麵對日益嚴峻的網絡安全態勢及更加嚴格的法律法規，國內高校普遍加強了網絡安全建設。

　　根據各自學校的不同情況，分別采取不同方式來落實相關安全工作，有的著眼於智能網絡安全防護體係建設，有的側重於提高網絡安全檢測能力，有的從信息係統安全準入著手，還有的采購專業網絡安全外包服務，均取得了良好的效果。

　　大連理工大學並沒有充裕的資金采購大量的先進設備及全麵的安全服務，但對於信息化項目的規範管理具備一定的經驗，因此，從2017年開始探索在信息化項目全生命周期中開展網絡安全管理，明確每個階段的網絡安全要求，降低各項目潛在的安全風險，從而降低學校整體的網絡安全風險。

　　其基本思路就是在進一步完善網絡安全防護體係的前提下，與網絡安全等級保護製度結合，從技術和管理兩個方麵將網絡安全建設融入到信息化項目的立項、采購、建設開發、驗收、運維以及結束等各環節中，確保信息化項目在全生命周期內達到並保持相應的網絡安全要求。

信息化項目全生命周期安全管理發展現狀

　　對於信息化項目全生命周期的安全管理，最初是從軟件全生命周期安全開發開始的，軟件的安全問題很多是由不安全的設計、代碼所造成的，軟件全生命周期安全開發就是將安全要求集成到每一個開發環節，以減少軟件開發中產生的安全漏洞，如微軟的安全開發全生命周期模型（SDL），就是幫助開發人員構建更安全的軟件並在解決安全合規要求的同時降低開發成本的軟件開發過程。

　　國內對網絡安全比較重視的行業如金融、電力等，已經借鑒了該思路建立了本行業的信息係統開發全生命周期網絡安全管理模型，高校近年來也出現了相關的研究。

　　在此基礎上，學校嚐試將網絡安全管理融入到信息化項目全過程中，不僅僅對信息係統開發進行安全管理，還把網絡安全管理擴展到整個項目管理中，對項目全過程中人員分工、經費、合同、承建方、審計監督等也提出了相關技術和管理的安全要求，同時也對開發部分的安全管理進行了現實性的簡化，一部分由承建商自行完成。

信息化項目網絡安全管理中的責任分工

　　為了保證信息化項目安全管理的順利開展，首先要明確各部門的定位及相關人員的角色分工。

　　按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，網絡與信息化中心（以下簡稱“網信中心”）負責統一組織協調、監督管理信息化項目的網絡安全管理，各信息化項目的主管部門為各項目網絡安全工作的主管單位。

　　在項目建設過程中，項目組負責項目網絡安全工作的具體落實與實施，項目驗收上線後，由運維組繼續負責後續的網絡安全工作。

　　項目組通常由校內主管業務部門、網信中心及承建方共同組成，其中由主管部門人員擔任項目負責人，全麵負責項目網絡安全建設的推進及應用安全與數據安全，包括信息係統用戶權限管理、賬號的安全管理、業務邏輯安全、數據采集及使用安全等；

　　網信中心提供技術人員，負責項目技術支撐包括項目軟件設計開發、硬件需求、安全策略合理性安全性的審定及項目網絡安全檢測報告的審核等；

　　承建方負責項目合同範圍內的軟件、硬件、運行環境的網絡安全建設，按照合同完成維保期內的網絡安全運維，負責在項目全生命周期內項目自身安全漏洞的處置。

　　項目上線後進入運維階段，由運維組負責項目的安全運維，運維組中必須有主管部門人員參與，負責運維工作的監督管理，如果主管部門無法完成具體運維工作，可由承建方或第三方按照相關合同負責，並接受校方的監督管理，保證校方對項目的掌控。

