基于系統生命周期的高校信息資產安全管理探究

◆路萍 翟躍 楊晶

基于系統生命周期的高校信息資產安全管理探究

◆路萍 翟躍 楊晶

（北京工業大學 信息化建設與管理中心 北京 100124）

教育行業信息安全問題是影響到國家、社會、個人利益的重大問題，隨著高校信息化的提高，網絡安全風險也隨之加大。良好的信息資產管理是實現網絡安全常態化管理的重要基礎。本文結合高校實際問題和工作情況，基于系統的生命周期，論述信息資產的類型、管理內容和管理要求，以探索高校信息資產安全管理模式，希望在學校實際管理工作中得以實踐。

等級保護；信息資產；安全管理；高校

1 引言

近年來，國家、教育部、各地方都高度重視高校網絡與信息安全工作。2017年6月1日《中華人民共和國網絡安全法》開始實施；2018年6月教育部印發《教育系統網絡安全事件應急預案》的通知；2019年5月13日，網絡安全等級保護制度2.0標準正式發布，網絡安全從法規上升到法律！與此同時，國際與國內網絡安全形勢仍然十分嚴峻，數據泄露、勒索攻擊，黑客活動等各類網絡安全事件層出不窮，安全威脅來勢洶洶。

從總體上看，高校網絡與信息安全保障工作尚處于起步階段，存在諸多問題，例如：網絡與信息系統安全建設整體規劃和管理目標不明確；網絡與信息安全意識和安全防范能力薄弱，信息安全滯后于信息化發展；網絡與信息安全管理投入不足，管理措施不到位；以及監督管理缺乏依據和標準，監管體系尚待完善等。其中最基礎、最本質的問題是管理對象不明確，信息資產不清晰，而這是所有后續安全防護、應急響應工作的前提。

根據等保2.0要求，在信息化建設過程中應按系統分級同步規劃和建設信息安全設施，并系統地、針對地加強網絡與信息安全管理。同步規劃和建設，有利于優化信息安全資源配置，有利于控制信息安全建設成本，同時有利于明確信息安全責任，提高信息系統安全運維的整體水平。因此，從信息系統的申報立項、建設實施、運行使用、撤銷停用的各個環節出發，探索何時采集哪些信息化軟硬件資產信息，如何鏈接固定資產管理和等級保護備案管理的相關資產數據，分類統籌管理信息資產，是本文研究的意義所在。

2 高校信息資產管理現狀和問題

隨著近年來高校信息化的加速建設，無論是通訊、網絡存儲、監控、采集等硬件設備，還是管理系統、應用平臺、大數據庫分析等軟件，信息資產規模大幅度提高，這些資產具備一些通用特征和問題：

2.1 信息化整體規劃落實難，重復分散建設依然存在

目前，許多高校的信息化建設雖然進行了頂層設計、三-五年規劃，但在實際執行中，仍然難以落實統籌目標。業務主管部門或教學科研單位在具體系統立項和建設時，主要關注前端應用功能、服務，而忽視后臺的技術框架和管理平臺，從而造成一些系統的通用功能重復建設；同時，鮮于考慮系統安全等級需求以及學校安全防護體系中安全產品的部署和應用情況。例如，不同的二級單位（及三級單位）單獨建設的網站，很多是在自己的服務器上部署了一套CMS系統，而后配置了一個站點，即學校會同時存在多個相同、或不同，但沒有統一部署和安全防護的CMS平臺。又如，像圖書館、財務處、國資處等重要業務部門，由于有特殊的用戶訪問需求，也會自行采購和部署VPN，未和學?；A平臺訪問控制進行統一管理。

