复旦大学新型信息资产治理平台为二级单位安全赋能
2019-12-13徐艺扬查德平刘百祥王亮
文/徐艺扬 查德平 刘百祥 王亮
近年来,随着高校信息化建设的不断推进,高校信息资源高速增长并持续累积,与此同时,当前网络安全形势日趋严峻,拥有大量信息资产的高校已成为网络攻击的重要目标,网络安全责任压力也与日俱增,在此背景下,高校信息资产治理已成为网络安全工作的基础起点和重要议题。
信息资产是开展网络安全工作首先要识别的安全策略保护对象。根据BS7799-2:2002、ISO27001:2013、《 信 息 安全技术 信息安全风险评估规范(GB/T 20984-2007)》等相关安全标准规范,信息资产的定义是对组织具有价值的信息或资源。从高校实际工作开展的角度,本文所指“信息资产”主要包括规章制度和计划、人员及其安全责任、信息系统(网站、管理和应用系统等)、硬件、网络、服务、数据等,近年来高校关注的主要信息资产为信息系统及数据资源。
通过相关文献研究,以往基于安全视角的信息资产治理研究较多关注资产识别、风险评估、风险管理、漏洞治理等方向,关于一般企业信息资产治理已形成比较成熟的技术方法和评估标准,但针对高校复杂环境下的信息资产安全治理则仅有少量研究者在图书馆信息资产管理、云安全运营等方向提出实践目标。在工作实践中,根据信息资产清查、漏洞风险管理等实际需要,教育部等主管部门和上海交通大学等高校已建成并应用了信息资产管理平台,较多高校已通过不同方式开展了相关实践探索。上述研究和实践支持了高校核心信息资产管理的专业化发展,但在高校复杂环境下,二级单位层面的信息资产安全水平的提升则有所滞后,形成了严重的安全短板问题,亟待探索更多策略进行有效治理。
面临的主要问题
当前,在教育主管部门指导下,高校针对二级单位的信息资产管理基本落实了安全管理责任,形成了信息资产清单,部分高校进一步开展了分级分类、资产清查和出口管控等管理措施,解决了“僵尸”系统、“双非”网站等显著的管理漏洞,学校整体的安全水平有所提升,但参考网络安全的“木桶原理”,在管理合规范围内的二级单位信息资产仍然是高校网络安全体系中的短板。以复旦大学为例,2017年6 月至2019 年6 月,已发现安全漏洞90%以上发生在二级单位自建信息系统,在学校组织的渗透测试等安全评估中,被检二级单位信息系统100%发现安全漏洞问题。在网络安全实践中,主要存在如下“木桶短板”问题,需要有效控制和积极应对:
1.二级单位较难应对信息资产管理的复杂性问题
高校信息资产情况复杂,二级单位数量多、人员多、业务多、信息系统多、数据多且建设管理方式复杂多样,部分二级单位组织结构较松散,信息资产相关业务和人员变动频繁,不仅需要管理者加强安全意识,而且对管理者的安全素养、管理手段和执行能力都提出较高的要求,但当前高校二级单位的网络安全管理体系普遍不够健全,信息资产梳理、管理信息更新、等级保护实施等基础管理动作也较难达到安全管理要求,单纯依靠责任传递的管理方式只能加剧二级单位的管理焦虑,无法快速解决实际问题。
2.二级单位较难达到信息资产管理的专业性要求
高校二级单位普遍缺少网络安全技术力量,部分单位无法落实必要的技术防护措施和应急处置措施,甚至不具备安全运维和漏洞整改能力,较多信息资产运维仅依赖中小服务商或师生团队,基本没有完成策略配置、漏洞检测、渗透测试、安全加固、数据加密、代码审计和日志审计等安全技术动作,也没有专业的安全情报搜集、分析和应急响应力量,大部分二级单位的网络安全专业能力建设还处于“有心无力”或者“打算做但不知怎么做”的阶段。
3.信息资产漏洞监管未能根本控制安全风险源头
当前高校信息资产监管较多关注对已运行信息资产的漏洞发现和事后处置,但高校二级单位自建信息系统等信息资产的建设方案、实施过程就存在安全隐患,事后监管不能从根源上减少安全风险,部分二级单位存在建设越多、风险越多的问题,或历史包袱问题,部分信息资产存在同类风险反复出现的问题,目前主要依赖扫描工具和白帽子力量的漏洞检测也无法充分覆盖大量的信息资产。
