基于SDCA流程的高校網絡資產安全管理應用研究

梁 凱，張 巍

(洛陽理工學院 信息化技術中心，河南 洛陽 471023)

一、高校網絡資產安全管理現狀

《2020年教育行業網絡安全白皮書》顯示，93%的重點高校存在網絡安全漏洞。高校網絡資產面臨較高的安全威脅，容易引發安全事件，給學校和師生造成危害，引發不良社會反應。網絡資產范疇很廣，主要是計算機(或通訊)網絡中使用的各種設備和軟件系統。校園網中的門戶網站、信息系統、操作系統、網絡設備、安全設備、IoT設備等都可以歸為網絡資產，資產安全是衡量整個網絡安全建設是否達標的關鍵因素[1]。近年來，由于資產底數不清、漏洞修復不及時等問題導致的失陷事件引起網絡管理人員的重視。網絡資產安全管理中存在的問題很多，主要表現在以下四方面。

第一，網絡結構復雜化使安全管理面臨挑戰。隨著網絡規模的擴大，接入網絡的設備越來越多，資產的類型和數量不斷增加。此外，虛擬化和私有云等新型網絡資產形式不斷出現，網絡邊界逐漸模糊，梳理所有網絡資產變得艱巨而復雜，容易造成未知的網絡資產遺漏，產生安全死角。

第二，關鍵資產安全管理存在漏洞。一般來說，網絡管理者較為重視重要業務信息系統的保護，按照法律要求開展信息系統等級保護，并在公安機關備案。但從攻擊者的視角而言，通過入侵VPN、域控、WEB統一管理平臺等集權系統所帶來的收益遠高于直接攻擊目標主機，而這類系統通常不在傳統的資產保護區域，容易進入內網[2]。

第三，信息化過程重建設輕安全。信息化建設的目標是更好地服務于學校校務管理，而信息化建設的特點為敏捷開發、快速響應?？焖夙憫男枨笈c安全穩定的要求在短時間內易產生矛盾。在實際安全建設中，部分單位往往重建設輕管理，或者是建設優先，“安全第一”淪為口號，從而造成部分資產剛上線就帶來安全威脅。

第四，多頭管理、權責不清。一些高校在信息化建設過程中，沒有做好歸口管理，各部門責權不清，很多信息化教學項目，比如虛擬仿真實驗平臺軟件系統，建設使用單位往往是二級學院，他們缺乏相關的網絡安全意識和知識，將項目直接部署在云端。這類資產沒有納入信息化部門的資產臺賬，無法落實安全管理和監督檢查工作。

二、SDCA流程與方法

SDCA(Standardization、Do、Check、Action)是企業全面質量管理的重要工具，在企業質量管理過程中廣泛應用[3]。高校的網絡資產安全管理不僅要滿足上級主管部門的管理意圖，也要滿足廣大人民群眾的現實需要，為用戶提供更好、更安全的服務體驗。高校也需要像企業那樣建立一套科學、嚴密、完整的網絡安全質量管理體系，不斷提高網絡安全治理水平。以SDCA循環為標準的工作流程，使網絡安全管理更具科學化、系統化、全面化、可控化[4]。高校在網絡安全管理過程中，管理質量的提高與穩定的交替運轉，使網絡資產從宏觀到微觀都處于被監管狀態，保證全域全過程設備安全可靠。SDCA循環是“標準、執行、檢查、總結”4個步驟循環的模式[5]。首先，為提高產品質量而制訂相關標準(Standard)；其次，執行標準使其平衡運行(Do)，然后對實施過程進行檢查(Check)；最后檢驗實施效果，做出相應的處置(Action)。

高校網絡資產安全管理根據SDCA的4個階段，在S 階段制定標準化的網絡資產管理規范，在D階段執行網絡資產日常安全管理，在C階段建設基于信息化管理的工具，在A階段加強模擬演練，并總結C階段的問題。由于網絡安全防范的內容和技術在不斷更新，需要持續迭代SDCA流程，以達到安全的目標。為驗證SDCA循環流程對網絡資產安全管理的有效性，筆者邀請部分省內相關高校網絡信息中心工作人員參與本研究，將各單位全部登記備案的389項網絡資產作為操作對象，按照下述實踐方法進行循環迭代。

