应急响应预案编制与管理

2016-03-15

网络安全和信息化 2016年7期

应急响应预案是为了降低安全事故带来的损失，就事故发生后的应急响应组织和人员、应急响应所需的资源、处理的步骤和纲领、控制事故发展的方法和程序等，预先做出的科学的计划和安排。应急响应预案的编制和管理属于应急响应处理的准备阶段，在整个应急响应管理体系中尤为重要，应急响应预案是否合理、完善，是评估整个应急响应体系的重要指标。

应急响应预案的内容应该具备针对性和可操作性，针对不同安全事件制定不同的应急响应预案。预案里的操作步骤要详细、可行，每个步骤必须经过严格验证。

制定好应急响应预案后，必须要对相关人员进行培训，使相关人员了解并熟悉故障恢复流程，让应急响应预案得到理解并发挥实际作用。

俗话说“动口不如动手”，要使预案能够真正得到验证并贯彻落实，开展应急演练活动是最好的方式。下面将结合实际案例对应急预案编制和管理进行说明。

该案例的背景和前面文章所述一致，在此不再赘述，本次需要编制一份“联通Internet线路故障”的安全事故的应急响应预案，下面将介绍该应急预案的要点。

编制应急响应预案

1.确定此次安全事故的具体处理人员；事故发生后，由公司应急响应处理小组第一时间进行协调和安排，本案例中的具体处理人员是网络管理员。

2.网络管理人员到位后，要迅速判断故障节点，查明故障原因。如果属于联通Internet线路局端故障，则立即将业务流量切换到备用的电信线路上，保障业务的连续性，同时向联通大客户专线10019进行报修。如果属于防火墙、IPS等网络设备故障，网络管理人员立即进行检测，如果属于配置文件损坏，可立即利用备份的配置文件进行恢复，如果属于硬件故障，则利用备机进行替换（主要网关设备均有备机），并联系厂商进行报修。

3.故障修复后，还需要网络管理人员将网络由应急状态恢复至正常状态。

预案演练

应急响应预案编制完毕后，为检验其有效性，必须定期组织相关人员进行应急演练。下面将介绍此次安全事故的应急演练全过程，演练中的角色包括用户、应急响应小组成员、应急响应小组组长和网络管理人员。整个演练流程如下。

1.用户发现无法访问Internet，将故障反映给应急响应处理小组成员，小组成员立即通知组长，组长通知网络管理人员进行处理。

2.网络管理人员立即赶赴现场，先利用“traceroute-d 202.99.96.68”命令（202.99.96.68为联通DNS地址）判断故障位置，如果故障点在核心交换机，可登录Zabbix监控系统，查看核心交换机的实时运行状态，特别是CPU和内存利用率。如果运行状态正常，则利用Telnet工具登录核心交换机，查看其配置文件，特别是路由的相关配置，看是否遭受篡改，必要情况下，可利用TFTP工具重新导入备份的配置文件进行恢复。如果Zabbix监控状态异常，比如CPU利用率过高，则利用“monitor session”命令进行端口镜像，然后利用Sniffer或者Wireshark抓包工具进行数据分析，查看是哪些数据导致核心交换机状态异常，然后联系相关人员进行处理。如果确定核心交换机硬件故障，则迅速将备机上线，同步相关配置，恢复网络的正常运转，同时联系供应商进行维修。

3.如果故障点在核心交换机的下一跳，则需要确定到底是IPS故障，还是防火墙故障。因为IPS是以透明桥接的模式接入网络，traceroute结果只能反映网络层的路由结果，不论是IPS故障还是防火墙故障，traceroute的结果都是一样。这里可以采用物理隔离的办法进行判断，即将IPS设备从网络线路中剥离出来，看线路是否恢复正常，如果线路恢复正常，则可以断定故障点就是IPS设备，直接向厂商报修即可。如果线路仍然未能恢复正常，说明故障点在防火墙，同样利用Zabbix监控系统查看其状态，如果设备自身CPU利用率、并发连接数等异常，则可以采取抓包分析的方式来定位故障源头。如果是配置遭到篡改，可重新导入配置文件进行恢复；如果硬件故障，则立即启用防火墙备机，同步配置，故障设备联系厂家进行维修。

4.如果故障点在防火墙的下一跳，则说明问题出现在运营商局端位置，此时需要将线路流量切换到备用电信线路上，然后拨打10019电话进行报修。切换线路的具体操作步骤如下所述。

