一、案例摘要
本项目旨在构建一个高校信创资产测绘安全管理平台,以应对当前网络空间复杂性和信创背景下的高校网络安全挑战。该平台通过标准化资产描述、智能拓扑关系计算和分布式插件化测绘系统,实现对高校网络空间资产的全面、精准测绘和管理。试点工作成功实施,验证了其在资产普查、风险识别和安全防护方面的有效性,为高校构建自主可控、高效安全的网络环境提供了创新解决方案。
二、实施背景
当前,网络空间已成为高校教学、科研、管理不可或缺的“第五空间”。随着国家对信息技术应用创新(信创)战略的深入推进,高校的信息化建设正逐步转向以国产软硬件为核心的信创体系。然而,信创环境下的网络空间测绘和安全管理面临新的挑战:
资产多样性与复杂性:高校网络包含大量的服务器、终端、网络设备、科研设备、教学系统等,且信创设备的加入使得资产类型更加多样,传统资产管理手段难以有效覆盖和统一描述。
网络安全威胁升级:针对高校的网络攻击日益频繁且复杂,传统边界防御难以应对高级持续性威胁。急需建立主动发现、全面感知的安全管理体系。
缺乏标准化管理:目前高校普遍缺乏统一的网络空间资产描述标准和测绘能力评价体系,导致资产数据不一致、管理混乱,难以有效支撑安全治理。
信创环境的特殊性:信创体系下的设备和软件可能存在特有的安全风险和兼容性问题,需要针对性地进行资产测绘和安全评估,确保信创系统的安全稳定运行。
基于上述背景,建设高校信创资产测绘安全管理平台,实现网络空间资产的“精准画像”,是保障高校网络安全、支撑信创战略落地的基础性工程。
三、实施目标
研发智能拓扑关系计算模型:实现高校网络资产的自动化识别、定义和关联,构建精准的网络拓扑结构,揭示设备间复杂的物理、逻辑和依赖关系,为网络优化和安全管理提供可视化支撑。
设计并实现分布式、插件化的网络空间资源测绘管理原型系统:打造自主可控的资产测绘与管理平台,具备高效的数据采集、资产管理、威胁感知和安全分析能力,实现对高校信创资产的全面覆盖和深度探测。
提升高校网络安全防护能力:通过全面掌握资产底数和相互关系,发现潜在的安全隐患和漏洞,为高校建立实战化的监测、响应、防御闭环流程奠定基础,有效应对网络攻击。
支持信创战略落地:针对信创设备和系统的特点,提供定制化的测绘和安全评估能力,确保信创环境下高校信息化系统的安全可靠运行,助力国家信创战略在教育行业的深入推进。
四、建设内容
1.网络空间资产拓扑关系计算模型研究
构建网络资产拓扑关系计算模型:结合智能安全分析技术,研究并构建能够解析和展示复杂网络资产相互关系的模型,包括设备间的连接方式、数据流动路径、依赖关系等。
实现拓扑关系可视化:通过图数据模型将网络中的节点(设备)和边(连接关系)进行可视化展示,帮助网络管理员直观理解网络结构,识别潜在的安全隐患、瓶颈和资源冗余,为网络架构优化提供依据。
2.网络空间资源测绘管理系统原型设计与搭建
设计并实现一个基于攻击者视角的分布式、插件化的网络空间资源测绘管理原型系统,并提交全部源代码和指纹库,以做到完全自主可控。
系统架构:采用分布式核心架构和插件化设计,提升系统的可扩展性和灵活性,支持对不同网络资产、协议的快速集成和处理。
核心功能模块:
基于IP资产探测:实现对高校网络中IP资产的全面、精准探测,包括IP、IP段、域名、端口、Web服务识别、WAF识别、指纹识别等,并支持多扫描节点调度和扫描速度智能调整,防止网络拥堵。
基于Agent的终端信息采集:部署终端Agent,弥补主动测绘的缺陷,更全面地获取被管理终端(包括信创终端)的操作系统、硬件、软件安装列表、资源使用状态等信息,并支持Ubuntu 20以上操作系统。实现远程管理与配置,支持远程执行命令和脚本。