　　各項目相關人員如有變動必須及時補充，如無法保持人員完整導致項目失管失控，將按照項目結束階段要求啟動項目結束流程，表1為信息化項目安全管理的具體責任分工。

表1 信息化項目網絡安全管理組織人員分工

信息化項目各階段的網絡安全管理

　　信息化項目建設可分為調研、立項、預算、采購、建設（需求分析、設計、開發測試、部署實施、上線試運行）、驗收、運維、結束8個階段13個環節，根據項目不同具體階段劃分會不盡相同。

　　在學校信息化項目建設中，調研、立項、預算三個階段結合很緊密，因此將三個階段統一進行要求。

　　經過充分調研，具備必要性、可行性的項目可以進行立項，每年學校統一組織下一年度的信息化立項審批會，通過立項的項目可申報預算、啟動建設。

　　在網絡安全建設方麵調研和立項主要關注信息化項目的基本安全要求，也就是進行等保的初步定級以及明確是否存在特殊的安全需求。

　　等保定級主要取決於信息係統自身的需求與定位，可以在係統未建設時確定，而提前確定也為後續的項目建設奠定了安全基線。

　　特殊的安全需求包括是否需要建立專網、是否需要網閘等隔離設備、是否需要SSL或負載均衡支持、是否有特殊的容災備份要求等。

　　根據上述要求確定項目的安全預算，除了上述可能增加的設備預算還包括等保測評預算、網絡安全檢測預算等。

　　在采購階段，明確要求不得由自然人承擔項目建設，避免個人開發的隨意性帶來的安全隱患，也避免後續運維失控帶來的安全風險。

　　在采購文件當中（包括招標文件及采購合同）要明確廠商的安全建設要求，包括：

　　對於項目自身的安全問題，由廠商完全負責並且必須在規定時限內解決；

　　廠商需提供第三方網絡安全機構對項目的安全檢測報告；

　　項目建設需要滿足的等保級別；

　　數據安全、安全事件響應及修複時間、權限管理、審計記錄、備份機製等。

　　在重要的項目中還需對廠商的軟件開發能力、項目管理能力以及人員方麵提出要求，以保證項目安全建設的順利進行。

　　對於部分重要係統，還要考慮簽訂保密協議。

　　定製開發的項目和采購非定製產品的項目在建設階段差異較大，非定製產品可直接從部署實施開始，定製化產品則需要從需求分析環節開始考慮安全建設。

　　在需求分析階段，主要是結合等保要求，確定建設方案中網絡安全相關的具體需求，並開展等保定級備案工作。

　　項目的需求一定要定版，否則不但項目建設質量、進度無法保證，安全建設更是無從談起。

　　設計階段要檢查所用各種軟件的安全性，包括開發語言、開發框架、數據庫、中間件、服務器軟件等，要選用安全的軟件及安全的版本，特別要注意軟件版本，很多安全的軟件其老舊版本是存在嚴重安全問題的。

　　如果有條件可詳細審核項目設計書，檢查設計中是否存在邏輯漏洞。

　　開發中應遵循安全軟件開發原則，嚴格檢查並妥善過濾程序中可能出現的信息輸入和文件上傳，防止注入、跨站和越權訪問，如采用白名單方式進行輸入過濾、禁止由Web前端直接生成和傳遞SQL語句到數據庫執行等。

　　同時要編寫詳細完整的配套文檔和注釋，以便檢查。係統開發必須有完善的版本控製，這也是保證項目質量與安全的基礎之一。

　　測試階段重點強調廠商必須實現完整的測試。

　　測試的完整性是目前高校信息化建設中最常見的問題之一，也是造成係統功能欠缺和安全漏洞的主要原因之一。

　　測試如果要使用真實數據，就要特別注意數據安全，校方應脫敏後再提供。

　　在信息係統部署環節中，主要是按照學校提供的技術文檔模板，確定係統各項配置、安全策略及係統重要信息，包括：硬件資源測算、軟件環境及版本、服務器間邏輯拓撲及訪問控製策略、應用服務關鍵進程及專網信息等。