2.2 信息資產臺賬不清晰，不完整，變更不報備

無論是單一項目建立的業務信息系統，還是通過多期、不斷迭代建設的平臺、應用，管理員通常只考慮到新合同采購的軟硬件資產，進行固定資產的領用和填報。而在等級保護備案填寫備案表和項目驗收填報驗收材料時大多會遺漏所使用的已有資產和免費資產，且未能按“信息資產”的管理要求進行臺賬記錄。例如，只登記web、數據庫等服務器的IP地址、操作系統，而遺漏負載均衡設備、備份服務器、測試服務器的信息；只登記應用系統的主要功能、適用范圍，而遺漏中間件、開發框架、數據庫版本等涉及安全的信息；只登記第一次新建資產，而系統升級改造、遷移時產生的資產變化基本被忽略，不再采集。因此，這樣的資產臺賬不足以支撐后續的安全檢查和安全運維。

2.3 系統撤銷停用不進行資源回收

高校的系統，特別是二級單位內部使用的系統，無論是因為系統老舊而淘汰，還是因教學科研項目結題、團隊變更造成的系統“被停用”，通常是隱性行為，沒有進行撤銷報備，沒有及時通知信息化部門進行相應的資產回收。更多的情況是，服務器依然開機，應用服務也沒有停用，長期無人看管，形成僵尸系統，帶來嚴重安全隱患。

2.4 信息資產和固定資產管理分割

傳統的信息資產主要包括信息化相關的硬件和軟件資產，資產管理員為系統管理員；固定資產通常包括房屋建筑、儀器儀表、各類設備、工具、家具、圖書等，資產管理員為資產領用人。嚴格意義上，信息資產是固定資產的子集，但在實際應用中，由于管控對象和目的不同，固定資產系統中沒有記錄網站、APP、業務數據庫等無形資產信息，即使有部分信息系統的固定資產信息，也很少記錄信息安全所需管理的內容，且是松耦合，難以找到一個信息系統所使用到的所有資產。

3 信息安全等級保護對資產的管理要求

信息安全等級保護測評中的資產管理，要求：“應訪談安全主管，詢問是否有資產管理的責任人員或部門，由何部門/何人負責”，即，給出信息系統資產管理清單，涉及“誰”管“什么”的問題。通常，高校的資產管理清單應包含如下內容：

3.1 管理者

即每個信息資產均需落實資產責任，確定信息資產管理員。記錄責任單位、責任人員類型（設備管理員、系統管理員、網站管理員、應用管理員、數據庫管理員等）、職工號、姓名、手機、辦公電話、郵箱等信息。

3.2 管理對象

本文所指的高校信息資產包括基礎信息網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網和采用互聯網技術的系統，及其所包含的有形的、無形的信息技術資產。主要包括以下三種類型資產：

（1）硬件資產：包括服務器、網絡設備（路由器、交換機等）、安全硬件設備、通訊鏈路和電力供應等信息技術設備設施；

（2）軟件資產：包括操作系統、數據庫、中間件、應用軟件、開發工具、應用系統等計算機程序；

（3）數據資產：包括應用數據、配置數據、系統文件、管理數據等業務生成和運行相關的數據信息。

3.3 管理內容

管理內容涉及信息資產安全管理基本信息和運維信息。

（1）信息資產基本信息

主要包括資產類型、資產編碼、資產名稱、物理位置、資產有效期、價格、資產管理員等，理論上信息資產基本信息可從固定資產管理系統進行數據同步。對于其他沒有納入固定資產管理系統的等保對象及所屬資產，包括贈品、免費、開源產品應指定資產管理員（可分別指定，也可由所屬系統管理員統一擔任），建立和維護資產基本信息。此外，還需根據不同資產類型（應用/系統/平臺、網絡及安全產品、服務器、系統軟件、應用軟件、數據資產、新媒體等）建立不同的信息化安全管理屬性和管理細則，詳見圖1。

