信息系統的應急響應研究

張 燕

（金肯職業技術學院，江蘇 南京 211100）

信息系統的應急響應研究

張 燕

（金肯職業技術學院，江蘇 南京 211100）

隨著高校信息化建設的不斷深入，各部門日常工作也愈發對信息系統依賴，當系統因突發事件而無法正常提供服務時，如何采取應急響應措施盡量降低系統服務中斷對業務活動的影響是一項重要的研究課題。文章從日常運行維護的實際經驗出發，分析系統運行的薄弱環節，提出了建立信息系統應急響應機制的一些方法和建議。

信息系統；應急響應；運行維護

2017年6月18日至7月6日，由教育部科技發展中心主辦，《中國教育網絡》雜志承辦的“2017年教育行業信息安全大會”在北京、南京、武漢、西安四地舉行。來自全國高校信息中心、計算機院校及軟件工程學院近千人參加了此次會議。在活動期間，共組織了4個“高峰論壇”，其中就有校園網安全應急響應機制建設論壇，可見校園網應急響應機制的建設已是保障校園網安全的重中之重。

1 應急響應的概念

要給出應急響應的定義，首先需要定義什么是信息安全事件，信息安全事件是由于自然或者人為以及軟硬件本身缺陷或故障原因，對信息系統造成危害，或在信息系統內發生對社會或高校造成負面影響的事件[1]。應急響應通常是指一個組織為了應對計算機網絡系統上各種意外事件的發生所做的準備以及事件發生后迅速采取的措施和行為。應急響應是一項系統的工程，是以各種技術為核心，輔助以各種資源、網絡而形成的一個完整的整體。

2 應急響應的意義

應急響應是對安全事件按一定的程序進行處理，其主要任務是盡可能縮小事件發生的范圍和數量、防止事件升級、系統恢復以及責任認定等。

應急響應對系統建設單位、信息安全主管領導和技術人員都有好處。對學院來說，應急響應可以提升安全理念、降低風險、減少損失、完善安全體系、深入挖掘自身安全需求；信息安全主管領導通過應急響應體系，可以第一時間了解網絡的安全形勢，把握整個學院的整體網絡安全太勢；安全技術人員可以及時發現安全事件。網絡中發生了什么安全事件，有哪些外部入侵行為，是否有人對重要的服務器進行攻擊，是否有人在進行嗅探，及時發現突發的安全問題，快速定位安全問題、針對安全事件采取有效措施進行處理，集中監控網絡蠕蟲等特殊事件，了解并制止潛在的內外攻擊行為，及時發現并清除網絡病毒、惡意代碼[2]。

3 建立應急響應的方法

信息安全事件應急響應完整的活動內容應當包括：（1）未雨綢繆，即在事件發生前事先做好準備，比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防范措施；（2）亡羊補牢，即在事件發生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統，發現事件發生后，采取系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、采取系統恢復、調查與追蹤、入侵者取證等一系列操作[3]。

3.1 信息安全事件分級

首先，需要清楚高校的業務活動，通過業務的重要程度進行分析進行分級，包括核心、重要和一般3個等級（見表1）。

表1 業務的重要程度分級

其次，對事件的危害程度進行分級（見表2）。

表2 事件的危害程度分級

根據業務的重要程度、事件的危害程度建立信息安全事件的分級，由低到高分為一級至四級（見表3）。

表3 信息安全事件的分級

3.2 組織機構

為有序開展應急響應的相關工作，學院應建立相應的組織機構，并各負其責。一般情況下采取分級管理的模式，由應急領導小組、專家組和應急工作小組構成。

領導小組負責信息系統安全事件應急處理工作的規劃、計劃和規范；負責應急響應預案的審議工作；負責學院信息系統應急響應體系的建設工作；負責審定專家組和工作小組的人員組成；發生三、四級信息安全事件后，決定啟動應急預案，組織應急處置工作，并負責組織向上級信息系統應急處理領導小組報告安全事件的相關工作。

專家組負責向領導小組提供決策信息，是信息系統安全事件應急響應的咨詢機構；針對發生的信息安全事件，分析事件產生的原因并給出有效的解決方案；根據信息系統的安全評估報告，針對網絡安全現狀提出切實可行的預防及整改建議。

工作小組負責信息系統信息安全事件應急處置工作及其運行機制的建設；負責制訂信息安全事件等級標準、應急處理規章制度；負責應急預案的制訂和修訂工作；開展安全事件應急處理演練和培訓工作。

3.3 預案

預案是針對歷史發生的或可預見的信息安全事件而預先制定的解決措施，便于事件處置過程的正常有序開展。預案應包括以下內容。（1）目的和依據：描述預案的目的及編制依據。（2）適用范圍：描述預案適用的范圍和啟動的條件。（3）系統及資源：對當前系統所涉及的軟硬件資源進行詳細的描述，包括服務器的安裝位置、操作系統版本、數據庫版本、網絡資源配置、應用系統版本等。（4）標準處置預案：針對系統常見故障至處置方案，該方案可以調用已知的標準處置預案，如操作系統重裝、數據恢復、系統遷移服務器等。（5）故障快速定位：順序列出系統故障的分析過程，幫助系統維護人員快速進行故障的診斷，準確定位故障點。

3.4 日常演練

為提高預案的執行效率和準確性，應定期開展應急響應的日常演練，日常演練是系統應急響應的重要環節，通過模擬實戰的方式讓系統維護的相關人員熟悉操作流程、操作步驟，提高相互配合的協同工作能力。同時，通過演練可以驗證預案的可行性，避免紙上談兵。應急演練的方式可以分為桌面演練和實際演練兩種方式。桌面演練是將預案相關人員集中在會議室，模擬系統故障，演練人員口述各自的職責和操作內容，完成系統的恢復。實際演練是對系統所依賴資源進行中斷處理，如關閉核心交換機、斷開數據庫連接等，組織相關人員按照預案進行故障分析、診斷及系統恢復，同時對恢復時間進行計時，必要時可以由專家組對演練的效果進行評價，利用后期預案的優化和修訂。

4 結語

信息系統的應急響應由于涉及范圍廣、影響因素多，目前還處于起步階段，需要通過不斷的優化和完善來提高可行性。

[1] 戴有煒.Windows server 2003 Active Directory配置指南[M].北京：清華大學出版社，2004.

[2] 顧巧論.計算機網絡安全[M].北京：清華大學出版社，2004.

[3] 陳艷玲.我國高校網站發展與校園文化建設研究[D].成都：四川大學，2007.

Study on emergency response of information system

Zhang Yan
（Jinken College of Technology, Nanjing 211100, China）

With the deepening of the informatization construction in colleges and universities, departments daily work is increasingly dependent on information systems. When the system due to unexpected events and can not provide services, how to emergency response measures taken to reduce the effects of system service interruption to the business activities is an important research subject. Based on the practical experience of daily operation and maintenance, this paper analyzes the weak links of system operation, and puts forward some methods and suggestions for establishing the emergency response mechanism of information system.

information system; emergency response; operation and maintenance

張燕（1981- ），女，江蘇南京人，實驗師，學士；研究方向：網絡技術。