文/王左利 鄭先偉

網(wǎng)絡安全“預”則立

文/王左利 鄭先偉

網(wǎng)絡安全應急響應專題

應急響應有三個階段

應急響應是網(wǎng)絡安全工作中最重要的環(huán)節(jié)，因為安全不是一個靜止的“狀態(tài)”，而是一個動態(tài)的過程，應急響應就是為了應對這個動態(tài)的過程而做的一系列動作和措施。

《國家網(wǎng)絡安全事件應急預案》中，將網(wǎng)絡安全事件定義為“由于人為原因、軟硬件缺陷或故障、自然災害等，對網(wǎng)絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他事件”。而應急響應工作就是針對網(wǎng)絡安全事件進行應急處置，保證相關業(yè)務的連續(xù)性和可用性，同時將攻擊帶來的破壞程度降到最低。高校應急響應工作的主要目的是在政策背景下，盡可能迅速地將網(wǎng)絡信息安全事件造成的損害和影響控制在最小范圍。

建立一支有行動力的網(wǎng)絡安全應急響應組是當前高校網(wǎng)絡安全工作的一項基礎需求。應急響應組的人數(shù)和編制沒有硬性規(guī)定，可以根據(jù)高校業(yè)務需求的實際情況來確定參與應急響應組的成員。但通常情況下，必須保證有一名校級主要領導及各關鍵業(yè)務部門的領導參與其中，以保證決策在需要的時候能夠快速有效地向下執(zhí)行。同時應急響應組中也必須包含相應的技術人員，如果條件允許建議安排專職人員。

通常一個完善的應急響應流程包含如下三個階段：

1.事前準備階段——主要是評估風險、制定策略、擬定應急預案、演習并培訓。降低安全事件發(fā)生的可能。

2.事中應急處置階段——通過各種途徑（安全監(jiān)測、信息共享、第三方通報等）獲知安全事件，并依照制定的預案對事件進行處理，降低事件帶來的風險并盡快恢復正常業(yè)務。

3.事后總結階段——總結經(jīng)驗，調整安全策略，并對策略進行驗證，以防止安全事件再次發(fā)生。持續(xù)監(jiān)測評估攻擊事件帶來的后續(xù)風險。

技術與管理雙管齊下

高校在制定和實施網(wǎng)絡信息安全應急處置的過程中，一方面需要明確應急處置的職責分工、制度流程、人員響應等要求，另一方面也需要結合學校實際網(wǎng)絡和信息服務現(xiàn)狀提供有效的應急處置技術手段。

本專題，我們將圍繞應急響應技術、應急預案、機制等展開探討。

在技術方面，東南大學的團隊嘗試將SDN技術應用到網(wǎng)絡安全事件的自動響應中。SDN作為通用技術，可以通過流表和應用層邏輯實現(xiàn)細粒度的策略控制，即使是同一個目標地址的流量，也可以根據(jù)安全的需求，實施不同的流量控制策略。

東北大學采用了黑洞路由技術，這是一個簡單而快速的應急手段，通過簡單配置及部署后，普通值班人員也可以通過簡單的Web入口將受影響的IP地址加入黑洞路由中。

在高校應急響應預案方面，我們提供了一個具體案例。高校制定網(wǎng)絡信息安全應急預案的前提，就是要建立學校網(wǎng)絡信息安全的責權制度，明確網(wǎng)絡信息安全工作的責任方、管理方、技術支持方的責權邊界。

應急響應的事前、事中、事后如何處理，我們從華南師范大學的Web安全應急響應規(guī)章中可得到啟發(fā)。

還有一個問題——應急響應服務能否外包？外包能帶來什么？這是一個被廣泛關注的問題。這里，大連理工大學給出了他們的實踐。他們采用了應急響應服務外包，這種選擇帶來了收益?！疤貏e是重大活動保障中，第三方安全廠商發(fā)揮了重要作用，從年度保障計劃、每次重大活動保障方案的制定，到重點信息系統(tǒng)的檢測與監(jiān)控，再到重大活動期間的值守，以及最后的保障總結都包含在重大活動信息安全保障服務合同中。”大連理工大學相關人員表示。

當然，應急響應機制僅僅是高校整體安全策略中的一環(huán)。在《網(wǎng)絡安全法》已經(jīng)正式實施的今天，高校更需要一個頂層設計的安全保障體系，一個環(huán)環(huán)相扣的整體安全策略，一套行之有效的安全實施方案。為此，政府的監(jiān)管、學校的重視和企業(yè)的協(xié)同都很重要。

近期，賽爾網(wǎng)絡攜手國內(nèi)優(yōu)秀安全廠商，為高校用戶提供一流的網(wǎng)絡安全服務，涵蓋事前、事中和事后的全程需求，如Web實時防護（網(wǎng)盾）、Web安全監(jiān)測、Web安全評估、Web安全管家、Web應急響應和Web網(wǎng)頁防篡改等產(chǎn)品和服務。

（責編：王左利）