高校网络安全应急演练模式探究

◆卞云波

高校网络安全应急演练模式探究

◆卞云波

（江苏省电化教育馆江苏省教育信息化中心 江苏 210013）

开展应急演练工作，完善高校网络安全应急响应体系，根据高校目前的防御措施尽可能提高网络安全突发事件的处置能力并降低其带来的负面影响，是当前高校网络安全工作面临的主要问题之一。本文主要介绍了网络安全应急演练的流程和组织架构，并模拟黑客攻击服务器的场景来检验应急预案的有效性。

应急演练；应急预案；网络安全；应急响应

0 引言

2016年4月19日，习近平总书记提出推进网络强国建设，建设网络强国是实现“两个一百年”奋斗目标的内在要求。

全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行《中华人民共和国网络安全法》。其中第五十五条提到：“发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息”。

《信息安全等级保护管理办法》、《关于加强信息安全保障工作的意见》（中办发﹝2003﹞27号文）等相关文件都对应急预案和应急处置提出明确要求。

在新的时代背景下，网络安全应急工作受到前所未有的重视。随着高校信息化建设的迅速发展，网络安全和高校学习环境及老师学生的生活环境息息相关。结合高校网络安全建设的特点，本文主要介绍了高校网络安全应急演练的总体目标、演练要求、组织架构、应急演练计划等，并模拟黑客攻击服务器的场景来检验应急预案的有效性[1][2]，旨在高校就目前的防御建设下协同各方资源将校内突发的网络安全事件降到最低。

1 应急演练总体目标

应急演练的总体目标是要建立健全高校网络安全运行应急响应工作机制，达到检验网络安全综合应急预案有效性的目的，验证在遇到网络安全突发事件时相关组织和人员的应急指挥能力和应急处置能力，保证在应急处置工作中各项应急指挥调度工作快速、高效、有序地进行，能够满足在有网络安全突发事件的情况下高校整体网络与信息系统运行保障及故障恢复的需要，同时保证信息系统安全畅通。网络安全应急演练工作，能够不断提升学校部门之间、学院之间、师生之间开展应急工作的水平和效率，及时发现应急响应预案的不足，针对实际应急演练效果进一步完善应急预案，遵循PDCA原则[3]。

2 网络安全应急演练要求

2.1 组建应急演练团队

配备专职人员负责应急演练工作，组建应急演练通讯、指挥体系，制定应急响应流程和应急恢复策略。

2.2 制定详细的演练方案

演练方案主要有明确演练目标、参加演练的信息系统。涉及的形式包括桌面推演及实战演练、演练层次和涉及范围，预先设定灾难情况、设定演练流程、具体操作内容、业务验证测试、准备应急资源、明确职责分工、预想1进度安排、演练的风险及其应对措施。

2.3 应急演练准备工作

演练前对参加演练的相关人员进行必要的培训，确保组织、人员、资源、宣传到位。应急演练时机要恰当，尽量减少对正常校内教学和生活造成影响。演练完成后，应确保实施应急演练所需要的各项资源得以恢复。演练过程中要做好事前和事后对内、对外的联系和通知工作。

2.4 风险管理工作

成立风险管理小组，由风险管理小组负责评估应急演练本身可能带来的风险，演练前做好备份工作制定完善的保障措施和应急回退方案；应急预案内容要结合学校实际情况，应急演练前要认真审核应急预案；加强对演练工作的风险管理，在参照应急预案的基础上谨慎开展应急演练工作，严格控制应急演练引起的信息系统变更风险，避免因应急演练导致正常服务中断；记录应急演练工作全过程和发现的问题，加强风险监控及管理，发现问题时，及时实施应急回退方案。

2.5 评估应急演练效果

在应急演练完成后对演练的组织、过程、效果进行评估，编写应急演练总结报告。

2.6 优化应急预案

根据应急演练的效果及时更新应急预案，并在后续演练不断优化应急预案，特别是要加强验证应急预案更新部分的有效性。

2.7 应急演练宣传

加强对应急演练的宣传活动的投入，使学校各级各类人员了解网络安全突发事件可能产生的后果及应急演练工作的重要性，熟悉各项应急预案内容、程序，应急方案流程、应急设备的操作方法等。

