北京交通大学信息系统安全管理服务平台建设研究

摘   要：随着我国向信息化强国的步伐快速迈进，高校作为国家的重要组成部分，也在加速实现更加方便、快捷的信息化智能化校园。信息化程度也成为衡量世界“双一流”高校的重要标志。面对日益增加的高校信息系统，如何实现统一的安全管理已成为高校当下亟待解决的重要问题。文章结合北京交通大学的信息化环境，以目前拥有的信息系统运行、维护状态为研究始点，通过日常工作中解决问题的方法、策略，将信息系统备案、等级管理、系统漏洞、Web应用漏洞、安全通告整合在一个平台，对有安全隐患的信息系统以短信、邮件的方式通知负责人。此平台已实现信息系统建设、备案、所属单位、功能、开放端口、漏洞扫描、运行、整改升级的一个完整的流程，减少了安全设备之间多个平台的切换，提高了漏洞扫描准确率。

关键词：智能化校园;安全管理;系统备案;等级管理;漏洞扫描;安全通告;日志数据

中图分类号：TP391 文献标志码：B 文章编号：1673-8454（2019）21-0040-04

一、概述

2017年6月1日起《中华人民共和国网络安全法》施行后，加强信息系统安全管理是各高校信息主要部门的首要任务之一。目前我国高校校园内信息系统普遍存在的问题是：信息系统数量多;部分系统由使用单位负责建设;系统日常运行维护有的是自己维护有的是委托他人维护;大部分系统由于应用范围小和经费少而开发质量不高，開发时安全方面的因素基本没考虑。为了高效地对校园信息系统进行安全管理，我们开发了校园信息系统安全管理综合服务平台，如图1所示。该系统主要包括以下功能：

（1）信息资产管理（信息系统备案），为全校所有已开通的信息系统建立信息资产台账，内容包括系统的软硬件详细配置、物理位置、安全防护措施、所属部门、维护人员、数据备份情况等。

（2）信息系统安全状态记录，为每个信息系统建立安全状态记录（类似于安全病历），主要包含每次漏洞扫描发现的漏洞和漏洞处理（修复）信息。

（3）漏洞扫描信息处理，按照设定的时间周期（先设定为每月）自动或通过文件导入方式从漏洞扫描设备中导入扫描结果并将本次扫描与上次扫描进行对比分析，对新发现的高危漏洞进行综合分析，核实漏洞风险等级。对存在高危漏洞的系统（新发现漏洞和以往漏洞没及时处理的），自动生成整改通知并以邮件方式发送给该信息系统管理人员。

（4）安全通报管理，包括全校安全通告、各二级单位通告、网段分析扫描报告、高风险系统预警和漏洞修复提醒。

（5）信息系统安全状态分析，系统通过获取并分析部署在校园网中安全系统的安全数据（WAF日志、IPS日志、访问量等）结合系统自身漏洞和软件配备，通过关联分析法处理每个信息，及时发现高危系统。

（6）备份管理，根据各个备案系统负责人填写的备份周期和最近一次备份的时间，及时通知各系统负责人按时备份。

（7）等级保护管理，按照等级保护的要求，提供辅助定级、差距分析和辅助测评的功能。

目前该系统已经试用于北京交通大学信息中心的实际工作中，使用该系统后，不仅大大减轻了安全管理人员工作量，而且实现了学校对信息系统的全方位科学高效的管理。

二、系统架构

根据校园网安全管理服务平台的功能需求，本系统采用了B/S体系结构，如图2所示。信息安全管理员、二级单位管理员和三级用户所使用的工作界面通过浏览器来实现，事务逻辑的主要部分在服务器端实现，极少部分通过前端实现。这种设计模式极大地简化了客户端电脑负载，减轻了系统升级与维护的工作量和成本，降低了用户的总成本。

三、系统功能

信息资产管理主要是对校园网中存在的信息资产进行登记备份，并根据等级保护测评的要求，实现对资产的管理。

漏洞管理实现了对漏洞库的管理和对各单位系统漏洞信息的管理，能提供发现并记录漏洞信息功能，查询系统漏洞信息，发现系统未解决漏洞、已解决漏洞情况以及进行新增漏洞查询和业务审核。

备份管理主要实现了用户按期进行备份的功能、按期提醒用户进行数据备份的功能以及管理员查看用户备份信息的功能。备份管理的意义在于监督并提醒用户按期对重要系统、信息、数据进行备份，以免产生数据丢失或系统不可修复等严重后果。

开通校园访问信息包含了校园网中存在的各服务器的基本信息以及服务器开放的端口信息。提供查询和修改功能，在必要的时候，及时开放或关闭服务器特定端口，协助管理员维护校园网安全。

系统实时安全状态采用各种图形表示方法对校园网的安全状态进行可视化展示，生动直观地展现校园网中存在和潜在的安全隐患。

安全通报管理是对校园网整体安全状况的一个总结通告。包括全校安全通告、各二级单位通告、网段分析扫描报告、高风险系统预警和漏洞修复提醒。通过选择通告类型，管理员可以将近一段时间内的系统漏洞存在状况、系统受攻击情况、校园网安全状况进行汇总，并自动生成分析报表，最终以Word文档的形式下发到各系统负责人手中，起到监督和提醒作用。各系统负责人可下载文档并查看，根据报告内容和整改方法对所负责系统进行管理和维护。下面对各功能模块进行详细介绍。

