|
信息资产是支撑信息化建设的硬件或软件系统,大多基于基础网络应用。加强校园信息资产的治理,就是加强校园网络安全治理。 信息资产治理面临的 四大难题及举措 四大难题 1.信息资产在引进新兴技术的同时,也带来了新的网络安全隐患。随着智慧校园的建设,校内富含新兴技术的智能设备越来越多,而智能设备大多基于基础网络运转,甚至部分不满足独立建网运营,需要与校外网络进行通信,这便使外部攻击者有了可乘之机。 2.信息资产管理模式单一,造成网络安全管理漏洞。信息资产管理模式包括制度化管理和技术化管理。制度化管理是出台规章制度,按照制度要求完成相应的工作。技术化管理则是利用安全检测系统,通过IP响应的方式自动发现信息资产,并记录添加其可探寻分析到的信息。 然而,在实际工作中,制度化管理缺乏具体针对信息资产管理的方法,建立的台账也仅仅是信息化运营部门为方便运维工作而建立的,台账内容仅限于本部门内维护的信息资产。技术化管理也不是万能的,仍然存在资产扫描死角。总之,缺失任何一种管理方式均会产生网络安全管理漏洞。 3.信息资产管理人员信息化素养水平参差不齐,管理人员变动频繁,造成信息资产台账更新不及时、不完善。校内信息资产的管理遵循“谁建设谁运营”的原则。随着校内实验室建设增多,许多无信息化专业背景的老师承担起运营职责,继而容易产生信息资产管理漏洞,其原因在于两个方面: 第一,非专业背景教师难以通过专业的方式了解信息资产内部结构、做到专业化的运营支持;第二,人员岗位职责变动将带来信息资产负责人员的变化,而在人员工作交接时往往存在工作内容交接不完整的情况,导致信息资产台账更新停滞。 4.信息资产管理人员认知不足、意识不高,缺乏信息资产管理经验。许多信息资产管理人员对信息资产管理的认知只停留在固定资产层面,而实际上信息资产具有网络属性。很多管理人员缺乏对联网设备安全性的认知,容易出现环节漏洞,增加网络安全风险。此外,部分管理人员对信息资产的重视程度不足,在遇到网络安全事件时不会排查、不重视排查,容易埋下安全隐患。 解决路径 信息资产治理是为了掌握信息资产在校内的活动状态,做好信息资产全生命周期的管理。信息资产治理注重网络活跃信息资产的动态监测,从而及时消除隐患。 信息资产治理需从行政管理和技术管理双向入手,围绕信息资产在网络环境中的应用方向,具体制定管理策略;借助信息化管理手段,建立电子化信息资产台账,并将其纳入校园网络信息资产整体监管;通过制度规范,明确责任人并制定其信息资产管理工作职责,以制度要求督促责任人员做好信息资产台账更新工作,最终形成“一个平台+制度S”的信息资产治理方式。 同时,网络部署策略的制定脱离不开校内实际的应用场景,信息资产也是依托校内的使用场景,从而形成一套套功能多样的系统。所以,建立一套基于校内场景的信息资产管理模式,可以方便管理建设在同一场所下的信息资产台账。 信息资产分类及应用场景分析 信息资产分类 信息资产分类分析是基础工作,决定着网络管理制度如何制定以及信息资产管理系统如何验证。从物理属性上看,信息资产可分为有形的硬件资产和无形的虚拟资产(见表1)。 表1 按物理属性分类的信息资产  信息资产的治理是为了加强网络安全治理。因此,在管理信息资产时,不应只注重其存在形态,还应关注其网络接入方式,建立起依照信息资产网络接入需求的资产分类管理策略。同时,由于信息资产与校园外网的通信对网络安全的影响程度不同,所以按照网络接入方式,可将信息资产分为三类:外网认证访问需求、外网无认证直通访问需求、仅内部网络接入需求(见表2)。 表2 按网络接入方式分类的信息资产  应用场景分析 信息资产的使用脱离不开应用场景,在进行网络部署时需要根据所在场景的需求进行调配。在智慧校园建设的大背景下,校内信息系统设施及应用场景逐渐丰富起来,拓展为教学、科研、后勤、校园安全等多方面、多应用的复合型信息化建设。 从信息资产管理角度,按照信息资产在校内的应用场景来分类,有网络机房、弱电设备间、数据中心、智慧教室、实验室、多媒体教室、教学机房和用户上网接入区等。下面以实验室和多媒体教室为例展开介绍。 实验室:高职院校注重满足老师与学生的实践需求,往往会采购实际工作中所用设备对学生进行培养。传统模式下,局限于校内场地和设施规模,采购部署的实训设备一是数量少,导致无法给予每个学生充分的实践时间,二是规模过于庞大,校内没有合适的场地和环境部署,导致学生只能从课本或电子课件中获取知识。 如今,伴随信息化的发展,学校借助新技术实现了实验室建设多方面、多层次的跃升:一是解决了实验设备不够的问题,例如学生在现场做实验的同时,不做实验的同学可以通过视频转播,或者使用实验室虚拟系统转播操作情况;二是实现实验室从无到有,例如采用虚拟仿真技术建设基于VR、AR的虚拟仿真实验室,实验室内加强数据治学,采用数据采集系统采集学生实验数据,通过数据化分析的方式了解学生实践操作情况。 多媒体教室:多媒体教室提供给普通公共课程使用,一般部署一台电脑终端和投影设备,电脑终端满足外网认证访问需求即可。