3 应急演练组织架构

应急演练实施过程中需要成立三类组织，分别是学校网络安全应急演练领导组、舆情监测报告组和应急处理工作组。

学校网络安全应急演练领导组，主要工作职责是对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源(人财物)等；负责制定、审查演练工作方案，对紧急情况下发生的意外情况进行处置，协调学校内外的协调、联系工作；启动定期评审、修订应急响应计划；切实做好组织管理、宣传教育、应急处置工作，确保演练活动取得实效。一般由分管副校长担任应急演练领导组组长，由信息中心主任、宣传部部长、保卫处长、校党政办主任等担任副组长，各二级学院总支书记与职能负责人（负责本单位网站及应用系统安全管理）为领导组成员。

舆情监测报告组，主要负责舆情监测工作，成员为由全校二级各部门的信息安全员。

应急处理工作组，主要负责演练实施过程中的技术保障和处置工作。主要由信息中心（诊断网络事故性质，采取应对技术处理措施）、宣传部（舆情事件处理)和应急保障小组（应急保障技术支持）成员组成。

图1 高校网络安全应急演练组织架构图

4 应急演练计划

4.1 应急演练基本流程

高校应急演练从准备工作开始，对事件进行识别判断，采取有效措施解决问题，从而缩小或消除事件的影响范围。基本流程图如图2所示。

图2 应急演练基本流程图

4.2 应急演练整体流程

一般高校应急演练工作，由攻击者、学校和第三方安全团队三方角色共同完成。

首先攻击者角色采集数据挖掘漏洞，发起攻击对学校造成威胁；其次学校主动发现或者被动通报相关威胁，由信息中心联络人员逐级向信息中心主任汇报相关信息的同时，断开物理连接并排查原因，有必要时请求第三方安全服务团队参与远程或现场技术排查取证，根据调查结果由学校宣传部门对外发布相关信息，并汇报上级。如图3所示。

图3 应急演练整体流程图

5 黑客攻击服务器场景应急演练过程

为了检验应急预案的有效性，可以模拟黑客攻击服务器场景实施一场应急演练。具体模拟方案如下：

5.1 时间安排和要求

2019年3月某一天，要求事件发生（发现）到事件紧急响应消除事件影响，全过程必须在3分钟内完成。恢复网站（或系统）正常运行。网络舆情应急响应处理通报。

5.2 演练步骤

（1）模拟黑客攻击阶段

攻击团队模拟黑客进行搜集数据寻找网站站点（或应用系统）进行渗透入侵，成功进入管理员管理后台修改图片，同时图片篡改成功页面切到演示大屏。

（2）信息通报阶段

学校老师发现图片篡改事件，并把相关截图同时通知到事件发生的职能部门负责人、宣传部负责人。

（3）应急事件反映阶段

第一步：信息中心负责人和宣传部负责人同步事件状态。

第二步：快速、有序启动应急预案，采取应急处置程序。由应急响应领导小组发布应急响应启动令。应急响应启动后应急响应领导小组要对人力、财力、物力到位情况实施检查与督察，并记录实际发生情况。

第三步：宣传部协同进行舆情处理。

（4）应急响应处置阶段

判断应急事件来源与性质，切断入侵路径，追踪溯源，恢复网站内外网正常访问并汇报处置结果。

（5）事后跟踪阶段

关注系统恢复后以后的安全情况，防止重复发生。建立跟踪文档，规范记录跟踪结果。

（6）应急演练总结阶段

分析和总结事件发生原因，评估事件导致的损失，分析和总结应急处置记录，对应急响应进行评分。

6 结论

应急演练工作是完善学校网络安全应急响应体系的重要环节。应急演练之前要做好相关的应急演练准备，明确应急演练组织架构、落实应急小组职责；制定应急演练计划，以及贴合实际的应急演练流程；在应急预案的基础上严格实施，确保演练过程顺畅，同时做好相关的备份工作。

应急演练工作是高校网络安全建设过程中需要长期坚持、持续优化的工作，在每次应急演练过程中做好相关操作及记录，事后做好应急演练工作总结，评估每一阶段的实施效果，不断优化应急预案和应急演练流程。

[1]赵林，郭启全，任卫红等.信息安全等级保护系列标准应用案例[J].中国信息安全，2012(4)：73-77.

[2]赵明，阮继锋，张杰.应急预案编制和实施过程中存在的突出问题及对策[C]//中国职业安全健康协会2009年学术年会论文集. 2009.

[3]江西省通信管理局组织开展互联网网络安全应急演练[J].江西通信科技，2008(3)：5-5.