高校信息资产的全生命周期安全管理方案研究

◆郭娜 张慰 张文艳

高校信息资产的全生命周期安全管理方案研究

◆郭娜 张慰 张文艳

（江苏师范大学 信息化建设与管理处 江苏 221116）

保护高校网络空间安全，落实到具体操作层面就是保护信息资产的安全。本文针对高校信息资产管理过程中存在的各种安全问题，结合江苏师范大学网络安全建设的探索与实践，总结归纳出信息资产的全生命周期安全管理方案，通过实践，能够明显提高信息资产管理的规范化和流程化。

网络安全；信息资产；安全管理；等级保护

近年来，国家层面高度重视网络空间安全，于2017年6月1日起实施《网络安全法》，明确建设关键信息基础设施的“同步规划、同步建设、同步使用”三同步原则，要求在系统生命周期各阶段明确责任部门及安全职责，在全过程中推行安全同步开展，强化安全工作前移。随着高校智慧校园建设的有序开展，信息化已广泛融入到校园的方方面面，功能丰富的信息系统或网站逐渐演变为一种资产——信息资产。互联网的开放性使得安全生态十分脆弱，信息资产也成为黑客攻击的首要目标。近年来，网站挂马、网页篡改、植入后门等安全事件频发，严重影响了校园的安全和稳定，也引起了广大高校的广泛关注。信息资产的生命周期包括规划、建设、运行、回收四个阶段，在生命周期的每个阶段都可能存在安全问题，因此，加强信息资产的全生命周期的安全建设和管理是保障其安全性的基础，也是学校创造高质量教育网络空间的保障，需引起高度重视。

1 信息资产及安全现状

信息资产作为一种新的资产已经被普遍接受，但其定义尚未统一。文献[1]中将信息资产的定义划分为两类：一类认为信息资产是指以企业人员信息、经营信息、企业文化、员工知识等为代表的信息类资产，另一类认为信息资产涵盖与信息技术、信息安全相关的所有资产，既包括人员信息等信息类资产，也包括相关的硬件设备、软件、服务、数据等。第一种观点是狭义的定义，第二种观点是广义的定义。本文旨在从高校的信息系统或Web页面着手，阐述其安全管理方案，属于广义定义中的信息资产。为了方便描述，本文将信息系统或Web页面等资产统称为信息资产。

对于高校来说，各部门业务类型复杂多样，信息资产不断增长，业务服务范围广泛，已成为高校资产的重要组成部分。目前，国内研究者比较关注信息资产的安全，但研究侧重于安全防护技术方面。现如今，信息资产安全防护技术逐渐成熟，但在信息资产的安全管理上暴露出各种问题[2-4]：（1）各部门在落实安全责任制上不彻底，无固定安全管理人员，业务部门人员更替较为随意，安全意识薄弱，在出现安全事件时无法及时找到联系人。（2）信息资产管理零散、混乱、随意，无备案制度，无扎口管理，自建、私建资产和“双非”资产难以发现。（3）缺乏多角色共同治理，各部门各角色之间协作管理困难，软硬件的重要信息更新后没有在各角色之间共享，数据流转无法留痕，信息资产监管难度大。（4）缺乏信息资产全生命周期安全管理机制。在信息资产上线和运行等重要阶段，缺乏多部门联动的安全监测、审查和监督流程。在安全评估结果传达、安全通报上无规范流程，给漏洞修复和安全通报处置追踪带来不便。

综上所述，如何加强各部门业务角色之间的协作，打破部门和安全管理间的边界，增强信息资产的安全性、合规性建设已经成为各高校不断探索的问题。本文以此为目标，提出信息资产的全生命周期安全管理方案，通过项目统筹建设、资产备案管理、建设管理、运行及运维管理和回收管理等，实现信息资产的安全管理和流程化管理。

2 信息资产的统筹规划与管理

信息资产的统筹规划管理是由学校信息化部门发挥信息化项目统筹规划建设职能，实现校内信息资产统一规划、统一建设，推动信息资产跨部门、跨学院互联互通，促进信息共享和业务协同，帮助消除“信息孤岛”，确保各类信息资产建设科学、规范、合理、有序实施。

