中文
“截止2022年3月20日,‘挖矿’整治行动共核查出疑似‘挖矿’终端70多个,发现可疑终端后,‘挖矿’整治行动专项工作组会在第一时间联系第一负责人,下发整改通知并协助完成处置整改。”
——西南交通大学
信息化与网络管理处副处长 唐燕梅
关于西南交通大学(以下简称“西南交大”)的虚拟货币“挖矿”整治行动,要从一则校内通知说起。
2022年1月,西南交大全体师生收到了一则来自该校信息化与网络管理处发布的《关于清理校园网虚拟货币“挖矿”活动的通知》(以下简称《通知》)。《通知》中强调,根据教育部、四川省教育厅相关文件要求,各单位要“坚决彻底整治虚拟货币‘挖矿’活动……”即日起学校将启动校园网内虚拟货币“挖矿”活动专项核查清理工作,并通过网络安全监测平台对校园网进行全天不间断监测。
△图片来源:西南交通大学信息化与网络管理处凯发注册网站官网
其实早在去年9月,国家发改委等多部门就联合发布了《关于整治虚拟货币“挖矿”活动的通知》,将“挖矿”正式列为淘汰类产业。在一系列强监管政策和措施下,虚拟货币的规模化“挖矿”在国内已被全面禁止,但个人“挖矿”与黑客“挖矿”行为依然存在。
此外,随着黑产“挖矿”产业链的日益成熟,黑客变现难度降低。在巨大的利益驱动下,“挖矿”病毒成为黑客最常用的攻击手法之一。“恰好学校数据中心存放着大量服务器、云主机、虚拟主机,教室办公终端、学生终端数量庞大,这使得高校成为‘挖矿’病毒感染的首选目标之一。”西南交大信息化与网络管理处(学校虚拟货币“挖矿”整治行动专项工作组牵头部门)副处长唐燕梅表示。在此背景下,教育系统的“挖矿”问题也引起了各级主管单位的高度重视。
西南交大:五步走构建立体式“挖矿”治理体系
“在已发现的‘挖矿’终端中,98%的终端都是因为感染‘挖矿’病毒或木马引发的‘挖矿’行为。校园网用户个人安全意识薄弱,为‘挖矿’病毒入侵提供了可乘之机。”唐燕梅表示,“挖矿”整治行动要从设立第一责任人制着手,保障“挖矿”治理从排查、处置到复测的全流程闭环处置。
具体可以分为以下五个步骤:
第一步:建立第一责任人制
西南交大认为,“挖矿”整治的第一步需要率先明确第一责任人。因此,信息化与网络管理处牵头组建了行动专项工作组,负责排查“挖矿”行为;学校二级单位/部门的安全员作为第一责任人,负责通知下发及整改。
第二步:制定“挖矿”处置流程
西南交大专门制定了《校内“挖矿”活动处置流程》,根据服务器终端和个人电脑终端采取差异性的处置流程和措施。
第三步:广泛宣传取得最大限度配合
作为该行动的牵头部门,信息化与网络管理处陆续在学校凯发注册网站官网及官方微信发布了一系列关于清理校园网虚拟货币“挖矿”行动的通知。要想获得学校各单位和校园网用户对“挖矿”整治行动的最大限度配合,首先要让所有参与者了解“挖矿”木马是什么,存在哪些危害。这样他们才能从根源上理解学校大力整治“挖矿”的原因,并且积极地参与进来。
第四步:24小时不间断监测
西南交大通过网络安全监测平台对校园网实施24小时不间断监测,核查学校内的“挖矿”终端。同时,为了避免单一维度的漏判、误判,学校还结合深信服提供的7*24小时mss安全托管服务监测预警,辅助“挖矿”整治。通过技术与服务相结合,学校完成了完整、准确的“挖矿”排查。根据每日排查结果,双方共同编制“挖矿”终端清单发放到各二级单位/部门。
第五步:提供“挖矿”病毒整治工具支持
深信服还为西南交大提供了针对个人用户的“挖矿”病毒扫描查杀工具和针对服务器的终端管理平台edr,帮助疑似“挖矿”终端用户简捷、快速地完成病毒处置。最后,再由信息化与网络管理处审核每日“挖矿”终端清单用户上报的整治结果,确认完成整改后才允许再次接入校园网。
△图片来源:西南交通大学信息化与网络管理处凯发注册网站官网
截止目前,西南交大核查出的所有“挖矿”或疑似“挖矿”终端均已完成整改。但由于“挖矿”病毒具有持续性和易复发性,"挖矿"整治行动的开展要坚持预防与整改并重,形成持续治理的社会合力和高压态势,不给虚拟货币违法违规行为留下任何可乘之机。