黄志宏，梁卓明

(1.华南农业大学 现代教育技术中心， 广州 510642； 2.华南师范大学 网络中心， 广州 510006)

高校的教育教学现代化改革需要信息化的大力支撑，更离不开网络安全的保驾护航[1-2]。中央网络安全和信息化领导小组成立后，由公安部门牵头，对运营商、教育、金融、交通、卫生、能源、企业等行业进行了持续的安全检查，其中教育行业的信息安全情况最为严峻，深究其原因主要有以下3点[3-5]：

1) 信息孤岛严重。信息孤岛一直是高校信息化亟待解决的问题，由于高校的信息化建设权利分散，信息化建设部门作为学校的教辅单位无法进行统一的管理和监控，导致信息安全问题同样分散，不利于统筹解决。

2) 信息系统繁杂。随着高校信息化建设工作的高速推进，学校的教学、科研和管理工作基本实现了信息化，每个高校备案的各类信息系统(网站)普遍有300～500个，这个数字还不包含大量的僵尸网站和双非网站。而一个大型企业的信息系统一般也不超过100个，对比而言，高校的信息系统更为繁杂。

3) 安全意识薄弱。针对高校新建的各类信息系统，业务部门往往只注重其业务的连续性和功能的实现，对于信息安全，很多老师不了解或者不懂，要求他们在建设或运维过程重视安全问题，从技术上和意识上都有很大难度。

由此可见，随着教育信息化2.0时代的到来，高校信息化进入了又一个快速发展时期[6]，信息化与网络安全的失衡发展，使得高校短期内仍无法解决面临的网络安全问题分散化及多样化、人员安全意识薄弱、技术水平参差不齐等问题。为了有效地应对和解决以上问题，高校可以信息安全漏洞和威胁管理为抓手，从行业特色、智能化、闭环和可持续运维的角度出发，有针对性地集中开展管理工作。

1 信息安全漏洞和威胁管理的具体需求

1) 行业特色需求。高校的信息系统相对于其他行业是特殊的，不能简单套用其他企业、单位的信息安全管理方法。高校信息系统安全漏洞和威胁管理应该要符合教育特色，解决信息孤岛严重、信息系统繁杂、安全意识薄弱问题所带来的网络安全问题[7]。

2) 智能化需求。高校的IT管理人员并不充足，一方面信息化建设部门人员资源紧张，要负责和参与学校所有的信息化和信息安全建设、维护工作，工作量较大；另一方面，学校各二级单位的IT运维人员很多并不是信息或网络专业的老师，对于专业的网络安全知识一窍不通。因此，智能化是高校信息安全的首要需求，智能化包括技术专业的通俗化，可以利用安全漏洞和威胁管理平台及相关的技术指出已经失陷的设备或系统，通过配备尽可能多地自动修复设置以及详尽的安全操作指导手册，协助IT管理运维人员做好信息系统安全漏洞和威胁管理工作[8]。

3) 闭环和可持续运维需求。漏洞和威胁都会经历“检查—发现—修复—再检查”的循环过程，在高校信息系统安全漏洞和威胁管理工作中，重复的安全确认邮件发送会耽搁大量的管理时间，而且很多IT管理人员的检查工作往往是一次性的。但新的漏洞和威胁会持续出现，闭环和可持续运维是对漏洞和威胁处理的时效要求。因此，需要提供一种快速和持续监控的手段，给安全运维的工作带来便捷。

2 信息安全漏洞和威胁管理研究

为了满足高校信息安全漏洞和威胁管理的具体需求，本文将P2DR模型和高校信息系统生命周期安全管理过程引入到信息安全漏洞和威胁管理的研究与实践中。

2.1 P2DR模型

如图1所示，P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，也是动态安全模型的雏形。针对单个漏洞和单个威胁事件，都经历了“策略—防护—检测—响应”的流程。利用成熟的P2DR模型(如图1所示)，可以实现安全漏洞和威胁管理的微观工作的指导[9-12]。

图1 P2DR模型

1) 策略。根据风险分析制定的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等。策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。

2) 防护。通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和管理员正确使用系统，防止意外威胁。

3) 检测。是动态响应和加强防护的依据，通过不断地检测和监控网络系统来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应[13]。

