復旦大學新型信息資產治理平臺為二級單位安全賦能

文/徐藝揚 查德平 劉百祥 王亮

近年來，隨著高校信息化建設的不斷推進，高校信息資源高速增長并持續累積，與此同時，當前網絡安全形勢日趨嚴峻，擁有大量信息資產的高校已成為網絡攻擊的重要目標，網絡安全責任壓力也與日俱增，在此背景下，高校信息資產治理已成為網絡安全工作的基礎起點和重要議題。

信息資產是開展網絡安全工作首先要識別的安全策略保護對象。根據BS7799-2：2002、ISO27001：2013、《 信 息 安全技術 信息安全風險評估規范（GB/T 20984-2007）》等相關安全標準規范，信息資產的定義是對組織具有價值的信息或資源。從高校實際工作開展的角度，本文所指“信息資產”主要包括規章制度和計劃、人員及其安全責任、信息系統（網站、管理和應用系統等）、硬件、網絡、服務、數據等，近年來高校關注的主要信息資產為信息系統及數據資源。

通過相關文獻研究，以往基于安全視角的信息資產治理研究較多關注資產識別、風險評估、風險管理、漏洞治理等方向，關于一般企業信息資產治理已形成比較成熟的技術方法和評估標準，但針對高校復雜環境下的信息資產安全治理則僅有少量研究者在圖書館信息資產管理、云安全運營等方向提出實踐目標。在工作實踐中，根據信息資產清查、漏洞風險管理等實際需要，教育部等主管部門和上海交通大學等高校已建成并應用了信息資產管理平臺，較多高校已通過不同方式開展了相關實踐探索。上述研究和實踐支持了高校核心信息資產管理的專業化發展，但在高校復雜環境下，二級單位層面的信息資產安全水平的提升則有所滯后，形成了嚴重的安全短板問題，亟待探索更多策略進行有效治理。

面臨的主要問題

當前，在教育主管部門指導下，高校針對二級單位的信息資產管理基本落實了安全管理責任，形成了信息資產清單，部分高校進一步開展了分級分類、資產清查和出口管控等管理措施，解決了“僵尸”系統、“雙非”網站等顯著的管理漏洞，學校整體的安全水平有所提升，但參考網絡安全的“木桶原理”，在管理合規范圍內的二級單位信息資產仍然是高校網絡安全體系中的短板。以復旦大學為例，2017年6 月至2019 年6 月，已發現安全漏洞90%以上發生在二級單位自建信息系統，在學校組織的滲透測試等安全評估中，被檢二級單位信息系統100%發現安全漏洞問題。在網絡安全實踐中，主要存在如下“木桶短板”問題，需要有效控制和積極應對：

1.二級單位較難應對信息資產管理的復雜性問題

高校信息資產情況復雜，二級單位數量多、人員多、業務多、信息系統多、數據多且建設管理方式復雜多樣，部分二級單位組織結構較松散，信息資產相關業務和人員變動頻繁，不僅需要管理者加強安全意識，而且對管理者的安全素養、管理手段和執行能力都提出較高的要求，但當前高校二級單位的網絡安全管理體系普遍不夠健全，信息資產梳理、管理信息更新、等級保護實施等基礎管理動作也較難達到安全管理要求，單純依靠責任傳遞的管理方式只能加劇二級單位的管理焦慮，無法快速解決實際問題。

2.二級單位較難達到信息資產管理的專業性要求

高校二級單位普遍缺少網絡安全技術力量，部分單位無法落實必要的技術防護措施和應急處置措施，甚至不具備安全運維和漏洞整改能力，較多信息資產運維僅依賴中小服務商或師生團隊，基本沒有完成策略配置、漏洞檢測、滲透測試、安全加固、數據加密、代碼審計和日志審計等安全技術動作，也沒有專業的安全情報搜集、分析和應急響應力量，大部分二級單位的網絡安全專業能力建設還處于“有心無力”或者“打算做但不知怎么做”的階段。

3.信息資產漏洞監管未能根本控制安全風險源頭

當前高校信息資產監管較多關注對已運行信息資產的漏洞發現和事后處置，但高校二級單位自建信息系統等信息資產的建設方案、實施過程就存在安全隱患，事后監管不能從根源上減少安全風險，部分二級單位存在建設越多、風險越多的問題，或歷史包袱問題，部分信息資產存在同類風險反復出現的問題，目前主要依賴掃描工具和白帽子力量的漏洞檢測也無法充分覆蓋大量的信息資產。

