西北工業(yè)大學(xué)遭受美國(guó)國(guó)家安全局網(wǎng)絡(luò)攻擊事件，龍笛為安全助力

河北工業(yè)大學(xué)

作為國(guó)防七子之一的西北工業(yè)大學(xué)是中國(guó)唯一同時(shí)發(fā)展航空、航天、航海“三棲”工程教育和科學(xué)研究的重點(diǎn)大學(xué)。國(guó)產(chǎn)殲-10、殲-20、直-20，以及前段時(shí)間支援巴基斯坦的運(yùn)-20等多型號(hào)軍機(jī)的總設(shè)計(jì)師都出自該校。此外，西工大自主研制的無(wú)人機(jī)還在國(guó)慶閱兵時(shí)，三次穿越天安門廣場(chǎng)，2022年7月，西工大自主研制的“飛天一號(hào)”火箭也成功發(fā)射，顯示了高校在中國(guó)軍事科研領(lǐng)域的獨(dú)特能力，該校因此也被美國(guó)拉入黑名單。

TAO發(fā)起網(wǎng)絡(luò)攻擊

根據(jù)最新通報(bào)顯示，美國(guó)國(guó)家安全局在對(duì)西工大進(jìn)行網(wǎng)絡(luò)攻擊之前，其下屬的特定入侵行動(dòng)辦公室（TAO），使用了突破計(jì)算機(jī)系統(tǒng)漏洞類、持久控制計(jì)算機(jī)網(wǎng)絡(luò)類、嗅探竊密類、隱蔽消除痕跡類等4大類40余種方式對(duì)中國(guó)國(guó)內(nèi)網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次攻擊，控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備，并成功竊取了該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。

對(duì)此，外交部進(jìn)行了堅(jiān)決的反對(duì)，但代表國(guó)內(nèi)最高軍事科研能力的國(guó)防七子受到美國(guó)攻擊帶來(lái)的嚴(yán)重后果不斷在網(wǎng)絡(luò)上發(fā)酵，并一度成為新浪熱搜第一名，顯示了國(guó)人對(duì)西北工業(yè)大學(xué)等高?？蒲袡C(jī)構(gòu)信息安全的擔(dān)憂。

二．事件背后的思考

1. 西北工業(yè)大學(xué)的遭遇僅是美國(guó)對(duì)華攻擊的一個(gè)縮影

西北工業(yè)大學(xué)的遭遇，僅是美國(guó)對(duì)華大肆網(wǎng)絡(luò)攻擊竊密的一個(gè)縮影。長(zhǎng)期以來(lái)，為達(dá)到美國(guó)政府情報(bào)收集目的，美國(guó)國(guó)家安全局針對(duì)全球發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，我國(guó)的高?？蒲袡C(jī)構(gòu)正是重點(diǎn)攻擊目標(biāo)之一。

此前，國(guó)內(nèi)某安全公司就曾披露過美國(guó)國(guó)安局的對(duì)包括中國(guó)、俄羅斯等全球45個(gè)國(guó)家和地區(qū)開展長(zhǎng)達(dá)十幾年的"電幕行動(dòng)"網(wǎng)絡(luò)攻擊，涉及的機(jī)構(gòu)目標(biāo)包括知名高校、科研機(jī)構(gòu)、通信行業(yè)、政府部門等。