圖1 高校信息資產安全管理ER圖

其中“應用/系統/平臺”作為重要的信息資產，重點說明內容如下：

a．應用/系統/平臺信息資產的子系統：“系統類型”如果為“子系統”，其等保備案編碼填寫所屬父系統的等保備案編碼，即父系統、子系統的基本信息都存儲在“應用/系統/平臺資產明細”表中，各自有獨立的系統編碼，但通過等保備案編碼可以確定一個等保對象所包含的所有子系統；子系統如與父系統如屬于同一固定資產，其信息資產編碼與父系統的信息資產編碼相同，否則有單獨的信息資產編碼；子系統可以有各自的管理員。

b. 應用/系統/平臺的等保備案信息：“系統類型”如果為系統、平臺、獨立網站，則表示該信息資產是獨立的等保備案對象，需填寫“等保備案信息”，記錄備案編號，備案等級，備案時間等。

c. 應用/系統/平臺的所屬信息資產：通過“應用/系統/平臺資產明細”所對應的“使用資產對照表”，確定某一等保對象使用到的各類軟硬件資產。

d. 應用/系統/平臺信息資產的附加信息：

網站群站點信息：一個網站群平臺，本身填寫一次“信息資產基本信息”及“應用/系統/平臺資產明細”，網站群站點作為附屬信息進行記錄，包括ICP備案號、二級域名、LOGO、網站描述、服務范圍等。其管理員可以是網站群管理員，也可以是單獨站點管理員。

移動應用信息：“系統類型”如果為移動APP，需根據教育部《教育移動互聯網應用程序備案管理辦法》，記錄自研移動APP或使用移動APP所需管理內容。其管理員編碼可與所屬web應用平臺的管理員編碼不同。

e. 新媒體信息：微信公眾號、博客、抖音等新媒體應用，其承載平臺雖然不部署在高校，但作為學校的無形資產，特別是標有校名、校標、校徽等標識的媒體賬號，隨著新媒體技術的發展與多樣化，這些應用將是高校信息安全的重要管理對象。新媒體信息可作為一種應用存放于“應用/系統/平臺資產明細”（“系統類型”需增加新媒體類型），也可以作為一種“資產類型”單獨建立基表進行記錄，本文建議采用后者。

（2）信息資產安全運維信息

每個信息資產應記錄其運維服務信息：服務協議信息主要確定維保范圍和期限以及聯系人信息，這也是進行應急響應的重要支撐；安全運維記錄主要用于記錄日常各類安全巡檢結果，用于整改和備查。

4 基于系統生命周期的信息資產臺賬

信息系統的生命周期基本包括系統的規劃、建設、運維和停運四個階段。信息資產也應按其周期過程進行相應管理，建立、維護資產臺賬。

4.1 規劃階段

在系統規劃階段，應根據學校的總體目標和發展戰略，基于已有的網絡、軟硬件和安全環境，依據等保2.0的要求對系統初步定級，奠定新建系統的安全基線，做出可行性方案。

（1）支撐新建系統的基礎平臺

學校的基礎網絡和安全環境、私有云平臺、數據存儲和災備中心等通用“基礎平臺”可分別作為一個獨立的定級對象或者統一整合進行等保管理、資產管理，并為學校其他信息系統建設提供基礎支撐和保障。基于等保2.0統一備案管理的高校校園網絡平臺應包含學校主要的安全物理環境、安全通信網絡、安全區域邊界，以及安全計算環境?？紤]高校門戶網站、招生網站等重要應用大多依托此平臺進行建設，建議該平臺定為三級系統，按三級系統進行安全設計和建設，所涉及的信息安全資產及技術措施如表1所示，所使用的具體產品作為該平臺資產進行臺賬登記。

表1 基于等保2.0信息安全產品及技術措施

（2）新建系統的可行性研究

在基礎平臺的基礎上，考察新建系統預部署的安全物理環境；選擇可使用的現有服務器、軟硬件產品；明確系統是否存在特殊的安全需求（例如：是否建立專網、是否需要網閘隔離設備、是否需要負載均衡等）。綜合各類需求與可能，給出系統的多個可行性方案，其中安全內容包括但不局限于：行業合規咨詢方案、信息安全管理體系設計、信息安全技術架構設計，以及安全項目規劃、安全指標設計等。

根據不同的可行性方案，從圖1信息資產表中進行分類查詢、產品指標對比，進一步做功能和性能測試，進行選型，而后填報信息資產采用情況（填寫計劃使用的資產類型、名稱、品牌型號等信息，無需知道具體的資產編號）和采購計劃（需包含數量和金額），如表2所示。

