大連理工大學探索應急響應服務外包之路

文/李先毅

大連理工大學探索應急響應服務外包之路

文/李先毅

應急預案要注重預警機制

高校網絡信息安全建設和管理中，應急響應處置是非常重要的環節，特別是在目前高校網絡安全人員普遍匱乏、技術水平不高的背景下，抓好應急響應工作就顯得更為至關重要。大連理工大學網絡信息安全應急機制的建設也是在同樣的背景和大環境下進行的，由于人員不足、設備短缺，在短期內無法建成完善的校內網絡信息安全技術體系和管理機制，這就難免出現病毒、網絡攻擊等各類網絡安全事件，對于這些安全事件的應急響應和處置就成為了保障校內網絡安全、降低安全事件影響的關鍵。

大連理工大學經過多年的探索，初步建立了比較適合本校實際情況的網絡信息安全應急機制，主要包括管理制度建設、隊伍建設、預警機制、重大活動保障機制、應急響應處置、以及第三方的應急安全服務外包。

首先是制度建設和組織機構、隊伍建設，這也是規范的應急機制建設的基礎。早期，校內的網絡安全事件應急響應沒有明確的制度和組織隊伍的保障，造成責任不明、部門間協調困難、響應不及時等問題，因此近年學校加強了制度方面的建設，出臺了一系列管理辦法和規范文檔（見表1），為網絡安全應急機制提供了制度保障。

同時相關制度中也對組織機構進行了定義，相互關系見圖1 。學校網絡與信息安全工作組是網絡信息安全應急工作的領導機構，必要時需向學校網絡安全與信息化建設委員會匯報。網絡與信息化中心（以下簡稱網信中心）是執行機構，具體負責各類網絡安全事件應急響應的組織與技術支持，黨委宣傳部負責應急響應中輿情分析及監控，黨委保衛處負責與公安部門的溝通聯系。各單位是本單位主管信息系統的主要安全責任單位，負責網絡安全事件應急響應中相關信息系統的修復、整改等。為了提高應急響應的專業水平，學校還采購了第三方專業安全公司的網絡安全外包服務，主要參與安全預警、重大活動保障和網絡安全事件的應急處置。網信中心還組建了學生信息安全技術團隊，主要參與安全預警、校內安全檢測等工作。

通常認為，應急響應處置是應急機制核心，但僅僅靠應急響應處置來處理網絡安全事件，就顯得過于被動，往往造成疲于應對的局面。在《國家網絡安全事件應急預案》中也提出“早發現、早預警、早響應”的基本原則，把主動檢測和及時預警作為應急預案的必要環節。因此建立預警機制，特別是建立重大活動保障機制，可以主動消除或降低多數安全風險，降低應急響應頻率、難度，也能減輕應急工作壓力。近年學校也開始探索建立預警機制和重大活動保障機制，除了增加相應的安全設備、加強校內的技術力量，外包的安全服務也起到非常重要的作用。特別是重大活動保障中，第三方安全廠商發揮了重要作用，從年度保障計劃、每次重大活動保障方案的制定，到重點信息系統的檢測與監控，再到重大活動期間的值守，以及最后的保障總結都包含在重大活動信息安全保障服務合同中。表2列出了重大活動信息安全保障外包服務的部分工作內容，第三方廠商將按此提供專業化服務，學校也會按此進行驗收。在預警機制中，安全廠商也成為重要的信息來源，特別是對于各類通用型漏洞、0day漏洞等，安全廠商憑借其龐大的專業隊伍及廣泛的安全信息搜集渠道，能夠較早地發現此類安全問題，及時發出安全預警，并提供專業的應急處理建議。安全廠商已經與安全漏洞平臺、安全組織、高校網絡信息安全工作組共同構成了學校網絡安全預警信息的主要來源，結合對校內相關安全情況的檢測，可以更準確、及時地對安全威脅作出評估，并發布相關預警信息。

表1 大連理工大學網絡信息安全應急機制相關制度文檔

圖1 校內網絡安全應急組織機構及團隊建設

制定分級處置辦法

應急響應處置發展的時間較長，處置方案及流程相對比較成熟，大連理工大學同樣是采取傳統的分級處置方法，主要是在學校范疇內考慮信息系統的重要程度、損失情況以及對學校工作和社會造成的影響范圍，根據《信息安全事件分類分級指南》以及《國家網絡安全事件應急預案》，將校內網絡安全事件分為Ⅰ級（特別重大）、Ⅱ級（重大）、Ⅲ級（較大）和Ⅳ級（一般）四級。其中Ⅳ級（一般）事件由校內各單位自行處理，處理完成后報網信中心備案；Ⅱ級（重大）、Ⅲ級（較大）事件由網信中心組織、信息系統主管部門負責進行修復整改，經網信中心技術審核確認后完成事件處理并備案；Ⅰ級（特別重大）事件則有學校網絡與信息安全工作組統一指揮，組織網信中心、校內各相關部門及安全服務外包廠商共同應對，必要時需上報學校網絡安全與信息化建設管理委員會決策，完成修復整改后由網信中心技術審核，然后備案。對于Ⅰ級（特別重大）事件需由安全服務外包廠商協助處理，主要工作集中在問題確認、取證溯源、系統修復及責任認定等方面，需要安全廠商提供專業的檢測分析及安全修復服務，還要通過其專業資質提供有法律效力的權威技術報告。在其他級別的安全事件處置中，如校方技術力量不足，不能徹底解決問題 ，也會有安全廠商提供相關的應急處置服務。

表2 重大活動信息安全保障外包服務部分工作內容

綜上，在目前的網絡安全形勢下，對于高校網絡安全應急響應的要求越來越高，除了不斷提升高校自身的應急響應能力和技術水平外，適當引入專業安全廠商做安全服務外包，提供了一種較快速的解決方案。學校采購安全外包服務時間不長，但對于應急機制的改進已經比較明顯，初步形成了較規范的重大活動信息安全保障機制，對安全事件的應急處置提供了有力支撐，豐富了預警信息的獲取渠道并保障了準確性和穩定性。在信息安全外包服務廠商的協助下，2017年上半年大連理工大學順利完成“達沃斯會議”、高考等4次重大活動的網絡信息安全保障工作，應急處理2起安全事件，協助發現超過10例信息系統安全漏洞，在wannacry、“永恒之石”、“暗云”等勒索病毒大規模爆發時都及時發出了安全預警。但由于學校初次采購安全外包服務，安全廠商也是首次面向高校服務，所以雙方都有很大改進提升空間。比如在保障方案的制定、安全事件的應急處置還可以進一步細化工作，明確雙方各自的任務和職責，提高協同的效率，這也需要相應提高學校的資金投入和廠商的人力投入。另外，學校目前的網絡安全應急響應機制在預案演練、人員培訓等方面還是存在較大不足，未來考慮將進一步將安全服務外包引入相關領域，盡快補齊短板，全面提升學校的網絡安全應急響應水平。

（責編：王左利）

（作者單位為大連理工大學網絡與信息化中心）