摘 ? 要：隨著我國向信息化強國的步伐快速邁進，高校作為國家的重要組成部分，也在加速實現(xiàn)更加方便、快捷的信息化智能化校園。信息化程度也成為衡量世界“雙一流”高校的重要標(biāo)志。面對日益增加的高校信息系統(tǒng)，如何實現(xiàn)統(tǒng)一的安全管理已成為高校當(dāng)下亟待解決的重要問題。文章結(jié)合北京交通大學(xué)的信息化環(huán)境，以目前擁有的信息系統(tǒng)運行、維護狀態(tài)為研究始點，通過日常工作中解決問題的方法、策略，將信息系統(tǒng)備案、等級管理、系統(tǒng)漏洞、Web應(yīng)用漏洞、安全通告整合在一個平臺，對有安全隱患的信息系統(tǒng)以短信、郵件的方式通知負責(zé)人。此平臺已實現(xiàn)信息系統(tǒng)建設(shè)、備案、所屬單位、功能、開放端口、漏洞掃描、運行、整改升級的一個完整的流程，減少了安全設(shè)備之間多個平臺的切換，提高了漏洞掃描準確率。

關(guān)鍵詞：智能化校園;安全管理;系統(tǒng)備案;等級管理;漏洞掃描;安全通告;日志數(shù)據(jù)

中圖分類號：TP391 文獻標(biāo)志碼：B 文章編號：1673-8454（2019）21-0040-04

一、概述

2017年6月1日起《中華人民共和國網(wǎng)絡(luò)安全法》施行后，加強信息系統(tǒng)安全管理是各高校信息主要部門的首要任務(wù)之一。目前我國高校校園內(nèi)信息系統(tǒng)普遍存在的問題是：信息系統(tǒng)數(shù)量多;部分系統(tǒng)由使用單位負責(zé)建設(shè);系統(tǒng)日常運行維護有的是自己維護有的是委托他人維護;大部分系統(tǒng)由于應(yīng)用范圍小和經(jīng)費少而開發(fā)質(zhì)量不高，開發(fā)時安全方面的因素基本沒考慮。為了高效地對校園信息系統(tǒng)進行安全管理，我們開發(fā)了校園信息系統(tǒng)安全管理綜合服務(wù)平臺，如圖1所示。該系統(tǒng)主要包括以下功能：

（1）信息資產(chǎn)管理（信息系統(tǒng)備案），為全校所有已開通的信息系統(tǒng)建立信息資產(chǎn)臺賬，內(nèi)容包括系統(tǒng)的軟硬件詳細配置、物理位置、安全防護措施、所屬部門、維護人員、數(shù)據(jù)備份情況等。

（2）信息系統(tǒng)安全狀態(tài)記錄，為每個信息系統(tǒng)建立安全狀態(tài)記錄（類似于安全病歷），主要包含每次漏洞掃描發(fā)現(xiàn)的漏洞和漏洞處理（修復(fù)）信息。

（3）漏洞掃描信息處理，按照設(shè)定的時間周期（先設(shè)定為每月）自動或通過文件導(dǎo)入方式從漏洞掃描設(shè)備中導(dǎo)入掃描結(jié)果并將本次掃描與上次掃描進行對比分析，對新發(fā)現(xiàn)的高危漏洞進行綜合分析，核實漏洞風(fēng)險等級。對存在高危漏洞的系統(tǒng)（新發(fā)現(xiàn)漏洞和以往漏洞沒及時處理的），自動生成整改通知并以郵件方式發(fā)送給該信息系統(tǒng)管理人員。

（4）安全通報管理，包括全校安全通告、各二級單位通告、網(wǎng)段分析掃描報告、高風(fēng)險系統(tǒng)預(yù)警和漏洞修復(fù)提醒。

（5）信息系統(tǒng)安全狀態(tài)分析，系統(tǒng)通過獲取并分析部署在校園網(wǎng)中安全系統(tǒng)的安全數(shù)據(jù)（WAF日志、IPS日志、訪問量等）結(jié)合系統(tǒng)自身漏洞和軟件配備，通過關(guān)聯(lián)分析法處理每個信息，及時發(fā)現(xiàn)高危系統(tǒng)。

