高 薇,許 浩,寧玉文,高東懷

(第四軍醫(yī)大學(xué) 信息管理中心，陜西 西安 710032)

0 引 言

為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題，我國(guó)已把網(wǎng)絡(luò)安全作為國(guó)家安全戰(zhàn)略的重要內(nèi)容，并成立了國(guó)家級(jí)、電信級(jí)安全運(yùn)營(yíng)中心(security operation center，SOC)，負(fù)責(zé)在網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)的表達(dá)、預(yù)測(cè)及應(yīng)用的基礎(chǔ)上[1]，應(yīng)對(duì)和處理網(wǎng)絡(luò)安全問(wèn)題，提升網(wǎng)絡(luò)安全防御能力的獨(dú)立機(jī)構(gòu)[2]。然而教育領(lǐng)域特別是高校網(wǎng)絡(luò)安全管理工作目前尚處于起步階段，部分高校網(wǎng)絡(luò)安全管理體制機(jī)制依然還沒(méi)有理順，導(dǎo)致網(wǎng)絡(luò)安全事件頻發(fā)。根據(jù)教育部信息安全管理工作要求，高校急需要結(jié)合當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)與高校信息化管理實(shí)際，量身設(shè)計(jì)一個(gè)既能應(yīng)對(duì)日常網(wǎng)絡(luò)安全威脅，又能推進(jìn)信息安全等級(jí)保護(hù)的安全運(yùn)維方案。筆者在中國(guó)高等教育學(xué)會(huì)2014年專項(xiàng)課題《高校信息安全管理模式與體制機(jī)制研究》的支持下，對(duì)陜西省高校信息管理工作進(jìn)行調(diào)查研究，結(jié)合第四軍醫(yī)大學(xué)的研究與實(shí)踐，提出了基于安全態(tài)勢(shì)感知平臺(tái)的高校校園網(wǎng)安全運(yùn)營(yíng)方案。

1 高校網(wǎng)絡(luò)安全管理工作的調(diào)研分析

1.1 高校網(wǎng)絡(luò)安全管理情況調(diào)研設(shè)計(jì)

為了摸清高校網(wǎng)絡(luò)安全管理工作情況，筆者選擇高校密集的陜西省作為調(diào)查對(duì)象，一是問(wèn)卷調(diào)查了該地區(qū)的部屬高校、軍隊(duì)院校、省屬本科高校、民辦院校、職教院校等20所代表性高校，面向高校網(wǎng)絡(luò)中心或信息化辦公室負(fù)責(zé)人，在網(wǎng)絡(luò)安全管理人員配備、網(wǎng)絡(luò)安全設(shè)備使用、網(wǎng)絡(luò)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全管理制度建設(shè)和網(wǎng)絡(luò)安全威脅處理五個(gè)方面開(kāi)展問(wèn)卷調(diào)查，并對(duì)部分學(xué)校進(jìn)行了參觀。二是走訪了北京天融信、啟明星辰、北京神州綠盟、南京銥迅等9家信息安全公司，交流高校信息安全的技術(shù)支持情況。

1.2 高校網(wǎng)絡(luò)安全管理工作呈現(xiàn)的新特點(diǎn)

調(diào)查發(fā)現(xiàn)，近年來(lái)高校信息化建設(shè)逐步從數(shù)字校園建設(shè)邁向智慧校園[3]，網(wǎng)絡(luò)安全管理工作逐漸呈現(xiàn)三個(gè)特點(diǎn)：

一是需要管理的安全設(shè)備越來(lái)越多。高校校園網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，需要安全防護(hù)的網(wǎng)絡(luò)設(shè)施與資源也迅速增多[4]。各高校為了保證安全，針對(duì)物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、信息安全和數(shù)據(jù)安全等各個(gè)層面部署了相應(yīng)的安全設(shè)備，形成了基本的安全防護(hù)系統(tǒng)。

