信息安全技术 网络安全事件应急演练指南
声明
本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网络安全事件常用演练形式对照表
常用演示形式对照表见表B.1。
表 B.1 常用演练形式对照表
| 专项桌面推演 | 专项实操演练 | 专项示范演练 | 综合桌面推演 | 综合实操演练 | 综合示范演练 | |
|---|---|---|---|---|---|---|
| 组织 | 适用范围:适用于根据各机构自身年度演练计划,由机构层面统一牵头、或某部门发起的涉及机构其他有关部门的、针对某一专项应急功能设置的演练场景。 | 适用范围:适用于根据各机构自身年度演练计划,由机构层面统一牵头、或某部门发起的涉及机构其他有关部门的、针对某一专项应急功能设置的演练场景。 | 适用范围:适用于根据各机构自身年度演练计划,由机构层面统一牵头、或某部门发起的涉及机构其他有关部门的、针对某一专项应急功能设置的演练场景。 | 适用范围:适用于根据各机构自身年度演练计划,由机构层面统一牵头、覆盖机构所有部门及成员的、针对可能导致机构核心业务中断引发全局性风险事件设置的场景。 | 适用范围:适用于根据各机构自身年度演练计划,由机构层面统一牵头、覆盖机构所有部门及成员的、针对可能导致机构核心业务中断引发全局性风险事件设置的场景。 | 适用范围:适用于根据各机构自身年度演练计划,由机构层面统一牵头、覆盖机构所有部门及成员的、针对可能导致机构核心业务中断引发全局性风险事件设置的场景。 |
| 目的:通过桌面推演完善机构内部应急指挥、决策和应急处置机制,落实安全责任制,检验有关专项应急预案有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练磨合机构内部应急指挥、决策和应急处置机制,检验有关专项应急预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提示风险,切实提升机构领导层对网络安全事件应急演练的重视程度;促进机构内部应急工作交流。 | 目的:通过桌面推演完善机构内部应急指挥决策和应急处置机制,落实安全责任制,检验机构总体应急预案及各分预案的有效性,促进机构全员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练磨合机构内部应急指挥、决策和应急处置机制,检验机构总体应急预案及各分预案中各项应急操作流程的有效性、可执行性,培养机构全员的临场应变能力。 | 目的:通过示范演练提示风险,提升机构领导层对网络安全事件应急演练的重视程度;促进机构内部应急工作交流。 | |
| 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | |
| 行业 | 适用范围:适用于根据行业年度演练计划,于由行业监管/主管部门牵头行业各有关机构,或由行业某机构发起涉及行业其他业务关联机构的,针对某一专项应急功能设置的故障场景。 | 适用范围:适用于根据行业年度演练计划,于由行业监管/主管部门牵头行业各有关机构,或由行业某机构发起涉及行业其他业务关联机构的,针对某一专项应急功能设置的故障场景。 | 适用范围:适用于根据行业年度演练计划,于由行业监管/主管部门牵头行业各有关机构,或由行业某机构发起涉及行业其他业务关联机构的,针对某一专项应急功能设置的故障场景。 | 适用范围:适用于根据行业年度演练计划,于由行业监管/主管部门牵头行业各有关机构,或由行业某机构发起的、涉及行业其他业务关联机构的,针对可能引发行业全局性风险的事件设置的综合性场景。 | 适用范围:适用于根据行业年度演练计划,于由行业监管/主管部门牵头行业各有关机构,或由行业某机构发起的、涉及行业其他业务关联机构的,针对可能引发行业全局性风险的事件设置的综合性场景。 | 适用范围:适用于根据行业年度演练计划,于由行业监管/主管部门牵头行业各有关机构,或由行业某机构发起的、涉及行业其他业务关联机构的,针对可能引发行业全局性风险的事件设置的综合性场景。 |
