高校网络安全等级保护支撑系统设计与实现
2020-07-26 14:23庄君明
软件导刊 2020年7期
庄君明
摘 要:《网络安全法》规定我国实行网络安全等级保护制度(以下简称等保制度)。高校拥有大量信息资产,是国家网络空间安全的重要阵地。为贯彻执行等保制度,将等保工作管理过程规范化、流程化和信息化,设计并实现网络安全等级保护支撑系统。该系统涵盖定级备案、等保测评、建设整改、安全监测、安全通报等多个等保工作环节,包括多级权限管理、知识库、文档报告快速生成等特色功能。通过该系统可顺利完成8个二级等保系统备案工作。
关键词:网络安全;等级保护;系统设计
DOI:10. 11907/rjdk. 192797 开放科学(资源服务)标识码(OSID):
中图分类号:TP309文献标识码:A 文章编号:1672-7800(2020)007-0178-05
The Design and Realization of the Classified Protection Support System
of Cybersecurity in Colleges and Universities
ZHUANG Jun-ming
(Network and Data Center, Fujian Normal University, Fuzhou 350117, China)
Abstract: The Cybersecurity Law implements the classified protection of cybersecurity in China. To protect the security of cybersecurity is very important in colleges and universities that has a large amount of information assets. In order to better implement the insurance system, we designed and implemented the classified protection support system of cybersecurity that standardizes, processes and informationizes the management process of the work. This system covers the modules, such as grading record, equal protection evaluation, construction rectification, safety monitoring, safety notification, multi-level authority management, knowledge base, rapid generation of document reports, etc. Through the application of this system, the filing of eight secondary equal guarantee systems was successfully completed.
Key Words: cybersecurity; classified protection; system design
0 引言
《中华人民共和国网络安全法》规定我国实行网络安全等级保护制度,对于不执行网络安全等级保护的单位将追究其法律责任[1]。2019年5月13日发布的《网络安全等级保护基本要求》[2]标志着等级保护正式迈入2.0时代。该规范将网络安全等级保护工作(以下简称等保工作)规范为等级备案、指标差距分析、建设整改、等级测评、安全监测、安全监测预警等管理环节,相关标准众多且管理程序复杂。高校作为国家网络空间安全的重要阵地,遵循国家法律制度是高校的首要责任。如何结合实际情况高效开展等保工作,是高校信息工作者亟需解决的问题。
随着等级保护进入2.0时代,等级保护对象从信息系统扩展为网络空间,定级对象发生了很大变化,相关标准、要求和细则也随之变动。传统方式都是通过手工进行信息管理和文档整理,过程随意、重复工作量大、效率低。将等保工作规范管理,采用流程化和信息化手段,能极大提高工作效率和效益。此项工作是结合我国实际情况开展的,国外基本没有学者对此进行研究,国内的大部分研究也仅停留在理论上[3-8],缺乏实践,没有考虑到等保2.0与等保1.0的差异。牛永亮[3]深入分析高校信息系统定级工作,然而定级对象局限于信息系统,只涉及到定级工作,没有对备案、建设整改、等级测评和日常管理进行分析和归纳;杨斯可[4]从信息系统建设的全生命周期角度出发,研究如何实施安全等级保护工作,然而缺乏差距分析、建设整改、安全通报和监督检查研究。部分学者进行实践探索:翟跃等[9]结合高校信息安全工作实际,设计信息资产风险管理系統,侧重于安全风险分析和安全防护研究;孙建立[10]将信息系统备案、漏洞管理和安全通告统一管理,设计了信息系统安全管理服务平台。然而这两位学者没有对等保工作的其它环节如建设整改与指标差距分析等进行研究,具有较大的局限性。一些学者[11-15]的实践探索也仅仅局限于等级保护工作的某个具体环节。针对上述研究不足,本文对如何统一规范管理等保工作环节和流程进行全面深入研究。