（6）備份管理，根據(jù)各個備案系統(tǒng)負責(zé)人填寫的備份周期和最近一次備份的時間，及時通知各系統(tǒng)負責(zé)人按時備份。

（7）等級保護管理，按照等級保護的要求，提供輔助定級、差距分析和輔助測評的功能。

目前該系統(tǒng)已經(jīng)試用于北京交通大學(xué)信息中心的實際工作中，使用該系統(tǒng)后，不僅大大減輕了安全管理人員工作量，而且實現(xiàn)了學(xué)校對信息系統(tǒng)的全方位科學(xué)高效的管理。

二、系統(tǒng)架構(gòu)

根據(jù)校園網(wǎng)安全管理服務(wù)平臺的功能需求，本系統(tǒng)采用了B/S體系結(jié)構(gòu)，如圖2所示。信息安全管理員、二級單位管理員和三級用戶所使用的工作界面通過瀏覽器來實現(xiàn)，事務(wù)邏輯的主要部分在服務(wù)器端實現(xiàn)，極少部分通過前端實現(xiàn)。這種設(shè)計模式極大地簡化了客戶端電腦負載，減輕了系統(tǒng)升級與維護的工作量和成本，降低了用戶的總成本。

三、系統(tǒng)功能

信息資產(chǎn)管理主要是對校園網(wǎng)中存在的信息資產(chǎn)進行登記備份，并根據(jù)等級保護測評的要求，實現(xiàn)對資產(chǎn)的管理。

漏洞管理實現(xiàn)了對漏洞庫的管理和對各單位系統(tǒng)漏洞信息的管理，能提供發(fā)現(xiàn)并記錄漏洞信息功能，查詢系統(tǒng)漏洞信息，發(fā)現(xiàn)系統(tǒng)未解決漏洞、已解決漏洞情況以及進行新增漏洞查詢和業(yè)務(wù)審核。

備份管理主要實現(xiàn)了用戶按期進行備份的功能、按期提醒用戶進行數(shù)據(jù)備份的功能以及管理員查看用戶備份信息的功能。備份管理的意義在于監(jiān)督并提醒用戶按期對重要系統(tǒng)、信息、數(shù)據(jù)進行備份，以免產(chǎn)生數(shù)據(jù)丟失或系統(tǒng)不可修復(fù)等嚴重后果。

開通校園訪問信息包含了校園網(wǎng)中存在的各服務(wù)器的基本信息以及服務(wù)器開放的端口信息。提供查詢和修改功能，在必要的時候，及時開放或關(guān)閉服務(wù)器特定端口，協(xié)助管理員維護校園網(wǎng)安全。

系統(tǒng)實時安全狀態(tài)采用各種圖形表示方法對校園網(wǎng)的安全狀態(tài)進行可視化展示，生動直觀地展現(xiàn)校園網(wǎng)中存在和潛在的安全隱患。

安全通報管理是對校園網(wǎng)整體安全狀況的一個總結(jié)通告。包括全校安全通告、各二級單位通告、網(wǎng)段分析掃描報告、高風(fēng)險系統(tǒng)預(yù)警和漏洞修復(fù)提醒。通過選擇通告類型，管理員可以將近一段時間內(nèi)的系統(tǒng)漏洞存在狀況、系統(tǒng)受攻擊情況、校園網(wǎng)安全狀況進行匯總，并自動生成分析報表，最終以Word文檔的形式下發(fā)到各系統(tǒng)負責(zé)人手中，起到監(jiān)督和提醒作用。各系統(tǒng)負責(zé)人可下載文檔并查看，根據(jù)報告內(nèi)容和整改方法對所負責(zé)系統(tǒng)進行管理和維護。下面對各功能模塊進行詳細介紹。

1.信息資產(chǎn)管理

信息資產(chǎn)管理模塊，主要的功能就是對學(xué)?，F(xiàn)有資產(chǎn)的管理。可以通過該系統(tǒng)實現(xiàn)信息資產(chǎn)的登記、備案信息的查詢，以及等保測評對應(yīng)信息的展示等。