| 目的:通过桌面推演提高行业总体应急指挥决策协调力,检验行业专项预案及各级机构有关专项应急预案有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练提高行业总体应急指挥决策协调力,检验行业专项预案流程及各级机构有关专项应急预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提示风险,切实提升行业各机构领导层对网络安全事件应急演练的重视程度;促进行业机构之间应急工作交流。 | 目的:通过桌面推演提高行业总体应急指挥决策协调力,梳理行业各业务条线上下游机构间的耦合关系,完善各机构间应急响应联动策略,落实安全责任制,检验行业总体预案及各级机构有关专项应急预案有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练提高行业总体指挥决策协调力,磨合行业内各机构之间应急响应联动机制,检验行业总体预案流程及各级机构有关专项应急预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提示风险,切实提升行业各机构领导层对网络安全事件应急演练的重视程度;促进行业机构之间应急工作交流。 | |
| 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | |
| 跨行业 | 适用范围:适用于由某一行业发起的、涉及其他行业或有关业务关联机构的,针对某一专项应对功能设置的故障场景。 | 适用范围:适用于由某一行业发起的、涉及其他行业或有关业务关联机构的,针对某一专项应对功能设置的故障场景。 | 适用范围:适用于由某一行业发起的、涉及其他行业或有关业务关联机构的,针对某一专项应对功能设置的故障场景。 | 适用范围:适用于由某一行业发起的、涉及其他行业或有关业务关联机构的,可能引发多行业安全风险的事件设置的综合性场景。 | 适用范围:适用于由某一行业发起的、涉及其他行业或有关业务关联机构的,可能引发多行业安全风险的事件设置的综合性场景。 | 适用范围:适用于由某一行业发起的、涉及其他行业或有关业务关联机构的,可能引发多行业安全风险的事件设置的综合性场景。 |
| 目的:通过桌面推演提高跨行业应急指挥决协调能力,梳理各行业之间的应急联动关系,完善行业间应急响应联动机制,检验各行业有关专项应急预案有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练提高跨行业应急指挥决协调能力,磨合行业间应急响应联动策略,检验各行业有关专项应急预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提示风险,切实提升行业各机构领导层对网络安全事件应急演练的重视程度;促进行业之间应急工作交流。 | 目的:通过桌面推演提高跨行业应急指挥决协调能力,梳理各行业之间的应急联动关系,完善行业间应急响应联动机制,检验各行业总体应急预案及有关分预案的有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练提高跨行业应急指挥决协调能力,磨合行业间应急响应联动策略,检验各行业总体应急预案及有关分预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提示风险,切实提升行业各机构领导层对网络安全事件应急演练的重视程度;促进行业之间应急工作交流。 | |
| 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | |
| 地区 | 适用范围:适用于由某一地区(省市县级单位)发起的、针对可能对局部地区造成影响的事件设置的故障场景。主要为自然灾害或突发公共事件。 | 适用范围:适用于由某一地区(省市县级单位)发起的、针对可能对局部地区造成成影响的事件设置的故障场景。主要为自然灾害或突发公共事件。 | 适用范围:适用于由某一地区(省市县级单位)发起的、针对可能对局部地区造成成影响的事件设置的故障场景。主要为自然灾害或突发公共事件。 | |||
| 目的:通过桌面推演提高地区性应急组织机构的指挥决协调能力,梳理各关联地区及有关行业应急响应联动机制,检验各地区、行业总体应急预案及有关分预案的有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练提高地区性应急组织机构应急指挥和协调能力,磨合各关联地区及有关行业应急联动处置策略,检验地区、行业总体应急预案及有关分预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提升地区性应急组织机构及有关行业网络安全事件应对能力,强化安全意识宣贯;促进地区之间应急工作交流。 | ||||
