肖 伟
(扬州大学信息化建设与管理处 江苏 扬州 225012)
在信息技术高速发展的今天,互联网和信息化已经融入社会生活的方方面面,给人们的生产生活带来了诸多便利。与此同时,网络安全问题也伴随着网络应用的普及而扩散,给国家安全、社会稳定和公众利益带来了新的安全挑战。高校在社会中承担了人才培养、科学研究、社会服务等诸多职能,扮演着学校、研究机构、服务单位等多种角色。作为一个拥有多重属性的机构,所面临的网络安全问题尤为突出,如何及时、高效、妥善地处理好网络安全突发事件,是众多高校在网络安全管理工作中面临的共性难题。
高校在网络安全应急管理工作中普遍存在以下几个方面的问题:一是资产归属不清晰。在信息化建设中,信息系统和服务器之间往往会出现一对一(一台服务器运行一个信息系统)、多对一(多台服务器组成一个信息系统)的复杂情况,发生网络安全问题时往往无法准确定位到相应的信息系统和服务器,无法及时联系到相应的系统管理员,应急响应工作难以进行[1];二是问题通报不及时。目前对网络安全问题的通报,主要是通过借助网络聊天工具、电子邮件等渠道下发通报文件的方式来实现,难以确保相关工作人员能够及时获知信息、接收到通报文件并进行处置;三是处置流程不智能。现有的处置流程是学校网络安全管理员收到安全通报后,通知安全工程师进行初步验证,确认问题真实存在后,通知网络工程师在防火墙等设备对涉事系统进行网络限制,同时由安全工程师进一步验证问题并编制标准化安全通报文件[2]。通报文件下发后,由涉事系统的管理员进行处置并反馈处置结果,经安全工程师确认处置完成后,由网络工程师恢复涉事系统的网络访问。在实际工作中,很多宝贵的时间花费在与各环节人员的对接上,影响了网络安全应急响应的效率。
为了解决上述问题,建立一套网络安全应急管理平台就显得很有必要。通过这套平台能够实现以下功能:一、建立清晰明了的资产清单;二、建立及时通畅的通报渠道;三、建立智能高效的处置流程。
高校普遍拥有数十个业务部门和学校,业务涉及面广,信息系统的功能包罗万象。网络安全管理工作面临着 “二级单位多,业务种类多,信息系统多”的问题[3]。在这种情况下,高校网络安全应急响应管理平台,在运行过程中就需要把所有单位都容纳进来,建立一个“从上而下,到底到边”,覆盖到校内的所有部门和学院的“校、院、个人”三级垂直管理体系。
本平台运行体系的顶层是学校网络安全与信息化领导小组,负责全校网络安全应急响应汇总和安全形势分析研判,组织开展网络安全应急响应通报,统筹协调网络安全应急响应处置。网络安全主管部门(一般为信息化部门)负责承担学校网络安全应急响应的日常工作,是学校网络安全应急管理的直接责任单位,负责学校网络安全应急响应管理平台的建设、技术支撑和日常管理,负责学校网络和信息系统(网站)的安全监测、漏洞扫描、督促整改、统筹管理和综合评估,负责对各二级单位网络和信息系统(网站)进行监管并对安全管理员进行网络安全应急响应培训。各二级单位在学校统一领导下负责本单位网络安全应急响应工作。各单位指定政治可靠、业务能力强、有责任心的在编在岗职工担任网络安全管理员,负责统筹本单位的网络安全应急响应管理,并与网络安全主管部门对接本单位所有信息系统的信息安全事件应急处理与反馈等工作。各单位在对本单位信息资产进行梳理的基础上,为每一个信息资产指定系统管理员,负责该信息资产的网络安全应急响应管理工作,在发生涉及该信息资产的网络安全事件时执行具体的响应处置工作。
本平台从底层往上,按照业务逻辑和安全管理的要求,分为物理层、数据层、功能层、应用层等四个层级,此外还包括平台本身的数据加密、数据监控、数据脱敏,平台与统一身份认证、短信平台等第三方系统的对接等功能模块。每一层的具体设计如下:
物理层,是校内所有设备在物理层面的展示。包括服务器、网络设备、安全设备、存储、数据库、云平台、虚拟化等,这个层面包括设备的物理位置、网络连接、存储连接等所有状态信息的收集汇总上传。
数据层,是将从物理层采集的数据信息,包括资产信息、配置信息、事件信息、漏洞信息等,进行数据层面的整理、过滤并做标准化处理后,形成可以被平台直接读取处理的标准数据[4]。本层还包括对用户主动输入信息的处理归档等。
功能层,包括信息系统管理、服务器管理、人员管理、漏洞管理、事件管理、处置流程管理等。既涉及对物理层所上报信息的处理,如某些端口出现流量异常如何处置,亦涉及从其他平台接入信息的处理,如省厅下发的漏洞通报如何下发并督促整改核查[5]。
