淺談高校Web資產(chǎn)的全生命周期治理方法

◆謝黨恩 梁瑞 常思遠(yuǎn) 馮戰(zhàn)申

校園網(wǎng)絡(luò)安全

淺談高校Web資產(chǎn)的全生命周期治理方法

◆謝黨恩 梁瑞 常思遠(yuǎn) 馮戰(zhàn)申

（許昌學(xué)院 河南 461000）

隨著高校信息化的快速發(fā)展，校園內(nèi)各類應(yīng)用系統(tǒng)日益增多，信息化在提高工作效率的同時(shí)也帶來了相應(yīng)的安全隱患。本文以高校Web資產(chǎn)治理為切入點(diǎn)，提出了一種基于“五步法”的全生命周期資產(chǎn)治理方法，詳細(xì)論述了每個(gè)環(huán)節(jié)的具體實(shí)施方案，希望能夠?yàn)楦咝Ｐ畔⒒瘡臉I(yè)者提供借鑒。

資產(chǎn)治理；備案管理；立體化防御；網(wǎng)絡(luò)安全

隨著高校智慧校園建設(shè)的有序開展，Web業(yè)務(wù)已廣泛應(yīng)用到校園生活的方方面面，Web網(wǎng)站成為互聯(lián)網(wǎng)最重要的信息傳播與業(yè)務(wù)運(yùn)營(yíng)平臺(tái)。與此同時(shí)，互聯(lián)網(wǎng)的開放性使得安全生態(tài)十分脆弱，承載著豐富功能與數(shù)據(jù)的Web應(yīng)用成為黑客攻擊的首要目標(biāo)，網(wǎng)站的數(shù)據(jù)安全與運(yùn)營(yíng)安全都面臨著極大威脅[1]。為此，本文基于Web資產(chǎn)的生命周期建立一個(gè)安全模型，通過摸清家底、備案審核、立體化防御、自動(dòng)化運(yùn)營(yíng)和應(yīng)急處置五個(gè)環(huán)節(jié)，構(gòu)建一個(gè)基于“五步法”的全生命周期資產(chǎn)治理安全防御體系。

1 摸清全網(wǎng)資產(chǎn)

隨著校園信息化建設(shè)的不斷深入，Web系統(tǒng)成為教學(xué)、辦公、學(xué)習(xí)、生活、宣傳等不可缺少的一部分，而Web系統(tǒng)的不斷增多卻導(dǎo)致了管理上的問題。由于申請(qǐng)主體意識(shí)層面的問題，往往在需要的時(shí)候申請(qǐng)網(wǎng)站，而不需要時(shí)卻不能及時(shí)關(guān)閉；并且存在個(gè)別師生依托學(xué)校資源建立個(gè)人博客、個(gè)人學(xué)術(shù)論壇的現(xiàn)象，但往往只重用途，不重安全。而學(xué)校信息中心人員有限，無法對(duì)Web系統(tǒng)實(shí)時(shí)進(jìn)行檢查，由于這些不能及時(shí)進(jìn)行統(tǒng)計(jì)的Web系統(tǒng)，導(dǎo)致學(xué)校的整體安全時(shí)刻存在隱患，導(dǎo)致我們只防護(hù)了已知資產(chǎn)，對(duì)未知資產(chǎn)缺乏防護(hù)措施，最終導(dǎo)致未知資產(chǎn)被不法之人利用，進(jìn)而橫向繞過我們安全防護(hù)體系實(shí)施攻擊，使安全防護(hù)能力大大減弱。

常用的資產(chǎn)摸底方法包括被動(dòng)流量分析和主動(dòng)探測(cè)發(fā)現(xiàn)兩種方法[2]。被動(dòng)流量分析法一般在網(wǎng)絡(luò)出口旁路部署自學(xué)習(xí)引擎，通過對(duì)鏡像流量http/https訪問的分析，自動(dòng)發(fā)現(xiàn)校園網(wǎng)內(nèi)對(duì)外提供訪問的網(wǎng)站及業(yè)務(wù)系統(tǒng)。對(duì)于內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的發(fā)現(xiàn)，可以通過在各安全域部署探針，發(fā)現(xiàn)內(nèi)部基于Web訪問的業(yè)務(wù)系統(tǒng)。通過DPDK（（Data Plane Development Kit）的深度檢測(cè)學(xué)習(xí)[2]，除了可以自學(xué)習(xí)發(fā)現(xiàn)Web資產(chǎn)，同時(shí)也可以發(fā)現(xiàn)其他協(xié)議類別的非Web服務(wù)。然而被動(dòng)資產(chǎn)梳理存在一個(gè)弊端，就是當(dāng)資產(chǎn)沒有被任何人訪問，沒有產(chǎn)生流量時(shí)無法被識(shí)別。主動(dòng)探測(cè)發(fā)現(xiàn)法通過對(duì)指定校園網(wǎng)地址段進(jìn)行逐個(gè)全量端口掃描的方法來發(fā)現(xiàn)網(wǎng)絡(luò)空間中的資源信息。該方法通常采用了TCP/IP協(xié)議族中的ICMP協(xié)議，通過ICMP協(xié)議中的反射請(qǐng)求與應(yīng)答數(shù)據(jù)包提供的功能來實(shí)現(xiàn)與目的主機(jī)的通訊，并以此作為對(duì)所需探測(cè)數(shù)據(jù)獲取的平臺(tái)，通過多次探測(cè)和對(duì)探測(cè)數(shù)據(jù)的統(tǒng)計(jì)分析，來實(shí)現(xiàn)對(duì)潛伏主機(jī)的資產(chǎn)畫像。

