高校信息資產(chǎn)的全生命周期安全管理方案研究

◆郭娜 張慰 張文艷

高校信息資產(chǎn)的全生命周期安全管理方案研究

◆郭娜 張慰 張文艷

（江蘇師范大學(xué) 信息化建設(shè)與管理處 江蘇 221116）

保護(hù)高校網(wǎng)絡(luò)空間安全，落實(shí)到具體操作層面就是保護(hù)信息資產(chǎn)的安全。本文針對高校信息資產(chǎn)管理過程中存在的各種安全問題，結(jié)合江蘇師范大學(xué)網(wǎng)絡(luò)安全建設(shè)的探索與實(shí)踐，總結(jié)歸納出信息資產(chǎn)的全生命周期安全管理方案，通過實(shí)踐，能夠明顯提高信息資產(chǎn)管理的規(guī)范化和流程化。

網(wǎng)絡(luò)安全；信息資產(chǎn)；安全管理；等級保護(hù)

近年來，國家層面高度重視網(wǎng)絡(luò)空間安全，于2017年6月1日起實(shí)施《網(wǎng)絡(luò)安全法》，明確建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的“同步規(guī)劃、同步建設(shè)、同步使用”三同步原則，要求在系統(tǒng)生命周期各階段明確責(zé)任部門及安全職責(zé)，在全過程中推行安全同步開展，強(qiáng)化安全工作前移。隨著高校智慧校園建設(shè)的有序開展，信息化已廣泛融入到校園的方方面面，功能豐富的信息系統(tǒng)或網(wǎng)站逐漸演變?yōu)橐环N資產(chǎn)——信息資產(chǎn)?；ヂ?lián)網(wǎng)的開放性使得安全生態(tài)十分脆弱，信息資產(chǎn)也成為黑客攻擊的首要目標(biāo)。近年來，網(wǎng)站掛馬、網(wǎng)頁篡改、植入后門等安全事件頻發(fā)，嚴(yán)重影響了校園的安全和穩(wěn)定，也引起了廣大高校的廣泛關(guān)注。信息資產(chǎn)的生命周期包括規(guī)劃、建設(shè)、運(yùn)行、回收四個階段，在生命周期的每個階段都可能存在安全問題，因此，加強(qiáng)信息資產(chǎn)的全生命周期的安全建設(shè)和管理是保障其安全性的基礎(chǔ)，也是學(xué)校創(chuàng)造高質(zhì)量教育網(wǎng)絡(luò)空間的保障，需引起高度重視。

1 信息資產(chǎn)及安全現(xiàn)狀

信息資產(chǎn)作為一種新的資產(chǎn)已經(jīng)被普遍接受，但其定義尚未統(tǒng)一。文獻(xiàn)[1]中將信息資產(chǎn)的定義劃分為兩類：一類認(rèn)為信息資產(chǎn)是指以企業(yè)人員信息、經(jīng)營信息、企業(yè)文化、員工知識等為代表的信息類資產(chǎn)，另一類認(rèn)為信息資產(chǎn)涵蓋與信息技術(shù)、信息安全相關(guān)的所有資產(chǎn)，既包括人員信息等信息類資產(chǎn)，也包括相關(guān)的硬件設(shè)備、軟件、服務(wù)、數(shù)據(jù)等。第一種觀點(diǎn)是狹義的定義，第二種觀點(diǎn)是廣義的定義。本文旨在從高校的信息系統(tǒng)或Web頁面著手，闡述其安全管理方案，屬于廣義定義中的信息資產(chǎn)。為了方便描述，本文將信息系統(tǒng)或Web頁面等資產(chǎn)統(tǒng)稱為信息資產(chǎn)。

對于高校來說，各部門業(yè)務(wù)類型復(fù)雜多樣，信息資產(chǎn)不斷增長，業(yè)務(wù)服務(wù)范圍廣泛，已成為高校資產(chǎn)的重要組成部分。目前，國內(nèi)研究者比較關(guān)注信息資產(chǎn)的安全，但研究側(cè)重于安全防護(hù)技術(shù)方面?，F(xiàn)如今，信息資產(chǎn)安全防護(hù)技術(shù)逐漸成熟，但在信息資產(chǎn)的安全管理上暴露出各種問題[2-4]：（1）各部門在落實(shí)安全責(zé)任制上不徹底，無固定安全管理人員，業(yè)務(wù)部門人員更替較為隨意，安全意識薄弱，在出現(xiàn)安全事件時無法及時找到聯(lián)系人。（2）信息資產(chǎn)管理零散、混亂、隨意，無備案制度，無扎口管理，自建、私建資產(chǎn)和“雙非”資產(chǎn)難以發(fā)現(xiàn)。（3）缺乏多角色共同治理，各部門各角色之間協(xié)作管理困難，軟硬件的重要信息更新后沒有在各角色之間共享，數(shù)據(jù)流轉(zhuǎn)無法留痕，信息資產(chǎn)監(jiān)管難度大。（4）缺乏信息資產(chǎn)全生命周期安全管理機(jī)制。在信息資產(chǎn)上線和運(yùn)行等重要階段，缺乏多部門聯(lián)動的安全監(jiān)測、審查和監(jiān)督流程。在安全評估結(jié)果傳達(dá)、安全通報上無規(guī)范流程，給漏洞修復(fù)和安全通報處置追蹤帶來不便。

