文/王宇 范吉立 李海雄

隨著高校信息化建設(shè)從業(yè)務(wù)部門分散建設(shè)與運(yùn)維向?qū)W校集中運(yùn)維過(guò)渡，部分高校信息化建設(shè)技術(shù)支撐部門逐步建立了服務(wù)于學(xué)校整體信息化建設(shè)和二級(jí)部門信息化需求的應(yīng)用托管服務(wù)，以虛擬化和私有云技術(shù)支撐的應(yīng)用托管服務(wù)成為集中托管服務(wù)的主要實(shí)現(xiàn)方式。

本文結(jié)合東北大學(xué)應(yīng)用托管服務(wù)的實(shí)際經(jīng)驗(yàn)，從技術(shù)和管理角度介紹如何建設(shè)虛擬化托管環(huán)境的應(yīng)用安全管控體系。

應(yīng)用安全管控體系建設(shè)是高校虛擬化托管服務(wù)建設(shè)的重要組成部分，一般可以劃分成兩個(gè)階段，一個(gè)是整體規(guī)劃和實(shí)施階段，另一個(gè)是運(yùn)行維護(hù)和優(yōu)化階段。

整體規(guī)劃和實(shí)施

在管理方面，有如下需要明確的內(nèi)容：

信息系統(tǒng)的主管部門應(yīng)是信息系統(tǒng)的校內(nèi)責(zé)任部門，對(duì)系統(tǒng)的安全負(fù)主要責(zé)任和管理責(zé)任；管理部門是學(xué)校信息化建設(shè)的整體管理和協(xié)調(diào)部門，對(duì)系統(tǒng)的安全負(fù)領(lǐng)導(dǎo)責(zé)任，并積極協(xié)調(diào)主管部門和技術(shù)部門做好網(wǎng)絡(luò)安全工作；技術(shù)部門是信息系統(tǒng)的運(yùn)行維護(hù)部門，應(yīng)根據(jù)主管部門的需求，做好信息系統(tǒng)的安全運(yùn)維和技術(shù)防護(hù)。若信息系統(tǒng)是面向師生或主管部門以外的部門提供服務(wù)的，師生個(gè)人和使用部門應(yīng)按照“責(zé)權(quán)一致”的原則，對(duì)系統(tǒng)操作、提供的數(shù)據(jù)和信息負(fù)直接責(zé)任，同時(shí)應(yīng)該嚴(yán)格按照信息系統(tǒng)的操作和管理規(guī)范使用。

東北大學(xué)

當(dāng)學(xué)校軟硬件環(huán)境具有一定的網(wǎng)絡(luò)安全防護(hù)能力的同時(shí)，重點(diǎn)應(yīng)該放在管理制度和運(yùn)行流程上,明確主管部門、管理部門、技術(shù)部門的工作內(nèi)容和職責(zé)擔(dān)當(dāng)，劃清服務(wù)運(yùn)維和應(yīng)用安全的責(zé)任邊界，并通過(guò)準(zhǔn)入、防護(hù)、監(jiān)測(cè)、審計(jì)等技術(shù)措施保障運(yùn)行維護(hù)的可管理和可持續(xù)性。

1.根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定和網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案的情況，規(guī)劃和建設(shè)滿足關(guān)鍵信息基礎(chǔ)設(shè)施和不同等級(jí)保護(hù)級(jí)別的信息系統(tǒng)防護(hù)要求的虛擬化資源池。首先要滿足系統(tǒng)間網(wǎng)絡(luò)隔離和流量可審計(jì)、可管理的要求，然后根據(jù)軟硬件投入情況，面向關(guān)鍵信息基礎(chǔ)設(shè)施、等級(jí)保護(hù)三級(jí)系統(tǒng)、等級(jí)保護(hù)二級(jí)系統(tǒng)、等級(jí)保護(hù)一級(jí)系統(tǒng)分別建立獨(dú)立的虛擬化資源池，或者整體按照較高的網(wǎng)絡(luò)安全防護(hù)要求進(jìn)行虛擬化資源池的建設(shè)，在滿足網(wǎng)絡(luò)安全防護(hù)要求的基礎(chǔ)上實(shí)現(xiàn)較高的軟硬件資源利用率。

