北京交通大學信息系統安全管理服務平臺建設研究

孫建立

（北京交通大學 信息中心，北京 100044）

一、概述

2017 年6 月1 日起《中華人民共和國網絡安全法》施行后，加強信息系統安全管理是各高校信息主要部門的首要任務之一。目前我國高校校園內信息系統普遍存在的問題是：信息系統數量多；部分系統由使用單位負責建設；系統日常運行維護有的是自己維護有的是委托他人維護；大部分系統由于應用范圍小和經費少而開發質量不高，開發時安全方面的因素基本沒考慮。為了高效地對校園信息系統進行安全管理，我們開發了校園信息系統安全管理綜合服務平臺，如圖1 所示。該系統主要包括以下功能：

（1）信息資產管理（信息系統備案），為全校所有已開通的信息系統建立信息資產臺賬，內容包括系統的軟硬件詳細配置、物理位置、安全防護措施、所屬部門、維護人員、數據備份情況等。

（2）信息系統安全狀態記錄，為每個信息系統建立安全狀態記錄（類似于安全病歷），主要包含每次漏洞掃描發現的漏洞和漏洞處理（修復）信息。

（3）漏洞掃描信息處理，按照設定的時間周期（先設定為每月）自動或通過文件導入方式從漏洞掃描設備中導入掃描結果并將本次掃描與上次掃描進行對比分析，對新發現的高危漏洞進行綜合分析，核實漏洞風險等級。對存在高危漏洞的系統（新發現漏洞和以往漏洞沒及時處理的），自動生成整改通知并以郵件方式發送給該信息系統管理人員。

（4）安全通報管理，包括全校安全通告、各二級單位通告、網段分析掃描報告、高風險系統預警和漏洞修復提醒。

圖1 校園信息系統安全管理綜合服務平臺

（5）信息系統安全狀態分析，系統通過獲取并分析部署在校園網中安全系統的安全數據（WAF 日志、IPS日志、訪問量等）結合系統自身漏洞和軟件配備，通過關聯分析法處理每個信息，及時發現高危系統。

（6）備份管理，根據各個備案系統負責人填寫的備份周期和最近一次備份的時間，及時通知各系統負責人按時備份。

（7）等級保護管理，按照等級保護的要求，提供輔助定級、差距分析和輔助測評的功能。

目前該系統已經試用于北京交通大學信息中心的實際工作中，使用該系統后，不僅大大減輕了安全管理人員工作量，而且實現了學校對信息系統的全方位科學高效的管理。

二、系統架構

根據校園網安全管理服務平臺的功能需求，本系統采用了B/S 體系結構，如圖2 所示。信息安全管理員、二級單位管理員和三級用戶所使用的工作界面通過瀏覽器來實現，事務邏輯的主要部分在服務器端實現，極少部分通過前端實現。這種設計模式極大地簡化了客戶端電腦負載，減輕了系統升級與維護的工作量和成本，降低了用戶的總成本。

圖2 系統架構圖

三、系統功能

信息資產管理主要是對校園網中存在的信息資產進行登記備份，并根據等級保護測評的要求，實現對資產的管理。

漏洞管理實現了對漏洞庫的管理和對各單位系統漏洞信息的管理，能提供發現并記錄漏洞信息功能，查詢系統漏洞信息，發現系統未解決漏洞、已解決漏洞情況以及進行新增漏洞查詢和業務審核。

備份管理主要實現了用戶按期進行備份的功能、按期提醒用戶進行數據備份的功能以及管理員查看用戶備份信息的功能。備份管理的意義在于監督并提醒用戶按期對重要系統、信息、數據進行備份，以免產生數據丟失或系統不可修復等嚴重后果。

開通校園訪問信息包含了校園網中存在的各服務器的基本信息以及服務器開放的端口信息。提供查詢和修改功能，在必要的時候，及時開放或關閉服務器特定端口，協助管理員維護校園網安全。

系統實時安全狀態采用各種圖形表示方法對校園網的安全狀態進行可視化展示，生動直觀地展現校園網中存在和潛在的安全隱患。

安全通報管理是對校園網整體安全狀況的一個總結通告。包括全校安全通告、各二級單位通告、網段分析掃描報告、高風險系統預警和漏洞修復提醒。通過選擇通告類型，管理員可以將近一段時間內的系統漏洞存在狀況、系統受攻擊情況、校園網安全狀況進行匯總，并自動生成分析報表，最終以Word 文檔的形式下發到各系統負責人手中，起到監督和提醒作用。各系統負責人可下載文檔并查看，根據報告內容和整改方法對所負責系統進行管理和維護。下面對各功能模塊進行詳細介紹。