綜上所述，如何加強(qiáng)各部門業(yè)務(wù)角色之間的協(xié)作，打破部門和安全管理間的邊界，增強(qiáng)信息資產(chǎn)的安全性、合規(guī)性建設(shè)已經(jīng)成為各高校不斷探索的問題。本文以此為目標(biāo)，提出信息資產(chǎn)的全生命周期安全管理方案，通過項(xiàng)目統(tǒng)籌建設(shè)、資產(chǎn)備案管理、建設(shè)管理、運(yùn)行及運(yùn)維管理和回收管理等，實(shí)現(xiàn)信息資產(chǎn)的安全管理和流程化管理。

2 信息資產(chǎn)的統(tǒng)籌規(guī)劃與管理

信息資產(chǎn)的統(tǒng)籌規(guī)劃管理是由學(xué)校信息化部門發(fā)揮信息化項(xiàng)目統(tǒng)籌規(guī)劃建設(shè)職能，實(shí)現(xiàn)校內(nèi)信息資產(chǎn)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，推動信息資產(chǎn)跨部門、跨學(xué)院互聯(lián)互通，促進(jìn)信息共享和業(yè)務(wù)協(xié)同，幫助消除“信息孤島”，確保各類信息資產(chǎn)建設(shè)科學(xué)、規(guī)范、合理、有序?qū)嵤?/p>

2.1 資產(chǎn)的統(tǒng)籌規(guī)劃

信息資產(chǎn)統(tǒng)籌規(guī)劃是明確信息化部門作為學(xué)校信息化建設(shè)項(xiàng)目、經(jīng)費(fèi)、人員等方面的歸口管理部門。各業(yè)務(wù)部門建設(shè)信息資產(chǎn)時，統(tǒng)一向校信息化部門提交項(xiàng)目申請和項(xiàng)目立項(xiàng)書，明確項(xiàng)目建設(shè)單位和建設(shè)內(nèi)容，立項(xiàng)書中寫明建設(shè)需求、目標(biāo)、建設(shè)方案、安全規(guī)劃、資源預(yù)估、人員配備等。項(xiàng)目的立項(xiàng)必須由信息化部門組織專家進(jìn)行評審，評審?fù)ㄟ^才能立項(xiàng)。對于評審不通過的項(xiàng)目，信息化部有權(quán)不予立項(xiàng)。在項(xiàng)目立項(xiàng)后，建設(shè)單位還需和信息化部門協(xié)同調(diào)研、認(rèn)真規(guī)劃建設(shè)方案，通過不斷修正形成較為完備的建設(shè)方案。同樣，建設(shè)方案仍需組織專家對方案、技術(shù)的可行性進(jìn)行評估，保證項(xiàng)目建設(shè)的合規(guī)性、安全性、可靠性和可用性。因此，信息資產(chǎn)的統(tǒng)籌規(guī)劃能夠幫助信息化部門了解項(xiàng)目建設(shè)初衷，明確建設(shè)單位，強(qiáng)化網(wǎng)絡(luò)安全約束，減少信息系統(tǒng)建設(shè)過程中的不合規(guī)性，為信息資產(chǎn)的備案管理提供基礎(chǔ)數(shù)據(jù)。

2.2 資產(chǎn)備案管理

為了滿足信息業(yè)務(wù)不斷增長的需求，各業(yè)務(wù)部門廣泛熱衷于信息資產(chǎn)的建設(shè)，但往往只重用途，不重安全。與此同時，學(xué)校信息化部門人員有限，無法對全校信息資產(chǎn)實(shí)時監(jiān)控，增加了校園網(wǎng)絡(luò)安全的隱患。因此，有必要對資產(chǎn)進(jìn)行備案管理，其目的是摸清資產(chǎn)，及時更新資產(chǎn)信息。