基于以上的兩種方式，可以摸清學(xué)校內(nèi)網(wǎng)和外網(wǎng)所有提供的Web和非Web服務(wù)，并進(jìn)行相應(yīng)的資產(chǎn)畫像。資產(chǎn)畫像信息一般包括設(shè)備指紋（設(shè)備類型、操作系統(tǒng)版本、設(shè)備品牌等）、服務(wù)端口（標(biāo)準(zhǔn)端口、非常用端口、不合規(guī)端口等）、應(yīng)用指紋（應(yīng)用類型、應(yīng)用開發(fā)框架、應(yīng)用開發(fā)語言、應(yīng)用備案信息、應(yīng)用域名信息等）。掌握了指紋信息后，一旦某系統(tǒng)或某中間件爆出漏洞，則可快速確定網(wǎng)絡(luò)中使用該版本的服務(wù)器，為后續(xù)的應(yīng)急處置提供條件。

2 強(qiáng)化備案管理

通過資產(chǎn)摸底，在掌握了數(shù)據(jù)中心資產(chǎn)信息的分布之后，下一步要對(duì)資產(chǎn)信息進(jìn)行一對(duì)一的備案審核。按照“誰主管，誰負(fù)責(zé)；誰運(yùn)營(yíng)，誰負(fù)責(zé)；誰接入，誰負(fù)責(zé)”的原則進(jìn)行備案，對(duì)問題資產(chǎn)能夠快速定位責(zé)任人并限期做出整改。此過程中對(duì)資產(chǎn)的安全狀況進(jìn)行評(píng)估，是否存在上線條件，對(duì)不符合上線條件的系統(tǒng)阻止其上線，強(qiáng)制執(zhí)行，對(duì)安全漏洞不姑息，系統(tǒng)下線不手軟，回收控制權(quán)限。

在備案管理中有一個(gè)非常重要的環(huán)節(jié)就是上線前的安全檢查，通過“風(fēng)險(xiǎn)識(shí)別—加固修復(fù)—復(fù)測(cè)”循環(huán)的過程對(duì)資產(chǎn)上線前進(jìn)行評(píng)估，對(duì)符合上線要求的對(duì)象準(zhǔn)予提供服務(wù)，不符合要求的對(duì)象重新整改加固，直至加固到符合要求，如圖1所示。

上線前的安全評(píng)估主要包括安全漏洞檢測(cè)、脆弱性管理檢測(cè)、基線配置檢查等多個(gè)方面。滲透測(cè)試是風(fēng)險(xiǎn)評(píng)估中技術(shù)層面評(píng)估的一個(gè)方面，有效的滲透測(cè)試可以直接發(fā)現(xiàn)被測(cè)試目標(biāo)真實(shí)存在的一些安全風(fēng)險(xiǎn)，如可以發(fā)現(xiàn)操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等存在的漏洞以及漏洞利用的可能性，也可以發(fā)現(xiàn)各種設(shè)備的口令脆弱性、網(wǎng)絡(luò)設(shè)備的易攻擊性、防火墻設(shè)備策略的嚴(yán)謹(jǐn)性；也就能初步發(fā)現(xiàn)和估算出被測(cè)試網(wǎng)絡(luò)中存在安全方面的技術(shù)風(fēng)險(xiǎn)。從而達(dá)到發(fā)現(xiàn)管理方面風(fēng)險(xiǎn)的目的，這也是滲透測(cè)試的主要出發(fā)點(diǎn)和真實(shí)作用。脆弱性管理是主動(dòng)防御思維的一種體現(xiàn)，即通過提前降低整個(gè)系統(tǒng)的可攻擊弱點(diǎn)，來減少被攻擊風(fēng)險(xiǎn)的一種安全管理模式。