4.校院兩級信息資產安全缺少有效的協調機制

較多高校實行校院兩級的管理體制，按照“誰主管、誰負責，誰使用、誰負責，誰運營、誰負責”的屬地管理原則，高校信息安全管理部門和二級單位均應履行網絡安全管理義務，二級單位應對所屬信息資產承擔主體責任，但在實踐工作中虛擬機系統等交叉管理領域仍可能存在管理落空的空白。此外，由于高校二級單位眾多且業務管理相對獨立，校級專業團隊有限的管理和支持力量較難有效投放到需要的二級單位中，校院兩級工作不能有效銜接起來保障信息資產安全。

上述問題受限于高校信息化建設的客觀條件，沒有一蹴而就的解決方案，但高校網絡安全管理部門若能從單純的責任管理思路向綜合治理思路轉換，或可通過有意識的安全服務解決部分痛點問題，逐步補足短板。

對策及建議

針對當前二級單位信息資產安全問題，高校網絡安全管理部門可從以下四個方面加強安全工作：

1.理順機制，形成模式，封好底線

高校應明確統一的綜合治理思路：不僅需要理順學校總體的制度機制，而且應為二級單位的管理實施提供指導意見；不僅需要做好信息資產管理的統籌規劃，而且需要為二級單位提供可行的規范、指南；不僅需要持續優化信息資產的管理方式，而且需要為二級單位反復培訓核心業務流程。爭取促進二級單位形成良好的工作模式和管理習慣，強化基礎管理的執行力。

2.創新服務，放大效益，補足短板

高校網絡安全管理部門應加強安全服務能力建設，在有限的資源投入條件下，探索通過創新服務平臺、創新服務模式、創新服務內容等方式，向二級單位精準投放技術支持能力，力爭使二級單位可無門檻地利用安全服務資源，以總體提升學校的網絡安全專業水平。

3.完善體系，延伸視野，改進生產

圖1 信息資產管理系統架構

加強對信息資產建設事前、事中和事后以及日常運維的網絡安全把關能力，結合架構咨詢、代碼審計、態勢感知、應急演練等多種安全服務支持，真正落實信息資產的全生命周期管理。

4.加強聯動，觸達基層，無縫溝通

在安全保密的前提下，構建覆蓋二級單位網絡安全工作隊伍的管理服務平臺和即時通訊平臺，通過及時的信息、服務和任務投送加強與二級單位的協同聯動，促使學校和二級單位信息對稱，協作暢通。

新型信息資產治理平臺

根據上述治理策略，復旦大學已結合安全服務設計了新型的信息資產治理平臺并啟動了相關建設進程。

系統架構

如圖1 所示，本平臺擬以信息資產管理服務為核心，基于學校的流程引擎、自動化工具、資產發現和情報資源等能力積累構建平臺支撐底座，圍繞信息資產，進一步為二級單位提供全生命周期的安全管理服務應用，并為學校和二級單位網絡安全工作隊伍交流搭建適配多終端的用戶交互渠道，最終構建“理”（理清家底）、“管”（精細管理）、“服”（全程服務）一體的校園信息資產治理平臺。

組件和模塊

1.平臺支撐層

在平臺支撐層，主要依托如下組件構建安全服務支撐能力：

（1）工作流和數據實時計算引擎。通過管理系統敏捷開發，實現實時數據集成和實時數據分析。

（2）信息資產發現組件。結合探針設備，通過流量分析發現信息資產及其漏洞風險。

（3）云管安全接入組件。對接私有云云管平臺自動接入計算資源信息，通過安全防護設備和云安全防護機制實現自動化安全策略配置。

（4）安全情報組件。實時對接多渠道安全情報來源，提供標準化的安全情報資料。

（5）安全工具組件。結合信息資產信息和漏洞檢測工具、腳本，實現自動化運營和自動化巡檢。

（6）應急響應組件。對接防火墻、網絡設備和敏感情報來源，支持自動或手動的“一鍵斷網”應急響應處置。

（7）日志審計組件。根據系統運行日志和用戶行為日志發現安全風險問題并報告系統管理員處置。

2.業務應用層

在業務應用層，主要設計了如下模塊提供全生命周期的安全服務：

（1）基本管理模塊。除基本的用戶管理、瀏覽和查詢、數據備份、日志記錄等系統必備模塊外，主要包括人員信息維護、信息資產登記、信息資產發現、信息資產視圖、信息資產生命周期管理、安全風險視圖、信息資產報表管理等模塊，結合人工錄入、工作流自動匯集和網絡自動發現實現基本的信息資產管理功能。主要涵蓋如下項目：