TAO組織框架

TAO組織架構(gòu)及參與“阻擊XXXX”行動(dòng)的TAO子部門

在對(duì)高?？蒲蓄I(lǐng)域的網(wǎng)絡(luò)攻擊中，美國(guó)國(guó)安局特別善于利用其控制的網(wǎng)絡(luò)攻擊武器平臺(tái)、"零日漏洞"和網(wǎng)絡(luò)設(shè)備，長(zhǎng)期對(duì)手機(jī)用戶進(jìn)行無(wú)差別的語(yǔ)音監(jiān)聽，非法竊取手機(jī)用戶的短信內(nèi)容，并對(duì)其進(jìn)行無(wú)線定位。這些被監(jiān)控的渠道有電子郵件、臉譜網(wǎng)消息、谷歌聊天、Skype網(wǎng)絡(luò)通話、普通社交網(wǎng)絡(luò)。3月22日，美國(guó)媒體曝光美國(guó)國(guó)家安全局對(duì)世界各國(guó)訪問美國(guó)社交媒體的互聯(lián)網(wǎng)用戶發(fā)起網(wǎng)絡(luò)攻擊，中國(guó)社交軟件也是其攻擊目標(biāo)。對(duì)此，中國(guó)外交部發(fā)言人汪文斌形象地指出：“這意味著無(wú)論你是誰(shuí)，無(wú)論你在世界的哪個(gè)角落，只要你使用網(wǎng)絡(luò)社交平臺(tái)，背后就都可能有個(gè)‘老大’在盯著你。”

外交部發(fā)言

事實(shí)證明，美國(guó)等西方國(guó)家一直以來(lái)對(duì)社會(huì)主義中國(guó)采用了不信任的態(tài)度，多國(guó)政要在國(guó)情資文中明確提出扼制中國(guó)發(fā)展的立場(chǎng)。美國(guó)在特朗普政府上臺(tái)后，采取了更為激進(jìn)的扼制中國(guó)的策略。作為無(wú)聲的網(wǎng)絡(luò)戰(zhàn)場(chǎng)，以美國(guó)國(guó)家安全局為首的政府部門實(shí)施了多個(gè)針對(duì)中國(guó)的網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取行動(dòng)。曝光的丑聞?dòng)兄挠兴怪Z登事件和今年以來(lái)的TAO無(wú)差別數(shù)據(jù)采集事件。

2.高?？蒲袡C(jī)構(gòu)是中國(guó)網(wǎng)絡(luò)安全的重要一環(huán)

高?？蒲袡C(jī)構(gòu)作為構(gòu)成我國(guó)網(wǎng)絡(luò)安全的重要一環(huán)，重要科研數(shù)據(jù)的存儲(chǔ)場(chǎng)所，自然重要受到美國(guó)的監(jiān)視。信息安全同樣符合管理學(xué)上的木桶原理：最短的那塊木板是信息安全最容易受到攻擊的目標(biāo)。

信息安全水桶定律

①高?？蒲袉挝簧婷茴悇e多、范圍廣，人員組成復(fù)雜、流動(dòng)性大，對(duì)外交流多、信息化程度高。近年來(lái)，高校已成為境外間諜機(jī)構(gòu)竊密的重點(diǎn)目標(biāo)，保密工作難度加大。

②高?？蒲袉挝坏臉I(yè)務(wù)骨干安全意識(shí)有待提高。由于不了解信息化條件下的保密工作，缺乏應(yīng)有的防范技能，已成為網(wǎng)絡(luò)泄密的高危人群。涉密往往從違規(guī)開始，因此，作為高校科研機(jī)構(gòu)管理者和教職員工，不懂保密、不會(huì)保密是十分危險(xiǎn)的。如果在互聯(lián)網(wǎng)上存儲(chǔ)、處理涉密信息，就等于把國(guó)家秘密直接擺在了境外情報(bào)機(jī)構(gòu)的辦公桌上，會(huì)給國(guó)家?guī)?lái)不可估量的損失。

3.高?？蒲蓄I(lǐng)域典型案例

①不健全的網(wǎng)絡(luò)安全體系：2007年淮南職院學(xué)生信息泄露案——對(duì)淮南職業(yè)技術(shù)學(xué)院處以立即整改和行政警告的處罰措施。

②科研機(jī)構(gòu)內(nèi)部管理不當(dāng)：2020年鄭州西亞斯2萬(wàn)學(xué)生信息泄露案——對(duì)學(xué)校、負(fù)有領(lǐng)導(dǎo)責(zé)任的一名副校長(zhǎng)和直接責(zé)任人進(jìn)行了行政處罰。

