应急预案要注重预警机制

　　高校网络信息安全建设和管理中，应急响应处置是非常重要的环节，特别是在目前高校网络安全人员普遍匮乏、技术水平不高的背景下，抓好应急响应工作就显得更为至关重要。大连理工大学网络信息安全应急机制的建设也是在同样的背景和大环境下进行的，由于人员不足、设备短缺，在短期内无法建成完善的校内网络信息安全技术体系和管理机制，这就难免出现病毒、网络攻击等各类网络安全事件，对于这些安全事件的应急响应和处置就成为了保障校内网络安全、降低安全事件影响的关键。

　　大连理工大学经过多年的探索，初步建立了比较适合本校实际情况的网络信息安全应急机制，主要包括管理制度建设、队伍建设、预警机制、重大活动保障机制、应急响应处置、以及第三方的应急安全服务外包。

　　首先是制度建设和组织机构、队伍建设，这也是规范的应急机制建设的基础。早期，校内的网络安全事件应急响应没有明确的制度和组织队伍的保障，造成责任不明、部门间协调困难、响应不及时等问题，因此近年学校加强了制度方面的建设，出台了一系列管理办法和规范文档（见表1），为网络安全应急机制提供了制度保障。

　　同时相关制度中也对组织机构进行了定义，相互关系见图1。学校网络与信息安全工作组是网络信息安全应急工作的领导机构，必要时需向学校网络安全与信息化建设委员会汇报。网络与信息化中心（以下简称网信中心）是执行机构，具体负责各类网络安全事件应急响应的组织与技术支持，党委宣传部负责应急响应中舆情分析及监控，党委保卫处负责与公安部门的沟通联系。各单位是本单位主管信息系统的主要安全责任单位，负责网络安全事件应急响应中相关信息系统的修复、整改等。为了提高应急响应的专业水平，学校还采购了第三方专业安全公司的网络安全外包服务，主要参与安全预警、重大活动保障和网络安全事件的应急处置。网信中心还组建了学生信息安全技术团队，主要参与安全预警、校内安全检测等工作。

　　通常认为，应急响应处置是应急机制核心，但仅仅靠应急响应处置来处理网络安全事件，就显得过于被动，往往造成疲于应对的局面。在《国家网络安全事件应急预案》中也提出“早发现、早预警、早响应”的基本原则，把主动检测和及时预警作为应急预案的必要环节。因此建立预警机制，特别是建立重大活动保障机制，可以主动消除或降低多数安全风险，降低应急响应频率、难度，也能减轻应急工作压力。近年学校也开始探索建立预警机制和重大活动保障机制，除了增加相应的安全设备、加强校内的技术力量，外包的安全服务也起到非常重要的作用。特别是重大活动保障中，第三方安全厂商发挥了重要作用，从年度保障计划、每次重大活动保障方案的制定，到重点信息系统的检测与监控，再到重大活动期间的值守，以及最后的保障总结都包含在重大活动信息安全保障服务合同中。表2列出了重大活动信息安全保障外包服务的部分工作内容，第三方厂商将按此提供专业化服务，学校也会按此进行验收。在预警机制中，安全厂商也成为重要的信息来源，特别是对于各类通用型漏洞、0day漏洞等，安全厂商凭借其庞大的专业队伍及广泛的安全信息搜集渠道，能够较早地发现此类安全问题，及时发出安全预警，并提供专业的应急处理建议。安全厂商已经与安全漏洞平台、安全组织、高校网络信息安全工作组共同构成了学校网络安全预警信息的主要来源，结合对校内相关安全情况的检测，可以更准确、及时地对安全威胁作出评估，并发布相关预警信息。

　　制定分级处置办法

　　应急响应处置发展的时间较长，处置方案及流程相对比较成熟，大连理工大学同样是采取传统的分级处置方法，主要是在学校范畴内考虑信息系统的重要程度、损失情况以及对学校工作和社会造成的影响范围，根据《信息安全事件分类分级指南》以及《国家网络安全事件应急预案》，将校内网络安全事件分为Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）和Ⅳ级（一般）四级。其中Ⅳ级（一般）事件由校内各单位自行处理，处理完成后报网信中心备案；Ⅱ级（重大）、Ⅲ级（较大）事件由网信中心组织、信息系统主管部门负责进行修复整改，经网信中心技术审核确认后完成事件处理并备案；Ⅰ级（特别重大）事件则有学校网络与信息安全工作组统一指挥，组织网信中心、校内各相关部门及安全服务外包厂商共同应对，必要时需上报学校网络安全与信息化建设管理委员会决策，完成修复整改后由网信中心技术审核，然后备案。对于Ⅰ级（特别重大）事件需由安全服务外包厂商协助处理，主要工作集中在问题确认、取证溯源、系统修复及责任认定等方面，需要安全厂商提供专业的检测分析及安全修复服务，还要通过其专业资质提供有法律效力的权威技术报告。在其他级别的安全事件处置中，如校方技术力量不足，不能彻底解决问题，也会有安全厂商提供相关的应急处置服务。

　　综上，在目前的网络安全形势下，对于高校网络安全应急响应的要求越来越高，除了不断提升高校自身的应急响应能力和技术水平外，适当引入专业安全厂商做安全服务外包，提供了一种较快速的解决方案。学校采购安全外包服务时间不长，但对于应急机制的改进已经比较明显，初步形成了较规范的重大活动信息安全保障机制，对安全事件的应急处置提供了有力支撑，丰富了预警信息的获取渠道并保障了准确性和稳定性。在信息安全外包服务厂商的协助下，2017年上半年大连理工大学顺利完成“达沃斯会议”、高考等4次重大活动的网络信息安全保障工作，应急处理2起安全事件，协助发现超过10例信息系统安全漏洞，在wannacry、“永恒之石”、“暗云”等勒索病毒大规模爆发时都及时发出了安全预警。但由于学校初次采购安全外包服务，安全厂商也是首次面向高校服务，所以双方都有很大改进提升空间。比如在保障方案的制定、安全事件的应急处置还可以进一步细化工作，明确双方各自的任务和职责，提高协同的效率，这也需要相应提高学校的资金投入和厂商的人力投入。另外，学校目前的网络安全应急响应机制在预案演练、人员培训等方面还是存在较大不足，未来考虑将进一步将安全服务外包引入相关领域，尽快补齐短板，全面提升学校的网络安全应急响应水平。

　　（作者单位为大连理工大学网络与信息化中心）