1.信息資產管理

信息資產管理模塊，主要的功能就是對學校現有資產的管理。可以通過該系統實現信息資產的登記、備案信息的查詢，以及等保測評對應信息的展示等。

用戶可以通過上傳Excel 文件上傳備案的信息，備案信息表為Excel 表格，可以直接從學校的OA 系統中導出。

導入備案信息后，可以查看所有的備案信息。包括IP、域名、系統名稱等等，還可以將備案信息以pdf 格式進行導出。

（1）點擊詳情，可以查看詳細的備案信息。包括：①基本信息，有系統名稱、系統IP、系統所屬單位、系統提供商、服務器位置、服務器類型；②人員信息，有系統負責人、技術負責人的辦公電話、手機、郵箱；③系統軟件，有操作系統名稱、操作系統版本、數據庫名稱及版本、Web 服務版本類型及日期；④應用軟件，含軟件名稱、版本、開發環境、來源、維護方式；⑤備份信息，指是否有備份計劃、備份數據量、備份人員聯系方式（名字、工號、電話、手機、郵箱）等內容；⑥維護信息，有維護方式、維護人員聯系方式；⑦防護措施，有防病毒軟件名稱、版本，是否安裝防篡改軟件，其他安全防護措施。

（2）點擊漏洞，了解到該條備案服務器的漏洞情況，包括系統漏掃（IP 漏掃）和應用漏掃（Web 漏掃）的漏洞登記，以便了解其安全狀況。

2.漏洞信息（信息系統安全狀態）管理

各高校的信息安全工作室都部署有自己的漏洞掃描系統，并且會定期對校園網中存在的各個系統進行漏洞掃描，獲知系統中存在的漏洞情況，用來評估校園網的安全狀態。所以對漏洞信息的管理是一項非常艱巨的任務。

安全管理服務平臺中的漏洞信息管理模塊提供了對系統漏洞信息的管理業務。協助管理員獲取并查看各系統的漏洞信息，并且提供各二級機構系統漏洞統計情況查詢，以及新增漏洞的查看和審查業務。

該平臺可以通過自動獲取漏洞掃描信息或者人工手動導入漏洞報表兩種方式將校園網內已備案系統所存在的漏洞信息記錄到數據庫中。例如北京交通大學通過綠盟掃描發現系統IP 漏洞，并通過綠盟提供的接口定時將已完成的掃描任務中的數據導入到安全管理服務平臺中以供查詢。另外，也使用綠盟提供漏洞掃描系統可以發現系統的Web 漏洞，掃描任務完成后會生成漏洞信息報表，可以通過導入Excel 或xml 格式的漏洞信息報表導入漏洞信息。

將各種漏洞信息整合到安全管理服務平臺之后，管理員可以通過選擇二級單位來查看全校每個二級單位下各系統存在的漏洞信息；單位管理員可以查看屬于本單位的系統中存在的漏洞情況；用戶也可查看自己負責的主機安全情況。

安全管理服務平臺還提供了已解決漏洞和新發現漏洞查詢功能。用戶通過詳情菜單可以詳細獲知系統存在的漏洞名稱、風險等級、發現時間，以及已解決漏洞數量、新發現漏洞數量等信息。

雖然各高校部署的漏洞掃描系統有所不同，但是安全管理服務平臺提供了一個漏洞庫用來記錄各種漏洞掃描系統發現的所有漏洞信息。

漏洞庫管理就是對這些漏洞信息進行管理。其中詳細記錄了漏洞名稱及版本號、漏洞描述及危害、漏洞的解決方案等內容。對于漏洞庫中新出現的漏洞，系統提供新增漏洞查詢功能，管理員可隨時了解新漏洞的出現情況并通過人工核查或自動審查的方式完成對新增漏洞的審查過程。

3.備份管理

本系統可以通過各個備案系統負責人填寫的備份周期和最近一次備份的時間，及時通知各系統負責人按時備份，對所有備案信息統一管理，結果清晰明了，更加利于管理。

4.開通校外訪問信息管理

該系統還展示了學校開通校外訪問端口機器的管理，支持通過文件來導入端口信息，存入數據庫中，等需要查詢系統信息的時候直接搜索。

5.系統實時安全狀態管理

系統通過獲取并分析部署在校園網中安全系統的安全數據，得到校園網入侵日志信息和校園網中各網站的訪問量及網站的受攻擊情況。并使用HighCharts 插件將這些信息以圖表的形式實時、動態地展現出來。

通過條形圖來展現校園網中主流站點的訪問量統計，可以間接地體現學校師生瀏覽校園網站的習慣和偏好，結合主流站點受攻擊情況進行分析，可發現學校師生經常訪問的網站中存在的安全威脅。通過采取相應的措施對安全威脅系數較高的系統進行重點防范。

通過條形圖來表示校園網中受攻擊站點的統計量可以直接發現校園網中最易遭受攻擊的網站，以此來明確需要重點保護和防范的站點對象。

通過分析WAF 日志信息，統計入侵攔截原因（見圖3）和入侵類別（見圖4），可以發現校園網中最易受攻擊的入侵類型，以及哪些主機最容易被攻擊者盯上，從而為制定安全防護策略提供一個重要依據。