摸清資產(chǎn)的前提要確定所需采集的資產(chǎn)信息，即信息資產(chǎn)指紋。信息資產(chǎn)指紋可包括服務(wù)器類型、操作系統(tǒng)版本、IP地址、域名、URL鏈接、端口、應(yīng)用類型、開發(fā)語言、責(zé)任人等。對于信息資產(chǎn)指紋的采集方法通常有兩種，一種是手動采集法，即業(yè)務(wù)部門對自己規(guī)劃建設(shè)的信息資產(chǎn)，由系統(tǒng)管理員填寫資產(chǎn)備案申請，申請中需寫明信息資產(chǎn)用途、配置詳情、服務(wù)提供范圍、責(zé)任單位和責(zé)任人等。在系統(tǒng)管理員提交申請后，由業(yè)務(wù)部門審批，信息化部門對資產(chǎn)進(jìn)行登記和備案。另一種是自動采集法，自動采集法往往針對未知資產(chǎn)，尤其是較早建設(shè)的資產(chǎn)，分為基于流量的被動檢測法和主動探測發(fā)現(xiàn)法[5]?；诹髁康谋粍訖z測法一般在網(wǎng)絡(luò)出口旁路部署自學(xué)習(xí)引擎，通過對鏡像流量http/https訪問的分析，自動發(fā)現(xiàn)校園網(wǎng)內(nèi)對外提供訪問的網(wǎng)站及業(yè)務(wù)系統(tǒng)。對于內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的發(fā)現(xiàn)，可通過在各安全域內(nèi)部署探針，摸清網(wǎng)絡(luò)內(nèi)開放的各種服務(wù)端口的指紋信息[6]。然而，該種方法存在一個弊端，就是當(dāng)資產(chǎn)沒有被任何人訪問，沒有產(chǎn)生流量時無法被識別，主動探測發(fā)現(xiàn)法則可以在一定程度上解決該問題。主動探測法是通過對指定校園網(wǎng)地址段進(jìn)行逐個全量端口掃描的方法來發(fā)現(xiàn)網(wǎng)絡(luò)空間中的資源信息，該方法通常采用了TCP/IP協(xié)議族中的ICMP協(xié)議，通過ICMP協(xié)議中的反射請求與應(yīng)答數(shù)據(jù)包提供的功能來實(shí)現(xiàn)與目的主機(jī)的通訊，并以此作為對所需探測數(shù)據(jù)獲取的平臺，但該方法對網(wǎng)絡(luò)本身的通信流量產(chǎn)生影響。通過自動發(fā)現(xiàn)獲取資產(chǎn)信息后，信息化部門安全管理員仍需對資產(chǎn)信息進(jìn)行梳理，去除不必要數(shù)據(jù)，保留有用數(shù)據(jù)。

3 信息資產(chǎn)建設(shè)管理

在完成信息資產(chǎn)備案后，信息資產(chǎn)進(jìn)入建設(shè)階段。根據(jù)《網(wǎng)絡(luò)安全法》的“三同步”原則，系統(tǒng)建設(shè)階段要充分考慮所建資產(chǎn)是否滿足網(wǎng)絡(luò)安全等級保護(hù)要求。當(dāng)然，等級保護(hù)要求不能代替網(wǎng)絡(luò)安全，等級保護(hù)要求是基本要求，如果建設(shè)單位有更高要求或針對其業(yè)務(wù)有特殊安全需求，需將等級保護(hù)納入其信息安全之中[7]。

在信息資產(chǎn)分析、設(shè)計、實(shí)施時，信息化部門要結(jié)合《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》《教育行業(yè)信息系統(tǒng)安全等級保護(hù)工作指南（試行）》等相關(guān)文件給信息資產(chǎn)建設(shè)提出安全性要求，包括身份鑒別、訪問控制、安全審計、入侵防護(hù)、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份等方面，形成安全需求和安全基線。同時，公司工程師要注意形成安全編碼規(guī)范并進(jìn)行安全編碼，軟件測試時進(jìn)行安全功能測試、源代碼審查等。

在信息資產(chǎn)建設(shè)階段，業(yè)務(wù)部門需要完成資產(chǎn)的定級。信息化部門可以根據(jù)定級要素與安全保護(hù)等級的關(guān)系初步確定信息資產(chǎn)的等級，并向業(yè)務(wù)部門推薦備案等級，業(yè)務(wù)部門參照信息化部門的建議初步確定等級。對于安全保護(hù)等級初步確定為二級及以上的等級保護(hù)對象，業(yè)務(wù)部門應(yīng)當(dāng)依據(jù)標(biāo)準(zhǔn)要求進(jìn)行專家評審、主管部門核準(zhǔn)和備案審核，最終確定其安全保護(hù)等級。