由于多媒体教室在校园内分布较多较广,负责管理的人员为方便对多媒体教室内的终端进行升级、安装软件,通常会采用终端管理软件,借助网络联通对多媒体教室内终端进行统一批量操作和管理。 随着技术进步,多媒体教室的技术管理方式开始发生变化,逐步升级为云桌面系统管理,这对校园网络提出了新挑战,不仅需要管理类的仅内网访问需求入网模式用于终端管理,还需要配合外网认证访问模式满足用户侧上网需求。 此外,受疫情影响,校内经常组织网上巡考模式的大型考试,所以需要建立标准化考试系统,多采用多媒体教室来建设,其内部信息资产一般为网络交换设备、网络视频监控系统、拾音器等,在校内可独立建网联通使用,并直接与网上巡考专网联通。 信息资产治理 生命周期 信息资产的生命周期表明其在网络中的活跃状态。如图1所示,信息资产的三个状态及状态切换如下:  图1 信息资产全生命周期流程 1.上线:上线是瞬时动作,指信息资产被分配IP地址,并且在该IP地址上按照网络需求联通后,信息资产可在该IP地址上转入到“在线”状态。 2.在线:表明信息资产在分配的IP地址下处于活跃状态。 3.下线:表明信息资产在该分配IP下处于不活跃状态,其原因可能是系统关闭或者网络故障。随着重新启动或网络故障修复后,信息资产恢复到“在线”状态。 据图1可知,信息资产的整个生命周期都围绕着所分配的网络IP地址。研究信息资产的生命周期,可以了解信息资产在每个过程中的网络参与程度,以便根据信息资产状态来决定技术层面的监测程度及工作,并进一步制定行政管理制度,强化状态切换过程中的制度监督和指引作用。 行政管理 信息资产的行政管理以制度建设的方式引领、建立起规范的校园信息资产管理模式,使得各单位及运维人员能够按照要求进行规范化管理。信息资产的行政管理工作主要从制度建设及日常档案管理入手,形成统一、有效的规范。信息资产的制度建设主要围绕四个方面。 1.校内信息资产的定义及范围:信息资产管理的目的是通过建立对信息资产状态的动态检测,以确认可能因信息资产漏洞产生的校园网络隐患,从而做到及时处置。故而,信息资产管理应关注可能引起网络安全隐患的资产。 2.信息资产管理责任:信息资产的管理应遵循网络安全管理中“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,确认信息资产的主管负责人、运营负责人和使用负责人。其中,主管负责人承担本部门信息资产管理的监督职责;运营负责人承担信息资产运营管理过程中的运营职责;使用负责人承担信息资产在被其使用中的责任。 3.信息资产部署规范:信息资产部署规范决定在实际运营过程中资产管理的具体技术措施。部署规范可按照前述内容,以信息资产应用场景分类划分网络地址区域,实现不同场景的业务分割;按照不同网络接入情况,逐条逐项地指明信息资产在校内相应的技术管理策略(见表3)。最终实践时,在业务场景划分地址范围内,按照具体信息资产的需求,根据部署规范进行配置管理。 表3 信息资产技术管理策略  4.信息资产全生命周期过程管理:信息资产在网络活动中的状态转换除了受到其自身或网络状况影响外,还应采用信息资产的在用情况辅助体现其生命周期。同时,信息资产在用情况的体现应以相应的制度文件作为依据,具体可通过各项申请文件来实现。图2为制度和技术管理下信息资产全生命周期过程管理。  图2 制度和技术管理下信息资产全生命周期过程管理 系统架构 信息资产的管理应以行政和技术协同管理的方式进行。信息资产生命周期的不同阶段,应以行政管理为规范辅助技术管理,用技术管理来核实行政管理资料,并以日常监测结果作为监督,与日常运维管理及安全运营的要求进行比对后提出整改意见,以此产生相辅相成的运维与治理措施,其具体成果可通过搭建信息资产管理系统来实现。 信息资产管理系统应包含行政管理所需的业务审批提交模块,通过该模块,业务单位可提交申请材料,系统自动统计信息资产数据,作为技术核实及后期验证的依据。同时,系统还可以利用扫描模块,探测未备案或与登记信息不符的信息资产,并反馈给相应单位进行信息补充工作。而在进行验证时,除了MAC地址校验,还可利用信息资产指纹加强校验,例如中间件及版本信息。 此外,信息资产管理系统采用场景化管理方式,涉及基于抽象虚拟的业务场景和具体的信息资产部署场所。由于同批次业务场景建设一般由某一人员进行管理,所以可将信息资产、网络属性、物理场所属性、管理人员有机地联系起来,形成围绕物理场所的模块化信息资产管理。同时,在实际操作中,可以模块化的形式批量调整修改,简化管理操作。 总而言之,校内信息资产管理是校园网络安全工作的重要组成部分,在实际工作中应注重行政和技术管理双向结合的方式。同时,高职院校应做好对校内信息资产的需求分析工作,明晰信息资产的分类依据,从而制定信息资产入网规范,明确信息资产各管理角色的责任与义务,最终采用信息化手段,实现自动化信息资产管理模式。 基金项目:中国高校产学研创新基金——新一代信息技术创新项目(2020ITA07042) 作者:赵紫萱、吉鹏霄(郑州铁路职业技术学院) 责编:陈永杰 |
|
|