二是用戶數(shù)量與行為越來(lái)越難控。移動(dòng)互聯(lián)網(wǎng)的迅速普及，電話網(wǎng)、有線電視網(wǎng)與計(jì)算機(jī)網(wǎng)絡(luò)不斷融合，加大了信息系統(tǒng)面臨的網(wǎng)絡(luò)威脅，高校正在逐步形成有線無(wú)線一體化的校園網(wǎng)絡(luò)，部分學(xué)校已經(jīng)在嘗試物聯(lián)網(wǎng)。這使得校園網(wǎng)有線用戶和移動(dòng)用戶的數(shù)量和終端種類不斷增多，網(wǎng)絡(luò)行為也越來(lái)越復(fù)雜，異常行為頻發(fā)，出現(xiàn)了風(fēng)險(xiǎn)評(píng)估難、預(yù)警告警難、追蹤定位難等問(wèn)題[5]，給安全管理工作帶來(lái)了新的挑戰(zhàn)。

三是需要應(yīng)對(duì)的信息安全威脅越來(lái)越多。高校面臨的高級(jí)可持續(xù)性威脅(APT)、分布式拒絕服務(wù)攻擊(DDoS)及網(wǎng)站篡改等各類攻擊迅速增多[6]，安全事件時(shí)有發(fā)生，高校正在建立相應(yīng)的處理機(jī)制。

1.3 高校網(wǎng)絡(luò)安全管理工作存在的問(wèn)題

目前被調(diào)研高校普遍受限于現(xiàn)有人員編制和運(yùn)維成本等多種因素，在網(wǎng)絡(luò)安全管理中存在以下突出問(wèn)題：

一是缺乏順暢的管理機(jī)制。大部分高校設(shè)立了信息安全與保密委員會(huì)，由分管校領(lǐng)導(dǎo)具體負(fù)責(zé)，但是在實(shí)施層面，高校的網(wǎng)絡(luò)安全管理工作由多個(gè)部門負(fù)責(zé)，依托信息化辦公室、網(wǎng)絡(luò)中心或黨政辦，存在多頭管理、職能交叉等現(xiàn)象，其中僅有60%的高校在IT服務(wù)部門中設(shè)置了網(wǎng)絡(luò)安全服務(wù)小組。人員配置方面，90%的學(xué)校設(shè)立了網(wǎng)絡(luò)管理員崗位，60%的學(xué)校設(shè)立了系統(tǒng)管理員崗位，50%的學(xué)校設(shè)立了安全管理員崗位，設(shè)崗高校中僅30%有專職安全管理員。在制度方面，40%的高校正在制定安全管理規(guī)范，特別是應(yīng)急響應(yīng)預(yù)案和日常安全檢查制度，50%的學(xué)校落實(shí)了網(wǎng)絡(luò)安全例行檢查制度。然而仍有部分高校對(duì)安全管理工作處于一種“救火式”的被動(dòng)服務(wù)狀態(tài)。

二是缺乏精細(xì)化的管控服務(wù)。高校雖然按照教育行政部門要求，配備了必備的網(wǎng)絡(luò)安全設(shè)備，基本達(dá)到國(guó)家二級(jí)安全防護(hù)標(biāo)準(zhǔn)[7]，但是大部分高校沒(méi)有按照安全保護(hù)強(qiáng)度劃分安全等級(jí)，沒(méi)有根據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要程度、信息內(nèi)容的重要程度、系統(tǒng)遭到攻擊破壞后造成的危害程度等安全需求以及安全成本等因素，對(duì)IT服務(wù)內(nèi)容進(jìn)行分級(jí)分域分業(yè)務(wù)分用戶管控。

三是缺乏規(guī)范的運(yùn)維流程。故障的處理依賴于技術(shù)人員的業(yè)務(wù)熟練程度和處理習(xí)慣，然而部分高校安全管理人員沒(méi)有實(shí)現(xiàn)流程化安全運(yùn)維，處置權(quán)限不明確，責(zé)任分工不合理，安全策略的設(shè)置不及時(shí)，導(dǎo)致重復(fù)處理，隨意處理，且處理過(guò)程不透明，用戶無(wú)法跟蹤問(wèn)題的處理情況。

2 高校校園網(wǎng)安全運(yùn)營(yíng)中心模型設(shè)計(jì)

針對(duì)當(dāng)前高校網(wǎng)絡(luò)安全管理工作的特點(diǎn)和問(wèn)題，筆者認(rèn)為高校網(wǎng)絡(luò)與電信企業(yè)網(wǎng)絡(luò)具有一定的相似性，完全可以借鑒企業(yè)網(wǎng)絡(luò)安全管理工作的思路，也就是創(chuàng)新和應(yīng)用網(wǎng)絡(luò)安全管理理論，在高?，F(xiàn)有信息化組織架構(gòu)的基礎(chǔ)上，充分利用各種管理手段和技術(shù)方法，從而最終保護(hù)在線系統(tǒng)資源與服務(wù)安全。

