信息系統(tǒng)的應急響應研究

張 燕

（金肯職業(yè)技術學院，江蘇 南京 211100）

信息系統(tǒng)的應急響應研究

張 燕

（金肯職業(yè)技術學院，江蘇 南京 211100）

隨著高校信息化建設的不斷深入，各部門日常工作也愈發(fā)對信息系統(tǒng)依賴，當系統(tǒng)因突發(fā)事件而無法正常提供服務時，如何采取應急響應措施盡量降低系統(tǒng)服務中斷對業(yè)務活動的影響是一項重要的研究課題。文章從日常運行維護的實際經(jīng)驗出發(fā)，分析系統(tǒng)運行的薄弱環(huán)節(jié)，提出了建立信息系統(tǒng)應急響應機制的一些方法和建議。

信息系統(tǒng)；應急響應；運行維護

2017年6月18日至7月6日，由教育部科技發(fā)展中心主辦，《中國教育網(wǎng)絡》雜志承辦的“2017年教育行業(yè)信息安全大會”在北京、南京、武漢、西安四地舉行。來自全國高校信息中心、計算機院校及軟件工程學院近千人參加了此次會議。在活動期間，共組織了4個“高峰論壇”，其中就有校園網(wǎng)安全應急響應機制建設論壇，可見校園網(wǎng)應急響應機制的建設已是保障校園網(wǎng)安全的重中之重。

1 應急響應的概念

要給出應急響應的定義，首先需要定義什么是信息安全事件，信息安全事件是由于自然或者人為以及軟硬件本身缺陷或故障原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會或高校造成負面影響的事件[1]。應急響應通常是指一個組織為了應對計算機網(wǎng)絡系統(tǒng)上各種意外事件的發(fā)生所做的準備以及事件發(fā)生后迅速采取的措施和行為。應急響應是一項系統(tǒng)的工程，是以各種技術為核心，輔助以各種資源、網(wǎng)絡而形成的一個完整的整體。

2 應急響應的意義

應急響應是對安全事件按一定的程序進行處理，其主要任務是盡可能縮小事件發(fā)生的范圍和數(shù)量、防止事件升級、系統(tǒng)恢復以及責任認定等。

應急響應對系統(tǒng)建設單位、信息安全主管領導和技術人員都有好處。對學院來說，應急響應可以提升安全理念、降低風險、減少損失、完善安全體系、深入挖掘自身安全需求；信息安全主管領導通過應急響應體系，可以第一時間了解網(wǎng)絡的安全形勢，把握整個學院的整體網(wǎng)絡安全太勢；安全技術人員可以及時發(fā)現(xiàn)安全事件。網(wǎng)絡中發(fā)生了什么安全事件，有哪些外部入侵行為，是否有人對重要的服務器進行攻擊，是否有人在進行嗅探，及時發(fā)現(xiàn)突發(fā)的安全問題，快速定位安全問題、針對安全事件采取有效措施進行處理，集中監(jiān)控網(wǎng)絡蠕蟲等特殊事件，了解并制止?jié)撛诘膬?nèi)外攻擊行為，及時發(fā)現(xiàn)并清除網(wǎng)絡病毒、惡意代碼[2]。

3 建立應急響應的方法

信息安全事件應急響應完整的活動內(nèi)容應當包括：（1）未雨綢繆，即在事件發(fā)生前事先做好準備，比如風險評估、制定安全計劃、安全意識的培訓、以發(fā)布安全通告的方式進行的預警、以及各種防范措施；（2）亡羊補牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統(tǒng)，發(fā)現(xiàn)事件發(fā)生后，采取系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、采取系統(tǒng)恢復、調(diào)查與追蹤、入侵者取證等一系列操作[3]。

3.1 信息安全事件分級

首先，需要清楚高校的業(yè)務活動，通過業(yè)務的重要程度進行分析進行分級，包括核心、重要和一般3個等級（見表1）。

表1 業(yè)務的重要程度分級

其次，對事件的危害程度進行分級（見表2）。

表2 事件的危害程度分級

根據(jù)業(yè)務的重要程度、事件的危害程度建立信息安全事件的分級，由低到高分為一級至四級（見表3）。

表3 信息安全事件的分級

3.2 組織機構

為有序開展應急響應的相關工作，學院應建立相應的組織機構，并各負其責。一般情況下采取分級管理的模式，由應急領導小組、專家組和應急工作小組構成。

領導小組負責信息系統(tǒng)安全事件應急處理工作的規(guī)劃、計劃和規(guī)范；負責應急響應預案的審議工作；負責學院信息系統(tǒng)應急響應體系的建設工作；負責審定專家組和工作小組的人員組成；發(fā)生三、四級信息安全事件后，決定啟動應急預案，組織應急處置工作，并負責組織向上級信息系統(tǒng)應急處理領導小組報告安全事件的相關工作。