整個建設(shè)過程，信息化部門要對資產(chǎn)的建設(shè)情況進(jìn)行記錄，為資產(chǎn)上線做準(zhǔn)備。

4 信息資產(chǎn)運(yùn)行及運(yùn)維管理

4.1 信息資產(chǎn)上線管理

信息資產(chǎn)部署的目的是對外提供服務(wù)，資產(chǎn)上線必須經(jīng)過嚴(yán)格的安全管控，江蘇師范大學(xué)啟用規(guī)范的資產(chǎn)上線流程。對于待上線的信息資產(chǎn)，業(yè)務(wù)部門安全管理員需先提交信息資產(chǎn)上線申請，由信息化部門安全管理員通過“安全評估—漏洞反饋—漏洞修復(fù)”的循環(huán)過程對預(yù)上線資產(chǎn)進(jìn)行安全評估，只有安全評估通過的資產(chǎn)在業(yè)務(wù)部門簽訂網(wǎng)絡(luò)安全責(zé)任書后才可上線，所有過程流程化，既保證了數(shù)據(jù)留痕，又增強(qiáng)了安全管控。

4.2 信息資產(chǎn)運(yùn)行管理

信息資產(chǎn)建立后，其安全是動態(tài)的，需要信息化部門安全管理員利用漏洞掃描、滲透測試、態(tài)勢感知等技術(shù)不斷監(jiān)測信息資產(chǎn)的安全狀態(tài)，并將結(jié)果實(shí)時反饋給各業(yè)務(wù)部門安全管理員。對于上級部門、行業(yè)機(jī)構(gòu)通報的漏洞和校內(nèi)自檢發(fā)現(xiàn)的漏洞，要及時通報各業(yè)務(wù)部門，督促整改，實(shí)時跟蹤通報處置結(jié)果。同時，信息化部門要搭建態(tài)勢感知平臺，建成“自主警告、研判事件、生成工單、一鍵封堵”的自動化事件處置流程，實(shí)現(xiàn)網(wǎng)絡(luò)安全工作的盡早發(fā)現(xiàn)，及時響應(yīng)，提高網(wǎng)絡(luò)安全問題發(fā)現(xiàn)能力和處置效率。

信息資產(chǎn)運(yùn)行時，信息化部門還要定期盤點(diǎn)資產(chǎn)，防止資產(chǎn)遺漏和丟失。業(yè)務(wù)部門也要時刻關(guān)注所建資產(chǎn)的運(yùn)行情況，定期查看或上報本部門具有的信息資產(chǎn)，遇到問題及時與信息化部門溝通，防止資產(chǎn)漏報和漏管。

4.3 安全運(yùn)維管理

安全運(yùn)維是保障信息資產(chǎn)安全穩(wěn)定運(yùn)行的基礎(chǔ)，做好安全運(yùn)維應(yīng)該從以下幾個方面著手：

（1）構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系。劃分不同的防護(hù)區(qū)域，從網(wǎng)絡(luò)邊界、數(shù)據(jù)中心和終端等不同層次進(jìn)行安全防護(hù)。在網(wǎng)絡(luò)邊界的防護(hù)上，可依托防火墻、IPS等設(shè)備，對進(jìn)出流量進(jìn)行過濾，防止外部危險入侵。在數(shù)據(jù)中心區(qū)域，部署防火墻、IPS、WEB應(yīng)用防火墻等，隔離內(nèi)外網(wǎng)，過濾數(shù)據(jù)包，同時對各Web站點(diǎn)進(jìn)行防護(hù)。在終端方面，要注意開啟防火墻、安裝殺毒軟件、升級系統(tǒng)補(bǔ)丁、禁用危險端口等。

（2）制定安全運(yùn)維方案。一方面要定期開展安全巡檢，另一方面要做好應(yīng)急響應(yīng)。江蘇師范大學(xué)采用“日查月分季評”制度，通過開展網(wǎng)絡(luò)安全日常巡檢，進(jìn)行月度事件分析和季度通報評價，建立安全運(yùn)維長效機(jī)制，做到及時發(fā)現(xiàn)問題。為了提升應(yīng)急響應(yīng)能力，信息化部門制定了網(wǎng)絡(luò)安全應(yīng)急預(yù)案，當(dāng)出現(xiàn)安全事件時，相關(guān)責(zé)任人按照預(yù)案快速響應(yīng)，縮小事件影響范圍和時間。

