文/李先毅

大連理工大學(xué)探索應(yīng)急響應(yīng)服務(wù)外包之路

文/李先毅

應(yīng)急預(yù)案要注重預(yù)警機(jī)制

高校網(wǎng)絡(luò)信息安全建設(shè)和管理中，應(yīng)急響應(yīng)處置是非常重要的環(huán)節(jié)，特別是在目前高校網(wǎng)絡(luò)安全人員普遍匱乏、技術(shù)水平不高的背景下，抓好應(yīng)急響應(yīng)工作就顯得更為至關(guān)重要。大連理工大學(xué)網(wǎng)絡(luò)信息安全應(yīng)急機(jī)制的建設(shè)也是在同樣的背景和大環(huán)境下進(jìn)行的，由于人員不足、設(shè)備短缺，在短期內(nèi)無法建成完善的校內(nèi)網(wǎng)絡(luò)信息安全技術(shù)體系和管理機(jī)制，這就難免出現(xiàn)病毒、網(wǎng)絡(luò)攻擊等各類網(wǎng)絡(luò)安全事件，對于這些安全事件的應(yīng)急響應(yīng)和處置就成為了保障校內(nèi)網(wǎng)絡(luò)安全、降低安全事件影響的關(guān)鍵。

大連理工大學(xué)經(jīng)過多年的探索，初步建立了比較適合本校實(shí)際情況的網(wǎng)絡(luò)信息安全應(yīng)急機(jī)制，主要包括管理制度建設(shè)、隊(duì)伍建設(shè)、預(yù)警機(jī)制、重大活動保障機(jī)制、應(yīng)急響應(yīng)處置、以及第三方的應(yīng)急安全服務(wù)外包。

首先是制度建設(shè)和組織機(jī)構(gòu)、隊(duì)伍建設(shè)，這也是規(guī)范的應(yīng)急機(jī)制建設(shè)的基礎(chǔ)。早期，校內(nèi)的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)沒有明確的制度和組織隊(duì)伍的保障，造成責(zé)任不明、部門間協(xié)調(diào)困難、響應(yīng)不及時等問題，因此近年學(xué)校加強(qiáng)了制度方面的建設(shè)，出臺了一系列管理辦法和規(guī)范文檔（見表1），為網(wǎng)絡(luò)安全應(yīng)急機(jī)制提供了制度保障。

同時相關(guān)制度中也對組織機(jī)構(gòu)進(jìn)行了定義，相互關(guān)系見圖1 。學(xué)校網(wǎng)絡(luò)與信息安全工作組是網(wǎng)絡(luò)信息安全應(yīng)急工作的領(lǐng)導(dǎo)機(jī)構(gòu)，必要時需向?qū)W校網(wǎng)絡(luò)安全與信息化建設(shè)委員會匯報(bào)。網(wǎng)絡(luò)與信息化中心（以下簡稱網(wǎng)信中心）是執(zhí)行機(jī)構(gòu)，具體負(fù)責(zé)各類網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的組織與技術(shù)支持，黨委宣傳部負(fù)責(zé)應(yīng)急響應(yīng)中輿情分析及監(jiān)控，黨委保衛(wèi)處負(fù)責(zé)與公安部門的溝通聯(lián)系。各單位是本單位主管信息系統(tǒng)的主要安全責(zé)任單位，負(fù)責(zé)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)中相關(guān)信息系統(tǒng)的修復(fù)、整改等。為了提高應(yīng)急響應(yīng)的專業(yè)水平，學(xué)校還采購了第三方專業(yè)安全公司的網(wǎng)絡(luò)安全外包服務(wù)，主要參與安全預(yù)警、重大活動保障和網(wǎng)絡(luò)安全事件的應(yīng)急處置。網(wǎng)信中心還組建了學(xué)生信息安全技術(shù)團(tuán)隊(duì)，主要參與安全預(yù)警、校內(nèi)安全檢測等工作。

通常認(rèn)為，應(yīng)急響應(yīng)處置是應(yīng)急機(jī)制核心，但僅僅靠應(yīng)急響應(yīng)處置來處理網(wǎng)絡(luò)安全事件，就顯得過于被動，往往造成疲于應(yīng)對的局面。在《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》中也提出“早發(fā)現(xiàn)、早預(yù)警、早響應(yīng)”的基本原則，把主動檢測和及時預(yù)警作為應(yīng)急預(yù)案的必要環(huán)節(jié)。因此建立預(yù)警機(jī)制，特別是建立重大活動保障機(jī)制，可以主動消除或降低多數(shù)安全風(fēng)險(xiǎn)，降低應(yīng)急響應(yīng)頻率、難度，也能減輕應(yīng)急工作壓力。近年學(xué)校也開始探索建立預(yù)警機(jī)制和重大活動保障機(jī)制，除了增加相應(yīng)的安全設(shè)備、加強(qiáng)校內(nèi)的技術(shù)力量，外包的安全服務(wù)也起到非常重要的作用。特別是重大活動保障中，第三方安全廠商發(fā)揮了重要作用，從年度保障計(jì)劃、每次重大活動保障方案的制定，到重點(diǎn)信息系統(tǒng)的檢測與監(jiān)控，再到重大活動期間的值守，以及最后的保障總結(jié)都包含在重大活動信息安全保障服務(wù)合同中。表2列出了重大活動信息安全保障外包服務(wù)的部分工作內(nèi)容，第三方廠商將按此提供專業(yè)化服務(wù)，學(xué)校也會按此進(jìn)行驗(yàn)收。在預(yù)警機(jī)制中，安全廠商也成為重要的信息來源，特別是對于各類通用型漏洞、0day漏洞等，安全廠商憑借其龐大的專業(yè)隊(duì)伍及廣泛的安全信息搜集渠道，能夠較早地發(fā)現(xiàn)此類安全問題，及時發(fā)出安全預(yù)警，并提供專業(yè)的應(yīng)急處理建議。安全廠商已經(jīng)與安全漏洞平臺、安全組織、高校網(wǎng)絡(luò)信息安全工作組共同構(gòu)成了學(xué)校網(wǎng)絡(luò)安全預(yù)警信息的主要來源，結(jié)合對校內(nèi)相關(guān)安全情況的檢測，可以更準(zhǔn)確、及時地對安全威脅作出評估，并發(fā)布相關(guān)預(yù)警信息。

