高校網(wǎng)絡(luò)安全應(yīng)急演練模式探究

◆卞云波

高校網(wǎng)絡(luò)安全應(yīng)急演練模式探究

◆卞云波

（江蘇省電化教育館江蘇省教育信息化中心 江蘇 210013）

開(kāi)展應(yīng)急演練工作，完善高校網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系，根據(jù)高校目前的防御措施盡可能提高網(wǎng)絡(luò)安全突發(fā)事件的處置能力并降低其帶來(lái)的負(fù)面影響，是當(dāng)前高校網(wǎng)絡(luò)安全工作面臨的主要問(wèn)題之一。本文主要介紹了網(wǎng)絡(luò)安全應(yīng)急演練的流程和組織架構(gòu)，并模擬黑客攻擊服務(wù)器的場(chǎng)景來(lái)檢驗(yàn)應(yīng)急預(yù)案的有效性。

應(yīng)急演練；應(yīng)急預(yù)案；網(wǎng)絡(luò)安全；應(yīng)急響應(yīng)

0 引言

2016年4月19日，習(xí)近平總書(shū)記提出推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)，建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)是實(shí)現(xiàn)“兩個(gè)一百年”奮斗目標(biāo)的內(nèi)在要求。

全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于2016年11月7日發(fā)布，自2017年6月1日起施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。其中第五十五條提到：“發(fā)生網(wǎng)絡(luò)安全事件，應(yīng)當(dāng)立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和評(píng)估，要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取技術(shù)措施和其他必要措施，消除安全隱患，防止危害擴(kuò)大，并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息”。

《信息安全等級(jí)保護(hù)管理辦法》、《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)﹝2003﹞27號(hào)文）等相關(guān)文件都對(duì)應(yīng)急預(yù)案和應(yīng)急處置提出明確要求。

在新的時(shí)代背景下，網(wǎng)絡(luò)安全應(yīng)急工作受到前所未有的重視。隨著高校信息化建設(shè)的迅速發(fā)展，網(wǎng)絡(luò)安全和高校學(xué)習(xí)環(huán)境及老師學(xué)生的生活環(huán)境息息相關(guān)。結(jié)合高校網(wǎng)絡(luò)安全建設(shè)的特點(diǎn)，本文主要介紹了高校網(wǎng)絡(luò)安全應(yīng)急演練的總體目標(biāo)、演練要求、組織架構(gòu)、應(yīng)急演練計(jì)劃等，并模擬黑客攻擊服務(wù)器的場(chǎng)景來(lái)檢驗(yàn)應(yīng)急預(yù)案的有效性[1][2]，旨在高校就目前的防御建設(shè)下協(xié)同各方資源將校內(nèi)突發(fā)的網(wǎng)絡(luò)安全事件降到最低。

1 應(yīng)急演練總體目標(biāo)

應(yīng)急演練的總體目標(biāo)是要建立健全高校網(wǎng)絡(luò)安全運(yùn)行應(yīng)急響應(yīng)工作機(jī)制，達(dá)到檢驗(yàn)網(wǎng)絡(luò)安全綜合應(yīng)急預(yù)案有效性的目的，驗(yàn)證在遇到網(wǎng)絡(luò)安全突發(fā)事件時(shí)相關(guān)組織和人員的應(yīng)急指揮能力和應(yīng)急處置能力，保證在應(yīng)急處置工作中各項(xiàng)應(yīng)急指揮調(diào)度工作快速、高效、有序地進(jìn)行，能夠滿足在有網(wǎng)絡(luò)安全突發(fā)事件的情況下高校整體網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行保障及故障恢復(fù)的需要，同時(shí)保證信息系統(tǒng)安全暢通。網(wǎng)絡(luò)安全應(yīng)急演練工作，能夠不斷提升學(xué)校部門(mén)之間、學(xué)院之間、師生之間開(kāi)展應(yīng)急工作的水平和效率，及時(shí)發(fā)現(xiàn)應(yīng)急響應(yīng)預(yù)案的不足，針對(duì)實(shí)際應(yīng)急演練效果進(jìn)一步完善應(yīng)急預(yù)案，遵循PDCA原則[3]。