此外，在備案管理過程往往會(huì)出現(xiàn)一些未知資產(chǎn)。未知資產(chǎn)相當(dāng)于是校內(nèi)的“暗網(wǎng)”，一般存在較多的風(fēng)險(xiǎn)，一定要認(rèn)真梳理和探測(cè)，逐個(gè)落實(shí)并進(jìn)行管控。對(duì)于非必要的資產(chǎn)、臨時(shí)資產(chǎn)、測(cè)試資產(chǎn)、廢棄資產(chǎn)進(jìn)行下線操作，對(duì)于整改后合規(guī)的資產(chǎn)要進(jìn)行登記備案，然后納入合規(guī)資產(chǎn)管理流程，如圖2所示。

圖1 資產(chǎn)備案管理流程圖

圖2 未知資產(chǎn)管理流程圖

3 構(gòu)建立體化防御體系

立體化防御體系有三個(gè)方面的內(nèi)涵[3]，一是加強(qiáng)終端防御管理，終端防御簡(jiǎn)單來說就是網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)提供殺毒軟件的統(tǒng)一管理。二是加強(qiáng)網(wǎng)絡(luò)邊界的過濾，這主要是利用防火墻軟件在網(wǎng)關(guān)處設(shè)立第一道關(guān)卡，對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行過濾。三是強(qiáng)化對(duì)整體安全防御情況的監(jiān)督。通過建立校園網(wǎng)態(tài)勢(shì)感知預(yù)警系統(tǒng)，對(duì)網(wǎng)絡(luò)中的主機(jī)遭受的各種攻擊進(jìn)行審計(jì)和監(jiān)督，發(fā)現(xiàn)網(wǎng)絡(luò)中病毒爆發(fā)的具體情況，及時(shí)向用戶做出預(yù)警，對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境進(jìn)行安全防護(hù)。

從防護(hù)的位置出發(fā)，可以對(duì)立體化防御體系做出：網(wǎng)絡(luò)邊界防護(hù)、信息系統(tǒng)防護(hù)、數(shù)據(jù)中心防護(hù)、終端防護(hù)等四個(gè)層面的建構(gòu)。（1）網(wǎng)絡(luò)邊界的安全防護(hù)主要依托部署出口防火墻、IPS進(jìn)行網(wǎng)絡(luò)層安全防護(hù)，其次通過部署WEB應(yīng)用防火墻進(jìn)行應(yīng)用層安全防護(hù)。（2）信息系統(tǒng)的防護(hù)，需要依法依規(guī)做好對(duì)信息系統(tǒng)安全等級(jí)保護(hù)，進(jìn)行安全評(píng)測(cè)、風(fēng)險(xiǎn)測(cè)評(píng)需要符合政策要求，掌控系統(tǒng)脆弱點(diǎn)，并及時(shí)進(jìn)行整改。（3）數(shù)據(jù)中心防護(hù)。進(jìn)行安全域的劃分，部署防火墻實(shí)現(xiàn)網(wǎng)絡(luò)隔離；部署WEB應(yīng)用防火墻進(jìn)行應(yīng)用層安全防護(hù)；通過漏洞掃描或人工風(fēng)險(xiǎn)評(píng)估，滲透測(cè)試發(fā)現(xiàn)修復(fù)系統(tǒng)存在的風(fēng)險(xiǎn)。（4）終端防護(hù)。倡導(dǎo)使用正版軟件（操作系統(tǒng)）；及時(shí)更新操作系統(tǒng)及修復(fù)應(yīng)用軟件的漏洞；借助于統(tǒng)一桌面防病毒系統(tǒng)實(shí)現(xiàn)集中管理；使用多因子認(rèn)證對(duì)接入用戶身份鑒別。

