東北大學(xué)兩階段建設(shè)應(yīng)用安全管控體系

文/王宇 范吉立 李海雄

隨著高校信息化建設(shè)從業(yè)務(wù)部門分散建設(shè)與運維向?qū)W校集中運維過渡，部分高校信息化建設(shè)技術(shù)支撐部門逐步建立了服務(wù)于學(xué)校整體信息化建設(shè)和二級部門信息化需求的應(yīng)用托管服務(wù)，以虛擬化和私有云技術(shù)支撐的應(yīng)用托管服務(wù)成為集中托管服務(wù)的主要實現(xiàn)方式。

本文結(jié)合東北大學(xué)應(yīng)用托管服務(wù)的實際經(jīng)驗，從技術(shù)和管理角度介紹如何建設(shè)虛擬化托管環(huán)境的應(yīng)用安全管控體系。

應(yīng)用安全管控體系建設(shè)是高校虛擬化托管服務(wù)建設(shè)的重要組成部分，一般可以劃分成兩個階段，一個是整體規(guī)劃和實施階段，另一個是運行維護和優(yōu)化階段。

整體規(guī)劃和實施

在管理方面，有如下需要明確的內(nèi)容：

信息系統(tǒng)的主管部門應(yīng)是信息系統(tǒng)的校內(nèi)責(zé)任部門，對系統(tǒng)的安全負主要責(zé)任和管理責(zé)任；管理部門是學(xué)校信息化建設(shè)的整體管理和協(xié)調(diào)部門，對系統(tǒng)的安全負領(lǐng)導(dǎo)責(zé)任，并積極協(xié)調(diào)主管部門和技術(shù)部門做好網(wǎng)絡(luò)安全工作；技術(shù)部門是信息系統(tǒng)的運行維護部門，應(yīng)根據(jù)主管部門的需求，做好信息系統(tǒng)的安全運維和技術(shù)防護。若信息系統(tǒng)是面向師生或主管部門以外的部門提供服務(wù)的，師生個人和使用部門應(yīng)按照“責(zé)權(quán)一致”的原則，對系統(tǒng)操作、提供的數(shù)據(jù)和信息負直接責(zé)任，同時應(yīng)該嚴格按照信息系統(tǒng)的操作和管理規(guī)范使用。

東北大學(xué)

當學(xué)校軟硬件環(huán)境具有一定的網(wǎng)絡(luò)安全防護能力的同時，重點應(yīng)該放在管理制度和運行流程上,明確主管部門、管理部門、技術(shù)部門的工作內(nèi)容和職責(zé)擔(dān)當，劃清服務(wù)運維和應(yīng)用安全的責(zé)任邊界，并通過準入、防護、監(jiān)測、審計等技術(shù)措施保障運行維護的可管理和可持續(xù)性。

1.根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施認定和網(wǎng)絡(luò)安全等級保護定級備案的情況，規(guī)劃和建設(shè)滿足關(guān)鍵信息基礎(chǔ)設(shè)施和不同等級保護級別的信息系統(tǒng)防護要求的虛擬化資源池。首先要滿足系統(tǒng)間網(wǎng)絡(luò)隔離和流量可審計、可管理的要求，然后根據(jù)軟硬件投入情況，面向關(guān)鍵信息基礎(chǔ)設(shè)施、等級保護三級系統(tǒng)、等級保護二級系統(tǒng)、等級保護一級系統(tǒng)分別建立獨立的虛擬化資源池，或者整體按照較高的網(wǎng)絡(luò)安全防護要求進行虛擬化資源池的建設(shè)，在滿足網(wǎng)絡(luò)安全防護要求的基礎(chǔ)上實現(xiàn)較高的軟硬件資源利用率。

2.技術(shù)部門應(yīng)組建專職的應(yīng)用安全團隊，負責(zé)應(yīng)用安全管控體系的規(guī)劃、建設(shè)和實施，以及安全漏洞和事件的處置和應(yīng)急響應(yīng)等工作；集中托管環(huán)境的軟硬件應(yīng)提供服務(wù)準入、安全防護和服務(wù)監(jiān)測、流量審計等技術(shù)能力，并提供信息資產(chǎn)發(fā)現(xiàn)、記錄和變更等全生命周期管理的系統(tǒng)支持；在有第三方運維介入的需求下，也應(yīng)該具備專業(yè)的運維審計能力。

3.虛擬化托管服務(wù)采取準入模式，擬納入集中運維的信息服務(wù)應(yīng)滿足以下管理和技術(shù)要求：

（1）符合學(xué)?，F(xiàn)行的智慧校園建設(shè)規(guī)劃要求。

（2）招標采購、合同簽署、項目執(zhí)行等階段滿足學(xué)校信息化建設(shè)統(tǒng)籌管理對數(shù)據(jù)共享和網(wǎng)絡(luò)安全的基本要求。