2017年前笔者学校一直采用手工方式进行等保工作,工作量大,信息更新不便且不准确。2017年,学校专门成立网络安全与信息化工作领导小组(以下简称领导小组),负责学校等保工作的整体规划和设计。领导小组下设网络安全与信息化建设管理办公室(以下简称网信办),负责贯彻执行国家相关法律,修订完善学校网络安全管理制度,总体推进学校等保工作,并监督、指导各学院和部门等保工作。各学院和部门专设网络安全主管领导和网络安全管理员,负责本单位等保工作。在理顺体制与机制的同时,不断创新管理方式。网络安全等级保护支撑系统目标就是要将等保工作管理过程规范化、流程化和信息化,及时、准确地反映学校网络安全状态,提高管理效率和效益。
1 系统建立难点
(1)等保工作涉及多个管理主体,《网络安全法》明确规定“谁主管谁负责、谁运行谁负责、谁使用谁负责”的指导原则,提出“共同治理”操作原则。笔者学校的网络安全与信息化工作领导小组、网信办、安全专家小组、各部门和学院分管领导、各部门和学院网络安全管理员、各软硬件系统承建商、网络安全服务商都是等保工作管理主体。如何在管理过程中厘清各主体权责,实现共同治理,是等保工作最本质的问题。
(2)等保工作过程复杂,标准众多且涉及范围广。等保工作涉及等级备案、指标差距分析、建设整改、等级测评、安全监测、安全预警等多个管理环节,每个环节都有一系列规范标准。管理和技术标准多达117个,指标项多达上万个,涉及基础类、定级类、实施建设类、等级测评类、风险评估类、新技术类、安全检测与事件管理类、电子政务类、产品类等多个类别[16-18]。如何结合高校实际,对这些标准和指标进行管理和应用,是等保工作的核心问题。
(3)信息资产数量庞大、种类多样且分布零散。等保工作首先要对关联的信息资产进行梳理与跟踪。经过十几年信息化建设,学校积累了大量信息资产,包含硬件资产、软件资产、数据资产、人员资产等,有些属于校级资产,有些属于院级资产,零散分布在各个机房和办公场所。如何对这些资产进行梳理并及时更新,是等保工作首先要解决的问题。
(4)外部检查和评估任务次数频繁。随着网络安全形势的日益严峻,高校每年都要多次应对公安部门和上级主管部门的检查与评估。应对这些任务需要耗费大量的人力进行文档整理,效率极为低下。高效整理等保工作相关文档,并根据检查和评估任务快速输出,是网络安全等级保护支撑系统面临的艰巨任务。
(5)网络安全管理人员水平参差不齐,变动频繁,造成等保工作无法顺利开展,工作交接不顺利。因此,在保障等保工作需求基础上,如何尽可能提升系统易用性,是网络安全等级保护支撑系统面临的挑战。
2 系统设计思路与功能结构
2.1 设计思路
高校网络安全等级保护支撑系统设计目的在于辅助高校等级保护工作,帮助高校规范管理过程、整理相关文档,同时提供查询、修改和导出功能。系统设计思路如下:
(1)贯彻标准制度。根据国家和行业标准体系,梳理和等保工作紧密相关的10个标准,将等保工作规定的8个环节上线,保证系统设计符合国家要求。
(2)多级用户体系、角色权限灵活。根据《网络安全法》提出的共同治理原则,将使用对象分为3类:①一级单位,包括各高校信息化管理职能部门,如网信办、网络中心或现代教育技术中心;②二级单位,包括各部处和学院;③第三方用户,如安全服务公司、软件开发公司、检查人员等。一级单位可为二级单位开设账户和赋予权限,对全校等保工作进行监督、管理和统计;二级单位可对本单位信息系统进行定级、备案、申请测评等;第三方用户可辅助一级单位和二级单位进行信息填写,如技术参数、定级参考、等级测评分析等。这三类用户采取初始默认权限,可根据实际需要灵活调整,权限设置细化到页面和具体功能点。
(3)多场景输出。高校基本应用场景分为统计、检查、存档等。等保工作需要及时统计,输出相应报表。对公安部门和上级主管部门的检查和评估工作,系统能够快速输出所需文档。等保工作过程文档和结束文档能够电子化存档。
(4)流程设计。系统具有简洁的人机交互界面、灵活的权限设置、标准的等保流程等特点,能够高效支撑等保工作顺利开展。系统对等保工作最重要环节进行流程化设计,如图1所示。
2.2 系统功能架构