2.1 信息安全管理工作的理論依據(jù)

WPDRRC信息安全模型是我國(guó)“863”信息安全專家組提出的適合我國(guó)國(guó)情的信息安全體系建設(shè)模型，它將信息安全建設(shè)的整個(gè)周期劃分為預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊6個(gè)環(huán)節(jié)，具有較強(qiáng)的時(shí)序性和動(dòng)態(tài)性，主要構(gòu)成要素分為技術(shù)、策略和人員。其中人員是核心，策略是橋梁，技術(shù)是保證[8]。目前，WPDRRC模型已成為大多數(shù)院校信息安全保障體系建設(shè)的重要理論指導(dǎo)。

2.2 企業(yè)安全運(yùn)營(yíng)中心的基本模式

電信企業(yè)在有效化解安全風(fēng)險(xiǎn)，應(yīng)對(duì)各種突發(fā)性網(wǎng)絡(luò)安全事件方面具有成熟的經(jīng)驗(yàn)。主要思路是將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺(tái)，建立安全運(yùn)營(yíng)中心，實(shí)現(xiàn)安全形勢(shì)全局分析和動(dòng)態(tài)監(jiān)控[9]，通過(guò)集中收集、過(guò)濾、關(guān)聯(lián)分析安全事件，分析整個(gè)系統(tǒng)的安全狀態(tài)和安全趨勢(shì)，對(duì)危害嚴(yán)重的安全事件及時(shí)做出反應(yīng)，提供安全趨勢(shì)報(bào)告，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效控制，其核心是檢測(cè)和響應(yīng)功能[10]。中國(guó)移動(dòng)、中國(guó)電信也在部分省市開(kāi)展SOC試點(diǎn)，為高校引入安全運(yùn)營(yíng)中心奠定了基礎(chǔ)。

2.3 高校校園網(wǎng)安全運(yùn)營(yíng)中心模型

高校校園網(wǎng)安全運(yùn)營(yíng)中心需要在高校信息化組織的基礎(chǔ)上進(jìn)行改造，按照技術(shù)與管理相結(jié)合的思路，實(shí)現(xiàn)安全的統(tǒng)一管理，并將其定位于校園網(wǎng)應(yīng)對(duì)處理解決信息安全問(wèn)題的一線組織，主要目標(biāo)是持續(xù)提高自身安全防護(hù)能力，保護(hù)信息系統(tǒng)及信息自身安全。

因此，高校安全運(yùn)營(yíng)中心模型設(shè)計(jì)參照WPDRRC信息安全模型六環(huán)節(jié)三要素的理念，改進(jìn)電信企業(yè)安全運(yùn)營(yíng)中心的設(shè)計(jì)理念，形成適合院校安全防護(hù)需求的WPDRRI模型，具體結(jié)構(gòu)如圖1所示。其中六環(huán)節(jié)為預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和改進(jìn)，三要素為組織架構(gòu)(人員)、技術(shù)體系(技術(shù))和管理流程(策略)。

圖1 高校校園網(wǎng)安全運(yùn)營(yíng)中心模型

在WPDRRI模型中，組織機(jī)構(gòu)是指安全運(yùn)營(yíng)中心的管理機(jī)制情況，如中心職責(zé)、崗位設(shè)置、人員配備和職責(zé)授權(quán)等。技術(shù)體系主要包括兩部分，一是如何利用現(xiàn)有安全防護(hù)技術(shù)和設(shè)備對(duì)校園網(wǎng)絡(luò)的各項(xiàng)服務(wù)進(jìn)行全面保護(hù)；二是如何采用安全防護(hù)技術(shù)和設(shè)備進(jìn)行有效管理和使用。管理流程是指網(wǎng)絡(luò)安全管理的整體策略，包括安全管理策略、安全管理模型和運(yùn)維流程，涵蓋了WPDRRC的各個(gè)環(huán)節(jié)，但作為校園網(wǎng)的安全運(yùn)營(yíng)中心可相對(duì)弱化或忽略“反擊”環(huán)節(jié)，增加優(yōu)化“改進(jìn)”環(huán)節(jié)，確保整個(gè)安全防護(hù)體系有效運(yùn)作和持續(xù)改進(jìn)。

