对提高企业信息安全应急响应能力的探讨

卢玮玮

（中国石化股份江汉油田分公司清河采油厂，山东 寿光262714）

引 言

信息安全应急响应是指为应对各种意外和突发网络信息安全事件所做的应急准备和事后所采取的措施，其目的是避免、降低和控制事件对信息安全造成的影响和损失，并尽快恢复正常业务。信息面临的安全隐患主要包括网络攻击和病毒侵袭、非法外联和违规使用、系统故障及漏洞、非人力因素等。基于信息安全对企业的生产、管理等方面的重要影响。

目前，清河采油厂虽然已在内控和HSE等方面制订了一系列相应的管理制度，但是还需要进一步加强和完善应对随时可能出现的信息安全事故应急响应机制。本文就如何进一步加强和完善清河采油厂信息安全应急响应机制作相应探讨。

1 网络信息安全隐患分析

1.1 网络攻击与病毒侵袭

在局域网内客户端拥有很高的权限，能够文件互传、文件共享，容易遭受黑客恶意攻击。黑客恶意攻击行为包括：恶意占用和消耗网络资源、非法控制主机、对数据进行破坏、篡改和窃取行为。

常见的网络攻击方法有三大类：欺骗性攻击，包括IP欺骗、DNS欺骗、邮件欺骗、WEB网站欺骗等；利用型攻击，包括口令攻击、木马攻击、缓冲区溢出攻击、跨站脚本估计等；拒绝服务攻击，包括防火墙能阻挡大部分网络攻击。现在出现频率最多的是office病毒，属于欺骗性攻击，利用文件互传导致局域网内病毒侵袭严重，其次是清河病毒、邮件病毒。这些都是容易使访问者被动接受导致扩散的病毒。

1.2 非法外联以及违规使用

非法外联是指接入企业内部网络的计算机等设备采用电话拨号、无线网络、专用网络等方式接入互联网中其他网络。目前，采油厂局域网由于无线路由器的增设且无法可控管理，导致外网客户端可以同时访问内网，具有较大隐患。

违规使用是指用户违反规定要求，安装、使用未经许可的网络应用系统，占用和消耗网络资源，对合法用户数据正常传输造成干扰和影响。另外，违规使用还包括由于信息系统在检查用户授权时存在纰漏，使得违规用户利用一些方式绕过权限检查，访问或者操作到原本不该访问的数据信息。

现在社会网络资源丰富，各种网管软件和网络提速软件层出不穷，不少客户端会安装此类软件，对整体网络的安全管理造成很大的潜在威胁。

1.3 系统故障及漏洞

系统故障是指因信息系统软硬件故障、人为误操作等导致业务中断、系统待机、网络瘫痪、数据损坏等情况。

清河采油厂中心机房放置了采油厂所有的数据库服务器，大部分都没有做双机数据备份，这些服务器一旦出现故障，将很难恢复。这些设备由于安装年代久远，且分别由不同的厂家安装调试，更新力度不够，存在的系统漏洞容易被黑客利用，造成大面积的网络病毒传播及网络攻击事件。

1.4 非人力因素损伤

非人力因素损伤是指因洪水、水灾、雷击、地震、台风等外力因素导致网络与信息系统损毁。采油厂容易遭受灾害的情况有雷击、狂风等，清河采油厂树木成长率低，雷击伤害严重。因此，每年更换雷击损毁设备占网络维护中的绝大部分。其次是狂风造成的线路故障也具有一定影响。

2 信息安全应急响应处置流程

信息安全应急响应处置一般包括两个方面的工作：一是在监测到信息安全事件后，第一时间上报情况和阻断事件进程，迅速确定事件缘由和相关技术信息，及时根除事件影响；二是对造成的损失进行全面恢复，对整个事件进行深入的分析总结。基于此，我们将整个处置流程分成事前准备、阻断根除、恢复三个阶段。

2.1 准备阶段

准备阶段对于提高响应能力和简化响应过程来说非常重要，充分的准备能够使应急响应人员尽早察觉入侵（尝试）事件，并立即采取相应措施，使系统快速恢复到可信赖、稳定的运行状态。

对于采油厂的网络分布状况，首先应当有个清晰的了解，掌握各单位可以进行应急处理的信息人员名单，对安全事件的监测方法也应熟练掌握。其次，利用入侵检测、漏洞扫描、信息审计等安全工具进行不间断的实时监视和检测，收集相关信息，综合分析判断安全事件是否发生，进而确定是否触发应急响应。

安全事件监测需要自动化的安全监管工具和日常管理工作支持，而监测规模和范围需要随着安全威胁、系统配置或安全等级要求的变化而变化。采油厂在监测方面还需要增强。目前只有防火墙的保护，并没有上网行为管理软硬件的监测，只能看大概的流量监控，分析判断出事件的发生时间，并不能准确及时的发现事件发生的地点。准备阶段在应急响应全程发挥着重要作用，完美的准备工作可以在隐患还处于萌芽时就进行扼杀，且可为后续的处理提供坚实有力的数据分析。

2.2 阻断根除阶段

阻断阶段的目的是在监测到安全事件发生后，通过各种技术手段限制危害程度和范围，避免损失进一步扩大。该阶段是整个应急响应过程中的重要环节，安全事件发生后会出现一系列连锁反应，如果不能及时处理，可能会导致整个局面迅速失控，因此在阻断阶段进行正确决策至关重要。

