高 薇,许 浩,宁玉文,高东怀

(第四军医大学 信息管理中心，陕西 西安 710032)

0 引 言

为了应对日益严峻的网络安全问题，我国已把网络安全作为国家安全战略的重要内容，并成立了国家级、电信级安全运营中心(security operation center，SOC)，负责在网络安全基础数据的表达、预测及应用的基础上[1]，应对和处理网络安全问题，提升网络安全防御能力的独立机构[2]。然而教育领域特别是高校网络安全管理工作目前尚处于起步阶段，部分高校网络安全管理体制机制依然还没有理顺，导致网络安全事件频发。根据教育部信息安全管理工作要求，高校急需要结合当前网络安全态势与高校信息化管理实际，量身设计一个既能应对日常网络安全威胁，又能推进信息安全等级保护的安全运维方案。笔者在中国高等教育学会2014年专项课题《高校信息安全管理模式与体制机制研究》的支持下，对陕西省高校信息管理工作进行调查研究，结合第四军医大学的研究与实践，提出了基于安全态势感知平台的高校校园网安全运营方案。

1 高校网络安全管理工作的调研分析

1.1 高校网络安全管理情况调研设计

为了摸清高校网络安全管理工作情况，笔者选择高校密集的陕西省作为调查对象，一是问卷调查了该地区的部属高校、军队院校、省属本科高校、民办院校、职教院校等20所代表性高校，面向高校网络中心或信息化办公室负责人，在网络安全管理人员配备、网络安全设备使用、网络安全技术应用、网络安全管理制度建设和网络安全威胁处理五个方面开展问卷调查，并对部分学校进行了参观。二是走访了北京天融信、启明星辰、北京神州绿盟、南京铱迅等9家信息安全公司，交流高校信息安全的技术支持情况。

1.2 高校网络安全管理工作呈现的新特点

调查发现，近年来高校信息化建设逐步从数字校园建设迈向智慧校园[3]，网络安全管理工作逐渐呈现三个特点：

一是需要管理的安全设备越来越多。高校校园网络结构日趋复杂，需要安全防护的网络设施与资源也迅速增多[4]。各高校为了保证安全，针对物理安全、主机安全、网络安全、信息安全和数据安全等各个层面部署了相应的安全设备，形成了基本的安全防护系统。

二是用户数量与行为越来越难控。移动互联网的迅速普及，电话网、有线电视网与计算机网络不断融合，加大了信息系统面临的网络威胁，高校正在逐步形成有线无线一体化的校园网络，部分学校已经在尝试物联网。这使得校园网有线用户和移动用户的数量和终端种类不断增多，网络行为也越来越复杂，异常行为频发，出现了风险评估难、预警告警难、追踪定位难等问题[5]，给安全管理工作带来了新的挑战。

三是需要应对的信息安全威胁越来越多。高校面临的高级可持续性威胁(APT)、分布式拒绝服务攻击(DDoS)及网站篡改等各类攻击迅速增多[6]，安全事件时有发生，高校正在建立相应的处理机制。

1.3 高校网络安全管理工作存在的问题

目前被调研高校普遍受限于现有人员编制和运维成本等多种因素，在网络安全管理中存在以下突出问题：

一是缺乏顺畅的管理机制。大部分高校设立了信息安全与保密委员会，由分管校领导具体负责，但是在实施层面，高校的网络安全管理工作由多个部门负责，依托信息化办公室、网络中心或党政办，存在多头管理、职能交叉等现象，其中仅有60%的高校在IT服务部门中设置了网络安全服务小组。人员配置方面，90%的学校设立了网络管理员岗位，60%的学校设立了系统管理员岗位，50%的学校设立了安全管理员岗位，设岗高校中仅30%有专职安全管理员。在制度方面，40%的高校正在制定安全管理规范，特别是应急响应预案和日常安全检查制度，50%的学校落实了网络安全例行检查制度。然而仍有部分高校对安全管理工作处于一种“救火式”的被动服务状态。

二是缺乏精细化的管控服务。高校虽然按照教育行政部门要求，配备了必备的网络安全设备，基本达到国家二级安全防护标准[7]，但是大部分高校没有按照安全保护强度划分安全等级，没有根据信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，对IT服务内容进行分级分域分业务分用户管控。

