基于安全態勢感知平臺的高校網絡SOC研究—以第四軍醫大學為例

高 薇,許 浩,寧玉文,高東懷

(第四軍醫大學 信息管理中心，陜西 西安 710032)

0 引 言

為了應對日益嚴峻的網絡安全問題，我國已把網絡安全作為國家安全戰略的重要內容，并成立了國家級、電信級安全運營中心(security operation center，SOC)，負責在網絡安全基礎數據的表達、預測及應用的基礎上[1]，應對和處理網絡安全問題，提升網絡安全防御能力的獨立機構[2]。然而教育領域特別是高校網絡安全管理工作目前尚處于起步階段，部分高校網絡安全管理體制機制依然還沒有理順，導致網絡安全事件頻發。根據教育部信息安全管理工作要求，高校急需要結合當前網絡安全態勢與高校信息化管理實際，量身設計一個既能應對日常網絡安全威脅，又能推進信息安全等級保護的安全運維方案。筆者在中國高等教育學會2014年專項課題《高校信息安全管理模式與體制機制研究》的支持下，對陜西省高校信息管理工作進行調查研究，結合第四軍醫大學的研究與實踐，提出了基于安全態勢感知平臺的高校校園網安全運營方案。

1 高校網絡安全管理工作的調研分析

1.1 高校網絡安全管理情況調研設計

為了摸清高校網絡安全管理工作情況，筆者選擇高校密集的陜西省作為調查對象，一是問卷調查了該地區的部屬高校、軍隊院校、省屬本科高校、民辦院校、職教院校等20所代表性高校，面向高校網絡中心或信息化辦公室負責人，在網絡安全管理人員配備、網絡安全設備使用、網絡安全技術應用、網絡安全管理制度建設和網絡安全威脅處理五個方面開展問卷調查，并對部分學校進行了參觀。二是走訪了北京天融信、啟明星辰、北京神州綠盟、南京銥迅等9家信息安全公司，交流高校信息安全的技術支持情況。

1.2 高校網絡安全管理工作呈現的新特點

調查發現，近年來高校信息化建設逐步從數字校園建設邁向智慧校園[3]，網絡安全管理工作逐漸呈現三個特點：

一是需要管理的安全設備越來越多。高校校園網絡結構日趨復雜，需要安全防護的網絡設施與資源也迅速增多[4]。各高校為了保證安全，針對物理安全、主機安全、網絡安全、信息安全和數據安全等各個層面部署了相應的安全設備，形成了基本的安全防護系統。

二是用戶數量與行為越來越難控。移動互聯網的迅速普及，電話網、有線電視網與計算機網絡不斷融合，加大了信息系統面臨的網絡威脅，高校正在逐步形成有線無線一體化的校園網絡，部分學校已經在嘗試物聯網。這使得校園網有線用戶和移動用戶的數量和終端種類不斷增多，網絡行為也越來越復雜，異常行為頻發，出現了風險評估難、預警告警難、追蹤定位難等問題[5]，給安全管理工作帶來了新的挑戰。

三是需要應對的信息安全威脅越來越多。高校面臨的高級可持續性威脅(APT)、分布式拒絕服務攻擊(DDoS)及網站篡改等各類攻擊迅速增多[6]，安全事件時有發生，高校正在建立相應的處理機制。

1.3 高校網絡安全管理工作存在的問題

目前被調研高校普遍受限于現有人員編制和運維成本等多種因素，在網絡安全管理中存在以下突出問題：

一是缺乏順暢的管理機制。大部分高校設立了信息安全與保密委員會，由分管校領導具體負責，但是在實施層面，高校的網絡安全管理工作由多個部門負責，依托信息化辦公室、網絡中心或黨政辦，存在多頭管理、職能交叉等現象，其中僅有60%的高校在IT服務部門中設置了網絡安全服務小組。人員配置方面，90%的學校設立了網絡管理員崗位，60%的學校設立了系統管理員崗位，50%的學校設立了安全管理員崗位，設崗高校中僅30%有專職安全管理員。在制度方面，40%的高校正在制定安全管理規范，特別是應急響應預案和日常安全檢查制度，50%的學校落實了網絡安全例行檢查制度。然而仍有部分高校對安全管理工作處于一種“救火式”的被動服務狀態。

二是缺乏精細化的管控服務。高校雖然按照教育行政部門要求，配備了必備的網絡安全設備，基本達到國家二級安全防護標準[7]，但是大部分高校沒有按照安全保護強度劃分安全等級，沒有根據信息系統承載業務的重要程度、信息內容的重要程度、系統遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，對IT服務內容進行分級分域分業務分用戶管控。