基于网络连通性的网络拓扑绘制:结合IP资产探测和Agent终端信息采集数据,精准绘制网络连通性拓扑图,可视化展示网络内部攻击面。
资产台账:核心功能模块,全面记录高校各类信息资产的基本信息、配置、位置、使用状态等,并支持资产搜索、筛选、漏洞扫描任务触发、第三方平台数据获取、漏洞预警和报告导出等功能。
组织关系和人员管理:明确高校内部各部门、各岗位在数据资产管理中的职责分工,促进协同合作,提升整体运营效率。
安全防护集成:系统功能包括数据采集、资产管理、网络流量监控、威胁感知等,通过集成多种安全防护措施,确保网络资产的全面管理和安全性。
网络安全方面:汇聚网络设备、安全设备、服务器、数据库、探针等数据源,通过安全感知平台结合威胁情报、行为分析、机器学习、大数据关联分析、可视化等技术,实现全网业务可视化和威胁感知,发现潜在威胁。
终端安全方面:通过终端安全管理及补丁分发准入控制系统,形成集主机监控审计、补丁管理、桌面应用管理、信息安全管理、终端行为管控、病毒查杀等功能一体的管理体系,为高校师生创建安全、可靠、稳定的办公网络。
主机安全方面:应用主机综合防护系统,在服务器端(包括信创服务器)安装Agent,对操作系统、Web中间件和Web业务系统进行多重防护,持续监控流量与行为,并通过管理控制平台进行策略配置、安全巡检、攻击监测和系统资源监控。
五、实施效果
本项目通过在高校进行试点应用,取得了显著的实施效果:
1.全面掌握信创资产底数与风险
资产全景图绘制:在试点高校成功绘制了网络空间资产全景图,包括信创设备、传统设备、核心业务系统、教学系统等,全面掌握了资产的规模、分布和运行状态。
信创环境适配:针对信创设备和系统进行了深度适配,有效识别了信创软硬件资产的指纹特征、运行状态和潜在安全隐患,验证了平台在信创环境下的兼容性和有效性。
安全风险精准识别:通过多维度探测和深度数据分析,精准识别了试点高校网络空间资产中的潜在漏洞和风险点,特别是针对Web应用防火墙(WAF)的部署检测与类型识别,能够识别150多种不同类型的WAF,全面研判威胁态势,有效预判可能发生的网络攻击。
2.提升网络安全防护能力
主动防御体系构建:实现了对网络资产的持续监测和实时预警,支持快速应急响应和持续安全运营,为高校构建主动防御体系提供了基础。
优化资源配置:通过对现有资产的梳理,发现了冗余设备和性能瓶颈,为资源整合、淘汰过时设备和提升系统性能指明了方向,节约了成本,提升了整体运行效率。
应急响应能力提升:普查成果为完善防护机制和响应流程提供了数据支撑,确保在突发事件中能够迅速定位问题并高效恢复系统运行。
3.推动管理智能化
拓扑关系智能化:构建并验证了高校网络空间资产拓扑关系的计算模型,实现了网络资产拓扑关系的可视化,改善了传统方法在大规模复杂网络中的局限性,提高了对复杂网络结构的理解和管理能力。
4.验证系统可行性与创新性
分布式插件化系统验证:成功搭建了分布式、插件化网络空间资源测绘管理系统原型,验证了系统设计的可行性和有效性,提升了系统的可扩展性和灵活性,支持对不同网络资产、协议的快速集成和处理。
自主可控能力增强:拥有全部源代码和指纹库,实现了完全自主可控,为高校构建安全可靠的信创基础设施奠定了坚实基础。
高校信创资产测绘安全管理平台的建设,不仅为高校网络空间安全提供了全面的技术支撑,也为高校信创战略的深入实施提供了有力保障,具有重要的理论和实际应用价值。