文/徐藝揚(yáng) 查德平 劉百祥 王亮

近年來(lái)，隨著高校信息化建設(shè)的不斷推進(jìn)，高校信息資源高速增長(zhǎng)并持續(xù)累積，與此同時(shí)，當(dāng)前網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，擁有大量信息資產(chǎn)的高校已成為網(wǎng)絡(luò)攻擊的重要目標(biāo)，網(wǎng)絡(luò)安全責(zé)任壓力也與日俱增，在此背景下，高校信息資產(chǎn)治理已成為網(wǎng)絡(luò)安全工作的基礎(chǔ)起點(diǎn)和重要議題。

信息資產(chǎn)是開展網(wǎng)絡(luò)安全工作首先要識(shí)別的安全策略保護(hù)對(duì)象。根據(jù)BS7799-2：2002、ISO27001：2013、《 信 息 安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）》等相關(guān)安全標(biāo)準(zhǔn)規(guī)范，信息資產(chǎn)的定義是對(duì)組織具有價(jià)值的信息或資源。從高校實(shí)際工作開展的角度，本文所指“信息資產(chǎn)”主要包括規(guī)章制度和計(jì)劃、人員及其安全責(zé)任、信息系統(tǒng)（網(wǎng)站、管理和應(yīng)用系統(tǒng)等）、硬件、網(wǎng)絡(luò)、服務(wù)、數(shù)據(jù)等，近年來(lái)高校關(guān)注的主要信息資產(chǎn)為信息系統(tǒng)及數(shù)據(jù)資源。

通過(guò)相關(guān)文獻(xiàn)研究，以往基于安全視角的信息資產(chǎn)治理研究較多關(guān)注資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、漏洞治理等方向，關(guān)于一般企業(yè)信息資產(chǎn)治理已形成比較成熟的技術(shù)方法和評(píng)估標(biāo)準(zhǔn)，但針對(duì)高校復(fù)雜環(huán)境下的信息資產(chǎn)安全治理則僅有少量研究者在圖書館信息資產(chǎn)管理、云安全運(yùn)營(yíng)等方向提出實(shí)踐目標(biāo)。在工作實(shí)踐中，根據(jù)信息資產(chǎn)清查、漏洞風(fēng)險(xiǎn)管理等實(shí)際需要，教育部等主管部門和上海交通大學(xué)等高校已建成并應(yīng)用了信息資產(chǎn)管理平臺(tái)，較多高校已通過(guò)不同方式開展了相關(guān)實(shí)踐探索。上述研究和實(shí)踐支持了高校核心信息資產(chǎn)管理的專業(yè)化發(fā)展，但在高校復(fù)雜環(huán)境下，二級(jí)單位層面的信息資產(chǎn)安全水平的提升則有所滯后，形成了嚴(yán)重的安全短板問(wèn)題，亟待探索更多策略進(jìn)行有效治理。

面臨的主要問(wèn)題

當(dāng)前，在教育主管部門指導(dǎo)下，高校針對(duì)二級(jí)單位的信息資產(chǎn)管理基本落實(shí)了安全管理責(zé)任，形成了信息資產(chǎn)清單，部分高校進(jìn)一步開展了分級(jí)分類、資產(chǎn)清查和出口管控等管理措施，解決了“僵尸”系統(tǒng)、“雙非”網(wǎng)站等顯著的管理漏洞，學(xué)校整體的安全水平有所提升，但參考網(wǎng)絡(luò)安全的“木桶原理”，在管理合規(guī)范圍內(nèi)的二級(jí)單位信息資產(chǎn)仍然是高校網(wǎng)絡(luò)安全體系中的短板。以復(fù)旦大學(xué)為例，2017年6 月至2019 年6 月，已發(fā)現(xiàn)安全漏洞90%以上發(fā)生在二級(jí)單位自建信息系統(tǒng)，在學(xué)校組織的滲透測(cè)試等安全評(píng)估中，被檢二級(jí)單位信息系統(tǒng)100%發(fā)現(xiàn)安全漏洞問(wèn)題。在網(wǎng)絡(luò)安全實(shí)踐中，主要存在如下“木桶短板”問(wèn)題，需要有效控制和積極應(yīng)對(duì)：

