杜媛媛

摘 要：近年來，隨著智能手機(jī)和互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)安全越來越受人們的重視。為了應(yīng)對各種突發(fā)的安全事件，人們設(shè)計(jì)出應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)。文章通過研究應(yīng)急響應(yīng)聯(lián)動(dòng)的基本理論、框架構(gòu)成，闡述了系統(tǒng)的運(yùn)行過程以及應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)在實(shí)際事件中的運(yùn)用。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；應(yīng)急響應(yīng)；聯(lián)動(dòng)系統(tǒng)

隨著互聯(lián)網(wǎng)對各個(gè)領(lǐng)域的滲透，我國的網(wǎng)絡(luò)安全防護(hù)任務(wù)越來越重。從20世紀(jì)90年代至今網(wǎng)絡(luò)信息安全可分為4個(gè)階段的發(fā)展過程，即通信安全、計(jì)算機(jī)安全、網(wǎng)絡(luò)安全、內(nèi)容安全。在這4個(gè)階段中，前兩個(gè)發(fā)展階段屬于運(yùn)行安全方面—OPSEC。而對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施與信息的保護(hù)則稱之為物理安全—PHYSEC。隨著網(wǎng)絡(luò)的發(fā)展，隨后又提出了內(nèi)容安全—CONTSEC，其目的是為了解決信息利用方面的安全問題。為了應(yīng)對日益增加的網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)安全對抗必須進(jìn)一步的細(xì)化以及升級(jí)。在此背景下，應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)的建立尤為重要，因?yàn)橥ㄟ^系統(tǒng)的建立，可以提高政府對各種網(wǎng)絡(luò)安全事件的解決能力，減少和預(yù)防網(wǎng)絡(luò)安全事件造成的損失和危害。因此目前對應(yīng)急響應(yīng)及聯(lián)動(dòng)系統(tǒng)的基礎(chǔ)理論、框架構(gòu)建、技術(shù)操作方面的研究尤為重要。

1 應(yīng)急響應(yīng)的基本內(nèi)容

1.1 應(yīng)急響應(yīng)系統(tǒng)的建立

為應(yīng)對網(wǎng)絡(luò)安全事件發(fā)生，事前準(zhǔn)備工作或事后有效措施的實(shí)施便是應(yīng)急響應(yīng)系統(tǒng)建立的目的。應(yīng)急響應(yīng)系統(tǒng)包含5個(gè)步驟。

（1）管理。即組織對事情發(fā)生前后人員之間的職能劃分。

（2）準(zhǔn)備。對于各種網(wǎng)絡(luò)安全事件提前制定的一些應(yīng)急預(yù)案措施。

（3）響應(yīng)。網(wǎng)絡(luò)安全事件發(fā)生后進(jìn)行，系統(tǒng)對事件進(jìn)行安全檢測有效防止系統(tǒng)信息進(jìn)一步遭到破壞，并對已受到破壞的數(shù)據(jù)進(jìn)行恢復(fù)。

（4）分析。為各種安全事件的應(yīng)急預(yù)案提供調(diào)整的依據(jù)，提高防御能力。

（5）服務(wù)。通過對各種資源的整合為應(yīng)急響應(yīng)對計(jì)算機(jī)運(yùn)行安全提供更多的有力的保障。

1.2 應(yīng)急響應(yīng)系統(tǒng)建立必須遵循的原則

（1）規(guī)范化原則。為能保證應(yīng)急響應(yīng)系統(tǒng)有效策略的實(shí)施，各個(gè)組織都應(yīng)該建立相應(yīng)的文檔描述。任何組織應(yīng)急響應(yīng)系統(tǒng)應(yīng)該有清晰和完全的文檔。并有相關(guān)的規(guī)章條例保證系統(tǒng)的有效運(yùn)行。組織成員作為應(yīng)急響應(yīng)系統(tǒng)的服務(wù)者必須遵守相關(guān)的條例，也可以寫入工作職責(zé)來保證系統(tǒng)的有效運(yùn)行。

（2）動(dòng)態(tài)性原則。信息安全無時(shí)無刻不在發(fā)生變化，因此各種安全事件的復(fù)雜性使得應(yīng)急響應(yīng)策略的制定更加具有難度。為了完善應(yīng)急響應(yīng)策略就必須注重信息安全的動(dòng)態(tài)性原則，并對策略實(shí)時(shí)作出相應(yīng)調(diào)整。

（3）信息共享原則。應(yīng)急響應(yīng)過程中，系統(tǒng)會(huì)提供大量可能與安全事件無關(guān)的信息，如果提高應(yīng)急響應(yīng)系統(tǒng)中重要信息被發(fā)現(xiàn)的可能性，在信息提取過程中，信息共享是應(yīng)急響應(yīng)的關(guān)鍵，應(yīng)該考慮將信息共享的對象與內(nèi)容進(jìn)行篩選，交叉分析。