等保工作包括定级、备案、指标差距分析、建设整改、等级测评、安全检测、安全监测、应急处置、安全通报等多个环节。高校网络安全等级保护支撑系统划分为系统管理、等保管理、检测监测、检查评估、通知通报、知识库、数据统计7个功能模块,每个功能模块又细分为若干个子功能模块,如图2所示。根据用户和角色不同灵活分配权限。以笔者学校为例,分为一级单位管理员、二级单位管理员、第三方用户3种角色,系统为这3种角色设置默认权限,也可根据实际情况进行调整。
3 系统实现
基于安全性、稳定性、高效性和可扩展性要求,网络安全等级保护支撑系统采用基于JAVA语言的B/S架构,用户在校园网内通过浏览器进行访问。
3.1 系统环境
系统后台采用Spring MVC、Apache Shiro架构进行开发,前端基于Smart Admin框架进行设计,数据库采用Mysql进行存储。Spring MVC主要用于Web开发,是一种基于JAVA语言的成熟框架,与Struts 1.0和Struts 2.0相比,在安全性、可扩展性和稳定性上有显著提高。Apache Shiro则集成了用户系统和权限系统,能够与Spring MVC无缝衔接,大大減少开发量。Smart Admin是一种集成JQuery、Bootstrap的前端框架,拥有多套UI界面,能够适应多种终端并具有良好的扩展性。
3.2 系统技术路线
系统基本技术路线如图3所示。
3.2.1 系统管理模块
信息资产类型包括网络区域、网络边界、机房设备资产、网络设备资产、安全设备资产、服务器设备资产、基础软件资产、中间件软件资产、业务软件资产、安全软件资产、数据库软件资产、业务数据资产和备份数据资产,根据相对应的表单内容填写。通过资产对象化录入方式,构建详细、内联的信息资产基本信息数据库,为后续等级保护建设、运维、管理等工作提供详尽的基础信息支撑。另外,系统提供等级保护相关安全组织架构人员信息管理功能,并提供便捷的授权与权限控制等功能。用户添加权限的核心代码如下:
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//1. 从PrincipalCollection中获取登录用户信息
UserInfo userInfo = (UserInfo) principalCollection.getPrimaryPrincipal();
//2. 利用登录的用户信息来获取等当前用户的角色或权限
List
//3. 创建SimpleAuthorizationInfo并设置其r oles属性
Set
roleIds.add(“user”);
List
for (UserRoleRel userRoleRel: list) {
roleIds.add(userRoleRel.getRoleInfo().getRoleId());
roles.add(userRoleRel.getRoleInfo().getId());
}
// 獲得权限
Set
//4. 返回SimpleAuthorizationInfo
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
// 角色
simpleAuthorizationInfo.setRoles(roleIds);
simpleAuthorizationInfo.setStringPermissions(permitInfos);
return simpleAuthorizationInfo;
}
3.2.2 等保管理模块
定级备案、指标差距分析、建设整改、等级测评是等保工作最重要的4个环节。系统提供涉及等保工作有关表格、文档及各类数据材料自动化生成、辅助填报及模板化输出,为等保工作提供全过程、向导化、自动化材料,完善报送跟踪与结果管理等工作。用户根据本模块功能,以等级保护监管机构标准结构化数据方式对定级、备案的材料进行在线打印、打包下载等。
系统提供指标差距分析整改向导功能。该功能通过内置在系统中的等级保护基本要求推荐指标数据库,与分类资产进行匹配后构建等级保护基础属性模型,为每项资产提供相应的等级保护合规性推荐指标、操作指引、操作记录及符合性辅助判断等关键功能模块,内容覆盖等级保护基本要求中的物理安全、网络安全、主机安全、应用安全、数据安全和安全管理制度等全部指标。
系统提供规范化的等级保护测评管理过程指导功能,为用户提供等保测评过程的规范化管理、跟踪与配合。
文件下载代码如下:
…
//文件存放的路径
String realPath = request.getSession().getServletContext()。getRealPath(“/WEB-INF/upload/”+path);
//新建文件
File file = new File(realPath,fileName);
