王亮++許昌軍++劉陽

摘要：結(jié)合實(shí)際工作，該文從信息安全應(yīng)急架構(gòu)、運(yùn)維監(jiān)控響應(yīng)、制度管理三個(gè)環(huán)節(jié)，探討利用技術(shù)、管理兩個(gè)維度，構(gòu)建地市級煙草企業(yè)響應(yīng)體系，確保網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、信息環(huán)境的可高效響應(yīng)及恢復(fù)。

關(guān)鍵詞：信息安全應(yīng)急架構(gòu)；監(jiān)控；制度管理；應(yīng)急響應(yīng)

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）17-0041-02

隨著信息網(wǎng)絡(luò)時(shí)代的發(fā)展 ，企業(yè)對于信息數(shù)據(jù)、系統(tǒng)的依賴日趨嚴(yán)重，業(yè)務(wù)中斷、數(shù)據(jù)丟失對于現(xiàn)今的企業(yè)是不可想象，如何避免信息系統(tǒng)出現(xiàn)故障或?yàn)?zāi)難，做到未雨綢繆。或者說在出現(xiàn)故障或?yàn)?zāi)難時(shí)我們能在最短的時(shí)間恢復(fù)服務(wù)業(yè)務(wù)應(yīng)用、還原業(yè)務(wù)數(shù)據(jù)將損失降為最小，已成為各企業(yè)信息部門研究的課題，這就需要建立一套有效的信息安全響應(yīng)體系。

1 應(yīng)急響應(yīng)定義

所謂應(yīng)急響應(yīng)即“Incident Response”或“Emergency Response”，通常指一個(gè)組織為應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。信息安全應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對各種突發(fā)的信息安全事件所做的準(zhǔn)備以及在事件發(fā)生后所采取的相應(yīng)的補(bǔ)救措施和行動，從而阻止或減少事件對系統(tǒng)安全性帶來的影響。本文認(rèn)為信息安全應(yīng)急響應(yīng)包括自動應(yīng)急響應(yīng)和人工應(yīng)急響應(yīng)兩部分。

2 應(yīng)急響應(yīng)體系的構(gòu)成及響應(yīng)對象

地市級煙草企業(yè)信息安全應(yīng)急響應(yīng)體系，從技術(shù)、管理角度可分為信息安全應(yīng)急架構(gòu)建設(shè)、監(jiān)控運(yùn)維平臺建設(shè)、應(yīng)急制度管理建設(shè)三方面

3 應(yīng)急響應(yīng)體系的構(gòu)建

3.1 信息安全應(yīng)急架構(gòu)建設(shè)

完善的信息安全應(yīng)急架構(gòu)對于應(yīng)急響應(yīng)的意義在于未雨綢繆，預(yù)防、減少出現(xiàn)故障的可能性，在出現(xiàn)突發(fā)事件時(shí)自動響應(yīng)遏制故障，并且能夠?yàn)檫\(yùn)維人員及時(shí)人工響應(yīng)地處理解決問題提供更多的信息和更好途徑。信息安全應(yīng)急架構(gòu)是應(yīng)急響應(yīng)體系的基礎(chǔ)，其建設(shè)應(yīng)注重三點(diǎn)原則（按重要優(yōu)先級排列）：

（1）首要，要居安思危，防患于未然；（阻止或減少突發(fā)事件的發(fā)生）

（2）其次，要可自動響應(yīng)遏制故障、維持運(yùn)行；（通過系統(tǒng)自動響應(yīng)，提升響應(yīng)效率）

（3）再次，要便于人工應(yīng)急響應(yīng)，遏制故障。（通過運(yùn)維人工響應(yīng)，時(shí)間相對較長）

3.1.1 網(wǎng)絡(luò)信息安全應(yīng)急架構(gòu)建設(shè)

業(yè)務(wù)網(wǎng)絡(luò)是企業(yè)信息系統(tǒng)運(yùn)行的基礎(chǔ)，業(yè)務(wù)網(wǎng)絡(luò)出現(xiàn)中斷，所有信息業(yè)務(wù)服務(wù)將無法進(jìn)行。構(gòu)建一個(gè)適度冗余的、防護(hù)得力的網(wǎng)絡(luò)對于企業(yè)確保業(yè)務(wù)服務(wù)連續(xù)性、數(shù)據(jù)的安全性，提升應(yīng)急響應(yīng)水平來說至關(guān)重要。

