2017年教育行业网络安全报告 - 网安 - 专业的网络安全产业、社区、知识平台

概述报告介绍教育行业是我国最大的民生行业之一，是网络安全法定义的关键基础设施行业。安全值利用外部大数据的方法，从互联网的角度重点研究了教育行业的网络安全状况形成本报告。报告将教育行业细分为8个领域，每个领域抽样约100家机构，包括重点高校、职业培训、儿童早教、兴趣教育、出国留学、语言学习、教育信息化、综合服务&其他。报告分析了教育行业暴露在互联网的资产情况，包括注册的域名、线上的主机、IP网络以及公有云迁移的情况。报告通过对6种典型的互联网威胁进行分析，评估各类事件带来的安全风险；通过安全值建立的多维度评价体系及算法将各机构的安全状况进行打分，并通过对这些分值对应的安全风险进行深度剖析以及差异化分析形成本研究报告。主要发现：重点高校面对的威胁相对最严重，互联网风险不容忽视；行业中36% 教育机构使用公有云主机，主要以阿里云为主；行业发现605个CVE安全漏洞，19%机构受到影晌，包括著名的 “OpenSSL Heartbleed 心脏滴血” 等漏洞； 42%机构遭受到总计166,997次DDOS拒绝服务攻击，其中重点高校成为了黑客的主要目标。教育行业和其它行业的对比本报告基于外部大数据分析方法对国内网络安全问题关注度比较高的10个行业，共10,000家机构作为分析对象（每行业1,000个机构）进行评分，将各行业安全值平均分进行统计如下，综合来看教育行业安全值均分为795 分（风险由高到低 0-1000）在本次报告比较的10个行业中排名第九名。近年来随着互联网的大力发展，除了传统高校的互联网建设有了飞速发展，其他的教育方式也借助互联网迎来了一轮高速发展，但发展的同时也面向着巨大的互联网威胁。

教育8大领域网络安全评价从外部角度看，重点高校面临的威胁最严重。在我们研究的8个细分领域中重点高校的平均安全值为481是8个领域中得分最低的，重点高校作为我国各行业人才储备、科研项目承建机构，一旦发生师生信息泄露、科研数据被窃取等事件将会造成重大损失。

教育8大领域网络安全评价图教育8大领域安全风险分布

各类安全风险影晌机构数量占比图从分析结果可以看出重点高校作为评分最低的群体，期安全漏洞的比例达到93%；其他行业普遍严重的问题为网络攻击，可以看出教育数据对于网络攻击者价值非凡；其次，黑名单的整体比例较高，作为科研教育机构一旦被其他机构当做黑名单处理会带来很多社会影响。安全漏洞：操作系统或组件存在严重的安全缺陷，—旦遭受病毒或者黑客利用，可能导致信息泄露等风险。网络攻击：遭受到大流量的DDOS拒绝服务攻击，—旦资源被耗尽，可能中断服务无法被正常用户访问。垃圾邮件：被列为垃圾邮件发送域，—旦被反垃圾邮件设备拦截，将导致用户可能无法正常收到邮件。僵尸网络：网络服务器对外部发起扫描或者攻击行为，服务器主机可能被入侵，存在后门被远程控制。恶意代码：来自国内外安全厂商的恶意代码检测结果，系统可能已经被植入后门、病毒或者恶意脚本。黑名单：域名或者IP地址被第三方列入黑名单，用户的正常网页访问可能被浏览器拦截或者IP网络通讯被防火墙阻断。互联网资产分析重点高校拥有相对较多的互联网资产在采样的机构中共发现互联网资产70,529个，包括组织注册的域名1,873个，面向互联网可访问的主机地址51,460个，以及公网开放的服务器IP地址17,196个，下面表格数据统计了各领域平均资产数量，其中重点高校网络资产数量最多为488个，云迁移比例为24%；兴趣教育和出国留学领域中平均每个机构仅有18个互联网资产；职业培训领域的云计算业务占比最多可达到47%。

