江苏大学(图源官博)
近年来,高校网络安全管理工作越来越复杂,甚至存在安全死角,严重制约高校校园网络安全的管理保障。如何突破网络安全管理痛点难点,构建统筹协调有力、职责分工明确、部门协同高效、上下联动顺畅的工作机制,做到“家底清”“管理顺”“效率高”,提升网络安全管理和应急处置能力,是各高校开展网络安全保障工作的关键,也是江苏大学网络安全综合治理平台建设应用的重点。
高校网络安全工作现状
随着高校智慧化进程的加速,网络安全问题逐渐凸显,管理难度明显提升。同时,诸如暗链、弱口令、信息泄露、钓鱼邮件以及网页篡改等安全问题层出不穷,一旦发生会对全校网络的运行造成不利影响,对网络安全工作也造成了一定程度的冲击。总的来说,目前高校校园网络安全工作现状主要有以下几点问题。
一是高校专业技术管理人员配置普遍不足。一方面,日益复杂的网络安全管理工作和专业技术人员缺口之间形成了鲜明的矛盾;另一方面,高校各部门人员职责变动频繁,导致先前的宝贵工作经验与技术积淀难以得到有效传承与延续。同时,信息化管理部门内部其他成员在网络安全技术领域各有所长,却由于缺乏有效的整合机制而无法充分利用这些能力资源。
二是高校网络安全管理尚未形成体系。信息化管理部门需将绝大部分精力投入在公共基础平台建设和信息化项目统筹管理上,有相当一部分的网站和系统建设及管理只能交由学校各二级单位自己承担,而他们对于IT资产的网络属性及网络安全威胁往往缺乏足够的认识。基于这种情况,信息化管理部门在协调这些单位时面临巨大挑战,难以形成统一的网络安全管理体系,无法构建出全面系统的全校网络安全管理任务清单,不能切实有效地落实全校网络安全保障工作,一定程度上增加了校园网络安全风险,如项目建设只注重功能忽视安全、部署“双非”系统以规避学校管理、资产管理员频繁变更交接不完整、漏洞不及时修复、补丁不及时更新、僵尸系统未清理、闲置资产未回收等。这些问题不仅对学校的信息化和网络安全体系运行产生负面影响,还给蓄意攻击者提供了可乘之机。
三是难以及时准确掌握全校资产的全局信息。高校因为家底不清无法全面掌握资产信息,甚至存在资产信息错误且过时的情况,极大地影响了对学校真实网络安全现状的准确判断,进而难以制定及时有效可靠的防护策略,从而加剧了内容篡改、数据泄露、内网失陷等安全风险。
四是高校网络安全工作纷繁复杂,难以提升工作效率。首先网络安全日常工作中存在台账记录分散、不完整、不一致等问题,导致工作效率低下、耗时耗力,工作经验无法得到有效总结。其次,在高校网络安全建设过程中增设的网络安全设备大都处于孤立运行的状态,导致安全事件发生时需要逐一排查,严重影响事件处置效率。除此之外,部分高校从行政管理方面入手逐步加强IT资产管理,将网络安全工作纳入二级单位的考核指标,虽然提升了各单位对网络安全工作的重视程度,但同时也增加了二级单位的工作量和沟通成本。
总体来看,高校在网络安全管理方面尚未形成规范、系统的流程体系,网络安全管理与技术防范之间的协同机制略显薄弱,难以形成强大的合力效应,缺乏一套行之有效的网络安全综合治理体系,使得高校在应对网络安全挑战时稍显力不从心。
平台建设思路
在建设过程中,以IT资产管理和网络安全综合治理理论研究为指导,密切结合江苏大学的真实网络环境和网络安全日常工作任务,按照网络安全管理需要参与平台设计。针对IT资产管理水平欠缺、资产信息维护不及时不准确、网络安全工作台账缺失、孤立的安全设备无法联动、分散的安全技术实力得不到整合等问题,构建一个基于IT资产全生命周期管理的高校网络安全综合治理平台。平台建设的总体思路如下。
1.打好网络安全治理工作数字化转型基础,实现对学校IT资产的全生命周期管理。通过技术手段对接虚拟机平台、堡垒机、终端安全响应平台等渠道,智能收集资产信息,做好资产的深度统计分析,全面准确地呈现学校IT资产全景图,深化IT资产的精细化管理,促进多人高效协同、信息无缝共享与工作高效交接,推动网络安全管理工作效率的大幅提升。同时,将网络安全工作贯彻到每个IT资产的全生命周期中,切实掌握资产的等保备案、供应链情况、安全风险评分、通报整改、开放策略等信息,确保资产的安全稳定运行。