1.二級(jí)單位較難應(yīng)對(duì)信息資產(chǎn)管理的復(fù)雜性問(wèn)題

高校信息資產(chǎn)情況復(fù)雜，二級(jí)單位數(shù)量多、人員多、業(yè)務(wù)多、信息系統(tǒng)多、數(shù)據(jù)多且建設(shè)管理方式復(fù)雜多樣，部分二級(jí)單位組織結(jié)構(gòu)較松散，信息資產(chǎn)相關(guān)業(yè)務(wù)和人員變動(dòng)頻繁，不僅需要管理者加強(qiáng)安全意識(shí)，而且對(duì)管理者的安全素養(yǎng)、管理手段和執(zhí)行能力都提出較高的要求，但當(dāng)前高校二級(jí)單位的網(wǎng)絡(luò)安全管理體系普遍不夠健全，信息資產(chǎn)梳理、管理信息更新、等級(jí)保護(hù)實(shí)施等基礎(chǔ)管理動(dòng)作也較難達(dá)到安全管理要求，單純依靠責(zé)任傳遞的管理方式只能加劇二級(jí)單位的管理焦慮，無(wú)法快速解決實(shí)際問(wèn)題。

2.二級(jí)單位較難達(dá)到信息資產(chǎn)管理的專業(yè)性要求

高校二級(jí)單位普遍缺少網(wǎng)絡(luò)安全技術(shù)力量，部分單位無(wú)法落實(shí)必要的技術(shù)防護(hù)措施和應(yīng)急處置措施，甚至不具備安全運(yùn)維和漏洞整改能力，較多信息資產(chǎn)運(yùn)維僅依賴中小服務(wù)商或師生團(tuán)隊(duì)，基本沒(méi)有完成策略配置、漏洞檢測(cè)、滲透測(cè)試、安全加固、數(shù)據(jù)加密、代碼審計(jì)和日志審計(jì)等安全技術(shù)動(dòng)作，也沒(méi)有專業(yè)的安全情報(bào)搜集、分析和應(yīng)急響應(yīng)力量，大部分二級(jí)單位的網(wǎng)絡(luò)安全專業(yè)能力建設(shè)還處于“有心無(wú)力”或者“打算做但不知怎么做”的階段。

3.信息資產(chǎn)漏洞監(jiān)管未能根本控制安全風(fēng)險(xiǎn)源頭

當(dāng)前高校信息資產(chǎn)監(jiān)管較多關(guān)注對(duì)已運(yùn)行信息資產(chǎn)的漏洞發(fā)現(xiàn)和事后處置，但高校二級(jí)單位自建信息系統(tǒng)等信息資產(chǎn)的建設(shè)方案、實(shí)施過(guò)程就存在安全隱患，事后監(jiān)管不能從根源上減少安全風(fēng)險(xiǎn)，部分二級(jí)單位存在建設(shè)越多、風(fēng)險(xiǎn)越多的問(wèn)題，或歷史包袱問(wèn)題，部分信息資產(chǎn)存在同類風(fēng)險(xiǎn)反復(fù)出現(xiàn)的問(wèn)題，目前主要依賴掃描工具和白帽子力量的漏洞檢測(cè)也無(wú)法充分覆蓋大量的信息資產(chǎn)。

4.校院兩級(jí)信息資產(chǎn)安全缺少有效的協(xié)調(diào)機(jī)制

較多高校實(shí)行校院兩級(jí)的管理體制，按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)使用、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的屬地管理原則，高校信息安全管理部門和二級(jí)單位均應(yīng)履行網(wǎng)絡(luò)安全管理義務(wù)，二級(jí)單位應(yīng)對(duì)所屬信息資產(chǎn)承擔(dān)主體責(zé)任，但在實(shí)踐工作中虛擬機(jī)系統(tǒng)等交叉管理領(lǐng)域仍可能存在管理落空的空白。此外，由于高校二級(jí)單位眾多且業(yè)務(wù)管理相對(duì)獨(dú)立，校級(jí)專業(yè)團(tuán)隊(duì)有限的管理和支持力量較難有效投放到需要的二級(jí)單位中，校院兩級(jí)工作不能有效銜接起來(lái)保障信息資產(chǎn)安全。