三是缺乏规范的运维流程。故障的处理依赖于技术人员的业务熟练程度和处理习惯，然而部分高校安全管理人员没有实现流程化安全运维，处置权限不明确，责任分工不合理，安全策略的设置不及时，导致重复处理，随意处理，且处理过程不透明，用户无法跟踪问题的处理情况。

2 高校校园网安全运营中心模型设计

针对当前高校网络安全管理工作的特点和问题，笔者认为高校网络与电信企业网络具有一定的相似性，完全可以借鉴企业网络安全管理工作的思路，也就是创新和应用网络安全管理理论，在高校现有信息化组织架构的基础上，充分利用各种管理手段和技术方法，从而最终保护在线系统资源与服务安全。

2.1 信息安全管理工作的理论依据

WPDRRC信息安全模型是我国“863”信息安全专家组提出的适合我国国情的信息安全体系建设模型，它将信息安全建设的整个周期划分为预警、保护、检测、响应、恢复和反击6个环节，具有较强的时序性和动态性，主要构成要素分为技术、策略和人员。其中人员是核心，策略是桥梁，技术是保证[8]。目前，WPDRRC模型已成为大多数院校信息安全保障体系建设的重要理论指导。

2.2 企业安全运营中心的基本模式

电信企业在有效化解安全风险，应对各种突发性网络安全事件方面具有成熟的经验。主要思路是将现有安全系统纳入统一的管理平台，建立安全运营中心，实现安全形势全局分析和动态监控[9]，通过集中收集、过滤、关联分析安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时做出反应，提供安全趋势报告，实现对风险的有效控制，其核心是检测和响应功能[10]。中国移动、中国电信也在部分省市开展SOC试点，为高校引入安全运营中心奠定了基础。

2.3 高校校园网安全运营中心模型

高校校园网安全运营中心需要在高校信息化组织的基础上进行改造，按照技术与管理相结合的思路，实现安全的统一管理，并将其定位于校园网应对处理解决信息安全问题的一线组织，主要目标是持续提高自身安全防护能力，保护信息系统及信息自身安全。

因此，高校安全运营中心模型设计参照WPDRRC信息安全模型六环节三要素的理念，改进电信企业安全运营中心的设计理念，形成适合院校安全防护需求的WPDRRI模型，具体结构如图1所示。其中六环节为预警、保护、检测、响应、恢复和改进，三要素为组织架构(人员)、技术体系(技术)和管理流程(策略)。

图1 高校校园网安全运营中心模型

在WPDRRI模型中，组织机构是指安全运营中心的管理机制情况，如中心职责、岗位设置、人员配备和职责授权等。技术体系主要包括两部分，一是如何利用现有安全防护技术和设备对校园网络的各项服务进行全面保护；二是如何采用安全防护技术和设备进行有效管理和使用。管理流程是指网络安全管理的整体策略，包括安全管理策略、安全管理模型和运维流程，涵盖了WPDRRC的各个环节，但作为校园网的安全运营中心可相对弱化或忽略“反击”环节，增加优化“改进”环节，确保整个安全防护体系有效运作和持续改进。

3 校园网安全运营中心建设实践

笔者与课题组成员依照WPDRRI模型，在第四军医大学利用近三年时间，在学校信息化原有管理体制的基础上，通过理顺关系、调整机构、增加专员，初步建成了校园网安全运营中心，解决了学校长期以来网络安全管理工作的体制性障碍与结构性矛盾。

3.1 校园网络安全管理的组织架构

学校现有信息化机构一般具有决策、管理、运营和应用4个层次，但需要根据信息安全业务的需要做如下调整：

(1)决策层：主要是改组由学校领导牵头的信息化工作领导小组，增加信息安全管理职能，建立校长或政委一把手负责的信息安全管理机制，负责信息化安全管理体系的规划、管理制度的审定及重大事项的决策等。

(2)管理层：依托学校信息化办公室，作为信息安全管理工作的常设机构与执行机构，并协调学校办公室下设的保密办、学校教学保障处设立的技术安全检查办公室，负责学校信息化安全管理体系的实施、安全管理工作机制的研究制订、信息安全舆情分析，安全管理制度的贯彻和执行、日常安全管理的组织协调等。

(3)运营层：主要是依托学校网络中心成立校园网安全运营中心，充实信息安全管理技术人员队伍，向上对学校信息化领导小组负责，接受学校信息办、保密办和技术安全检查办公室(技检办)指导，向下分为三个组：安全技术组、运行监控组和应急响应组。其中安全技术组主要负责学校信息安全技术防护体系的规划、建设和管理；运行监控组主要负责学校网络运行状态、各类安全事件及信息系统运行日志的监控、分析和汇总；应急响应组主要负责应急处理各类突发安全事件，并为校园网用户提供网络安全防护咨询和指导。