構(gòu)建冗余架構(gòu)的網(wǎng)絡(luò)。冗余架構(gòu)的網(wǎng)絡(luò)，在發(fā)生突發(fā)故障或?yàn)?zāi)難時(shí)，可實(shí)現(xiàn)應(yīng)急自動響應(yīng)，有效保障網(wǎng)絡(luò)的正常通訊能力。地市級煙草企業(yè)省到市、市到縣網(wǎng)絡(luò)應(yīng)該采用通信物理線路雙運(yùn)營商，雙鏈路、雙設(shè)備的冗余網(wǎng)絡(luò)拓?fù)浼軜?gòu)。業(yè)務(wù)網(wǎng)絡(luò)可實(shí)現(xiàn)在出現(xiàn)一核心設(shè)備或運(yùn)營商線路故障時(shí)，冗余設(shè)備、線路自動接管，確保保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

3.1.2 系統(tǒng)和數(shù)據(jù)信息安全應(yīng)急架構(gòu)建設(shè)

3.1.2.1 虛擬化技術(shù)與應(yīng)急響應(yīng)

現(xiàn)如今虛擬化技術(shù)日趨普及，服務(wù)器虛擬化、桌面虛擬化、應(yīng)用虛擬化、存儲虛擬化等這些針對不同對象所擴(kuò)展的虛擬化技術(shù)，在各地市企業(yè)的應(yīng)急響應(yīng)體系中發(fā)揮著重要的作用。

（1）服務(wù)器虛擬化

服務(wù)器虛擬化是指將服務(wù)器物理資源抽象成邏輯資源，進(jìn)行統(tǒng)一的分配管理，提高資源的利用率。服務(wù)器虛擬化對比傳統(tǒng)的物理服務(wù)器有很大優(yōu)勢，在實(shí)現(xiàn)對服務(wù)器整合的同時(shí)，可以通過實(shí)時(shí)遷移、存儲遷移、智能容錯(cuò)、高可用性等技術(shù)能夠在出現(xiàn)問題、故障時(shí)自動響應(yīng)輕松快速把虛擬機(jī)（vm）從一臺服務(wù)器上遷移到另一臺，確保業(yè)務(wù)的延續(xù)性，并且通過手工、自動的方式為虛擬機(jī)（vm）建立快照，可恢復(fù)指定時(shí)間的數(shù)據(jù)，從而有效地提升運(yùn)維人員對應(yīng)用系統(tǒng)和數(shù)據(jù)的應(yīng)急響應(yīng)能力。

（2）桌面、應(yīng)用虛擬化

桌面虛擬化和應(yīng)用虛擬化，真實(shí)的系統(tǒng)運(yùn)行都在物理服務(wù)器中，而虛擬機(jī)（vm）系統(tǒng)以及個(gè)人數(shù)據(jù)可分開保存在存儲硬盤中。終端設(shè)備操作僅在顯示器上顯示用戶共享的桌面或應(yīng)用程序的鏡像，來回傳送鍵盤和鼠標(biāo)輸入的信息。故虛擬客戶端相比傳統(tǒng)的客戶端，在出現(xiàn)操作系統(tǒng)故障時(shí)可快速通過模板重新建立新的虛擬機(jī)（vm），由于個(gè)人數(shù)據(jù)分開保存故也不會丟失，而且還可通過快照形式直接恢復(fù)。

（3）存儲虛擬化

存儲虛擬化（Storage Virtualization）最通俗的理解就是對物理存儲硬件資源進(jìn)行抽象化為邏輯存儲?？蓪?shí)現(xiàn)對多個(gè)同構(gòu)或異構(gòu)存儲的整合，構(gòu)建“存儲池”，統(tǒng)一資源管理。無論是服務(wù)器虛擬化還是桌面、應(yīng)用虛擬化，其數(shù)據(jù)都保存在存儲之中，存儲的數(shù)據(jù)安全至關(guān)重要。通過存儲虛擬化的高可用性和鏡像、快照技術(shù)確保存儲服務(wù)平臺的服務(wù)連續(xù)性，通過存儲虛擬化的復(fù)制、連續(xù)數(shù)據(jù)保護(hù)（CDP），確保存儲服務(wù)平臺的數(shù)據(jù)安全。