用戶可以通過上傳Excel文件上傳備案的信息，備案信息表為Excel表格，可以直接從學(xué)校的OA系統(tǒng)中導(dǎo)出。

導(dǎo)入備案信息后，可以查看所有的備案信息。包括IP、域名、系統(tǒng)名稱等等，還可以將備案信息以pdf格式進行導(dǎo)出。

（1）點擊詳情，可以查看詳細的備案信息。包括：①基本信息，有系統(tǒng)名稱、系統(tǒng)IP、系統(tǒng)所屬單位、系統(tǒng)提供商、服務(wù)器位置、服務(wù)器類型;②人員信息，有系統(tǒng)負責(zé)人、技術(shù)負責(zé)人的辦公電話、手機、郵箱;③系統(tǒng)軟件，有操作系統(tǒng)名稱、操作系統(tǒng)版本、數(shù)據(jù)庫名稱及版本、Web服務(wù)版本類型及日期;④應(yīng)用軟件，含軟件名稱、版本、開發(fā)環(huán)境、來源、維護方式;⑤備份信息，指是否有備份計劃、備份數(shù)據(jù)量、備份人員聯(lián)系方式（名字、工號、電話、手機、郵箱）等內(nèi)容;⑥維護信息，有維護方式、維護人員聯(lián)系方式;⑦防護措施，有防病毒軟件名稱、版本，是否安裝防篡改軟件，其他安全防護措施。

（2）點擊漏洞，了解到該條備案服務(wù)器的漏洞情況，包括系統(tǒng)漏掃（IP漏掃）和應(yīng)用漏掃（Web漏掃）的漏洞登記，以便了解其安全狀況。

2.漏洞信息（信息系統(tǒng)安全狀態(tài)）管理

各高校的信息安全工作室都部署有自己的漏洞掃描系統(tǒng)，并且會定期對校園網(wǎng)中存在的各個系統(tǒng)進行漏洞掃描，獲知系統(tǒng)中存在的漏洞情況，用來評估校園網(wǎng)的安全狀態(tài)。所以對漏洞信息的管理是一項非常艱巨的任務(wù)。

安全管理服務(wù)平臺中的漏洞信息管理模塊提供了對系統(tǒng)漏洞信息的管理業(yè)務(wù)。協(xié)助管理員獲取并查看各系統(tǒng)的漏洞信息，并且提供各二級機構(gòu)系統(tǒng)漏洞統(tǒng)計情況查詢，以及新增漏洞的查看和審查業(yè)務(wù)。

該平臺可以通過自動獲取漏洞掃描信息或者人工手動導(dǎo)入漏洞報表兩種方式將校園網(wǎng)內(nèi)已備案系統(tǒng)所存在的漏洞信息記錄到數(shù)據(jù)庫中。例如北京交通大學(xué)通過綠盟掃描發(fā)現(xiàn)系統(tǒng)IP漏洞，并通過綠盟提供的接口定時將已完成的掃描任務(wù)中的數(shù)據(jù)導(dǎo)入到安全管理服務(wù)平臺中以供查詢。另外，也使用綠盟提供漏洞掃描系統(tǒng)可以發(fā)現(xiàn)系統(tǒng)的Web漏洞，掃描任務(wù)完成后會生成漏洞信息報表，可以通過導(dǎo)入Excel或xml格式的漏洞信息報表導(dǎo)入漏洞信息。

將各種漏洞信息整合到安全管理服務(wù)平臺之后，管理員可以通過選擇二級單位來查看全校每個二級單位下各系統(tǒng)存在的漏洞信息;單位管理員可以查看屬于本單位的系統(tǒng)中存在的漏洞情況;用戶也可查看自己負責(zé)的主機安全情況。

安全管理服務(wù)平臺還提供了已解決漏洞和新發(fā)現(xiàn)漏洞查詢功能。用戶通過詳情菜單可以詳細獲知系統(tǒng)存在的漏洞名稱、風(fēng)險等級、發(fā)現(xiàn)時間，以及已解決漏洞數(shù)量、新發(fā)現(xiàn)漏洞數(shù)量等信息。

雖然各高校部署的漏洞掃描系統(tǒng)有所不同，但是安全管理服務(wù)平臺提供了一個漏洞庫用來記錄各種漏洞掃描系統(tǒng)發(fā)現(xiàn)的所有漏洞信息。

漏洞庫管理就是對這些漏洞信息進行管理。其中詳細記錄了漏洞名稱及版本號、漏洞描述及危害、漏洞的解決方案等內(nèi)容。對于漏洞庫中新出現(xiàn)的漏洞，系統(tǒng)提供新增漏洞查詢功能，管理員可隨時了解新漏洞的出現(xiàn)情況并通過人工核查或自動審查的方式完成對新增漏洞的審查過程。