4) 响应。系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复[14]。

2.2 信息系统生命周期安全管理过程

如表1所示，信息系统生命周期(SDLC)是系统产生直到报废的生命周期，周期内包括问题定义与规划、需求分析、软件设计、程序编码、软件测试和运行维护。高校信息系统安全管理围绕信息系统整个生命周期展开，通过对高校信息系统生命周期安全管理过程的规划与设计，可以对整体的信息安全漏洞和威胁管理的宏观工作进行指导[15-16]。

表1 教育行业的信息系统生命周期安全管理

2.3 技术特点

2.3.1 自动化

自动化是信息安全漏洞和威胁管理实践研究的首要目标，通过信息安全漏洞和威胁管理平台能自动生成漏洞和威胁管理的阶段性任务，例如评估的自动联动下发和通知、威胁自动发现和通知等。

2.3.2 智能化

智能化是信息安全漏洞和威胁管理实践研究的重要目标。在信息安全管理工作中，最大的难题是人手和专业技术的不足，智能化能够大大弥补该项现阶段不易解决的问题，例如大量日志经过智能化分析将减少人工筛选的工作，攻击链的判断减轻了分析人员的专业负担。

2.3.3 闭环和可持续运维

闭环和可持续运维是信息安全漏洞和威胁管理实践研究的最终目标，信息安全是一个闭环的过程，在遵循规章制度、实现人力闭环管控的基础上，利用信息安全漏洞和威胁管理平台自动化、智能化的设定，通过流程化的平台管理能实现符合教育行业生命周期和P2DR模型的实践。

3 信息安全漏洞和威胁管理实践

结合P2DR模型与高校信息系统生命周期安全管理，高校可通过安全漏洞和威胁管理的安全体系建设对整个信息安全工作进行支撑，这是一个闭环的不断循环的过程。本文结合高校常见的3个安全场景(资产稽查、漏洞管理、威胁管理)对安全漏洞和威胁管理的安全体系实践进行论述。

3.1 资产稽查实践

高校具有的大量资产使安全问题变得异常复杂化，增加了运维团队的工作难度，从而造成资源的分配不均或浪费，资产稽查是一个有效的解决方法。引入P2DR模型的资产稽查过程是一种动态、可持续性的监控，当发现变更或入侵情况后能及时进行处理，处理完成之后，可继续监控。

为了实现高效性、准确性、精细化的目标，资产稽查工作需要遵循以下3个要素：

1) 技术手段必须是自动的。大多数高校依赖于各二级单位管理员实现资产登记，但由于管理人员的技术水平参差不齐，往往会出现较多的错误信息或者资料不全。因此，自动化的资产检查手段十分重要。

2) 资产稽查的结果应该形成单位性质的分组展示。资产稽查的结果通过资产分组实现安全资产的展示，这有利于对各二级单位的资产进行有效的统计，并针对相应的资产制定安全策略。资产的细粒度包括资产的分组情况(二级单位归属)、IP或域名地址、端口号、相关协议，并支持基于以上信息进行分类。

3) 资产稽查的方式应该支持互联网和内网检测的两种手段结合。

基于P2DR模型的可闭环控制的动态资产稽查过程如下所示：

1) 进入police(策略)阶段。学校落实网络安全等级保护制度要求，设定完善的信息资产备案制度，采用报备制度，通过信息安全漏洞和威胁管理平台收集各类信息系统(网站)的基本信息，对学校的信息资产进行管理。

2) 进入protection(防护)和detection(检测)阶段，通过备案信息对内部资产进行访问控制和变更管理。

① 完善防火墙设置。依据资产的情况，核实各二级单位上报的资产备案信息的准确性，并确认对外端口的使用情况，以便在重大活动或敏感时期实现对信息系统(网站)的分级和分类管理。

② 严控web端口。通过80端口或http协议进行搜索，清查校园网内所有的web站点，针对web站点建立web应用防护系统的管理策略。

③ 公网威胁。进行互联网资产稽查，实时监控学校所有对外IP地址的端口情况，当出现新增端口，则自动向管理员告警，由管理员确认是入侵事件还是变更需要。

④ 内部变更。利用检测手段，持续监控内部信息系统端口的变化的情况，及时确认端口变化是由应用服务器提供未备案的新服务或是遭到入侵创建对外非法端口所造成的，利用端口变更的发现，可以有效解决内部变更的管理问题。

3) 进入response(响应)阶段。以上4个问题的解决方案通过信息安全漏洞和威胁管理平台，以工单的形式下发，实现流程化的管理。平台依据不同资产的分组，设定不同的管理人员，将自动扫描发现的问题自动转发至相应的管理人员进行处理，并通过APP/短信/邮件等形式发送通知。最后根据发现的问题，重新进入police(策略)阶段，修订资产安全管理的制度。