1.信息资产管理

信息资产管理模块，主要的功能就是对学校现有资产的管理。可以通过该系统实现信息资产的登记、备案信息的查询，以及等保测评对应信息的展示等。

用户可以通过上传Excel文件上传备案的信息，备案信息表为Excel表格，可以直接从学校的OA系统中导出。

导入备案信息后，可以查看所有的备案信息。包括IP、域名、系统名称等等，还可以将备案信息以pdf格式进行导出。

（1）点击详情，可以查看详细的备案信息。包括：①基本信息，有系统名称、系统IP、系统所属单位、系统提供商、服务器位置、服务器类型;②人员信息，有系统负责人、技术负责人的办公电话、手机、邮箱;③系统软件，有操作系统名称、操作系统版本、数据库名称及版本、Web服务版本类型及日期;④应用软件，含软件名称、版本、开发环境、来源、维护方式;⑤备份信息，指是否有备份计划、备份数据量、备份人员联系方式（名字、工号、电话、手机、邮箱）等内容;⑥维护信息，有维护方式、维护人员联系方式;⑦防护措施，有防病毒软件名称、版本，是否安装防篡改软件，其他安全防护措施。

（2）点击漏洞，了解到该条备案服务器的漏洞情况，包括系统漏扫（IP漏扫）和应用漏扫（Web漏扫）的漏洞登记，以便了解其安全状况。

2.漏洞信息（信息系统安全状态）管理

各高校的信息安全工作室都部署有自己的漏洞扫描系统，并且会定期对校园网中存在的各个系统进行漏洞扫描，获知系统中存在的漏洞情况，用来评估校园网的安全状态。所以对漏洞信息的管理是一项非常艰巨的任务。

安全管理服务平台中的漏洞信息管理模块提供了对系统漏洞信息的管理业务。协助管理员获取并查看各系统的漏洞信息，并且提供各二级机构系统漏洞统计情况查询，以及新增漏洞的查看和审查业务。

该平台可以通过自动获取漏洞扫描信息或者人工手动导入漏洞报表两种方式将校园网内已备案系统所存在的漏洞信息记录到数据库中。例如北京交通大学通过绿盟扫描发现系统IP漏洞，并通过绿盟提供的接口定时将已完成的扫描任务中的数据导入到安全管理服务平台中以供查询。另外，也使用绿盟提供漏洞扫描系统可以发现系统的Web漏洞，扫描任务完成后会生成漏洞信息报表，可以通过导入Excel或xml格式的漏洞信息报表导入漏洞信息。

将各种漏洞信息整合到安全管理服务平台之后，管理员可以通过选择二级单位来查看全校每个二级单位下各系统存在的漏洞信息;单位管理员可以查看属于本单位的系统中存在的漏洞情况;用户也可查看自己负责的主机安全情况。

安全管理服务平台还提供了已解决漏洞和新发现漏洞查询功能。用户通过详情菜单可以详细获知系统存在的漏洞名称、风险等级、发现时间，以及已解决漏洞数量、新发现漏洞数量等信息。

虽然各高校部署的漏洞扫描系统有所不同，但是安全管理服务平台提供了一个漏洞库用来记录各种漏洞扫描系统发现的所有漏洞信息。

漏洞库管理就是对这些漏洞信息进行管理。其中详细记录了漏洞名称及版本号、漏洞描述及危害、漏洞的解决方案等内容。对于漏洞库中新出现的漏洞，系统提供新增漏洞查询功能，管理员可随时了解新漏洞的出现情况并通过人工核查或自动审查的方式完成对新增漏洞的审查过程。

3.备份管理

本系统可以通过各个备案系统负责人填写的备份周期和最近一次备份的时间，及时通知各系统负责人按时备份，对所有备案信息统一管理，结果清晰明了，更加利于管理。

4.开通校外访问信息管理

该系统还展示了学校开通校外访问端口机器的管理，支持通过文件来导入端口信息，存入数据库中，等需要查询系统信息的时候直接搜索。

5.系统实时安全状态管理

系统通过获取并分析部署在校园网中安全系统的安全数据，得到校园网入侵日志信息和校园网中各网站的访问量及网站的受攻击情况。并使用HighCharts插件将这些信息以图表的形式实时、动态地展现出来。

通过条形图来展现校园网中主流站点的访问量统计，可以间接地体现学校师生浏览校园网站的习惯和偏好，结合主流站点受攻击情况进行分析，可发现学校师生经常访问的网站中存在的安全威胁。通过采取相应的措施对安全威胁系数较高的系统进行重点防范。

