文/徐藝揚 查德平 劉百祥 王亮

近年來，隨著高校信息化建設(shè)的不斷推進，高校信息資源高速增長并持續(xù)累積，與此同時，當(dāng)前網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻，擁有大量信息資產(chǎn)的高校已成為網(wǎng)絡(luò)攻擊的重要目標(biāo)，網(wǎng)絡(luò)安全責(zé)任壓力也與日俱增，在此背景下，高校信息資產(chǎn)治理已成為網(wǎng)絡(luò)安全工作的基礎(chǔ)起點和重要議題。

信息資產(chǎn)是開展網(wǎng)絡(luò)安全工作首先要識別的安全策略保護對象。根據(jù)BS7799-2：2002、ISO27001：2013、《 信 息 安全技術(shù) 信息安全風(fēng)險評估規(guī)范（GB/T 20984-2007）》等相關(guān)安全標(biāo)準(zhǔn)規(guī)范，信息資產(chǎn)的定義是對組織具有價值的信息或資源。從高校實際工作開展的角度，本文所指“信息資產(chǎn)”主要包括規(guī)章制度和計劃、人員及其安全責(zé)任、信息系統(tǒng)（網(wǎng)站、管理和應(yīng)用系統(tǒng)等）、硬件、網(wǎng)絡(luò)、服務(wù)、數(shù)據(jù)等，近年來高校關(guān)注的主要信息資產(chǎn)為信息系統(tǒng)及數(shù)據(jù)資源。

通過相關(guān)文獻研究，以往基于安全視角的信息資產(chǎn)治理研究較多關(guān)注資產(chǎn)識別、風(fēng)險評估、風(fēng)險管理、漏洞治理等方向，關(guān)于一般企業(yè)信息資產(chǎn)治理已形成比較成熟的技術(shù)方法和評估標(biāo)準(zhǔn)，但針對高校復(fù)雜環(huán)境下的信息資產(chǎn)安全治理則僅有少量研究者在圖書館信息資產(chǎn)管理、云安全運營等方向提出實踐目標(biāo)。在工作實踐中，根據(jù)信息資產(chǎn)清查、漏洞風(fēng)險管理等實際需要，教育部等主管部門和上海交通大學(xué)等高校已建成并應(yīng)用了信息資產(chǎn)管理平臺，較多高校已通過不同方式開展了相關(guān)實踐探索。上述研究和實踐支持了高校核心信息資產(chǎn)管理的專業(yè)化發(fā)展，但在高校復(fù)雜環(huán)境下，二級單位層面的信息資產(chǎn)安全水平的提升則有所滯后，形成了嚴(yán)重的安全短板問題，亟待探索更多策略進行有效治理。

面臨的主要問題

當(dāng)前，在教育主管部門指導(dǎo)下，高校針對二級單位的信息資產(chǎn)管理基本落實了安全管理責(zé)任，形成了信息資產(chǎn)清單，部分高校進一步開展了分級分類、資產(chǎn)清查和出口管控等管理措施，解決了“僵尸”系統(tǒng)、“雙非”網(wǎng)站等顯著的管理漏洞，學(xué)校整體的安全水平有所提升，但參考網(wǎng)絡(luò)安全的“木桶原理”，在管理合規(guī)范圍內(nèi)的二級單位信息資產(chǎn)仍然是高校網(wǎng)絡(luò)安全體系中的短板。以復(fù)旦大學(xué)為例，2017年6 月至2019 年6 月，已發(fā)現(xiàn)安全漏洞90%以上發(fā)生在二級單位自建信息系統(tǒng)，在學(xué)校組織的滲透測試等安全評估中，被檢二級單位信息系統(tǒng)100%發(fā)現(xiàn)安全漏洞問題。在網(wǎng)絡(luò)安全實踐中，主要存在如下“木桶短板”問題，需要有效控制和積極應(yīng)對：

