基于系统生命周期的高校信息资产安全管理探究
2021-12-14路萍翟跃杨晶
◆路萍 翟跃 杨晶
基于系统生命周期的高校信息资产安全管理探究
◆路萍 翟跃 杨晶
(北京工业大学 信息化建设与管理中心 北京 100124)
教育行业信息安全问题是影响到国家、社会、个人利益的重大问题,随着高校信息化的提高,网络安全风险也随之加大。良好的信息资产管理是实现网络安全常态化管理的重要基础。本文结合高校实际问题和工作情况,基于系统的生命周期,论述信息资产的类型、管理内容和管理要求,以探索高校信息资产安全管理模式,希望在学校实际管理工作中得以实践。
等级保护;信息资产;安全管理;高校
1 引言
近年来,国家、教育部、各地方都高度重视高校网络与信息安全工作。2017年6月1日《中华人民共和国网络安全法》开始实施;2018年6月教育部印发《教育系统网络安全事件应急预案》的通知;2019年5月13日,网络安全等级保护制度2.0标准正式发布,网络安全从法规上升到法律!与此同时,国际与国内网络安全形势仍然十分严峻,数据泄露、勒索攻击,黑客活动等各类网络安全事件层出不穷,安全威胁来势汹汹。
从总体上看,高校网络与信息安全保障工作尚处于起步阶段,存在诸多问题,例如:网络与信息系统安全建设整体规划和管理目标不明确;网络与信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;网络与信息安全管理投入不足,管理措施不到位;以及监督管理缺乏依据和标准,监管体系尚待完善等。其中最基础、最本质的问题是管理对象不明确,信息资产不清晰,而这是所有后续安全防护、应急响应工作的前提。
根据等保2.0要求,在信息化建设过程中应按系统分级同步规划和建设信息安全设施,并系统地、针对地加强网络与信息安全管理。同步规划和建设,有利于优化信息安全资源配置,有利于控制信息安全建设成本,同时有利于明确信息安全责任,提高信息系统安全运维的整体水平。因此,从信息系统的申报立项、建设实施、运行使用、撤销停用的各个环节出发,探索何时采集哪些信息化软硬件资产信息,如何链接固定资产管理和等级保护备案管理的相关资产数据,分类统筹管理信息资产,是本文研究的意义所在。
2 高校信息资产管理现状和问题
随着近年来高校信息化的加速建设,无论是通讯、网络存储、监控、采集等硬件设备,还是管理系统、应用平台、大数据库分析等软件,信息资产规模大幅度提高,这些资产具备一些通用特征和问题:
2.1 信息化整体规划落实难,重复分散建设依然存在
目前,许多高校的信息化建设虽然进行了顶层设计、三-五年规划,但在实际执行中,仍然难以落实统筹目标。业务主管部门或教学科研单位在具体系统立项和建设时,主要关注前端应用功能、服务,而忽视后台的技术框架和管理平台,从而造成一些系统的通用功能重复建设;同时,鲜于考虑系统安全等级需求以及学校安全防护体系中安全产品的部署和应用情况。例如,不同的二级单位(及三级单位)单独建设的网站,很多是在自己的服务器上部署了一套CMS系统,而后配置了一个站点,即学校会同时存在多个相同、或不同,但没有统一部署和安全防护的CMS平台。又如,像图书馆、财务处、国资处等重要业务部门,由于有特殊的用户访问需求,也会自行采购和部署VPN,未和学校基础平台访问控制进行统一管理。
2.2 信息资产台账不清晰,不完整,变更不报备
无论是单一项目建立的业务信息系统,还是通过多期、不断迭代建设的平台、应用,管理员通常只考虑到新合同采购的软硬件资产,进行固定资产的领用和填报。而在等级保护备案填写备案表和项目验收填报验收材料时大多会遗漏所使用的已有资产和免费资产,且未能按“信息资产”的管理要求进行台账记录。例如,只登记web、数据库等服务器的IP地址、操作系统,而遗漏负载均衡设备、备份服务器、测试服务器的信息;只登记应用系统的主要功能、适用范围,而遗漏中间件、开发框架、数据库版本等涉及安全的信息;只登记第一次新建资产,而系统升级改造、迁移时产生的资产变化基本被忽略,不再采集。因此,这样的资产台账不足以支撑后续的安全检查和安全运维。
2.3 系统撤销停用不进行资源回收
高校的系统,特别是二级单位内部使用的系统,无论是因为系统老旧而淘汰,还是因教学科研项目结题、团队变更造成的系统“被停用”,通常是隐性行为,没有进行撤销报备,没有及时通知信息化部门进行相应的资产回收。更多的情况是,服务器依然开机,应用服务也没有停用,长期无人看管,形成僵尸系统,带来严重安全隐患。
2.4 信息资产和固定资产管理分割