| 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | ||||
| 跨地域 | 适用范围:适用于由某一地区(省/市/县级单位)发起的、针对可能造成跨地域影响的事件设置的故障场景。主要为自然灾害或突发公共事件。 | 适用范围:适用于由某一地区(省/市/县级单位)发起的、针对可能造成跨地域影响的事件设置的故障场景。主要为自然灾害或突发公共事件。 | 适用范围:适用于由某一地区(省/市/县级单位)发起的、针对可能造成跨地域影响的事件设置的故障场景。主要为自然灾害或突发公共事件。 | |||
| 目的:通过桌面推演提高跨地域性应急组织机构的指挥决协调能力,梳理各关联地区及有关行业应急响应联动机制,检验各地区、行业总体应急预案及有关分预案的有效性,促进相关人员深入掌握应急预案,完善应急准备。 | 目的:通过实操演练提高跨地域性应急组织机构应急指挥和协调能力,磨合各关联地区及有关行业应急联动处置策略,检验地区、行业总体应急预案及有关分预案中各项应急操作流程的有效性、可执行性,培养有关人员的临场应变能力。 | 目的:通过示范演练提升跨地域性应急组织机构及有关行业网络安全事件应对能力,强化安全意识宣贯;促进地区之间应急工作交流。 | ||||
| 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 | 可套用模板: 附录A.2 演练方案 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 | 可套用模板: 附录A.2 演练方案 附录A.5 演练方案剧本 附录A.7 演练记录单 附录A.8 演练评估 附录A.9 演练总结 附录A.6 事件报告书 |
网络安全事件演练场景库
演练场景库见表C.1。
表C.1 演练场景库
| 常见风险类型 | 常见故障类型 | 故障场景描述 | 建议演练形式 |
|---|---|---|---|
| 自然灾害风险 | 太阳黑子活动 | 由于太阳黑子活动,导致技术系统遭受一定程度干扰,出现运行异常等情况 | 机构层面专项桌面推演/行业层面专项桌面推演 |
| 台风 | 沿海地区受台风影响,可能出现电力中断、通信线路受损、水害等,影响系统正常运行,甚至导致系统中断 由台风导致的区域性电力、通讯、交通瘫痪及社会公共安全等应急场景 | 机构层面综合性桌面推演/地区层面综合性桌面推演 | |
| 破坏性地震 | 由地震引发的地域性社会救援、医疗卫生、电力、通讯、运输等应急场景 | 机构层面综合性桌面推演/地区层面综合性桌面推演/地区层面综合性示范演练 | |
| 水灾 | 因水灾引起的机房地下基础设施被淹、机房渗漏等,影响技术系统正常运行 以及市政排水、社会救援、交通等应急场景 | 机构层面综合性桌面推演/地区层面综合性桌面推演 | |
| 火灾 | 机房火灾导致的技术系统不可用 火灾现场人员疏散、救援、消防等应急场景 | 机构层面综合性桌面推演/机构层面综合性实操演练 | |
| 技术系统风险 | 计算机硬件故障 | 由于服务器硬件、网络设备、存储设备等故障导致的系统不可用 | 机构层面专项桌面推演/机构层面专项实操演练/行业层面综合性实操演练 |
| 计算机软件故障 | 由于计算机软件逻辑错误、软件缺陷、变更失败等导致的系统不可用 | 机构层面专项桌面推演/机构层面专项实操演练/行业层面综合性实操演练 | |
| 机房基础设施故障 | 由于机房配电、通信线路、空调、消防系统等基础设施故障导致的系统不可用 | 机构层面专项桌面推演/机构层面专项实操演练/行业层面综合性实操演练 | |
| 系统容量不足 | 由于系统性能不够、处理能力不足导致的运行缓慢或业务中断等场景 | 机构层面专项桌面推演/机构层面专项实操演练/行业层面综合性实操演练 | |
| 工控系统风险 | 工业控制类设备故障 | 工业控制系统软硬件故障所导致的等业务中断 | 机构层面专项桌面推演/行业层面专项桌面推演/地区层面综合性桌面推演 |