專家組負責向領導小組提供決策信息，是信息系統(tǒng)安全事件應急響應的咨詢機構；針對發(fā)生的信息安全事件，分析事件產(chǎn)生的原因并給出有效的解決方案；根據(jù)信息系統(tǒng)的安全評估報告，針對網(wǎng)絡安全現(xiàn)狀提出切實可行的預防及整改建議。

工作小組負責信息系統(tǒng)信息安全事件應急處置工作及其運行機制的建設；負責制訂信息安全事件等級標準、應急處理規(guī)章制度；負責應急預案的制訂和修訂工作；開展安全事件應急處理演練和培訓工作。

3.3 預案

預案是針對歷史發(fā)生的或可預見的信息安全事件而預先制定的解決措施，便于事件處置過程的正常有序開展。預案應包括以下內(nèi)容。（1）目的和依據(jù)：描述預案的目的及編制依據(jù)。（2）適用范圍：描述預案適用的范圍和啟動的條件。（3）系統(tǒng)及資源：對當前系統(tǒng)所涉及的軟硬件資源進行詳細的描述，包括服務器的安裝位置、操作系統(tǒng)版本、數(shù)據(jù)庫版本、網(wǎng)絡資源配置、應用系統(tǒng)版本等。（4）標準處置預案：針對系統(tǒng)常見故障至處置方案，該方案可以調(diào)用已知的標準處置預案，如操作系統(tǒng)重裝、數(shù)據(jù)恢復、系統(tǒng)遷移服務器等。（5）故障快速定位：順序列出系統(tǒng)故障的分析過程，幫助系統(tǒng)維護人員快速進行故障的診斷，準確定位故障點。

3.4 日常演練

為提高預案的執(zhí)行效率和準確性，應定期開展應急響應的日常演練，日常演練是系統(tǒng)應急響應的重要環(huán)節(jié)，通過模擬實戰(zhàn)的方式讓系統(tǒng)維護的相關人員熟悉操作流程、操作步驟，提高相互配合的協(xié)同工作能力。同時，通過演練可以驗證預案的可行性，避免紙上談兵。應急演練的方式可以分為桌面演練和實際演練兩種方式。桌面演練是將預案相關人員集中在會議室，模擬系統(tǒng)故障，演練人員口述各自的職責和操作內(nèi)容，完成系統(tǒng)的恢復。實際演練是對系統(tǒng)所依賴資源進行中斷處理，如關閉核心交換機、斷開數(shù)據(jù)庫連接等，組織相關人員按照預案進行故障分析、診斷及系統(tǒng)恢復，同時對恢復時間進行計時，必要時可以由專家組對演練的效果進行評價，利用后期預案的優(yōu)化和修訂。

4 結語

信息系統(tǒng)的應急響應由于涉及范圍廣、影響因素多，目前還處于起步階段，需要通過不斷的優(yōu)化和完善來提高可行性。

[1] 戴有煒.Windows server 2003 Active Directory配置指南[M].北京：清華大學出版社，2004.

[2] 顧巧論.計算機網(wǎng)絡安全[M].北京：清華大學出版社，2004.

[3] 陳艷玲.我國高校網(wǎng)站發(fā)展與校園文化建設研究[D].成都：四川大學，2007.

Study on emergency response of information system

Zhang Yan
（Jinken College of Technology, Nanjing 211100, China）

With the deepening of the informatization construction in colleges and universities, departments daily work is increasingly dependent on information systems. When the system due to unexpected events and can not provide services, how to emergency response measures taken to reduce the effects of system service interruption to the business activities is an important research subject. Based on the practical experience of daily operation and maintenance, this paper analyzes the weak links of system operation, and puts forward some methods and suggestions for establishing the emergency response mechanism of information system.

information system; emergency response; operation and maintenance

張燕（1981- ），女，江蘇南京人，實驗師，學士；研究方向：網(wǎng)絡技術。