if(!file.exists()) {
response.sendError(404);
return false;
}
//设置响应长度
response.setContentLength((int)file.length());
//设置响应的MIME类型为application/octet-stream
response.setContentType(MediaType.APPLICATION_OCTET_STREAM_VALUE);
String saveName = new String(fileName.getBytes(“UTF-8”),“ISO8859-1”);
//设置content-disposition为attachment;fileName=saveName
response.setHeader(HttpHeaders.CONTENT_DISPOSITION, “attachment; filename=\”“+saveName+”\“”);
//读取文件
InputStream is = new FileInputStream(file);
OutputStream os = response.getOutputStream();
//将文件以流的形式输出
IOUtils.copy(is,os);
…
3.2.3 检测监测模块
该功能模块与绿盟安全检测、360安全检测等软件进行数据对接,通过导入扫描结果的方式进行漏洞与风险数据更新。多次检测并导入检测结果,可追踪漏洞与风险解决情况。对于存在漏洞与风险的等级保护对象,可对其通知和预警。根据危险等级不同建立不同等级的应急处置方案与流程,并对过程文档和结果文档进行存储与归档,方便跟踪与统计。
3.2.4 检查评估模块
检查评估分为内部检查和外部检查两部分。内部检查由网信办发起并下发检查任务,由相应二级单位响应检查任务并反馈检查结果。外部检查由公安机关或上级主管部门发起,由一级单位和二级单位进行任务布置与反馈。所有检查任务都会记录发起和响应时间,以及具体任务内容和反馈信息,以便实时查看和后续统计。
3.2.5 通知通报模块
通报类型分为安全态势通报和信息安全通报。安全态势通报针对可能发生的安全风险进行事前预警,信息安全通报则是对已发生的安全事件进行通报。根据通报处置流程又分为单向分发和双向通讯。单向分发由网信办向相关二级单位分发通报,只需其接收而不需要上报结果。双向通讯指网信办向相关二级单位分发通报,需要接收并上报结果。该模块由通知公告、待办事项、安全通报3个子模块构成,通过规范化流程建立信息通报日常工作机制。根据安全通报类型,以定向通知、群发公告、待办事项等方式通报给相关单位。安全通报下发的Controller層代码如下:
…
InfoSecurity infoSecurity = infoSecurityService.get(intid);
if (infoSecurity.getDistributeStatus().equals(“未下发”)) {
infoSecurity.setDistributeStatus(“已下发”);
infoSecurity.setDistributeTime(new Date());
String[] _array = infoSecurity.getReceiveDepts().split(“,”);
for (String _id : _array) {
SubOrgInfo subOrgInfo = subOrgMgnService.get(Integer.parseInt(_id));
InfoSecurityDistribute infoSecurityDistribute = new InfoSecurityDistribute(infoSecurity, subOrgInfo);
InfoSecurityUpload infoSecurityUpload = new InfoSecurityUpload(infoSecurity, subOrgInfo);
infoSecurityUpload.setPriUploadTime(new Date());
infoSecurityDistributeService.save(infoSecurityDistribute);
}
…
3.2.6 知识库模块
该模块收录等级保护相关资料文档,包括政策标准知识库、相关政策文件库、整改规划知识库、安全管理制度参考库、基本安全配置参考库和专家库等。政策标准知识库收录等保基础标准、技术标准、管理标准、测评标准、公安标准等;相关政策文件库收录国家有关法律法规文件;整改规划知识库收录等保整改流程、技术方案设计要求对比、安全功能及产品类型、技术方案设计实例、整改方案参考等内容;安全管理制度参考库收录安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等内容;基本安全配置参考库收录常用软硬件系统基本安全配置方法;专家库收录具备等保工作评审资格的行业专家信息。