| 工业控制类设备受到攻击 | 攻击者利用工业控制系统漏洞、协议缺陷等对系统进行攻击渗透导致系统运行异常或不可用 | 机构层面专项桌面推演/行业层面专项桌面推演//地区层面综合性桌面推演 | |
| 业务规则紧急调整 | 业务规则逻辑错误或调整后测试不充分导致的系统运行异常或不可用 | 机构层面专项桌面推演/行业层面专项桌面推演/地区层面综合性桌面推演 | |
| 互联网安全风险 | 网络攻击事件 | 通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷造成系统异常或对信息系统运行造成潜在危害的互联网安全事件 | 机构层面专项实操演练/行业层面专项实操演练 |
| 有害程序事件 | 蓄意制造、传播有害程序,或是因受到有害程序影响而导致互联网安全事件 | 机构层面专项实操演练/行业层面专项实操演练 | |
| 信息破坏事件 | 通过网络或其他技术手段造成信息系统中信息被篡改、假冒、泄露、窃取而导致互联网安全事件 | 机构层面专项实操演练/行业层面专项实操演练 | |
| 信息内容安全事件 | 利用信息网络发布、传播危害国家安全、社会稳定和公共利益内容的互联网安全事件 | 机构层面专项实操演练/行业层面专项实操演练/地区层面专项实操演练 | |
| 其他行业关联风险 | 大面积电力故障 | 由于电力行业发电或传输系统故障导致的区域性事件或其他行业遭受连带影响的事件 | 机构层面综合性实操演练/行业层面综合性实操演练/地区层面综合性桌面推演/跨地域综合性桌面推演 |
| 大面积通讯故障 | 由于通讯行业线路故障导致的区域性事件或其他行业遭受连带影响的事件 | 机构层面综合性实操演练/行业层面综合性实操演练/地区层面综合性桌面推演/跨地域综合性桌面推演 | |
| 其他行业故障 | 某行业故障导致其他关联行业遭受连带影响的事件 | 机构层面综合性实操演练/行业层面综合性实操演练 | |
| 技术创新风险 | 云服务提供商故障 | 由于云服务商故障导致的业务中断或业务数据丢失、损毁等事件 | 机构层面综合性实操演练/行业层面综合性实操演练 |
| 其他故障 | 其他 |
网络安全事件参考案例
设备设施故障实操演练案例
该案例适用于针对信息系统自身软硬件故障,电力、通信等外围保障设施故障,受关联单位故障影响及认为操作失误等导致网络安全事件的应急演练。 该样例模拟某单位生产系统硬件故障切换备份系统运行的场景(如生产主备均发生故障可升级为切换同城/异地灾备系统运行)。
表D.1 设备设施故障实操演练方案
| 演练方案概要 | |||||||
|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位XX系统所在机房/备份中心 | ||||
| 演练目的 | 检验信息系统重大技术故障的发现、定位、指挥及协同处置能力,验证应急预案和应急处置流程,检验备份/灾备系统建设能及和可用性,锻炼团队。 | ||||||
| 场景设置 | XX单位生产时间XX系统突发技术故障,导致系统不可用,有关业务中断。经判断为主用生产系统硬件故障,随即启动应急预案,将生产系统向备份系统切换,同时有关部门组织发布信息,开展舆论引导。 | ||||||
| 演练形式 | □桌面推演 ■实操演练 □示范演练 | □跨行业 □跨地区 ■单位内部 □部门内部 | □综合演练 ■专项演练 | ||||
| 管理单位 | XX单位系统运行部 | 参演机构 | XX单位综合部、有关业务部 | ||||
| 参演团队构成(单位、角色、职责分工) | 指挥组:技术部门分管领导、运行部负责人、综合部负责人、有关业务部门负责人 策划组:系统运行部负责编写方案、组织策划 保障组:系统运行部(运行一线、二线人员)负责安全保障(明确到人) 评估组:系统运行部、综合部、有关业务部门派员组成评估小组 | ||||||
| 演练保障 | 人员保障:演练各项工作落实到人(安排主备岗),演练准备及实施全程参与(明确到人) 经费保障:按照年度演练计划和预算落实 物资保障:技术系统备品备件等…… 场地保障:演练所在机房,灾备中心 通讯保障:专线等通讯链路,固定电话、手机等必要联络设备 | ||||||
| 演练方案 | |||||||
| 演练阶段 | 序号 | 时间控制 | 演练步骤 | 动作 | 角色 (执行方) | 同步执行 | 角色/动作 |