(4)应用层：为进一步明确应用层各院系、部门及用户的安全责任，与各院系、部门签订安全责任书，同时明确各院系/班级、部门信息员的日常信息安全工作职责，使其成为信息安全工作的基础支持队伍。

3.2 技术体系

技术体系按照WPDRRI模型主要包括两个部分，一个是实现校园网整体安全防护的技术体系，另一个是安全态势感知平台，形成宏观有安全防护，微观有安全态势感知的安全管理工作新格局。

校园网整体安全防护技术体系是按照第四军医大学校园网网络架构、应用系统使用情况从整体将校园网划分为四个层次的安全域，如图2所示。第一层次安全域：网络用户区，主要包括办公区、教学区、学生区和家属区，用于网络用户接入；第二层次安全域：对外服务器区，主要部署对外公开服务的信息系统；第三层次安全域：内部服务区，主要用于部署仅对校内用户服务的应用系统；第四层次安全域：有限服务器区，主要用于部署仅供内网部分用户访问的应用系统和数据库等，访问具有一定的限制条件。针对不同区域，通过部署防火墙、信息审计、漏洞扫描、入侵检测等安全设备实现安全防护。

图2 第四军医大学校园网网络安全防护体系逻辑结构

安全态势感知平台主要面向学校安全运营中心提供统一的技术支撑平台[11]。笔者所在学校结合实际，在TOP SOC的基础上研发了网络安全态势感知平台，具体结构如图3所示。利用学校现有安全设备，对采集到的事件进行关联性分析，按时间、事件源、事件目的、事件类型等要素统计，基于BS7799标准的风险模型，采用定量分析方法评估安全对象、区域安全事件发生的可能性以及所造成的影响，最终实现形成图形化或报表化的安全数据展示，为学校领导、IT主管、维护人员和业务部门四类用户提供不同类型的安全态势支持服务。同时该平台与其他网络管理系统提供外部接口，与上级部门系统对接，实现对整个网络安全态势的报表生成以及定期上报，实现上级单位对下级单位检查结果或处理建议的下发，并与安全管理系统实现数据对接，为后续构建安全防护云平台和安全防护体系联建联管提供支撑。

图3 第四军医大学网络安全态势感知平台技术架构

3.3 管理流程

我国《信息安全事件分类分级指南》中将信息安全事件划分为特别重大、重大、较大和一般四个级别。在安全事件级别的基础上，以WPDRRI模型中的六个环节为基础，借鉴ITIL事件管理流程思想[12]，设计了学校日常和异常事件处理流程。

日常安全管理流程，利用网络安全态势感知平台，将整个IT安全运维分为预警、报警、处理、知识储备四个阶段，如图4所示。通过定期报告，使学校领导和管理人员能够了解全校的信息安全状态。

预警：利用安全设备监控功能，实时获得各类安全设备的运行状态，一旦发现安全设备的运行状态出现异常，即发出预警信息，引起值班人员的注意。

报警：通过安全事件分析功能，对网络中发生的各类安全事件进行分析，判断出网络当前的安全状态及风险等级，一旦风险等级超过阈值则向值班人员及安全管理员发出报警信息。报警信息主要包括当前的安全状态、可能存在的安全漏洞等信息。

处理：一旦发生相应的安全事故，则由系统自动生成工单并经由安全运维责任人及相关领导确认后，指派给具体执行人员。执行人员在接到工单后，首先查看安全运维知识库中是否存在相关知识，如果存在则按照知识库中的要求进行处理，反之则需按照相关流程进行处理。

知识储备：在执行人员解决问题后，将问题描述、处理时间、解决方案等内容存储到安全运维知识库中进行知识储备。

定期报告：在网络安全综合管理平台中存储典型安全事故数量[13]、安全设备状态、安全事件种类与数量等信息，定期生成安全运维报告提交给学校领导以及相关负责人员。

图4 高校网络安全日常管理流程

异常事件处理流程可以分为三步，如图5所示。

首先对信息安全事件进行定级。如果学校发生异常情况或突发事件，需要及时判断事情的重要程度和危害性，对信息安全事件进行定级，由高校信息安全技术人员主要按照“对号入座”和“参照执行”两种方式进行。对号入座就是按照国家信息安全事件的等级划分标准，结合高校的类型与影响力，事件发生的时间，发生信息安全事件的信息系统的重要程度和危害性，科学确定信息安全事件的等级。针对教育管理部门或国家安全部门已经明确的信息安全事件或同类高校已经明确定级的安全事件，可以在定级时参照执行。

