高校網(wǎng)絡安全應急演練模式探究

◆卞云波

高校網(wǎng)絡安全應急演練模式探究

◆卞云波

（江蘇省電化教育館江蘇省教育信息化中心 江蘇 210013）

開展應急演練工作，完善高校網(wǎng)絡安全應急響應體系，根據(jù)高校目前的防御措施盡可能提高網(wǎng)絡安全突發(fā)事件的處置能力并降低其帶來的負面影響，是當前高校網(wǎng)絡安全工作面臨的主要問題之一。本文主要介紹了網(wǎng)絡安全應急演練的流程和組織架構(gòu)，并模擬黑客攻擊服務器的場景來檢驗應急預案的有效性。

應急演練；應急預案；網(wǎng)絡安全；應急響應

0 引言

2016年4月19日，習近平總書記提出推進網(wǎng)絡強國建設，建設網(wǎng)絡強國是實現(xiàn)“兩個一百年”奮斗目標的內(nèi)在要求。

全國人民代表大會常務委員會于2016年11月7日發(fā)布，自2017年6月1日起施行《中華人民共和國網(wǎng)絡安全法》。其中第五十五條提到：“發(fā)生網(wǎng)絡安全事件，應當立即啟動網(wǎng)絡安全事件應急預案，對網(wǎng)絡安全事件進行調(diào)查和評估，要求網(wǎng)絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，并及時向社會發(fā)布與公眾有關的警示信息”。

《信息安全等級保護管理辦法》、《關于加強信息安全保障工作的意見》（中辦發(fā)﹝2003﹞27號文）等相關文件都對應急預案和應急處置提出明確要求。

在新的時代背景下，網(wǎng)絡安全應急工作受到前所未有的重視。隨著高校信息化建設的迅速發(fā)展，網(wǎng)絡安全和高校學習環(huán)境及老師學生的生活環(huán)境息息相關。結(jié)合高校網(wǎng)絡安全建設的特點，本文主要介紹了高校網(wǎng)絡安全應急演練的總體目標、演練要求、組織架構(gòu)、應急演練計劃等，并模擬黑客攻擊服務器的場景來檢驗應急預案的有效性[1][2]，旨在高校就目前的防御建設下協(xié)同各方資源將校內(nèi)突發(fā)的網(wǎng)絡安全事件降到最低。

1 應急演練總體目標

應急演練的總體目標是要建立健全高校網(wǎng)絡安全運行應急響應工作機制，達到檢驗網(wǎng)絡安全綜合應急預案有效性的目的，驗證在遇到網(wǎng)絡安全突發(fā)事件時相關組織和人員的應急指揮能力和應急處置能力，保證在應急處置工作中各項應急指揮調(diào)度工作快速、高效、有序地進行，能夠滿足在有網(wǎng)絡安全突發(fā)事件的情況下高校整體網(wǎng)絡與信息系統(tǒng)運行保障及故障恢復的需要，同時保證信息系統(tǒng)安全暢通。網(wǎng)絡安全應急演練工作，能夠不斷提升學校部門之間、學院之間、師生之間開展應急工作的水平和效率，及時發(fā)現(xiàn)應急響應預案的不足，針對實際應急演練效果進一步完善應急預案，遵循PDCA原則[3]。

2 網(wǎng)絡安全應急演練要求

2.1 組建應急演練團隊

配備專職人員負責應急演練工作，組建應急演練通訊、指揮體系，制定應急響應流程和應急恢復策略。

2.2 制定詳細的演練方案

演練方案主要有明確演練目標、參加演練的信息系統(tǒng)。涉及的形式包括桌面推演及實戰(zhàn)演練、演練層次和涉及范圍，預先設定災難情況、設定演練流程、具體操作內(nèi)容、業(yè)務驗證測試、準備應急資源、明確職責分工、預想1進度安排、演練的風險及其應對措施。

2.3 應急演練準備工作

演練前對參加演練的相關人員進行必要的培訓，確保組織、人員、資源、宣傳到位。應急演練時機要恰當，盡量減少對正常校內(nèi)教學和生活造成影響。演練完成后，應確保實施應急演練所需要的各項資源得以恢復。演練過程中要做好事前和事后對內(nèi)、對外的聯(lián)系和通知工作。

2.4 風險管理工作

成立風險管理小組，由風險管理小組負責評估應急演練本身可能帶來的風險，演練前做好備份工作制定完善的保障措施和應急回退方案；應急預案內(nèi)容要結(jié)合學校實際情況，應急演練前要認真審核應急預案；加強對演練工作的風險管理，在參照應急預案的基礎上謹慎開展應急演練工作，嚴格控制應急演練引起的信息系統(tǒng)變更風險，避免因應急演練導致正常服務中斷；記錄應急演練工作全過程和發(fā)現(xiàn)的問題，加強風險監(jiān)控及管理，發(fā)現(xiàn)問題時，及時實施應急回退方案。

2.5 評估應急演練效果

在應急演練完成后對演練的組織、過程、效果進行評估，編寫應急演練總結(jié)報告。

2.6 優(yōu)化應急預案

根據(jù)應急演練的效果及時更新應急預案，并在后續(xù)演練不斷優(yōu)化應急預案，特別是要加強驗證應急預案更新部分的有效性。

2.7 應急演練宣傳

加強對應急演練的宣傳活動的投入，使學校各級各類人員了解網(wǎng)絡安全突發(fā)事件可能產(chǎn)生的后果及應急演練工作的重要性，熟悉各項應急預案內(nèi)容、程序，應急方案流程、應急設備的操作方法等。

3 應急演練組織架構(gòu)