| 演练开始 | 1 | T | 向演练现场下达演练开始指令 | ||||
| 2 | T+1 | 模拟XX系统生产主机硬件故障 | (停止服务进程等方式) | ||||
| 发现故障并记录 | 3 | T+2 | 一线运行监控人员通过统一监控系统发现报警信息,向二线运管中心报告故障。 | 查看监控界面 | 一线运行监控 | 与此同时,业务部门陆续接到下级单位报障电话,反映XX业务出现中断 | 业务部门 |
| T+3 | 二线运管中心接到报告,对故障进行定位,经判断,XX系统为生产主机硬件故障。 | 组织进行故障研判 | 二线运管中心 | ||||
| T+4 | 按照预案,应立即将生产系统向备份系统切换,运管中心人员向运行负责任报告故障情况,建议立即启动预案。 | 向运行负责人报告 | 二线运管中心 | ||||
| T+5 | 运行负责人同意启动预案。 | 运行负责人 | |||||
| 预案启动 | T+6 | 二线运管中心通知XX系统管理员准备进行系统切换。 | 二线运管中心XX系统管理员 | ||||
| T+6 | 通知有关业务部门进行制定统一解释口径,通过短信、网站公告、客户电话等形式提示风险,开展舆情监控。 | 业务部门 | |||||
| T+6 | 通知综合部门编制《网络安全事件报告书》向有关部门报告情况。 | 综合部门 | |||||
| T+6 | 通知有关硬件厂商携带备件赶赴故障现场进行处置 | 致电硬件厂商 | |||||
| T+7 | XX系统管理员将生产系统向备份系统切换,切换完成后持续关注数据同步情况,通知一线运行监控关注下级单位链接情况。 | 系统切换、数据同步 | XX系统管理员 | ||||
| 系统恢复 | T+16 | 确定数据同步完成,各方链接正常,二线运管中心向运行负责人报告系统恢复情况,告知厂商已赶到现场对故障硬件进行更换,并建议在本阶段生产运行结束后切换回主用生产系统。 | 向运行负责人报告切换情况 | 二线运管中心 | |||
| T+19 | 通知业务部门通过网站等形式发布公告通知业务恢复正常,通知综合部门向有关单位报告恢复情况 | 二线运管中心 | |||||
| 演练完成 | T+20 | 宣布演练结束 |
表D.2 设备设施故障实操演练记录单
| 演练概要 | |||||||
|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位XX系统所在机房/备份中心 | ||||
| 演练目的 | 检验信息系统重大技术故障的发现、定位、指挥及协同处置能力,验证应急预案和应急处置流程,检验备份/灾备系统建设能及和可用性,锻炼团队。 | ||||||
| 场景设置 | XX单位生产时间XX系统突发技术故障,导致系统不可用,有关业务中断。经判断为主用生产系统硬件故障,随即启动应急预案,将生产系统向备份系统切换,同时有关部门组织发布信息,开展舆论引导。 | ||||||
| 演练形式 | □桌面推演 ■实操演练 □示范演练 | □跨行业 □跨地区 ■单位内部 □部门内部 | □综合演练 ■专项演练 | ||||
| 管理部门 | XX单位系统运行部 | 参演机构 | XX单位综合部、有关业务部 | ||||
| 演练记录 | |||||||
| 演练阶段 | 序号 | 起止时间 | 演练过程控制情况 | 参演人员表现 | 意外情况及其处置(选填) | 记录人 | 记录手段 |
| 系统准备及启动 | 1 | YYYY-MM-DD 9:00-9:02 | ■系统备份等安全控制措施 ■演练前是否向总指挥部确认 ■总指挥部是否正式宣布演练开始 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
| 演练执行 | 2 | YYYY-MM-DD 9:03-9:15 | ■演练总指挥是否对演练全过程进行控制或授权策划组控制。 ■各应急指挥中心是否按照演练预案进行事件场景模拟 ■演练单位是否指定专人按预案要求将发现的问题和处置情况向总指挥部报告 ■各应急指挥中心领导小组是否将演练进展情况及时向总指挥报告 ■演练执行过程是否做好全演练执行过程记录。 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