表2 新建系統信息資產采用和采購計劃表

可行性研究報告審議通過、確定方案后，進行項目正式申報。注意，申報經費不僅包含安全設備預算，還應包含安全測評、安全服務預算。可行性研究報告將是系統需求說明書、建設方案和實施計劃，以及系統設計說明書的重要依據。

4.2 建設階段

根據系統需求分析產生的系統需求說明書，考慮實際條件，進行概要設計和詳細設計，進而將設計的系統付諸實施——購置設備、程序開發、安裝部署、環境安全配置、安全訪問配置、數據文件轉換、安全集成等。建設過程中，需將所有相關資產信息進行填報。

（1）部署實施上線，實時填報

新系統部署于生產環境，申請服務器、固定IP、應用二級域名、數據等各類IT資源前，應該已經完成校內初步等保定級、備案工作，生成校內等保備案編碼。因此所申請的IT資源分配后即可對所采購的、開發部署的資產進行填報，包括圖1相關基表的各項內容。二級及二級以上系統待完成上級主管部門審批和公安備案流程，可用上級批復的正式等保備案編碼替換校內編碼。原則上，沒有等保定級、備案的系統不能申請IT資源；同理，系統升級改造或新增子系統時，需及時更新原系統等級保護定級報告和備案材料，之后才可申請新IT資源。

對系統、子系統，以及所包含的各類資產上線前應完成漏洞掃描、滲透測試、代碼審計等相關安全檢測。

（2）系統驗收結題，完備填報

系統準備驗收時，系統所涉及的所有資產應該已經清晰，應該以等保對象為管理目標，將圖1中“使用資產信息”對照表填報完成，形成完整的資產鏈，作為驗收材料提交。測試驗收時，應完成集成環境安全測試、網站安全測試、軟件安全測試，二級及二級以上系統進行等級保護測評。而后由學校網絡安全員實現對資產的準入管理和白名單管控，加入定期掃描主機目錄和應用目錄，以完成必要的安全巡檢。

填報“使用資產信息”時應注意，除新采購、新開發的信息資產，舊使用的服務器、操作系統、中間件、數據庫等的各類資產也應填報（“基礎網絡和安全平臺”除外）。

4.3 系統運維階段，更新資產

系統投入運行后，會涉及資產的變更，變更內容也可能會影響系統的安全狀態。例如：更換物理機房；應用和數據庫服務器部署分離；網絡設備、安全防護設備調整，補丁升級；更換硬件服務器、IP地址；域名變更，增加負載均衡；主機操作系統、中間件類型、數據庫類型變更或大版本升級；數據存儲或傳輸方式變更；以及系統應用功能變更等等。這些變更完成后，“信息資產安全管理基本信息”及各類資產明細信息應重新填報。涉及系統等保等級的變更，如承載業務系統的通信網絡設施發生變更、遷移到云計算平臺、服務范圍擴展到互聯網、應用系統重新開發、數據分類與等級發生變更時，還需重新提交等級保護定級報告、等級保護備案表。

4.4 系統退運，回收資產

系統停止使用（非暫停使用），應由系統管理員提出正式停運申請，按照等級保護備案撤銷流程辦理相關手續。之后，進行運行環境的清理（系統管理員關閉應用服務以及服務器、網絡安全員注銷訪問控制配置、公共數據庫管理員隔離共享數據訪問等）；信息資產的回收（服務器管理員回收固定資產、網絡管理員按應用系統的“使用資產信息”對照表回收相應的IP、域名資源等）；以及數據歸檔和銷毀。最后，在“應用系統平臺資產明細”表中標識本系統的使用狀態為“停用”，以終結。

5 基于系統生命周期的信息資產安全管理

5.1 硬件資產安全管理

（1）硬件資產的采購應按照采購管理相關要求執行，設備在購買過程中應注重和加強設備資質管理，確保所購買設備符合信息系統的應用需求和網絡安全管理要求。安全產品采購應符合國家有關規定，具備安全產品銷售許可、知識產權證明等資質，采購密碼產品應符合國家密碼主管部門的要求。

