【大家谈】安全应急预案关键在于“落实” | 网络安全
应急响应的前提
面对网络信息安全不断严峻的形势,高校在完善信息化建设与网络安全治理的长效体制、管理流程、设备技术、人员队伍的同时,首当其冲的是要根据政策环境要求,明确学校网络信息安全责权制度和制定完备有效的网络信息安全应急预案。
《中华人民共和国网络安全法》、教育部《信息技术安全事件报告与处置流程(试行)》《教育行业网络安全综合治理行动方案》等都对监测预警、应急响应等提出了明确要求。
高校制定网络信息安全应急预案的前提,就是要明确学校网络信息安全的责权体制,也就是要明确“谁主管谁负责、谁运维谁负责、谁使用谁负责”,明确网络信息安全工作的责任方、管理方、技术支持方的责权边界。
由于网络安全漏洞信息的获取和处置是提升组织整体安全水平的重要手段,因此高校网络信息安全应急预案不仅需要明确和规定针对学校相关的网络安全事件的应对工作,也应该包括对网络安全漏洞的应对工作。
现阶段制定网络信息安全应急预案,主要是确定具体安全事件、安全漏洞等网络信息安全信息的获取途径,内部通知和上报机制,分级应急处置手段,整改督促和监督,后续报告与确认等流程和内容。
以下示例就是某高校网络信息安全技术部门制定的网络信息安全处置预案,主要从工作内容、相关部门、参与人员、安全事件分级、安全情报信息来源、现有处置手段、处置与上报流程及时间要求等七个部分对应急处置工作进行规范,根据不同的安全事件级别采取有针对性的处置手段和提出相应的时间要求,将网络安全事件应急响应工作落到实处。
应急响应预案示例
以下是某高校网络信息安全处置预案的七个方面:
工作内容
校园网络和数据中心安全防控:校园网络出口路由和交换设备安全策略配置,数据中心出口网络防火墙、应用防火墙等设备部署。常态化主机与应用漏洞扫描:每周对托管在网络中心管理范围内的物理主机和虚拟主机,利用现有主机与应用漏洞扫描设备,进行主动漏洞扫描,对存在高危可被利用漏洞的主机信息进行汇总和上报。
安全事件响应、处置、通知和监督整改:从各类信息来源实时获取学校相关的网络信息安全情报,及时进行分析、确认、处置、通知和监督整改等工作。
2
相关部门
责任部门:网络安全事件、安全漏洞的主管部门;
管理部门:信息化建设与网络安全办公室;
技术支持部门:网络信息中心。
3
参与人员
整体组织协调:××。
技术支撑与应急处置:主要参与人员包括××、××、……。
此外,网络信息中心其他同事也须在值班期间和所属工作范围内支持网络信息安全工作。
4
安全事件分级
(1)安全事件,学校相关主机或服务发生页面被篡改、数据泄漏、网站被挂木马、主机被入侵等状况。
政治类,涉及反党、反国家、反人类等相关信息;
非政治类,不涉及政治相关内容。
(2)安全漏洞,通过各种途径获知的学校相关主机或服务存在可被黑客利用的漏洞,即存在被攻击风险,但是尚未被黑客利用。
5
安全情报信息来源
(1)教育部科技司和教育管理信息中心、××省教育厅等信息安全事件通报
(2)补天、漏洞盒子等主流漏洞平台获取的学校相关的漏洞信息
通过电子邮件(security@mail.×××.edu.cn)或网站浏览获取漏洞信息。
(3)中国高等教育学会教育信息化分会下属的网络信息安全工作组
教育行业漏洞报告平台(Beta)(https://src.edu-info.edu.cn/)、在线漏洞发现与检测平台(http://202.112.26.107/),网络信息安全工作组信息交流微信群和QQ群(224539320),国家信息安全漏洞共享平台(http://www.cnvd.org.cn/)教育行业漏洞信息。
(4)CERNET应急响应组
依托清华大学的CERNET应急响应组会第一时间电话、QQ和邮件告知学校相关的漏洞信息。
学校自有漏洞扫描设备、360免费企业平台或人工扫描获取。
6
现有处置手段
(1)断开网络服务(包括面向互联网和校园网内):IP地址封锁系统,人员在线登录后操作,主要供值班人员第一时间进行处置;在该系统中处置后,访问相应的网站或信息系统将跳转到指定页面,在页面中提示具体的封禁原因,并记录详细操作日志。
(2)断开互联网访问(校内可以访问):主要是两种方式,一种是在出口计费系统后台,封锁对应透明IP地址账号;一种是在出口网络设备上,增加安全策略。实际处置过程中,主要通过计费系统操作。
(3)关闭物理主机:需要值班人员手工操作。
(4)关闭虚拟主机:在线登录虚拟主机管理平台操作。
7
处置与上报流程及时间要求
(1)校园网络和数据中心安全防控:技术支持部门实施配置和日常管理;
(2)常态化主机与应用漏洞扫描:技术支持部门每周对托管在学校管理范围内的物理主机和虚拟主机进行主机与应用漏洞扫描,每周一汇总扫描情况,对存在高危可被利用漏洞的主机信息进行汇总和上报校管理部门;
(3)安全事件发现、响应、处置、通知和监督整改:
安全事件:政治类
第一时间(从安全事件信息获取到处置力争不超过30分钟)从技术支持部门能力范围断开网站和信息系统的互联网访问,主机托管在技术支持部门的第一时间关闭相关的物理或虚拟主机,第一时间汇报给管理部门;
技术支持部门安全、网络和信息团队提供后续技术支撑;
责任部门报送整改报告(学院部处主要领导签字,并加盖处级单位公章)到管理部门,技术支持部门根据管理部门要求进行技术验证后,恢复互联网访问。
安全事件:非政治类
第一时间(从安全事件信息获取到处置力争不超过6小时)从技术支持部门能力范围断开网站和信息系统的互联网访问,第一时间汇报给管理部门;
根据技术支持部门托管联系人信息或查找的校内联系方式,告知相关部处人员进行处置,或由管理部门直接通知到责任部门领导以加快整改;
技术支持部门安全、网络和信息团队提供后续技术支撑;
责任部门报送整改报告(学院部处主要领导签字,并加盖处级单位公章)到管理部门,技术支持部门根据管理部门要求进行技术验证后,恢复互联网访问。
安全漏洞
对于面向互联网提供信息发布功能的网站或系统,第一时间(从安全漏洞信息获取到确认不超过24小时)确认安全漏洞是否属实,确认属实后第一时间(从安全漏洞确认到处置力争不超过6小时)从技术支持部门能力范围断开网站和信息系统的互联网访问,防止漏洞被利用出现安全事件,第一时间汇报给责任部门;
根据技术支持部门托管联系人信息或查找的校内联系方式,告知相关部处人员进行处置,或由管理部门直接通知到责任部门领导以加快整改;
技术支持部门安全、网络和信息团队提供后续技术支撑;
对于断开互联网访问的系统,责任部门报送整改报告(学院部处主要领导签字,并加盖处级单位公章)到管理部门,技术支持部门根据管理部门要求进行技术验证后,恢复互联网访问;
对于没有面向互联网提供信息发布功能的网站或系统,技术支持部门主要履行告知义务,技术支持部门安全、网络和信息团队提供技术支持。
技术支持部门组成的跨网络运行管理和信息系统管理的网络信息安全团队,将严格按照工作计划内容支撑学校网络信息安全工作。
(作者单位为东北大学信息技术研究院)
【回顾】网络安全应急响应