張 燕

（金肯職業(yè)技術(shù)學(xué)院，江蘇 南京 211100）

信息系統(tǒng)的應(yīng)急響應(yīng)研究

張 燕

（金肯職業(yè)技術(shù)學(xué)院，江蘇 南京 211100）

隨著高校信息化建設(shè)的不斷深入，各部門(mén)日常工作也愈發(fā)對(duì)信息系統(tǒng)依賴，當(dāng)系統(tǒng)因突發(fā)事件而無(wú)法正常提供服務(wù)時(shí)，如何采取應(yīng)急響應(yīng)措施盡量降低系統(tǒng)服務(wù)中斷對(duì)業(yè)務(wù)活動(dòng)的影響是一項(xiàng)重要的研究課題。文章從日常運(yùn)行維護(hù)的實(shí)際經(jīng)驗(yàn)出發(fā)，分析系統(tǒng)運(yùn)行的薄弱環(huán)節(jié)，提出了建立信息系統(tǒng)應(yīng)急響應(yīng)機(jī)制的一些方法和建議。

信息系統(tǒng)；應(yīng)急響應(yīng)；運(yùn)行維護(hù)

2017年6月18日至7月6日，由教育部科技發(fā)展中心主辦，《中國(guó)教育網(wǎng)絡(luò)》雜志承辦的“2017年教育行業(yè)信息安全大會(huì)”在北京、南京、武漢、西安四地舉行。來(lái)自全國(guó)高校信息中心、計(jì)算機(jī)院校及軟件工程學(xué)院近千人參加了此次會(huì)議。在活動(dòng)期間，共組織了4個(gè)“高峰論壇”，其中就有校園網(wǎng)安全應(yīng)急響應(yīng)機(jī)制建設(shè)論壇，可見(jiàn)校園網(wǎng)應(yīng)急響應(yīng)機(jī)制的建設(shè)已是保障校園網(wǎng)安全的重中之重。

1 應(yīng)急響應(yīng)的概念

要給出應(yīng)急響應(yīng)的定義，首先需要定義什么是信息安全事件，信息安全事件是由于自然或者人為以及軟硬件本身缺陷或故障原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)或高校造成負(fù)面影響的事件[1]。應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上各種意外事件的發(fā)生所做的準(zhǔn)備以及事件發(fā)生后迅速采取的措施和行為。應(yīng)急響應(yīng)是一項(xiàng)系統(tǒng)的工程，是以各種技術(shù)為核心，輔助以各種資源、網(wǎng)絡(luò)而形成的一個(gè)完整的整體。

2 應(yīng)急響應(yīng)的意義

應(yīng)急響應(yīng)是對(duì)安全事件按一定的程序進(jìn)行處理，其主要任務(wù)是盡可能縮小事件發(fā)生的范圍和數(shù)量、防止事件升級(jí)、系統(tǒng)恢復(fù)以及責(zé)任認(rèn)定等。

應(yīng)急響應(yīng)對(duì)系統(tǒng)建設(shè)單位、信息安全主管領(lǐng)導(dǎo)和技術(shù)人員都有好處。對(duì)學(xué)院來(lái)說(shuō)，應(yīng)急響應(yīng)可以提升安全理念、降低風(fēng)險(xiǎn)、減少損失、完善安全體系、深入挖掘自身安全需求；信息安全主管領(lǐng)導(dǎo)通過(guò)應(yīng)急響應(yīng)體系，可以第一時(shí)間了解網(wǎng)絡(luò)的安全形勢(shì)，把握整個(gè)學(xué)院的整體網(wǎng)絡(luò)安全太勢(shì)；安全技術(shù)人員可以及時(shí)發(fā)現(xiàn)安全事件。網(wǎng)絡(luò)中發(fā)生了什么安全事件，有哪些外部入侵行為，是否有人對(duì)重要的服務(wù)器進(jìn)行攻擊，是否有人在進(jìn)行嗅探，及時(shí)發(fā)現(xiàn)突發(fā)的安全問(wèn)題，快速定位安全問(wèn)題、針對(duì)安全事件采取有效措施進(jìn)行處理，集中監(jiān)控網(wǎng)絡(luò)蠕蟲(chóng)等特殊事件，了解并制止?jié)撛诘膬?nèi)外攻擊行為，及時(shí)發(fā)現(xiàn)并清除網(wǎng)絡(luò)病毒、惡意代碼[2]。

