文/吳芳

自2021年9月國家發(fā)展改革委等11部門聯(lián)合發(fā)布《關于整治虛擬貨幣“挖礦”活動的通知》以來，各行各業(yè)都在加快整治虛擬貨幣“挖礦”活動。由于高校校園網(wǎng)計算機多，用戶量大，用戶安全意識參差不齊，因此深受“挖礦”困擾。

將“挖礦”治理納入校園安全整體考慮

高校“挖礦”活動的治理不是一項完全獨立的專項行動，其與學校的網(wǎng)絡安全體制機制建設、監(jiān)測預警通報處置體系建設、網(wǎng)絡安全宣傳教育、網(wǎng)絡安全隊伍建設等都密切相關，治理“挖礦”需要將其納入學校校園安全綜合治理體系進行整體考慮，打出一套“挖礦”治理的組合拳。

在網(wǎng)絡安全體制機制建設上，學校的高度重視將有利于“挖礦”活動治理的順利開展，成立工作專班或工作小組，明確統(tǒng)籌部門，統(tǒng)一部署“挖礦”治理工作，有利于在短期內(nèi)改善“挖礦”高發(fā)的態(tài)勢。

在監(jiān)測預警通報處置體系建設上，升級技術防護手段，加強“挖礦”活動的常態(tài)化監(jiān)測能力，實現(xiàn)監(jiān)測、通報、整改、反饋閉環(huán)管理（如圖1所示）。一方面提前發(fā)現(xiàn)、及時處置，盡量避免出現(xiàn)通報；另一方面發(fā)現(xiàn)一起處置一起，實現(xiàn)動態(tài)清零。

圖1 “挖礦”活動監(jiān)測預警通報處置閉環(huán)管理

在網(wǎng)絡安全宣傳教育上，教育師生在數(shù)字時代掌握一定的網(wǎng)絡安全技能。攻擊者雖然能發(fā)現(xiàn)并利用一切可利用的途徑成功入侵進行“挖礦”，但“蒼蠅不叮無縫的蛋”，主要還是因為我們自身存在漏洞或薄弱環(huán)節(jié)。例如，計算機操作系統(tǒng)未及時更新、使用了常見弱密碼、點擊釣魚郵件感染木馬、從非官網(wǎng)下載內(nèi)嵌木馬的軟件、使用帶病毒的U盤等。對此，學?？梢跃W(wǎng)絡安全宣傳周為契機，重點宣傳和常態(tài)化宣傳雙管齊下，通過線上線下講座、多媒體推送、形勢教育思政課、開展安全演練等多種形式，將“挖礦”活動的風險危害、政策形勢、安全防護技能傳授給廣大師生，使其“拒絕主動‘挖礦’，防范被動‘挖礦’”?！巴诘V”木馬入侵傳播途徑如圖2所示。

圖2 “挖礦”木馬入侵傳播途徑

在網(wǎng)絡安全隊伍建設上，除專業(yè)安全人員外，學校網(wǎng)絡運維人員、信息系統(tǒng)開發(fā)運維人員和二級單位信息化聯(lián)絡員也是學校網(wǎng)絡安全保障工作的中堅力量。工作人員可以通過各類專題講座、培訓認證、開展安全演練等形式提升校園師生的網(wǎng)絡安全意識和個人處置能力。

與此同時，“挖礦”活動的治理還需要監(jiān)管部門、高校之間、學校自身、安全廠商等多方合作交流、共享情報，打造統(tǒng)一戰(zhàn)線，從而提高教育系統(tǒng)整體對“挖礦”活動的治理能力。

打造高效閉環(huán)的處置體系

上海交通大學通過自主研發(fā)“挖礦”監(jiān)測平臺，提升對“挖礦”活動的監(jiān)測預警能力，建立一套從發(fā)現(xiàn)、處置到預防的高效閉環(huán)工作機制，將負面影響控制在最小范圍內(nèi)。圖3為“挖礦”監(jiān)測平臺部署示意。

圖3 “挖礦”監(jiān)測平臺部署示意

事前，一是在校園網(wǎng)絡域名解析系統(tǒng)（DNS）中配置“礦池”相關域名黑名單并定期更新，及時阻斷校內(nèi)主機與“礦池”的通訊渠道；二是向用戶提供3種終端防病毒軟件，供用戶自行選擇下載安裝，抵御“挖礦”木馬侵害；三是加強網(wǎng)絡安全宣傳教育，提高師生安全意識。此外，還需開展專業(yè)技能培訓，提升學校網(wǎng)信隊伍的安全能力。

事中，利用“挖礦”監(jiān)測平臺及時跟蹤處置，實現(xiàn)動態(tài)清零。根據(jù)“挖礦”程序多使用域名連接至公共礦池或礦池代理的特性，研發(fā)“挖礦”監(jiān)測平臺。通過采集請求時間、客戶端IP地址、請求域名等DNS相關日志信息，與收集的“礦池”域名信息進行比對，檢查請求是否命中，并進行相關的統(tǒng)計和預警，實現(xiàn)對“挖礦”活動的實時監(jiān)測。

“礦池”域名黑名單對檢測的準確性和及時性起著重要作用。目前，平臺根據(jù)相關惡意域名通報、互聯(lián)網(wǎng)上公開的“挖礦”域名列表、主動工具采集三種方式，收集“礦池”域名信息并不定期更新。例如，目前公開的“礦池”域名和“礦池”代理不少采用stratum+tcp 或stratum+ssl格式，利用工具采集互聯(lián)網(wǎng)上包含“stratum+tcp://”或“stratum+ssl://”的內(nèi)容，即可提取整理出部分“礦池”域名清單。

和漏洞威脅處置一樣，“挖礦”處置要講究時效性。一方面要在第一時間采取措施，阻斷“挖礦”木馬在網(wǎng)內(nèi)進一步傳播。另一方面，要徹底清理“挖礦”程序，避免“挖礦”木馬死灰復燃。除了檢查異常進程、異常網(wǎng)絡連接、定位清除“挖礦”程序之外，還要檢查遠程登錄配置文件、開機啟動項、定時任務、隱藏權限、系統(tǒng)用戶設置等事項，采取授權IP地址訪問、使用強密碼、安全配置系統(tǒng)及應用等措施進一步加固系統(tǒng)。

值得一提的是，在“挖礦”處置過程中，要避免一刀切的做法。高校不乏研究區(qū)塊鏈技術的科研活動，可能會產(chǎn)生類似“挖礦”的行為，安全工作要服務于學校教學科研等各項事業(yè)的發(fā)展，因此處置時要充分了解實際情況，具體問題具體分析，這也對學校網(wǎng)絡安全人員的能力提出了更高要求。

事后，通過統(tǒng)一日志分析等手段歸納總結“挖礦”活動的共性問題，舉一反三，發(fā)現(xiàn)一個阻斷一類。相信只要高校進行持續(xù)治理，校園內(nèi)的“挖礦”活動就成不了氣候，動態(tài)清零的目標也終將實現(xiàn)。