3.1.2.2 容災(zāi)中心建設(shè)與應(yīng)急響應(yīng)

除了虛擬化技術(shù)，容災(zāi)技術(shù)在煙草企業(yè)應(yīng)急安全體系建設(shè)中也應(yīng)發(fā)揮越來越重要的作用。特別是近幾年來隨著業(yè)務(wù)的發(fā)展新增業(yè)務(wù)服務(wù)繁多、生產(chǎn)環(huán)境復(fù)雜、信息數(shù)據(jù)量大，如何確保信息系統(tǒng)特別是主營業(yè)務(wù)系統(tǒng)（各單位的關(guān)鍵業(yè)務(wù)系統(tǒng)和“一號工程”系統(tǒng)）的業(yè)務(wù)連續(xù)性，提升應(yīng)急響應(yīng)能力顯得尤為重要。

地市級煙草企業(yè)容災(zāi)系統(tǒng)大體可分為本地容災(zāi)（無備援中心）、同城異地容災(zāi)（同城異地建立備援中心）、異地容災(zāi)（備援中心建立在其他城市）。

（1）本地容災(zāi)。其工作方式是在生產(chǎn)機(jī)房中業(yè)務(wù)系統(tǒng)中，實(shí)現(xiàn)在線實(shí)時(shí)備份，利用磁盤鏡像將存儲數(shù)據(jù)鏡像到容災(zāi)設(shè)備，同時(shí)容災(zāi)設(shè)備根據(jù)策略生成連續(xù)的快照。當(dāng)生產(chǎn)機(jī)房存儲發(fā)生突發(fā)故障事件時(shí)容災(zāi)系統(tǒng)自動響應(yīng)將客戶端的數(shù)據(jù)訪問快速、無縫地切換到鏡像盤，可實(shí)現(xiàn)RPO（Recovery Point Objective，即數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)）和RTO（Recovery Time Objective，即恢復(fù)時(shí)間目標(biāo)）達(dá)到秒級，趨緊于零，從而保證業(yè)務(wù)的連續(xù)性及數(shù)據(jù)的完整性，有效提升應(yīng)急響應(yīng)水平。

（2）同城異地容災(zāi)。在本地災(zāi)備的基礎(chǔ)上，建立災(zāi)備機(jī)房（備援中心）（生產(chǎn)機(jī)房和災(zāi)備機(jī)房兩地距離國際標(biāo)準(zhǔn)為5km以上），除了在生產(chǎn)機(jī)房中利用磁盤鏡像將存儲數(shù)據(jù)鏡像發(fā)送到生產(chǎn)機(jī)房的容災(zāi)設(shè)備，容災(zāi)系統(tǒng)同時(shí)在線將數(shù)據(jù)備份到災(zāi)備機(jī)房。當(dāng)生產(chǎn)機(jī)房發(fā)生嚴(yán)重故障無法調(diào)用存儲及容災(zāi)網(wǎng)關(guān)數(shù)據(jù)時(shí)，可通過災(zāi)備機(jī)房啟動業(yè)務(wù)應(yīng)用系統(tǒng)，代替生產(chǎn)機(jī)房提供服務(wù)，并可通過災(zāi)備機(jī)房容災(zāi)網(wǎng)關(guān)快照手動響應(yīng)對對生產(chǎn)機(jī)房數(shù)據(jù)進(jìn)行恢復(fù)。

（3）異地容災(zāi)。異地容災(zāi)具有和同城異地容災(zāi)相類似機(jī)制，異地容災(zāi)也有自己的災(zāi)備機(jī)房，只是災(zāi)備機(jī)房建立在其他城市。在出現(xiàn)突發(fā)災(zāi)難進(jìn)行應(yīng)急響應(yīng)時(shí)可啟動異地災(zāi)備機(jī)房業(yè)務(wù)，客戶端通過網(wǎng)絡(luò)遠(yuǎn)程訪問服務(wù)器應(yīng)用，實(shí)現(xiàn)業(yè)務(wù)的持續(xù)。地市級煙草企業(yè)可將異地災(zāi)備機(jī)房建立在省級企業(yè)，從而實(shí)現(xiàn)異地災(zāi)備。

