對提高企業信息安全應急響應能力的探討

盧瑋瑋

（中國石化股份江漢油田分公司清河采油廠，山東 壽光262714）

引 言

信息安全應急響應是指為應對各種意外和突發網絡信息安全事件所做的應急準備和事后所采取的措施，其目的是避免、降低和控制事件對信息安全造成的影響和損失，并盡快恢復正常業務。信息面臨的安全隱患主要包括網絡攻擊和病毒侵襲、非法外聯和違規使用、系統故障及漏洞、非人力因素等。基于信息安全對企業的生產、管理等方面的重要影響。

目前，清河采油廠雖然已在內控和HSE等方面制訂了一系列相應的管理制度，但是還需要進一步加強和完善應對隨時可能出現的信息安全事故應急響應機制。本文就如何進一步加強和完善清河采油廠信息安全應急響應機制作相應探討。

1 網絡信息安全隱患分析

1.1 網絡攻擊與病毒侵襲

在局域網內客戶端擁有很高的權限，能夠文件互傳、文件共享，容易遭受黑客惡意攻擊。黑客惡意攻擊行為包括：惡意占用和消耗網絡資源、非法控制主機、對數據進行破壞、篡改和竊取行為。

常見的網絡攻擊方法有三大類：欺騙性攻擊，包括IP欺騙、DNS欺騙、郵件欺騙、WEB網站欺騙等；利用型攻擊，包括口令攻擊、木馬攻擊、緩沖區溢出攻擊、跨站腳本估計等；拒絕服務攻擊，包括防火墻能阻擋大部分網絡攻擊。現在出現頻率最多的是office病毒，屬于欺騙性攻擊，利用文件互傳導致局域網內病毒侵襲嚴重，其次是清河病毒、郵件病毒。這些都是容易使訪問者被動接受導致擴散的病毒。

1.2 非法外聯以及違規使用

非法外聯是指接入企業內部網絡的計算機等設備采用電話撥號、無線網絡、專用網絡等方式接入互聯網中其他網絡。目前，采油廠局域網由于無線路由器的增設且無法可控管理，導致外網客戶端可以同時訪問內網，具有較大隱患。

違規使用是指用戶違反規定要求，安裝、使用未經許可的網絡應用系統，占用和消耗網絡資源，對合法用戶數據正常傳輸造成干擾和影響。另外，違規使用還包括由于信息系統在檢查用戶授權時存在紕漏，使得違規用戶利用一些方式繞過權限檢查，訪問或者操作到原本不該訪問的數據信息。

現在社會網絡資源豐富，各種網管軟件和網絡提速軟件層出不窮，不少客戶端會安裝此類軟件，對整體網絡的安全管理造成很大的潛在威脅。

1.3 系統故障及漏洞

系統故障是指因信息系統軟硬件故障、人為誤操作等導致業務中斷、系統待機、網絡癱瘓、數據損壞等情況。

清河采油廠中心機房放置了采油廠所有的數據庫服務器，大部分都沒有做雙機數據備份，這些服務器一旦出現故障，將很難恢復。這些設備由于安裝年代久遠，且分別由不同的廠家安裝調試，更新力度不夠，存在的系統漏洞容易被黑客利用，造成大面積的網絡病毒傳播及網絡攻擊事件。

1.4 非人力因素損傷

非人力因素損傷是指因洪水、水災、雷擊、地震、臺風等外力因素導致網絡與信息系統損毀。采油廠容易遭受災害的情況有雷擊、狂風等，清河采油廠樹木成長率低，雷擊傷害嚴重。因此，每年更換雷擊損毀設備占網絡維護中的絕大部分。其次是狂風造成的線路故障也具有一定影響。

2 信息安全應急響應處置流程

信息安全應急響應處置一般包括兩個方面的工作：一是在監測到信息安全事件后，第一時間上報情況和阻斷事件進程，迅速確定事件緣由和相關技術信息，及時根除事件影響；二是對造成的損失進行全面恢復，對整個事件進行深入的分析總結。基于此，我們將整個處置流程分成事前準備、阻斷根除、恢復三個階段。

2.1 準備階段

準備階段對于提高響應能力和簡化響應過程來說非常重要，充分的準備能夠使應急響應人員盡早察覺入侵（嘗試）事件，并立即采取相應措施，使系統快速恢復到可信賴、穩定的運行狀態。

對于采油廠的網絡分布狀況，首先應當有個清晰的了解，掌握各單位可以進行應急處理的信息人員名單，對安全事件的監測方法也應熟練掌握。其次，利用入侵檢測、漏洞掃描、信息審計等安全工具進行不間斷的實時監視和檢測，收集相關信息，綜合分析判斷安全事件是否發生，進而確定是否觸發應急響應。

安全事件監測需要自動化的安全監管工具和日常管理工作支持，而監測規模和范圍需要隨著安全威脅、系統配置或安全等級要求的變化而變化。采油廠在監測方面還需要增強。目前只有防火墻的保護，并沒有上網行為管理軟硬件的監測，只能看大概的流量監控，分析判斷出事件的發生時間，并不能準確及時的發現事件發生的地點。準備階段在應急響應全程發揮著重要作用，完美的準備工作可以在隱患還處于萌芽時就進行扼殺，且可為后續的處理提供堅實有力的數據分析。

2.2 阻斷根除階段

阻斷階段的目的是在監測到安全事件發生后，通過各種技術手段限制危害程度和范圍，避免損失進一步擴大。該階段是整個應急響應過程中的重要環節，安全事件發生后會出現一系列連鎖反應，如果不能及時處理，可能會導致整個局面迅速失控，因此在阻斷階段進行正確決策至關重要。