　　部署必須嚴格使用堡壘機，按照討論確定的部署方案采用最小化方式部署，包括權限和軟件環境；部署的各類軟件要準確配置，如redis的密碼和訪問控製配置、日誌留存的配置、備份策略等。

　　有些重要項目需要試運行，建議試運行前完成第三方安全檢測，保證項目達到一定的安全水平，避免輕易被攻擊。

　　試運行要嚴格控製訪問範圍，有針對性地進行試用，不能過度開放，增加項目安全風險。

　　在驗收階段，廠商必須提供第三方有資質的網絡安全檢測機構出具的網絡安全檢測報告，該報告作為驗收的必要文檔，缺少或不符合要求不得驗收。

　　為避免承建廠商應付了事，對於第三方檢測機構提出了相關要求，包括機構資質、檢測內容（檢測人員、檢測時間、檢測依據、檢測項目、檢測工具、檢測流程、檢測結論、修複建議）等方麵。

　　對於建設過程中校方發現的各類安全問題應完成徹底整改，並提供整改報告。

　　“重建設、輕運維”一直是高校信息化建設的主要問題之一，也對運維期間網絡安全事件的處理造成較大困擾。

　　在運維階段，首先，要明確運維組的人員構成，必須包括運維人員及校方管理員，並由校方管理員監督整個運維工作；

　　其次，要根據各項目自身的要求確定運維方案，包括巡檢周期、巡檢內容、異常處置流程、升級流程、編製運維記錄文檔等；

　　然後，由運維人員按照要求開展運維工作，並填寫記錄，由校方管理員進行監督和管理。

　　運維工作重點強調嚴格使用堡壘機，嚴禁通過各種手段繞過堡壘機進行遠程操作。

　　運維中比較常見的問題是廠商運維人員為了快速解決問題直接對生產環境中的應用係統進行修改並測試，對於此類問題要堅決杜絕。

　　主要的運維工作還是配合校方完成網絡安全事件的處理，應按照校內網絡安全事件處置流程及時徹底地完成整改。

　　對於核心信息化項目，如一卡通、信息化基礎平台，運維工作還應引入考核機製，以約束運維人員的工作。

　　當信息係統不再使用、無法使用或缺少運維人員從而失控失管，則可以進入項目結束階段，需要關注是數據、日誌等安全問題，應結合係統相關業務要求以及等保定工作要求，製定數據處置方案，妥善處理殘留數據的銷毀或留存。

　　同時要及時注銷並關閉各類相關資源包括服務器、域名、IP地址、堡壘機配置、等保備案等，避免僵屍係統的形成。

　　項目結束後應整理項目網絡安全管理的相關記錄，以備上級主管部門查證。

　　在整個項目建設過程中還有一些其他問題需要特別關注，比如個人信息保護、正版軟件的使用等。

實踐及未來計劃

　　2017年至今2年多的時間裏，學校按照信息化項目全生命周期安全管理的思路推動校內信息化建設，一邊實踐一邊編寫、調整相關技術規範，已經有超過20個項目實現或部分實現上述管理要求，並取得一定效果。

　　圖1為近5年校內網絡安全事件統計，從中可以看到隨著主動加強信息化項目安全管理，大量的安全事件由學校自主發現，網絡安全問題趨於可控。

圖1 近5年校內網絡安全事件統計

　　在實踐中，我們也發現一些問題和難點，比如開發階段的安全管理如何更具可操作性、基於開源軟件信息化項目的安全管理問題、校內信息化隊伍項目管理能力的提升等。

　　未來，將根據實踐情況進一步對信息化項目網絡安全建設管理規範進行修訂，出台更豐富的配套規範及文檔，提高可操作性，同時計劃配合信息化項目管理，共同設計開發相關管理平台，提高管理效率和統計分析能力。

　（作者：大連理工大學網絡與信息化中心 李先毅 於廣輝 張巍 劉瑾 鄭維）

　　進入專題>>2019高校信息化創新實踐方案展示