3 校園網(wǎng)安全運(yùn)營(yíng)中心建設(shè)實(shí)踐

筆者與課題組成員依照WPDRRI模型，在第四軍醫(yī)大學(xué)利用近三年時(shí)間，在學(xué)校信息化原有管理體制的基礎(chǔ)上，通過(guò)理順關(guān)系、調(diào)整機(jī)構(gòu)、增加專員，初步建成了校園網(wǎng)安全運(yùn)營(yíng)中心，解決了學(xué)校長(zhǎng)期以來(lái)網(wǎng)絡(luò)安全管理工作的體制性障礙與結(jié)構(gòu)性矛盾。

3.1 校園網(wǎng)絡(luò)安全管理的組織架構(gòu)

學(xué)校現(xiàn)有信息化機(jī)構(gòu)一般具有決策、管理、運(yùn)營(yíng)和應(yīng)用4個(gè)層次，但需要根據(jù)信息安全業(yè)務(wù)的需要做如下調(diào)整：

(1)決策層：主要是改組由學(xué)校領(lǐng)導(dǎo)牽頭的信息化工作領(lǐng)導(dǎo)小組，增加信息安全管理職能，建立校長(zhǎng)或政委一把手負(fù)責(zé)的信息安全管理機(jī)制，負(fù)責(zé)信息化安全管理體系的規(guī)劃、管理制度的審定及重大事項(xiàng)的決策等。

(2)管理層：依托學(xué)校信息化辦公室，作為信息安全管理工作的常設(shè)機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)，并協(xié)調(diào)學(xué)校辦公室下設(shè)的保密辦、學(xué)校教學(xué)保障處設(shè)立的技術(shù)安全檢查辦公室，負(fù)責(zé)學(xué)校信息化安全管理體系的實(shí)施、安全管理工作機(jī)制的研究制訂、信息安全輿情分析，安全管理制度的貫徹和執(zhí)行、日常安全管理的組織協(xié)調(diào)等。

(3)運(yùn)營(yíng)層：主要是依托學(xué)校網(wǎng)絡(luò)中心成立校園網(wǎng)安全運(yùn)營(yíng)中心，充實(shí)信息安全管理技術(shù)人員隊(duì)伍，向上對(duì)學(xué)校信息化領(lǐng)導(dǎo)小組負(fù)責(zé)，接受學(xué)校信息辦、保密辦和技術(shù)安全檢查辦公室(技檢辦)指導(dǎo)，向下分為三個(gè)組：安全技術(shù)組、運(yùn)行監(jiān)控組和應(yīng)急響應(yīng)組。其中安全技術(shù)組主要負(fù)責(zé)學(xué)校信息安全技術(shù)防護(hù)體系的規(guī)劃、建設(shè)和管理；運(yùn)行監(jiān)控組主要負(fù)責(zé)學(xué)校網(wǎng)絡(luò)運(yùn)行狀態(tài)、各類安全事件及信息系統(tǒng)運(yùn)行日志的監(jiān)控、分析和匯總；應(yīng)急響應(yīng)組主要負(fù)責(zé)應(yīng)急處理各類突發(fā)安全事件，并為校園網(wǎng)用戶提供網(wǎng)絡(luò)安全防護(hù)咨詢和指導(dǎo)。

(4)應(yīng)用層：為進(jìn)一步明確應(yīng)用層各院系、部門及用戶的安全責(zé)任，與各院系、部門簽訂安全責(zé)任書，同時(shí)明確各院系/班級(jí)、部門信息員的日常信息安全工作職責(zé)，使其成為信息安全工作的基礎(chǔ)支持隊(duì)伍。

3.2 技術(shù)體系

技術(shù)體系按照WPDRRI模型主要包括兩個(gè)部分，一個(gè)是實(shí)現(xiàn)校園網(wǎng)整體安全防護(hù)的技術(shù)體系，另一個(gè)是安全態(tài)勢(shì)感知平臺(tái)，形成宏觀有安全防護(hù)，微觀有安全態(tài)勢(shì)感知的安全管理工作新格局。