（2）設備在到貨驗收或配置之后，必須由資產管理員作出相應的標識，直接體現在設備上醒目的位置。標識應包括以下內容：固定資產編碼、設備名稱、設備用途、IP信息、使用部門、責任人、供貨商及聯系方式。

（3）硬件資產使用人在使用過程中應確保硬件配置的完整性，不得私自更換硬件資產以及相關配件。

（4）存儲內部信息的硬件資產在重用、維修和報廢前，應確保所有存儲的敏感數據或授權軟件已經被移除或安全重寫，并做好備份工作，確保信息不泄密、保持信息的完整性和可用性。

（5）對于需要報廢的硬件資產，如含有敏感信息，應經審批后統一進行報廢處理。

5.2 軟件資產安全管理

（1）應購買正版商業軟件，在安裝軟件時要規定使用權限，防止非授權訪問。要分清免費安裝和盜版使用的邊界，避免使用第三方提供的產品，產生安全隱患。使用開元軟件需注意產生的安全問題，產品供應廠商不能給予有效響應。

（2）應加強對于開發應用軟件的代碼管理，確保應用軟件系統能夠運行穩定，規范軟件升級管理工作。

（3）軟件資產管理員應加強對于應用軟件保存、標識、安裝、卸載和升級的統一管理。

（4）對于需要維修的軟件資產，資產管理員須和該軟件資產的使用者溝通后，由軟件供貨商進行維護、修改和升級，并在過程中做好安全控制。

（5）對于需要刪除和報廢的軟件資產，資產管理員可根據實際情況取消對于軟件的使用，通知該軟件的使用者，統一應用軟件應經過審核后統一取消和廢除。

5.3 數據資產安全管理

（1）數據資產根據其重要程度分為受控和公開數據，數據的創建者或管理者負責對數據資產的重要程度進行標識。受控數據應明確授權范圍，禁止非授權的用戶讀取受控數據。

（2）系統相關崗位人員負責各自設備、系統的配置數據、系統文件和管理數據的存儲、備份，確保設備中相關配置數據和管理數據的完整性和安全性。

（3）數據資產管理員負責系統數據的備份恢復工作，確保系統數據的可用性。

（4）對于需要維修的數據資產，數據資產使用人需要數據生產部門和使用部門進行溝通，數據恢復應經過確認后統一進行數據修復和恢復。

（5）敏感及受控數據的刪除應進行記錄，電子形式數據的刪除或報廢，應由數據資產生產部門進行處理。

所有硬件資產、軟件資產、數據資產的采購（建設）、變更、廢棄時，資產管理員須在信息資產臺賬進行相應記錄和描述。

6 結束語

信息資產是信息安全管理體系的作用對象，信息資產的安全管理是常態化網絡安全檢測和運維的重要依據，是高校實現網絡安全水平可控可管的重要手段，在整個信息安全管理體系的建立、實施和運行中占有重要地位。因此，需要學校依據政策，將信息安全管理與學校組織架構相結合，建立和落實網絡安全管理制度，配備網絡安全技術人員隊伍，找準信息資產這個抓手，進行基于系統生命周期的動態資產梳理和管理，在此基礎上，努力將安全工作實時化和主動化，保障高校網絡安全穩定運行。

[1]GBT22239-2019信息安全技術網絡安全等級保護基本要求[S].

[2]魏楚元，任彥龍，李欣. 高校網絡安全治理體系構建研究[J]. 網絡安全技術與應用，2021（01）.

[3]徐藝揚，查德平，劉百祥，等. 復旦大學新型信息資產治理平臺為二級單位安全賦能[J].中國教育網絡，2019（10）.

[4]司成偉，趙全洲. 構建基于信息化資產的網絡安全工作體系[J]. 數字通信世界，2019（09）.

[5]韓碩祥，張洪光. 信息安全管理體系中的資產管理[J].中國標準化，2007（04）.

北京工業大學2020年度教育管理研究課題（GL2020-B08）