| 演练结束与终止 | 3 | YYYY-MM-DD 9:16-9:20 | ■演练结束后,是否由总指挥部宣布演练结束,且所有人员停止了演练活动 ■各应急指挥中心和总指挥部是否及时总结 ■各应急指挥中心和总指挥部对演练现场是否进行清理。 □演练过程中出现突发相关情形,总指挥部领导小组是否提前终止演练 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
| 系统恢复 | 4 | YYYY-MM-DD 9:30之后 | ■各参演机构是否恢复系统 ■各参演机构是否向总指挥部报告系统恢复情况 ■演练结束后次日是否向总指挥部书面报告系统运行状态 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
表D.3 设备设施故障实操演练评估
| 演练概要 | ||||
|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位XX系统所在机房/备份中心 | |
| 演练目的 | 检验信息系统重大技术故障的发现、定位、指挥及协同处置能力,验证应急预案和应急处置流程,检验备份/灾备系统建设能及和可用性,锻炼团队。 | |||
| 场景设置 | XX单位生产时间XX系统突发技术故障,导致系统不可用,有关业务中断。经判断为主用生产系统硬件故障,随即启动应急预案,将生产系统向备份系统切换,同时有关部门组织发布信息,开展舆论引导。 | |||
| 演练形式 | □桌面推演 ■实操演练 □示范演练 | □跨行业 □跨地区 ■单位内部 □部门内部 | □综合演练 ■专项演练 | |
| 管理部门 | XX单位系统运行部 | 参演机构 | XX单位综合部、有关业务部 | |
| 评估组成员 | ||||
| 姓名 | 单位 | 职务 | 专长领域 | |
| XXX | XX单位系统运行部 | 总监 | ……… | |
| XXX | XX单位XX业务部 | 总监 | ……… | |
| …… | …… | …… | …… | |
| 演练评估 | ||||
| 序号 | 评估项目 | 评估指标 | 评估结论 (1—差、3—合格、5—优秀) | 改进建议 |
| 1 | 演练方案可行性 | ◆演练方案的合理性,可用性 ◆演练方案与预案符合程度 | (3)演练方案合理,与预案基本符合 | 建议根据演练情况进一步修订完善预案 |
| 2 | 监控告警能力 | ◆告警信息是否及时、准确 | (5)及时、准确 | |
| 3 | 故障定位能力 | ◆是否准确定位故障点 ◆是否及时根据预案提出解决方案 | (3)能够根据告警信息及时定位故障点并按照预案确定处置方案 | 建议持续丰富和细化预案场景库 |
| 4 | 现场指挥协调能力 | ◆现场是否迅速建立应急指挥部 ◆是否有明确的总指挥和现场指挥 ◆总指挥和现场指挥命令下达是否正确 ◆各主管部门是否迅速到位,每个人员标志清楚 | (5)组织架构明确,各方响应迅速 | |
| 5 | 参演人员处置能力 | ◆是否就位迅速,职责明确 ◆是否处置及时 ◆是否正确向指挥部反馈处置情况 | (5)应急过程中各方职责分工清晰,处置迅速且及时向指挥部反馈处置进展 | |
| 6 | 关联方应急联动能力 | ◆接口部门及人员是否明确 ◆是否响应及时 ◆配合是否流畅 | (5)与关联方对接顺利,各关联方配合及时准确 | |
| 7 | 演练保障能力 | ◆应急人员(主备岗)是否及时就位 ◆技术备品备件是否充足 ◆应急物资、及必要通讯设备准备是否充足 ◆是否制定意外情况应急措施和回退方案 | (5)制订了紧急情况回退方案,应急人员、设备、物资等充足。 | |
| 8 | 演练目标的实现情况 | ◆是否通过演练发现待改进事项 ◆是否达到预期目标 | (5)已针对需要改进事项提出有关建议,经评估,演练达到预期目标 | |
| 9 | 演练的成本效益分析 | ◆是否符合演练预算,厉行节约 | (5)严格按照预算开展演练 |
表D.4 设备设施故障实操演练总结
| 演练概要 | |||
|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位XX系统所在机房/备份中心 |
| 演练目的 | 检验信息系统重大技术故障的发现、定位、指挥及协同处置能力,验证应急预案和应急处置流程,检验备份/灾备系统建设能及和可用性,锻炼团队。 | ||