校園網(wǎng)整體安全防護(hù)技術(shù)體系是按照第四軍醫(yī)大學(xué)校園網(wǎng)網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)使用情況從整體將校園網(wǎng)劃分為四個(gè)層次的安全域，如圖2所示。第一層次安全域：網(wǎng)絡(luò)用戶區(qū)，主要包括辦公區(qū)、教學(xué)區(qū)、學(xué)生區(qū)和家屬區(qū)，用于網(wǎng)絡(luò)用戶接入；第二層次安全域：對(duì)外服務(wù)器區(qū)，主要部署對(duì)外公開(kāi)服務(wù)的信息系統(tǒng)；第三層次安全域：內(nèi)部服務(wù)區(qū)，主要用于部署僅對(duì)校內(nèi)用戶服務(wù)的應(yīng)用系統(tǒng)；第四層次安全域：有限服務(wù)器區(qū)，主要用于部署僅供內(nèi)網(wǎng)部分用戶訪問(wèn)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)等，訪問(wèn)具有一定的限制條件。針對(duì)不同區(qū)域，通過(guò)部署防火墻、信息審計(jì)、漏洞掃描、入侵檢測(cè)等安全設(shè)備實(shí)現(xiàn)安全防護(hù)。

圖2 第四軍醫(yī)大學(xué)校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系邏輯結(jié)構(gòu)

安全態(tài)勢(shì)感知平臺(tái)主要面向?qū)W校安全運(yùn)營(yíng)中心提供統(tǒng)一的技術(shù)支撐平臺(tái)[11]。筆者所在學(xué)校結(jié)合實(shí)際，在TOP SOC的基礎(chǔ)上研發(fā)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，具體結(jié)構(gòu)如圖3所示。利用學(xué)?，F(xiàn)有安全設(shè)備，對(duì)采集到的事件進(jìn)行關(guān)聯(lián)性分析，按時(shí)間、事件源、事件目的、事件類型等要素統(tǒng)計(jì)，基于BS7799標(biāo)準(zhǔn)的風(fēng)險(xiǎn)模型，采用定量分析方法評(píng)估安全對(duì)象、區(qū)域安全事件發(fā)生的可能性以及所造成的影響，最終實(shí)現(xiàn)形成圖形化或報(bào)表化的安全數(shù)據(jù)展示，為學(xué)校領(lǐng)導(dǎo)、IT主管、維護(hù)人員和業(yè)務(wù)部門四類用戶提供不同類型的安全態(tài)勢(shì)支持服務(wù)。同時(shí)該平臺(tái)與其他網(wǎng)絡(luò)管理系統(tǒng)提供外部接口，與上級(jí)部門系統(tǒng)對(duì)接，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)的報(bào)表生成以及定期上報(bào)，實(shí)現(xiàn)上級(jí)單位對(duì)下級(jí)單位檢查結(jié)果或處理建議的下發(fā)，并與安全管理系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)對(duì)接，為后續(xù)構(gòu)建安全防護(hù)云平臺(tái)和安全防護(hù)體系聯(lián)建聯(lián)管提供支撐。

圖3 第四軍醫(yī)大學(xué)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)

3.3 管理流程

我國(guó)《信息安全事件分類分級(jí)指南》中將信息安全事件劃分為特別重大、重大、較大和一般四個(gè)級(jí)別。在安全事件級(jí)別的基礎(chǔ)上，以WPDRRI模型中的六個(gè)環(huán)節(jié)為基礎(chǔ)，借鑒ITIL事件管理流程思想[12]，設(shè)計(jì)了學(xué)校日常和異常事件處理流程。

日常安全管理流程，利用網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，將整個(gè)IT安全運(yùn)維分為預(yù)警、報(bào)警、處理、知識(shí)儲(chǔ)備四個(gè)階段，如圖4所示。通過(guò)定期報(bào)告，使學(xué)校領(lǐng)導(dǎo)和管理人員能夠了解全校的信息安全狀態(tài)。

預(yù)警：利用安全設(shè)備監(jiān)控功能，實(shí)時(shí)獲得各類安全設(shè)備的運(yùn)行狀態(tài)，一旦發(fā)現(xiàn)安全設(shè)備的運(yùn)行狀態(tài)出現(xiàn)異常，即發(fā)出預(yù)警信息，引起值班人員的注意。

報(bào)警：通過(guò)安全事件分析功能，對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行分析，判斷出網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)及風(fēng)險(xiǎn)等級(jí)，一旦風(fēng)險(xiǎn)等級(jí)超過(guò)閾值則向值班人員及安全管理員發(fā)出報(bào)警信息。報(bào)警信息主要包括當(dāng)前的安全狀態(tài)、可能存在的安全漏洞等信息。

