网络安全“预”则立

　　应急响应有三个阶段

　　应急响应是网络安全工作中最重要的环节，因为安全不是一个静止的“状态”，而是一个动态的过程，应急响应就是为了应对这个动态的过程而做的一系列动作和措施。

　　《国家网络安全事件应急预案》中，将网络安全事件定义为“由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件”。而应急响应工作就是针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。高校应急响应工作的主要目的是在政策背景下，尽可能迅速地将网络信息安全事件造成的损害和影响控制在最小范围。

　　建立一支有行动力的网络安全应急响应组是当前高校网络安全工作的一项基础需求。应急响应组的人数和编制没有硬性规定，可以根据高校业务需求的实际情况来确定参与应急响应组的成员。但通常情况下，必须保证有一名校级主要领导及各关键业务部门的领导参与其中，以保证决策在需要的时候能够快速有效地向下执行。同时应急响应组中也必须包含相应的技术人员，如果条件允许建议安排专职人员。通常一个完善的应急响应流程包含如下三个阶段：

　　1.事前准备阶段——主要是评估风险、制定策略、拟定应急预案、演习并培训。降低安全事件发生的可能。

　　2.事中应急处置阶段——通过各种途径（安全监测、信息共享、第三方通报等）获知安全事件，并依照制定的预案对事件进行处理，降低事件带来的风险并尽快恢复正常业务。

　　3.事后总结阶段——总结经验，调整安全策略，并对策略进行验证，以防止安全事件再次发生。持续监测评估攻击事件带来的后续风险。

　　技术与管理双管齐下

　　高校在制定和实施网络信息安全应急处置的过程中，一方面需要明确应急处置的职责分工、制度流程、人员响应等要求，另一方面也需要结合学校实际网络和信息服务现状提供有效的应急处置技术手段。

　　本专题，我们将围绕应急响应技术、应急预案、机制等展开探讨。

　　在技术方面，东南大学的团队尝试将SDN技术应用到网络安全事件的自动响应中。SDN作为通用技术，可以通过流表和应用层逻辑实现细粒度的策略控制，即使是同一个目标地址的流量，也可以根据安全的需求，实施不同的流量控制策略。

　　东北大学采用了黑洞路由技术，这是一个简单而快速的应急手段，通过简单配置及部署后，普通值班人员也可以通过简单的Web入口将受影响的IP地址加入黑洞路由中。

　　在高校应急响应预案方面，我们提供了一个具体案例。高校制定网络信息安全应急预案的前提，就是要建立学校网络信息安全的责权制度，明确网络信息安全工作的责任方、管理方、技术支持方的责权边界。

　　应急响应的事前、事中、事后如何处理，我们从华南师范大学的Web安全应急响应规章中可得到启发。

　　还有一个问题——应急响应服务能否外包？外包能带来什么？这是一个被广泛关注的问题。这里，大连理工大学给出了他们的实践。他们采用了应急响应服务外包，这种选择带来了收益。“特别是重大活动保障中，第三方安全厂商发挥了重要作用，从年度保障计划、每次重大活动保障方案的制定，到重点信息系统的检测与监控，再到重大活动期间的值守，以及最后的保障总结都包含在重大活动信息安全保障服务合同中。”大连理工大学相关人员表示。

　　当然，应急响应机制仅仅是高校整体安全策略中的一环。在《中华人民共和国网络安全法》已经正式实施的今天，高校更需要一个顶层设计的安全保障体系，一个环环相扣的整体安全策略，一套行之有效的安全实施方案。为此，政府的监管、学校的重视和企业的协同都很重要。

　　近期，赛尔网络携手国内优秀安全厂商，为高校用户提供一流的网络安全服务，涵盖事前、事中和事后的全程需求，如Web实时防护（网盾）、Web安全监测、Web安全评估、Web安全管家、Web应急响应和Web网页防篡改等产品和服务。