3.2.7 数据统计模块
该模块包括等保统计、检测统计、监测统计、应急统计、通报统计5个子模块。将数据以图形化和表格化方式直观展示,提供数据打包和下载功能。
4 系统应用效果
高校网络安全等级保护支撑系统在笔者学校上线使用近一年,实现等保工作有序高效开展,取得一定成效,主要表现在:
(1)通过分用户、分角色灵活设置权限,将等保工作涉及的管理主体纳入管理体系中,实现共同治理。通过该系统应用,学校初步形成由校领导统筹监督、网信办协调推进、各单位责任人和管理员全程介入、第三方单位技术支撑的安全架构体系。
(2)采取分步骤、导向式流程、自动化填写和快速导出等方式,将等保工作涉及的标准和指标融入高校网络安全等级保护支撑系统中,既实现等保工作标准化,又保证其易用性。
(3)由相应责任主体负责梳理和归档各自的信息资产,学校网信办统一负责检测与监测,保证信息资产资料可追溯、流程可跟踪、安全可监控。
(4)将等保工作资料文档、过程文档、结束文档进行归集管理,能快速查询和输出等保工作相关资料和数据,高效应对公安部门和上级主管部门的检查与评估,提升了准确率,节约了人力和物力。
5 结语
利用高校网络安全等级保护支撑系统,笔者学校已完成8个二级等保系统公安备案工作。初步建立有效的网络安全等保管理工作运行机制,将等级保护工作规范化、流程化和信息化,最终以一种高效、优质的方式实现各等级保护对象合规化。由于国家政策法规和行业标准还在不断更新中,网络安全形势也在不断变化,因此需要结合新变化不断完善系统功能,进一步优化流程设计。
参考文献:
[1] 夏冰. 网络安全法和网络安全等级保护2.0[M]. 北京:电子工业出版社,2017.
[2] 佚名. 网络安全等级保护制度2.0国家标准宣贯会在京召开[J]. 信息网络安全,2019,18(6):95-96.
[3] 牛永亮. 高校信息安全等级保护定级工作分析研究[J]. 中国管理信息化,2019,22(19):138-139.
[4] 杨斯可. 基于安全等级保护的烟草行业信息系统建设研究[J]. 软件导刊,2017,16(7):178-181.
[5] 莊君明. 大数据背景下的高校网站群安全管理体系研究[J]. 福建电脑,2017,33(11):50-51.
[6] 司成伟,赵全洲. 构建基于信息化资产的网络安全工作体系[J]. 数字通信世界,2019,18(9):111-113.
[7] 王长春,曾照华,张跃华. 互联网+网络信息安全现状与防护研究[J]. 软件导刊,2019,18(7):33-36.
[8] 王昭群. 浅析事业单位网络安全等级保护的建设[J]. 网络安全技术与应用,2019,8(7):118-119.
[9] 翟跃, 路萍, 宋亮. 基于等级保护的信息资产风险管理系统研究[J]. 计算机科学,2019,46(10):255-258.
[10] 孙建立. 北京交通大学信息系统安全管理服务平台建设研究[J]. 中国教育信息化,2019,18(21):30-43.
[11] 杨春,徐玮,夏平平. 基于网络安全等级保护的信息系统安全设计[J]. 现代工业经济和信息化,2019,22(11):68-69.
[12] 严莉,李明,张丞,等. 网络安全分析与监控平台安全防护关键技术[J]. 软件导刊,2019,18(6):196-199.
[13] 刘佳. 网络预警自适性入侵检测系统设计与实现[J]. 软件导刊,2018,17(3):210-213.
[14] 周琳娜,刘丹. 网络信息安全问题及防护策略[J]. 软件导刊,2019,18(10):166-168.
[15] 卢志科,康晓凤,眭桢屹,等. Web应用漏洞扫描检测系统[J]. 软件导刊,2019,18(8):186-195.
[16] 何占博,王颖,刘军. 我国网络安全等级保护现状与2.0标准体系研究[J]. 信息技术与网络安全,2019,38(3):9-14,19.
[17] 马力,祝国邦,陆磊. 《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读[J]. 信息网络安全, 2019,12(2):77-84.
[18] 甘清云. 《信息系统安全等级保护定级指南》修订思考[J]. 网络安全技术与应用,2019,18(1):8-17.
(责任编辑:杜能钢)
猜你喜欢
中国生殖健康(2019年10期)2019-01-07
信息安全研究(2018年12期)2018-12-29
小学生必读(中年级版)(2018年4期)2018-07-05