（4）整體性原則。作為一個(gè)系統(tǒng)體系應(yīng)急響應(yīng)的策略具有整體性、全局性，應(yīng)該在所有的互聯(lián)網(wǎng)范中進(jìn)行安全防護(hù)，不放過任何一點(diǎn)的細(xì)節(jié)，因?yàn)橐稽c(diǎn)點(diǎn)的疏漏都會(huì)導(dǎo)致全網(wǎng)的癱瘓。整個(gè)應(yīng)急響應(yīng)策略體系除了要從技術(shù)層面考慮問題也要從管理方面著手，因?yàn)楣芾韱栴}而導(dǎo)致的安全事件更為嚴(yán)重。因此，制定管理方法時(shí)要投入更多的精力來進(jìn)行統(tǒng)籌安排，既要完善管理方法，也要注重技術(shù)層面。

（5）現(xiàn)實(shí)可行性原則。通過判斷應(yīng)急響應(yīng)策略是否合理性來衡量是否在線上具有可行性。

（6）指導(dǎo)性原則。應(yīng)急響應(yīng)系統(tǒng)體系中的策略并非百分之百的解決方案，對組織而言，它只是對于處理網(wǎng)絡(luò)安全事件方法進(jìn)行一定的指導(dǎo)，而對整個(gè)組織工作也只是提供全局性的指導(dǎo)。

2 應(yīng)急響應(yīng)系統(tǒng)體系的總體框架

如果對應(yīng)急響應(yīng)系統(tǒng)體系進(jìn)行劃分，可以將其劃分為兩個(gè)中心和兩個(gè)組。

（1）兩個(gè)中心。應(yīng)急響應(yīng)中心與信息共享分析中心。應(yīng)急響應(yīng)系統(tǒng)體系的關(guān)鍵是信息共享分析中心。它主要負(fù)責(zé)的是對中心收集來的各級(jí)組織的信息進(jìn)行交換和共享，并對整個(gè)網(wǎng)絡(luò)作出預(yù)警或者事件的跟蹤，并對收集來的信息進(jìn)行整理。而應(yīng)急響應(yīng)中心的任務(wù)則是對系統(tǒng)體系預(yù)案進(jìn)行管理，通過對信息共享分析中心各種信息安全事件的分類分析并進(jìn)行應(yīng)急響應(yīng)。

（2）兩個(gè)組。應(yīng)急管理組及專業(yè)應(yīng)急組。應(yīng)急組對整個(gè)事件進(jìn)行全局性指導(dǎo)，并協(xié)調(diào)各個(gè)機(jī)構(gòu)，指導(dǎo)各個(gè)組織成員對事件進(jìn)行應(yīng)急策略的制定。在各類安全事件發(fā)生的過程中，應(yīng)急響應(yīng)與救援處于一個(gè)重要的環(huán)節(jié)，而專業(yè)應(yīng)急組是環(huán)節(jié)的關(guān)鍵，是實(shí)現(xiàn)信息安全保障的核心。通過應(yīng)急組的響應(yīng)迅速使網(wǎng)絡(luò)系統(tǒng)得到恢復(fù)。

3 應(yīng)急響應(yīng)的層次

“八方威脅，六面防護(hù)，四位一體，應(yīng)急響應(yīng)”這句話形容的則是應(yīng)急響應(yīng)體系的整個(gè)工作過程。

（1）“八方威脅”是指應(yīng)急響應(yīng)系統(tǒng)中的網(wǎng)絡(luò)安全事件。而根據(jù)事件的危害程度對其進(jìn)行編號(hào)的話，1類為有害程度最輕的事件，8類則最為嚴(yán)重，儼然一場網(wǎng)絡(luò)戰(zhàn)爭。而且一般的安全事件都不是單獨(dú)發(fā)生的，通常許多事件都是緊密聯(lián)系環(huán)環(huán)相扣。

（2）“六面防護(hù)”防護(hù)是指技術(shù)層面的防御，主要是風(fēng)險(xiǎn)評估、等級(jí)保護(hù)、入侵檢測、網(wǎng)絡(luò)監(jiān)審、事件跟蹤和預(yù)防6個(gè)方面。

（3）“四位一體” 主要是指各個(gè)小組的組織保障體系，如應(yīng)急組、專業(yè)組、組織協(xié)調(diào)機(jī)構(gòu)、專家顧問組。

（4）應(yīng)急響應(yīng)。應(yīng)急響應(yīng)系統(tǒng)的核心為應(yīng)急響應(yīng)的實(shí)施功能。應(yīng)急響應(yīng)系統(tǒng)通過對網(wǎng)絡(luò)安全事件的目標(biāo)進(jìn)行分類并分析，通過對事件的判斷進(jìn)行事件分級(jí)，制定具體的預(yù)案或措施，并有通過各個(gè)小組進(jìn)行信息發(fā)布實(shí)施，并有技術(shù)組對系統(tǒng)進(jìn)行恢復(fù)重建和應(yīng)急管理，保證目標(biāo)的信息系統(tǒng)安全。

