網絡安全應急響應管理平臺的設計與實現

肖 偉

（揚州大學信息化建設與管理處 江蘇 揚州 225012）

0 引言

在信息技術高速發展的今天，互聯網和信息化已經融入社會生活的方方面面，給人們的生產生活帶來了諸多便利。與此同時，網絡安全問題也伴隨著網絡應用的普及而擴散，給國家安全、社會穩定和公眾利益帶來了新的安全挑戰。高校在社會中承擔了人才培養、科學研究、社會服務等諸多職能，扮演著學校、研究機構、服務單位等多種角色。作為一個擁有多重屬性的機構，所面臨的網絡安全問題尤為突出，如何及時、高效、妥善地處理好網絡安全突發事件，是眾多高校在網絡安全管理工作中面臨的共性難題。

高校在網絡安全應急管理工作中普遍存在以下幾個方面的問題：一是資產歸屬不清晰。在信息化建設中，信息系統和服務器之間往往會出現一對一（一臺服務器運行一個信息系統）、多對一（多臺服務器組成一個信息系統）的復雜情況，發生網絡安全問題時往往無法準確定位到相應的信息系統和服務器，無法及時聯系到相應的系統管理員，應急響應工作難以進行[1]；二是問題通報不及時。目前對網絡安全問題的通報，主要是通過借助網絡聊天工具、電子郵件等渠道下發通報文件的方式來實現，難以確保相關工作人員能夠及時獲知信息、接收到通報文件并進行處置；三是處置流程不智能?，F有的處置流程是學校網絡安全管理員收到安全通報后，通知安全工程師進行初步驗證，確認問題真實存在后，通知網絡工程師在防火墻等設備對涉事系統進行網絡限制，同時由安全工程師進一步驗證問題并編制標準化安全通報文件[2]。通報文件下發后，由涉事系統的管理員進行處置并反饋處置結果，經安全工程師確認處置完成后，由網絡工程師恢復涉事系統的網絡訪問。在實際工作中，很多寶貴的時間花費在與各環節人員的對接上，影響了網絡安全應急響應的效率。

為了解決上述問題，建立一套網絡安全應急管理平臺就顯得很有必要。通過這套平臺能夠實現以下功能：一、建立清晰明了的資產清單；二、建立及時通暢的通報渠道；三、建立智能高效的處置流程。

1 平臺整體架構

1.1 平臺運行體系

高校普遍擁有數十個業務部門和學校，業務涉及面廣，信息系統的功能包羅萬象。網絡安全管理工作面臨著 “二級單位多，業務種類多，信息系統多”的問題[3]。在這種情況下，高校網絡安全應急響應管理平臺，在運行過程中就需要把所有單位都容納進來，建立一個“從上而下，到底到邊”，覆蓋到校內的所有部門和學院的“校、院、個人”三級垂直管理體系。

本平臺運行體系的頂層是學校網絡安全與信息化領導小組，負責全校網絡安全應急響應匯總和安全形勢分析研判，組織開展網絡安全應急響應通報，統籌協調網絡安全應急響應處置。網絡安全主管部門（一般為信息化部門）負責承擔學校網絡安全應急響應的日常工作，是學校網絡安全應急管理的直接責任單位，負責學校網絡安全應急響應管理平臺的建設、技術支撐和日常管理，負責學校網絡和信息系統（網站）的安全監測、漏洞掃描、督促整改、統籌管理和綜合評估，負責對各二級單位網絡和信息系統（網站）進行監管并對安全管理員進行網絡安全應急響應培訓。各二級單位在學校統一領導下負責本單位網絡安全應急響應工作。各單位指定政治可靠、業務能力強、有責任心的在編在崗職工擔任網絡安全管理員，負責統籌本單位的網絡安全應急響應管理，并與網絡安全主管部門對接本單位所有信息系統的信息安全事件應急處理與反饋等工作。各單位在對本單位信息資產進行梳理的基礎上，為每一個信息資產指定系統管理員，負責該信息資產的網絡安全應急響應管理工作，在發生涉及該信息資產的網絡安全事件時執行具體的響應處置工作。

1.2 平臺總體設計

本平臺從底層往上，按照業務邏輯和安全管理的要求，分為物理層、數據層、功能層、應用層等四個層級，此外還包括平臺本身的數據加密、數據監控、數據脫敏，平臺與統一身份認證、短信平臺等第三方系統的對接等功能模塊。每一層的具體設計如下：

物理層，是校內所有設備在物理層面的展示。包括服務器、網絡設備、安全設備、存儲、數據庫、云平臺、虛擬化等，這個層面包括設備的物理位置、網絡連接、存儲連接等所有狀態信息的收集匯總上傳。

數據層，是將從物理層采集的數據信息，包括資產信息、配置信息、事件信息、漏洞信息等，進行數據層面的整理、過濾并做標準化處理后，形成可以被平臺直接讀取處理的標準數據[4]。本層還包括對用戶主動輸入信息的處理歸檔等。

功能層，包括信息系統管理、服務器管理、人員管理、漏洞管理、事件管理、處置流程管理等。既涉及對物理層所上報信息的處理，如某些端口出現流量異常如何處置，亦涉及從其他平臺接入信息的處理，如省廳下發的漏洞通報如何下發并督促整改核查[5]。