三是缺乏規范的運維流程。故障的處理依賴于技術人員的業務熟練程度和處理習慣，然而部分高校安全管理人員沒有實現流程化安全運維，處置權限不明確，責任分工不合理，安全策略的設置不及時，導致重復處理，隨意處理，且處理過程不透明，用戶無法跟蹤問題的處理情況。

2 高校校園網安全運營中心模型設計

針對當前高校網絡安全管理工作的特點和問題，筆者認為高校網絡與電信企業網絡具有一定的相似性，完全可以借鑒企業網絡安全管理工作的思路，也就是創新和應用網絡安全管理理論，在高?，F有信息化組織架構的基礎上，充分利用各種管理手段和技術方法，從而最終保護在線系統資源與服務安全。

2.1 信息安全管理工作的理論依據

WPDRRC信息安全模型是我國“863”信息安全專家組提出的適合我國國情的信息安全體系建設模型，它將信息安全建設的整個周期劃分為預警、保護、檢測、響應、恢復和反擊6個環節，具有較強的時序性和動態性，主要構成要素分為技術、策略和人員。其中人員是核心，策略是橋梁，技術是保證[8]。目前，WPDRRC模型已成為大多數院校信息安全保障體系建設的重要理論指導。

2.2 企業安全運營中心的基本模式

電信企業在有效化解安全風險，應對各種突發性網絡安全事件方面具有成熟的經驗。主要思路是將現有安全系統納入統一的管理平臺，建立安全運營中心，實現安全形勢全局分析和動態監控[9]，通過集中收集、過濾、關聯分析安全事件，分析整個系統的安全狀態和安全趨勢，對危害嚴重的安全事件及時做出反應，提供安全趨勢報告，實現對風險的有效控制，其核心是檢測和響應功能[10]。中國移動、中國電信也在部分省市開展SOC試點，為高校引入安全運營中心奠定了基礎。

2.3 高校校園網安全運營中心模型

高校校園網安全運營中心需要在高校信息化組織的基礎上進行改造，按照技術與管理相結合的思路，實現安全的統一管理，并將其定位于校園網應對處理解決信息安全問題的一線組織，主要目標是持續提高自身安全防護能力，保護信息系統及信息自身安全。

因此，高校安全運營中心模型設計參照WPDRRC信息安全模型六環節三要素的理念，改進電信企業安全運營中心的設計理念，形成適合院校安全防護需求的WPDRRI模型，具體結構如圖1所示。其中六環節為預警、保護、檢測、響應、恢復和改進，三要素為組織架構(人員)、技術體系(技術)和管理流程(策略)。

圖1 高校校園網安全運營中心模型

在WPDRRI模型中，組織機構是指安全運營中心的管理機制情況，如中心職責、崗位設置、人員配備和職責授權等。技術體系主要包括兩部分，一是如何利用現有安全防護技術和設備對校園網絡的各項服務進行全面保護；二是如何采用安全防護技術和設備進行有效管理和使用。管理流程是指網絡安全管理的整體策略，包括安全管理策略、安全管理模型和運維流程，涵蓋了WPDRRC的各個環節，但作為校園網的安全運營中心可相對弱化或忽略“反擊”環節，增加優化“改進”環節，確保整個安全防護體系有效運作和持續改進。

3 校園網安全運營中心建設實踐

筆者與課題組成員依照WPDRRI模型，在第四軍醫大學利用近三年時間，在學校信息化原有管理體制的基礎上，通過理順關系、調整機構、增加專員，初步建成了校園網安全運營中心，解決了學校長期以來網絡安全管理工作的體制性障礙與結構性矛盾。

3.1 校園網絡安全管理的組織架構

學校現有信息化機構一般具有決策、管理、運營和應用4個層次，但需要根據信息安全業務的需要做如下調整：

(1)決策層：主要是改組由學校領導牽頭的信息化工作領導小組，增加信息安全管理職能，建立校長或政委一把手負責的信息安全管理機制，負責信息化安全管理體系的規劃、管理制度的審定及重大事項的決策等。

(2)管理層：依托學校信息化辦公室，作為信息安全管理工作的常設機構與執行機構，并協調學校辦公室下設的保密辦、學校教學保障處設立的技術安全檢查辦公室，負責學校信息化安全管理體系的實施、安全管理工作機制的研究制訂、信息安全輿情分析，安全管理制度的貫徹和執行、日常安全管理的組織協調等。

