信息安全技术 网络安全事件应急演练指南
声明
本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
应急演练实施过程
准备阶段
制定演练计划
综述
应急指挥机构根据应急演练规划和应急预案制定演练计划,明确演练目的,分析演练要求,确定演练范围,起草日程计划,编制演练经费预算。应急演练计划表格式参见附录A的A.1。
明确演练目的
明确开展应急演练的原因、演练要解决的问题和期望达到的效果。
分析演练要求
根据应急演练规划和应急预案要求,在对事先设定事件场景风险和应急预案认真分析的基础上,结合年度内发生网络安全事件的情况,发现存在的问题和薄弱环节,确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程、指挥调度程序以及需进一步明确的职责等,分析完成举办应急演练的要求。
确定演练范围
根据演练要求以及综合场地、资源(包括但不限于人力资源、财力资源、物力资源、技术资源、信息资源等)和时间等制约条件和因素,确定演练背景事件类型、等级、发生地域、演练组织架构(管理部门、指挥机构和参演机构)及人数、演练方式等。演练要求和演练范围往往互为影响。
起草日程计划
起草演练工作计划及日程,细化确定应急演练各阶段的主要任务和完成时限,包括各种演练文件编写与审定的期限、信息系统及技术物资准备的期限、演练实施的日期等。
编制演练经费预算
编制开展演练活动的各项经费、配套经费及保障措施。
制定演练方案
编制工作方案
- 确定目标
演练目标是需完成的主要演练任务及其达到的效果,一般说明“由谁在什么条件下完成什么任务,依据什么标准,取得什么效果”。演练目标应明确、具体、可量化、可实现。如一次演练有若干项演练目标,每项演练目标都要在演练方案中有相应的事件和演练活动予以实现,并在演练评估中有相应的评估项目判断该目标的实现情况。
- 设计演练场景和实施步骤
演练情景应为演练活动提供初始条件,还要通过一系列的情景事件引导演练活动继续,直至演练完成。演练情景包括如下的演练场景概述和演练场景清单:
- 演练场景概述。每一处演练场景的概要说明,应说明事件类别、发生的时间地点、发展速度、受影响范围、人员和物资分布、已造成的损失、后续发展预测等。
- 演练场景(步骤)清单。要明确演练过程中各场景(各步骤)的时间顺序列表和耗时情况。演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。
(模板参见附录A的A.2)
- 拟定演练人员名单
应急演练的参演机构统一成立应急演练指挥机构。由指挥机构发起演练活动的,应急演练的应急指挥机构应向管理部门备案。演练参演团队的设置参见附录A的A.2。根据演练的形式、内容、组织范围等实际情况,演练组织机构和职能可适当调整。
演练活动应在指挥机构的督导、指挥下开展。
- 编写工作方案
应急演练工作方案内容应包括:指导思想、工作原则、演练目的、演练场景、演练时间地点、指挥机构和参演机构、角色职责、演练实施过程、其他准备事项、工作要求及有关附件等。
编制保障方案
在编制演练保障方案时,应从人员保障、经费保障、场地保障、基础设施保障、通信保障、技术保障、安全保障等方面制定详细、可行的方案,理清责任归属,科学预测演练活动过程中可能发生的意外或故障,制定相应意外或故障处理流程、措施等。
(模板参见附录A的A.3)
编制评估方案
演练评估是通过观察、体验和记录演练活动,比较演练实际效果与目标之间的差异,总结演练成效和不足的过程。演练评估应以演练目标为基础。每项演练目标都要设计合理的评估项目方法、标准。根据演练目标的不同,可以用选择项(如:是/否判断,多项选择)、主观评分(如:1—差、3—合格、5—优秀)、定量测量等方法进行评估。
为便于演练评估操作,策划组通常事先设计好评估表格,包括演练目标、评估方法、评价标准和相关记录项等。有条件时还可以采用专业评估软件等工具。
(模板参见附录A的A.4)
编写演练脚本