图5 高校网络安全异常事件处理流程

然后结合级别启动相应级别的响应，一级响应，即发生了特别重大故障或事故，造成特别严重的危害，直接影响教育教学工作正常进行或导致了恶劣的社会影响。一级响应为最高级别的响应，需要调度服务台根据事故发生情况，首先断网，然后立即保护现场，并通知S安全运营中心负责人并报告领导，成立事故应急小组协调处理，并及时上报上级主管部门，协调公安、网络信息安全等部门协助处理。二级响应，即发生了严重的故障和事故，在一定范围内造成了严重危害，影响正常教育教学工作，有不良的社会影响。启动二级响应时立即关停故障服务器，并通知相关负责人和运行组负责人协调处理。三级响应，发生了较大的信息安全事故，影响了部分系统或部分单位的日常工作，有一定的社会影响。启动三级响应时立即停止发生故障的信息系统，并发布警示公告，由相关责任人进行处理。四级响应，即发生了一般性或常见性信息安全问题，无不良影响，可以自行处理。需要立即启动四级响应，由调度服务台及时协调值班人员自行处理，或者转入日常信息安全事件处理流程，判断故障的难易程度，考虑是否通知相关责任人。

最后是总结上报，四种级别的信息安全事件响应方式均需将故障处理情况总结备案，如果是一级事件，则需要上报学校主管部门。

4 结束语

网络安全管理工作是一项长期艰巨的任务，笔者在WPDRRI模型的指导下，结合第四军医大学实际情况初步构建了校园网安全运营中心，明确了安全事件处理的人、技术和具体流程，基本实现了安全防护有体系、安全管理有手段、事件处理有流程，初步做到了校园网安全一体化管理[14]，但是未来，高校安全运营中心还需要在规范制度的完善和落实与管理经验的汇总和抽象方面进行进一步的探索实践。

[1] 王丹琛，徐 扬，李 斌，等.基于业务效能的信息系统安全态势指标[J].清华大学学报：自然科学版，2016，56(6)：517-521.

[2] 赵 彬，王亚弟，徐 宁，等.网络安全运营中心关键技术研究[J].计算机工程与设计,2009,30(9):2117-2120.

[3] 王 曦.“互联网+智慧校园”的立体架构及应用研究[J].中国电化教育,2016(10):107-111.

[4] MODI C,PATEL D, Borisaniya B,et al.A survey on security issues and solutions at different layers of cloud computing[J].Journal of Supercomputing,2013,63(2):561-592.

[5] RASS S.On game-theoretic network security provisioning[J].Journal of Network and Systems Management,2013,21(1):47-64.

[6] 钟庆洪，郭玉翠，蒋卓键，等.网络信息安全影响要素研究及定量分析[J].计算机技术与发展，2014，24(2):172-175.

[7] 蒋建军.数字校园网络立体化安全防护的研究[J].计算机技术与发展，2015，25(9):159-163.

[8] 杨春晖,严承华.网络安全模型相关技术研究[J].信息技术，2015，39(4)：75-79.

[9] 国家计算机网络应急技术处理协调中心.2014年中国互联网安全形势报告[R].北京：人民邮电出版社，2015.

[10] MILOSLAVSKAYA N，TOLSTOY A，ZAPECHNIKOV S.Taxonomy for unsecure big data processing in security operations centers[C]//International conference on future internet of things & cloud workshops.[s.l.]:[s.n.],2016:154-159.

[11] 肖国煜.企业信息系统安全管理中心建设实践[J].信息安全与技术,2016,7(6):36-39.

[12] TAYLOR S,CANNON D,WHEELDON D.ITIL version 3 service operation[M].London:OGC,2011.

[13] 冯贵兰,杨慧娟.高校网络与信息安全保障体系构建研究[J].信息系统工程,2016(6):75.

[14] 许 浩，许卫中，高东怀，等.异构网络安全设备统一管理平台研究与构建[J].科学技术与工程，2012,20(1)：203-206.