（3）完善安全管理策略。通過規(guī)范網(wǎng)絡(luò)設(shè)備、信息系統(tǒng)、終端計算機(jī)等信息資產(chǎn)的配置管理，賬號密碼管理，漏洞管理，變更管理，備份與恢復(fù)管理，減少安全事件，降低安全風(fēng)險。針對服務(wù)器運(yùn)維人員，可通過堡壘機(jī)（運(yùn)維審計設(shè)備）設(shè)置內(nèi)部運(yùn)維人員和第三方運(yùn)維的運(yùn)維權(quán)限，規(guī)范技術(shù)運(yùn)維工作，規(guī)避運(yùn)維風(fēng)險。

（4）建立日志審計平臺。在網(wǎng)絡(luò)安全保護(hù)過程中，對于已經(jīng)發(fā)生的攻擊事件進(jìn)行排查和溯源最有效的方式之一就是對安全系統(tǒng)的日志進(jìn)行分析。學(xué)校應(yīng)建立高性能、大容量的日志審計平臺，針對流量行為日志、安全事件日志、用戶信息日志、業(yè)務(wù)訪問日志、設(shè)備狀態(tài)日志、系統(tǒng)操作日志等進(jìn)行采集，且日志留存時間不少于六個月。

5 信息資產(chǎn)回收

對非必要資產(chǎn)、臨時資產(chǎn)或存在嚴(yán)重安全問題的資產(chǎn)，由資產(chǎn)管理提出下線申請。當(dāng)信息化部門服務(wù)器管理員收到資產(chǎn)下線申請時，對原有服務(wù)器資源、IP地址和域名資源進(jìn)行回收，同時在堡壘機(jī)中回收登錄服務(wù)器的入口；當(dāng)信息化部門安全管理員收到該申請時，對數(shù)據(jù)中心防火墻和校園網(wǎng)邊界防火墻進(jìn)行策略修改，防止資產(chǎn)的原安全策略被攻擊者利用、對現(xiàn)有信息資產(chǎn)的安全造成危害。整個回收過程的數(shù)據(jù)也需要在不同角色之間共享，達(dá)到共同治理的效果。

沒有網(wǎng)絡(luò)安全就沒有國家安全，高校是網(wǎng)絡(luò)安全的重災(zāi)地，信息資產(chǎn)的安全關(guān)系著校園網(wǎng)絡(luò)空間安全。本文針對信息資產(chǎn)生命周期的各階段提出安全管理方案，致力于促進(jìn)高校信息資產(chǎn)歸口管理責(zé)任體系建立，解決資產(chǎn)情況不明、責(zé)任不清等問題，同時，加強(qiáng)部門間的協(xié)作與數(shù)據(jù)共享，提升問題發(fā)現(xiàn)和應(yīng)急響應(yīng)能力，提高信息資產(chǎn)安全建設(shè)和運(yùn)維水平。通過實(shí)踐，該方案大幅度提高了江蘇師范大學(xué)信息資產(chǎn)管理的效率和效果。希望在以后的信息資產(chǎn)管理中，建立完善的信息資產(chǎn)全生命周期管理系統(tǒng)，對信息資產(chǎn)全生命周期的動態(tài)數(shù)據(jù)和流程化數(shù)據(jù)進(jìn)行采集、挖掘與分析，進(jìn)一步實(shí)現(xiàn)信息資產(chǎn)全生命周期的精細(xì)化管理、規(guī)范化管理。

[1]胡縉櫻.基于安全屬性的信息資產(chǎn)評估成本法改進(jìn)研究[D].安徽：合肥工業(yè)大學(xué)，2016.

[2]王長春，曾照華，張躍華.“互聯(lián)網(wǎng)+”網(wǎng)絡(luò)信息安全現(xiàn)狀與防護(hù)研究[J].軟件導(dǎo)刊，2020.

[3]莊君明.大數(shù)據(jù)背景下的高校網(wǎng)站群安全管理體系研究[J].福建電腦，2017．

[4]司成偉，趙全洲.構(gòu)建基于信息化資產(chǎn)的網(wǎng)絡(luò)安全工作體系[J].數(shù)字通信世界，2019.

[5]閆家意.網(wǎng)絡(luò)主機(jī)發(fā)現(xiàn)關(guān)鍵技術(shù)研究[D].哈爾濱：哈爾濱工程大學(xué)，2019.

[6]謝黨恩，梁瑞，常思遠(yuǎn), 等.淺談高校Web資產(chǎn)的全生命周期治理方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020.

[7]廖其耀，李若虹.等級保護(hù)與三同步的過程結(jié)合[J].數(shù)字通信世界，2019.