张 燕

（金肯职业技术学院，江苏 南京 211100）

信息系统的应急响应研究

张 燕

（金肯职业技术学院，江苏 南京 211100）

随着高校信息化建设的不断深入，各部门日常工作也愈发对信息系统依赖，当系统因突发事件而无法正常提供服务时，如何采取应急响应措施尽量降低系统服务中断对业务活动的影响是一项重要的研究课题。文章从日常运行维护的实际经验出发，分析系统运行的薄弱环节，提出了建立信息系统应急响应机制的一些方法和建议。

信息系统；应急响应；运行维护

2017年6月18日至7月6日，由教育部科技发展中心主办，《中国教育网络》杂志承办的“2017年教育行业信息安全大会”在北京、南京、武汉、西安四地举行。来自全国高校信息中心、计算机院校及软件工程学院近千人参加了此次会议。在活动期间，共组织了4个“高峰论坛”，其中就有校园网安全应急响应机制建设论坛，可见校园网应急响应机制的建设已是保障校园网安全的重中之重。

1 应急响应的概念

要给出应急响应的定义，首先需要定义什么是信息安全事件，信息安全事件是由于自然或者人为以及软硬件本身缺陷或故障原因，对信息系统造成危害，或在信息系统内发生对社会或高校造成负面影响的事件[1]。应急响应通常是指一个组织为了应对计算机网络系统上各种意外事件的发生所做的准备以及事件发生后迅速采取的措施和行为。应急响应是一项系统的工程，是以各种技术为核心，辅助以各种资源、网络而形成的一个完整的整体。

2 应急响应的意义

应急响应是对安全事件按一定的程序进行处理，其主要任务是尽可能缩小事件发生的范围和数量、防止事件升级、系统恢复以及责任认定等。

应急响应对系统建设单位、信息安全主管领导和技术人员都有好处。对学院来说，应急响应可以提升安全理念、降低风险、减少损失、完善安全体系、深入挖掘自身安全需求；信息安全主管领导通过应急响应体系，可以第一时间了解网络的安全形势，把握整个学院的整体网络安全太势；安全技术人员可以及时发现安全事件。网络中发生了什么安全事件，有哪些外部入侵行为，是否有人对重要的服务器进行攻击，是否有人在进行嗅探，及时发现突发的安全问题，快速定位安全问题、针对安全事件采取有效措施进行处理，集中监控网络蠕虫等特殊事件，了解并制止潜在的内外攻击行为，及时发现并清除网络病毒、恶意代码[2]。

3 建立应急响应的方法

信息安全事件应急响应完整的活动内容应当包括：（1）未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；（2）亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，发现事件发生后，采取系统备份、病毒检测、后门检测、清除病毒或后门、隔离、采取系统恢复、调查与追踪、入侵者取证等一系列操作[3]。

3.1 信息安全事件分级

首先，需要清楚高校的业务活动，通过业务的重要程度进行分析进行分级，包括核心、重要和一般3个等级（见表1）。

表1 业务的重要程度分级

其次，对事件的危害程度进行分级（见表2）。

表2 事件的危害程度分级

根据业务的重要程度、事件的危害程度建立信息安全事件的分级，由低到高分为一级至四级（见表3）。

表3 信息安全事件的分级

3.2 组织机构

为有序开展应急响应的相关工作，学院应建立相应的组织机构，并各负其责。一般情况下采取分级管理的模式，由应急领导小组、专家组和应急工作小组构成。

领导小组负责信息系统安全事件应急处理工作的规划、计划和规范；负责应急响应预案的审议工作；负责学院信息系统应急响应体系的建设工作；负责审定专家组和工作小组的人员组成；发生三、四级信息安全事件后，决定启动应急预案，组织应急处置工作，并负责组织向上级信息系统应急处理领导小组报告安全事件的相关工作。

专家组负责向领导小组提供决策信息，是信息系统安全事件应急响应的咨询机构；针对发生的信息安全事件，分析事件产生的原因并给出有效的解决方案；根据信息系统的安全评估报告，针对网络安全现状提出切实可行的预防及整改建议。

工作小组负责信息系统信息安全事件应急处置工作及其运行机制的建设；负责制订信息安全事件等级标准、应急处理规章制度；负责应急预案的制订和修订工作；开展安全事件应急处理演练和培训工作。

3.3 预案

预案是针对历史发生的或可预见的信息安全事件而预先制定的解决措施，便于事件处置过程的正常有序开展。预案应包括以下内容。（1）目的和依据：描述预案的目的及编制依据。（2）适用范围：描述预案适用的范围和启动的条件。（3）系统及资源：对当前系统所涉及的软硬件资源进行详细的描述，包括服务器的安装位置、操作系统版本、数据库版本、网络资源配置、应用系统版本等。（4）标准处置预案：针对系统常见故障至处置方案，该方案可以调用已知的标准处置预案，如操作系统重装、数据恢复、系统迁移服务器等。（5）故障快速定位：顺序列出系统故障的分析过程，帮助系统维护人员快速进行故障的诊断，准确定位故障点。

3.4 日常演练

为提高预案的执行效率和准确性，应定期开展应急响应的日常演练，日常演练是系统应急响应的重要环节，通过模拟实战的方式让系统维护的相关人员熟悉操作流程、操作步骤，提高相互配合的协同工作能力。同时，通过演练可以验证预案的可行性，避免纸上谈兵。应急演练的方式可以分为桌面演练和实际演练两种方式。桌面演练是将预案相关人员集中在会议室，模拟系统故障，演练人员口述各自的职责和操作内容，完成系统的恢复。实际演练是对系统所依赖资源进行中断处理，如关闭核心交换机、断开数据库连接等，组织相关人员按照预案进行故障分析、诊断及系统恢复，同时对恢复时间进行计时，必要时可以由专家组对演练的效果进行评价，利用后期预案的优化和修订。

4 结语

信息系统的应急响应由于涉及范围广、影响因素多，目前还处于起步阶段，需要通过不断的优化和完善来提高可行性。

[1] 戴有炜.Windows server 2003 Active Directory配置指南[M].北京：清华大学出版社，2004.

[2] 顾巧论.计算机网络安全[M].北京：清华大学出版社，2004.

[3] 陈艳玲.我国高校网站发展与校园文化建设研究[D].成都：四川大学，2007.

Study on emergency response of information system

Zhang Yan
（Jinken College of Technology, Nanjing 211100, China）

With the deepening of the informatization construction in colleges and universities, departments daily work is increasingly dependent on information systems. When the system due to unexpected events and can not provide services, how to emergency response measures taken to reduce the effects of system service interruption to the business activities is an important research subject. Based on the practical experience of daily operation and maintenance, this paper analyzes the weak links of system operation, and puts forward some methods and suggestions for establishing the emergency response mechanism of information system.

information system; emergency response; operation and maintenance

张燕（1981- ），女，江苏南京人，实验师，学士；研究方向：网络技术。