上述問(wèn)題受限于高校信息化建設(shè)的客觀條件，沒(méi)有一蹴而就的解決方案，但高校網(wǎng)絡(luò)安全管理部門若能從單純的責(zé)任管理思路向綜合治理思路轉(zhuǎn)換，或可通過(guò)有意識(shí)的安全服務(wù)解決部分痛點(diǎn)問(wèn)題，逐步補(bǔ)足短板。

對(duì)策及建議

針對(duì)當(dāng)前二級(jí)單位信息資產(chǎn)安全問(wèn)題，高校網(wǎng)絡(luò)安全管理部門可從以下四個(gè)方面加強(qiáng)安全工作：

1.理順機(jī)制，形成模式，封好底線

高校應(yīng)明確統(tǒng)一的綜合治理思路：不僅需要理順學(xué)校總體的制度機(jī)制，而且應(yīng)為二級(jí)單位的管理實(shí)施提供指導(dǎo)意見(jiàn)；不僅需要做好信息資產(chǎn)管理的統(tǒng)籌規(guī)劃，而且需要為二級(jí)單位提供可行的規(guī)范、指南；不僅需要持續(xù)優(yōu)化信息資產(chǎn)的管理方式，而且需要為二級(jí)單位反復(fù)培訓(xùn)核心業(yè)務(wù)流程。爭(zhēng)取促進(jìn)二級(jí)單位形成良好的工作模式和管理習(xí)慣，強(qiáng)化基礎(chǔ)管理的執(zhí)行力。

2.創(chuàng)新服務(wù)，放大效益，補(bǔ)足短板

高校網(wǎng)絡(luò)安全管理部門應(yīng)加強(qiáng)安全服務(wù)能力建設(shè)，在有限的資源投入條件下，探索通過(guò)創(chuàng)新服務(wù)平臺(tái)、創(chuàng)新服務(wù)模式、創(chuàng)新服務(wù)內(nèi)容等方式，向二級(jí)單位精準(zhǔn)投放技術(shù)支持能力，力爭(zhēng)使二級(jí)單位可無(wú)門檻地利用安全服務(wù)資源，以總體提升學(xué)校的網(wǎng)絡(luò)安全專業(yè)水平。

3.完善體系，延伸視野，改進(jìn)生產(chǎn)

圖1 信息資產(chǎn)管理系統(tǒng)架構(gòu)

加強(qiáng)對(duì)信息資產(chǎn)建設(shè)事前、事中和事后以及日常運(yùn)維的網(wǎng)絡(luò)安全把關(guān)能力，結(jié)合架構(gòu)咨詢、代碼審計(jì)、態(tài)勢(shì)感知、應(yīng)急演練等多種安全服務(wù)支持，真正落實(shí)信息資產(chǎn)的全生命周期管理。

4.加強(qiáng)聯(lián)動(dòng)，觸達(dá)基層，無(wú)縫溝通

在安全保密的前提下，構(gòu)建覆蓋二級(jí)單位網(wǎng)絡(luò)安全工作隊(duì)伍的管理服務(wù)平臺(tái)和即時(shí)通訊平臺(tái)，通過(guò)及時(shí)的信息、服務(wù)和任務(wù)投送加強(qiáng)與二級(jí)單位的協(xié)同聯(lián)動(dòng)，促使學(xué)校和二級(jí)單位信息對(duì)稱，協(xié)作暢通。

新型信息資產(chǎn)治理平臺(tái)

根據(jù)上述治理策略，復(fù)旦大學(xué)已結(jié)合安全服務(wù)設(shè)計(jì)了新型的信息資產(chǎn)治理平臺(tái)并啟動(dòng)了相關(guān)建設(shè)進(jìn)程。