2 網(wǎng)絡(luò)安全應(yīng)急演練要求

2.1 組建應(yīng)急演練團(tuán)隊(duì)

配備專職人員負(fù)責(zé)應(yīng)急演練工作，組建應(yīng)急演練通訊、指揮體系，制定應(yīng)急響應(yīng)流程和應(yīng)急恢復(fù)策略。

2.2 制定詳細(xì)的演練方案

演練方案主要有明確演練目標(biāo)、參加演練的信息系統(tǒng)。涉及的形式包括桌面推演及實(shí)戰(zhàn)演練、演練層次和涉及范圍，預(yù)先設(shè)定災(zāi)難情況、設(shè)定演練流程、具體操作內(nèi)容、業(yè)務(wù)驗(yàn)證測(cè)試、準(zhǔn)備應(yīng)急資源、明確職責(zé)分工、預(yù)想1進(jìn)度安排、演練的風(fēng)險(xiǎn)及其應(yīng)對(duì)措施。

2.3 應(yīng)急演練準(zhǔn)備工作

演練前對(duì)參加演練的相關(guān)人員進(jìn)行必要的培訓(xùn)，確保組織、人員、資源、宣傳到位。應(yīng)急演練時(shí)機(jī)要恰當(dāng)，盡量減少對(duì)正常校內(nèi)教學(xué)和生活造成影響。演練完成后，應(yīng)確保實(shí)施應(yīng)急演練所需要的各項(xiàng)資源得以恢復(fù)。演練過(guò)程中要做好事前和事后對(duì)內(nèi)、對(duì)外的聯(lián)系和通知工作。

2.4 風(fēng)險(xiǎn)管理工作

成立風(fēng)險(xiǎn)管理小組，由風(fēng)險(xiǎn)管理小組負(fù)責(zé)評(píng)估應(yīng)急演練本身可能帶來(lái)的風(fēng)險(xiǎn)，演練前做好備份工作制定完善的保障措施和應(yīng)急回退方案；應(yīng)急預(yù)案內(nèi)容要結(jié)合學(xué)校實(shí)際情況，應(yīng)急演練前要認(rèn)真審核應(yīng)急預(yù)案；加強(qiáng)對(duì)演練工作的風(fēng)險(xiǎn)管理，在參照應(yīng)急預(yù)案的基礎(chǔ)上謹(jǐn)慎開(kāi)展應(yīng)急演練工作，嚴(yán)格控制應(yīng)急演練引起的信息系統(tǒng)變更風(fēng)險(xiǎn)，避免因應(yīng)急演練導(dǎo)致正常服務(wù)中斷；記錄應(yīng)急演練工作全過(guò)程和發(fā)現(xiàn)的問(wèn)題，加強(qiáng)風(fēng)險(xiǎn)監(jiān)控及管理，發(fā)現(xiàn)問(wèn)題時(shí)，及時(shí)實(shí)施應(yīng)急回退方案。

2.5 評(píng)估應(yīng)急演練效果

在應(yīng)急演練完成后對(duì)演練的組織、過(guò)程、效果進(jìn)行評(píng)估，編寫(xiě)應(yīng)急演練總結(jié)報(bào)告。

2.6 優(yōu)化應(yīng)急預(yù)案

根據(jù)應(yīng)急演練的效果及時(shí)更新應(yīng)急預(yù)案，并在后續(xù)演練不斷優(yōu)化應(yīng)急預(yù)案，特別是要加強(qiáng)驗(yàn)證應(yīng)急預(yù)案更新部分的有效性。

2.7 應(yīng)急演練宣傳

加強(qiáng)對(duì)應(yīng)急演練的宣傳活動(dòng)的投入，使學(xué)校各級(jí)各類人員了解網(wǎng)絡(luò)安全突發(fā)事件可能產(chǎn)生的后果及應(yīng)急演練工作的重要性，熟悉各項(xiàng)應(yīng)急預(yù)案內(nèi)容、程序，應(yīng)急方案流程、應(yīng)急設(shè)備的操作方法等。

3 應(yīng)急演練組織架構(gòu)