根据应急演练目的、内容和形式编制应急演练脚本。应急演练脚本是应急演练工作方案的具体操作手册,控制应急演练时间进程,对应急演练场景和响应程序进行详细说明,一般采用表格形式,以应急演练流程的各关键节点为骨干,描述应急演练的场景、起止时间、执行人员、处置行动、指令与对白、适时选用的技术设备、视频画面与字幕、解说词等。(模板参见附录A的A.5)
评审与修订演练方案
对演练方案进行评审,确定演练方案科学可行,以确保应急演练工作的顺利进行。对涉密或不宜公开的演练内容,应制订保密措施。
应急演练保障
人员保障
保证相关人员参与演练活动的时间,确保所有参演人员已经通过演练培训,明确职责分工。
经费保障
每年应根据应急演练规划编制应急演练的经费预算,纳入各参演机构的年度财政(财务)预算,并按照演练需要及时拨付经费。对经费使用情况进行监督检查,确保演练经费专款专用、节约高效。
场地保障
根据演练方式和内容,在经现场勘察后选择合适的演练场地。桌面推演一般可选择会议室或应急指挥中心等;实操演练应选择与实际情况相似的机房或地点。
基础设施保障
提供必要的基础设施保障,包括但不限于电力、设备、物资、通信器材等。
通信保障
为应急演练过程提供及时可靠的信息传递渠道。根据演练需要,可以采用多种公用或专用通信系统,必要时可组建演练专用通信与信息网络,确保演练控制信息的快速传递。
技术保障
根据应急演练方案,预先设计技术保障方案,保障应急演练所涉及的各类技术支撑系统的正常运转。当工作流程发生变化后,技术保障方案也需相应进行调整。
根据组织的网络和信息系统类型,应储备应急演练需要的漏洞、补丁等技术资源,并对技术资源进行合理的调配和使用。在对攻防工具、脚本等危险性技术资源的储备、调配和使用中,应进行合理的安全风险管控。
安全保障
充分考虑演练全过程的安全保障风险,尤其是大型或高风险演练,应制定专门应急预案,采取预防措施,并对关键部位和环节可能出现的突发事件进行专项安全保障。
对可能影响公众生活、易于引起公众误解和恐慌的应急演练(特别是可能造成业务中断的演练),应提前向社会发布公告,告示演练内容、时间、地点和组织单位,并做好应对方案,避免造成负面影响。
演练过程中涉及敏感系统的,应满足相关保密要求。在做好数据备份的基础上,对其中的敏感数据应事先进行脱敏处理;在演练方案设计时,应充分考虑在演练中可能突破其原有对敏感信息访问权限的人员及由此可能造成的后果。
演练现场应有必要的安保措施,必要时对演练现场进行封闭或管制,保证演练安全进行。演练出现意外情况时,及时报告并批准后,提前终止演练。
保障检查
演练正式启动前,组织单位应开展如下充分的保障检查:
- 检查参演人员到位情况。
- 检查演练方案中各项保障资源准备情况,确保各项保障措施到位。
- 检查参演系统配置和数据备份正确和完备,检查演练所需的工具、设备、设施、技术资料到位。
- 应对应急演练所用各类设施、设备进行全面检查和调试,保证处于正常工作状态。
- 其它保障检查工作。
参演机构完成保障检查后,向指挥机构确认。
演练动员与培训
在演练开始前应组织演练动员和培训,确保所有参演人员已熟练掌握演练规则、演练情景,明确各自在演练中的职责分工。
应急演练预演
为保证正式应急演练效果,应在前期培训的基础上,在演练正式开始前安排一次或多次预演。对于大型综合性实操演练,可按照先易后难、先分解后合练、循序渐进的原则,采取分阶段推演形式,检查验证应急演练的局部或全部工作环节,强化参演机构与人员的协同配合意识,查找问题和不足,持续改进提升应急演练方案。为演练的成功举行奠定基础。
实施阶段
演练启动
检查演练各环节准备到位后,由管理部门派员或指挥机构宣布演练开始,启动演练活动。
对演练实施全过程的指挥控制,随时掌握演练进展情况,按照演练方案要求对安全事件的发现及处置进展情况向指挥机构报告。
视情对演练过程进行解说。解说内容应包括演练背景描述、进程讲解、案例介绍、环境渲染等。
各参演机构按照演练方案开始进行应急演练。
安全事件模拟
演练实施过程中,根据演练指令,按照演练方案开展安全事件模拟。安全事件模拟分为如下现象模拟和机理模拟:
- 现象模拟:通过可控的方法复现出安全事件在设备、网络、服务等方面表现出的现象。
