随着高校信息化建设从业务部门分散建设与运维向学校集中运维过渡，部分高校信息化建设技术支撑部门逐步建立了服务于学校整体信息化建设和二级部门信息化需求的应用托管服务，以虚拟化和私有云技术支撑的应用托管服务成为集中托管服务的主要实现方式。

本文结合东北大学应用托管服务的实际经验，从技术和管理角度介绍如何建设虚拟化托管环境的应用安全管控体系。

应用安全管控体系建设是高校虚拟化托管服务建设的重要组成部分，一般可以划分成两个阶段，一个是整体规划和实施阶段，另一个是运行维护和优化阶段。

在管理方面，有如下需要明确的内容：

信息系统的主管部门应是信息系统的校内责任部门，对系统的安全负主要责任和管理责任；管理部门是学校信息化建设的整体管理和协调部门，对系统的安全负领导责任，并积极协调主管部门和技术部门做好网络安全工作；技术部门是信息系统的运行维护部门，应根据主管部门的需求，做好信息系统的安全运维和技术防护。若信息系统是面向师生或主管部门以外的部门提供服务的，师生个人和使用部门应按照“责权一致”的原则，对系统操作、提供的数据和信息负直接责任，同时应该严格按照信息系统的操作和管理规范使用。

当学校软硬件环境具有一定的网络安全防护能力的同时，重点应该放在管理制度和运行流程上，明确主管部门、管理部门、技术部门的工作内容和职责担当，划清服务运维和应用安全的责任边界，并通过准入、防护、监测、审计等技术措施保障运行维护的可管理和可持续性。

1.根据关键信息基础设施认定和网络安全等级保护定级备案的情况，规划和建设满足关键信息基础设施和不同等级保护级别的信息系统防护要求的虚拟化资源池。首先要满足系统间网络隔离和流量可审计、可管理的要求，然后根据软硬件投入情况，面向关键信息基础设施、等级保护三级系统、等级保护二级系统、等级保护一级系统分别建立独立的虚拟化资源池，或者整体按照较高的网络安全防护要求进行虚拟化资源池的建设，在满足网络安全防护要求的基础上实现较高的软硬件资源利用率。

2.技术部门应组建专职的应用安全团队，负责应用安全管控体系的规划、建设和实施，以及安全漏洞和事件的处置和应急响应等工作；集中托管环境的软硬件应提供服务准入、安全防护和服务监测、流量审计等技术能力，并提供信息资产发现、记录和变更等全生命周期管理的系统支持；在有第三方运维介入的需求下，也应该具备专业的运维审计能力。

3.虚拟化托管服务采取准入模式，拟纳入集中运维的信息服务应满足以下管理和技术要求：

（1）符合学校现行的智慧校园建设规划要求。

（2）招标采购、合同签署、项目执行等阶段满足学校信息化建设统筹管理对数据共享和网络安全的基本要求。

（3）主管部门发起申请，提供等级保护级别、软硬件需求、网络需求（细化到端口、带宽）等信息；技术部门对需求合理性提出评价建议，确认现有环境是否满足需求以及提供不满足需求时的解决建议；管理部门从学校信息化建设整体规划和管理角度进行审批和协调。

（4）在确定纳入集中运维后，主管部门和技术部门签订校内运维服务协议，明确双方的承担职责，并由管理部门备案。

（5）信息服务上线前，须在提供专业安全厂商渗透测试报告的基础上由技术部门的应用安全团队确认服务安全水平满足上线要求；信息服务对外服务端口为白名单形式，并要支持可监测和可审计。

图1 应用安全分域管控的拓扑示意

高校虚拟化托管服务的运维和优化是长期性、事务性的，应用安全管控也是其中重要的组成部分。如何实现日常工作流程衔接顺畅、运维工作量统计与服务故障及时发现与排查是运维阶段应用安全工作中需要重点关注的内容。

高校信息服务的主管部门和技术部门之间的合作模式，是影响虚拟化应用托管运行维护和安全管理的主要因素之一，通常有三类合作模式：

1.技术部门负责整体托管运行环境，根据主管部门要求创建和维护虚拟机；主管部门通过技术部门提供的可控的、可审计的途径（如通过堡垒主机）更新信息服务相关的代码和数据，如大连理工模式。

2.技术部门负责整体托管运行环境，根据主管部门需求创建虚拟机；主管部门通过技术部门提供的可控的、可审计的途径（如通过堡垒主机）维护虚拟机和更新信息服务相关的代码和数据，如东北大学模式。

3.技术部门负责整体托管运行环境，根据主管部门需求设置具有创建和维护虚拟机权限的二级管理员账户；或者主管部门自行创建和维护虚拟机。

目前，方式2比较常见，在这种模式下，技术部门承担的日常维护工作量适中，应用安全责任也可以明确在虚拟机边界上，整体托管运行环境的安全防护措施提供辅助支撑，更多的安全防护措施要在虚拟机层面上由系统的主管部门及相关运维人员承担。

应用安全管控体系在日常运维阶段应该至少包含以下几项工作：

1.技术部门应建立托管服务在线管理系统，实现应用托管服务的申请、审批、配置更新等工作的在线化，一方面便于提升运维工作效率，另一方面也可实现重要事务节点的归档和可追溯。

2.技术部门应定期进行流量审计评价，并参照主管部门实际申请服务情况进行核实，及时发现未报批的信息服务或网络服务，降低不可控安全风险。

3.技术部门应有一定的渗透测试能力，可以通过培养自有安全团队或采购第三方安全服务获得，在重大安全保障期间，主管部门申请对单个托管的信息系统进行渗透测试，以便及时发现安全隐患。

4.技术部门应建立服务故障监测系统，对集中托管的信息服务进行实时可用性监测，有条件的可以提供页面篡改告警监测，及时发现重要信息服务的不可用或网页篡改事件，做到早发现、早处置、早恢复。

高校虚拟化托管环境的应用安全管控体系建设作为学校网络安全保障体系的一部分，是保障高校智慧校园建设和运维的重要工作。随着私有云、混合云等新技术应用到高校集中托管运维中，托管环境的应用安全管控体系构建还要适时完善和提升。（责编：王左利）（作者单位为东北大学信息化建设与网络安全办公室）