梁 凱，張 巍

(洛陽理工學(xué)院 信息化技術(shù)中心，河南 洛陽 471023)

一、高校網(wǎng)絡(luò)資產(chǎn)安全管理現(xiàn)狀

《2020年教育行業(yè)網(wǎng)絡(luò)安全白皮書》顯示，93%的重點(diǎn)高校存在網(wǎng)絡(luò)安全漏洞。高校網(wǎng)絡(luò)資產(chǎn)面臨較高的安全威脅，容易引發(fā)安全事件，給學(xué)校和師生造成危害，引發(fā)不良社會反應(yīng)。網(wǎng)絡(luò)資產(chǎn)范疇很廣，主要是計(jì)算機(jī)(或通訊)網(wǎng)絡(luò)中使用的各種設(shè)備和軟件系統(tǒng)。校園網(wǎng)中的門戶網(wǎng)站、信息系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、IoT設(shè)備等都可以歸為網(wǎng)絡(luò)資產(chǎn)，資產(chǎn)安全是衡量整個網(wǎng)絡(luò)安全建設(shè)是否達(dá)標(biāo)的關(guān)鍵因素[1]。近年來，由于資產(chǎn)底數(shù)不清、漏洞修復(fù)不及時等問題導(dǎo)致的失陷事件引起網(wǎng)絡(luò)管理人員的重視。網(wǎng)絡(luò)資產(chǎn)安全管理中存在的問題很多，主要表現(xiàn)在以下四方面。

第一，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化使安全管理面臨挑戰(zhàn)。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，接入網(wǎng)絡(luò)的設(shè)備越來越多，資產(chǎn)的類型和數(shù)量不斷增加。此外，虛擬化和私有云等新型網(wǎng)絡(luò)資產(chǎn)形式不斷出現(xiàn)，網(wǎng)絡(luò)邊界逐漸模糊，梳理所有網(wǎng)絡(luò)資產(chǎn)變得艱巨而復(fù)雜，容易造成未知的網(wǎng)絡(luò)資產(chǎn)遺漏，產(chǎn)生安全死角。

第二，關(guān)鍵資產(chǎn)安全管理存在漏洞。一般來說，網(wǎng)絡(luò)管理者較為重視重要業(yè)務(wù)信息系統(tǒng)的保護(hù)，按照法律要求開展信息系統(tǒng)等級保護(hù)，并在公安機(jī)關(guān)備案。但從攻擊者的視角而言，通過入侵VPN、域控、WEB統(tǒng)一管理平臺等集權(quán)系統(tǒng)所帶來的收益遠(yuǎn)高于直接攻擊目標(biāo)主機(jī)，而這類系統(tǒng)通常不在傳統(tǒng)的資產(chǎn)保護(hù)區(qū)域，容易進(jìn)入內(nèi)網(wǎng)[2]。

第三，信息化過程重建設(shè)輕安全。信息化建設(shè)的目標(biāo)是更好地服務(wù)于學(xué)校校務(wù)管理，而信息化建設(shè)的特點(diǎn)為敏捷開發(fā)、快速響應(yīng)。快速響應(yīng)的需求與安全穩(wěn)定的要求在短時間內(nèi)易產(chǎn)生矛盾。在實(shí)際安全建設(shè)中，部分單位往往重建設(shè)輕管理，或者是建設(shè)優(yōu)先，“安全第一”淪為口號，從而造成部分資產(chǎn)剛上線就帶來安全威脅。

第四，多頭管理、權(quán)責(zé)不清。一些高校在信息化建設(shè)過程中，沒有做好歸口管理，各部門責(zé)權(quán)不清，很多信息化教學(xué)項(xiàng)目，比如虛擬仿真實(shí)驗(yàn)平臺軟件系統(tǒng)，建設(shè)使用單位往往是二級學(xué)院，他們?nèi)狈ο嚓P(guān)的網(wǎng)絡(luò)安全意識和知識，將項(xiàng)目直接部署在云端。這類資產(chǎn)沒有納入信息化部門的資產(chǎn)臺賬，無法落實(shí)安全管理和監(jiān)督檢查工作。