1.二級單位較難應(yīng)對信息資產(chǎn)管理的復(fù)雜性問題

高校信息資產(chǎn)情況復(fù)雜，二級單位數(shù)量多、人員多、業(yè)務(wù)多、信息系統(tǒng)多、數(shù)據(jù)多且建設(shè)管理方式復(fù)雜多樣，部分二級單位組織結(jié)構(gòu)較松散，信息資產(chǎn)相關(guān)業(yè)務(wù)和人員變動頻繁，不僅需要管理者加強安全意識，而且對管理者的安全素養(yǎng)、管理手段和執(zhí)行能力都提出較高的要求，但當(dāng)前高校二級單位的網(wǎng)絡(luò)安全管理體系普遍不夠健全，信息資產(chǎn)梳理、管理信息更新、等級保護實施等基礎(chǔ)管理動作也較難達到安全管理要求，單純依靠責(zé)任傳遞的管理方式只能加劇二級單位的管理焦慮，無法快速解決實際問題。

2.二級單位較難達到信息資產(chǎn)管理的專業(yè)性要求

高校二級單位普遍缺少網(wǎng)絡(luò)安全技術(shù)力量，部分單位無法落實必要的技術(shù)防護措施和應(yīng)急處置措施，甚至不具備安全運維和漏洞整改能力，較多信息資產(chǎn)運維僅依賴中小服務(wù)商或師生團隊，基本沒有完成策略配置、漏洞檢測、滲透測試、安全加固、數(shù)據(jù)加密、代碼審計和日志審計等安全技術(shù)動作，也沒有專業(yè)的安全情報搜集、分析和應(yīng)急響應(yīng)力量，大部分二級單位的網(wǎng)絡(luò)安全專業(yè)能力建設(shè)還處于“有心無力”或者“打算做但不知怎么做”的階段。

3.信息資產(chǎn)漏洞監(jiān)管未能根本控制安全風(fēng)險源頭

當(dāng)前高校信息資產(chǎn)監(jiān)管較多關(guān)注對已運行信息資產(chǎn)的漏洞發(fā)現(xiàn)和事后處置，但高校二級單位自建信息系統(tǒng)等信息資產(chǎn)的建設(shè)方案、實施過程就存在安全隱患，事后監(jiān)管不能從根源上減少安全風(fēng)險，部分二級單位存在建設(shè)越多、風(fēng)險越多的問題，或歷史包袱問題，部分信息資產(chǎn)存在同類風(fēng)險反復(fù)出現(xiàn)的問題，目前主要依賴掃描工具和白帽子力量的漏洞檢測也無法充分覆蓋大量的信息資產(chǎn)。

4.校院兩級信息資產(chǎn)安全缺少有效的協(xié)調(diào)機制

較多高校實行校院兩級的管理體制，按照“誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)”的屬地管理原則，高校信息安全管理部門和二級單位均應(yīng)履行網(wǎng)絡(luò)安全管理義務(wù)，二級單位應(yīng)對所屬信息資產(chǎn)承擔(dān)主體責(zé)任，但在實踐工作中虛擬機系統(tǒng)等交叉管理領(lǐng)域仍可能存在管理落空的空白。此外，由于高校二級單位眾多且業(yè)務(wù)管理相對獨立，校級專業(yè)團隊有限的管理和支持力量較難有效投放到需要的二級單位中，校院兩級工作不能有效銜接起來保障信息資產(chǎn)安全。

上述問題受限于高校信息化建設(shè)的客觀條件，沒有一蹴而就的解決方案，但高校網(wǎng)絡(luò)安全管理部門若能從單純的責(zé)任管理思路向綜合治理思路轉(zhuǎn)換，或可通過有意識的安全服務(wù)解決部分痛點問題，逐步補足短板。

對策及建議

針對當(dāng)前二級單位信息資產(chǎn)安全問題，高校網(wǎng)絡(luò)安全管理部門可從以下四個方面加強安全工作：

1.理順機制，形成模式，封好底線

高校應(yīng)明確統(tǒng)一的綜合治理思路：不僅需要理順學(xué)校總體的制度機制，而且應(yīng)為二級單位的管理實施提供指導(dǎo)意見；不僅需要做好信息資產(chǎn)管理的統(tǒng)籌規(guī)劃，而且需要為二級單位提供可行的規(guī)范、指南；不僅需要持續(xù)優(yōu)化信息資產(chǎn)的管理方式，而且需要為二級單位反復(fù)培訓(xùn)核心業(yè)務(wù)流程。爭取促進二級單位形成良好的工作模式和管理習(xí)慣，強化基礎(chǔ)管理的執(zhí)行力。