2.技術(shù)部門應(yīng)組建專職的應(yīng)用安全團(tuán)隊(duì)，負(fù)責(zé)應(yīng)用安全管控體系的規(guī)劃、建設(shè)和實(shí)施，以及安全漏洞和事件的處置和應(yīng)急響應(yīng)等工作；集中托管環(huán)境的軟硬件應(yīng)提供服務(wù)準(zhǔn)入、安全防護(hù)和服務(wù)監(jiān)測(cè)、流量審計(jì)等技術(shù)能力，并提供信息資產(chǎn)發(fā)現(xiàn)、記錄和變更等全生命周期管理的系統(tǒng)支持；在有第三方運(yùn)維介入的需求下，也應(yīng)該具備專業(yè)的運(yùn)維審計(jì)能力。

3.虛擬化托管服務(wù)采取準(zhǔn)入模式，擬納入集中運(yùn)維的信息服務(wù)應(yīng)滿足以下管理和技術(shù)要求：

（1）符合學(xué)?，F(xiàn)行的智慧校園建設(shè)規(guī)劃要求。

（2）招標(biāo)采購(gòu)、合同簽署、項(xiàng)目執(zhí)行等階段滿足學(xué)校信息化建設(shè)統(tǒng)籌管理對(duì)數(shù)據(jù)共享和網(wǎng)絡(luò)安全的基本要求。

（3）主管部門發(fā)起申請(qǐng)，提供等級(jí)保護(hù)級(jí)別、軟硬件需求、網(wǎng)絡(luò)需求（細(xì)化到端口、帶寬）等信息；技術(shù)部門對(duì)需求合理性提出評(píng)價(jià)建議，確認(rèn)現(xiàn)有環(huán)境是否滿足需求以及提供不滿足需求時(shí)的解決建議；管理部門從學(xué)校信息化建設(shè)整體規(guī)劃和管理角度進(jìn)行審批和協(xié)調(diào)。

圖1 應(yīng)用安全分域管控的拓?fù)涫疽?/p>

（4）在確定納入集中運(yùn)維后，主管部門和技術(shù)部門簽訂校內(nèi)運(yùn)維服務(wù)協(xié)議，明確雙方的承擔(dān)職責(zé)，并由管理部門備案。

（5）信息服務(wù)上線前，須在提供專業(yè)安全廠商滲透測(cè)試報(bào)告的基礎(chǔ)上由技術(shù)部門的應(yīng)用安全團(tuán)隊(duì)確認(rèn)服務(wù)安全水平滿足上線要求；信息服務(wù)對(duì)外服務(wù)端口為白名單形式，并要支持可監(jiān)測(cè)和可審計(jì)。

運(yùn)行維護(hù)和優(yōu)化

高校虛擬化托管服務(wù)的運(yùn)維和優(yōu)化是長(zhǎng)期性、事務(wù)性的，應(yīng)用安全管控也是其中重要的組成部分。如何實(shí)現(xiàn)日常工作流程銜接順暢、運(yùn)維工作量統(tǒng)計(jì)與服務(wù)故障及時(shí)發(fā)現(xiàn)與排查是運(yùn)維階段應(yīng)用安全工作中需要重點(diǎn)關(guān)注的內(nèi)容。

高校信息服務(wù)的主管部門和技術(shù)部門之間的合作模式，是影響虛擬化應(yīng)用托管運(yùn)行維護(hù)和安全管理的主要因素之一，通常有三類合作模式：