4 實(shí)現(xiàn)自動(dòng)化運(yùn)營(yíng)管理

購(gòu)置了安全設(shè)備，配置了安全策略并非高枕無憂。安全是動(dòng)態(tài)的，今天還沒有被發(fā)現(xiàn)的安全漏洞可能明天就會(huì)爆出嚴(yán)重的風(fēng)險(xiǎn)，今天還安全的系統(tǒng)可能明天就是脆弱的。因此，我們需要周期性地對(duì)安全三要素：可用性、安全性、合規(guī)性進(jìn)行監(jiān)控、查漏補(bǔ)缺，及時(shí)發(fā)現(xiàn)并處理問題，規(guī)避風(fēng)險(xiǎn)。高校網(wǎng)絡(luò)安全管理人員應(yīng)借助于網(wǎng)站監(jiān)控預(yù)警類平臺(tái)（設(shè)備）主動(dòng)監(jiān)控網(wǎng)站安全問題，監(jiān)測(cè)網(wǎng)站脆弱性。結(jié)合預(yù)警平臺(tái)提供的專業(yè)修補(bǔ)意見進(jìn)行及時(shí)處置，降低安全風(fēng)險(xiǎn)，防患于未然。網(wǎng)站監(jiān)控平臺(tái)應(yīng)滿足對(duì)Web站點(diǎn)7*24小時(shí)不間斷監(jiān)控，保持監(jiān)控的持續(xù)性。突發(fā)攻擊事件發(fā)生時(shí)，及時(shí)進(jìn)行響應(yīng)與處理，構(gòu)建完善的網(wǎng)站安全體系。對(duì)于大范圍的網(wǎng)站利用自動(dòng)化的技術(shù)手段進(jìn)行監(jiān)控，減低人工成本。通過統(tǒng)一的指標(biāo)進(jìn)行全方位監(jiān)控，為統(tǒng)一監(jiān)管提供技術(shù)依據(jù)和關(guān)鍵指標(biāo)。

5 提升應(yīng)急響應(yīng)能力

應(yīng)急響應(yīng)是指為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施[4]。應(yīng)急響應(yīng)是一項(xiàng)需要有充分的準(zhǔn)備和嚴(yán)密組織的工作。它必須避免不正確的和可能是災(zāi)難性的動(dòng)作，或是忽略了關(guān)鍵步驟的情況發(fā)生。它的大部分工作是對(duì)各種可能發(fā)生的安全事件制定應(yīng)急預(yù)案，并通過多種形式的應(yīng)急演練，不斷提高應(yīng)急預(yù)案的實(shí)際可操作性。

一個(gè)完備的應(yīng)急計(jì)劃生命周期如圖3所示，它包含了以下七個(gè)方面的內(nèi)容。按照安全事件的發(fā)生過程，我們可以將其歸納為三個(gè)方面：事前、事中和事后的應(yīng)急響應(yīng)。安全事件發(fā)生前，要提前制定應(yīng)急計(jì)劃策略，針對(duì)不同業(yè)務(wù)可能發(fā)生的突發(fā)事件要進(jìn)行評(píng)估，做好應(yīng)急響應(yīng)流程預(yù)案。事中，借助于安全設(shè)備快速定位受影響的主機(jī)及業(yè)務(wù)，根據(jù)事前制定的預(yù)案做出快速應(yīng)對(duì)。事后，針對(duì)本次發(fā)生的事件響應(yīng)情況，完善修改應(yīng)急計(jì)劃，并定期做好應(yīng)急計(jì)劃的測(cè)試、培訓(xùn)及演練工作。

圖3 應(yīng)急計(jì)劃的生命周期

6 總結(jié)

高校網(wǎng)絡(luò)空間的安全是目前高校信息化管理部門面臨的一大難題。盡管高校是培養(yǎng)人才的搖籃，但是由于各種原因，高校信息化管理部門往往缺少信息安全領(lǐng)域的精英，這也是導(dǎo)致高校行業(yè)信息安全存在危機(jī)的一個(gè)重要原因。本文結(jié)合筆者多年的實(shí)際工作經(jīng)驗(yàn)，提出了一種基于“五步法”的全生命周期資產(chǎn)治理方案，希望能夠給高校信息安全從業(yè)人員提供一些參考。高校的信息安全除了依賴提升自身人員的專業(yè)能力，還必須要和安全公司合作，采用校企合作的方式，或是采購(gòu)安全運(yùn)維服務(wù)的方式，才能最終確保學(xué)校資產(chǎn)的安全無憂。

[1]馬勇，楊敏，劉亮.基于微信企業(yè)號(hào)的智慧校園移動(dòng)平臺(tái)研究與實(shí)現(xiàn)[J].微型機(jī)與應(yīng)用，2017，36（18）：103-105..

[2]閆家意. 網(wǎng)絡(luò)主機(jī)發(fā)現(xiàn)關(guān)鍵技術(shù)研究[D].黑龍江：哈爾濱工程大學(xué)，2019.

[3]蔣建軍.數(shù)字校園網(wǎng)絡(luò)立體化安全防護(hù)的研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015，25（09）：159-163.

[4]潘星晨，汪云峰.應(yīng)急響應(yīng)環(huán)境下基于BDI模型的Agent結(jié)構(gòu)研究[J].微型機(jī)與應(yīng)用，2011，30（05）：81-84.

本課題受到許昌學(xué)院2020年重點(diǎn)校級(jí)項(xiàng)目資助，No.2020ZD011