2.加强网络安全过程管理,建立完整的网络安全工作台账。平台对接使用学校原有的网上办事大厅流程,整合并结构化记录各项日常网络安全工作台账,通过深入的综合分析,形成适用于江苏大学的网络安全知识库,为江苏大学网络安全治理工作提供数据支撑。
3.搭建统一的网络安全协作模块,为二级单位提供便捷的网络安全工作入口。各二级单位能够直观掌握本单位的IT资产概况、安全人员配置以及安全事件通报整改情况,进而促进网络安全信息的无缝对接与高效协同,减少行政负担,形成合力共筑网络安全屏障,确保校园网络环境的安全稳定。
4.整合安全技术力量,提升网络安全工作的效率和自动化水平。搭建Web安全网关赋能学校Web服务监控,归集常用安全设备和管理平台的数据和功能,打造网络安全管理控制中心。利用REST API、SOAP、数据库、模拟登录、定时任务等方式实现与孤立运行的安全设备联动,持续整合分散的各种安全技术实力,形成一体的网络安全工具库。
平台总体设计架构如图1所示,采用前后端分离的软件架构体系,围绕IT资产的管理,力求全面整合并融入各类网络安全设备或平台的功能与数据,实现资源的最大化利用与共享。同时,精细化平台用户权限,提供丰富的基础功能,保证平台的安全性、健壮性、可维护性、可扩展性,最大限度地实现网络安全治理工作的数字化、自动化、智能化水平,把平台打造成网络安全治理工作的指挥台。
图1 江苏大学网络安全综合治理平台架构
平台总体功能
江苏大学网络安全综合治理平台总体功能包括IT资产管理、Web安全网关管理、网络安全组织管理、日常工作台账管理、网络安全监控中心、重保工具、项目管理、网络安全等保管理、统一消息中心等模块,具体功能搭建如图2所示。
图2 平台总体功能
1.基础平台及大屏展示。首页大屏将学校资产数量、通报数量、资产备份数量、EDR部署、密码托管等情况进行可视化展示,方便用户直观了解网络安全相关数据。平台对接学校统一身份认证,分角色控制访问权限,同时提供配置中心,允许管理人员根据业务场景需求灵活配置相关参数、菜单、表单以及权限,从而实现个性化的系统配置和优化用户体验。除此之外,平台具备完善的日志文档记录功能,能够详细记录用户在平台中的登录、操作、变更等关键信息,为日后审计工作提供依据,确保平台可追溯性。
2.IT资产管理模块。平台具备强大的IT资产全生命周期管理能力,能够全面覆盖校内硬件资产、信息资产、大屏资产、移动应用、数据资产及单位邮箱的所有重要信息。在IT资产完成数据归集的基础上,实现了硬件资产和信息资产相互关联,提供各类资产关联性查询、便捷检索、批量变更资产信息、硬件资产盘点、同步对比堡垒机信息、Web一键准入/下线、快速创建爬虫任务、快速创建访问策略、站群管理规范检查等功能。其次,可通过资产盘点和资产雷达功能自动发现资产、完成资产盘点、更新硬件资产的状态、明确“双非”资产的归属。不仅如此,针对不同安全策略,可通过网络分区模块灵活分配、管理IP地址,精准探知未进行维护登记的资产IP,确保网络安全和资产管理的全面覆盖。
3.Web安全网关管理模块。平台通过功能强大的安全网关实现网站、信息系统的对外服务的扎口管理,基于学校实际情况不断调优,形成了适合学校的最优配置。安全网关模块包括支持IPv6和IPv4的相互转换,支持HTTPS一键升级,支持网站、信息系统一键断网,支持访问策略灵活定制,支持根据不同运营商网络自动匹配最优出口,支持个性化定义资源访问策略返回页面等核心功能。除此之外,通过统计分析Web日志和监控网关实时运行情况,可使用户获得关于性能、使用状况及安全性等方面的全面洞察。
4.网络安全组织管理模块。该功能模块既面向网络安全管理人员,也服务于学校各二级单位的网络安全相关人员,有助于形成统筹协调有力、部门协同高效、上下联动顺畅的工作机制,提升全校应急处置能力。网络安全管理人员能够轻松维护学校网安队伍、二级单位信息、组织架构等信息,审核二级单位网络安全自查情况,完成网络安全考核任务的发布和管理;各二级单位网络安全联络人能够查询本单位各类IT资产信息,在线完成网络安全承诺书确认、资产状态确认、人员信息确认、网络安全自查等工作。