1.技術(shù)部門負(fù)責(zé)整體托管運(yùn)行環(huán)境，根據(jù)主管部門要求創(chuàng)建和維護(hù)虛擬機(jī)；主管部門通過(guò)技術(shù)部門提供的可控的、可審計(jì)的途徑（如通過(guò)堡壘主機(jī)）更新信息服務(wù)相關(guān)的代碼和數(shù)據(jù)，如大連理工模式。

2.技術(shù)部門負(fù)責(zé)整體托管運(yùn)行環(huán)境，根據(jù)主管部門需求創(chuàng)建虛擬機(jī)；主管部門通過(guò)技術(shù)部門提供的可控的、可審計(jì)的途徑（如通過(guò)堡壘主機(jī)）維護(hù)虛擬機(jī)和更新信息服務(wù)相關(guān)的代碼和數(shù)據(jù)，如東北大學(xué)模式。

3.技術(shù)部門負(fù)責(zé)整體托管運(yùn)行環(huán)境，根據(jù)主管部門需求設(shè)置具有創(chuàng)建和維護(hù)虛擬機(jī)權(quán)限的二級(jí)管理員賬戶；或者主管部門自行創(chuàng)建和維護(hù)虛擬機(jī)。

目前，方式2比較常見，在這種模式下，技術(shù)部門承擔(dān)的日常維護(hù)工作量適中，應(yīng)用安全責(zé)任也可以明確在虛擬機(jī)邊界上，整體托管運(yùn)行環(huán)境的安全防護(hù)措施提供輔助支撐，更多的安全防護(hù)措施要在虛擬機(jī)層面上由系統(tǒng)的主管部門及相關(guān)運(yùn)維人員承擔(dān)。

應(yīng)用安全管控體系在日常運(yùn)維階段應(yīng)該至少包含以下幾項(xiàng)工作：

1.技術(shù)部門應(yīng)建立托管服務(wù)在線管理系統(tǒng)，實(shí)現(xiàn)應(yīng)用托管服務(wù)的申請(qǐng)、審批、配置更新等工作的在線化，一方面便于提升運(yùn)維工作效率，另一方面也可實(shí)現(xiàn)重要事務(wù)節(jié)點(diǎn)的歸檔和可追溯。

2.技術(shù)部門應(yīng)定期進(jìn)行流量審計(jì)評(píng)價(jià)，并參照主管部門實(shí)際申請(qǐng)服務(wù)情況進(jìn)行核實(shí)，及時(shí)發(fā)現(xiàn)未報(bào)批的信息服務(wù)或網(wǎng)絡(luò)服務(wù)，降低不可控安全風(fēng)險(xiǎn)。

3.技術(shù)部門應(yīng)有一定的滲透測(cè)試能力，可以通過(guò)培養(yǎng)自有安全團(tuán)隊(duì)或采購(gòu)第三方安全服務(wù)獲得，在重大安全保障期間，主管部門申請(qǐng)對(duì)單個(gè)托管的信息系統(tǒng)進(jìn)行滲透測(cè)試，以便及時(shí)發(fā)現(xiàn)安全隱患。

4.技術(shù)部門應(yīng)建立服務(wù)故障監(jiān)測(cè)系統(tǒng)，對(duì)集中托管的信息服務(wù)進(jìn)行實(shí)時(shí)可用性監(jiān)測(cè)，有條件的可以提供頁(yè)面篡改告警監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)重要信息服務(wù)的不可用或網(wǎng)頁(yè)篡改事件，做到早發(fā)現(xiàn)、早處置、早恢復(fù)。

高校虛擬化托管環(huán)境的應(yīng)用安全管控體系建設(shè)作為學(xué)校網(wǎng)絡(luò)安全保障體系的一部分，是保障高校智慧校園建設(shè)和運(yùn)維的重要工作。隨著私有云、混合云等新技術(shù)應(yīng)用到高校集中托管運(yùn)維中，托管環(huán)境的應(yīng)用安全管控體系構(gòu)建還要適時(shí)完善和提升。