應急演練實施過程中需要成立三類組織，分別是學校網(wǎng)絡安全應急演練領導組、輿情監(jiān)測報告組和應急處理工作組。

學校網(wǎng)絡安全應急演練領導組，主要工作職責是對應急響應工作的承諾和支持，包括發(fā)布正式文件、提供必要資源(人財物)等；負責制定、審查演練工作方案，對緊急情況下發(fā)生的意外情況進行處置，協(xié)調(diào)學校內(nèi)外的協(xié)調(diào)、聯(lián)系工作；啟動定期評審、修訂應急響應計劃；切實做好組織管理、宣傳教育、應急處置工作，確保演練活動取得實效。一般由分管副校長擔任應急演練領導組組長，由信息中心主任、宣傳部部長、保衛(wèi)處長、校黨政辦主任等擔任副組長，各二級學院總支書記與職能負責人（負責本單位網(wǎng)站及應用系統(tǒng)安全管理）為領導組成員。

輿情監(jiān)測報告組，主要負責輿情監(jiān)測工作，成員為由全校二級各部門的信息安全員。

應急處理工作組，主要負責演練實施過程中的技術保障和處置工作。主要由信息中心（診斷網(wǎng)絡事故性質(zhì)，采取應對技術處理措施）、宣傳部（輿情事件處理)和應急保障小組（應急保障技術支持）成員組成。

圖1 高校網(wǎng)絡安全應急演練組織架構(gòu)圖

4 應急演練計劃

4.1 應急演練基本流程

高校應急演練從準備工作開始，對事件進行識別判斷，采取有效措施解決問題，從而縮小或消除事件的影響范圍。基本流程圖如圖2所示。

圖2 應急演練基本流程圖

4.2 應急演練整體流程

一般高校應急演練工作，由攻擊者、學校和第三方安全團隊三方角色共同完成。

首先攻擊者角色采集數(shù)據(jù)挖掘漏洞，發(fā)起攻擊對學校造成威脅；其次學校主動發(fā)現(xiàn)或者被動通報相關威脅，由信息中心聯(lián)絡人員逐級向信息中心主任匯報相關信息的同時，斷開物理連接并排查原因，有必要時請求第三方安全服務團隊參與遠程或現(xiàn)場技術排查取證，根據(jù)調(diào)查結(jié)果由學校宣傳部門對外發(fā)布相關信息，并匯報上級。如圖3所示。

圖3 應急演練整體流程圖

5 黑客攻擊服務器場景應急演練過程

為了檢驗應急預案的有效性，可以模擬黑客攻擊服務器場景實施一場應急演練。具體模擬方案如下：

5.1 時間安排和要求

2019年3月某一天，要求事件發(fā)生（發(fā)現(xiàn)）到事件緊急響應消除事件影響，全過程必須在3分鐘內(nèi)完成。恢復網(wǎng)站（或系統(tǒng)）正常運行。網(wǎng)絡輿情應急響應處理通報。

5.2 演練步驟

（1）模擬黑客攻擊階段

攻擊團隊模擬黑客進行搜集數(shù)據(jù)尋找網(wǎng)站站點（或應用系統(tǒng)）進行滲透入侵，成功進入管理員管理后臺修改圖片，同時圖片篡改成功頁面切到演示大屏。

（2）信息通報階段

學校老師發(fā)現(xiàn)圖片篡改事件，并把相關截圖同時通知到事件發(fā)生的職能部門負責人、宣傳部負責人。

（3）應急事件反映階段

第一步：信息中心負責人和宣傳部負責人同步事件狀態(tài)。

第二步：快速、有序啟動應急預案，采取應急處置程序。由應急響應領導小組發(fā)布應急響應啟動令。應急響應啟動后應急響應領導小組要對人力、財力、物力到位情況實施檢查與督察，并記錄實際發(fā)生情況。

第三步：宣傳部協(xié)同進行輿情處理。

（4）應急響應處置階段

判斷應急事件來源與性質(zhì)，切斷入侵路徑，追蹤溯源，恢復網(wǎng)站內(nèi)外網(wǎng)正常訪問并匯報處置結(jié)果。

（5）事后跟蹤階段

關注系統(tǒng)恢復后以后的安全情況，防止重復發(fā)生。建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果。

（6）應急演練總結(jié)階段

分析和總結(jié)事件發(fā)生原因，評估事件導致的損失，分析和總結(jié)應急處置記錄，對應急響應進行評分。

6 結(jié)論

應急演練工作是完善學校網(wǎng)絡安全應急響應體系的重要環(huán)節(jié)。應急演練之前要做好相關的應急演練準備，明確應急演練組織架構(gòu)、落實應急小組職責；制定應急演練計劃，以及貼合實際的應急演練流程；在應急預案的基礎上嚴格實施，確保演練過程順暢，同時做好相關的備份工作。

應急演練工作是高校網(wǎng)絡安全建設過程中需要長期堅持、持續(xù)優(yōu)化的工作，在每次應急演練過程中做好相關操作及記錄，事后做好應急演練工作總結(jié)，評估每一階段的實施效果，不斷優(yōu)化應急預案和應急演練流程。

[1]趙林，郭啟全，任衛(wèi)紅等.信息安全等級保護系列標準應用案例[J].中國信息安全，2012(4)：73-77.

[2]趙明，阮繼鋒，張杰.應急預案編制和實施過程中存在的突出問題及對策[C]//中國職業(yè)安全健康協(xié)會2009年學術年會論文集. 2009.

[3]江西省通信管理局組織開展互聯(lián)網(wǎng)網(wǎng)絡安全應急演練[J].江西通信科技，2008(3)：5-5.