网御神州专家谈奥运信息安全服务应急预案

　　5月，突如其来的汶川地震造成唐家山一带多处溃坝，面对可能出现的泄洪险情以及由此引发的城市内涝问题，政府有效制定了人群疏散的多级预案，而之后应对连续的降雨，让指挥部及时下令启动三分之一溃坝撤离预案，并取得了良好的救灾抢险效果，可见优秀的应急预案适用解决防范突发事件的发生。而事实上，不仅是自然灾害，网络攻击一旦爆发同样具有极大的破坏力，尤其是在世界瞩目的北京奥运会召开之际，出现任何一幕网络安全问题都会造成极其恶劣的影响。北京奥运会的信息系统是有史以来最为庞大复杂的，规模的增大从而使得数据量处理需求也远远超过历届奥运会，这对信息安全保障工作提出了更高的要求，为了保障奥运会期间城市、赛场的正常运行，信息安全保障部署需要考虑的更加周全，根据信息安全风险的高低制定出有效应急预案不容忽视。

　　对于信息安全工作者而言，“奥运安全”是一次非常大的挑战，也是一次验证国内信息安全保障能力的重要机会。网御神州安全服务中心卢青表示，除了以先进的技术和成熟的设备构筑奥运信息安全保障体系，信息安全工作者全天候24小时奋战在信息安全保卫战前线为其保驾护航，相关部门仍然需要强有力的信息安全应急预案，预先评估和拟制不同等级安全事件的应急响应流程和措施，随时应对一些可能对奥运安全造成影响的各类安全攻击，并通过周密的组织和计划安排启动相应等级的应急预案，为周全的奥运安全保障部署系上“双保险”。

　　通常情况下，网络信息安全事件和攻击类型可分为拒绝服务攻击、大量的病毒和蠕虫类事件、非法访问导致信息泄密或完整性被破坏以及内部的违反安全策略的访问等。这些安全事件和攻击的影响范围和程度决定了应急级别，若影响范围小或业务没有损失等，可以启动一般的安全事件处理流程；对于影响范围大或对业务造成了一定的损失，就要启动严重事件的处理流程，为了能够有效实施应急措施，此时与专业的安全公司和应急响应服务公司合作就显得非常关键。

　　据往届奥运会统计来看，奥运期间网络攻击多集中在拒绝服务、非法访问以及可能定制化的恶意代码等，在预计可能发生这些威胁的情况下，涉奥服务系统的相关人员一定要严格保持实时状态监测，随时发现和分析可能产生和造成重大安全风险的隐患或异常现象，并及时进行处理，以免影响程度的不断扩大，同时也提升了应急预案的针对性。

　　一般的应急预案包括应急组织、应急安全事件的触发条件、应急响应流程和应急措施几个主要部分。这些内容都是应急预案中必不可少的，但决定一份应急预案的优劣，其中最主要的是流程和措施。这里所说的应急流程不仅仅是一个工作流程，而是针对应急触发条件下的多类流程，包括系统内部自身的流程、处理安全事件过程中的操作流程以及与外部合作的工作接口流程，这些流程一定要确保顺畅并能够有效实施。而安全措施通常是一些管理及技术经验的积累，这些措施的具体实施也要靠合理的流程进行保障，从而避免应急过程中的再次损失。在奥运安全应急方面，这些具体方法应至少包括应对拒绝服务攻击、非法访问以及恶意代码防范的有效措施，当然对于一些不可预见的风险也要有流程得以有效控制其影响。

　　据网御神州安全服务中心顾问介绍，有时候突如其来的安全事件会超出我们的预期，如果应急措施不能够在短期内完成，就需要与一些有经验的专业人士保持良好沟通，或通过流程降低和分散各部分安全措施具体实施。所以在形成预案并使之能够真正发挥作用的情况下，一定要严格测试针对应急触发条件下的不同流程、演练应急流程和措施的有效性，这样才能够确保在应急过程中起到真正的作用。

　　通常情况下，应急预案分成3-5个级别，不同级别的流程、恢复措施和协同分工具有差异，由于不同级别的影响程度不同，所以应急预案的响应和汇报流程有所不同。在这些应急过程中，最大的难题是风险没有预见，所以针对这些风险的应急措施就存在很多不确定因素，例如问题如何定位、深层次的发现工具等都是一般的应急组织所不能够具备的，所以在针对应急响应安全事件的触发条件一定要多角度考虑，在面临这些特征的情况下，只能够通过必要的流程保障恢复时效。

　　事实上，任何情况下应急响应和处置工作的指导思想都是缩小影响，尽快恢复，以确保业务能够持续运行。奥运信息安全的应急处置也当如此，所有的应急准备应以最短时间能够恢复，影响面和影响程度都要最小化为基础，当然在此基础上也要能够具有必要的追踪痕迹的能力，以便在应急的过程中有效定位和应急恢复后理清思路，从而做到未雨绸缪，有备无患，确保平安奥运这一终极目标得以顺利实现。