通过条形图来表示校园网中受攻击站点的统计量可以直接发现校园网中最易遭受攻击的网站，以此来明确需要重点保护和防范的站点对象。

通过分析WAF日志信息，统计入侵拦截原因（见图3）和入侵类别（见图4），可以发现校园网中最易受攻击的入侵类型，以及哪些主机最容易被攻击者盯上，从而为制定安全防护策略提供一个重要依据。

6.安全通报管理

在原有完备的网络安全防护体系、日常的安全防护监控的基础上，坚持常态化（每月一次）的系统漏洞与Web应用漏洞扫描，对全校的信息系统网站进行定期漏洞扫描。[1]此平台将各个安全设备日志加入进来后，综合评估每个漏洞的准确率，提升了所报漏洞的质量。同时结合北交大短信平台和邮件系统，将有漏洞的系统直接下发到负责人那边，使整个处理流程更加便捷。

（1）全校及二级单位信息安全通报

首先是针对各个服务器主机的系统漏洞信息安全通报。漏洞统计机制是通过本平台获取到的漏洞信息进行统计的。各二级单位的漏洞总数、高危漏洞数是指，该二级单位下所有本平台中的IP和Web的漏洞总数累加和高危漏洞累加，每个IP或者系统中只要出现了一条高危漏洞，则该IP的风险等级即为高。

面向二级单位的安全通告的主要内容有，该二级单位下应用系统的高危漏洞数，以及存在高危漏洞数的IP列表，列表包括风险等级较高的IP，以及其相关负责人等。其中高危漏洞类型以及名称可以在漏洞信息表中进行查询。

管理员可以将此通告发布给二级单位，同时二级单位管理员也可以通过平台下载获取所属本单位的安全通告。

全校通告中，主要是全校所有二级单位中的漏洞数，高危漏洞数以及各个二级单位下的未及时备份的系统数和入侵信息统计，包括主流网站访问量以及受供给情况统计前十和受攻击站点统计前十。

（2）高风险主机安全通告

該系统还具有高风险主机安全通告的功能，主要分为Web高风险主机通告和IP高风险主机通告。其中Web的攻击信息来自于网站应用级入侵防御系统（WAF和Web应用漏洞扫描系统），IP的攻击信息来自于入侵检测系统数据（绿盟的远程安全评估系统）。结合备案中系统所存在的漏洞信息，实现了漏洞攻击的综合分析，最终得到每台备案的告警信息。全校各个时间段内所有备案系统中危险等级为高的系统列表显示。

选择具体二级单位后，是所属各二级单位备案的危险情况的详细信息，可以查看各个备案的详细分析过程以及定级原因。

高风险主机IP的分析过程与Web分析过程一致，攻击类型以及漏洞类型不同，但是分析过程是相同的。

（3）短信、邮件通知

该系统与北交大自主研发的短信平台、邮件系统结合，既可以同时下发短信、邮件通知，也可以选择性地给各个备案系统的负责人发送短信或者邮件，此功能高效、方便地通知到各个系统的责任人，提高了日常办公效率。

7.等级保护管理

自我国实行网络安全等级保护制度以来，在政府部门的鼓励和带领下，我国社会各行各业陆续将信息安全等级保护提上日程。其中，等级保护测评过程，作为验证信息系统是否满足相应安全保护等级的评估依据也有序地开展起来。

安全管理服务平台提供系统的定级和等级保护测评功能。系统的等级保护管理模块由知识库管理和系统测评两部分组成。

知识库管理部分记录了各级测评的基本要求，以及一些安全条例和测评案例。用户可以在充分了解测评要求后对自己所维护的系统进行有目的的管理，使自己所负责的系统基本达到测评要求。另外，用户可以通过安全条例和测评案例对等级保护测评有一个明确的认识，并可以自己对系统进行粗略的评估，按照等级保护的要求对系统进行管理。

系统测评部分可分为信息系统定级部分、现场测评实施和测评结果分析三部分。

①信息系统定级可以依据《等级矩阵表》对系统定级，也可对信息系统业务描述进行分析，并參照《信息系统安全等级建议表》确定信息系统的安全等级。②现场测评实施包括信息系统资产管理、制订工作计划、确定测评方案，最后按照确定的安全等级，收集系统对应的数据，并根据测评项的权重和测评项的符合程度，计算信息系统满足所确定等级的程度。③测评结果分析首先采用饼图和柱形图对测评结果动态可视化，便于系统负责人对信息系统的整体情况有一个直观的了解，然后动态生成差距分析报告并发送到客户端供用户下载。

四、总结

此安全管理研究方案建立在高校特殊环境下，以北京交通大学为例，将OA、第三方扫描软件、信息报告结合起来，减少了各个流程的间隙，提高了每次处理信息安全问题的速度。

随着我国信息化程度的不断加深，高校信息安全也需不断完善，防毒墙等防护设备的加入，将加强整体校园防护。更多安全设备之间的兼容、配合，发挥出防护设备的最大价值还有待进一步研究与探索。

参考文献：

[1]孙建立，李歆丽等，高校环境下的信息系统备案与安全管理研究[A].中国计算机用户协会网络应用分会2018年第二十二届网络新技术与应用年会论文集，2018.

（编辑：王天鹏）