传统的信息资产主要包括信息化相关的硬件和软件资产,资产管理员为系统管理员;固定资产通常包括房屋建筑、仪器仪表、各类设备、工具、家具、图书等,资产管理员为资产领用人。严格意义上,信息资产是固定资产的子集,但在实际应用中,由于管控对象和目的不同,固定资产系统中没有记录网站、APP、业务数据库等无形资产信息,即使有部分信息系统的固定资产信息,也很少记录信息安全所需管理的内容,且是松耦合,难以找到一个信息系统所使用到的所有资产。
3 信息安全等级保护对资产的管理要求
信息安全等级保护测评中的资产管理,要求:“应访谈安全主管,询问是否有资产管理的责任人员或部门,由何部门/何人负责”,即,给出信息系统资产管理清单,涉及“谁”管“什么”的问题。通常,高校的资产管理清单应包含如下内容:
3.1 管理者
即每个信息资产均需落实资产责任,确定信息资产管理员。记录责任单位、责任人员类型(设备管理员、系统管理员、网站管理员、应用管理员、数据库管理员等)、职工号、姓名、手机、办公电话、邮箱等信息。
3.2 管理对象
本文所指的高校信息资产包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网和采用互联网技术的系统,及其所包含的有形的、无形的信息技术资产。主要包括以下三种类型资产:
(1)硬件资产:包括服务器、网络设备(路由器、交换机等)、安全硬件设备、通讯链路和电力供应等信息技术设备设施;
(2)软件资产:包括操作系统、数据库、中间件、应用软件、开发工具、应用系统等计算机程序;
(3)数据资产:包括应用数据、配置数据、系统文件、管理数据等业务生成和运行相关的数据信息。
3.3 管理内容
管理内容涉及信息资产安全管理基本信息和运维信息。
(1)信息资产基本信息
主要包括资产类型、资产编码、资产名称、物理位置、资产有效期、价格、资产管理员等,理论上信息资产基本信息可从固定资产管理系统进行数据同步。对于其他没有纳入固定资产管理系统的等保对象及所属资产,包括赠品、免费、开源产品应指定资产管理员(可分别指定,也可由所属系统管理员统一担任),建立和维护资产基本信息。此外,还需根据不同资产类型(应用/系统/平台、网络及安全产品、服务器、系统软件、应用软件、数据资产、新媒体等)建立不同的信息化安全管理属性和管理细则,详见图1。
图1 高校信息资产安全管理ER图
其中“应用/系统/平台”作为重要的信息资产,重点说明内容如下:
a.应用/系统/平台信息资产的子系统:“系统类型”如果为“子系统”,其等保备案编码填写所属父系统的等保备案编码,即父系统、子系统的基本信息都存储在“应用/系统/平台资产明细”表中,各自有独立的系统编码,但通过等保备案编码可以确定一个等保对象所包含的所有子系统;子系统如与父系统如属于同一固定资产,其信息资产编码与父系统的信息资产编码相同,否则有单独的信息资产编码;子系统可以有各自的管理员。
b. 应用/系统/平台的等保备案信息:“系统类型”如果为系统、平台、独立网站,则表示该信息资产是独立的等保备案对象,需填写“等保备案信息”,记录备案编号,备案等级,备案时间等。
c. 应用/系统/平台的所属信息资产:通过“应用/系统/平台资产明细”所对应的“使用资产对照表”,确定某一等保对象使用到的各类软硬件资产。
d. 应用/系统/平台信息资产的附加信息:
网站群站点信息:一个网站群平台,本身填写一次“信息资产基本信息”及“应用/系统/平台资产明细”,网站群站点作为附属信息进行记录,包括ICP备案号、二级域名、LOGO、网站描述、服务范围等。其管理员可以是网站群管理员,也可以是单独站点管理员。
移动应用信息:“系统类型”如果为移动APP,需根据教育部《教育移动互联网应用程序备案管理办法》,记录自研移动APP或使用移动APP所需管理内容。其管理员编码可与所属web应用平台的管理员编码不同。
e. 新媒体信息:微信公众号、博客、抖音等新媒体应用,其承载平台虽然不部署在高校,但作为学校的无形资产,特别是标有校名、校标、校徽等标识的媒体账号,随着新媒体技术的发展与多样化,这些应用将是高校信息安全的重要管理对象。新媒体信息可作为一种应用存放于“应用/系统/平台资产明细”(“系统类型”需增加新媒体类型),也可以作为一种“资产类型”单独建立基表进行记录,本文建议采用后者。
(2)信息资产安全运维信息
每个信息资产应记录其运维服务信息:服务协议信息主要确定维保范围和期限以及联系人信息,这也是进行应急响应的重要支撑;安全运维记录主要用于记录日常各类安全巡检结果,用于整改和备查。