互联网资产数量统计图互联网资产包括以下类型： “域名” ：组织经过ICP备案的域名； “主机”（子域名）：面向互联网开放的主机服务地址（例如 Web网站、Email服务、接口服务、业务系统等）； “IP网络” ：在线系统所使用的IP网络地址（包括本地服务器、IDC托管、云主机等）。 36% 教育机构使用公有云服务云计算在国内各行业中应用越来越多，在教育行业这种情况尤为突出，调查的800家教育机构中有36%的机构已经使用了公有云服务。其中，职业培训、教育信息化和兴趣教育是主要的云客户，迁移的比例分别是47%、42%和41%。出国留学、重点高校云迁移的比例分别是23%和24%。我们在体会着云计算技术在优化IT资源、快速弹性服务带来便利的同时也面临着新型的安全风险。尤其是云计算带来的数据境内管理问题和敏感信息保护问题成为网络安全领域新的挑战。

教育8大领域公有云主机迁移机构比例图云服务商主要以阿里云为主报告中统计的云服务主要是云主机 IaaS服务，完成迁移机构的资产中，阿里云用户占比81%，TencentCloud用户仅有3%。安全漏洞分析 19% 存在安全漏洞隐患在取样的800家教育机构中，共发现605个CVE (Common Vulnerabilities and Exposures) 漏洞，19%的机构存在比较严重的安全漏洞，漏洞类型Top5为 325个 CNNVD-201501-171，CVE-2015-0204（OpenSSL FREAK Attack洞洞），171个CNNVD-201504-257 ，CVE-2015-1635（Microsoft Windows HTTP.sys 远程执行代码漏洞），60个CNNVD-201703-1074 ，CVE-2017-7269（IIS 6 远程代码执行漏洞），40个CNNVD-201404-073 ，CVE-2014-0160（OpenSSL Heartbleed 心脏滴血），7个 CNNVD-201702-362，CVE-2016-9244 （Ticketbleed）。这些漏洞—旦被利用，可能会造成严重的信息泄露或者系统中断，组织可以通过安装补丁消除安全漏洞隐患。报告发现93%的重点高校存在安全漏洞，其中最为普遍的为CVE安全漏洞，从信息系统生命周期来看，从设计、编码到上线运行各环节都有可能造成安全漏洞，机构应建立完善的漏洞管理体系，加强人员管理、规范安全制度等全方位提升安全能力。现互联网业务模式对信息系统迭代的频率要求相对比较高，业务部们往往为了满足业务需求提高迭代效率，从而忽略部分安全隐患和响应效率，来弥补开发过程中的控制缺失。

安全漏洞分布图安全威胁分析 42% 遭受到DDOS网络攻击，重点高校成为重灾区。在采样的800家教育行业机构中，共遭受到DDOS网络攻击166,997次，拒绝服务攻击DDOS已经是当前互联网安全比较常见的威胁，拒绝服务攻击的危害在于无限制的消耗系统和网络资源，使其无法为正常用户提供服务。尤其是对与连续性要求比较高的教育行业，—旦用户无法取得教育信息将造成的是直接经济损失和客户流失。教育行业有42%的机构受到DDOS攻击的威胁，其中重点高校最为严重，85%都遭受到不同程度上的DDOS网络攻击，并且重点高校使用公有云资源的仅占24%，大多数使用本地服务器主机资源；47%的职业培训和44%的教育信息化遭受到过DDOS网络攻击，同时他们的他们接近半数（47%和4%）的公司使用了公有云资源，受到对云资源池的范围性攻击的影响相对较高。

网络攻击分布图 Top 10威胁教育行业的恶意地址分析发现，教育行业中经常受到DDOS网络攻击的端口为 80、25001、443、4444，这种威胁主要基于流量的攻击，常用的攻击类型为ampfloodtarget，机构可通过优化服务器组件对异常连接进行快速处理，采用流量清洗服务方式实现不同程度的防护。下表是 “Top 10 威胁教育行业的恶意地址”，可重点关注以下地址，适当采取阻断措施。

Top 10威胁教育行业的恶意地址图风险综合分析根据标准风险评估方法论，从外部数据中分析风险三要素，资产（A）、脆弱性（V）、威胁（T），并提取频率、时间、数量、影晌程度等关键指标，逐个对行业内每个企业或机构进行安全风险（R）进行定量评估R = F（A，V，T），最终教育行业内8个领域的平均安全值为795（1000分制），需重点解决安全洞洞、网络攻击问题，考虑不同的领域或者组织应结合业务特点采取不同的防护措施。安全值从外部视角完成了对行业/企业的安全评价，作为客观的评价结果，重要的意思在于在相同测量标准下比较行业之间或者企业之间的差距，快速定位安全风险较高的组织，并采取进—步的风险处置策略，优化安全风险管理流程和资源，提高效率。