面对日益严峻的网络安全态势及更加严格的法律法规,国内高校普遍加强了网络安全建设。
根据各自学校的不同情况,分别采取不同方式来落实相关安全工作,有的着眼于智能网络安全防护体系建设,有的侧重于提高网络安全检测能力,有的从信息系统安全准入着手,还有的采购专业网络安全外包服务,均取得了良好的效果。
大连理工大学并没有充裕的资金采购大量的先进设备及全面的安全服务,但对于信息化项目的规范管理具备一定的经验,因此,从2017年开始探索在信息化项目全生命周期中开展网络安全管理,明确每个阶段的网络安全要求,降低各项目潜在的安全风险,从而降低学校整体的网络安全风险。
其基本思路就是在进一步完善网络安全防护体系的前提下,与网络安全等级保护制度结合,从技术和管理两个方面将网络安全建设融入到信息化项目的立项、采购、建设开发、验收、运维以及结束等各环节中,确保信息化项目在全生命周期内达到并保持相应的网络安全要求。
信息化项目全生命周期安全管理发展现状
对于信息化项目全生命周期的安全管理,最初是从软件全生命周期安全开发开始的,软件的安全问题很多是由不安全的设计、代码所造成的,软件全生命周期安全开发就是将安全要求集成到每一个开发环节,以减少软件开发中产生的安全漏洞,如微软的安全开发全生命周期模型(SDL),就是帮助开发人员构建更安全的软件并在解决安全合规要求的同时降低开发成本的软件开发过程。
国内对网络安全比较重视的行业如金融、电力等,已经借鉴了该思路建立了本行业的信息系统开发全生命周期网络安全管理模型,高校近年来也出现了相关的研究。
在此基础上,学校尝试将网络安全管理融入到信息化项目全过程中,不仅仅对信息系统开发进行安全管理,还把网络安全管理扩展到整个项目管理中,对项目全过程中人员分工、经费、合同、承建方、审计监督等也提出了相关技术和管理的安全要求,同时也对开发部分的安全管理进行了现实性的简化,一部分由承建商自行完成。
信息化项目网络安全管理中的责任分工
为了保证信息化项目安全管理的顺利开展,首先要明确各部门的定位及相关人员的角色分工。
按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,网络与信息化中心(以下简称“网信中心”)负责统一组织协调、监督管理信息化项目的网络安全管理,各信息化项目的主管部门为各项目网络安全工作的主管单位。
在项目建设过程中,项目组负责项目网络安全工作的具体落实与实施,项目验收上线后,由运维组继续负责后续的网络安全工作。
项目组通常由校内主管业务部门、网信中心及承建方共同组成,其中由主管部门人员担任项目负责人,全面负责项目网络安全建设的推进及应用安全与数据安全,包括信息系统用户权限管理、账号的安全管理、业务逻辑安全、数据采集及使用安全等;
网信中心提供技术人员,负责项目技术支撑包括项目软件设计开发、硬件需求、安全策略合理性安全性的审定及项目网络安全检测报告的审核等;
承建方负责项目合同范围内的软件、硬件、运行环境的网络安全建设,按照合同完成维保期内的网络安全运维,负责在项目全生命周期内项目自身安全漏洞的处置。
项目上线后进入运维阶段,由运维组负责项目的安全运维,运维组中必须有主管部门人员参与,负责运维工作的监督管理,如果主管部门无法完成具体运维工作,可由承建方或第三方按照相关合同负责,并接受校方的监督管理,保证校方对项目的掌控。
各项目相关人员如有变动必须及时补充,如无法保持人员完整导致项目失管失控,将按照项目结束阶段要求启动项目结束流程,表1为信息化项目安全管理的具体责任分工。
表1 信息化项目网络安全管理组织人员分工
信息化项目各阶段的网络安全管理
信息化项目建设可分为调研、立项、预算、采购、建设(需求分析、设计、开发测试、部署实施、上线试运行)、验收、运维、结束8个阶段13个环节,根据项目不同具体阶段划分会不尽相同。
在学校信息化项目建设中,调研、立项、预算三个阶段结合很紧密,因此将三个阶段统一进行要求。
经过充分调研,具备必要性、可行性的项目可以进行立项,每年学校统一组织下一年度的信息化立项审批会,通过立项的项目可申报预算、启动建设。
在网络安全建设方面调研和立项主要关注信息化项目的基本安全要求,也就是进行等保的初步定级以及明确是否存在特殊的安全需求。
等保定级主要取决于信息系统自身的需求与定位,可以在系统未建设时确定,而提前确定也为后续的项目建设奠定了安全基线。
特殊的安全需求包括是否需要建立专网、是否需要网闸等隔离设备、是否需要SSL或负载均衡支持、是否有特殊的容灾备份要求等。
根据上述要求确定项目的安全预算,除了上述可能增加的设备预算还包括等保测评预算、网络安全检测预算等。
在采购阶段,明确要求不得由自然人承担项目建设,避免个人开发的随意性带来的安全隐患,也避免后续运维失控带来的安全风险。
在采购文件当中(包括招标文件及采购合同)要明确厂商的安全建设要求,包括:
对于项目自身的安全问题,由厂商完全负责并且必须在规定时限内解决;
厂商需提供第三方网络安全机构对项目的安全检测报告;
项目建设需要满足的等保级别;
数据安全、安全事件响应及修复时间、权限管理、审计记录、备份机制等。
在重要的项目中还需对厂商的软件开发能力、项目管理能力以及人员方面提出要求,以保证项目安全建设的顺利进行。
对于部分重要系统,还要考虑签订保密协议。