二、SDCA流程與方法

SDCA(Standardization、Do、Check、Action)是企業(yè)全面質(zhì)量管理的重要工具，在企業(yè)質(zhì)量管理過程中廣泛應(yīng)用[3]。高校的網(wǎng)絡(luò)資產(chǎn)安全管理不僅要滿足上級主管部門的管理意圖，也要滿足廣大人民群眾的現(xiàn)實(shí)需要，為用戶提供更好、更安全的服務(wù)體驗(yàn)。高校也需要像企業(yè)那樣建立一套科學(xué)、嚴(yán)密、完整的網(wǎng)絡(luò)安全質(zhì)量管理體系，不斷提高網(wǎng)絡(luò)安全治理水平。以SDCA循環(huán)為標(biāo)準(zhǔn)的工作流程，使網(wǎng)絡(luò)安全管理更具科學(xué)化、系統(tǒng)化、全面化、可控化[4]。高校在網(wǎng)絡(luò)安全管理過程中，管理質(zhì)量的提高與穩(wěn)定的交替運(yùn)轉(zhuǎn)，使網(wǎng)絡(luò)資產(chǎn)從宏觀到微觀都處于被監(jiān)管狀態(tài)，保證全域全過程設(shè)備安全可靠。SDCA循環(huán)是“標(biāo)準(zhǔn)、執(zhí)行、檢查、總結(jié)”4個步驟循環(huán)的模式[5]。首先，為提高產(chǎn)品質(zhì)量而制訂相關(guān)標(biāo)準(zhǔn)(Standard)；其次，執(zhí)行標(biāo)準(zhǔn)使其平衡運(yùn)行(Do)，然后對實(shí)施過程進(jìn)行檢查(Check)；最后檢驗(yàn)實(shí)施效果，做出相應(yīng)的處置(Action)。

高校網(wǎng)絡(luò)資產(chǎn)安全管理根據(jù)SDCA的4個階段，在S 階段制定標(biāo)準(zhǔn)化的網(wǎng)絡(luò)資產(chǎn)管理規(guī)范，在D階段執(zhí)行網(wǎng)絡(luò)資產(chǎn)日常安全管理，在C階段建設(shè)基于信息化管理的工具，在A階段加強(qiáng)模擬演練，并總結(jié)C階段的問題。由于網(wǎng)絡(luò)安全防范的內(nèi)容和技術(shù)在不斷更新，需要持續(xù)迭代SDCA流程，以達(dá)到安全的目標(biāo)。為驗(yàn)證SDCA循環(huán)流程對網(wǎng)絡(luò)資產(chǎn)安全管理的有效性，筆者邀請部分省內(nèi)相關(guān)高校網(wǎng)絡(luò)信息中心工作人員參與本研究，將各單位全部登記備案的389項(xiàng)網(wǎng)絡(luò)資產(chǎn)作為操作對象，按照下述實(shí)踐方法進(jìn)行循環(huán)迭代。