4.校院两级信息资产安全缺少有效的协调机制
较多高校实行校院两级的管理体制,按照“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的属地管理原则,高校信息安全管理部门和二级单位均应履行网络安全管理义务,二级单位应对所属信息资产承担主体责任,但在实践工作中虚拟机系统等交叉管理领域仍可能存在管理落空的空白。此外,由于高校二级单位众多且业务管理相对独立,校级专业团队有限的管理和支持力量较难有效投放到需要的二级单位中,校院两级工作不能有效衔接起来保障信息资产安全。
上述问题受限于高校信息化建设的客观条件,没有一蹴而就的解决方案,但高校网络安全管理部门若能从单纯的责任管理思路向综合治理思路转换,或可通过有意识的安全服务解决部分痛点问题,逐步补足短板。
对策及建议
针对当前二级单位信息资产安全问题,高校网络安全管理部门可从以下四个方面加强安全工作:
1.理顺机制,形成模式,封好底线
高校应明确统一的综合治理思路:不仅需要理顺学校总体的制度机制,而且应为二级单位的管理实施提供指导意见;不仅需要做好信息资产管理的统筹规划,而且需要为二级单位提供可行的规范、指南;不仅需要持续优化信息资产的管理方式,而且需要为二级单位反复培训核心业务流程。争取促进二级单位形成良好的工作模式和管理习惯,强化基础管理的执行力。
2.创新服务,放大效益,补足短板
高校网络安全管理部门应加强安全服务能力建设,在有限的资源投入条件下,探索通过创新服务平台、创新服务模式、创新服务内容等方式,向二级单位精准投放技术支持能力,力争使二级单位可无门槛地利用安全服务资源,以总体提升学校的网络安全专业水平。
3.完善体系,延伸视野,改进生产
图1 信息资产管理系统架构
加强对信息资产建设事前、事中和事后以及日常运维的网络安全把关能力,结合架构咨询、代码审计、态势感知、应急演练等多种安全服务支持,真正落实信息资产的全生命周期管理。
4.加强联动,触达基层,无缝沟通
在安全保密的前提下,构建覆盖二级单位网络安全工作队伍的管理服务平台和即时通讯平台,通过及时的信息、服务和任务投送加强与二级单位的协同联动,促使学校和二级单位信息对称,协作畅通。
新型信息资产治理平台
根据上述治理策略,复旦大学已结合安全服务设计了新型的信息资产治理平台并启动了相关建设进程。
系统架构
如图1 所示,本平台拟以信息资产管理服务为核心,基于学校的流程引擎、自动化工具、资产发现和情报资源等能力积累构建平台支撑底座,围绕信息资产,进一步为二级单位提供全生命周期的安全管理服务应用,并为学校和二级单位网络安全工作队伍交流搭建适配多终端的用户交互渠道,最终构建“理”(理清家底)、“管”(精细管理)、“服”(全程服务)一体的校园信息资产治理平台。
组件和模块
1.平台支撑层
在平台支撑层,主要依托如下组件构建安全服务支撑能力:
(1)工作流和数据实时计算引擎。通过管理系统敏捷开发,实现实时数据集成和实时数据分析。
(2)信息资产发现组件。结合探针设备,通过流量分析发现信息资产及其漏洞风险。
(3)云管安全接入组件。对接私有云云管平台自动接入计算资源信息,通过安全防护设备和云安全防护机制实现自动化安全策略配置。
(4)安全情报组件。实时对接多渠道安全情报来源,提供标准化的安全情报资料。
(5)安全工具组件。结合信息资产信息和漏洞检测工具、脚本,实现自动化运营和自动化巡检。
(6)应急响应组件。对接防火墙、网络设备和敏感情报来源,支持自动或手动的“一键断网”应急响应处置。
(7)日志审计组件。根据系统运行日志和用户行为日志发现安全风险问题并报告系统管理员处置。
2.业务应用层
在业务应用层,主要设计了如下模块提供全生命周期的安全服务:
(1)基本管理模块。除基本的用户管理、浏览和查询、数据备份、日志记录等系统必备模块外,主要包括人员信息维护、信息资产登记、信息资产发现、信息资产视图、信息资产生命周期管理、安全风险视图、信息资产报表管理等模块,结合人工录入、工作流自动汇集和网络自动发现实现基本的信息资产管理功能。主要涵盖如下项目:
人员与安全责任管理:包括网络安全负责人、管理员及供应商管理员个人信息及必要的安全承诺、背景信息、保密协议等资料;
信息系统与硬件管理:信息系统和硬件均绑定负责人或管理员,并同步业务流程中的新增或变更信息,信息系统需登记域名、IP 地址、开放端口、操作系统、数据库、Web 服务软件、开源应用、主要功能描述等详细信息;
上网服务管理:自动接入各单位网络访问账号的申请和开通使用情况,便于管理人员查看和监管;
规章文件管理:登记网络安全相关制度、应急预案、工作方案等文件,系统向具备权限的人员开放查询及汇总信息;
台账记录管理:人工登记及自动记录网络安全管理执行情况;
漏洞风险管理:基于网络安全事件应急处置流程,主要包括漏洞发现、定位、应急响应与处置、复核等环节,相关信息和处置情况均可进行追踪;
信息资产报表:直观展示信息资产情况,相关人员可快速掌握管理范围内的资产概况,负责人可总览本单位整体情况,及时定位管理缺口并发动安全整改。
(2)安全服务模块。为校内外安全服务提供统一接口。主要涵盖以下项目:
安全指南服务:提供法律法规文件及相关解读,校级的管理制度和标准规范以及校内相关业务流程指南,信息化建设相关统一平台、管理要求、标准规范、实施细则与业务指南以及管理平台使用指南等资料和相关培训视听资料;
安全情报服务:提供最新安全情报信息和验证工具查询,同步推送与信息资产匹配的相关信息;
态势感知服务:对接数据中心态势感知系统,展示与信息资产相关的态势感知信息;
云漏扫服务:对接漏洞扫描设备,自助登记漏扫对象并自动反馈漏扫报告;
代码审计服务:对接校内代码审计软件平台或第三方专业服务;
渗透测试服务:登记对接校内外渗透测试服务团队,记录测试报告;
防篡改服务:登记预约部署防篡改脚本或第三方防篡改软件;
数据归档服务:设置文件及数据自动备份并上传归档服务器;
日志分析服务:登记预约第三方安全专家进行日志巡检和日志分析;
安全咨询服务:预约登记校内及校外合作机构安全专家咨询服务。
(3)安全联动模块。安全漏洞从发布到修补存在时间窗口,本模块将实时汇总外部安全通报信息、校内日常安全巡检结果、第三方安全平台报告和黑客组织发布平台等数据,整合安全风险情报、安全防护设备信息、业务安全关联分析、安全事件通报与处置等多项服务,主动面向相关各单位管理人员推送实时的安全漏洞风险信息,可配置自动或手动应急响应攻击事故,实现校园网络安全监测预警、防护处置与管理的联动。
3.用户交互层
在用户交互层,主要搭建了内部的交流空间和用户服务,具体包括:
(1)通知与消息模块。基于人员组织和权限信息,通过Web、IM、邮件、短信等多种方式向不同用户发送系统通知、安全提示和工作流事务进度提醒,并要求限时反馈。
(2)智能助理模块。基于平台的安全服务能力,配置计划任务等重复性安全服务和提醒服务。
(3)即时通讯工具。基于私有化IM提供网络安全工作实时交流空间,可接入安全消息和“一键断网”等安全能力。
(4)知识共享系统。构建知识库,向用户提供结构化的安全知识,各级单位网络安全管理人员也可在线分享经验。
预期建设效果
目前该平台已有部分功能在复旦大学建成并投入试用,获得二级单位好评。平台设计能够良好适应高校复杂网络安全环境和信息系统高速增长的情况,帮助二级单位快速建立体系化的信息资产管理机制,提高学校总体安全运维效率,推动等保2.0 时代的网络安全合规性建设,保障校园信息化业务安全有序进行。同时,为各级各类网络安全工作者提供赋能支撑,使校级管理人员具备大批量和自动化安全管理支持能力,使二级单位负责人可直观地了解本单位信息资产状况、安全态势,二级单位管理员可便捷管理、快速追踪所管理信息资产的安全信息,降低安全管理的技术门槛,使二级单位网络安全管理能力得到普遍提升。
本文从重塑信息资产管理模式,推进新型信息资产治理平台建设的角度,对学校加强二级单位网络安全管理提出了实践建议,但构建系统化的安全管理服务体系仍需长期的资源投入、技术支持和人员协作方可实现,仍需持续改进和不断完善,高校网络安全建设任重而道远。