3.1.3 信息環(huán)境的信息安全應(yīng)急架構(gòu)建設(shè)

這里的信息環(huán)境主要指的是機(jī)房環(huán)境。機(jī)房環(huán)境涉及領(lǐng)域較廣，主要有供配電系統(tǒng)、空調(diào)新風(fēng)系統(tǒng)、消防報(bào)警系統(tǒng)、防盜報(bào)警系統(tǒng)、防雷接地系統(tǒng)、安防系統(tǒng)等。當(dāng)機(jī)房環(huán)境出現(xiàn)突發(fā)事件，也將直接影響信息系統(tǒng)的安全，因此機(jī)房環(huán)境的應(yīng)急響應(yīng)也尤為重要。

3.2 運(yùn)維監(jiān)控平臺的構(gòu)建

作為信息安全應(yīng)急響應(yīng)體系的重要環(huán)節(jié)，監(jiān)控及運(yùn)維的意義在于及時(shí)的發(fā)現(xiàn)問題，并使故障及時(shí)得到處理。就地市級煙草企業(yè)而言主要針對的是網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲、機(jī)房（即網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)、信息環(huán)境）的監(jiān)控和運(yùn)維。

3.2.1 監(jiān)控平臺建設(shè)

以網(wǎng)絡(luò)監(jiān)控平臺為例，目前的大部分的監(jiān)控平臺都是基于SNMP協(xié)議（Simple Network Management Protocol，即簡單網(wǎng)絡(luò)管理協(xié)議）和ICMP協(xié)議（Internet Control Message Protocol 即Internet控制報(bào)文協(xié)議）來運(yùn)作實(shí)現(xiàn)。ICMP協(xié)議采用了PING方式實(shí)現(xiàn)。SNMP協(xié)議在PING成功后執(zhí)行，獲取相應(yīng)設(shè)備的參數(shù)信息，可以為運(yùn)維人員提供真實(shí)拓?fù)湟晥D功能，能夠真實(shí)、直觀地反映設(shè)備的分布情況、負(fù)載狀況和設(shè)備屬性，以及線路的實(shí)時(shí)流量；通過顏色顯示負(fù)載和流量的壓力，主動告知IT運(yùn)維管理人員需要關(guān)注的信息動態(tài)，隨時(shí)告知可能存在的故障隱患，從而有效提升運(yùn)維應(yīng)急響應(yīng)能力。

3.2.2 運(yùn)維平臺的建設(shè)

運(yùn)維平臺，主要是實(shí)現(xiàn)I T 服務(wù)管理，目前業(yè)界各類運(yùn)維系統(tǒng)，大部分都參考了I T I L（Information Technology Infrastructure Library， ITIL，信息技術(shù)基礎(chǔ)架構(gòu)庫），其主要功能目標(biāo)是實(shí)現(xiàn)對日常I T 運(yùn)維的流程（過程）管理，實(shí)現(xiàn)I T 運(yùn)維的標(biāo)準(zhǔn)化，達(dá)到對日常I T 運(yùn)維狀況的可評價(jià)、可統(tǒng)計(jì)、可衡量的目的 。通過流程化、痕跡化的管理提升運(yùn)維人員的應(yīng)急響應(yīng)效率。

3.3 應(yīng)急制度的建設(shè)管理

三分技術(shù)七分管理，僅憑單純的安全產(chǎn)品和簡單的防御技術(shù)是無法抵擋攻擊的，人員制度的建設(shè)管理也是應(yīng)急響應(yīng)體系建設(shè)的重點(diǎn)，必須建立一整套應(yīng)急管理機(jī)制、完善執(zhí)行流程，加強(qiáng)人才隊(duì)伍技術(shù)建設(shè)，從技術(shù)、管理二個(gè)層面才能建立完善的應(yīng)急響應(yīng)體系。

3.3.1 建立信息安全應(yīng)急響應(yīng)組織機(jī)構(gòu)