首先登录防火墙修改默认路由，将默认路由的下一跳IP由联通局端地址改为电信局端地址；在防火墙控制台输入命令“set route 0.0.0.0/0 interface ethernet1/1 gateway 221.239.110.131”即可，其中ethernet1/1为联通线路接口，221.239.110.131为电信局端IP，更改完毕后，内网用户访问Internet的数据包都会从电信线路转发。

其次需要对防火墙的DIP设置做出更改，原来的DIP设置是针对联通线路设置的，目的是将Trust→LT_Untrust方向的数据包源地址都变更为联通外网地址。现在需要启用Trust→DX_Untrust方向的DIP设置，目的是将内网通过电信线路转发至外网的数据包的源地址都转换为电信的外网地址，这样才能保证用户通过电信线路访问Internet的合法性。

DIP设置的方法如下：通过Web页面登录防火墙，Network→Interface→ethe rnet3/3→Edit，点击上方菜单“DIP”，点击“New”按钮，新建一个DIP实例，按照要求填写对应的电信外网地址221.239.110.145，点击“OK”保存即可（其中ethernet3/3是防火墙上电信线路的接口）。

DIP实例创建完毕后，需要建立Trust→DX_Untrust的策略，用来调用该DIP实例。点击菜单Policy→Policies，选择“From Trust to DX_Untrust”方向的策略，点击“New”按钮新建一条策略，“source”选择“Any”，“Destination”选择“Any”，“Service” 选择“Any”，“Action”选择“Permit”，然后点击页面下方的“Advanced”按钮，进入高级设置。在NAT设置中选中“Source Translation”，后面下拉框中选择刚才建立的电信DIP实例，其他选项保持默认即可。最后点击“OK”保存并生效。

下一步需要将发布在联通外网的服务器切换到电信链路，保证外网用户能够正常访问这些服务器。下面以IP为10.100.1.23这台服务器为例，方法如下：在防火墙的Web页面，依次访问菜单Network→Interface→ether net3/3→Edit，点击上方的菜单“MIP”，点击“New”按钮，新建一个MIP实例，“Mapped IP”填写给该服务器分配的电信地址221.239.110.146，“Host IP”填写服务器的内网地址10.100.1.23，点击“OK”保存。然后创建DX_Untrust→Trust方向的策略，调用该MIP实例，左边菜单Policy→Policies，然后选择“From DX_Untrust to Trust”方向的策略，点击“New”按钮新建一条策略，“source”选择“Any”，“Destination”选择“MIP（221.239.110.146）”，“Service” 选择“Any”，“Action”选择“Permit”，其他选项保持默认，最后点击“OK”保存并生效。若有其他服务器需要切换，参照此步骤进行。

既然发布在外网的服务器的IP发生了变化，下面就需要在公司外网DNS服务器（Linux平台）上修改对应的解析记录，方法如下。

利用SSH连接外网DNS服务器，然后使用root用户登录，输入命令“vi /var/named/XXX.com.zone”，进入XXX域的数据解析文件，修改对应的A记录，然后保存并退出该文件，最后输入“rndc reload”使变更后的解析记录生效。

最后需要修改内网DHCP服务器（Windows Server 2003）下发的DNS地址，需要从联通DNS改为电信DNS，具体方法如下。

远程桌面登录DHCP服务器，打开DHCP控制台，点击对应的作用域，然后选中“作用域选项”，在右边的展示框中选中“DNS服务器”，右键选择“属性”，将DNS服务器IP改为 219.150.32.132（电信DNS），点击“确定”保存即可。如果有多个作用域，重复此步骤，全部修改完毕之后，通知用户重启电脑或者网卡，重新获取IP配置，即可利用电信线路恢复上网。

5.上述步骤实施完毕后，Internet线路从故障状态过渡为应急状态，各项重要业务得到一定程度的恢复，但是由于备用线路带宽只有20Mbps，如果并发用户过多，很容易造成网络拥塞而导致业务系统访问缓慢，所以在主线路没有恢复之前，必须利用流控设备对重要业务做带宽保障，对非重要业务做带宽限制，保证有限的带宽资源用在“刀刃”上。

6.待联通Internet线路修复后，还需要将网络从应急状态恢复到正常状态，恢复操作的步骤相对简单，只需要按照前五个步骤进行反向操作，即操作顺序改为5→4→3→2→1、删除电信线路相关配置、添加联通线路相关配置，这样就可回退到网络最初的运行状态。恢复操作完成后，还需要利用Traceroute命令检测路由是否正确，同时利用带宽测试工具来检测网络的质量，保证网络状态恢复成功。