③受誘惑販賣國(guó)家科研秘密：黃宇間諜案——直接責(zé)任人判處死刑及有期徒刑，原來(lái)就職的單位有29人受到不同程度的處分。

④學(xué)生被引誘盜取科研情報(bào)：2018雷霆行動(dòng)——相關(guān)學(xué)生和老師被追究法律責(zé)任。

⑤教職工薄弱的保密意識(shí)：2008年教授泄密案——泄密人張教授和網(wǎng)管小劉分別受到了黨紀(jì)政紀(jì)的嚴(yán)肅處理。

三．高?？蒲袉挝蝗绾伪苊庠俅卧馐芄舻乃伎?/p>

針對(duì)復(fù)雜嚴(yán)峻的形勢(shì)，中國(guó)從頂層設(shè)計(jì)上查缺補(bǔ)漏，分別制定了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，2022年《教育部工作要點(diǎn)》中強(qiáng)調(diào)強(qiáng)化保密宣傳工作，深化校園安全專項(xiàng)整頓。全國(guó)高校掀起了“全民國(guó)家網(wǎng)絡(luò)安全宣傳教育日活動(dòng)”。但僅僅從制度上加強(qiáng)和安全意識(shí)上加強(qiáng)培訓(xùn)還是遠(yuǎn)遠(yuǎn)不夠的，作為信息安全終端龍頭企業(yè)，龍笛提出了自己的思考。

1. 堅(jiān)持復(fù)雜網(wǎng)絡(luò)環(huán)境下安全可信的技術(shù)路線

現(xiàn)代的網(wǎng)絡(luò)安全不只是保證單機(jī)機(jī)器安全就可以，而是一個(gè)復(fù)雜網(wǎng)絡(luò)系統(tǒng)的概念。作為一個(gè)復(fù)雜網(wǎng)絡(luò)系統(tǒng)，電腦、服務(wù)器等硬件，安裝在硬件之上的軟件系統(tǒng)，以及數(shù)據(jù)傳輸?shù)耐ǖ谰W(wǎng)絡(luò)系統(tǒng)，任何一環(huán)的薄弱，都會(huì)成為網(wǎng)絡(luò)攻擊者的目標(biāo)。特別是隨著大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)的應(yīng)用和疫情的持續(xù)存在，給原來(lái)封閉的網(wǎng)絡(luò)系統(tǒng)增加的復(fù)雜性，所以有專家提出了零信任的概念。零信任給網(wǎng)絡(luò)安全帶來(lái)了新的希望，但無(wú)法解決目前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全問題，從目前來(lái)看，繼續(xù)推廣安全可信，組建國(guó)內(nèi)安全可信生態(tài)體系，讓參與網(wǎng)絡(luò)的每一個(gè)主體都可信安全從而保證網(wǎng)絡(luò)的整體安全是中國(guó)加強(qiáng)網(wǎng)絡(luò)安全，避免未來(lái)大規(guī)模的網(wǎng)絡(luò)安全事件發(fā)生的解決之道。

龍笛，一直是可信計(jì)算的推動(dòng)者和實(shí)踐者，2021年率先參與加入“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)風(fēng)險(xiǎn)治理框架體系”，首批受邀入駐國(guó)家等級(jí)保護(hù)2.0與可信計(jì)算3.0攻關(guān)示范基地。

龍笛積極組織、參與、研究構(gòu)建主動(dòng)免疫安全可信的移動(dòng)互聯(lián)網(wǎng)通信聚合平臺(tái)，參與相關(guān)標(biāo)準(zhǔn)、案例及課題工作，積極宣傳和實(shí)踐可信計(jì)算移動(dòng)互聯(lián)網(wǎng)技術(shù)成果和應(yīng)用轉(zhuǎn)化，并在有代表性的國(guó)家單位中推動(dòng)、實(shí)施安全可信的移動(dòng)互聯(lián)網(wǎng)應(yīng)用方案。