(3)運營層：主要是依托學校網絡中心成立校園網安全運營中心，充實信息安全管理技術人員隊伍，向上對學校信息化領導小組負責，接受學校信息辦、保密辦和技術安全檢查辦公室(技檢辦)指導，向下分為三個組：安全技術組、運行監控組和應急響應組。其中安全技術組主要負責學校信息安全技術防護體系的規劃、建設和管理；運行監控組主要負責學校網絡運行狀態、各類安全事件及信息系統運行日志的監控、分析和匯總；應急響應組主要負責應急處理各類突發安全事件，并為校園網用戶提供網絡安全防護咨詢和指導。

(4)應用層：為進一步明確應用層各院系、部門及用戶的安全責任，與各院系、部門簽訂安全責任書，同時明確各院系/班級、部門信息員的日常信息安全工作職責，使其成為信息安全工作的基礎支持隊伍。

3.2 技術體系

技術體系按照WPDRRI模型主要包括兩個部分，一個是實現校園網整體安全防護的技術體系，另一個是安全態勢感知平臺，形成宏觀有安全防護，微觀有安全態勢感知的安全管理工作新格局。

校園網整體安全防護技術體系是按照第四軍醫大學校園網網絡架構、應用系統使用情況從整體將校園網劃分為四個層次的安全域，如圖2所示。第一層次安全域：網絡用戶區，主要包括辦公區、教學區、學生區和家屬區，用于網絡用戶接入；第二層次安全域：對外服務器區，主要部署對外公開服務的信息系統；第三層次安全域：內部服務區，主要用于部署僅對校內用戶服務的應用系統；第四層次安全域：有限服務器區，主要用于部署僅供內網部分用戶訪問的應用系統和數據庫等，訪問具有一定的限制條件。針對不同區域，通過部署防火墻、信息審計、漏洞掃描、入侵檢測等安全設備實現安全防護。

圖2 第四軍醫大學校園網網絡安全防護體系邏輯結構

安全態勢感知平臺主要面向學校安全運營中心提供統一的技術支撐平臺[11]。筆者所在學校結合實際，在TOP SOC的基礎上研發了網絡安全態勢感知平臺，具體結構如圖3所示。利用學?，F有安全設備，對采集到的事件進行關聯性分析，按時間、事件源、事件目的、事件類型等要素統計，基于BS7799標準的風險模型，采用定量分析方法評估安全對象、區域安全事件發生的可能性以及所造成的影響，最終實現形成圖形化或報表化的安全數據展示，為學校領導、IT主管、維護人員和業務部門四類用戶提供不同類型的安全態勢支持服務。同時該平臺與其他網絡管理系統提供外部接口，與上級部門系統對接，實現對整個網絡安全態勢的報表生成以及定期上報，實現上級單位對下級單位檢查結果或處理建議的下發，并與安全管理系統實現數據對接，為后續構建安全防護云平臺和安全防護體系聯建聯管提供支撐。

圖3 第四軍醫大學網絡安全態勢感知平臺技術架構

3.3 管理流程

我國《信息安全事件分類分級指南》中將信息安全事件劃分為特別重大、重大、較大和一般四個級別。在安全事件級別的基礎上，以WPDRRI模型中的六個環節為基礎，借鑒ITIL事件管理流程思想[12]，設計了學校日常和異常事件處理流程。

日常安全管理流程，利用網絡安全態勢感知平臺，將整個IT安全運維分為預警、報警、處理、知識儲備四個階段，如圖4所示。通過定期報告，使學校領導和管理人員能夠了解全校的信息安全狀態。

預警：利用安全設備監控功能，實時獲得各類安全設備的運行狀態，一旦發現安全設備的運行狀態出現異常，即發出預警信息，引起值班人員的注意。

報警：通過安全事件分析功能，對網絡中發生的各類安全事件進行分析，判斷出網絡當前的安全狀態及風險等級，一旦風險等級超過閾值則向值班人員及安全管理員發出報警信息。報警信息主要包括當前的安全狀態、可能存在的安全漏洞等信息。

處理：一旦發生相應的安全事故，則由系統自動生成工單并經由安全運維責任人及相關領導確認后，指派給具體執行人員。執行人員在接到工單后，首先查看安全運維知識庫中是否存在相關知識，如果存在則按照知識庫中的要求進行處理，反之則需按照相關流程進行處理。