表1 大連理工大學(xué)網(wǎng)絡(luò)信息安全應(yīng)急機(jī)制相關(guān)制度文檔

圖1 校內(nèi)網(wǎng)絡(luò)安全應(yīng)急組織機(jī)構(gòu)及團(tuán)隊(duì)建設(shè)

制定分級處置辦法

應(yīng)急響應(yīng)處置發(fā)展的時間較長，處置方案及流程相對比較成熟，大連理工大學(xué)同樣是采取傳統(tǒng)的分級處置方法，主要是在學(xué)校范疇內(nèi)考慮信息系統(tǒng)的重要程度、損失情況以及對學(xué)校工作和社會造成的影響范圍，根據(jù)《信息安全事件分類分級指南》以及《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，將校內(nèi)網(wǎng)絡(luò)安全事件分為Ⅰ級（特別重大）、Ⅱ級（重大）、Ⅲ級（較大）和Ⅳ級（一般）四級。其中Ⅳ級（一般）事件由校內(nèi)各單位自行處理，處理完成后報(bào)網(wǎng)信中心備案；Ⅱ級（重大）、Ⅲ級（較大）事件由網(wǎng)信中心組織、信息系統(tǒng)主管部門負(fù)責(zé)進(jìn)行修復(fù)整改，經(jīng)網(wǎng)信中心技術(shù)審核確認(rèn)后完成事件處理并備案；Ⅰ級（特別重大）事件則有學(xué)校網(wǎng)絡(luò)與信息安全工作組統(tǒng)一指揮，組織網(wǎng)信中心、校內(nèi)各相關(guān)部門及安全服務(wù)外包廠商共同應(yīng)對，必要時需上報(bào)學(xué)校網(wǎng)絡(luò)安全與信息化建設(shè)管理委員會決策，完成修復(fù)整改后由網(wǎng)信中心技術(shù)審核，然后備案。對于Ⅰ級（特別重大）事件需由安全服務(wù)外包廠商協(xié)助處理，主要工作集中在問題確認(rèn)、取證溯源、系統(tǒng)修復(fù)及責(zé)任認(rèn)定等方面，需要安全廠商提供專業(yè)的檢測分析及安全修復(fù)服務(wù)，還要通過其專業(yè)資質(zhì)提供有法律效力的權(quán)威技術(shù)報(bào)告。在其他級別的安全事件處置中，如校方技術(shù)力量不足，不能徹底解決問題 ，也會有安全廠商提供相關(guān)的應(yīng)急處置服務(wù)。

表2 重大活動信息安全保障外包服務(wù)部分工作內(nèi)容

綜上，在目前的網(wǎng)絡(luò)安全形勢下，對于高校網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的要求越來越高，除了不斷提升高校自身的應(yīng)急響應(yīng)能力和技術(shù)水平外，適當(dāng)引入專業(yè)安全廠商做安全服務(wù)外包，提供了一種較快速的解決方案。學(xué)校采購安全外包服務(wù)時間不長，但對于應(yīng)急機(jī)制的改進(jìn)已經(jīng)比較明顯，初步形成了較規(guī)范的重大活動信息安全保障機(jī)制，對安全事件的應(yīng)急處置提供了有力支撐，豐富了預(yù)警信息的獲取渠道并保障了準(zhǔn)確性和穩(wěn)定性。在信息安全外包服務(wù)廠商的協(xié)助下，2017年上半年大連理工大學(xué)順利完成“達(dá)沃斯會議”、高考等4次重大活動的網(wǎng)絡(luò)信息安全保障工作，應(yīng)急處理2起安全事件，協(xié)助發(fā)現(xiàn)超過10例信息系統(tǒng)安全漏洞，在wannacry、“永恒之石”、“暗云”等勒索病毒大規(guī)模爆發(fā)時都及時發(fā)出了安全預(yù)警。但由于學(xué)校初次采購安全外包服務(wù)，安全廠商也是首次面向高校服務(wù)，所以雙方都有很大改進(jìn)提升空間。比如在保障方案的制定、安全事件的應(yīng)急處置還可以進(jìn)一步細(xì)化工作，明確雙方各自的任務(wù)和職責(zé)，提高協(xié)同的效率，這也需要相應(yīng)提高學(xué)校的資金投入和廠商的人力投入。另外，學(xué)校目前的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制在預(yù)案演練、人員培訓(xùn)等方面還是存在較大不足，未來考慮將進(jìn)一步將安全服務(wù)外包引入相關(guān)領(lǐng)域，盡快補(bǔ)齊短板，全面提升學(xué)校的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)水平。

（責(zé)編：王左利）

（作者單位為大連理工大學(xué)網(wǎng)絡(luò)與信息化中心）