處理：一旦發(fā)生相應(yīng)的安全事故，則由系統(tǒng)自動(dòng)生成工單并經(jīng)由安全運(yùn)維責(zé)任人及相關(guān)領(lǐng)導(dǎo)確認(rèn)后，指派給具體執(zhí)行人員。執(zhí)行人員在接到工單后，首先查看安全運(yùn)維知識(shí)庫(kù)中是否存在相關(guān)知識(shí)，如果存在則按照知識(shí)庫(kù)中的要求進(jìn)行處理，反之則需按照相關(guān)流程進(jìn)行處理。

知識(shí)儲(chǔ)備：在執(zhí)行人員解決問(wèn)題后，將問(wèn)題描述、處理時(shí)間、解決方案等內(nèi)容存儲(chǔ)到安全運(yùn)維知識(shí)庫(kù)中進(jìn)行知識(shí)儲(chǔ)備。

定期報(bào)告：在網(wǎng)絡(luò)安全綜合管理平臺(tái)中存儲(chǔ)典型安全事故數(shù)量[13]、安全設(shè)備狀態(tài)、安全事件種類與數(shù)量等信息，定期生成安全運(yùn)維報(bào)告提交給學(xué)校領(lǐng)導(dǎo)以及相關(guān)負(fù)責(zé)人員。

圖4 高校網(wǎng)絡(luò)安全日常管理流程

異常事件處理流程可以分為三步，如圖5所示。

首先對(duì)信息安全事件進(jìn)行定級(jí)。如果學(xué)校發(fā)生異常情況或突發(fā)事件，需要及時(shí)判斷事情的重要程度和危害性，對(duì)信息安全事件進(jìn)行定級(jí)，由高校信息安全技術(shù)人員主要按照“對(duì)號(hào)入座”和“參照?qǐng)?zhí)行”兩種方式進(jìn)行。對(duì)號(hào)入座就是按照國(guó)家信息安全事件的等級(jí)劃分標(biāo)準(zhǔn)，結(jié)合高校的類型與影響力，事件發(fā)生的時(shí)間，發(fā)生信息安全事件的信息系統(tǒng)的重要程度和危害性，科學(xué)確定信息安全事件的等級(jí)。針對(duì)教育管理部門或國(guó)家安全部門已經(jīng)明確的信息安全事件或同類高校已經(jīng)明確定級(jí)的安全事件，可以在定級(jí)時(shí)參照?qǐng)?zhí)行。

圖5 高校網(wǎng)絡(luò)安全異常事件處理流程

然后結(jié)合級(jí)別啟動(dòng)相應(yīng)級(jí)別的響應(yīng)，一級(jí)響應(yīng)，即發(fā)生了特別重大故障或事故，造成特別嚴(yán)重的危害，直接影響教育教學(xué)工作正常進(jìn)行或?qū)е铝藧毫拥纳鐣?huì)影響。一級(jí)響應(yīng)為最高級(jí)別的響應(yīng)，需要調(diào)度服務(wù)臺(tái)根據(jù)事故發(fā)生情況，首先斷網(wǎng)，然后立即保護(hù)現(xiàn)場(chǎng)，并通知S安全運(yùn)營(yíng)中心負(fù)責(zé)人并報(bào)告領(lǐng)導(dǎo)，成立事故應(yīng)急小組協(xié)調(diào)處理，并及時(shí)上報(bào)上級(jí)主管部門，協(xié)調(diào)公安、網(wǎng)絡(luò)信息安全等部門協(xié)助處理。二級(jí)響應(yīng)，即發(fā)生了嚴(yán)重的故障和事故，在一定范圍內(nèi)造成了嚴(yán)重危害，影響正常教育教學(xué)工作，有不良的社會(huì)影響。啟動(dòng)二級(jí)響應(yīng)時(shí)立即關(guān)停故障服務(wù)器，并通知相關(guān)負(fù)責(zé)人和運(yùn)行組負(fù)責(zé)人協(xié)調(diào)處理。三級(jí)響應(yīng)，發(fā)生了較大的信息安全事故，影響了部分系統(tǒng)或部分單位的日常工作，有一定的社會(huì)影響。啟動(dòng)三級(jí)響應(yīng)時(shí)立即停止發(fā)生故障的信息系統(tǒng)，并發(fā)布警示公告，由相關(guān)責(zé)任人進(jìn)行處理。四級(jí)響應(yīng)，即發(fā)生了一般性或常見(jiàn)性信息安全問(wèn)題，無(wú)不良影響，可以自行處理。需要立即啟動(dòng)四級(jí)響應(yīng)，由調(diào)度服務(wù)臺(tái)及時(shí)協(xié)調(diào)值班人員自行處理，或者轉(zhuǎn)入日常信息安全事件處理流程，判斷故障的難易程度，考慮是否通知相關(guān)責(zé)任人。