知識儲備：在執行人員解決問題后，將問題描述、處理時間、解決方案等內容存儲到安全運維知識庫中進行知識儲備。

定期報告：在網絡安全綜合管理平臺中存儲典型安全事故數量[13]、安全設備狀態、安全事件種類與數量等信息，定期生成安全運維報告提交給學校領導以及相關負責人員。

圖4 高校網絡安全日常管理流程

異常事件處理流程可以分為三步，如圖5所示。

首先對信息安全事件進行定級。如果學校發生異常情況或突發事件，需要及時判斷事情的重要程度和危害性，對信息安全事件進行定級，由高校信息安全技術人員主要按照“對號入座”和“參照執行”兩種方式進行。對號入座就是按照國家信息安全事件的等級劃分標準，結合高校的類型與影響力，事件發生的時間，發生信息安全事件的信息系統的重要程度和危害性，科學確定信息安全事件的等級。針對教育管理部門或國家安全部門已經明確的信息安全事件或同類高校已經明確定級的安全事件，可以在定級時參照執行。

圖5 高校網絡安全異常事件處理流程

然后結合級別啟動相應級別的響應，一級響應，即發生了特別重大故障或事故，造成特別嚴重的危害，直接影響教育教學工作正常進行或導致了惡劣的社會影響。一級響應為最高級別的響應，需要調度服務臺根據事故發生情況，首先斷網，然后立即保護現場，并通知S安全運營中心負責人并報告領導，成立事故應急小組協調處理，并及時上報上級主管部門，協調公安、網絡信息安全等部門協助處理。二級響應，即發生了嚴重的故障和事故，在一定范圍內造成了嚴重危害，影響正常教育教學工作，有不良的社會影響。啟動二級響應時立即關停故障服務器，并通知相關負責人和運行組負責人協調處理。三級響應，發生了較大的信息安全事故，影響了部分系統或部分單位的日常工作，有一定的社會影響。啟動三級響應時立即停止發生故障的信息系統，并發布警示公告，由相關責任人進行處理。四級響應，即發生了一般性或常見性信息安全問題，無不良影響，可以自行處理。需要立即啟動四級響應，由調度服務臺及時協調值班人員自行處理，或者轉入日常信息安全事件處理流程，判斷故障的難易程度，考慮是否通知相關責任人。

最后是總結上報，四種級別的信息安全事件響應方式均需將故障處理情況總結備案，如果是一級事件，則需要上報學校主管部門。

4 結束語

網絡安全管理工作是一項長期艱巨的任務，筆者在WPDRRI模型的指導下，結合第四軍醫大學實際情況初步構建了校園網安全運營中心，明確了安全事件處理的人、技術和具體流程，基本實現了安全防護有體系、安全管理有手段、事件處理有流程，初步做到了校園網安全一體化管理[14]，但是未來，高校安全運營中心還需要在規范制度的完善和落實與管理經驗的匯總和抽象方面進行進一步的探索實踐。

[1] 王丹琛，徐 揚，李 斌，等.基于業務效能的信息系統安全態勢指標[J].清華大學學報：自然科學版，2016，56(6)：517-521.

[2] 趙 彬，王亞弟，徐 寧，等.網絡安全運營中心關鍵技術研究[J].計算機工程與設計,2009,30(9):2117-2120.

[3] 王 曦.“互聯網+智慧校園”的立體架構及應用研究[J].中國電化教育,2016(10):107-111.

[4] MODI C,PATEL D, Borisaniya B,et al.A survey on security issues and solutions at different layers of cloud computing[J].Journal of Supercomputing,2013,63(2):561-592.

[5] RASS S.On game-theoretic network security provisioning[J].Journal of Network and Systems Management,2013,21(1):47-64.

[6] 鐘慶洪，郭玉翠，蔣卓鍵，等.網絡信息安全影響要素研究及定量分析[J].計算機技術與發展，2014，24(2):172-175.

[7] 蔣建軍.數字校園網絡立體化安全防護的研究[J].計算機技術與發展，2015，25(9):159-163.

[8] 楊春暉,嚴承華.網絡安全模型相關技術研究[J].信息技術，2015，39(4)：75-79.

[9] 國家計算機網絡應急技術處理協調中心.2014年中國互聯網安全形勢報告[R].北京：人民郵電出版社，2015.

[10] MILOSLAVSKAYA N，TOLSTOY A，ZAPECHNIKOV S.Taxonomy for unsecure big data processing in security operations centers[C]//International conference on future internet of things & cloud workshops.[s.l.]:[s.n.],2016:154-159.

[11] 肖國煜.企業信息系統安全管理中心建設實踐[J].信息安全與技術,2016,7(6):36-39.

[12] TAYLOR S,CANNON D,WHEELDON D.ITIL version 3 service operation[M].London:OGC,2011.

[13] 馮貴蘭,楊慧娟.高校網絡與信息安全保障體系構建研究[J].信息系統工程,2016(6):75.

[14] 許 浩，許衛中，高東懷，等.異構網絡安全設備統一管理平臺研究與構建[J].科學技術與工程，2012,20(1)：203-206.