這個處理方式在信息安全時間處理中屬于常用手段，把事故發生范圍隔離出來避免全盤崩潰，借助在準備階段預備的各種安全工具分析判斷找出事件根源并徹底清除。經常碰到的狀況有：客戶端中毒，頻繁往附近客戶端發包，導致網絡堵塞；欺騙其他客戶端的DNS，導致不能上網等。

服務器升級不匹配補丁也會導致系統內某一項服務不能正常運行，導致客戶端不能正常訪問數據庫，這時候就需要查找監測日志，查找出問題發生的時間，來對所更新的補丁進行刪除處理。

系統安裝未經證實可靠的軟件，導致對與此系統相連的各項服務不正常，這個要么升級所有與此相關的服務來匹配此軟件，要么把這個軟件當成惡意軟件進行監管加入黑名單。

2.3 恢復階段

恢復階段在查找原因并根除故障后要及時還原到正常工作狀態，并且加強監測，以防根除故障不徹底而再次發生故障。備份機制在這里發揮著重要的作用，所以做好干凈的完整備份或增量備份與監測工具是同等重要的，完整的備份可以把應急反應的時間縮短并提高效率。

恢復工作是一項非常重要的工作，當發生故障并處理后，很可能會對原有的大局有所影響，所以經常要對原有系統進行升級改進之后才能恢復正常使用，既然換了新系統那就存在了試運行的問題。試運行期間要加強監控，一旦發現不能完整匹配所有系統，必須立即停止，改進方案。

完成恢復工作后要詳細記錄發生的過程和處理步驟，總結有利于安全管理人員吸取教訓，增長經驗，舉一反三，提高技能，也是將來開展應急響應工作的積累和補充。

圖1 信息安全應急響應處置流程

3 提高應急響應能力的建議

應急響應能力是指針對各種突發信息安全事件，在專業機構組織指導下采取多種手段與措施，及時響應、處置信息系統所遭受的安全威脅和攻擊，恢復信息系統的服務能力。《關于加強信息安全保障工作的意見》（中辦發【2003】27號）第五部分：重視信息安全應急處理工作中強調國家和社會都要充分重視信息安全應急處理工作，要進一步完善國家信息安全應急處理協調機制，加強信息安全事件的應急處置工作，要加強信息安全應急支援服務隊伍建設蘑菇力社會力量參與災難備份設施建設和提供技術服務，提供信息安全應急響應能力。

3.1 加強應急響應管理體系的建設

應在國家相關條文規定下加強應急管理體系的建設內容要全面。編寫安全指南必須包括安全事件和安全問題，有對決斷過程的描述，同時，安全指南內容也是管理成支持IT安全的一個證明。明確職責范圍，包括IT用戶、IT管理員、負責IT應用人員、IT安全員或IT安全管理層、IT安全審計員、管理層；明確處理安全事件的過程規則和報告渠道。制定安全事件的報告提交策略，安全事件越關鍵，需要的授權就越大。極端情形下，必須要及早報告給管理層，并使其參與其中。設置優先級，如確定保護需求一樣，要提前制定好優先級表，根據安全事件導致的災難后果順序采取相應地應急措施。判斷采用調查和評估安全事件的方案，潛在的和持續的損失程度、原有、哪個IT系統受到影響、要采取什么樣的即時措施等。針對安全事件采取補救措施，當采取必要的安全補救措施，措施本身也可能引發新問題，采取合適的安全措施并做好記錄工作。通知各影響各方，所有受影響的企業內部各部門和外部機構都應該通知到。為提高通知速度，應提早建立溝通渠道和執行相關性分析。對安全事件的評估，要注重響應時間、對報告渠道的了解程度、提交策略的有效性、調查的有效性、通知受影響各方的辦法。

3.2 提高技術儲備能力

技術儲備能力直接關系到信息安全應急響應能力的質量，良好地技術儲備可以為應急響應提供時間定性、數據分析、定位尋源、處置恢復等資源和手段。首先應在中心機房增設上網行為管理軟硬件，提高網絡監測、管理能力，并適當增設服務器數據庫自動備份軟硬件，多做一層安全備份會在日后的安全事故中起到不可估量的效果。

3.3 終端使用上的主動控制

終端用戶不管是瀏覽數據庫還是瀏覽網頁，都要加強自我約束。對于所使用的數據庫牽涉到的軟件，應按照信息中心要求的版本要求，不能隨意更換或變更插件；瀏覽網頁的瀏覽器盡量更新為新版本的瀏覽器，避免由網頁滋生的威脅容易向含有漏洞的設備發起攻擊；打開可遠程管理時，要經常檢測，揪出潛藏陌生用戶查找占用資源的文件黑手。總之客戶端應加強自我約束管理，殺毒軟件只能起到防范效果。

4 結束語

采油廠信息安全應急響應在組織結構、響應流程和提升能力方面仍需健全完善，需要在觀念、建設模式和對策措施上不斷調整，引進先進的管理理念和相關技術，提升各方面的人員素質，才能構建靈活變通的響應機制，起到采油廠信息化建設保航護駕的作用。

［1］魏欽珍.計算機網絡信息安全及防護策略研究［J］.黑龍江科技，2014，5（8）：263.

［2］范壽俊.對構建安全工作信息預警機制的思考［J］.江漢石油職工大學學報，2012，25（4）：43－44.

［3］余國平.淺談計算機網絡安全的現狀及對策，科學時代，2011（10）：256－257.

［4］劉劍.石化企業信息安全管理中的應急響應研究 計算機光盤與應用2012（16）：34.