| 场景设置 | XX单位生产时间XX系统突发技术故障,导致系统不可用,有关业务中断。经判断为主用生产系统硬件故障,随即启动应急预案,将生产系统向备份系统切换,同时有关部门组织发布信息,开展舆论引导。 | ||
| 演练形式 | □桌面推演 ■实操演练 □示范演练 | □跨行业 □跨地区 ■单位内部 □部门内部 | □综合演练 ■专项演练 |
| 管理部门 | XX单位系统运行部 | 参演机构 | XX单位综合部、有关业务部 |
| 演练评估 | |||
| 演练评估时间 | YYYY-MM-DD | 演练评估地点 | XX单位会议室 |
| 评估专家组 成员 | 技术、综合及有关部门负责人 | ||
| 评估结论 | 演练方案涉及合理,与预案基本符合; 告警及时、准确,能够根据告警信息及时定位故障点并按照预案确定处置方案; 组织架构明确,各方响应迅速,职责分工清晰,处置迅速; 与关联方对接顺利,各关联方配合及时有效; 达到预期演练目标。 | ||
| 演练总结及改进思路 | |||
| 演练总结 | 将于演练结束两周内编制详细演练总结及整改方案。 | ||
| 改进思路 | 将于演练结束两周内编制详细演练总结及整改方案。 |
灾害性事件桌面推演案例
灾害性事件桌面推演方案适用于针对台风、暴雨、洪水、火灾、地震、大面积停电、恐怖袭击、战争等不可抗力所引发网络安全事件的应急演练。
该样例模拟某单位大楼火灾引发停电影响技术系统运行的场景。
表D.5 灾害性事件桌面推演方案
| 演练方案概要 | |||||||
|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位数据中心 | ||||
| 演练目的 | 检验单位各部门针对火灾类突发事件的应对能力及灾备系统可用性,完善与各关联单位的应急响应联动机制,提高全体人员消防安全意识与应变自救能力。 | ||||||
| 场景设置 | 模拟XX单位数据中心所在大楼突发火灾,消防部门接到报警抵达现场并准备对大楼进行封锁,XX单位配合消防部门对大楼人员进行紧急疏散,同时启动应急预案,紧急将重要技术系统切换至灾备中心,技术人员撤离。 | ||||||
| 演练形式 | ■桌面推演 □实操演练 □示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | ■综合演练 □专项演练 | ||||
| 管理部门 | XX单位运维部门 | 参演机构 | 大楼物业、消防部门 | ||||
| 参演团队构成(单位、角色、职责分工) | 指挥组:XX单位总经理、单位所有部门负责人组成指挥组(分指挥部),总经理任(分指挥部)指挥(明确到人) 策划组:运维部门牵头,会同各参演部门有关人员组成策划组,开展演练方案制定、剧本编写等(明确到人) 保障组:运维部会同大楼物业负责演练过程中的安全保障(明确到人,以及联系方式) 观察组:有关部门领导出席演练,进行观察指导 评估组:行业有关信息技术专家组成评估小组对演练情况开展评估(明确到人) | ||||||
| 演练保障 | 人员保障:演练各项工作落实到人(安排主备岗),演练准备及实施全程参与(明确到人) 经费保障:按照XX年度演练计划和预算落实 物资保障:技术系统备品备件、消防设施(呼吸器等)、紧急照明设施…… 场地保障:演练所在大楼及周边区域,灾备中心 通讯保障:专线等通讯链路,固定电话、手机、对讲机等必要联络设备 | ||||||
| 演练方案 | |||||||
| 演练阶段 | 序号 | 时间控制 | 演练步骤 | 动作 | 角色 (执行方) | 同步执行 | 角色/动作 |
| 演练开始 | 1 | T | 向XX单位下达演练开始指令 | 总指挥部 | |||
| 2 | T+1 | XX单位接受指令,介绍参演场景及演练内容 | XX单位分指挥部 | ||||
| 3 | T+3 | XX单位向演练现场下达演练开始指令 | XX单位分指挥部 | ||||
| 故障发现 | 4 | T+4 | 模拟数据中心所在大楼发生火灾(通过向烟雾探测器送等方式) | XX单位运维保障部门 | |||
| 5 | T+5 | 监控人员发现消防系统出现声光报警,通过监控确认告警区域,立即赶往该区域实地查看。 | 通过监控确认告警区域,立即赶往该区域实地查看 | XX单位运维监控部门 | |||
