高校信息安全漏洞和威脅管理的研究與實踐

黃志宏，梁卓明

(1.華南農業大學 現代教育技術中心， 廣州 510642； 2.華南師范大學 網絡中心， 廣州 510006)

高校的教育教學現代化改革需要信息化的大力支撐，更離不開網絡安全的保駕護航[1-2]。中央網絡安全和信息化領導小組成立后，由公安部門牽頭，對運營商、教育、金融、交通、衛生、能源、企業等行業進行了持續的安全檢查，其中教育行業的信息安全情況最為嚴峻，深究其原因主要有以下3點[3-5]：

1) 信息孤島嚴重。信息孤島一直是高校信息化亟待解決的問題，由于高校的信息化建設權利分散，信息化建設部門作為學校的教輔單位無法進行統一的管理和監控，導致信息安全問題同樣分散，不利于統籌解決。

2) 信息系統繁雜。隨著高校信息化建設工作的高速推進，學校的教學、科研和管理工作基本實現了信息化，每個高校備案的各類信息系統(網站)普遍有300～500個，這個數字還不包含大量的僵尸網站和雙非網站。而一個大型企業的信息系統一般也不超過100個，對比而言，高校的信息系統更為繁雜。

3) 安全意識薄弱。針對高校新建的各類信息系統，業務部門往往只注重其業務的連續性和功能的實現，對于信息安全，很多老師不了解或者不懂，要求他們在建設或運維過程重視安全問題，從技術上和意識上都有很大難度。

由此可見，隨著教育信息化2.0時代的到來，高校信息化進入了又一個快速發展時期[6]，信息化與網絡安全的失衡發展，使得高校短期內仍無法解決面臨的網絡安全問題分散化及多樣化、人員安全意識薄弱、技術水平參差不齊等問題。為了有效地應對和解決以上問題，高校可以信息安全漏洞和威脅管理為抓手，從行業特色、智能化、閉環和可持續運維的角度出發，有針對性地集中開展管理工作。

1 信息安全漏洞和威脅管理的具體需求

1) 行業特色需求。高校的信息系統相對于其他行業是特殊的，不能簡單套用其他企業、單位的信息安全管理方法。高校信息系統安全漏洞和威脅管理應該要符合教育特色，解決信息孤島嚴重、信息系統繁雜、安全意識薄弱問題所帶來的網絡安全問題[7]。

2) 智能化需求。高校的IT管理人員并不充足，一方面信息化建設部門人員資源緊張，要負責和參與學校所有的信息化和信息安全建設、維護工作，工作量較大；另一方面，學校各二級單位的IT運維人員很多并不是信息或網絡專業的老師，對于專業的網絡安全知識一竅不通。因此，智能化是高校信息安全的首要需求，智能化包括技術專業的通俗化，可以利用安全漏洞和威脅管理平臺及相關的技術指出已經失陷的設備或系統，通過配備盡可能多地自動修復設置以及詳盡的安全操作指導手冊，協助IT管理運維人員做好信息系統安全漏洞和威脅管理工作[8]。

3) 閉環和可持續運維需求。漏洞和威脅都會經歷“檢查—發現—修復—再檢查”的循環過程，在高校信息系統安全漏洞和威脅管理工作中，重復的安全確認郵件發送會耽擱大量的管理時間，而且很多IT管理人員的檢查工作往往是一次性的。但新的漏洞和威脅會持續出現，閉環和可持續運維是對漏洞和威脅處理的時效要求。因此，需要提供一種快速和持續監控的手段，給安全運維的工作帶來便捷。

2 信息安全漏洞和威脅管理研究

為了滿足高校信息安全漏洞和威脅管理的具體需求，本文將P2DR模型和高校信息系統生命周期安全管理過程引入到信息安全漏洞和威脅管理的研究與實踐中。

2.1 P2DR模型

如圖1所示，P2DR模型是美國ISS公司提出的動態網絡安全體系的代表模型，也是動態安全模型的雛形。針對單個漏洞和單個威脅事件，都經歷了“策略—防護—檢測—響應”的流程。利用成熟的P2DR模型(如圖1所示)，可以實現安全漏洞和威脅管理的微觀工作的指導[9-12]。

圖1 P2DR模型

1) 策略。根據風險分析制定的安全策略描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等。策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。

2) 防護。通過修復系統漏洞、正確設計開發和安裝系統來預防安全事件的發生；通過定期檢查來發現可能存在的系統脆弱性；通過教育等手段，使用戶和管理員正確使用系統，防止意外威脅。