定制开发的项目和采购非定制产品的项目在建设阶段差异较大,非定制产品可直接从部署实施开始,定制化产品则需要从需求分析环节开始考虑安全建设。
在需求分析阶段,主要是结合等保要求,确定建设方案中网络安全相关的具体需求,并开展等保定级备案工作。
项目的需求一定要定版,否则不但项目建设质量、进度无法保证,安全建设更是无从谈起。
设计阶段要检查所用各种软件的安全性,包括开发语言、开发框架、数据库、中间件、服务器软件等,要选用安全的软件及安全的版本,特别要注意软件版本,很多安全的软件其老旧版本是存在严重安全问题的。
如果有条件可详细审核项目设计书,检查设计中是否存在逻辑漏洞。
开发中应遵循安全软件开发原则,严格检查并妥善过滤程序中可能出现的信息输入和文件上传,防止注入、跨站和越权访问,如采用白名单方式进行输入过滤、禁止由Web前端直接生成和传递SQL语句到数据库执行等。
同时要编写详细完整的配套文档和注释,以便检查。系统开发必须有完善的版本控制,这也是保证项目质量与安全的基础之一。
测试阶段重点强调厂商必须实现完整的测试。
测试的完整性是目前高校信息化建设中最常见的问题之一,也是造成系统功能欠缺和安全漏洞的主要原因之一。
测试如果要使用真实数据,就要特别注意数据安全,校方应脱敏后再提供。
在信息系统部署环节中,主要是按照学校提供的技术文档模板,确定系统各项配置、安全策略及系统重要信息,包括:硬件资源测算、软件环境及版本、服务器间逻辑拓扑及访问控制策略、应用服务关键进程及专网信息等。
部署必须严格使用堡垒机,按照讨论确定的部署方案采用最小化方式部署,包括权限和软件环境;部署的各类软件要准确配置,如redis的密码和访问控制配置、日志留存的配置、备份策略等。
有些重要项目需要试运行,建议试运行前完成第三方安全检测,保证项目达到一定的安全水平,避免轻易被攻击。
试运行要严格控制访问范围,有针对性地进行试用,不能过度开放,增加项目安全风险。
在验收阶段,厂商必须提供第三方有资质的网络安全检测机构出具的网络安全检测报告,该报告作为验收的必要文档,缺少或不符合要求不得验收。
为避免承建厂商应付了事,对于第三方检测机构提出了相关要求,包括机构资质、检测内容(检测人员、检测时间、检测依据、检测项目、检测工具、检测流程、检测结论、修复建议)等方面。
对于建设过程中校方发现的各类安全问题应完成彻底整改,并提供整改报告。
“重建设、轻运维”一直是高校信息化建设的主要问题之一,也对运维期间网络安全事件的处理造成较大困扰。
在运维阶段,首先,要明确运维组的人员构成,必须包括运维人员及校方管理员,并由校方管理员监督整个运维工作;
其次,要根据各项目自身的要求确定运维方案,包括巡检周期、巡检内容、异常处置流程、升级流程、编制运维记录文档等;
然后,由运维人员按照要求开展运维工作,并填写记录,由校方管理员进行监督和管理。
运维工作重点强调严格使用堡垒机,严禁通过各种手段绕过堡垒机进行远程操作。
运维中比较常见的问题是厂商运维人员为了快速解决问题直接对生产环境中的应用系统进行修改并测试,对于此类问题要坚决杜绝。
主要的运维工作还是配合校方完成网络安全事件的处理,应按照校内网络安全事件处置流程及时彻底地完成整改。
对于核心信息化项目,如一卡通、信息化基础平台,运维工作还应引入考核机制,以约束运维人员的工作。
当信息系统不再使用、无法使用或缺少运维人员从而失控失管,则可以进入项目结束阶段,需要关注是数据、日志等安全问题,应结合系统相关业务要求以及等保定工作要求,制定数据处置方案,妥善处理残留数据的销毁或留存。
同时要及时注销并关闭各类相关资源包括服务器、域名、IP地址、堡垒机配置、等保备案等,避免僵尸系统的形成。
项目结束后应整理项目网络安全管理的相关记录,以备上级主管部门查证。
在整个项目建设过程中还有一些其他问题需要特别关注,比如个人信息保护、正版软件的使用等。
实践及未来计划
2017年至今2年多的时间里,学校按照信息化项目全生命周期安全管理的思路推动校内信息化建设,一边实践一边编写、调整相关技术规范,已经有超过20个项目实现或部分实现上述管理要求,并取得一定效果。
图1为近5年校内网络安全事件统计,从中可以看到随着主动加强信息化项目安全管理,大量的安全事件由学校自主发现,网络安全问题趋于可控。
图1 近5年校内网络安全事件统计
在实践中,我们也发现一些问题和难点,比如开发阶段的安全管理如何更具可操作性、基于开源软件信息化项目的安全管理问题、校内信息化队伍项目管理能力的提升等。
未来,将根据实践情况进一步对信息化项目网络安全建设管理规范进行修订,出台更丰富的配套规范及文档,提高可操作性,同时计划配合信息化项目管理,共同设计开发相关管理平台,提高管理效率和统计分析能力。
(作者:大连理工大学网络与信息化中心 李先毅 于广辉 张巍 刘瑾 郑维)
进入专题>>2019高校信息化创新实践方案展示
① 凡本站注明“稿件来源:中国教育在线”的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本站协议授权的媒体、网站,在下载使用时必须注明“稿件来源:中国教育在线”,违者本站将依法追究责任。
② 本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。