校園網環境的網絡安全管理平臺設計

鄭州輕工業大學 徐明明

鄭州輕工業大學 賽爾網絡有限公司河南分公司 楊顯哲

賽爾網絡有限公司河南分公司 陳 鑫

隨著信息化的深入發展，網絡安全問題日益突出，網絡安全事件呈現頻發態勢，國內網絡安全形勢日益嚴峻復雜。教育行業作為創新的典型行業，對信息化的依賴程度越來越高，同時網絡安全問題的嚴重性日益凸顯。本文基于校園網環境，設計一種適用高校網絡的安全管理平臺，從資產管理、漏洞管理、安全事件管理和評價評估方面著手，輔助網絡安全管理和服務工作。

近年來，伴隨高校信息化的高速發展，教育行業面臨的網絡安全威脅已愈發嚴峻，在國家層面2017年3月教育部辦公廳印發《教育行業網絡安全綜合治理行動方案》，確保提高教育行業的網絡安全防護水平，維護教育行業信息系統（網站）穩定運行，防止師生隱私數據泄露，保障教育事業改革發展順利推進；2018年，教育部印發的《2018年教育信息化和網絡安全工作要點》要求各地做好監測預警機制，提升應急處置能力。因此作為校園網的運維工作人員，在面對網絡安全管理和服務工作也變得十分重要。

網絡安全管理涉及了信息系統（網站）的定級備案、網絡安全事件的處置整改、信息系統（網站）資產管理、日常安全漏洞檢測和處置、最新漏洞信息通告、安全威脅預警通告和防范、網絡安全策略優化調整、系統上線檢測和整改、服務安全加固，同時由于安全是動態的、持續的、發展的，日常還有安全狀態監控、安全日志分析和應急響應等工作需要完成。由此可見，高校網絡安全管理和服務工作面臨著涉及用戶多、服務類型廣、資產信息多、數據保密難、業務流程多、過程監管難、工作評價難、服務評估難等問題。一個完整的閉環式安全管理平臺，能夠幫助高校的網絡安全管理人員更加有效、便捷地應對這些問題，可以從資產管理、漏洞管理、安全事件管理和評價評估方面著手，輔助日常工作開展。

1 網絡安全管理平臺設計需求

1.1 資產管理

資產信息是安全管理流程中的基礎支撐信息，分為硬件信息、網站與系統信息。網站與信息系統信息包含IP信息、系統指紋、中間件指紋、應用指紋、使用單位和責任人等必要信息。資產信息可以在備案或資產評估中獲得，通過手動方式或接口同步方式錄入系統，建立資產庫。資產管理實現對資產狀態的上線，下線和更新管理。

1.2 漏洞管理

漏洞信息庫包含漏洞信息、補丁信息及修復建議等。漏洞信息可從國家互聯網漏洞信息共享平臺和教育行業漏洞報告平臺等公共漏洞平臺收集獲取。通過漏洞信息與資產庫信息相關聯，快速定位資產追蹤漏洞，為技術人員提供技術和決策支持。

1.3 安全事件管理

結合Gartner漏洞管理流程、P2DR模型和網絡安全事件應急處置流程，對安全事件進行全生命周期閉環管理。

1.4 評估及可視化

系統對資產信息、漏洞信息、安全事件信息和安全事件處置進度信息進行統計分析，對統計分析結果進行查詢和展示，同時為決策作輔助支撐。

2 網絡安全管理架構設計

2.1 物理架構設計

本系統部署在高校校園內網環境，主要針對高校數據中心或網絡中心管理、運維人員使用。物理結構采用庫站分離部署，可部署在虛擬機或者物理服務中，開放API接口可對接第三方告警通知、安全掃描、資產搜索引擎模塊，終端提供Web端與APP端2種展示方式。