这个处理方式在信息安全时间处理中属于常用手段，把事故发生范围隔离出来避免全盘崩溃，借助在准备阶段预备的各种安全工具分析判断找出事件根源并彻底清除。经常碰到的状况有：客户端中毒，频繁往附近客户端发包，导致网络堵塞；欺骗其他客户端的DNS，导致不能上网等。

服务器升级不匹配补丁也会导致系统内某一项服务不能正常运行，导致客户端不能正常访问数据库，这时候就需要查找监测日志，查找出问题发生的时间，来对所更新的补丁进行删除处理。

系统安装未经证实可靠的软件，导致对与此系统相连的各项服务不正常，这个要么升级所有与此相关的服务来匹配此软件，要么把这个软件当成恶意软件进行监管加入黑名单。

2.3 恢复阶段

恢复阶段在查找原因并根除故障后要及时还原到正常工作状态，并且加强监测，以防根除故障不彻底而再次发生故障。备份机制在这里发挥着重要的作用，所以做好干净的完整备份或增量备份与监测工具是同等重要的，完整的备份可以把应急反应的时间缩短并提高效率。

恢复工作是一项非常重要的工作，当发生故障并处理后，很可能会对原有的大局有所影响，所以经常要对原有系统进行升级改进之后才能恢复正常使用，既然换了新系统那就存在了试运行的问题。试运行期间要加强监控，一旦发现不能完整匹配所有系统，必须立即停止，改进方案。

完成恢复工作后要详细记录发生的过程和处理步骤，总结有利于安全管理人员吸取教训，增长经验，举一反三，提高技能，也是将来开展应急响应工作的积累和补充。

图1 信息安全应急响应处置流程

3 提高应急响应能力的建议

应急响应能力是指针对各种突发信息安全事件，在专业机构组织指导下采取多种手段与措施，及时响应、处置信息系统所遭受的安全威胁和攻击，恢复信息系统的服务能力。《关于加强信息安全保障工作的意见》（中办发【2003】27号）第五部分：重视信息安全应急处理工作中强调国家和社会都要充分重视信息安全应急处理工作，要进一步完善国家信息安全应急处理协调机制，加强信息安全事件的应急处置工作，要加强信息安全应急支援服务队伍建设蘑菇力社会力量参与灾难备份设施建设和提供技术服务，提供信息安全应急响应能力。

3.1 加强应急响应管理体系的建设

应在国家相关条文规定下加强应急管理体系的建设内容要全面。编写安全指南必须包括安全事件和安全问题，有对决断过程的描述，同时，安全指南内容也是管理成支持IT安全的一个证明。明确职责范围，包括IT用户、IT管理员、负责IT应用人员、IT安全员或IT安全管理层、IT安全审计员、管理层；明确处理安全事件的过程规则和报告渠道。制定安全事件的报告提交策略，安全事件越关键，需要的授权就越大。极端情形下，必须要及早报告给管理层，并使其参与其中。设置优先级，如确定保护需求一样，要提前制定好优先级表，根据安全事件导致的灾难后果顺序采取相应地应急措施。判断采用调查和评估安全事件的方案，潜在的和持续的损失程度、原有、哪个IT系统受到影响、要采取什么样的即时措施等。针对安全事件采取补救措施，当采取必要的安全补救措施，措施本身也可能引发新问题，采取合适的安全措施并做好记录工作。通知各影响各方，所有受影响的企业内部各部门和外部机构都应该通知到。为提高通知速度，应提早建立沟通渠道和执行相关性分析。对安全事件的评估，要注重响应时间、对报告渠道的了解程度、提交策略的有效性、调查的有效性、通知受影响各方的办法。

3.2 提高技术储备能力

技术储备能力直接关系到信息安全应急响应能力的质量，良好地技术储备可以为应急响应提供时间定性、数据分析、定位寻源、处置恢复等资源和手段。首先应在中心机房增设上网行为管理软硬件，提高网络监测、管理能力，并适当增设服务器数据库自动备份软硬件，多做一层安全备份会在日后的安全事故中起到不可估量的效果。

3.3 终端使用上的主动控制

终端用户不管是浏览数据库还是浏览网页，都要加强自我约束。对于所使用的数据库牵涉到的软件，应按照信息中心要求的版本要求，不能随意更换或变更插件；浏览网页的浏览器尽量更新为新版本的浏览器，避免由网页滋生的威胁容易向含有漏洞的设备发起攻击；打开可远程管理时，要经常检测，揪出潜藏陌生用户查找占用资源的文件黑手。总之客户端应加强自我约束管理，杀毒软件只能起到防范效果。

4 结束语

采油厂信息安全应急响应在组织结构、响应流程和提升能力方面仍需健全完善，需要在观念、建设模式和对策措施上不断调整，引进先进的管理理念和相关技术，提升各方面的人员素质，才能构建灵活变通的响应机制，起到采油厂信息化建设保航护驾的作用。

［1］魏钦珍.计算机网络信息安全及防护策略研究［J］.黑龙江科技，2014，5（8）：263.

［2］范寿俊.对构建安全工作信息预警机制的思考［J］.江汉石油职工大学学报，2012，25（4）：43－44.

［3］余国平.浅谈计算机网络安全的现状及对策，科学时代，2011（10）：256－257.

［4］刘剑.石化企业信息安全管理中的应急响应研究 计算机光盘与应用2012（16）：34.