人員與安全責任管理：包括網絡安全負責人、管理員及供應商管理員個人信息及必要的安全承諾、背景信息、保密協議等資料；

信息系統與硬件管理：信息系統和硬件均綁定負責人或管理員，并同步業務流程中的新增或變更信息，信息系統需登記域名、IP 地址、開放端口、操作系統、數據庫、Web 服務軟件、開源應用、主要功能描述等詳細信息；

上網服務管理：自動接入各單位網絡訪問賬號的申請和開通使用情況，便于管理人員查看和監管；

規章文件管理：登記網絡安全相關制度、應急預案、工作方案等文件，系統向具備權限的人員開放查詢及匯總信息；

臺賬記錄管理：人工登記及自動記錄網絡安全管理執行情況；

漏洞風險管理：基于網絡安全事件應急處置流程，主要包括漏洞發現、定位、應急響應與處置、復核等環節，相關信息和處置情況均可進行追蹤；

信息資產報表：直觀展示信息資產情況，相關人員可快速掌握管理范圍內的資產概況，負責人可總覽本單位整體情況，及時定位管理缺口并發動安全整改。

（2）安全服務模塊。為校內外安全服務提供統一接口。主要涵蓋以下項目：

安全指南服務：提供法律法規文件及相關解讀，校級的管理制度和標準規范以及校內相關業務流程指南，信息化建設相關統一平臺、管理要求、標準規范、實施細則與業務指南以及管理平臺使用指南等資料和相關培訓視聽資料；

安全情報服務：提供最新安全情報信息和驗證工具查詢，同步推送與信息資產匹配的相關信息；

態勢感知服務：對接數據中心態勢感知系統，展示與信息資產相關的態勢感知信息；

云漏掃服務：對接漏洞掃描設備，自助登記漏掃對象并自動反饋漏掃報告；

代碼審計服務：對接校內代碼審計軟件平臺或第三方專業服務；

滲透測試服務：登記對接校內外滲透測試服務團隊，記錄測試報告；

防篡改服務：登記預約部署防篡改腳本或第三方防篡改軟件；

數據歸檔服務：設置文件及數據自動備份并上傳歸檔服務器；

日志分析服務：登記預約第三方安全專家進行日志巡檢和日志分析；

安全咨詢服務：預約登記校內及校外合作機構安全專家咨詢服務。

（3）安全聯動模塊。安全漏洞從發布到修補存在時間窗口，本模塊將實時匯總外部安全通報信息、校內日常安全巡檢結果、第三方安全平臺報告和黑客組織發布平臺等數據，整合安全風險情報、安全防護設備信息、業務安全關聯分析、安全事件通報與處置等多項服務，主動面向相關各單位管理人員推送實時的安全漏洞風險信息，可配置自動或手動應急響應攻擊事故，實現校園網絡安全監測預警、防護處置與管理的聯動。

3.用戶交互層

在用戶交互層，主要搭建了內部的交流空間和用戶服務，具體包括：

（1）通知與消息模塊。基于人員組織和權限信息，通過Web、IM、郵件、短信等多種方式向不同用戶發送系統通知、安全提示和工作流事務進度提醒，并要求限時反饋。

（2）智能助理模塊。基于平臺的安全服務能力，配置計劃任務等重復性安全服務和提醒服務。

（3）即時通訊工具。基于私有化IM提供網絡安全工作實時交流空間，可接入安全消息和“一鍵斷網”等安全能力。

（4）知識共享系統。構建知識庫，向用戶提供結構化的安全知識，各級單位網絡安全管理人員也可在線分享經驗。

預期建設效果

目前該平臺已有部分功能在復旦大學建成并投入試用，獲得二級單位好評。平臺設計能夠良好適應高校復雜網絡安全環境和信息系統高速增長的情況，幫助二級單位快速建立體系化的信息資產管理機制，提高學校總體安全運維效率，推動等保2.0 時代的網絡安全合規性建設，保障校園信息化業務安全有序進行。同時，為各級各類網絡安全工作者提供賦能支撐，使校級管理人員具備大批量和自動化安全管理支持能力，使二級單位負責人可直觀地了解本單位信息資產狀況、安全態勢，二級單位管理員可便捷管理、快速追蹤所管理信息資產的安全信息，降低安全管理的技術門檻，使二級單位網絡安全管理能力得到普遍提升。

本文從重塑信息資產管理模式，推進新型信息資產治理平臺建設的角度，對學校加強二級單位網絡安全管理提出了實踐建議，但構建系統化的安全管理服務體系仍需長期的資源投入、技術支持和人員協作方可實現，仍需持續改進和不斷完善，高校網絡安全建設任重而道遠。