4 基于系统生命周期的信息资产台账
信息系统的生命周期基本包括系统的规划、建设、运维和停运四个阶段。信息资产也应按其周期过程进行相应管理,建立、维护资产台账。
4.1 规划阶段
在系统规划阶段,应根据学校的总体目标和发展战略,基于已有的网络、软硬件和安全环境,依据等保2.0的要求对系统初步定级,奠定新建系统的安全基线,做出可行性方案。
(1)支撑新建系统的基础平台
学校的基础网络和安全环境、私有云平台、数据存储和灾备中心等通用“基础平台”可分别作为一个独立的定级对象或者统一整合进行等保管理、资产管理,并为学校其他信息系统建设提供基础支撑和保障。基于等保2.0统一备案管理的高校校园网络平台应包含学校主要的安全物理环境、安全通信网络、安全区域边界,以及安全计算环境。考虑高校门户网站、招生网站等重要应用大多依托此平台进行建设,建议该平台定为三级系统,按三级系统进行安全设计和建设,所涉及的信息安全资产及技术措施如表1所示,所使用的具体产品作为该平台资产进行台账登记。
表1 基于等保2.0信息安全产品及技术措施
(2)新建系统的可行性研究
在基础平台的基础上,考察新建系统预部署的安全物理环境;选择可使用的现有服务器、软硬件产品;明确系统是否存在特殊的安全需求(例如:是否建立专网、是否需要网闸隔离设备、是否需要负载均衡等)。综合各类需求与可能,给出系统的多个可行性方案,其中安全内容包括但不局限于:行业合规咨询方案、信息安全管理体系设计、信息安全技术架构设计,以及安全项目规划、安全指标设计等。
根据不同的可行性方案,从图1信息资产表中进行分类查询、产品指标对比,进一步做功能和性能测试,进行选型,而后填报信息资产采用情况(填写计划使用的资产类型、名称、品牌型号等信息,无需知道具体的资产编号)和采购计划(需包含数量和金额),如表2所示。
表2 新建系统信息资产采用和采购计划表
可行性研究报告审议通过、确定方案后,进行项目正式申报。注意,申报经费不仅包含安全设备预算,还应包含安全测评、安全服务预算。可行性研究报告将是系统需求说明书、建设方案和实施计划,以及系统设计说明书的重要依据。
4.2 建设阶段
根据系统需求分析产生的系统需求说明书,考虑实际条件,进行概要设计和详细设计,进而将设计的系统付诸实施——购置设备、程序开发、安装部署、环境安全配置、安全访问配置、数据文件转换、安全集成等。建设过程中,需将所有相关资产信息进行填报。
(1)部署实施上线,实时填报
新系统部署于生产环境,申请服务器、固定IP、应用二级域名、数据等各类IT资源前,应该已经完成校内初步等保定级、备案工作,生成校内等保备案编码。因此所申请的IT资源分配后即可对所采购的、开发部署的资产进行填报,包括图1相关基表的各项内容。二级及二级以上系统待完成上级主管部门审批和公安备案流程,可用上级批复的正式等保备案编码替换校内编码。原则上,没有等保定级、备案的系统不能申请IT资源;同理,系统升级改造或新增子系统时,需及时更新原系统等级保护定级报告和备案材料,之后才可申请新IT资源。
对系统、子系统,以及所包含的各类资产上线前应完成漏洞扫描、渗透测试、代码审计等相关安全检测。
(2)系统验收结题,完备填报
系统准备验收时,系统所涉及的所有资产应该已经清晰,应该以等保对象为管理目标,将图1中“使用资产信息”对照表填报完成,形成完整的资产链,作为验收材料提交。测试验收时,应完成集成环境安全测试、网站安全测试、软件安全测试,二级及二级以上系统进行等级保护测评。而后由学校网络安全员实现对资产的准入管理和白名单管控,加入定期扫描主机目录和应用目录,以完成必要的安全巡检。
填报“使用资产信息”时应注意,除新采购、新开发的信息资产,旧使用的服务器、操作系统、中间件、数据库等的各类资产也应填报(“基础网络和安全平台”除外)。
4.3 系统运维阶段,更新资产
系统投入运行后,会涉及资产的变更,变更内容也可能会影响系统的安全状态。例如:更换物理机房;应用和数据库服务器部署分离;网络设备、安全防护设备调整,补丁升级;更换硬件服务器、IP地址;域名变更,增加负载均衡;主机操作系统、中间件类型、数据库类型变更或大版本升级;数据存储或传输方式变更;以及系统应用功能变更等等。这些变更完成后,“信息资产安全管理基本信息”及各类资产明细信息应重新填报。涉及系统等保等级的变更,如承载业务系统的通信网络设施发生变更、迁移到云计算平台、服务范围扩展到互联网、应用系统重新开发、数据分类与等级发生变更时,还需重新提交等级保护定级报告、等级保护备案表。