3) 檢測。是動態響應和加強防護的依據，通過不斷地檢測和監控網絡系統來發現新的威脅和弱點，通過循環反饋來及時做出有效的響應[13]。

4) 響應。系統一旦檢測到入侵，響應系統就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統恢復和信息恢復[14]。

2.2 信息系統生命周期安全管理過程

如表1所示，信息系統生命周期(SDLC)是系統產生直到報廢的生命周期，周期內包括問題定義與規劃、需求分析、軟件設計、程序編碼、軟件測試和運行維護。高校信息系統安全管理圍繞信息系統整個生命周期展開，通過對高校信息系統生命周期安全管理過程的規劃與設計，可以對整體的信息安全漏洞和威脅管理的宏觀工作進行指導[15-16]。

表1 教育行業的信息系統生命周期安全管理

2.3 技術特點

2.3.1 自動化

自動化是信息安全漏洞和威脅管理實踐研究的首要目標，通過信息安全漏洞和威脅管理平臺能自動生成漏洞和威脅管理的階段性任務，例如評估的自動聯動下發和通知、威脅自動發現和通知等。

2.3.2 智能化

智能化是信息安全漏洞和威脅管理實踐研究的重要目標。在信息安全管理工作中，最大的難題是人手和專業技術的不足，智能化能夠大大彌補該項現階段不易解決的問題，例如大量日志經過智能化分析將減少人工篩選的工作，攻擊鏈的判斷減輕了分析人員的專業負擔。

2.3.3 閉環和可持續運維

閉環和可持續運維是信息安全漏洞和威脅管理實踐研究的最終目標，信息安全是一個閉環的過程，在遵循規章制度、實現人力閉環管控的基礎上，利用信息安全漏洞和威脅管理平臺自動化、智能化的設定，通過流程化的平臺管理能實現符合教育行業生命周期和P2DR模型的實踐。

3 信息安全漏洞和威脅管理實踐

結合P2DR模型與高校信息系統生命周期安全管理，高校可通過安全漏洞和威脅管理的安全體系建設對整個信息安全工作進行支撐，這是一個閉環的不斷循環的過程。本文結合高校常見的3個安全場景(資產稽查、漏洞管理、威脅管理)對安全漏洞和威脅管理的安全體系實踐進行論述。

3.1 資產稽查實踐

高校具有的大量資產使安全問題變得異常復雜化，增加了運維團隊的工作難度，從而造成資源的分配不均或浪費，資產稽查是一個有效的解決方法。引入P2DR模型的資產稽查過程是一種動態、可持續性的監控，當發現變更或入侵情況后能及時進行處理，處理完成之后，可繼續監控。

為了實現高效性、準確性、精細化的目標，資產稽查工作需要遵循以下3個要素：

1) 技術手段必須是自動的。大多數高校依賴于各二級單位管理員實現資產登記，但由于管理人員的技術水平參差不齊，往往會出現較多的錯誤信息或者資料不全。因此，自動化的資產檢查手段十分重要。

2) 資產稽查的結果應該形成單位性質的分組展示。資產稽查的結果通過資產分組實現安全資產的展示，這有利于對各二級單位的資產進行有效的統計，并針對相應的資產制定安全策略。資產的細粒度包括資產的分組情況(二級單位歸屬)、IP或域名地址、端口號、相關協議，并支持基于以上信息進行分類。

3) 資產稽查的方式應該支持互聯網和內網檢測的兩種手段結合。

基于P2DR模型的可閉環控制的動態資產稽查過程如下所示：

1) 進入police(策略)階段。學校落實網絡安全等級保護制度要求，設定完善的信息資產備案制度，采用報備制度，通過信息安全漏洞和威脅管理平臺收集各類信息系統(網站)的基本信息，對學校的信息資產進行管理。

2) 進入protection(防護)和detection(檢測)階段，通過備案信息對內部資產進行訪問控制和變更管理。

① 完善防火墻設置。依據資產的情況，核實各二級單位上報的資產備案信息的準確性，并確認對外端口的使用情況，以便在重大活動或敏感時期實現對信息系統(網站)的分級和分類管理。

② 嚴控web端口。通過80端口或http協議進行搜索，清查校園網內所有的web站點，針對web站點建立web應用防護系統的管理策略。

③ 公網威脅。進行互聯網資產稽查，實時監控學校所有對外IP地址的端口情況，當出現新增端口，則自動向管理員告警，由管理員確認是入侵事件還是變更需要。

④ 內部變更。利用檢測手段，持續監控內部信息系統端口的變化的情況，及時確認端口變化是由應用服務器提供未備案的新服務或是遭到入侵創建對外非法端口所造成的，利用端口變更的發現，可以有效解決內部變更的管理問題。