3 建立應(yīng)急響應(yīng)的方法

信息安全事件應(yīng)急響應(yīng)完整的活動(dòng)內(nèi)容應(yīng)當(dāng)包括：（1）未雨綢繆，即在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險(xiǎn)評(píng)估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn)、以發(fā)布安全通告的方式進(jìn)行的預(yù)警、以及各種防范措施；（2）亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動(dòng)措施可能來(lái)自于人，也可能來(lái)自系統(tǒng)，發(fā)現(xiàn)事件發(fā)生后，采取系統(tǒng)備份、病毒檢測(cè)、后門(mén)檢測(cè)、清除病毒或后門(mén)、隔離、采取系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作[3]。

3.1 信息安全事件分級(jí)

首先，需要清楚高校的業(yè)務(wù)活動(dòng)，通過(guò)業(yè)務(wù)的重要程度進(jìn)行分析進(jìn)行分級(jí)，包括核心、重要和一般3個(gè)等級(jí)（見(jiàn)表1）。

表1 業(yè)務(wù)的重要程度分級(jí)

其次，對(duì)事件的危害程度進(jìn)行分級(jí)（見(jiàn)表2）。

表2 事件的危害程度分級(jí)

根據(jù)業(yè)務(wù)的重要程度、事件的危害程度建立信息安全事件的分級(jí)，由低到高分為一級(jí)至四級(jí)（見(jiàn)表3）。

表3 信息安全事件的分級(jí)

3.2 組織機(jī)構(gòu)

為有序開(kāi)展應(yīng)急響應(yīng)的相關(guān)工作，學(xué)院應(yīng)建立相應(yīng)的組織機(jī)構(gòu)，并各負(fù)其責(zé)。一般情況下采取分級(jí)管理的模式，由應(yīng)急領(lǐng)導(dǎo)小組、專家組和應(yīng)急工作小組構(gòu)成。

領(lǐng)導(dǎo)小組負(fù)責(zé)信息系統(tǒng)安全事件應(yīng)急處理工作的規(guī)劃、計(jì)劃和規(guī)范；負(fù)責(zé)應(yīng)急響應(yīng)預(yù)案的審議工作；負(fù)責(zé)學(xué)院信息系統(tǒng)應(yīng)急響應(yīng)體系的建設(shè)工作；負(fù)責(zé)審定專家組和工作小組的人員組成；發(fā)生三、四級(jí)信息安全事件后，決定啟動(dòng)應(yīng)急預(yù)案，組織應(yīng)急處置工作，并負(fù)責(zé)組織向上級(jí)信息系統(tǒng)應(yīng)急處理領(lǐng)導(dǎo)小組報(bào)告安全事件的相關(guān)工作。

專家組負(fù)責(zé)向領(lǐng)導(dǎo)小組提供決策信息，是信息系統(tǒng)安全事件應(yīng)急響應(yīng)的咨詢機(jī)構(gòu)；針對(duì)發(fā)生的信息安全事件，分析事件產(chǎn)生的原因并給出有效的解決方案；根據(jù)信息系統(tǒng)的安全評(píng)估報(bào)告，針對(duì)網(wǎng)絡(luò)安全現(xiàn)狀提出切實(shí)可行的預(yù)防及整改建議。

工作小組負(fù)責(zé)信息系統(tǒng)信息安全事件應(yīng)急處置工作及其運(yùn)行機(jī)制的建設(shè)；負(fù)責(zé)制訂信息安全事件等級(jí)標(biāo)準(zhǔn)、應(yīng)急處理規(guī)章制度；負(fù)責(zé)應(yīng)急預(yù)案的制訂和修訂工作；開(kāi)展安全事件應(yīng)急處理演練和培訓(xùn)工作。