3.備份管理

本系統(tǒng)可以通過各個備案系統(tǒng)負責(zé)人填寫的備份周期和最近一次備份的時間，及時通知各系統(tǒng)負責(zé)人按時備份，對所有備案信息統(tǒng)一管理，結(jié)果清晰明了，更加利于管理。

4.開通校外訪問信息管理

該系統(tǒng)還展示了學(xué)校開通校外訪問端口機器的管理，支持通過文件來導(dǎo)入端口信息，存入數(shù)據(jù)庫中，等需要查詢系統(tǒng)信息的時候直接搜索。

5.系統(tǒng)實時安全狀態(tài)管理

系統(tǒng)通過獲取并分析部署在校園網(wǎng)中安全系統(tǒng)的安全數(shù)據(jù)，得到校園網(wǎng)入侵日志信息和校園網(wǎng)中各網(wǎng)站的訪問量及網(wǎng)站的受攻擊情況。并使用HighCharts插件將這些信息以圖表的形式實時、動態(tài)地展現(xiàn)出來。

通過條形圖來展現(xiàn)校園網(wǎng)中主流站點的訪問量統(tǒng)計，可以間接地體現(xiàn)學(xué)校師生瀏覽校園網(wǎng)站的習(xí)慣和偏好，結(jié)合主流站點受攻擊情況進行分析，可發(fā)現(xiàn)學(xué)校師生經(jīng)常訪問的網(wǎng)站中存在的安全威脅。通過采取相應(yīng)的措施對安全威脅系數(shù)較高的系統(tǒng)進行重點防范。

通過條形圖來表示校園網(wǎng)中受攻擊站點的統(tǒng)計量可以直接發(fā)現(xiàn)校園網(wǎng)中最易遭受攻擊的網(wǎng)站，以此來明確需要重點保護和防范的站點對象。

通過分析WAF日志信息，統(tǒng)計入侵攔截原因（見圖3）和入侵類別（見圖4），可以發(fā)現(xiàn)校園網(wǎng)中最易受攻擊的入侵類型，以及哪些主機最容易被攻擊者盯上，從而為制定安全防護策略提供一個重要依據(jù)。

6.安全通報管理

在原有完備的網(wǎng)絡(luò)安全防護體系、日常的安全防護監(jiān)控的基礎(chǔ)上，堅持常態(tài)化（每月一次）的系統(tǒng)漏洞與Web應(yīng)用漏洞掃描，對全校的信息系統(tǒng)網(wǎng)站進行定期漏洞掃描。[1]此平臺將各個安全設(shè)備日志加入進來后，綜合評估每個漏洞的準確率，提升了所報漏洞的質(zhì)量。同時結(jié)合北交大短信平臺和郵件系統(tǒng)，將有漏洞的系統(tǒng)直接下發(fā)到負責(zé)人那邊，使整個處理流程更加便捷。

（1）全校及二級單位信息安全通報

首先是針對各個服務(wù)器主機的系統(tǒng)漏洞信息安全通報。漏洞統(tǒng)計機制是通過本平臺獲取到的漏洞信息進行統(tǒng)計的。各二級單位的漏洞總數(shù)、高危漏洞數(shù)是指，該二級單位下所有本平臺中的IP和Web的漏洞總數(shù)累加和高危漏洞累加，每個IP或者系統(tǒng)中只要出現(xiàn)了一條高危漏洞，則該IP的風(fēng)險等級即為高。

面向二級單位的安全通告的主要內(nèi)容有，該二級單位下應(yīng)用系統(tǒng)的高危漏洞數(shù)，以及存在高危漏洞數(shù)的IP列表，列表包括風(fēng)險等級較高的IP，以及其相關(guān)負責(zé)人等。其中高危漏洞類型以及名稱可以在漏洞信息表中進行查詢。

管理員可以將此通告發(fā)布給二級單位，同時二級單位管理員也可以通過平臺下載獲取所屬本單位的安全通告。

全校通告中，主要是全校所有二級單位中的漏洞數(shù)，高危漏洞數(shù)以及各個二級單位下的未及時備份的系統(tǒng)數(shù)和入侵信息統(tǒng)計，包括主流網(wǎng)站訪問量以及受供給情況統(tǒng)計前十和受攻擊站點統(tǒng)計前十。