應(yīng)急演練實(shí)施過(guò)程中需要成立三類組織，分別是學(xué)校網(wǎng)絡(luò)安全應(yīng)急演練領(lǐng)導(dǎo)組、輿情監(jiān)測(cè)報(bào)告組和應(yīng)急處理工作組。

學(xué)校網(wǎng)絡(luò)安全應(yīng)急演練領(lǐng)導(dǎo)組，主要工作職責(zé)是對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源(人財(cái)物)等；負(fù)責(zé)制定、審查演練工作方案，對(duì)緊急情況下發(fā)生的意外情況進(jìn)行處置，協(xié)調(diào)學(xué)校內(nèi)外的協(xié)調(diào)、聯(lián)系工作；啟動(dòng)定期評(píng)審、修訂應(yīng)急響應(yīng)計(jì)劃；切實(shí)做好組織管理、宣傳教育、應(yīng)急處置工作，確保演練活動(dòng)取得實(shí)效。一般由分管副校長(zhǎng)擔(dān)任應(yīng)急演練領(lǐng)導(dǎo)組組長(zhǎng)，由信息中心主任、宣傳部部長(zhǎng)、保衛(wèi)處長(zhǎng)、校黨政辦主任等擔(dān)任副組長(zhǎng)，各二級(jí)學(xué)院總支書(shū)記與職能負(fù)責(zé)人（負(fù)責(zé)本單位網(wǎng)站及應(yīng)用系統(tǒng)安全管理）為領(lǐng)導(dǎo)組成員。

輿情監(jiān)測(cè)報(bào)告組，主要負(fù)責(zé)輿情監(jiān)測(cè)工作，成員為由全校二級(jí)各部門(mén)的信息安全員。

應(yīng)急處理工作組，主要負(fù)責(zé)演練實(shí)施過(guò)程中的技術(shù)保障和處置工作。主要由信息中心（診斷網(wǎng)絡(luò)事故性質(zhì)，采取應(yīng)對(duì)技術(shù)處理措施）、宣傳部（輿情事件處理)和應(yīng)急保障小組（應(yīng)急保障技術(shù)支持）成員組成。

圖1 高校網(wǎng)絡(luò)安全應(yīng)急演練組織架構(gòu)圖

4 應(yīng)急演練計(jì)劃

4.1 應(yīng)急演練基本流程

高校應(yīng)急演練從準(zhǔn)備工作開(kāi)始，對(duì)事件進(jìn)行識(shí)別判斷，采取有效措施解決問(wèn)題，從而縮小或消除事件的影響范圍?；玖鞒虉D如圖2所示。

圖2 應(yīng)急演練基本流程圖

4.2 應(yīng)急演練整體流程

一般高校應(yīng)急演練工作，由攻擊者、學(xué)校和第三方安全團(tuán)隊(duì)三方角色共同完成。

首先攻擊者角色采集數(shù)據(jù)挖掘漏洞，發(fā)起攻擊對(duì)學(xué)校造成威脅；其次學(xué)校主動(dòng)發(fā)現(xiàn)或者被動(dòng)通報(bào)相關(guān)威脅，由信息中心聯(lián)絡(luò)人員逐級(jí)向信息中心主任匯報(bào)相關(guān)信息的同時(shí)，斷開(kāi)物理連接并排查原因，有必要時(shí)請(qǐng)求第三方安全服務(wù)團(tuán)隊(duì)參與遠(yuǎn)程或現(xiàn)場(chǎng)技術(shù)排查取證，根據(jù)調(diào)查結(jié)果由學(xué)校宣傳部門(mén)對(duì)外發(fā)布相關(guān)信息，并匯報(bào)上級(jí)。如圖3所示。

圖3 應(yīng)急演練整體流程圖

5 黑客攻擊服務(wù)器場(chǎng)景應(yīng)急演練過(guò)程

為了檢驗(yàn)應(yīng)急預(yù)案的有效性，可以模擬黑客攻擊服務(wù)器場(chǎng)景實(shí)施一場(chǎng)應(yīng)急演練。具體模擬方案如下：