3) 進入response(響應)階段。以上4個問題的解決方案通過信息安全漏洞和威脅管理平臺，以工單的形式下發，實現流程化的管理。平臺依據不同資產的分組，設定不同的管理人員，將自動掃描發現的問題自動轉發至相應的管理人員進行處理，并通過APP/短信/郵件等形式發送通知。最后根據發現的問題，重新進入police(策略)階段，修訂資產安全管理的制度。

3.2 漏洞管理實踐

漏洞管理工作是安全的基礎工作，發現網絡、系統和應用中的安全問題，可以提前發現并進行修復，減少被入侵的風險。針對情報和漏洞情況的監控，可以控制漏洞威脅對高校信息安全的影響，先于安全問題爆發前，進行重點性的問題解決。這種管理思路雖然清晰，但在智能化落實的過程中卻會遭遇二級單位存在技術困難、安全漏洞檢查郵件下發后遲遲得不到回復等各種阻力。同時，學校存在數十個二級單位，安全信息持續變化不利于進行概況的統計。

基于以上問題，可以通過P2DR模型，結合信息安全漏洞和威脅管理平臺進行解決。

1) 進入protection(防護)和detection(檢測)階段。通過漏洞檢測工具對各二級單位的信息資產進行安全掃描，信息安全漏洞和威脅管理平臺能夠自動將漏洞情況與“資產稽查實踐”的資產列表進行關聯。整個過程還可以導入基線配置核查、web站點檢查、網站監控或滲透測試和代碼審計的結果，并與資產關聯。

2) 進入response(響應)階段。通過平臺的工單響應功能，可以對應資產的歸屬，對管理人員下發漏洞處理的工單，通過短信、郵件或APP等方式進行通知(可選通知的對象包括信息化建設部門的安全負責人、對應系統負責人和二級單位安全負責人)(如圖2所示)。對于重大漏洞或高風險漏洞，可以設置重復提醒的功能。可以將信息化建設部門的安全負責人從安全通知的工作中解放出來。

圖2 漏洞處置單下發

系統負責人登入平臺后，依據權限控制，只可見自身資產的安全問題，并著手處理安全漏洞情況。信息安全漏洞和威脅管理平臺通過龐大的漏洞知識庫，可以提供具體的解決方案，并將解決方案保存在運維知識庫中，除了服務人員導入的解決方案外，系統負責人在實踐過程中實際解決問題的辦法也會自動存入運維知識庫。運維知識庫大大減少了重復的修復指導工作量。

漏洞管理實踐過程中對于安全漏洞的修復，可以設定以下幾種狀態：

① 可以修復。系統負責人修復后，自行可以驗證，調用相關掃描工具，或者使用滲透測試留下的腳本、攻擊方法，進行自主驗證。成功修復的驗證結果發送給信息化建設部門的安全負責人。

② 誤報。管理人員將確認誤報的分析，在平臺上回復信息化建設部門安全負責人，并由信息化建設部門安全負責人進行確認。如果是誤報則忽略相關告警；如果是非誤報，則重新發回相關系統負責人。未確認漏洞是否誤報時，該漏洞則統計為未修復。

③ 接受風險。當漏洞情況是已知，但現階段影響不大，或在可以接受的情況下，系統負責人可以提交信息化建設部門安全負責人進行接受風險的確認；如果是可以接受風險則確認，如果是不可接受風險，則重新發送至系統負責人進行處理。在接受風險的漏洞未確認的情況下，該漏洞則統計為未修復。

3) 進入police(策略)階段。信息安全漏洞和威脅管理平臺能夠根據資產分組的情況進行相關漏洞情況統計。信息化建設部門安全負責人通過平臺能夠了解整體的安全漏洞情況(如圖3所示)。

漏洞情況的統計可以結合以下幾個維度：

① 每個資產組發現高、中風險漏洞的個數，狀態分別為已修復、未修復、接受風險的個數以及相關百分比。

② 漏洞修復時限完成情況，例如重大風險漏洞可要求30 min 內修復，高風險漏洞要求1 d內修復，中風險漏洞要求3 d內修復。

結合以上的情況可以對各二級單位的安全管理工作進行評分，并形成相關網絡安全周報，提高安全工作的積極性。通過發現的問題，信息化建設部門可以修正之前信息安全管理制度和操作流程，提高工作效率和安全保障的能力，并通過平臺進行策略的下發。

圖3 安全漏洞整體情況

4) 再次進入protection(防護)階段。根據發現的問題，定期給相關的系統負責人進行網絡安全培訓，提高安全漏洞管理的能力。

通過安全漏洞管理，可以解放安全管理的工作量，提升二級單位人員的安全意識和安全技術水平，對提高校園信息安全保障起到非常關鍵的作用，更重要的是解決了很多高校安全漏洞管理無法落地的問題。