應用層，這個層面包括信息資產界面、處置界面、日志界面、設備界面等，主要是平臺與用戶的交互界面。這個界面是日常用戶實際接觸使用的界面。

本平臺主要包括四大功能模塊：人員信息管理模塊、信息資產管理模塊、安全事件通報模塊、應急響應處置模塊，覆蓋從事前日常管理、事中應急處置、事后整理分析三個階段的全過程信息化管理需求。如圖1所示。

圖1 網絡安全應急管理平臺架構圖

2 平臺功能實現

2.1 人員信息管理模塊

本模塊用于實現全校范圍的網絡安全架構圖譜和專職人員、網絡安全人員和安全專家等三類人員的管理。

如圖2所示：專職人員管理。包括各信息系統廠商人員的情況及變動記錄，可以實現查詢任一信息系統當前的技術人員名單、分工和聯系方式。各單位網絡安全人員管理，包括全校管理員，各單位網絡安全與信息化管理員，各信息系統管理員等分級角色及權限[6]。該部分支持統一身份認證，對相關用戶開放統一身份認證登錄網絡安全管理平臺的權限，登錄后能管理其權限內的信息系統。專家隊伍管理，該部分包含校內專家和校外專家的管理，內容包括專家姓名、聯系方式、擅長領域等，便于發生網絡安全突發事件時能夠聯系到相關領域的專家獲得技術支持。

圖2 專職人員管理頁面

2.2 信息資產管理模塊

本模塊用于實現資產掃描、資產認領、服務器與系統關聯、資產全生命周期管理等功能。信息資產包括網絡資產、信息系統資產、服務器資產、IP資產等。

網絡資產，包括機房、弱電間、網絡設備的地點、責任人等清單[7]，確保出現網絡安全事件時能夠快速定位到相應網絡安全設備。信息系統資產，包括資產的基本功能、啟用時間、責任人、維保信息、插件信息等。根據系統用途、重要性等對信息系統資產進行分級，一共分為三級：一級最高，三級最低。出現安全事件時，根據信息系統安全等級決定著應急響應等級和安全事件等級。服務器資產，通過資產發現系統主動檢測，各單位自行上報等渠道，建立服務器資產庫。內容包括資產類型、IP地址、CPU、內存、硬盤、單位、管理員等信息。IP資產，包括協議版本、是否公網IP、解析域名、綁定主機等信息。數據資產，包括數據字段、是否包含公民個人信息數據、資產來源、開放情況、調用及審批情況等。如圖3、圖4所示。

圖3 服務器資產管理界面

圖4 IP資產管理界面

2.3 安全事件通報模塊

如圖5所示，本模塊用于實現事件驗證、事件分類分級、應急處置、通報下發等功能。發生安全事件時，首先判斷事件類型，根據不同的事件類型和事件原因，由平臺自動采取科學有效的應急處置措施，如臨時關閉80端口、停止web服務等，降低事件影響[8]。對網頁篡改、公民個人信息泄露等緊急事件，可以先做應急處置再通過平臺通知網絡安全工程師對事件進行驗證，確認事件真實性后，根據事件類型、影響范圍、對客體的侵害程度等要素，將事件分為四級：一級最高，四級最低。編制網絡安全通報并通過平臺下發至相關單位網絡安全與信息化管理員和信息系統管理員。

圖5 安全事件通報界面

2.4 應急響應處置模塊

本模塊用于實現事件處置、結果上報、復測驗證、業務恢復、溯源取證等功能。相關網絡安全工作人員在收到安全通報后，一方面要確認事件當前狀態，采取臨時措施控制事態發展；另一方面通知技術人員開展事件處置工作。網絡安全主管部門收到反饋后，需要對網絡安全事件進行復測驗證，確定事件已處置且無遺留問題后，由平臺自動下發命令到相應網絡和安全設備，恢復業務[9]。業務恢復后，視事件類型、危害程度等因素，由網絡安全主管部門和相關單位會商決定是否進行溯源取證。流程流轉到某個環節時，平臺通過短信、郵件等渠道自動發送相關信息給對應人員，工作人員登陸平臺即可看到當前的處置任務。通過流程圖實時記錄相關工作人員登陸平臺及處置情況并呈現給管理部門，做到實時高效處置。如圖6所示。

圖6 網絡安全事件應急處置流程圖

3 結論

本文以高校網絡安全應急管理需求為背景，研究了網絡安全應急管理平臺的運行體系，總體設計和人員信息管理、信息資產管理等模塊功能。以信息資產為抓手，通過資產管理建立一張信息資產清單，做到出現網絡安全問題可以快速定位[10]。在此基礎上，借助安全事件下發處置流程建立一張能夠有效運行的網絡安全處置體系，平時通過日常事件處置來暢通通報渠道，維持體系運轉并鍛煉應急隊伍。發生網絡安全事件時，能夠借助平臺快速進行應急處置。本研究充分考慮了高校網絡安全應急工作的復雜性，亦可適用于其他網絡環境，如電子政務網、大型數據中心等，有一定的應用價值。