2.1 资产的统筹规划

信息资产统筹规划是明确信息化部门作为学校信息化建设项目、经费、人员等方面的归口管理部门。各业务部门建设信息资产时，统一向校信息化部门提交项目申请和项目立项书，明确项目建设单位和建设内容，立项书中写明建设需求、目标、建设方案、安全规划、资源预估、人员配备等。项目的立项必须由信息化部门组织专家进行评审，评审通过才能立项。对于评审不通过的项目，信息化部有权不予立项。在项目立项后，建设单位还需和信息化部门协同调研、认真规划建设方案，通过不断修正形成较为完备的建设方案。同样，建设方案仍需组织专家对方案、技术的可行性进行评估，保证项目建设的合规性、安全性、可靠性和可用性。因此，信息资产的统筹规划能够帮助信息化部门了解项目建设初衷，明确建设单位，强化网络安全约束，减少信息系统建设过程中的不合规性，为信息资产的备案管理提供基础数据。

2.2 资产备案管理

为了满足信息业务不断增长的需求，各业务部门广泛热衷于信息资产的建设，但往往只重用途，不重安全。与此同时，学校信息化部门人员有限，无法对全校信息资产实时监控，增加了校园网络安全的隐患。因此，有必要对资产进行备案管理，其目的是摸清资产，及时更新资产信息。

摸清资产的前提要确定所需采集的资产信息，即信息资产指纹。信息资产指纹可包括服务器类型、操作系统版本、IP地址、域名、URL链接、端口、应用类型、开发语言、责任人等。对于信息资产指纹的采集方法通常有两种，一种是手动采集法，即业务部门对自己规划建设的信息资产，由系统管理员填写资产备案申请，申请中需写明信息资产用途、配置详情、服务提供范围、责任单位和责任人等。在系统管理员提交申请后，由业务部门审批，信息化部门对资产进行登记和备案。另一种是自动采集法，自动采集法往往针对未知资产，尤其是较早建设的资产，分为基于流量的被动检测法和主动探测发现法[5]。基于流量的被动检测法一般在网络出口旁路部署自学习引擎，通过对镜像流量http/https访问的分析，自动发现校园网内对外提供访问的网站及业务系统。对于内网业务系统的发现，可通过在各安全域内部署探针，摸清网络内开放的各种服务端口的指纹信息[6]。然而，该种方法存在一个弊端，就是当资产没有被任何人访问，没有产生流量时无法被识别，主动探测发现法则可以在一定程度上解决该问题。主动探测法是通过对指定校园网地址段进行逐个全量端口扫描的方法来发现网络空间中的资源信息，该方法通常采用了TCP/IP协议族中的ICMP协议，通过ICMP协议中的反射请求与应答数据包提供的功能来实现与目的主机的通讯，并以此作为对所需探测数据获取的平台，但该方法对网络本身的通信流量产生影响。通过自动发现获取资产信息后，信息化部门安全管理员仍需对资产信息进行梳理，去除不必要数据，保留有用数据。

3 信息资产建设管理

在完成信息资产备案后，信息资产进入建设阶段。根据《网络安全法》的“三同步”原则，系统建设阶段要充分考虑所建资产是否满足网络安全等级保护要求。当然，等级保护要求不能代替网络安全，等级保护要求是基本要求，如果建设单位有更高要求或针对其业务有特殊安全需求，需将等级保护纳入其信息安全之中[7]。

在信息资产分析、设计、实施时，信息化部门要结合《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护安全设计技术要求》《教育行业信息系统安全等级保护工作指南（试行）》等相关文件给信息资产建设提出安全性要求，包括身份鉴别、访问控制、安全审计、入侵防护、数据完整性和保密性、数据备份等方面，形成安全需求和安全基线。同时，公司工程师要注意形成安全编码规范并进行安全编码，软件测试时进行安全功能测试、源代码审查等。

在信息资产建设阶段，业务部门需要完成资产的定级。信息化部门可以根据定级要素与安全保护等级的关系初步确定信息资产的等级，并向业务部门推荐备案等级，业务部门参照信息化部门的建议初步确定等级。对于安全保护等级初步确定为二级及以上的等级保护对象，业务部门应当依据标准要求进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。

整个建设过程，信息化部门要对资产的建设情况进行记录，为资产上线做准备。

4 信息资产运行及运维管理

4.1 信息资产上线管理

信息资产部署的目的是对外提供服务，资产上线必须经过严格的安全管控，江苏师范大学启用规范的资产上线流程。对于待上线的信息资产，业务部门安全管理员需先提交信息资产上线申请，由信息化部门安全管理员通过“安全评估—漏洞反馈—漏洞修复”的循环过程对预上线资产进行安全评估，只有安全评估通过的资产在业务部门签订网络安全责任书后才可上线，所有过程流程化，既保证了数据留痕，又增强了安全管控。