2.創(chuàng)新服務(wù)，放大效益，補足短板

高校網(wǎng)絡(luò)安全管理部門應(yīng)加強安全服務(wù)能力建設(shè)，在有限的資源投入條件下，探索通過創(chuàng)新服務(wù)平臺、創(chuàng)新服務(wù)模式、創(chuàng)新服務(wù)內(nèi)容等方式，向二級單位精準(zhǔn)投放技術(shù)支持能力，力爭使二級單位可無門檻地利用安全服務(wù)資源，以總體提升學(xué)校的網(wǎng)絡(luò)安全專業(yè)水平。

3.完善體系，延伸視野，改進生產(chǎn)

圖1 信息資產(chǎn)管理系統(tǒng)架構(gòu)

加強對信息資產(chǎn)建設(shè)事前、事中和事后以及日常運維的網(wǎng)絡(luò)安全把關(guān)能力，結(jié)合架構(gòu)咨詢、代碼審計、態(tài)勢感知、應(yīng)急演練等多種安全服務(wù)支持，真正落實信息資產(chǎn)的全生命周期管理。

4.加強聯(lián)動，觸達基層，無縫溝通

在安全保密的前提下，構(gòu)建覆蓋二級單位網(wǎng)絡(luò)安全工作隊伍的管理服務(wù)平臺和即時通訊平臺，通過及時的信息、服務(wù)和任務(wù)投送加強與二級單位的協(xié)同聯(lián)動，促使學(xué)校和二級單位信息對稱，協(xié)作暢通。

新型信息資產(chǎn)治理平臺

根據(jù)上述治理策略，復(fù)旦大學(xué)已結(jié)合安全服務(wù)設(shè)計了新型的信息資產(chǎn)治理平臺并啟動了相關(guān)建設(shè)進程。

系統(tǒng)架構(gòu)

如圖1 所示，本平臺擬以信息資產(chǎn)管理服務(wù)為核心，基于學(xué)校的流程引擎、自動化工具、資產(chǎn)發(fā)現(xiàn)和情報資源等能力積累構(gòu)建平臺支撐底座，圍繞信息資產(chǎn)，進一步為二級單位提供全生命周期的安全管理服務(wù)應(yīng)用，并為學(xué)校和二級單位網(wǎng)絡(luò)安全工作隊伍交流搭建適配多終端的用戶交互渠道，最終構(gòu)建“理”（理清家底）、“管”（精細(xì)管理）、“服”（全程服務(wù)）一體的校園信息資產(chǎn)治理平臺。

組件和模塊

1.平臺支撐層

在平臺支撐層，主要依托如下組件構(gòu)建安全服務(wù)支撐能力：

（1）工作流和數(shù)據(jù)實時計算引擎。通過管理系統(tǒng)敏捷開發(fā)，實現(xiàn)實時數(shù)據(jù)集成和實時數(shù)據(jù)分析。

（2）信息資產(chǎn)發(fā)現(xiàn)組件。結(jié)合探針設(shè)備，通過流量分析發(fā)現(xiàn)信息資產(chǎn)及其漏洞風(fēng)險。

（3）云管安全接入組件。對接私有云云管平臺自動接入計算資源信息，通過安全防護設(shè)備和云安全防護機制實現(xiàn)自動化安全策略配置。

（4）安全情報組件。實時對接多渠道安全情報來源，提供標(biāo)準(zhǔn)化的安全情報資料。

（5）安全工具組件。結(jié)合信息資產(chǎn)信息和漏洞檢測工具、腳本，實現(xiàn)自動化運營和自動化巡檢。

（6）應(yīng)急響應(yīng)組件。對接防火墻、網(wǎng)絡(luò)設(shè)備和敏感情報來源，支持自動或手動的“一鍵斷網(wǎng)”應(yīng)急響應(yīng)處置。