龍笛自主研發(fā)、具有完全自主可控的移動(dòng)安全通信平臺(tái)“龍笛”基于可信計(jì)算3.0標(biāo)準(zhǔn)研發(fā)，滿足了數(shù)字化轉(zhuǎn)型過程中數(shù)據(jù)資產(chǎn)的安全，保護(hù)了國(guó)家秘密、工作秘密、商業(yè)秘密和個(gè)人隱私安全，成功服務(wù)了國(guó)家部委、軍工軍隊(duì)、科研單位、大型央企、金融機(jī)構(gòu)等，已經(jīng)成為國(guó)家重要單位、國(guó)家重點(diǎn)工程優(yōu)選的即時(shí)通訊平臺(tái)和底座，深受行業(yè)用戶好評(píng)。

在2022年中關(guān)村可信計(jì)算產(chǎn)業(yè)聯(lián)盟“移動(dòng)互聯(lián)網(wǎng)專業(yè)委員會(huì)”成立大會(huì)上，龍笛憑借一如既往在可信計(jì)算領(lǐng)域的努力和卓有成效的“龍笛”產(chǎn)品，在高手林立的企業(yè)中，眾望所歸，被選為副主任單位。

龍笛 龍笛

未來(lái)，龍笛還將與業(yè)內(nèi)眾多信創(chuàng)平臺(tái)生態(tài)鏈企業(yè)一起，緊跟自主創(chuàng)新的國(guó)家戰(zhàn)略方針，合力打造可信創(chuàng)新生態(tài)體系，為行業(yè)客戶提供更為安全、可信、適用的軟硬件一體化解決方案和更加完善、可靠的信息安全保障。

2. 重點(diǎn)科研院所應(yīng)該堅(jiān)持以私有化部署方式搭建在線教育平臺(tái)

SaaS是按需付費(fèi)軟件的簡(jiǎn)稱，近年它在企業(yè)服務(wù)領(lǐng)域快速增長(zhǎng)，并獲得資本垂青。SaaS部署模式具有簡(jiǎn)單不需維護(hù)、省錢的特點(diǎn)，但在2021年軟件即服務(wù)公司DoControl發(fā)布的一份調(diào)查報(bào)告發(fā)現(xiàn)，所有SaaS數(shù)據(jù)訪問中有40%是未受管理的，這會(huì)造成重大的內(nèi)部威脅和外部威脅。該報(bào)告詳細(xì)介紹了未經(jīng)SaaS廠商檢查和命名的數(shù)據(jù)訪問所存在的重大威脅，以及這些威脅被忽略的現(xiàn)狀。這項(xiàng)調(diào)查的對(duì)象是平均規(guī)模在1000人的企業(yè)，SaaS應(yīng)用中保存了50萬(wàn)到1000萬(wàn)條數(shù)據(jù)存儲(chǔ)資產(chǎn)中?？梢怨_共享的企業(yè)可能有多達(dá)20萬(wàn)項(xiàng)資產(chǎn)被公開共享了。

研究顯示，內(nèi)部威脅是一個(gè)重大問題，平均有400個(gè)加密密鑰通過內(nèi)部共享的方式發(fā)給了任何收到鏈接的人。有1/5的SaaS資產(chǎn)通過內(nèi)部共享連接被公開，很多員工甚至可以獲取他們沒有權(quán)限使用的數(shù)據(jù)。大約有8%的通過他們的個(gè)人賬號(hào)對(duì)外分享了公司資產(chǎn)，讓很多前員工也可以持續(xù)使用公司的數(shù)據(jù)。