第一，網(wǎng)絡(luò)資產(chǎn)安全管理標(biāo)準(zhǔn)(Standard)。標(biāo)準(zhǔn)化在企業(yè)生產(chǎn)中可以嚴(yán)格控制產(chǎn)品質(zhì)量、縮短開發(fā)周期、降低維修維護(hù)成本。因此，標(biāo)準(zhǔn)化管理廣泛應(yīng)用。在網(wǎng)絡(luò)資產(chǎn)安全管理中應(yīng)用標(biāo)準(zhǔn)化，實(shí)質(zhì)是將隱性的安全管理經(jīng)驗(yàn)提煉成顯性的制度、規(guī)范和標(biāo)準(zhǔn)，保證資產(chǎn)安全管理形成統(tǒng)一、協(xié)調(diào)、高效率的機(jī)制，避免管理缺陷[6]。網(wǎng)絡(luò)資產(chǎn)安全管理涉及人員、設(shè)備和技術(shù)等方面因素，規(guī)范的管理要保證每個環(huán)節(jié)、因素都有可依照執(zhí)行的規(guī)章制度和操作規(guī)范。從行動研究的角度和工作實(shí)踐的要求出發(fā)，相關(guān)高校依據(jù)國家網(wǎng)絡(luò)安全法律相關(guān)規(guī)定、國家網(wǎng)絡(luò)信息安全相關(guān)標(biāo)準(zhǔn)制訂了《網(wǎng)絡(luò)資產(chǎn)管理員工作職責(zé)》《網(wǎng)站及信息系統(tǒng)備案管理辦法》《信息管理員工作職責(zé)》《網(wǎng)絡(luò)安全員工作職責(zé)》《系統(tǒng)管理員工作守則》《信息系統(tǒng)安全運(yùn)維技術(shù)規(guī)范》《服務(wù)器安全管理規(guī)范》等制度和規(guī)范，規(guī)定了資產(chǎn)備案、漏洞掃描、隱患整改等操作流程?！斗?wù)器安全管理規(guī)范》《信息系統(tǒng)安全運(yùn)維技術(shù)規(guī)范》等操作規(guī)范詳細(xì)規(guī)定了服務(wù)器、信息系統(tǒng)的安全設(shè)置、安全運(yùn)維流程以及應(yīng)急處置辦法，從技術(shù)層面為管理人員提供網(wǎng)絡(luò)資產(chǎn)安全管理風(fēng)險點(diǎn)及相應(yīng)安全運(yùn)維操作指南。

第二，基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)資產(chǎn)日常管理(Do)。此階段，相關(guān)高校嚴(yán)格落實(shí)管理制度和操作規(guī)范，為保證落實(shí)網(wǎng)絡(luò)安全管理，從組織、培訓(xùn)和考核三方面著力提升執(zhí)行力。相關(guān)高校將網(wǎng)絡(luò)安全主管部門作為網(wǎng)絡(luò)安全管理的負(fù)責(zé)單位，各資產(chǎn)使用單位作為資產(chǎn)安全管理的主體，這樣可以充分發(fā)揮責(zé)任單位的技術(shù)指導(dǎo)優(yōu)勢，也能體現(xiàn)各使用單位的主體意識。要保證技術(shù)標(biāo)準(zhǔn)的執(zhí)行度，培訓(xùn)也是必不可少的。項(xiàng)目實(shí)踐中，相關(guān)高校從網(wǎng)絡(luò)安全的重要性、網(wǎng)絡(luò)安全管理的責(zé)任意識以及網(wǎng)絡(luò)安全管理技術(shù)等三方面對網(wǎng)絡(luò)安全管理組織的網(wǎng)絡(luò)員、信息員進(jìn)行培訓(xùn)。通過培訓(xùn)，網(wǎng)絡(luò)安全員可以掌握必要的技能，能獨(dú)擋一面，提高執(zhí)行力。網(wǎng)絡(luò)安全管理組織要落實(shí)安全管理目標(biāo)，必須依據(jù)制度和規(guī)范對組織成員進(jìn)行監(jiān)督與考核。實(shí)踐中，各高校要定期對各單位網(wǎng)絡(luò)資產(chǎn)設(shè)備安全管理情況進(jìn)行督察和考核，對考核不達(dá)標(biāo)的單位網(wǎng)絡(luò)安全責(zé)任人進(jìn)行誡勉談話。