5.日常工作台账管理模块。该功能模块能够方便清晰地记录威胁通报整改、故障处置、补丁修复、事件处置等网络安全日常工作的台账,并将这些台账整理归类,形成一个可供查询参考的知识库,不仅有助于跟踪工作进展、保障工作连续性,还能够为后续工作提供宝贵的历史数据和经验借鉴。
6.网络安全监控中心。该中心利用平台构建的知识库和工具库,可以实时监测暗链、敏感信息泄露、钓鱼邮件等常见威胁,及时发现网络安全威胁事件并采取处置措施。同时配备有与中科大权威黑名单库同步的IP黑名单库,并与网关实现了联动,以此降低网络安全事件带来的影响。监控中心还积累了一些优质的威胁情报来源和辅助工具平台,帮助网络安全管理人员进行决策。
7.重保工具。该功能模块提供重保策略、重保监测和一键断网三样工具,辅助网络安全员落实重保期间的网络安全保障工作。学校重要网站和信息系统遵循非必要不对外原则,为满足各业务单位的信息化工作要求,通过配置重保策略,可在特定时间快速放开或关闭系统的校外访问。在重保时期对学校重要网站进行实时监测,结合威胁情报判断网站是否被篡改,方便值班人员快速发现网页篡改情况并及时做出响应。当有网络安全事件发生时,网络安全员无论何时何地都可通过一键断网工具进行快速响应。一键断网工具配有三种断网策略:一是切断校外对校内全网段的访问;二是切断对问题网站及信息系统的访问;三是切断对问题URL的访问。网络安全员可根据响应级别,选择对应的断网策略,完成突发事件的应急处置。
8.等级保护模块。该模块可以根据等保2.0要求和学校智慧校园建设的发展情况,对现有等保二级及以上系统的备案和等级保护测评信息进行维护。
9.项目管理模块。用户可以便捷地更新和维护信息化项目相关信息,监控项目维保到期情况,明确招标需求和标准,建立科学的评分体系,同时管理供应商信息和联系人资料,从而全面提升信息化项目的管理效率。
平台应用效果
随着江苏大学网络安全综合治理平台建设与应用,其实践效果显著,为学校网络安全工作提供了更加全面、高效的支持。平台投入使用后,网络安全工作人员能够主动维护数据,并逐渐熟练使用平台功能,使得网络安全工作数字化、自动化、精细化水平持续提升,网络安全工作组织协调能力显著提高,形成了高效的网络安全工作协调机制。
通过平台与各网络安全设备联动和自动监测、网站及信息系统的统一扎口管理、网络安全事件处置跟踪以及线上开展网络安全管理和考核工作,大幅降低了网络安全管理复杂度。截至目前,该平台已掌握全校各类IT资产状态和详细信息,包括但不限于硬件资产364台、联网大屏31台、网站及信息系统394个、“单非”或“双非”系统28个、App和小程序3个等。除了摸清全校资产外,全年主动发现并处置暗链253个,处置150多个个人敏感信息泄露文件,发现多起钓鱼邮件,大大提升了主动发现安全隐患能力。平台安全网关、监控中心、重保工具、台账管理等功能模块均发挥了突出作用,不仅实现了新建资产快速准入,还提高了对各类网络攻击的防范能力和应对速度,大幅降低了网络安全事件发生率,有效保障了学校信息系统的安全稳定运行。
平台建设展望
下一步,在平台建设日益完善以及应用逐渐铺开的过程中,通过不断迭代,可以逐渐形成一套可持续的研发模式,技术和管理水平相互促进,基于日常网络安全工作场景,进一步丰富完善功能模块。尝试纳入智能化和自动化管理,减少人工干预,提高网络安全管理的效率和准确性。持续完善网络安全防护体系,考虑进一步将数据安全治理功能融入平台,提升平台整体安全防御能力。除此之外,我们还将加强与其他高校之间的跨域协同,共享平台建设经验,共同应对网络安全挑战。
课题项目:江苏省现代教育技术研究2023年度智慧校园专项课题(课题编号:2023-R-107316)
作者:卞海彤、张培、朱士瑞(江苏大学数据与信息化处)