易實現。

具體落地上，第一步需要構建組織領導明確、責任分工清晰、統籌有力的安全運營團隊。第二，創建各類從信息中心到二級單位，師生的運營流程，逐步完善融入到日常工作；深度融合流程與工具，實現智能化監測、自動化預警、全流程閉環管理，提升安全運營效率與管理能力。第三，建設安全評價體系，明確考核指標，優化安全工作；結合安全指標、定期展示各項安全成果和排名，讓安全工作方向更明確。

用戶C是一所北京知名高校，在2年前發布了網絡安全責任制規范，明確了二級單位及直附屬單位的網絡安全第一責任人，信息與網絡中心提供技術手段保障安全監測和處置指導。

深信服協助該校整合了通報預警、業務上線評估、資產上線、資產變更、告警處置、漏洞管理等多個工單流程，通過XDR的工單子系統在校內流轉，實現信息中心到二級單位的預警通報閉環管理。

基于流程工單和特殊安全事件，學校構建了多個處置劇本（如釣魚、失陷外聯、內網橫向攻擊、漏洞管理），結合工單流程，輔助實現大部分安全事件的協同處置，實現信息中心和二級單位的協同響應。

最后通過XDR績效考核模塊，從工單處置率、安全漏洞處置率等多個維度對二級單位進行安全工作考核評價，實現以評促管、安全有價。

如何選擇更符合教育場景的安全運營中心?

通過行業內大量用戶的實踐效果證明，XDR+安全GPT是當前高校安全運營建設的最優解。那么如何選擇更符合行業場景的新型安全運營中心？

由于XDR融合了多項安全技術，涉及多平臺數據聚合、計算、分析，對服務商的安全技術能力和安全產品供應鏈管理能力，提出了很高的要求。XDR的引入更面臨著對NDR、SOC等技術框架的全面兼容或替換，對其落地的可行性和改造成本的考量缺一不可，各個廠商之間的GPT實際效果更是有著云泥之別。在此情況下用戶選擇靠譜的安全廠商顯得更加重要。

高校在選擇供應商時，有以下幾點需要重點考量：

平臺的開放和兼容性：雖然主流XDR廠商都可以提供各類原生安全組件，考慮到高校原有的安全建設及未來需求，在選擇供應商時，需要考量該廠商平臺對各類安全組件及原有平臺的支持，在盡可能利舊原有資產、保護IT投資的同時，獲得更加先進的安全能力。

可持續生長的安全能力：攻防的本質在于持續的對抗，道高一尺魔高一丈。再先進的檢測和防御技術可能都會被新的攻擊技術繞過。在選擇供應商時，還得同步考量其安全可生長的能力，包括云端威脅情報、云端高級安全專家、云端安全檢測模型的更迭等能力。

AI技術沉淀和持續投入的堅定性：GPT的能力最終是構建在算力、數據、算法的基礎上，這對應的是考量安全供應商在智算資源的持續投入、安全數據的沉淀和優化、AI和安全人才的儲備。在選擇供應商時需要考量其在AI能力上的沉淀和未來持續大規模投入的能力和決心。

對教育行業的理解：教育行業因其開放自由的辦學理念，對用戶的管理很難達到其他行業的細粒度程度。龐大的終端和自治性較強的二級單位，也對教育行業的安全管理提出了很大挑戰。供應商給學校交付的不應是一個產品，而是一個可落地的解決方案，基于此在選擇供應商時，需考量其在教育行業的深耕程度。

一直以來，深信服重視教育與科研數字化，且具有行業優勢。從行業內調研來看，國內其他廠商在教育投入相對保守，深信服則是國內唯一專注教育安全運營中心XDR+安全GPT落地的廠商，對教育行業的安全能力構建有著獨到見解。

憑借出色的安全防護和運營效果，其安全運營中心方案獲得CELTSC（教育部教育信息化技術標準委員會）認可，獲評《高等學校數字校園建設規范》優秀應用案例，成為高校“數字校園”安全運營建設的共同選擇。

如今，多起高校案例證實了XDR+安全GPT賦能下的安全運營中心成功有效。而更多的成功案例也增強了深信服持續投入教育行業安全運營中心的動力，持續推進高校“數字校園”安全規劃、建設和運營工作的全面落地。