3.3 威脅管理實踐

威脅管理是高校最重要的安全實踐工作，網絡安全等級保護建設中的網絡、主機、應用的相關安全設備(如防火墻、入侵防護、web防護、上網行為管理、安全審計等)都是威脅管理的內容。在威脅管理工作中，會遇到以下幾個問題：① 日志量太大，無法進行有效日志分析和發現潛在的安全問題;② 設備較多，比較專業，難以確認哪些設備策略可以優化和減少入侵風險;③ 無法整體輸出全網環境的安全狀況以及已建安全設備的防護效果，無法指導未來應如何建設。

通過威脅管理實踐，著重解決以上3個問題，解決的過程同樣應用了P2DR的模型。

1) 進入detection(檢測)階段。安全防護設備對實時的流量進行檢測，安全防護設備采集日志的速度大約為50～5 000條/s，一天可以產生過百萬的安全日志。

實時檢測過程對前后流量和日志進行比對，通過行為和數學建模的分析，確認入侵的路徑，并結合攻擊鏈的維度，將攻擊的整個過程進行整合。

檢測的最終結果通過構建的攻擊鏈(如圖4所示)對失陷主機進行分析，發現不同失陷階段的具體情況，并記錄攻擊路徑，完成溯源。

圖4 攻擊鏈

根據檢測結果，安全管理員可知道被設備攔截防護的攻擊事件數量，有哪些攻擊已經突破了安全防護，或者有哪些系統在安全防護實施前，已經被入侵成功，成為失陷主機。對于失陷主機的分析，平臺能夠還原整個攻擊鏈條，提出解決方案，并指出現階段防護的不足之處。這將會為后續安全建設的規劃提出依據，通過引入智能化的態勢感知和攻擊鏈分析技術，在降低發現失陷主機花銷的同時，可提高發現速度和精度。

2) 進入response(響應)階段。威脅管理結合漏洞管理和資產稽查的實踐成果，形成閉環的工單分發。對應的安全問題，可指派到對應的系統負責人，通知修復后，信息化建設部門安全負責人通過平臺能夠收到實時的修復成功反饋。

3) 進入police(策略)階段。信息化建設部門安全負責人將各二級單位威脅管理的情況通過平臺匯總至安全周報上，同時，依照發現的失陷主機的安全問題，信息化建設部門將再次對制度、體系和設備的策略進行優化調整，持續對其進行監控。

4) 進入protection(防護)階段。針對容易或剛受到攻擊的設備，可通過提高掃描頻率，對相關人員開展針對性培訓和及時發送通告等方式加強安全漏洞管理的工作。

3.4 綜合安全管理實踐思路

高校進行資產稽查、漏洞管理、威脅管理的終極目標是為了提高資產安全管理水平，保障資產的安全。信息系統作為高校重要的資產之一，資產安全管理將貫穿到整個信息系統生命周期管理過程中。

1) 規劃和需求分析階段。各二級單位在信息系統立項和制定需求階段，從學校信息化項目統籌建設的角度出發，信息系統的建設除了要遵循學校數據標準和信息規范的要求，還要按照網絡安全等級保護制度的要求，明確安全性的需求，從而降低安全問題修復的成本。

2) 軟件設計和程序編碼階段。信息化建設部門利用安全專業技術、安全設備或第三方安全服務，協助信息系統開發商開展代碼合規性檢測、軟件單元測試等工作，督促信息系統開發商在軟件設計過程中時刻關注安全問題。

3) 軟件測試和運行維護階段。信息化建設部門通過開展資產稽查、漏洞管理和威脅管理實踐工作，借助P2DR閉環可持續運維的實踐經驗，使學校資產得到有效的安全保障。

3.5 綜合安全管理實踐效果

1) 自動化管理能力提升。通常高校處理安全事件的流程都是通過郵件推動，同時，信息化建設部門還需要自行人工統計各單位的安全情況和安全狀況，而自動化實現了安全問題的高效、精確傳遞。經過實踐證明，借助信息安全漏洞和威脅管理平臺，基于P2DR閉環可持續運維的自動化安全管理辦法，比電話、短信、郵件和自行人工統計的方式節約近90%的工作成本。