（7）日志審計組件。根據(jù)系統(tǒng)運行日志和用戶行為日志發(fā)現(xiàn)安全風(fēng)險問題并報告系統(tǒng)管理員處置。

2.業(yè)務(wù)應(yīng)用層

在業(yè)務(wù)應(yīng)用層，主要設(shè)計了如下模塊提供全生命周期的安全服務(wù)：

（1）基本管理模塊。除基本的用戶管理、瀏覽和查詢、數(shù)據(jù)備份、日志記錄等系統(tǒng)必備模塊外，主要包括人員信息維護、信息資產(chǎn)登記、信息資產(chǎn)發(fā)現(xiàn)、信息資產(chǎn)視圖、信息資產(chǎn)生命周期管理、安全風(fēng)險視圖、信息資產(chǎn)報表管理等模塊，結(jié)合人工錄入、工作流自動匯集和網(wǎng)絡(luò)自動發(fā)現(xiàn)實現(xiàn)基本的信息資產(chǎn)管理功能。主要涵蓋如下項目：

人員與安全責(zé)任管理：包括網(wǎng)絡(luò)安全負(fù)責(zé)人、管理員及供應(yīng)商管理員個人信息及必要的安全承諾、背景信息、保密協(xié)議等資料；

信息系統(tǒng)與硬件管理：信息系統(tǒng)和硬件均綁定負(fù)責(zé)人或管理員，并同步業(yè)務(wù)流程中的新增或變更信息，信息系統(tǒng)需登記域名、IP 地址、開放端口、操作系統(tǒng)、數(shù)據(jù)庫、Web 服務(wù)軟件、開源應(yīng)用、主要功能描述等詳細(xì)信息；

上網(wǎng)服務(wù)管理：自動接入各單位網(wǎng)絡(luò)訪問賬號的申請和開通使用情況，便于管理人員查看和監(jiān)管；

規(guī)章文件管理：登記網(wǎng)絡(luò)安全相關(guān)制度、應(yīng)急預(yù)案、工作方案等文件，系統(tǒng)向具備權(quán)限的人員開放查詢及匯總信息；

臺賬記錄管理：人工登記及自動記錄網(wǎng)絡(luò)安全管理執(zhí)行情況；

漏洞風(fēng)險管理：基于網(wǎng)絡(luò)安全事件應(yīng)急處置流程，主要包括漏洞發(fā)現(xiàn)、定位、應(yīng)急響應(yīng)與處置、復(fù)核等環(huán)節(jié)，相關(guān)信息和處置情況均可進行追蹤；

信息資產(chǎn)報表：直觀展示信息資產(chǎn)情況，相關(guān)人員可快速掌握管理范圍內(nèi)的資產(chǎn)概況，負(fù)責(zé)人可總覽本單位整體情況，及時定位管理缺口并發(fā)動安全整改。

（2）安全服務(wù)模塊。為校內(nèi)外安全服務(wù)提供統(tǒng)一接口。主要涵蓋以下項目：

安全指南服務(wù)：提供法律法規(guī)文件及相關(guān)解讀，校級的管理制度和標(biāo)準(zhǔn)規(guī)范以及校內(nèi)相關(guān)業(yè)務(wù)流程指南，信息化建設(shè)相關(guān)統(tǒng)一平臺、管理要求、標(biāo)準(zhǔn)規(guī)范、實施細(xì)則與業(yè)務(wù)指南以及管理平臺使用指南等資料和相關(guān)培訓(xùn)視聽資料；

安全情報服務(wù)：提供最新安全情報信息和驗證工具查詢，同步推送與信息資產(chǎn)匹配的相關(guān)信息；

態(tài)勢感知服務(wù)：對接數(shù)據(jù)中心態(tài)勢感知系統(tǒng)，展示與信息資產(chǎn)相關(guān)的態(tài)勢感知信息；