地市級煙草企業(yè)應(yīng)建立信息應(yīng)急響應(yīng)組及協(xié)調(diào)中心（CERT/CC）。應(yīng)急響應(yīng)組是專門處理安全事件的組織，常用名字是CERT或CSIRT，指計(jì)算機(jī)緊急響應(yīng)組（Computer Emergency Response Team）或計(jì)算機(jī)安全應(yīng)急響應(yīng)組（Computer Security Incident Response Team）。而應(yīng)急響應(yīng)協(xié)調(diào)中心主要負(fù)責(zé)協(xié)調(diào)指揮各應(yīng)急響應(yīng)組并為各應(yīng)急響應(yīng)組提供信息共享服務(wù)。

3.3.2 明確信息安全應(yīng)急響應(yīng)職責(zé)

地市級應(yīng)急響應(yīng)主要職能是：一是對地市級計(jì)算機(jī)網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、環(huán)境等安全事件進(jìn)行緊急反應(yīng)， 盡快恢復(fù)網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、機(jī)房的正常運(yùn)轉(zhuǎn)。二是要使系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)、機(jī)房設(shè)備所遭受的損失最小化。三是對影響系統(tǒng)和網(wǎng)絡(luò)、數(shù)據(jù)安全的漏洞及防治措施進(jìn)行通報(bào)，，對安全風(fēng)險(xiǎn)進(jìn)行評估等。

3.3.3 建立地市級煙草企業(yè)應(yīng)急響應(yīng)執(zhí)行方案庫（操作手冊）

應(yīng)急響應(yīng)組/協(xié)調(diào)中心（CERT/CC），應(yīng)建立并不斷完善，針對所有應(yīng)急響應(yīng)對象在發(fā)生各種突發(fā)故障或事件時(shí)，應(yīng)急響應(yīng)組所需執(zhí)行的各種具體應(yīng)急運(yùn)維解決方案，并匯總形成方案庫。并通過紙制形成手冊或通過電子檔保持在運(yùn)維平臺中供運(yùn)維人員調(diào)閱查詢。

3.3.4 建立完善地市級應(yīng)急響應(yīng)管理制度

（1）應(yīng)急響應(yīng)通報(bào)管理制度；（規(guī)范突發(fā)事件的通報(bào)對象、流程。）

（2）應(yīng)急響應(yīng)執(zhí)行管理制度；（規(guī)范對突發(fā)事件處理流程的方式方法。）

（3）應(yīng)急響應(yīng)事件分級管理制度；（規(guī)范故障事件分類，設(shè)定標(biāo)準(zhǔn)并確定優(yōu)先級）

（4）應(yīng)急響應(yīng)方案管理制度；（規(guī)范建立、變更突發(fā)事件具體處置方案流程）

（5）應(yīng)急響應(yīng)演練管理制度；（規(guī)范應(yīng)急演練內(nèi)容、流程）

（6）應(yīng)急響應(yīng)組的人員管理及培訓(xùn)制度；（規(guī)范應(yīng)急響應(yīng)組人員管理與培訓(xùn)）

4 總結(jié)

信息安全應(yīng)急響應(yīng)體系是確保企業(yè)信息安全的關(guān)鍵之一，優(yōu)化應(yīng)急響應(yīng)的體系的構(gòu)建對于提升企業(yè)應(yīng)急響應(yīng)能力，確保業(yè)務(wù)的連續(xù)性，信息數(shù)據(jù)的安全性至關(guān)重要。本文結(jié)合工作實(shí)際從技術(shù)和管理兩個(gè)層面，以信息安全應(yīng)急響應(yīng)對象為立足點(diǎn)，從自動響應(yīng)、人工響應(yīng)兩方面簡述了地市級煙草企業(yè)信息安全應(yīng)急響應(yīng)體系的構(gòu)建。但如何在各系統(tǒng)中實(shí)現(xiàn)應(yīng)急響應(yīng)的聯(lián)動性？如何進(jìn)一步完善信息安全應(yīng)急響應(yīng)體系建設(shè)？并沒有進(jìn)行深入的探討，這些方面也將成為我們今后關(guān)注和研究的對象。