系統(tǒng)架構(gòu)

如圖1 所示，本平臺(tái)擬以信息資產(chǎn)管理服務(wù)為核心，基于學(xué)校的流程引擎、自動(dòng)化工具、資產(chǎn)發(fā)現(xiàn)和情報(bào)資源等能力積累構(gòu)建平臺(tái)支撐底座，圍繞信息資產(chǎn)，進(jìn)一步為二級(jí)單位提供全生命周期的安全管理服務(wù)應(yīng)用，并為學(xué)校和二級(jí)單位網(wǎng)絡(luò)安全工作隊(duì)伍交流搭建適配多終端的用戶交互渠道，最終構(gòu)建“理”（理清家底）、“管”（精細(xì)管理）、“服”（全程服務(wù)）一體的校園信息資產(chǎn)治理平臺(tái)。

組件和模塊

1.平臺(tái)支撐層

在平臺(tái)支撐層，主要依托如下組件構(gòu)建安全服務(wù)支撐能力：

（1）工作流和數(shù)據(jù)實(shí)時(shí)計(jì)算引擎。通過(guò)管理系統(tǒng)敏捷開發(fā)，實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)集成和實(shí)時(shí)數(shù)據(jù)分析。

（2）信息資產(chǎn)發(fā)現(xiàn)組件。結(jié)合探針設(shè)備，通過(guò)流量分析發(fā)現(xiàn)信息資產(chǎn)及其漏洞風(fēng)險(xiǎn)。

（3）云管安全接入組件。對(duì)接私有云云管平臺(tái)自動(dòng)接入計(jì)算資源信息，通過(guò)安全防護(hù)設(shè)備和云安全防護(hù)機(jī)制實(shí)現(xiàn)自動(dòng)化安全策略配置。

（4）安全情報(bào)組件。實(shí)時(shí)對(duì)接多渠道安全情報(bào)來(lái)源，提供標(biāo)準(zhǔn)化的安全情報(bào)資料。

（5）安全工具組件。結(jié)合信息資產(chǎn)信息和漏洞檢測(cè)工具、腳本，實(shí)現(xiàn)自動(dòng)化運(yùn)營(yíng)和自動(dòng)化巡檢。

（6）應(yīng)急響應(yīng)組件。對(duì)接防火墻、網(wǎng)絡(luò)設(shè)備和敏感情報(bào)來(lái)源，支持自動(dòng)或手動(dòng)的“一鍵斷網(wǎng)”應(yīng)急響應(yīng)處置。

（7）日志審計(jì)組件。根據(jù)系統(tǒng)運(yùn)行日志和用戶行為日志發(fā)現(xiàn)安全風(fēng)險(xiǎn)問(wèn)題并報(bào)告系統(tǒng)管理員處置。

2.業(yè)務(wù)應(yīng)用層

在業(yè)務(wù)應(yīng)用層，主要設(shè)計(jì)了如下模塊提供全生命周期的安全服務(wù)：

（1）基本管理模塊。除基本的用戶管理、瀏覽和查詢、數(shù)據(jù)備份、日志記錄等系統(tǒng)必備模塊外，主要包括人員信息維護(hù)、信息資產(chǎn)登記、信息資產(chǎn)發(fā)現(xiàn)、信息資產(chǎn)視圖、信息資產(chǎn)生命周期管理、安全風(fēng)險(xiǎn)視圖、信息資產(chǎn)報(bào)表管理等模塊，結(jié)合人工錄入、工作流自動(dòng)匯集和網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)實(shí)現(xiàn)基本的信息資產(chǎn)管理功能。主要涵蓋如下項(xiàng)目：

人員與安全責(zé)任管理：包括網(wǎng)絡(luò)安全負(fù)責(zé)人、管理員及供應(yīng)商管理員個(gè)人信息及必要的安全承諾、背景信息、保密協(xié)議等資料；