2) 智能化管理能力提升。以校園網日志平均產生速度15000EPS(EPS：條/s)為例，假設通過搜索條件(高風險、具體威脅、來源目的IP篩選)僅保留1/100的日志量(150EPS)，每天校園網要處理150×3 600×24=12 960 000條日志。利用分析能力達20 000∶1(即20 000條日志分析出1個信息安全事件)的智能化分析技術，每天需要處理的事件數將銳減至600條，再將資產按照歸屬進行分派后，最終每個老師每天要處理的安全事件大概只有10～20個，有效保障了安全事件的及時處置。

3) 閉環和可持續運維管理能力的實現。按照傳統的安全管理思路，在校園網開展安全管理工作，要實現閉環可持續管理幾乎是不可能完成的任務。校園網安全問題不斷出現，往往是舊的問題剛解決，來不及進行反思和審計，就需要投入至新的安全工作中。閉環利用本文的安全管理思路，一方面將管理流程進行了整體梳理，各高校可以根據自身情況擇優實施；另一方面，該思路結合了自動化和智能化的理念，使可持續運維成為現實。

3.6 綜合安全管理實踐創新價值

目前，高校在開展資產稽查、漏洞管理、威脅管理工作時，大多數還是單純以堆疊不同廠商的安全設備來實現[17-18]。這種傳統的安全防護思路會帶來安全孤島、管理缺失、智能程度低等問題。在高校信息安全漏洞和威脅管理的研究與實踐中，基于與傳統安全設備和技術做對比發現，依靠傳統安全思路和產品只不過是飲鴆止渴，閉環持續響應的體系平臺才是高校信息安全問題的治本良方。綜合安全管理實踐的創新價值具體體現在以下幾點：

1) 消除安全孤島。高校資產稽查需要使用NMAP，漏洞管理需要使用漏洞掃描器，威脅管理需要防火墻、入侵防護、web防護等設備，依靠這些來自不同廠商的產品的簡單堆疊使用，產品功能相對單一，無法實現技術融合，無法形成完整的校園網安全技術體系，將會給高校網絡帶來安全孤島問題。本文提出的閉環持續響應的體系平臺，可為高校運維提供統一的入口，查看每個資產的變更、漏洞安全和威脅安全的總體風險情況。高校網絡安全工作的計劃和保障得到了統計和趨勢等客觀數據的支撐，可確保安全規劃符合真正需求，同時也降低了運維人員的安全分析難度，消除安全孤島。

2) 避免管理缺失。傳統安全設備多依賴PDR模型[19]進行設計，PDR模型由protection(保護)、detection(檢測)、response(響應)3部分組成，與P2DR最大區別是缺少Police(策略)部分。傳統安全設備更關注的是技術的實現，而忽略管理與策略的內容。例如在漏洞管理中，漏洞掃描器相較于本文提出的平臺，更關注的是漏洞掃描能力，發現后的通知和閉環工作，依賴于運維人員的自覺性，并需要手動使用郵箱發送漏洞報表，電話與二級管理人員確認修復情況，導致現實的漏洞管理難以推進也耗費人力。而本文提出的平臺利用P2DR模型，更關注的是落地的情況，自身提供一套漏洞管理的工單流程，流程的策略(即P2DR的Police部分)也隨一次次的操作進行改善，更符合高校安全管理的需求。

3) 提高智能程度。安全信息和事件管理(SIEM)[20]技術，最早在2005年由Gartner提出，但由于技術的迅速發展，傳統的SIEM設備使用關系型數據庫，已不能支持TB級數據的查詢分析(按照高校每天12960000條日志，單條日志1KB計算，180天的日志需要超過2TB的存儲空間)。而本文提出的平臺區別于傳統的SIEM設備，在云平臺虛擬化技術的支撐下，可以實現存儲與計算資源的彈性擴展，同時結合新型的安全大數據技術，能解決高校信息化快速發展過程中產生的大量日志數據的處理問題，并能滿足《中華人民共和國網絡安全法》日志存儲必須滿足6個月的需求。

4 結束語

通過資產稽查、漏洞管理和威脅管理的研究與實踐，高校信息安全問題能夠得到簡化，將其置于高校信息安全生命周期中進行，每個新的信息系統都會進入資產稽查、漏洞管理和威脅管理的閉環持續運維響應中，高校信息安全環境將得到最大效果的保障。同時智能大數據技術，可以解決高校專業人員資源短缺、安全工作多雜亂的現象。

高校信息安全問題是與信息系統、應用數量呈正比例的增長關系，除非未來信息系統被新的科技取代，不然高校網絡安全的問題就一直會存在。意識到位后，則需要更多地關注實踐的探索。高校有其區別于其他行業的特殊性，要實現安全的全面防護，滿足國家對于信息安全的要求，需要沿著基于智能閉環可持續運維的高校信息安全漏洞和威脅管理的建設思路，不斷地前行探索。