基于SDCA流程的高校网络资产安全管理应用研究

梁 凯，张 巍

(洛阳理工学院 信息化技术中心，河南 洛阳 471023)

一、高校网络资产安全管理现状

《2020年教育行业网络安全白皮书》显示，93%的重点高校存在网络安全漏洞。高校网络资产面临较高的安全威胁，容易引发安全事件，给学校和师生造成危害，引发不良社会反应。网络资产范畴很广，主要是计算机(或通讯)网络中使用的各种设备和软件系统。校园网中的门户网站、信息系统、操作系统、网络设备、安全设备、IoT设备等都可以归为网络资产，资产安全是衡量整个网络安全建设是否达标的关键因素[1]。近年来，由于资产底数不清、漏洞修复不及时等问题导致的失陷事件引起网络管理人员的重视。网络资产安全管理中存在的问题很多，主要表现在以下四方面。

第一，网络结构复杂化使安全管理面临挑战。随着网络规模的扩大，接入网络的设备越来越多，资产的类型和数量不断增加。此外，虚拟化和私有云等新型网络资产形式不断出现，网络边界逐渐模糊，梳理所有网络资产变得艰巨而复杂，容易造成未知的网络资产遗漏，产生安全死角。

第二，关键资产安全管理存在漏洞。一般来说，网络管理者较为重视重要业务信息系统的保护，按照法律要求开展信息系统等级保护，并在公安机关备案。但从攻击者的视角而言，通过入侵VPN、域控、WEB统一管理平台等集权系统所带来的收益远高于直接攻击目标主机，而这类系统通常不在传统的资产保护区域，容易进入内网[2]。

第三，信息化过程重建设轻安全。信息化建设的目标是更好地服务于学校校务管理，而信息化建设的特点为敏捷开发、快速响应。快速响应的需求与安全稳定的要求在短时间内易产生矛盾。在实际安全建设中，部分单位往往重建设轻管理，或者是建设优先，“安全第一”沦为口号，从而造成部分资产刚上线就带来安全威胁。

第四，多头管理、权责不清。一些高校在信息化建设过程中，没有做好归口管理，各部门责权不清，很多信息化教学项目，比如虚拟仿真实验平台软件系统，建设使用单位往往是二级学院，他们缺乏相关的网络安全意识和知识，将项目直接部署在云端。这类资产没有纳入信息化部门的资产台账，无法落实安全管理和监督检查工作。

二、SDCA流程与方法

SDCA(Standardization、Do、Check、Action)是企业全面质量管理的重要工具，在企业质量管理过程中广泛应用[3]。高校的网络资产安全管理不仅要满足上级主管部门的管理意图，也要满足广大人民群众的现实需要，为用户提供更好、更安全的服务体验。高校也需要像企业那样建立一套科学、严密、完整的网络安全质量管理体系，不断提高网络安全治理水平。以SDCA循环为标准的工作流程，使网络安全管理更具科学化、系统化、全面化、可控化[4]。高校在网络安全管理过程中，管理质量的提高与稳定的交替运转，使网络资产从宏观到微观都处于被监管状态，保证全域全过程设备安全可靠。SDCA循环是“标准、执行、检查、总结”4个步骤循环的模式[5]。首先，为提高产品质量而制订相关标准(Standard)；其次，执行标准使其平衡运行(Do)，然后对实施过程进行检查(Check)；最后检验实施效果，做出相应的处置(Action)。

高校网络资产安全管理根据SDCA的4个阶段，在S 阶段制定标准化的网络资产管理规范，在D阶段执行网络资产日常安全管理，在C阶段建设基于信息化管理的工具，在A阶段加强模拟演练，并总结C阶段的问题。由于网络安全防范的内容和技术在不断更新，需要持续迭代SDCA流程，以达到安全的目标。为验证SDCA循环流程对网络资产安全管理的有效性，笔者邀请部分省内相关高校网络信息中心工作人员参与本研究，将各单位全部登记备案的389项网络资产作为操作对象，按照下述实践方法进行循环迭代。

