王士贤:多措并举 让“挖矿”病毒无处可藏
2021年9月,国家发改委等部门联合发布《关于整治虚拟货币“挖矿”活动的通知》,要求全面梳理排查虚拟货币“挖矿”项目,严肃查处整治虚拟货币“挖矿”活动。
2021年12月,国家发改委又修改了《产业结构调整指导目录(2019年本)》,在淘汰类的“落后生产工艺装备”中增加了“虚拟货币‘挖矿’活动”。
监管政策持续加码,虚拟货币“挖矿”活动正式被淘汰,这也为高校防范“挖矿”指明了方向。
为了明确“挖矿”的具体形态,找到“挖矿”的防范难点及整治措施,华中科技大学网络与信息化办公室主任王士贤分享了自己的见解,以期为高校防范“挖矿”提供有效思路。
“挖矿”有哪些形态?
目前,“挖矿”在高校主要有三种形态:主动“挖矿”、被动“挖矿”和浏览器“挖矿”。具体内容及特点如下表所示。
三种“挖矿”形态的定义和特点
防范“挖矿”的难点在哪?
就目前而言,防范“挖矿”的难点主要有三。
1.管控难。校园网覆盖面大,包括办公室、实验室、机房、学生宿舍等学校网络环境,同时师生关于防范“挖矿”的安全意识有待提高。
2.溯源难。校园网产生的实时海量日志、流量信息,使得数据分析难度加大,精准定位“挖矿”行为困难重重。
3.彻底阻断难。无法全面掌握“矿池”信息,也就无法从源头上完全阻断“挖矿”行为。
如何防范“挖矿”?
防范“挖矿”,高校比较有效的措施主要是通过技术和管理双管齐下,构建校园自动化“挖矿”监测、拦截与处置能力,把技管结合的工作落实,持续进行专项治理,都能取得显著成效。
技术上,不断提升技术防范体系,实现“挖矿”行为的自动识别与定位处置,同时加强对虚拟货币“挖矿”行为的日常监测力度;管理上,通过开展虚拟货币“挖矿”活动自查、在全校范围内加强多渠道宣传教育、严查严处“挖矿”行为等多方面推进工作,形成“挖矿”整治流程闭环。
实践成效
华中科技大学近期开展了“挖矿”专项整治工作,多措并举,做好技术与管理工作,在阻断“挖矿”行为方面取得了一定的效果。
1.成立工作专班。校领导高度重视“挖矿”专项整治工作,为此成立了由相关部门负责人员共同组成的工作专班,并制定了专项工作方案。
2.升级技术防范体系。采取了一系列技术管控措施升级防护体系,加强了虚拟货币“挖矿”行为的常态化监测力度。采取的技术措施包括:
广泛收集“矿池”数据库情报,添加到学校Panabit出口设备,第一时间拦截“挖矿”流量;
编写程序分析DNS查询日志,实时比对查询IP和“矿池”数据库,统计我校存在查询和连接“矿池”的IP;
配置防火墙,防护特殊设备;
在认证服务器上进行配置,避免认证终端长期在线,减少非必要互联网连接,进一步降低设备感染病毒的风险。
3.加大力度、多渠道开展宣传教育。通过校园网、企业微信、广播等形式推送关于“挖矿”的风险提示、排查防范、警示案例等文章,引导教职工及学生正确认识虚拟货币“挖矿”的社会危害性,自觉抵制“挖矿”行为,增强网络安全意识。
4.自查整改。发布了《关于全面排查整治虚拟货币“挖矿”活动的通知》,将排查治理纳入网络安全年度考核评价中,要求各单位自查是否存在虚拟货币“挖矿”行为。
5.严查严处、落实问责制度。对被上级部门及相关机构通报的、网络中心监测发现的“挖矿”IP地址,一经核实严查严处。学校坚决不允许主动“挖矿”行为,避免感染“挖矿”病毒。加大查处力度,落实问责制度,对于整治查处不力的单位或领导,采取约谈、通报批评或纪律处分等方式予以惩戒。
6.合理利用市场工具。一是购买威胁情报,各个威胁情报商都有不同来源的“挖矿”域名等相关情报信息,将这些信息直接在安全设备上进行监测并做阻断处理;二是通过流量识别设备发现“挖矿”行为,如Panabit能通过流量快速识别出访问了“矿池”或者虚拟货币服务器目标IP的“挖矿”行为。
近期,统计数据显示,华中科技大学查询或连接“矿池”的疑似“挖矿”数据已逐步下降且趋于零,整治工作取得了阶段性成果。
“挖矿”治理是一个长期的过程,学校需持续推进虚拟货币“挖矿”专项整治工作,确保校园虚拟货币“挖矿”行为清零。
作者:王士贤(华中科技大学网络与信息化办公室主任)
责编:陈永杰