在高校网络安全保障中,梳理网络安全资产无疑是重要的基础性工作,也是进行资产管理的前提。在我国著名学府——清华大学的网络安全建设中,盛邦安全累计帮助清华大学梳理了2000+Web资产,并通过Web资产治理平台结合OA,实现问题资产及安全事件领导负责任制下的闭环处置,为安全建设提供了有力的支撑。
校园网规模快速扩展,资产管理能力不可或缺
清华大学由中华人民共和国教育部直属,中央直管副部级建制,位列“211工程”、“985工程”、“世界一流大学和一流学科”。清华大学有20个学院,59个系,另加硕士点、博士点、博士后点和科研工作站、校属企业、附属医院等众多部门单位。
Web 应用无疑对于教学、科研等工作起到了重要的支撑作用,但是对于清华大学信息资产的管理来说,却是一件”大、繁、重、多“的工作。业务系统、资产量的急速增加对信息安全和运维工作带来新的挑战,如何系统化、流程化、体系化、智能化的对信息资产进行有序管理,使信息资产数据化、信息资产清晰可见,是清华大学要考虑的重要问题。
这也是当前教育行业的资产管理所面临的普遍问题,目前教育行业普遍存在垂直性不强、安全管理薄弱,单位众多、行业分散,数据资产不清,专职安全人员少或无专职安全人员,单位规模大小不一、资产数量相差较大等问题,对于网络安全保障是一个巨大的挑战。
清华大学信息办实践证明,信息化安全要做到可知、可感、可控、可查,进行资产梳理,摸清家底、知道自己有什么是第一步。通过资产梳理,可以发现暴露于互联网的资产风险级别,并梳理内网暴露面、云平台/实验室资产、未知资产、僵尸网站等 Web 资产,同时统一规划出口管控能力,建立资产和责任人对应关系。
高效梳理2000+Web资产,实现安全闭环管理
为了解决 Web 资产管理问题,清华大学决定进一步强化对于资产的梳理,并通过“发现风险-处置风险-复测风险”的方式使风险得以确认解决,将线上线下发现的资产安全事件通过Web资产治理平台联动OA,第一时间发送给院系负责人,实现安全事件处置流转管理的闭环。同时,完善安全运营中心能力,从资产上线、7*24小时安全运行状态监测到发现资产风险并预警、应急响应处置完成阶段性的资产生命周期治理,形成一套有效的基于资产的安全风险闭环管理机制。
盛邦安全基于以资产为核心的安全治理”五步法“方法论,结合清华大学实际情况,设计规划了目前的方案:
第一步:从核心设备镜像双向网络流量分流到分布式部署的Web资产治理平台(RayGate);通过登记核查,收集可信资产信息并进行备案;Web资产治理平台通过自学习引擎,自动从流量中分析出对内、对外提供服务的Web资产,记录诸如域名、IP、端口、资产名称及状态、ICP备案等数据,将两者进行对比,建立可信资产台账。
第二步:对资产属性信息进行完善,探测业务系统指纹信息、收集业务归属责任人等备案信息,对资产状态进行画像。
第三步:对新申请上线的资产、云平台资产、实验室资产等进行上线前体检,发现脆弱点,整改加固,实现对外提供服务的“准出控制”。
第四步:定期对资产进行风险识别,发现脆弱点,整改加固; 周期监控、发现篡改、暗链、WebShell攻击等突发安全事件。
第五步:重大突发事件时,通过和安全设备联动实现应急响应、一键断网等快速应急处置。
通过方案运行和落地实施,盛邦安全协助清华大学梳理了2000多个Web资产,帮助清华大学建立了以资产为核心的清晰的资产台账;以边界为区域,梳理对内对外提供服务的资产;以资产分类为条件,实现安全风险的精准预警;以流程为约束,实现安全风险的闭环处置,最终实现资产看得见、摸得着、管得住、把得牢。
此外,清华大学还通过盛邦安全Web资产治理平台(RayGate)结合OA,实现了问题资产及安全事件领导负责任制下的闭环处置,从而确保对于Web资产的高效监控与管理,将安全风险消灭在萌芽状态。