安全應急預案關鍵在于“落實”

文/王宇 王衛東 周欣

安全應急預案關鍵在于“落實”

文/王宇 王衛東 周欣

應急響應的前提

面對網絡信息安全不斷嚴峻的形勢，高校在完善信息化建設與網絡安全治理的長效體制、管理流程、設備技術、人員隊伍的同時，首當其沖的是要根據政策環境要求，明確學校網絡信息安全責權制度和制定完備有效的網絡信息安全應急預案。《中華人民共和國網絡安全法》、教育部《信息技術安全事件報告與處置流程（試行）》《教育行業網絡安全綜合治理行動方案》等都對監測預警、應急響應等提出了明確要求。

高校制定網絡信息安全應急預案的前提，就是要明確學校網絡信息安全的責權體制，也就是要明確“誰主管誰負責、誰運維誰負責、誰使用誰負責”，明確網絡信息安全工作的責任方、管理方、技術支持方的責權邊界。由于網絡安全漏洞信息的獲取和處置是提升組織整體安全水平的重要手段，因此高校網絡信息安全應急預案不僅需要明確和規定針對學校相關的網絡安全事件的應對工作，也應該包括對網絡安全漏洞的應對工作。

現階段制定網絡信息安全應急預案，主要是確定具體安全事件、安全漏洞等網絡信息安全信息的獲取途徑，內部通知和上報機制，分級應急處置手段，整改督促和監督，后續報告與確認等流程和內容。

以下示例就是某高校網絡信息安全技術部門制定的網絡信息安全處置預案，主要從工作內容、相關部門、參與人員、安全事件分級、安全情報信息來源、現有處置手段、處置與上報流程及時間要求等七個部分對應急處置工作進行規范，根據不同的安全事件級別采取有針對性的處置手段和提出相應的時間要求，將網絡安全事件應急響應工作落到實處。

應急響應預案示例

以下是某高校網絡信息安全處置預案的七個方面：

1.工作內容

校園網絡和數據中心安全防控：校園網絡出口路由和交換設備安全策略配置，數據中心出口網絡防火墻、應用防火墻等設備部署。

常態化主機與應用漏洞掃描：每周對托管在網絡中心管理范圍內的物理主機和虛擬主機，利用現有主機與應用漏洞掃描設備，進行主動漏洞掃描，對存在高危可被利用漏洞的主機信息進行匯總和上報。

安全事件響應、處置、通知和監督整改：從各類信息來源實時獲取學校相關的網絡信息安全情報，及時進行分析、確認、處置、通知和監督整改等工作。

2.相關部門

責任部門：網絡安全事件、安全漏洞的主管部門；管理部門：信息化建設與網絡安全辦公室；技術支持部門：網絡信息中心。

3.參與人員

整體組織協調：××。

技術支撐與應急處置：主要參與人員包括××、××、……。

此外，網絡信息中心其他同事也須在值班期間和所屬工作范圍內支持網絡信息安全工作。

4.安全事件分級

（1）安全事件，學校相關主機或服務發生頁面被篡改、數據泄漏、網站被掛木馬、主機被入侵等狀況。

政治類，涉及反黨、反國家、反人類等相關信息；

非政治類，不涉及政治相關內容。

圖1 應急響應相關流程

（2）安全漏洞，通過各種途徑獲知的學校相關主機或服務存在可被黑客利用的漏洞，即存在被攻擊風險，但是尚未被黑客利用。

5.安全情報信息來源

（1）教育部科技司和教育管理信息中心、××省教育廳等信息安全事件通報

（2）補天、漏洞盒子等主流漏洞平臺獲取的學校相關的漏洞信息

通過電子郵件（security@mail.×××.edu.cn）或網站瀏覽獲取漏洞信息。

（3）中國高等教育學會教育信息化分會下屬的網絡信息安全工作組

教育行業漏洞報告平臺（Beta）（https://src.edu-info.edu.cn/）、在線漏洞發現與檢測平臺（http://202.112.26.107/），網絡信息安全工作組信息交流微信群和QQ群（224539320），國家信息安全漏洞共享平臺（http://www.cnvd.org.cn/）教育行業漏洞信息。

（4）CERNET應急響應組

依托清華大學的CERNET應急響應組會第一時間電話、QQ和郵件告知學校相關的漏洞信息。

學校自有漏洞掃描設備、360免費企業平臺或人工掃描獲取。

6.現有處置手段

（1）斷開網絡服務（包括面向互聯網和校園網內）：IP地址封鎖系統，人員在線登錄后操作，主要供值班人員第一時間進行處置；在該系統中處置后，訪問相應的網站或信息系統將跳轉到指定頁面，在頁面中提示具體的封禁原因，并記錄詳細操作日志。