2.2 邏輯架構設計

安全管理平臺邏輯架構圖如圖1所示，詳細情況說明如下：

圖1 安全管理平臺邏輯架構圖

運行環境：Linux系統環境。

數據層：采用MySQL進行數據存儲，并使用Redis集群緩存提高數據交互效率。

業務層：提供面向資產、設備、通報、統計、消息、漏洞、事件、人員、數據、文檔等管理。

接口層：開放的API接口，可對接來自短信、郵件、微信、安全掃描、等第三方模塊。

展示層：提供PC端的Web展示頁，以及基于HTML5的手機APP資產信息展示頁，并支持大屏展示。

3 網絡安全管理平臺功能設計

從高校網絡安全工作實際出發，以規范網絡安全工作管理體系，提高網絡安全工作服務能力為目標，網絡安全綜合管理平臺設計包含系統管理、用戶管理、通知公告、通報系統、信息資產管理、設備資產管理、漏洞信息管理、文檔管理、安全事件管理等12個功能模塊。

3.1 大屏展示

大屏展示功能用于系統平臺中各類業務數據的集中展示，適用于監控大屏的顯示，包括信息資產數、設備資產數、安全通報數、安全通報時間統計、漏洞占比、涉事部門占比、最新通報、整改率等信息。

3.2 系統首頁

系統首頁中有各種日常工作實時數據的統計顯示，包括信息資產數、設備資產數、通報待處置數、通報待審核數、通報數、已處置數、涉事單位統計、通報動態、通知公告等信息。

3.3 通知公告

通知公告模塊主要用于各類安全威脅通告、最新漏洞信息發布、校內安全工作通知等信息的發布，具體功能包括通知公告查看和通知公告增刪改查管理。

3.4 通報系統

通報系統模塊主要用于各類網絡安全事件和安全隱患的通報處理過程監管和跟蹤，形成網絡安全事件和安全隱患整改處置的閉環管理流程，有利于明確各單位的安全責任，提高安全事件和隱患的處置效率，其過程數據可用于工作評價。通報系統具體功能包括通報創建、通報審核、整改反饋、通報復查、歷史通報等，各項子功能根據用戶所屬部門及角色權限進行相應的設置。

3.5 文檔管理

文檔管理模塊主要用于各種網絡安全相關的政策法規文件、日常工作制度文檔、業務申請文檔等的發布和下載，具體包括文檔下載和文檔增刪改查管理子功能。

3.6 系統資產管理

系統資產管理模塊主要用于高校信息系統（網站）資產信息的維護管理，具體包括資產信息上報、資產信息管理、資產信息審核、部門資產信息管理、個人資產信息管理、資產信息變更管理等子功能，各項子功能根據用戶所屬部門及角色權限進行相應的設置。

3.7 設備資產管理

設備資產管理模塊主要用于網絡安全設備及相關支撐平臺信息的維護管理，包括資產信息管理、資產信息審核、資產信息變更管理等子功能。

3.8 漏洞信息管理

漏洞信息管理模塊主要用于漏洞信息的維護管理，包括漏洞名稱、風險等級、漏洞類型、漏洞描述、漏洞危害、解決辦法等，并根據最新漏洞信息的發布進行及時更新。

3.9 安全事件管理

安全事件管理功能模塊主要用于基于日志、流量等監控分析手段確定的網絡攻擊事件的實時處置流程管理，包括安全事件上報、安全事件審核、安全事件管理、安全事件歷史等子功能，各項子功能根據用戶所屬角色權限進行相應的設置。

3.10 用戶管理

用戶管理模塊主要用于實現系統用戶的角色設置、用戶管理、權限分配等功能，具體包括組織結構管理、部門管理、角色管理、用戶管理、權限管理等，并建立三權分立管理機制，各項子功能根據用戶角色權限進行相應的配置。

3.11 個人管理

個人管理功能模塊主要用于當前登錄用戶的個人信息管理。

3.12 系統管理

系統管理功能模塊主要用于日志管理、系統數據備份、系統升級和業務模板的編輯管理。

本文設計一種基于校園網環境下的網絡安全管理平臺，從資產管理、漏洞管理、安全事件管理和評價評估方面著手，為高校網絡安全責任落實、信息系統資產管理、安全設備資產管理、安全信息精準發布、安全事件處置流程等工作提供了一個安全綜合管理平臺，解決高校網絡安全管理和技術服務工作中面臨的諸多問題。