龍笛

龍笛研發(fā)的龍笛采用私有化部署模式，讓高?？蒲袡C(jī)構(gòu)擁有看得見的安全

在高校科研領(lǐng)域，這樣的威脅無(wú)疑更加放大了。高?？蒲袡C(jī)構(gòu)人員復(fù)雜，難以管理，一些高校使用SaaS模式部署自己的信息系統(tǒng)，增加了敏感科研信息的暴露機(jī)會(huì)。比如2021年，阿里云因?yàn)闄C(jī)房數(shù)據(jù)泄露一度引發(fā)廣大網(wǎng)民對(duì)公有云產(chǎn)品的單位。高校科研機(jī)構(gòu)的信息安全事件，即時(shí)發(fā)生了也很難被發(fā)現(xiàn)，一些單位領(lǐng)導(dǎo)即使明明知道了也不會(huì)告知于人，導(dǎo)致國(guó)家秘密泄露的風(fēng)險(xiǎn)大大增加。2016年8月19日，已經(jīng)被大學(xué)錄取的山東臨沂18歲女孩徐玉玉接到一個(gè)陌生電話，被騙走了家人東拼西湊的9900元學(xué)費(fèi)。在與家人去派出所報(bào)案回來(lái)的路上，女孩心臟驟停，兩天后離世。事后發(fā)現(xiàn)，導(dǎo)致徐玉玉致死的源頭是被騙兩天前徐玉玉剛剛申請(qǐng)了大學(xué)的助學(xué)金。這些個(gè)人數(shù)據(jù)是如何泄露出去的？有多家媒體產(chǎn)生了高校數(shù)據(jù)泄露的疑問。

一些保存重要科研數(shù)據(jù)的高校如何規(guī)避這種信息的可能性，在線教育平臺(tái)的私有化部署無(wú)疑是解決方案之一。私有化部署可以讓高校擁有數(shù)據(jù)主權(quán)，減少數(shù)據(jù)暴露。私有化部署可以滿足高度保密需求。私有化部署的第一個(gè)好處就是企業(yè)信息可以保存企業(yè)本地，讓數(shù)據(jù)更加嚴(yán)密安全。私有化部署還可以個(gè)性化定制，開發(fā)專屬功能，企業(yè)自主掌握成員權(quán)限管理，自定義綁定賬號(hào)和對(duì)應(yīng)席位，避免認(rèn)為數(shù)據(jù)泄露風(fēng)險(xiǎn)。

3. 龍笛高?？蒲袉挝唤鉀Q方案

龍笛符合了以上所有特征，能夠最大程度提高信息系統(tǒng)的安全性。

從信息安全而論，單純從法律和人員培訓(xùn)上加強(qiáng)重視還是不夠的?，F(xiàn)代的信息系統(tǒng)是一個(gè)復(fù)雜系統(tǒng)，任何一環(huán)被攻破都會(huì)造成整個(gè)系統(tǒng)的崩潰。信息安全終端安全企業(yè)龍笛自2013年開始，就投入了資金，用來(lái)解決信息安全問題。所研發(fā)的“龍笛”經(jīng)過黨政軍和金融、政府、科研事業(yè)單位10多萬(wàn)終端的驗(yàn)證，證明可以給中國(guó)乃至海外任何用戶提供信息安全保障。

龍笛框架

龍笛以移動(dòng)辦公中即時(shí)通訊為核心場(chǎng)景，整合了各種移動(dòng)辦公應(yīng)用。特別是低代碼開發(fā)平臺(tái)可以實(shí)現(xiàn)企業(yè)的快速維護(hù)，大大減少了普通技術(shù)人員使用產(chǎn)品的難度。

龍笛強(qiáng)調(diào)數(shù)據(jù)流轉(zhuǎn)全程保護(hù)。高校科研機(jī)構(gòu)的重要科研數(shù)據(jù)從產(chǎn)生到存儲(chǔ)到分析，消亡，大部分以數(shù)字形式存儲(chǔ)與高校的信息基礎(chǔ)設(shè)施中。系統(tǒng)的安全與數(shù)據(jù)安全同等重要。龍笛開發(fā)的龍笛基于可信、可控的技術(shù)路線開發(fā)，能給整個(gè)高?？蒲袉挝惶峁┮惶淄暾囊苿?dòng)安全辦公解決方案，從而保證了高?？蒲袉挝恢匾獢?shù)據(jù)全流程的安全。

龍笛高校應(yīng)用

網(wǎng)絡(luò)無(wú)邊，安全有界。在全民網(wǎng)絡(luò)安全深入人心的當(dāng)下，我們要認(rèn)清網(wǎng)絡(luò)信息安全隱患的存在，并且不斷地提高防范意識(shí)，保護(hù)網(wǎng)絡(luò)信息的安全。