3.2 漏洞管理实践

漏洞管理工作是安全的基础工作，发现网络、系统和应用中的安全问题，可以提前发现并进行修复，减少被入侵的风险。针对情报和漏洞情况的监控，可以控制漏洞威胁对高校信息安全的影响，先于安全问题爆发前，进行重点性的问题解决。这种管理思路虽然清晰，但在智能化落实的过程中却会遭遇二级单位存在技术困难、安全漏洞检查邮件下发后迟迟得不到回复等各种阻力。同时，学校存在数十个二级单位，安全信息持续变化不利于进行概况的统计。

基于以上问题，可以通过P2DR模型，结合信息安全漏洞和威胁管理平台进行解决。

1) 进入protection(防护)和detection(检测)阶段。通过漏洞检测工具对各二级单位的信息资产进行安全扫描，信息安全漏洞和威胁管理平台能够自动将漏洞情况与“资产稽查实践”的资产列表进行关联。整个过程还可以导入基线配置核查、web站点检查、网站监控或渗透测试和代码审计的结果，并与资产关联。

2) 进入response(响应)阶段。通过平台的工单响应功能，可以对应资产的归属，对管理人员下发漏洞处理的工单，通过短信、邮件或APP等方式进行通知(可选通知的对象包括信息化建设部门的安全负责人、对应系统负责人和二级单位安全负责人)(如图2所示)。对于重大漏洞或高风险漏洞，可以设置重复提醒的功能。可以将信息化建设部门的安全负责人从安全通知的工作中解放出来。

图2 漏洞处置单下发

系统负责人登入平台后，依据权限控制，只可见自身资产的安全问题，并着手处理安全漏洞情况。信息安全漏洞和威胁管理平台通过庞大的漏洞知识库，可以提供具体的解决方案，并将解决方案保存在运维知识库中，除了服务人员导入的解决方案外，系统负责人在实践过程中实际解决问题的办法也会自动存入运维知识库。运维知识库大大减少了重复的修复指导工作量。

漏洞管理实践过程中对于安全漏洞的修复，可以设定以下几种状态：

① 可以修复。系统负责人修复后，自行可以验证，调用相关扫描工具，或者使用渗透测试留下的脚本、攻击方法，进行自主验证。成功修复的验证结果发送给信息化建设部门的安全负责人。

② 误报。管理人员将确认误报的分析，在平台上回复信息化建设部门安全负责人，并由信息化建设部门安全负责人进行确认。如果是误报则忽略相关告警；如果是非误报，则重新发回相关系统负责人。未确认漏洞是否误报时，该漏洞则统计为未修复。

③ 接受风险。当漏洞情况是已知，但现阶段影响不大，或在可以接受的情况下，系统负责人可以提交信息化建设部门安全负责人进行接受风险的确认；如果是可以接受风险则确认，如果是不可接受风险，则重新发送至系统负责人进行处理。在接受风险的漏洞未确认的情况下，该漏洞则统计为未修复。

3) 进入police(策略)阶段。信息安全漏洞和威胁管理平台能够根据资产分组的情况进行相关漏洞情况统计。信息化建设部门安全负责人通过平台能够了解整体的安全漏洞情况(如图3所示)。

漏洞情况的统计可以结合以下几个维度：

① 每个资产组发现高、中风险漏洞的个数，状态分别为已修复、未修复、接受风险的个数以及相关百分比。

② 漏洞修复时限完成情况，例如重大风险漏洞可要求30 min 内修复，高风险漏洞要求1 d内修复，中风险漏洞要求3 d内修复。

结合以上的情况可以对各二级单位的安全管理工作进行评分，并形成相关网络安全周报，提高安全工作的积极性。通过发现的问题，信息化建设部门可以修正之前信息安全管理制度和操作流程，提高工作效率和安全保障的能力，并通过平台进行策略的下发。

图3 安全漏洞整体情况

4) 再次进入protection(防护)阶段。根据发现的问题，定期给相关的系统负责人进行网络安全培训，提高安全漏洞管理的能力。

通过安全漏洞管理，可以解放安全管理的工作量，提升二级单位人员的安全意识和安全技术水平，对提高校园信息安全保障起到非常关键的作用，更重要的是解决了很多高校安全漏洞管理无法落地的问题。