信息系統(tǒng)與硬件管理：信息系統(tǒng)和硬件均綁定負(fù)責(zé)人或管理員，并同步業(yè)務(wù)流程中的新增或變更信息，信息系統(tǒng)需登記域名、IP 地址、開放端口、操作系統(tǒng)、數(shù)據(jù)庫(kù)、Web 服務(wù)軟件、開源應(yīng)用、主要功能描述等詳細(xì)信息；

上網(wǎng)服務(wù)管理：自動(dòng)接入各單位網(wǎng)絡(luò)訪問(wèn)賬號(hào)的申請(qǐng)和開通使用情況，便于管理人員查看和監(jiān)管；

規(guī)章文件管理：登記網(wǎng)絡(luò)安全相關(guān)制度、應(yīng)急預(yù)案、工作方案等文件，系統(tǒng)向具備權(quán)限的人員開放查詢及匯總信息；

臺(tái)賬記錄管理：人工登記及自動(dòng)記錄網(wǎng)絡(luò)安全管理執(zhí)行情況；

漏洞風(fēng)險(xiǎn)管理：基于網(wǎng)絡(luò)安全事件應(yīng)急處置流程，主要包括漏洞發(fā)現(xiàn)、定位、應(yīng)急響應(yīng)與處置、復(fù)核等環(huán)節(jié)，相關(guān)信息和處置情況均可進(jìn)行追蹤；

信息資產(chǎn)報(bào)表：直觀展示信息資產(chǎn)情況，相關(guān)人員可快速掌握管理范圍內(nèi)的資產(chǎn)概況，負(fù)責(zé)人可總覽本單位整體情況，及時(shí)定位管理缺口并發(fā)動(dòng)安全整改。

（2）安全服務(wù)模塊。為校內(nèi)外安全服務(wù)提供統(tǒng)一接口。主要涵蓋以下項(xiàng)目：

安全指南服務(wù)：提供法律法規(guī)文件及相關(guān)解讀，校級(jí)的管理制度和標(biāo)準(zhǔn)規(guī)范以及校內(nèi)相關(guān)業(yè)務(wù)流程指南，信息化建設(shè)相關(guān)統(tǒng)一平臺(tái)、管理要求、標(biāo)準(zhǔn)規(guī)范、實(shí)施細(xì)則與業(yè)務(wù)指南以及管理平臺(tái)使用指南等資料和相關(guān)培訓(xùn)視聽(tīng)資料；

安全情報(bào)服務(wù)：提供最新安全情報(bào)信息和驗(yàn)證工具查詢，同步推送與信息資產(chǎn)匹配的相關(guān)信息；

態(tài)勢(shì)感知服務(wù)：對(duì)接數(shù)據(jù)中心態(tài)勢(shì)感知系統(tǒng)，展示與信息資產(chǎn)相關(guān)的態(tài)勢(shì)感知信息；