5.1 時(shí)間安排和要求

2019年3月某一天，要求事件發(fā)生（發(fā)現(xiàn)）到事件緊急響應(yīng)消除事件影響，全過(guò)程必須在3分鐘內(nèi)完成?；謴?fù)網(wǎng)站（或系統(tǒng)）正常運(yùn)行。網(wǎng)絡(luò)輿情應(yīng)急響應(yīng)處理通報(bào)。

5.2 演練步驟

（1）模擬黑客攻擊階段

攻擊團(tuán)隊(duì)模擬黑客進(jìn)行搜集數(shù)據(jù)尋找網(wǎng)站站點(diǎn)（或應(yīng)用系統(tǒng)）進(jìn)行滲透入侵，成功進(jìn)入管理員管理后臺(tái)修改圖片，同時(shí)圖片篡改成功頁(yè)面切到演示大屏。

（2）信息通報(bào)階段

學(xué)校老師發(fā)現(xiàn)圖片篡改事件，并把相關(guān)截圖同時(shí)通知到事件發(fā)生的職能部門(mén)負(fù)責(zé)人、宣傳部負(fù)責(zé)人。

（3）應(yīng)急事件反映階段

第一步：信息中心負(fù)責(zé)人和宣傳部負(fù)責(zé)人同步事件狀態(tài)。

第二步：快速、有序啟動(dòng)應(yīng)急預(yù)案，采取應(yīng)急處置程序。由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動(dòng)令。應(yīng)急響應(yīng)啟動(dòng)后應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組要對(duì)人力、財(cái)力、物力到位情況實(shí)施檢查與督察，并記錄實(shí)際發(fā)生情況。

第三步：宣傳部協(xié)同進(jìn)行輿情處理。

（4）應(yīng)急響應(yīng)處置階段

判斷應(yīng)急事件來(lái)源與性質(zhì)，切斷入侵路徑，追蹤溯源，恢復(fù)網(wǎng)站內(nèi)外網(wǎng)正常訪問(wèn)并匯報(bào)處置結(jié)果。

（5）事后跟蹤階段

關(guān)注系統(tǒng)恢復(fù)后以后的安全情況，防止重復(fù)發(fā)生。建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果。

（6）應(yīng)急演練總結(jié)階段

分析和總結(jié)事件發(fā)生原因，評(píng)估事件導(dǎo)致的損失，分析和總結(jié)應(yīng)急處置記錄，對(duì)應(yīng)急響應(yīng)進(jìn)行評(píng)分。

6 結(jié)論

應(yīng)急演練工作是完善學(xué)校網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的重要環(huán)節(jié)。應(yīng)急演練之前要做好相關(guān)的應(yīng)急演練準(zhǔn)備，明確應(yīng)急演練組織架構(gòu)、落實(shí)應(yīng)急小組職責(zé)；制定應(yīng)急演練計(jì)劃，以及貼合實(shí)際的應(yīng)急演練流程；在應(yīng)急預(yù)案的基礎(chǔ)上嚴(yán)格實(shí)施，確保演練過(guò)程順暢，同時(shí)做好相關(guān)的備份工作。

應(yīng)急演練工作是高校網(wǎng)絡(luò)安全建設(shè)過(guò)程中需要長(zhǎng)期堅(jiān)持、持續(xù)優(yōu)化的工作，在每次應(yīng)急演練過(guò)程中做好相關(guān)操作及記錄，事后做好應(yīng)急演練工作總結(jié)，評(píng)估每一階段的實(shí)施效果，不斷優(yōu)化應(yīng)急預(yù)案和應(yīng)急演練流程。

[1]趙林，郭啟全，任衛(wèi)紅等.信息安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)應(yīng)用案例[J].中國(guó)信息安全，2012(4)：73-77.

[2]趙明，阮繼鋒，張杰.應(yīng)急預(yù)案編制和實(shí)施過(guò)程中存在的突出問(wèn)題及對(duì)策[C]//中國(guó)職業(yè)安全健康協(xié)會(huì)2009年學(xué)術(shù)年會(huì)論文集. 2009.

[3]江西省通信管理局組織開(kāi)展互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急演練[J].江西通信科技，2008(3)：5-5.