（2）斷開互聯網訪問（校內可以訪問）：主要是兩種方式，一種是在出口計費系統后臺，封鎖對應透明IP地址賬號；一種是在出口網絡設備上，增加安全策略。實際處置過程中，主要通過計費系統操作。

（3）關閉物理主機：需要值班人員手工操作。

（4）關閉虛擬主機：在線登錄虛擬主機管理平臺操作。

7.處置與上報流程及時間要求

（1）校園網絡和數據中心安全防控：技術支持部門實施配置和日常管理；

（2）常態化主機與應用漏洞掃描：技術支持部門每周對托管在學校管理范圍內的物理主機和虛擬主機進行主機與應用漏洞掃描，每周一匯總掃描情況，對存在高危可被利用漏洞的主機信息進行匯總和上報校管理部門；

（3）安全事件發現、響應、處置、通知和監督整改：

安全事件：政治類

第一時間（從安全事件信息獲取到處置力爭不超過30分鐘）從技術支持部門能力范圍斷開網站和信息系統的互聯網訪問，主機托管在技術支持部門的第一時間關閉相關的物理或虛擬主機，第一時間匯報給管理部門；

技術支持部門安全、網絡和信息團隊提供后續技術支撐；

責任部門報送整改報告（學院部處主要領導簽字，并加蓋處級單位公章）到管理部門，技術支持部門根據管理部門要求進行技術驗證后，恢復互聯網訪問。

安全事件：非政治類

第一時間（從安全事件信息獲取到處置力爭不超過6小時）從技術支持部門能力范圍斷開網站和信息系統的互聯網訪問，第一時間匯報給管理部門；

根據技術支持部門托管聯系人信息或查找的校內聯系方式，告知相關部處人員進行處置，或由管理部門直接通知到責任部門領導以加快整改；

技術支持部門安全、網絡和信息團隊提供后續技術支撐；

責任部門報送整改報告（學院部處主要領導簽字，并加蓋處級單位公章）到管理部門，技術支持部門根據管理部門要求進行技術驗證后，恢復互聯網訪問。

安全漏洞

對于面向互聯網提供信息發布功能的網站或系統，第一時間（從安全漏洞信息獲取到確認不超過24小時）確認安全漏洞是否屬實，確認屬實后第一時間（從安全漏洞確認到處置力爭不超過6小時）從技術支持部門能力范圍斷開網站和信息系統的互聯網訪問，防止漏洞被利用出現安全事件，第一時間匯報給責任部門；

根據技術支持部門托管聯系人信息或查找的校內聯系方式，告知相關部處人員進行處置，或由管理部門直接通知到責任部門領導以加快整改；

技術支持部門安全、網絡和信息團隊提供后續技術支撐；

對于斷開互聯網訪問的系統，責任部門報送整改報告（學院部處主要領導簽字，并加蓋處級單位公章）到管理部門，技術支持部門根據管理部門要求進行技術驗證后，恢復互聯網訪問；

對于沒有面向互聯網提供信息發布功能的網站或系統，技術支持部門主要履行告知義務，技術支持部門安全、網絡和信息團隊提供技術支持。

技術支持部門組成的跨網絡運行管理和信息系統管理的網絡信息安全團隊，將嚴格按照工作計劃內容支撐學校網絡信息安全工作。

（責編：王左利）

（作者單位為東北大學信息技術研究院）

戴爾發布第14代PowerEdge服務器

本刊訊7月12日，戴爾發布第14代PowerEdge服務器，產品組合采用了英特爾“至強”可擴展處理器，為傳統和云端應用提供了一個可擴展、自動化、安全穩定的計算平臺，成為云、分析或軟件定義數據中心計劃的很好基礎。

戴爾全球資深副總裁、大中華區總裁黃陳宏博士表示：“當今時代下企業的發展面臨著數字化浪潮帶來的機遇與挑戰，企業需要能夠滿足不同辦公應用場景需求的創新技術。為了更有力地幫助企業走穩數字化轉型的道路，戴爾不斷對基礎架構解決方案與服務進行革新與擴充。”

通過與英特爾合作，戴爾將英特爾“至強”可擴展處理器帶入戴爾第14代PowerEdge服務器中。憑借增多27%的CPU內核，以及多50%的內存帶寬，使用戴爾第14代PowerEdge服務器的用戶可加快關鍵應用和負載的性能提升。