3.3 威胁管理实践

威胁管理是高校最重要的安全实践工作，网络安全等级保护建设中的网络、主机、应用的相关安全设备(如防火墙、入侵防护、web防护、上网行为管理、安全审计等)都是威胁管理的内容。在威胁管理工作中，会遇到以下几个问题：① 日志量太大，无法进行有效日志分析和发现潜在的安全问题;② 设备较多，比较专业，难以确认哪些设备策略可以优化和减少入侵风险;③ 无法整体输出全网环境的安全状况以及已建安全设备的防护效果，无法指导未来应如何建设。

通过威胁管理实践，着重解决以上3个问题，解决的过程同样应用了P2DR的模型。

1) 进入detection(检测)阶段。安全防护设备对实时的流量进行检测，安全防护设备采集日志的速度大约为50～5 000条/s，一天可以产生过百万的安全日志。

实时检测过程对前后流量和日志进行比对，通过行为和数学建模的分析，确认入侵的路径，并结合攻击链的维度，将攻击的整个过程进行整合。

检测的最终结果通过构建的攻击链(如图4所示)对失陷主机进行分析，发现不同失陷阶段的具体情况，并记录攻击路径，完成溯源。

图4 攻击链

根据检测结果，安全管理员可知道被设备拦截防护的攻击事件数量，有哪些攻击已经突破了安全防护，或者有哪些系统在安全防护实施前，已经被入侵成功，成为失陷主机。对于失陷主机的分析，平台能够还原整个攻击链条，提出解决方案，并指出现阶段防护的不足之处。这将会为后续安全建设的规划提出依据，通过引入智能化的态势感知和攻击链分析技术，在降低发现失陷主机花销的同时，可提高发现速度和精度。

2) 进入response(响应)阶段。威胁管理结合漏洞管理和资产稽查的实践成果，形成闭环的工单分发。对应的安全问题，可指派到对应的系统负责人，通知修复后，信息化建设部门安全负责人通过平台能够收到实时的修复成功反馈。

3) 进入police(策略)阶段。信息化建设部门安全负责人将各二级单位威胁管理的情况通过平台汇总至安全周报上，同时，依照发现的失陷主机的安全问题，信息化建设部门将再次对制度、体系和设备的策略进行优化调整，持续对其进行监控。

4) 进入protection(防护)阶段。针对容易或刚受到攻击的设备，可通过提高扫描频率，对相关人员开展针对性培训和及时发送通告等方式加强安全漏洞管理的工作。

3.4 综合安全管理实践思路

高校进行资产稽查、漏洞管理、威胁管理的终极目标是为了提高资产安全管理水平，保障资产的安全。信息系统作为高校重要的资产之一，资产安全管理将贯穿到整个信息系统生命周期管理过程中。

1) 规划和需求分析阶段。各二级单位在信息系统立项和制定需求阶段，从学校信息化项目统筹建设的角度出发，信息系统的建设除了要遵循学校数据标准和信息规范的要求，还要按照网络安全等级保护制度的要求，明确安全性的需求，从而降低安全问题修复的成本。

2) 软件设计和程序编码阶段。信息化建设部门利用安全专业技术、安全设备或第三方安全服务，协助信息系统开发商开展代码合规性检测、软件单元测试等工作，督促信息系统开发商在软件设计过程中时刻关注安全问题。

3) 软件测试和运行维护阶段。信息化建设部门通过开展资产稽查、漏洞管理和威胁管理实践工作，借助P2DR闭环可持续运维的实践经验，使学校资产得到有效的安全保障。

3.5 综合安全管理实践效果

1) 自动化管理能力提升。通常高校处理安全事件的流程都是通过邮件推动，同时，信息化建设部门还需要自行人工统计各单位的安全情况和安全状况，而自动化实现了安全问题的高效、精确传递。经过实践证明，借助信息安全漏洞和威胁管理平台，基于P2DR闭环可持续运维的自动化安全管理办法，比电话、短信、邮件和自行人工统计的方式节约近90%的工作成本。

2) 智能化管理能力提升。以校园网日志平均产生速度15000EPS(EPS：条/s)为例，假设通过搜索条件(高风险、具体威胁、来源目的IP筛选)仅保留1/100的日志量(150EPS)，每天校园网要处理150×3 600×24=12 960 000条日志。利用分析能力达20 000∶1(即20 000条日志分析出1个信息安全事件)的智能化分析技术，每天需要处理的事件数将锐减至600条，再将资产按照归属进行分派后，最终每个老师每天要处理的安全事件大概只有10～20个，有效保障了安全事件的及时处置。