（2）高風(fēng)險主機安全通告

該系統(tǒng)還具有高風(fēng)險主機安全通告的功能，主要分為Web高風(fēng)險主機通告和IP高風(fēng)險主機通告。其中Web的攻擊信息來自于網(wǎng)站應(yīng)用級入侵防御系統(tǒng)（WAF和Web應(yīng)用漏洞掃描系統(tǒng)），IP的攻擊信息來自于入侵檢測系統(tǒng)數(shù)據(jù)（綠盟的遠程安全評估系統(tǒng)）。結(jié)合備案中系統(tǒng)所存在的漏洞信息，實現(xiàn)了漏洞攻擊的綜合分析，最終得到每臺備案的告警信息。全校各個時間段內(nèi)所有備案系統(tǒng)中危險等級為高的系統(tǒng)列表顯示。

選擇具體二級單位后，是所屬各二級單位備案的危險情況的詳細信息，可以查看各個備案的詳細分析過程以及定級原因。

高風(fēng)險主機IP的分析過程與Web分析過程一致，攻擊類型以及漏洞類型不同，但是分析過程是相同的。

（3）短信、郵件通知

該系統(tǒng)與北交大自主研發(fā)的短信平臺、郵件系統(tǒng)結(jié)合，既可以同時下發(fā)短信、郵件通知，也可以選擇性地給各個備案系統(tǒng)的負責(zé)人發(fā)送短信或者郵件，此功能高效、方便地通知到各個系統(tǒng)的責(zé)任人，提高了日常辦公效率。

7.等級保護管理

自我國實行網(wǎng)絡(luò)安全等級保護制度以來，在政府部門的鼓勵和帶領(lǐng)下，我國社會各行各業(yè)陸續(xù)將信息安全等級保護提上日程。其中，等級保護測評過程，作為驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估依據(jù)也有序地開展起來。

安全管理服務(wù)平臺提供系統(tǒng)的定級和等級保護測評功能。系統(tǒng)的等級保護管理模塊由知識庫管理和系統(tǒng)測評兩部分組成。

知識庫管理部分記錄了各級測評的基本要求，以及一些安全條例和測評案例。用戶可以在充分了解測評要求后對自己所維護的系統(tǒng)進行有目的的管理，使自己所負責(zé)的系統(tǒng)基本達到測評要求。另外，用戶可以通過安全條例和測評案例對等級保護測評有一個明確的認識，并可以自己對系統(tǒng)進行粗略的評估，按照等級保護的要求對系統(tǒng)進行管理。

系統(tǒng)測評部分可分為信息系統(tǒng)定級部分、現(xiàn)場測評實施和測評結(jié)果分析三部分。

①信息系統(tǒng)定級可以依據(jù)《等級矩陣表》對系統(tǒng)定級，也可對信息系統(tǒng)業(yè)務(wù)描述進行分析，并參照《信息系統(tǒng)安全等級建議表》確定信息系統(tǒng)的安全等級。②現(xiàn)場測評實施包括信息系統(tǒng)資產(chǎn)管理、制訂工作計劃、確定測評方案，最后按照確定的安全等級，收集系統(tǒng)對應(yīng)的數(shù)據(jù)，并根據(jù)測評項的權(quán)重和測評項的符合程度，計算信息系統(tǒng)滿足所確定等級的程度。③測評結(jié)果分析首先采用餅圖和柱形圖對測評結(jié)果動態(tài)可視化，便于系統(tǒng)負責(zé)人對信息系統(tǒng)的整體情況有一個直觀的了解，然后動態(tài)生成差距分析報告并發(fā)送到客戶端供用戶下載。

四、總結(jié)

此安全管理研究方案建立在高校特殊環(huán)境下，以北京交通大學(xué)為例，將OA、第三方掃描軟件、信息報告結(jié)合起來，減少了各個流程的間隙，提高了每次處理信息安全問題的速度。

隨著我國信息化程度的不斷加深，高校信息安全也需不斷完善，防毒墻等防護設(shè)備的加入，將加強整體校園防護。更多安全設(shè)備之間的兼容、配合，發(fā)揮出防護設(shè)備的最大價值還有待進一步研究與探索。

參考文獻：

[1]孫建立，李歆麗等，高校環(huán)境下的信息系統(tǒng)備案與安全管理研究[A].中國計算機用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會論文集，2018.

（編輯：王天鵬）