云漏掃服務(wù)：對(duì)接漏洞掃描設(shè)備，自助登記漏掃對(duì)象并自動(dòng)反饋漏掃報(bào)告；

代碼審計(jì)服務(wù)：對(duì)接校內(nèi)代碼審計(jì)軟件平臺(tái)或第三方專業(yè)服務(wù)；

滲透測(cè)試服務(wù)：登記對(duì)接校內(nèi)外滲透測(cè)試服務(wù)團(tuán)隊(duì)，記錄測(cè)試報(bào)告；

防篡改服務(wù)：登記預(yù)約部署防篡改腳本或第三方防篡改軟件；

數(shù)據(jù)歸檔服務(wù)：設(shè)置文件及數(shù)據(jù)自動(dòng)備份并上傳歸檔服務(wù)器；

日志分析服務(wù)：登記預(yù)約第三方安全專家進(jìn)行日志巡檢和日志分析；

安全咨詢服務(wù)：預(yù)約登記校內(nèi)及校外合作機(jī)構(gòu)安全專家咨詢服務(wù)。

（3）安全聯(lián)動(dòng)模塊。安全漏洞從發(fā)布到修補(bǔ)存在時(shí)間窗口，本模塊將實(shí)時(shí)匯總外部安全通報(bào)信息、校內(nèi)日常安全巡檢結(jié)果、第三方安全平臺(tái)報(bào)告和黑客組織發(fā)布平臺(tái)等數(shù)據(jù)，整合安全風(fēng)險(xiǎn)情報(bào)、安全防護(hù)設(shè)備信息、業(yè)務(wù)安全關(guān)聯(lián)分析、安全事件通報(bào)與處置等多項(xiàng)服務(wù)，主動(dòng)面向相關(guān)各單位管理人員推送實(shí)時(shí)的安全漏洞風(fēng)險(xiǎn)信息，可配置自動(dòng)或手動(dòng)應(yīng)急響應(yīng)攻擊事故，實(shí)現(xiàn)校園網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警、防護(hù)處置與管理的聯(lián)動(dòng)。

3.用戶交互層

在用戶交互層，主要搭建了內(nèi)部的交流空間和用戶服務(wù)，具體包括：

（1）通知與消息模塊?；谌藛T組織和權(quán)限信息，通過(guò)Web、IM、郵件、短信等多種方式向不同用戶發(fā)送系統(tǒng)通知、安全提示和工作流事務(wù)進(jìn)度提醒，并要求限時(shí)反饋。

（2）智能助理模塊?；谄脚_(tái)的安全服務(wù)能力，配置計(jì)劃任務(wù)等重復(fù)性安全服務(wù)和提醒服務(wù)。

（3）即時(shí)通訊工具?；谒接谢疘M提供網(wǎng)絡(luò)安全工作實(shí)時(shí)交流空間，可接入安全消息和“一鍵斷網(wǎng)”等安全能力。

（4）知識(shí)共享系統(tǒng)。構(gòu)建知識(shí)庫(kù)，向用戶提供結(jié)構(gòu)化的安全知識(shí)，各級(jí)單位網(wǎng)絡(luò)安全管理人員也可在線分享經(jīng)驗(yàn)。

預(yù)期建設(shè)效果

目前該平臺(tái)已有部分功能在復(fù)旦大學(xué)建成并投入試用，獲得二級(jí)單位好評(píng)。平臺(tái)設(shè)計(jì)能夠良好適應(yīng)高校復(fù)雜網(wǎng)絡(luò)安全環(huán)境和信息系統(tǒng)高速增長(zhǎng)的情況，幫助二級(jí)單位快速建立體系化的信息資產(chǎn)管理機(jī)制，提高學(xué)?？傮w安全運(yùn)維效率，推動(dòng)等保2.0 時(shí)代的網(wǎng)絡(luò)安全合規(guī)性建設(shè)，保障校園信息化業(yè)務(wù)安全有序進(jìn)行。同時(shí)，為各級(jí)各類網(wǎng)絡(luò)安全工作者提供賦能支撐，使校級(jí)管理人員具備大批量和自動(dòng)化安全管理支持能力，使二級(jí)單位負(fù)責(zé)人可直觀地了解本單位信息資產(chǎn)狀況、安全態(tài)勢(shì)，二級(jí)單位管理員可便捷管理、快速追蹤所管理信息資產(chǎn)的安全信息，降低安全管理的技術(shù)門檻，使二級(jí)單位網(wǎng)絡(luò)安全管理能力得到普遍提升。

本文從重塑信息資產(chǎn)管理模式，推進(jìn)新型信息資產(chǎn)治理平臺(tái)建設(shè)的角度，對(duì)學(xué)校加強(qiáng)二級(jí)單位網(wǎng)絡(luò)安全管理提出了實(shí)踐建議，但構(gòu)建系統(tǒng)化的安全管理服務(wù)體系仍需長(zhǎng)期的資源投入、技術(shù)支持和人員協(xié)作方可實(shí)現(xiàn)，仍需持續(xù)改進(jìn)和不斷完善，高校網(wǎng)絡(luò)安全建設(shè)任重而道遠(yuǎn)。