云漏掃服務(wù)：對接漏洞掃描設(shè)備，自助登記漏掃對象并自動反饋漏掃報告；

代碼審計服務(wù)：對接校內(nèi)代碼審計軟件平臺或第三方專業(yè)服務(wù)；

滲透測試服務(wù)：登記對接校內(nèi)外滲透測試服務(wù)團隊，記錄測試報告；

防篡改服務(wù)：登記預(yù)約部署防篡改腳本或第三方防篡改軟件；

數(shù)據(jù)歸檔服務(wù)：設(shè)置文件及數(shù)據(jù)自動備份并上傳歸檔服務(wù)器；

日志分析服務(wù)：登記預(yù)約第三方安全專家進行日志巡檢和日志分析；

安全咨詢服務(wù)：預(yù)約登記校內(nèi)及校外合作機構(gòu)安全專家咨詢服務(wù)。

（3）安全聯(lián)動模塊。安全漏洞從發(fā)布到修補存在時間窗口，本模塊將實時匯總外部安全通報信息、校內(nèi)日常安全巡檢結(jié)果、第三方安全平臺報告和黑客組織發(fā)布平臺等數(shù)據(jù)，整合安全風(fēng)險情報、安全防護設(shè)備信息、業(yè)務(wù)安全關(guān)聯(lián)分析、安全事件通報與處置等多項服務(wù)，主動面向相關(guān)各單位管理人員推送實時的安全漏洞風(fēng)險信息，可配置自動或手動應(yīng)急響應(yīng)攻擊事故，實現(xiàn)校園網(wǎng)絡(luò)安全監(jiān)測預(yù)警、防護處置與管理的聯(lián)動。

3.用戶交互層

在用戶交互層，主要搭建了內(nèi)部的交流空間和用戶服務(wù)，具體包括：

（1）通知與消息模塊?；谌藛T組織和權(quán)限信息，通過Web、IM、郵件、短信等多種方式向不同用戶發(fā)送系統(tǒng)通知、安全提示和工作流事務(wù)進度提醒，并要求限時反饋。

（2）智能助理模塊?；谄脚_的安全服務(wù)能力，配置計劃任務(wù)等重復(fù)性安全服務(wù)和提醒服務(wù)。

（3）即時通訊工具。基于私有化IM提供網(wǎng)絡(luò)安全工作實時交流空間，可接入安全消息和“一鍵斷網(wǎng)”等安全能力。

（4）知識共享系統(tǒng)。構(gòu)建知識庫，向用戶提供結(jié)構(gòu)化的安全知識，各級單位網(wǎng)絡(luò)安全管理人員也可在線分享經(jīng)驗。

預(yù)期建設(shè)效果

目前該平臺已有部分功能在復(fù)旦大學(xué)建成并投入試用，獲得二級單位好評。平臺設(shè)計能夠良好適應(yīng)高校復(fù)雜網(wǎng)絡(luò)安全環(huán)境和信息系統(tǒng)高速增長的情況，幫助二級單位快速建立體系化的信息資產(chǎn)管理機制，提高學(xué)?？傮w安全運維效率，推動等保2.0 時代的網(wǎng)絡(luò)安全合規(guī)性建設(shè)，保障校園信息化業(yè)務(wù)安全有序進行。同時，為各級各類網(wǎng)絡(luò)安全工作者提供賦能支撐，使校級管理人員具備大批量和自動化安全管理支持能力，使二級單位負(fù)責(zé)人可直觀地了解本單位信息資產(chǎn)狀況、安全態(tài)勢，二級單位管理員可便捷管理、快速追蹤所管理信息資產(chǎn)的安全信息，降低安全管理的技術(shù)門檻，使二級單位網(wǎng)絡(luò)安全管理能力得到普遍提升。

本文從重塑信息資產(chǎn)管理模式，推進新型信息資產(chǎn)治理平臺建設(shè)的角度，對學(xué)校加強二級單位網(wǎng)絡(luò)安全管理提出了實踐建議，但構(gòu)建系統(tǒng)化的安全管理服務(wù)體系仍需長期的資源投入、技術(shù)支持和人員協(xié)作方可實現(xiàn)，仍需持續(xù)改進和不斷完善，高校網(wǎng)絡(luò)安全建設(shè)任重而道遠。