3) 闭环和可持续运维管理能力的实现。按照传统的安全管理思路，在校园网开展安全管理工作，要实现闭环可持续管理几乎是不可能完成的任务。校园网安全问题不断出现，往往是旧的问题刚解决，来不及进行反思和审计，就需要投入至新的安全工作中。闭环利用本文的安全管理思路，一方面将管理流程进行了整体梳理，各高校可以根据自身情况择优实施；另一方面，该思路结合了自动化和智能化的理念，使可持续运维成为现实。

3.6 综合安全管理实践创新价值

目前，高校在开展资产稽查、漏洞管理、威胁管理工作时，大多数还是单纯以堆叠不同厂商的安全设备来实现[17-18]。这种传统的安全防护思路会带来安全孤岛、管理缺失、智能程度低等问题。在高校信息安全漏洞和威胁管理的研究与实践中，基于与传统安全设备和技术做对比发现，依靠传统安全思路和产品只不过是饮鸩止渴，闭环持续响应的体系平台才是高校信息安全问题的治本良方。综合安全管理实践的创新价值具体体现在以下几点：

1) 消除安全孤岛。高校资产稽查需要使用NMAP，漏洞管理需要使用漏洞扫描器，威胁管理需要防火墙、入侵防护、web防护等设备，依靠这些来自不同厂商的产品的简单堆叠使用，产品功能相对单一，无法实现技术融合，无法形成完整的校园网安全技术体系，将会给高校网络带来安全孤岛问题。本文提出的闭环持续响应的体系平台，可为高校运维提供统一的入口，查看每个资产的变更、漏洞安全和威胁安全的总体风险情况。高校网络安全工作的计划和保障得到了统计和趋势等客观数据的支撑，可确保安全规划符合真正需求，同时也降低了运维人员的安全分析难度，消除安全孤岛。

2) 避免管理缺失。传统安全设备多依赖PDR模型[19]进行设计，PDR模型由protection(保护)、detection(检测)、response(响应)3部分组成，与P2DR最大区别是缺少Police(策略)部分。传统安全设备更关注的是技术的实现，而忽略管理与策略的内容。例如在漏洞管理中，漏洞扫描器相较于本文提出的平台，更关注的是漏洞扫描能力，发现后的通知和闭环工作，依赖于运维人员的自觉性，并需要手动使用邮箱发送漏洞报表，电话与二级管理人员确认修复情况，导致现实的漏洞管理难以推进也耗费人力。而本文提出的平台利用P2DR模型，更关注的是落地的情况，自身提供一套漏洞管理的工单流程，流程的策略(即P2DR的Police部分)也随一次次的操作进行改善，更符合高校安全管理的需求。

3) 提高智能程度。安全信息和事件管理(SIEM)[20]技术，最早在2005年由Gartner提出，但由于技术的迅速发展，传统的SIEM设备使用关系型数据库，已不能支持TB级数据的查询分析(按照高校每天12960000条日志，单条日志1KB计算，180天的日志需要超过2TB的存储空间)。而本文提出的平台区别于传统的SIEM设备，在云平台虚拟化技术的支撑下，可以实现存储与计算资源的弹性扩展，同时结合新型的安全大数据技术，能解决高校信息化快速发展过程中产生的大量日志数据的处理问题，并能满足《中华人民共和国网络安全法》日志存储必须满足6个月的需求。

4 结束语

通过资产稽查、漏洞管理和威胁管理的研究与实践，高校信息安全问题能够得到简化，将其置于高校信息安全生命周期中进行，每个新的信息系统都会进入资产稽查、漏洞管理和威胁管理的闭环持续运维响应中，高校信息安全环境将得到最大效果的保障。同时智能大数据技术，可以解决高校专业人员资源短缺、安全工作多杂乱的现象。

高校信息安全问题是与信息系统、应用数量呈正比例的增长关系，除非未来信息系统被新的科技取代，不然高校网络安全的问题就一直会存在。意识到位后，则需要更多地关注实践的探索。高校有其区别于其他行业的特殊性，要实现安全的全面防护，满足国家对于信息安全的要求，需要沿着基于智能闭环可持续运维的高校信息安全漏洞和威胁管理的建设思路，不断地前行探索。