4.2 信息资产运行管理

信息资产建立后，其安全是动态的，需要信息化部门安全管理员利用漏洞扫描、渗透测试、态势感知等技术不断监测信息资产的安全状态，并将结果实时反馈给各业务部门安全管理员。对于上级部门、行业机构通报的漏洞和校内自检发现的漏洞，要及时通报各业务部门，督促整改，实时跟踪通报处置结果。同时，信息化部门要搭建态势感知平台，建成“自主警告、研判事件、生成工单、一键封堵”的自动化事件处置流程，实现网络安全工作的尽早发现，及时响应，提高网络安全问题发现能力和处置效率。

信息资产运行时，信息化部门还要定期盘点资产，防止资产遗漏和丢失。业务部门也要时刻关注所建资产的运行情况，定期查看或上报本部门具有的信息资产，遇到问题及时与信息化部门沟通，防止资产漏报和漏管。

4.3 安全运维管理

安全运维是保障信息资产安全稳定运行的基础，做好安全运维应该从以下几个方面着手：

（1）构建网络安全防护体系。划分不同的防护区域，从网络边界、数据中心和终端等不同层次进行安全防护。在网络边界的防护上，可依托防火墙、IPS等设备，对进出流量进行过滤，防止外部危险入侵。在数据中心区域，部署防火墙、IPS、WEB应用防火墙等，隔离内外网，过滤数据包，同时对各Web站点进行防护。在终端方面，要注意开启防火墙、安装杀毒软件、升级系统补丁、禁用危险端口等。

（2）制定安全运维方案。一方面要定期开展安全巡检，另一方面要做好应急响应。江苏师范大学采用“日查月分季评”制度，通过开展网络安全日常巡检，进行月度事件分析和季度通报评价，建立安全运维长效机制，做到及时发现问题。为了提升应急响应能力，信息化部门制定了网络安全应急预案，当出现安全事件时，相关责任人按照预案快速响应，缩小事件影响范围和时间。

（3）完善安全管理策略。通过规范网络设备、信息系统、终端计算机等信息资产的配置管理，账号密码管理，漏洞管理，变更管理，备份与恢复管理，减少安全事件，降低安全风险。针对服务器运维人员，可通过堡垒机（运维审计设备）设置内部运维人员和第三方运维的运维权限，规范技术运维工作，规避运维风险。

（4）建立日志审计平台。在网络安全保护过程中，对于已经发生的攻击事件进行排查和溯源最有效的方式之一就是对安全系统的日志进行分析。学校应建立高性能、大容量的日志审计平台，针对流量行为日志、安全事件日志、用户信息日志、业务访问日志、设备状态日志、系统操作日志等进行采集，且日志留存时间不少于六个月。

5 信息资产回收

对非必要资产、临时资产或存在严重安全问题的资产，由资产管理提出下线申请。当信息化部门服务器管理员收到资产下线申请时，对原有服务器资源、IP地址和域名资源进行回收，同时在堡垒机中回收登录服务器的入口；当信息化部门安全管理员收到该申请时，对数据中心防火墙和校园网边界防火墙进行策略修改，防止资产的原安全策略被攻击者利用、对现有信息资产的安全造成危害。整个回收过程的数据也需要在不同角色之间共享，达到共同治理的效果。

没有网络安全就没有国家安全，高校是网络安全的重灾地，信息资产的安全关系着校园网络空间安全。本文针对信息资产生命周期的各阶段提出安全管理方案，致力于促进高校信息资产归口管理责任体系建立，解决资产情况不明、责任不清等问题，同时，加强部门间的协作与数据共享，提升问题发现和应急响应能力，提高信息资产安全建设和运维水平。通过实践，该方案大幅度提高了江苏师范大学信息资产管理的效率和效果。希望在以后的信息资产管理中，建立完善的信息资产全生命周期管理系统，对信息资产全生命周期的动态数据和流程化数据进行采集、挖掘与分析，进一步实现信息资产全生命周期的精细化管理、规范化管理。

[1]胡缙樱.基于安全属性的信息资产评估成本法改进研究[D].安徽：合肥工业大学，2016.

[2]王长春，曾照华，张跃华.“互联网+”网络信息安全现状与防护研究[J].软件导刊，2020.

[3]庄君明.大数据背景下的高校网站群安全管理体系研究[J].福建电脑，2017．

[4]司成伟，赵全洲.构建基于信息化资产的网络安全工作体系[J].数字通信世界，2019.

[5]闫家意.网络主机发现关键技术研究[D].哈尔滨：哈尔滨工程大学，2019.

[6]谢党恩，梁瑞，常思远, 等.浅谈高校Web资产的全生命周期治理方法[J].网络安全技术与应用，2020.

[7]廖其耀，李若虹.等级保护与三同步的过程结合[J].数字通信世界，2019.