圖3 攔截原因統計

圖4 入侵類別統計

6.安全通報管理

在原有完備的網絡安全防護體系、日常的安全防護監控的基礎上，堅持常態化（每月一次）的系統漏洞與Web 應用漏洞掃描，對全校的信息系統網站進行定期漏洞掃描。[1]此平臺將各個安全設備日志加入進來后，綜合評估每個漏洞的準確率，提升了所報漏洞的質量。同時結合北交大短信平臺和郵件系統，將有漏洞的系統直接下發到負責人那邊，使整個處理流程更加便捷。

（1）全校及二級單位信息安全通報

首先是針對各個服務器主機的系統漏洞信息安全通報。漏洞統計機制是通過本平臺獲取到的漏洞信息進行統計的。各二級單位的漏洞總數、高危漏洞數是指，該二級單位下所有本平臺中的IP 和Web 的漏洞總數累加和高危漏洞累加，每個IP 或者系統中只要出現了一條高危漏洞，則該IP 的風險等級即為高。

面向二級單位的安全通告的主要內容有，該二級單位下應用系統的高危漏洞數，以及存在高危漏洞數的IP列表，列表包括風險等級較高的IP，以及其相關負責人等。其中高危漏洞類型以及名稱可以在漏洞信息表中進行查詢。

管理員可以將此通告發布給二級單位，同時二級單位管理員也可以通過平臺下載獲取所屬本單位的安全通告。

全校通告中，主要是全校所有二級單位中的漏洞數，高危漏洞數以及各個二級單位下的未及時備份的系統數和入侵信息統計，包括主流網站訪問量以及受供給情況統計前十和受攻擊站點統計前十。

（2）高風險主機安全通告

該系統還具有高風險主機安全通告的功能，主要分為Web 高風險主機通告和IP 高風險主機通告。其中Web 的攻擊信息來自于網站應用級入侵防御系統（WAF和Web 應用漏洞掃描系統），IP 的攻擊信息來自于入侵檢測系統數據（綠盟的遠程安全評估系統）。結合備案中系統所存在的漏洞信息，實現了漏洞攻擊的綜合分析，最終得到每臺備案的告警信息。全校各個時間段內所有備案系統中危險等級為高的系統列表顯示。

選擇具體二級單位后，是所屬各二級單位備案的危險情況的詳細信息，可以查看各個備案的詳細分析過程以及定級原因。

高風險主機IP 的分析過程與Web 分析過程一致，攻擊類型以及漏洞類型不同，但是分析過程是相同的。

（3）短信、郵件通知

該系統與北交大自主研發的短信平臺、郵件系統結合，既可以同時下發短信、郵件通知，也可以選擇性地給各個備案系統的負責人發送短信或者郵件，此功能高效、方便地通知到各個系統的責任人，提高了日常辦公效率。

7.等級保護管理

自我國實行網絡安全等級保護制度以來，在政府部門的鼓勵和帶領下，我國社會各行各業陸續將信息安全等級保護提上日程。其中，等級保護測評過程，作為驗證信息系統是否滿足相應安全保護等級的評估依據也有序地開展起來。

安全管理服務平臺提供系統的定級和等級保護測評功能。系統的等級保護管理模塊由知識庫管理和系統測評兩部分組成。

知識庫管理部分記錄了各級測評的基本要求，以及一些安全條例和測評案例。用戶可以在充分了解測評要求后對自己所維護的系統進行有目的的管理，使自己所負責的系統基本達到測評要求。另外，用戶可以通過安全條例和測評案例對等級保護測評有一個明確的認識，并可以自己對系統進行粗略的評估，按照等級保護的要求對系統進行管理。

系統測評部分可分為信息系統定級部分、現場測評實施和測評結果分析三部分。

①信息系統定級可以依據《等級矩陣表》對系統定級，也可對信息系統業務描述進行分析，并參照《信息系統安全等級建議表》確定信息系統的安全等級。②現場測評實施包括信息系統資產管理、制訂工作計劃、確定測評方案，最后按照確定的安全等級，收集系統對應的數據，并根據測評項的權重和測評項的符合程度，計算信息系統滿足所確定等級的程度。③測評結果分析首先采用餅圖和柱形圖對測評結果動態可視化，便于系統負責人對信息系統的整體情況有一個直觀的了解，然后動態生成差距分析報告并發送到客戶端供用戶下載。

四、總結

此安全管理研究方案建立在高校特殊環境下，以北京交通大學為例，將OA、第三方掃描軟件、信息報告結合起來，減少了各個流程的間隙，提高了每次處理信息安全問題的速度。

隨著我國信息化程度的不斷加深，高校信息安全也需不斷完善，防毒墻等防護設備的加入，將加強整體校園防護。更多安全設備之間的兼容、配合，發揮出防護設備的最大價值還有待進一步研究與探索。