第三，建設(shè)智能化管理工具(Check)。檢查檢驗(yàn)是對執(zhí)行結(jié)果的校驗(yàn)，也是對規(guī)范和標(biāo)準(zhǔn)的反饋。在SDCA循環(huán)中，檢驗(yàn)是至關(guān)重要的環(huán)節(jié)。網(wǎng)絡(luò)資產(chǎn)安全管理中，管理者要檢驗(yàn)執(zhí)行目標(biāo)、管理效果以及規(guī)范標(biāo)準(zhǔn)的適用度。各高校應(yīng)該建立信息化、智能化的檢驗(yàn)工具以代替部分人工檢驗(yàn)。相關(guān)高校網(wǎng)絡(luò)資產(chǎn)的全生命周期管理工具從網(wǎng)絡(luò)資產(chǎn)的發(fā)現(xiàn)、網(wǎng)絡(luò)資產(chǎn)的梳理、網(wǎng)絡(luò)資產(chǎn)的合規(guī)檢測、網(wǎng)絡(luò)資產(chǎn)的維護(hù)到最后網(wǎng)絡(luò)資產(chǎn)的廢棄管理，每一個環(huán)節(jié)都應(yīng)做到信息化管理[7]。特別是在資產(chǎn)發(fā)現(xiàn)和合規(guī)性檢查方面，部分產(chǎn)品已實(shí)現(xiàn)智能操作。部署在交換機(jī)旁路的資產(chǎn)自學(xué)習(xí)引擎，利用被動檢測方式對鏡像流量進(jìn)行http/https訪問分析，自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)對外提供訪問的網(wǎng)站及業(yè)務(wù)系統(tǒng)，準(zhǔn)確、清晰識別校內(nèi)網(wǎng)絡(luò)資產(chǎn)，并對資產(chǎn)進(jìn)行指紋畫像，將自學(xué)習(xí)獲得的網(wǎng)絡(luò)資產(chǎn)進(jìn)行合規(guī)治理，并下發(fā)到使用部門認(rèn)領(lǐng)，完善備案信息[8]。合規(guī)檢查階段，各高校根據(jù)備案后的資產(chǎn)信息，對重點(diǎn)資產(chǎn)進(jìn)行日常監(jiān)控、漏洞檢測、Webshell 檢測等安全檢查和合規(guī)性檢測，對不合規(guī)、不安全的網(wǎng)站進(jìn)行阻斷。同時，通過網(wǎng)絡(luò)流量分析，阻斷不合規(guī)的資產(chǎn)訪問請求，上報并提醒相關(guān)人員。智能化工具的建立是檢驗(yàn)制度標(biāo)準(zhǔn)的一個重要保證。由于信息化工具自身的優(yōu)勢，代替人工執(zhí)行檢驗(yàn)檢查可以更好地執(zhí)行制度標(biāo)準(zhǔn)。

第四，總結(jié)復(fù)盤(Action)。最后一個階段是總結(jié)復(fù)盤，在網(wǎng)絡(luò)資產(chǎn)安全管理中，復(fù)盤可以提高管理工作的執(zhí)行度，修訂規(guī)范標(biāo)準(zhǔn)中存在的問題。首先，相關(guān)高校分析與預(yù)期效果的差異在哪里，優(yōu)缺點(diǎn)各是什么。其次，分析為什么存在差異，客觀分析管理現(xiàn)狀之后得出結(jié)論。最后，制訂相關(guān)解決方案，為下一次迭代做準(zhǔn)備。

三、結(jié) 語

高校網(wǎng)絡(luò)資產(chǎn)安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及較多因素。通過運(yùn)用SDCA 迭代，在網(wǎng)絡(luò)資產(chǎn)安全管理中定好標(biāo)準(zhǔn)、抓好執(zhí)行、運(yùn)用智慧化管理工具和總結(jié)反饋，可以有效提高網(wǎng)絡(luò)安全管理水平。同時，安全標(biāo)準(zhǔn)和管理流程標(biāo)準(zhǔn)在不斷變化，需要持續(xù)迭代SDCA流程。SDCA 循環(huán)管理模式的應(yīng)用，對建設(shè)高校網(wǎng)絡(luò)資產(chǎn)安全治理體系有較大的指導(dǎo)作用。當(dāng)然，在任何管理模式中，“人”始終是最關(guān)鍵的因素，再好的管理模式也要靠人執(zhí)行。因此，在SDCA循環(huán)管理模式實(shí)踐中，要加強(qiáng)對人員的激勵和管理，發(fā)揮其潛能，為網(wǎng)絡(luò)資產(chǎn)安全治理提供人力支持。