4.4 系统退运,回收资产
系统停止使用(非暂停使用),应由系统管理员提出正式停运申请,按照等级保护备案撤销流程办理相关手续。之后,进行运行环境的清理(系统管理员关闭应用服务以及服务器、网络安全员注销访问控制配置、公共数据库管理员隔离共享数据访问等);信息资产的回收(服务器管理员回收固定资产、网络管理员按应用系统的“使用资产信息”对照表回收相应的IP、域名资源等);以及数据归档和销毁。最后,在“应用系统平台资产明细”表中标识本系统的使用状态为“停用”,以终结。
5 基于系统生命周期的信息资产安全管理
5.1 硬件资产安全管理
(1)硬件资产的采购应按照采购管理相关要求执行,设备在购买过程中应注重和加强设备资质管理,确保所购买设备符合信息系统的应用需求和网络安全管理要求。安全产品采购应符合国家有关规定,具备安全产品销售许可、知识产权证明等资质,采购密码产品应符合国家密码主管部门的要求。
(2)设备在到货验收或配置之后,必须由资产管理员作出相应的标识,直接体现在设备上醒目的位置。标识应包括以下内容:固定资产编码、设备名称、设备用途、IP信息、使用部门、责任人、供货商及联系方式。
(3)硬件资产使用人在使用过程中应确保硬件配置的完整性,不得私自更换硬件资产以及相关配件。
(4)存储内部信息的硬件资产在重用、维修和报废前,应确保所有存储的敏感数据或授权软件已经被移除或安全重写,并做好备份工作,确保信息不泄密、保持信息的完整性和可用性。
(5)对于需要报废的硬件资产,如含有敏感信息,应经审批后统一进行报废处理。
5.2 软件资产安全管理
(1)应购买正版商业软件,在安装软件时要规定使用权限,防止非授权访问。要分清免费安装和盗版使用的边界,避免使用第三方提供的产品,产生安全隐患。使用开元软件需注意产生的安全问题,产品供应厂商不能给予有效响应。
(2)应加强对于开发应用软件的代码管理,确保应用软件系统能够运行稳定,规范软件升级管理工作。
(3)软件资产管理员应加强对于应用软件保存、标识、安装、卸载和升级的统一管理。
(4)对于需要维修的软件资产,资产管理员须和该软件资产的使用者沟通后,由软件供货商进行维护、修改和升级,并在过程中做好安全控制。
(5)对于需要删除和报废的软件资产,资产管理员可根据实际情况取消对于软件的使用,通知该软件的使用者,统一应用软件应经过审核后统一取消和废除。
5.3 数据资产安全管理
(1)数据资产根据其重要程度分为受控和公开数据,数据的创建者或管理者负责对数据资产的重要程度进行标识。受控数据应明确授权范围,禁止非授权的用户读取受控数据。
(2)系统相关岗位人员负责各自设备、系统的配置数据、系统文件和管理数据的存储、备份,确保设备中相关配置数据和管理数据的完整性和安全性。
(3)数据资产管理员负责系统数据的备份恢复工作,确保系统数据的可用性。
(4)对于需要维修的数据资产,数据资产使用人需要数据生产部门和使用部门进行沟通,数据恢复应经过确认后统一进行数据修复和恢复。
(5)敏感及受控数据的删除应进行记录,电子形式数据的删除或报废,应由数据资产生产部门进行处理。
所有硬件资产、软件资产、数据资产的采购(建设)、变更、废弃时,资产管理员须在信息资产台账进行相应记录和描述。
6 结束语
信息资产是信息安全管理体系的作用对象,信息资产的安全管理是常态化网络安全检测和运维的重要依据,是高校实现网络安全水平可控可管的重要手段,在整个信息安全管理体系的建立、实施和运行中占有重要地位。因此,需要学校依据政策,将信息安全管理与学校组织架构相结合,建立和落实网络安全管理制度,配备网络安全技术人员队伍,找准信息资产这个抓手,进行基于系统生命周期的动态资产梳理和管理,在此基础上,努力将安全工作实时化和主动化,保障高校网络安全稳定运行。
[1]GBT22239-2019信息安全技术网络安全等级保护基本要求[S].
[2]魏楚元,任彦龙,李欣. 高校网络安全治理体系构建研究[J]. 网络安全技术与应用,2021(01).
[3]徐艺扬,查德平,刘百祥,等. 复旦大学新型信息资产治理平台为二级单位安全赋能[J].中国教育网络,2019(10).
[4]司成伟,赵全洲. 构建基于信息化资产的网络安全工作体系[J]. 数字通信世界,2019(09).
[5]韩硕祥,张洪光. 信息安全管理体系中的资产管理[J].中国标准化,2007(04).
北京工业大学2020年度教育管理研究课题(GL2020-B08)