4 應(yīng)急響應(yīng)體系的周期性

通過應(yīng)急響應(yīng)系統(tǒng)的工作，分析應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)在網(wǎng)絡(luò)安全事件中可能具有生命周期性。網(wǎng)絡(luò)安全事件的生命周期從風(fēng)險(xiǎn)分析開始，一般的風(fēng)險(xiǎn)分析包括網(wǎng)絡(luò)風(fēng)險(xiǎn)評估和資源損失評估等。對風(fēng)險(xiǎn)分析進(jìn)行正確有效的分析有利于高效率的應(yīng)急響應(yīng)。為了這一階段響應(yīng)過程的順利進(jìn)行，需要制訂安全政策以及各種應(yīng)急響應(yīng)優(yōu)先權(quán)的各種規(guī)定。安全工具與系統(tǒng)、網(wǎng)絡(luò)配置工具，使網(wǎng)絡(luò)的安全性與可用性兩者之間處于平衡狀態(tài)。在檢測階段，通過各種手段收集信息，利用系統(tǒng)特征或IDS工具來預(yù)測安全事件的發(fā)生。之后響應(yīng)階段，利用各種手段抑制、消除安全事件并進(jìn)行有利反擊。最后在恢復(fù)階段對受到攻擊的對象進(jìn)行恢復(fù)，使其恢復(fù)到事件發(fā)生之前。網(wǎng)絡(luò)安全事件的周期性更全面，更實(shí)際地概括了應(yīng)急響應(yīng)系統(tǒng)的工作過程。

5 應(yīng)急響應(yīng)體系的聯(lián)動(dòng)性

（1）“六面防護(hù)”的聯(lián)動(dòng)。 首先由風(fēng)險(xiǎn)評估對網(wǎng)絡(luò)安全事件作出安全評估并確定其“威脅”等，再由等級(jí)保護(hù)進(jìn)行措施制定，對其入侵的主體進(jìn)行入侵檢測確定威脅漏洞所在，再通過網(wǎng)絡(luò)監(jiān)審發(fā)現(xiàn)安全事件并進(jìn)行事件跟蹤再由事件跟蹤對其事件進(jìn)行分析，并通過預(yù)防對響應(yīng)策略進(jìn)行調(diào)整，并分析防御的有效性。

（2）“四位一體”的聯(lián)動(dòng)。聯(lián)動(dòng)的主要目的是為了應(yīng)急響應(yīng)系統(tǒng)的有效運(yùn)行，因此應(yīng)急組、專業(yè)組、組織協(xié)調(diào)機(jī)構(gòu)、專家顧問組之間就要努力做好協(xié)調(diào)工作。組織協(xié)調(diào)機(jī)構(gòu)主要負(fù)責(zé)總體的協(xié)調(diào)工作，應(yīng)急組與專家顧問組主要負(fù)責(zé)對網(wǎng)絡(luò)安全事件的應(yīng)急處理工作，同時(shí)應(yīng)急組還承擔(dān)著對突發(fā)的安全事件進(jìn)行信息收集，分析以及信息上報(bào)的工作，并對組織協(xié)調(diào)機(jī)構(gòu)提出的相關(guān)事件的應(yīng)急預(yù)案或者保護(hù)措施進(jìn)行執(zhí)行的工作。

（3）應(yīng)急響應(yīng)的聯(lián)動(dòng)。作為應(yīng)急響應(yīng)系統(tǒng)的核心，應(yīng)急響應(yīng)實(shí)施功能通過信息發(fā)布，在應(yīng)急預(yù)案或保護(hù)措施實(shí)施過程中，對事件的發(fā)展情況、處理進(jìn)程進(jìn)行全程跟蹤。尤其是在事后對事件進(jìn)行跟蹤分析，從而進(jìn)行恢復(fù)重建，排除事件對系統(tǒng)產(chǎn)生的威脅。除了對事件進(jìn)行全程跟蹤外，作為核心，還應(yīng)對相關(guān)的應(yīng)急資源進(jìn)行協(xié)調(diào)，做好應(yīng)急管理工作。

6 結(jié)語

隨著信息技術(shù)革新速度加快，各種網(wǎng)絡(luò)安全事件層出不窮，并越發(fā)復(fù)雜。由于人類精力有限，網(wǎng)絡(luò)漏洞的出現(xiàn)也就無法避免。計(jì)算機(jī)系統(tǒng)的復(fù)雜性、動(dòng)態(tài)性也決定解決網(wǎng)絡(luò)安全事件不能只靠經(jīng)驗(yàn)技術(shù)，它更需要各個(gè)方面的應(yīng)急響應(yīng)聯(lián)動(dòng)。在應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)體系建立過程中，不但要把網(wǎng)絡(luò)安全作為首要任務(wù)，而且要注重系統(tǒng)的不斷更新完善，隨時(shí)隨地發(fā)揮系統(tǒng)的作用，即使發(fā)生重大突發(fā)事件也可以從容不迫。