- 机理模拟:在演练场景中通过可控的方式真实触发安全事件。
演练执行
综述
安全事件演练执行具体步骤分为监测预警、事件研判、事件通告、事件处置、系统确认五个阶段。
监测预警
实时监测风险信息,将有效信息上报;组织专家进行研判,根据应急预案的要求,确定预警等级,发布预警信息。
事件研判
监测或直接发现安全事件,应对安全事件进行评估,确定安全事件的类别、级别,启动安全事件全面监测措施。
事件通告
根据演练场景要求模拟进行组织内信息通报、组织外信息通报、信息上报和信息披露。
事件处置
应依据安全事件发展态势,快速分析评估安全事件,形成处置方案。现场处置方案应参考安全事件应急预案,并依据具体情况做适当选择。
依据处置方案,实施现场应急处理,消除网络安全隐患及威胁,抑制安全事件影响。
依据处置方案,实施恢复操作。恢复操作应包括建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。实施组恢复复杂系统时,恢复顺序应反映出系统允许的中断时间,以避免对相关系统及业务的重大影响。
系统确认
确认参演系统恢复正常并向指挥机构报告(模板参见附录A的A.6)。
演练记录
演练实施过程中,评估人员按照演练方案采用文字、脚本、照片和音像等手段开展评估素材采集。
文字记录应包括演练实际开始与结束时间、演练过程控制情况、各项演练活动中参演人员的表现、意外情况及其处置等内容。脚本应包括应急处置效果验证和处置现场数据的采集等内容。照片和音像记录应在不同现场、不同角度进行拍摄,尽可能全方位反映演练实施过程。(模板参见附录A的A.7)
演练结束与终止
网络安全事件处置结束后,指挥机构宣布演练执行过程结束,所有人员停止应急处置活动。在确认参演系统恢复正常后,指挥机构做简短总结,宣布演练实施阶段结束,并对演练过程进行点评。
演练实施过程中出现下列情况,经指挥机构或管理部门决定,可提前终止演练。
a)出现真实突发事件,需要参演人员参与应急处置时,要终止演练,使参演人员迅速回归其工作岗位,履行应急处置职责。
b)出现特殊或意外情况,短时间内不能妥善处理或解决时,可提前终止演练。
评估与总结阶段
演练评估
分析演练记录及相关资料,对演练活动及组织过程作出客观评价,编写演练评估报告。
演练评估通过组织评估会议、填写演练评价表和对参演人员进行访谈等方式进行,对演练效果及演练的整体流程进行评估,提出完善建议。可要求参演机构提供自我评估总结材料,收集演练组织实施的情况。
演练评估报告的主要内容包括演练执行情况、演练方案的合理性与可操作性、应急指挥人员的指挥协调能力、参演人员的处置能力、演练所用设备装备的适用性、演练目标的实现情况、演练的成本效益分析、对完善预案的建议等。(模板参见附录A的A.8)
演练总结
根据演练记录、演练评估、演练方案等材料,对演练进行系统和全面的总结,并形成演练总结报告。参演机构可对本单位的演练情况进行总结。
演练总结报告的内容包括:演练目的,时间和地点,参演机构和人员,演练方案概要,发现的问题与原因,经验和教训,以及改进有关工作的建议等。(模板参见附录A的A.9)
文件归档与备案
将演练计划、演练方案、演练评估报告、演练总结报告等资料归档保存。对于由管理部门布置或参与的演练,或者法律、法规、规章要求备案的演练,应将相关资料报有关部门备案。
考核与奖惩
对演练参与人员进行考核。对在演练中表现突出的工作组和个人,可给予表彰和奖励;对不按要求参加演练,或影响演练正常开展的个人,可给予相应批评。
考核与奖惩应纳入绩效考核体系。
成果运用阶段
改善提升
指挥机构应根据演练评估报告、演练总结报告提出的问题和建议对应急处置工作进行持续改进。指挥机构应制定整改计划,明确整改目标,确定整改措施,落实整改资金。
监督整改
指挥机构应指派专人监督检查整改计划执行情况,确保演练评估报告、演练总结报告提出的问题和建议得到及时整改。
延伸阅读
更多内容 可以 GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 进一步学习
联系我们
DB37-T 3366-2018 山东省涉路工程技术规范 山东省.pdf