最后是總結(jié)上報(bào)，四種級(jí)別的信息安全事件響應(yīng)方式均需將故障處理情況總結(jié)備案，如果是一級(jí)事件，則需要上報(bào)學(xué)校主管部門。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全管理工作是一項(xiàng)長(zhǎng)期艱巨的任務(wù)，筆者在WPDRRI模型的指導(dǎo)下，結(jié)合第四軍醫(yī)大學(xué)實(shí)際情況初步構(gòu)建了校園網(wǎng)安全運(yùn)營(yíng)中心，明確了安全事件處理的人、技術(shù)和具體流程，基本實(shí)現(xiàn)了安全防護(hù)有體系、安全管理有手段、事件處理有流程，初步做到了校園網(wǎng)安全一體化管理[14]，但是未來(lái)，高校安全運(yùn)營(yíng)中心還需要在規(guī)范制度的完善和落實(shí)與管理經(jīng)驗(yàn)的匯總和抽象方面進(jìn)行進(jìn)一步的探索實(shí)踐。

[1] 王丹琛，徐 揚(yáng)，李 斌，等.基于業(yè)務(wù)效能的信息系統(tǒng)安全態(tài)勢(shì)指標(biāo)[J].清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2016，56(6)：517-521.

[2] 趙 彬，王亞弟，徐 寧，等.網(wǎng)絡(luò)安全運(yùn)營(yíng)中心關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(9):2117-2120.

[3] 王 曦.“互聯(lián)網(wǎng)+智慧校園”的立體架構(gòu)及應(yīng)用研究[J].中國(guó)電化教育,2016(10):107-111.

[4] MODI C,PATEL D, Borisaniya B,et al.A survey on security issues and solutions at different layers of cloud computing[J].Journal of Supercomputing,2013,63(2):561-592.

[5] RASS S.On game-theoretic network security provisioning[J].Journal of Network and Systems Management,2013,21(1):47-64.

[6] 鐘慶洪，郭玉翠，蔣卓鍵，等.網(wǎng)絡(luò)信息安全影響要素研究及定量分析[J].計(jì)算機(jī)技術(shù)與發(fā)展，2014，24(2):172-175.

[7] 蔣建軍.數(shù)字校園網(wǎng)絡(luò)立體化安全防護(hù)的研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015，25(9):159-163.

[8] 楊春暉,嚴(yán)承華.網(wǎng)絡(luò)安全模型相關(guān)技術(shù)研究[J].信息技術(shù)，2015，39(4)：75-79.

[9] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年中國(guó)互聯(lián)網(wǎng)安全形勢(shì)報(bào)告[R].北京：人民郵電出版社，2015.

[10] MILOSLAVSKAYA N，TOLSTOY A，ZAPECHNIKOV S.Taxonomy for unsecure big data processing in security operations centers[C]//International conference on future internet of things & cloud workshops.[s.l.]:[s.n.],2016:154-159.

[11] 肖國(guó)煜.企業(yè)信息系統(tǒng)安全管理中心建設(shè)實(shí)踐[J].信息安全與技術(shù),2016,7(6):36-39.

[12] TAYLOR S,CANNON D,WHEELDON D.ITIL version 3 service operation[M].London:OGC,2011.

[13] 馮貴蘭,楊慧娟.高校網(wǎng)絡(luò)與信息安全保障體系構(gòu)建研究[J].信息系統(tǒng)工程,2016(6):75.

[14] 許 浩，許衛(wèi)中，高東懷，等.異構(gòu)網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理平臺(tái)研究與構(gòu)建[J].科學(xué)技術(shù)與工程，2012,20(1)：203-206.