3.3 預(yù)案

預(yù)案是針對(duì)歷史發(fā)生的或可預(yù)見(jiàn)的信息安全事件而預(yù)先制定的解決措施，便于事件處置過(guò)程的正常有序開(kāi)展。預(yù)案應(yīng)包括以下內(nèi)容。（1）目的和依據(jù)：描述預(yù)案的目的及編制依據(jù)。（2）適用范圍：描述預(yù)案適用的范圍和啟動(dòng)的條件。（3）系統(tǒng)及資源：對(duì)當(dāng)前系統(tǒng)所涉及的軟硬件資源進(jìn)行詳細(xì)的描述，包括服務(wù)器的安裝位置、操作系統(tǒng)版本、數(shù)據(jù)庫(kù)版本、網(wǎng)絡(luò)資源配置、應(yīng)用系統(tǒng)版本等。（4）標(biāo)準(zhǔn)處置預(yù)案：針對(duì)系統(tǒng)常見(jiàn)故障至處置方案，該方案可以調(diào)用已知的標(biāo)準(zhǔn)處置預(yù)案，如操作系統(tǒng)重裝、數(shù)據(jù)恢復(fù)、系統(tǒng)遷移服務(wù)器等。（5）故障快速定位：順序列出系統(tǒng)故障的分析過(guò)程，幫助系統(tǒng)維護(hù)人員快速進(jìn)行故障的診斷，準(zhǔn)確定位故障點(diǎn)。

3.4 日常演練

為提高預(yù)案的執(zhí)行效率和準(zhǔn)確性，應(yīng)定期開(kāi)展應(yīng)急響應(yīng)的日常演練，日常演練是系統(tǒng)應(yīng)急響應(yīng)的重要環(huán)節(jié)，通過(guò)模擬實(shí)戰(zhàn)的方式讓系統(tǒng)維護(hù)的相關(guān)人員熟悉操作流程、操作步驟，提高相互配合的協(xié)同工作能力。同時(shí)，通過(guò)演練可以驗(yàn)證預(yù)案的可行性，避免紙上談兵。應(yīng)急演練的方式可以分為桌面演練和實(shí)際演練兩種方式。桌面演練是將預(yù)案相關(guān)人員集中在會(huì)議室，模擬系統(tǒng)故障，演練人員口述各自的職責(zé)和操作內(nèi)容，完成系統(tǒng)的恢復(fù)。實(shí)際演練是對(duì)系統(tǒng)所依賴資源進(jìn)行中斷處理，如關(guān)閉核心交換機(jī)、斷開(kāi)數(shù)據(jù)庫(kù)連接等，組織相關(guān)人員按照預(yù)案進(jìn)行故障分析、診斷及系統(tǒng)恢復(fù)，同時(shí)對(duì)恢復(fù)時(shí)間進(jìn)行計(jì)時(shí)，必要時(shí)可以由專家組對(duì)演練的效果進(jìn)行評(píng)價(jià)，利用后期預(yù)案的優(yōu)化和修訂。

4 結(jié)語(yǔ)

信息系統(tǒng)的應(yīng)急響應(yīng)由于涉及范圍廣、影響因素多，目前還處于起步階段，需要通過(guò)不斷的優(yōu)化和完善來(lái)提高可行性。

[1] 戴有煒.Windows server 2003 Active Directory配置指南[M].北京：清華大學(xué)出版社，2004.

[2] 顧巧論.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

[3] 陳艷玲.我國(guó)高校網(wǎng)站發(fā)展與校園文化建設(shè)研究[D].成都：四川大學(xué)，2007.

Study on emergency response of information system

Zhang Yan
（Jinken College of Technology, Nanjing 211100, China）

With the deepening of the informatization construction in colleges and universities, departments daily work is increasingly dependent on information systems. When the system due to unexpected events and can not provide services, how to emergency response measures taken to reduce the effects of system service interruption to the business activities is an important research subject. Based on the practical experience of daily operation and maintenance, this paper analyzes the weak links of system operation, and puts forward some methods and suggestions for establishing the emergency response mechanism of information system.

information system; emergency response; operation and maintenance

張燕（1981- ），女，江蘇南京人，實(shí)驗(yàn)師，學(xué)士；研究方向：網(wǎng)絡(luò)技術(shù)。