第一，網絡資產安全管理標準(Standard)。標準化在企業生產中可以嚴格控制產品質量、縮短開發周期、降低維修維護成本。因此，標準化管理廣泛應用。在網絡資產安全管理中應用標準化，實質是將隱性的安全管理經驗提煉成顯性的制度、規范和標準，保證資產安全管理形成統一、協調、高效率的機制，避免管理缺陷[6]。網絡資產安全管理涉及人員、設備和技術等方面因素，規范的管理要保證每個環節、因素都有可依照執行的規章制度和操作規范。從行動研究的角度和工作實踐的要求出發，相關高校依據國家網絡安全法律相關規定、國家網絡信息安全相關標準制訂了《網絡資產管理員工作職責》《網站及信息系統備案管理辦法》《信息管理員工作職責》《網絡安全員工作職責》《系統管理員工作守則》《信息系統安全運維技術規范》《服務器安全管理規范》等制度和規范，規定了資產備案、漏洞掃描、隱患整改等操作流程?！斗掌靼踩芾硪幏丁贰缎畔⑾到y安全運維技術規范》等操作規范詳細規定了服務器、信息系統的安全設置、安全運維流程以及應急處置辦法，從技術層面為管理人員提供網絡資產安全管理風險點及相應安全運維操作指南。

第二，基于標準的網絡資產日常管理(Do)。此階段，相關高校嚴格落實管理制度和操作規范，為保證落實網絡安全管理，從組織、培訓和考核三方面著力提升執行力。相關高校將網絡安全主管部門作為網絡安全管理的負責單位，各資產使用單位作為資產安全管理的主體，這樣可以充分發揮責任單位的技術指導優勢，也能體現各使用單位的主體意識。要保證技術標準的執行度，培訓也是必不可少的。項目實踐中，相關高校從網絡安全的重要性、網絡安全管理的責任意識以及網絡安全管理技術等三方面對網絡安全管理組織的網絡員、信息員進行培訓。通過培訓，網絡安全員可以掌握必要的技能，能獨擋一面，提高執行力。網絡安全管理組織要落實安全管理目標，必須依據制度和規范對組織成員進行監督與考核。實踐中，各高校要定期對各單位網絡資產設備安全管理情況進行督察和考核，對考核不達標的單位網絡安全責任人進行誡勉談話。

第三，建設智能化管理工具(Check)。檢查檢驗是對執行結果的校驗，也是對規范和標準的反饋。在SDCA循環中，檢驗是至關重要的環節。網絡資產安全管理中，管理者要檢驗執行目標、管理效果以及規范標準的適用度。各高校應該建立信息化、智能化的檢驗工具以代替部分人工檢驗。相關高校網絡資產的全生命周期管理工具從網絡資產的發現、網絡資產的梳理、網絡資產的合規檢測、網絡資產的維護到最后網絡資產的廢棄管理，每一個環節都應做到信息化管理[7]。特別是在資產發現和合規性檢查方面，部分產品已實現智能操作。部署在交換機旁路的資產自學習引擎，利用被動檢測方式對鏡像流量進行http/https訪問分析，自動發現網絡內對外提供訪問的網站及業務系統，準確、清晰識別校內網絡資產，并對資產進行指紋畫像，將自學習獲得的網絡資產進行合規治理，并下發到使用部門認領，完善備案信息[8]。合規檢查階段，各高校根據備案后的資產信息，對重點資產進行日常監控、漏洞檢測、Webshell 檢測等安全檢查和合規性檢測，對不合規、不安全的網站進行阻斷。同時，通過網絡流量分析，阻斷不合規的資產訪問請求，上報并提醒相關人員。智能化工具的建立是檢驗制度標準的一個重要保證。由于信息化工具自身的優勢，代替人工執行檢驗檢查可以更好地執行制度標準。

第四，總結復盤(Action)。最后一個階段是總結復盤，在網絡資產安全管理中，復盤可以提高管理工作的執行度，修訂規范標準中存在的問題。首先，相關高校分析與預期效果的差異在哪里，優缺點各是什么。其次，分析為什么存在差異，客觀分析管理現狀之后得出結論。最后，制訂相關解決方案，為下一次迭代做準備。

三、結 語

高校網絡資產安全管理是一項復雜的系統工程，涉及較多因素。通過運用SDCA 迭代，在網絡資產安全管理中定好標準、抓好執行、運用智慧化管理工具和總結反饋，可以有效提高網絡安全管理水平。同時，安全標準和管理流程標準在不斷變化，需要持續迭代SDCA流程。SDCA 循環管理模式的應用，對建設高校網絡資產安全治理體系有較大的指導作用。當然，在任何管理模式中，“人”始終是最關鍵的因素，再好的管理模式也要靠人執行。因此，在SDCA循環管理模式實踐中，要加強對人員的激勵和管理，發揮其潛能，為網絡資產安全治理提供人力支持。