第一，网络资产安全管理标准(Standard)。标准化在企业生产中可以严格控制产品质量、缩短开发周期、降低维修维护成本。因此，标准化管理广泛应用。在网络资产安全管理中应用标准化，实质是将隐性的安全管理经验提炼成显性的制度、规范和标准，保证资产安全管理形成统一、协调、高效率的机制，避免管理缺陷[6]。网络资产安全管理涉及人员、设备和技术等方面因素，规范的管理要保证每个环节、因素都有可依照执行的规章制度和操作规范。从行动研究的角度和工作实践的要求出发，相关高校依据国家网络安全法律相关规定、国家网络信息安全相关标准制订了《网络资产管理员工作职责》《网站及信息系统备案管理办法》《信息管理员工作职责》《网络安全员工作职责》《系统管理员工作守则》《信息系统安全运维技术规范》《服务器安全管理规范》等制度和规范，规定了资产备案、漏洞扫描、隐患整改等操作流程。《服务器安全管理规范》《信息系统安全运维技术规范》等操作规范详细规定了服务器、信息系统的安全设置、安全运维流程以及应急处置办法，从技术层面为管理人员提供网络资产安全管理风险点及相应安全运维操作指南。

第二，基于标准的网络资产日常管理(Do)。此阶段，相关高校严格落实管理制度和操作规范，为保证落实网络安全管理，从组织、培训和考核三方面着力提升执行力。相关高校将网络安全主管部门作为网络安全管理的负责单位，各资产使用单位作为资产安全管理的主体，这样可以充分发挥责任单位的技术指导优势，也能体现各使用单位的主体意识。要保证技术标准的执行度，培训也是必不可少的。项目实践中，相关高校从网络安全的重要性、网络安全管理的责任意识以及网络安全管理技术等三方面对网络安全管理组织的网络员、信息员进行培训。通过培训，网络安全员可以掌握必要的技能，能独挡一面，提高执行力。网络安全管理组织要落实安全管理目标，必须依据制度和规范对组织成员进行监督与考核。实践中，各高校要定期对各单位网络资产设备安全管理情况进行督察和考核，对考核不达标的单位网络安全责任人进行诫勉谈话。

第三，建设智能化管理工具(Check)。检查检验是对执行结果的校验，也是对规范和标准的反馈。在SDCA循环中，检验是至关重要的环节。网络资产安全管理中，管理者要检验执行目标、管理效果以及规范标准的适用度。各高校应该建立信息化、智能化的检验工具以代替部分人工检验。相关高校网络资产的全生命周期管理工具从网络资产的发现、网络资产的梳理、网络资产的合规检测、网络资产的维护到最后网络资产的废弃管理，每一个环节都应做到信息化管理[7]。特别是在资产发现和合规性检查方面，部分产品已实现智能操作。部署在交换机旁路的资产自学习引擎，利用被动检测方式对镜像流量进行http/https访问分析，自动发现网络内对外提供访问的网站及业务系统，准确、清晰识别校内网络资产，并对资产进行指纹画像，将自学习获得的网络资产进行合规治理，并下发到使用部门认领，完善备案信息[8]。合规检查阶段，各高校根据备案后的资产信息，对重点资产进行日常监控、漏洞检测、Webshell 检测等安全检查和合规性检测，对不合规、不安全的网站进行阻断。同时，通过网络流量分析，阻断不合规的资产访问请求，上报并提醒相关人员。智能化工具的建立是检验制度标准的一个重要保证。由于信息化工具自身的优势，代替人工执行检验检查可以更好地执行制度标准。

第四，总结复盘(Action)。最后一个阶段是总结复盘，在网络资产安全管理中，复盘可以提高管理工作的执行度，修订规范标准中存在的问题。首先，相关高校分析与预期效果的差异在哪里，优缺点各是什么。其次，分析为什么存在差异，客观分析管理现状之后得出结论。最后，制订相关解决方案，为下一次迭代做准备。

三、结 语

高校网络资产安全管理是一项复杂的系统工程，涉及较多因素。通过运用SDCA 迭代，在网络资产安全管理中定好标准、抓好执行、运用智慧化管理工具和总结反馈，可以有效提高网络安全管理水平。同时，安全标准和管理流程标准在不断变化，需要持续迭代SDCA流程。SDCA 循环管理模式的应用，对建设高校网络资产安全治理体系有较大的指导作用。当然，在任何管理模式中，“人”始终是最关键的因素，再好的管理模式也要靠人执行。因此，在SDCA循环管理模式实践中，要加强对人员的激励和管理，发挥其潜能，为网络资产安全治理提供人力支持。