（3）主管部門發(fā)起申請，提供等級保護級別、軟硬件需求、網(wǎng)絡(luò)需求（細化到端口、帶寬）等信息；技術(shù)部門對需求合理性提出評價建議，確認現(xiàn)有環(huán)境是否滿足需求以及提供不滿足需求時的解決建議；管理部門從學(xué)校信息化建設(shè)整體規(guī)劃和管理角度進行審批和協(xié)調(diào)。

圖1 應(yīng)用安全分域管控的拓撲示意

（4）在確定納入集中運維后，主管部門和技術(shù)部門簽訂校內(nèi)運維服務(wù)協(xié)議，明確雙方的承擔(dān)職責(zé)，并由管理部門備案。

（5）信息服務(wù)上線前，須在提供專業(yè)安全廠商滲透測試報告的基礎(chǔ)上由技術(shù)部門的應(yīng)用安全團隊確認服務(wù)安全水平滿足上線要求；信息服務(wù)對外服務(wù)端口為白名單形式，并要支持可監(jiān)測和可審計。

運行維護和優(yōu)化

高校虛擬化托管服務(wù)的運維和優(yōu)化是長期性、事務(wù)性的，應(yīng)用安全管控也是其中重要的組成部分。如何實現(xiàn)日常工作流程銜接順暢、運維工作量統(tǒng)計與服務(wù)故障及時發(fā)現(xiàn)與排查是運維階段應(yīng)用安全工作中需要重點關(guān)注的內(nèi)容。

高校信息服務(wù)的主管部門和技術(shù)部門之間的合作模式，是影響虛擬化應(yīng)用托管運行維護和安全管理的主要因素之一，通常有三類合作模式：

1.技術(shù)部門負責(zé)整體托管運行環(huán)境，根據(jù)主管部門要求創(chuàng)建和維護虛擬機；主管部門通過技術(shù)部門提供的可控的、可審計的途徑（如通過堡壘主機）更新信息服務(wù)相關(guān)的代碼和數(shù)據(jù)，如大連理工模式。

2.技術(shù)部門負責(zé)整體托管運行環(huán)境，根據(jù)主管部門需求創(chuàng)建虛擬機；主管部門通過技術(shù)部門提供的可控的、可審計的途徑（如通過堡壘主機）維護虛擬機和更新信息服務(wù)相關(guān)的代碼和數(shù)據(jù)，如東北大學(xué)模式。

3.技術(shù)部門負責(zé)整體托管運行環(huán)境，根據(jù)主管部門需求設(shè)置具有創(chuàng)建和維護虛擬機權(quán)限的二級管理員賬戶；或者主管部門自行創(chuàng)建和維護虛擬機。

目前，方式2比較常見，在這種模式下，技術(shù)部門承擔(dān)的日常維護工作量適中，應(yīng)用安全責(zé)任也可以明確在虛擬機邊界上，整體托管運行環(huán)境的安全防護措施提供輔助支撐，更多的安全防護措施要在虛擬機層面上由系統(tǒng)的主管部門及相關(guān)運維人員承擔(dān)。

應(yīng)用安全管控體系在日常運維階段應(yīng)該至少包含以下幾項工作：

1.技術(shù)部門應(yīng)建立托管服務(wù)在線管理系統(tǒng)，實現(xiàn)應(yīng)用托管服務(wù)的申請、審批、配置更新等工作的在線化，一方面便于提升運維工作效率，另一方面也可實現(xiàn)重要事務(wù)節(jié)點的歸檔和可追溯。

2.技術(shù)部門應(yīng)定期進行流量審計評價，并參照主管部門實際申請服務(wù)情況進行核實，及時發(fā)現(xiàn)未報批的信息服務(wù)或網(wǎng)絡(luò)服務(wù)，降低不可控安全風(fēng)險。

3.技術(shù)部門應(yīng)有一定的滲透測試能力，可以通過培養(yǎng)自有安全團隊或采購第三方安全服務(wù)獲得，在重大安全保障期間，主管部門申請對單個托管的信息系統(tǒng)進行滲透測試，以便及時發(fā)現(xiàn)安全隱患。

4.技術(shù)部門應(yīng)建立服務(wù)故障監(jiān)測系統(tǒng)，對集中托管的信息服務(wù)進行實時可用性監(jiān)測，有條件的可以提供頁面篡改告警監(jiān)測，及時發(fā)現(xiàn)重要信息服務(wù)的不可用或網(wǎng)頁篡改事件，做到早發(fā)現(xiàn)、早處置、早恢復(fù)。

高校虛擬化托管環(huán)境的應(yīng)用安全管控體系建設(shè)作為學(xué)校網(wǎng)絡(luò)安全保障體系的一部分，是保障高校智慧校園建設(shè)和運維的重要工作。隨著私有云、混合云等新技術(shù)應(yīng)用到高校集中托管運維中，托管環(huán)境的應(yīng)用安全管控體系構(gòu)建還要適時完善和提升。