東北大學兩階段建設應用安全管控體系

文/王宇 范吉立 李海雄

隨著高校信息化建設從業務部門分散建設與運維向學校集中運維過渡，部分高校信息化建設技術支撐部門逐步建立了服務于學校整體信息化建設和二級部門信息化需求的應用托管服務，以虛擬化和私有云技術支撐的應用托管服務成為集中托管服務的主要實現方式。

本文結合東北大學應用托管服務的實際經驗，從技術和管理角度介紹如何建設虛擬化托管環境的應用安全管控體系。

應用安全管控體系建設是高校虛擬化托管服務建設的重要組成部分，一般可以劃分成兩個階段，一個是整體規劃和實施階段，另一個是運行維護和優化階段。

整體規劃和實施

在管理方面，有如下需要明確的內容：

信息系統的主管部門應是信息系統的校內責任部門，對系統的安全負主要責任和管理責任；管理部門是學校信息化建設的整體管理和協調部門，對系統的安全負領導責任，并積極協調主管部門和技術部門做好網絡安全工作；技術部門是信息系統的運行維護部門，應根據主管部門的需求，做好信息系統的安全運維和技術防護。若信息系統是面向師生或主管部門以外的部門提供服務的，師生個人和使用部門應按照“責權一致”的原則，對系統操作、提供的數據和信息負直接責任，同時應該嚴格按照信息系統的操作和管理規范使用。

東北大學

當學校軟硬件環境具有一定的網絡安全防護能力的同時，重點應該放在管理制度和運行流程上,明確主管部門、管理部門、技術部門的工作內容和職責擔當，劃清服務運維和應用安全的責任邊界，并通過準入、防護、監測、審計等技術措施保障運行維護的可管理和可持續性。

1.根據關鍵信息基礎設施認定和網絡安全等級保護定級備案的情況，規劃和建設滿足關鍵信息基礎設施和不同等級保護級別的信息系統防護要求的虛擬化資源池。首先要滿足系統間網絡隔離和流量可審計、可管理的要求，然后根據軟硬件投入情況，面向關鍵信息基礎設施、等級保護三級系統、等級保護二級系統、等級保護一級系統分別建立獨立的虛擬化資源池，或者整體按照較高的網絡安全防護要求進行虛擬化資源池的建設，在滿足網絡安全防護要求的基礎上實現較高的軟硬件資源利用率。

2.技術部門應組建專職的應用安全團隊，負責應用安全管控體系的規劃、建設和實施，以及安全漏洞和事件的處置和應急響應等工作；集中托管環境的軟硬件應提供服務準入、安全防護和服務監測、流量審計等技術能力，并提供信息資產發現、記錄和變更等全生命周期管理的系統支持；在有第三方運維介入的需求下，也應該具備專業的運維審計能力。

3.虛擬化托管服務采取準入模式，擬納入集中運維的信息服務應滿足以下管理和技術要求：

（1）符合學校現行的智慧校園建設規劃要求。

（2）招標采購、合同簽署、項目執行等階段滿足學校信息化建設統籌管理對數據共享和網絡安全的基本要求。

（3）主管部門發起申請，提供等級保護級別、軟硬件需求、網絡需求（細化到端口、帶寬）等信息；技術部門對需求合理性提出評價建議，確認現有環境是否滿足需求以及提供不滿足需求時的解決建議；管理部門從學校信息化建設整體規劃和管理角度進行審批和協調。

圖1 應用安全分域管控的拓撲示意

（4）在確定納入集中運維后，主管部門和技術部門簽訂校內運維服務協議，明確雙方的承擔職責，并由管理部門備案。

（5）信息服務上線前，須在提供專業安全廠商滲透測試報告的基礎上由技術部門的應用安全團隊確認服務安全水平滿足上線要求；信息服務對外服務端口為白名單形式，并要支持可監測和可審計。

運行維護和優化

高校虛擬化托管服務的運維和優化是長期性、事務性的，應用安全管控也是其中重要的組成部分。如何實現日常工作流程銜接順暢、運維工作量統計與服務故障及時發現與排查是運維階段應用安全工作中需要重點關注的內容。

高校信息服務的主管部門和技術部門之間的合作模式，是影響虛擬化應用托管運行維護和安全管理的主要因素之一，通常有三類合作模式：

1.技術部門負責整體托管運行環境，根據主管部門要求創建和維護虛擬機；主管部門通過技術部門提供的可控的、可審計的途徑（如通過堡壘主機）更新信息服務相關的代碼和數據，如大連理工模式。

2.技術部門負責整體托管運行環境，根據主管部門需求創建虛擬機；主管部門通過技術部門提供的可控的、可審計的途徑（如通過堡壘主機）維護虛擬機和更新信息服務相關的代碼和數據，如東北大學模式。

3.技術部門負責整體托管運行環境，根據主管部門需求設置具有創建和維護虛擬機權限的二級管理員賬戶；或者主管部門自行創建和維護虛擬機。

目前，方式2比較常見，在這種模式下，技術部門承擔的日常維護工作量適中，應用安全責任也可以明確在虛擬機邊界上，整體托管運行環境的安全防護措施提供輔助支撐，更多的安全防護措施要在虛擬機層面上由系統的主管部門及相關運維人員承擔。

應用安全管控體系在日常運維階段應該至少包含以下幾項工作：

1.技術部門應建立托管服務在線管理系統，實現應用托管服務的申請、審批、配置更新等工作的在線化，一方面便于提升運維工作效率，另一方面也可實現重要事務節點的歸檔和可追溯。

2.技術部門應定期進行流量審計評價，并參照主管部門實際申請服務情況進行核實，及時發現未報批的信息服務或網絡服務，降低不可控安全風險。

3.技術部門應有一定的滲透測試能力，可以通過培養自有安全團隊或采購第三方安全服務獲得，在重大安全保障期間，主管部門申請對單個托管的信息系統進行滲透測試，以便及時發現安全隱患。

4.技術部門應建立服務故障監測系統，對集中托管的信息服務進行實時可用性監測，有條件的可以提供頁面篡改告警監測，及時發現重要信息服務的不可用或網頁篡改事件，做到早發現、早處置、早恢復。

高校虛擬化托管環境的應用安全管控體系建設作為學校網絡安全保障體系的一部分，是保障高校智慧校園建設和運維的重要工作。隨著私有云、混合云等新技術應用到高校集中托管運維中，托管環境的應用安全管控體系構建還要適時完善和提升。