烽火十八台丨这么多年过去了，部分高校网络资产安全治理还在走弯路？

随着互联网、物联网、虚拟化、云平台等网络与信息化技术的快速发展，教育信息系统成为现代化教学的重要技术手段，但与此同时，校园网网络安全面临的问题和挑战也愈加严峻。

近两年，《网络安全法》、《关基条例》、《数据安全法》等法律法规陆续颁布实施，教育行业对网络安全的重视程度不断提高，相继发布了《教育行业网络安全综合治理方案》、《教育部关于加强新时代教育管理信息化工作的通知》、《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》等相关行业政策指导文件，对包括网络资产安全治理在内的高校网络安全建设工作提出了更高的要求。

高校信息资产普遍呈现数量多、种类杂等特点。同时，高校信息化建设中仍存在私搭乱建、上线不规范、管理不到位等现象以及人员不足、责任不清等问题，这些都为教育行业网络安全带来诸多隐患。尤其是高校信息资产本身的安全漏洞、弱口令等风险隐患与其互联网开放性相互作用导致其资产暴露面扩大，安全漏洞、暗链、webshell后门等事件频发。

面对高校信息化系统的特点和安全管理方面存在的痛点，盛邦安全结合行业政策指引，对高校信息资产安全治理需求进行分析并总结为“二十四”字方针，即：摸清家底、认清风险、找出漏洞、通报结果、督促整改、安全治理。

盛邦安全结合自身多年在教育行业网络安全建设与保障实践中积累的丰富经验，以资产治理“五步法”理论为核心，帮助行业用户构建“摸清家底、备案审核、立体防御、自动运营和应急响应”为一体的闭环式网络资产安全综合治理体系，有助于提升教育行业用户网络资产动态梳理能力、主动防御能力和应急响应处置等能力。

资产自学习，形成清晰资产台账

通过自学习引擎，对网络流量内的网络资产进行学习，形成资产清单并能够实时动态更新；帮助用户建立信息资产台账，完成资产普查和资产的分类分级；同时能够实现对僵尸资产、单非资产、违规资产等不合规资产的快速识别和处置。

资产备案，建立流程化、规范化的管理体系

通过资产备案功能模块，该方案协助用户建立规范化、标准化的信息资产备案与管理体系，实现系统上线安全检查、备案审核、变更审核及退运审核的流程化、规范化的资产管理机制，并能够将人员、资产、部门进行映射管理，做到权责到人，让安全管理工作更加高效。

• 健全应用系统安全监管机制

• 开展新应用入网上线安全备案审核

• 建立资产备案信息完整性审查，明确安全责任到人

资产安全运营，实现动态监控预警

网络安全是动态的，不能一劳永逸。信息资产的版本更新、补丁更新及配置更新都有可能带来新的安全漏洞和风险。该方案集成了盛邦安全漏洞扫描、弱口令检测、安全监测等核心技术能力，帮助用户对目标资产进行常态化的安全风险评估和监控，能动态、及时地发现资产安全风险，以便及时采取相应处置措施。

• 落实网络安全监测预警

• 开展网络流量监测，及时发现安全威胁、恶意攻击行为

• 进行安全漏洞风险扫描评估，提升安全事件发现能力

资产闭环处置，让整改过程可查、结果可审

漏洞检测发现是手段，安全加固修复是目标。通过系统自带的安全漏洞通报整改模块，该方案可协助高校安全管理部门对目标系统存在的安全风险进行平台化通报预警和应急处置，并对其过程、要求和结果进行闭环式管理，真正做到过程可查、结果可审。

• 支持根据资产漏洞发起通报整改

• 支持第三方外部数据进行通报流转

• 支持对漏洞事件通报过程进行跟踪处置

• 支持对处置完毕后的流程归档和分析

• 支持基于完整通报结果的安全考核

联动协作，实现快速应急响应

安全威胁处置是保障校园网信息资产安全可靠运行的主要目标，当发生重大安全漏洞和安全事件时，需要能够及时、快速地处置，从而有效降低安全威胁带来的损失。

• 建立高校系统网络安全应急指挥能力

• 建立高校系统网络安全风险协同处置能力

目前，该方案已经在教育厅（局）等行业主管单位、985/211、本科/高职类院校以及教育考试院等行业机构中落地应用，从资产梳理、备案审核、安全监控及应急处置等多个维度，帮助用户实现网络资产全生命周期的“闭环式”安全治理，达到减少风险暴露面、加强资产安全监控和有效落实安全责任机制等安全体系建设目标。

网络资产安全治理平台（RayGate）

该产品最早发布于2016年，经过多年的行业应用和技术经验积累，RayGate各项功能和性能不断优化，紧贴教育行业用户的实际应用需求，目前该产品与方案已成功部署于超过100所高校及考试院等教育机构，获得了用户的高度认可。