应用层,这个层面包括信息资产界面、处置界面、日志界面、设备界面等,主要是平台与用户的交互界面。这个界面是日常用户实际接触使用的界面。
本平台主要包括四大功能模块:人员信息管理模块、信息资产管理模块、安全事件通报模块、应急响应处置模块,覆盖从事前日常管理、事中应急处置、事后整理分析三个阶段的全过程信息化管理需求。如图1所示。
图1 网络安全应急管理平台架构图
本模块用于实现全校范围的网络安全架构图谱和专职人员、网络安全人员和安全专家等三类人员的管理。
如图2所示:专职人员管理。包括各信息系统厂商人员的情况及变动记录,可以实现查询任一信息系统当前的技术人员名单、分工和联系方式。各单位网络安全人员管理,包括全校管理员,各单位网络安全与信息化管理员,各信息系统管理员等分级角色及权限[6]。该部分支持统一身份认证,对相关用户开放统一身份认证登录网络安全管理平台的权限,登录后能管理其权限内的信息系统。专家队伍管理,该部分包含校内专家和校外专家的管理,内容包括专家姓名、联系方式、擅长领域等,便于发生网络安全突发事件时能够联系到相关领域的专家获得技术支持。
图2 专职人员管理页面
本模块用于实现资产扫描、资产认领、服务器与系统关联、资产全生命周期管理等功能。信息资产包括网络资产、信息系统资产、服务器资产、IP资产等。
网络资产,包括机房、弱电间、网络设备的地点、责任人等清单[7],确保出现网络安全事件时能够快速定位到相应网络安全设备。信息系统资产,包括资产的基本功能、启用时间、责任人、维保信息、插件信息等。根据系统用途、重要性等对信息系统资产进行分级,一共分为三级:一级最高,三级最低。出现安全事件时,根据信息系统安全等级决定着应急响应等级和安全事件等级。服务器资产,通过资产发现系统主动检测,各单位自行上报等渠道,建立服务器资产库。内容包括资产类型、IP地址、CPU、内存、硬盘、单位、管理员等信息。IP资产,包括协议版本、是否公网IP、解析域名、绑定主机等信息。数据资产,包括数据字段、是否包含公民个人信息数据、资产来源、开放情况、调用及审批情况等。如图3、图4所示。
图3 服务器资产管理界面
图4 IP资产管理界面
如图5所示,本模块用于实现事件验证、事件分类分级、应急处置、通报下发等功能。发生安全事件时,首先判断事件类型,根据不同的事件类型和事件原因,由平台自动采取科学有效的应急处置措施,如临时关闭80端口、停止web服务等,降低事件影响[8]。对网页篡改、公民个人信息泄露等紧急事件,可以先做应急处置再通过平台通知网络安全工程师对事件进行验证,确认事件真实性后,根据事件类型、影响范围、对客体的侵害程度等要素,将事件分为四级:一级最高,四级最低。编制网络安全通报并通过平台下发至相关单位网络安全与信息化管理员和信息系统管理员。
图5 安全事件通报界面
本模块用于实现事件处置、结果上报、复测验证、业务恢复、溯源取证等功能。相关网络安全工作人员在收到安全通报后,一方面要确认事件当前状态,采取临时措施控制事态发展;另一方面通知技术人员开展事件处置工作。网络安全主管部门收到反馈后,需要对网络安全事件进行复测验证,确定事件已处置且无遗留问题后,由平台自动下发命令到相应网络和安全设备,恢复业务[9]。业务恢复后,视事件类型、危害程度等因素,由网络安全主管部门和相关单位会商决定是否进行溯源取证。流程流转到某个环节时,平台通过短信、邮件等渠道自动发送相关信息给对应人员,工作人员登陆平台即可看到当前的处置任务。通过流程图实时记录相关工作人员登陆平台及处置情况并呈现给管理部门,做到实时高效处置。如图6所示。
图6 网络安全事件应急处置流程图
本文以高校网络安全应急管理需求为背景,研究了网络安全应急管理平台的运行体系,总体设计和人员信息管理、信息资产管理等模块功能。以信息资产为抓手,通过资产管理建立一张信息资产清单,做到出现网络安全问题可以快速定位[10]。在此基础上,借助安全事件下发处置流程建立一张能够有效运行的网络安全处置体系,平时通过日常事件处置来畅通通报渠道,维持体系运转并锻炼应急队伍。发生网络安全事件时,能够借助平台快速进行应急处置。本研究充分考虑了高校网络安全应急工作的复杂性,亦可适用于其他网络环境,如电子政务网、大型数据中心等,有一定的应用价值。