| 6 | T+6 | 实地查看确认出现大量烟雾,暂未见明火,立即与大楼物业联系,被告知为大楼管井失火,物业已报警并将立即启动火灾应急 | XX单位运维监控部门 | 与此同时物业部门电话向消防部门报警,大楼响起火灾警报 | 大楼物业 | ||
| 接到火灾报警,立即派出消防车赶往火灾地点 | 消防部门 | ||||||
| 7 | T+7 | XX单位运维监控人员立即向部门负责人报告情况,根据单位应急预案,已达到火灾应急预案启动条件,要求立即启动应急 | XX单位运维监控部门 | 运维负责人同意启动预案 | 运维负责人 | ||
| 预案启动 | 8 | T+8 | 运维监控人员立即通知有关部门启动预案 | 1、通知综合部门立即组织疏散 2、通知系统管理员执行系统切换 3、立即对机房内人员进行疏散,模拟启动消防系统气体释放 | 运维负责人紧急向单位领导报告情况,并要求按照预案服从综合部门安排立即疏散 | ||
| 9 | T+10 | 综合部门立即派出人员分头到各办公区域组织疏散,要求全体人员切断办公设备电源马上撤离 | 综合部门 | 此时消防车抵达 | 综合部门与消防部门配合 | ||
| 10 | T+15 | 系统管理员按照预案要求立即将重要技术系统向灾备系统切换,同时向灾备中心运行人员告知情况,请求配合,完成指定操作并撤离 | 系统管理员 | 灾备中心对有关系统进行接管,与此同时指定专人统计影响情况并草拟《网络安全事件报告书》向上级部门报告 | 灾备中心 | ||
| 指定人员制定统一解释口径,通过短信、网站公告、客户电话等形式提示风险,开展舆情监控,对失实报导的情况要求删除或澄清 | 灾备中心 | ||||||
| 11 | T+25 | 灾备切换完成,检查重要系统运行情况,持续向XX单位指挥部(已撤离大楼)报告各交易系统切换情况 | 灾备中心 | ||||
| 恢复正常 | 12 | T+34 | 模拟大楼火势已被控制,灾备系统运行正常,持续统计确认受影响范围,向上级部门报告 | 灾备中心 | 有关人员赶往灾备中心临时办公场地 | ||
| 13 | T+35 | 报告演练完成 | XX单位分指挥部 |
表D.6 灾害性事件桌面推演记录单
| 演练概要 | |||||||
|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位数据中心 | ||||
| 演练目的 | 检验单位各部门针对火灾类突发事件的应对能力及灾备系统可用性,完善与各关联单位的应急响应联动机制,提高全体人员消防安全意识与应变自救能力。 | ||||||
| 场景设置 | 模拟XX单位数据中心所在大楼突发火灾,消防部门接到报警抵达现场并准备对大楼进行封锁,XX单位配合消防部门对大楼人员进行紧急疏散,同时启动应急预案,紧急将重要技术系统切换至灾备中心,技术人员撤离。 | ||||||
| 演练形式 | ■桌面推演 □实操演练 □示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | ■综合演练 □专项演练 | ||||
| 管理部门 | XX单位 | 参演机构 | 大楼物业、消防部门 | ||||
| 演练记录 | |||||||
| 演练阶段 | 序号 | 起止时间 | 演练过程控制情况 | 参演人员表现 | 意外情况及其处置(选填) | 记录人 | 记录手段 |
| 系统准备及启动 | 1 | YYYY-MM-DD 9:00-9:03 | ■系统备份等安全控制措施 ■演练前是否向总指挥部确认 ■总指挥部是否正式宣布演练开始 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
| 演练执行 | 2 | YYYY-MM-DD 9:04-9:30 | ■演练总指挥是否对演练全过程进行控制或授权策划组控制。 ■各应急指挥中心是否按照演练预案进行事件场景模拟 ■演练单位是否指定专人按预案要求将发现的问题和处置情况向总指挥部报告 ■各应急指挥中心领导小组是否将演练进展情况及时向总指挥报告 ■演练执行过程是否做好全演练执行过程记录。 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
| 演练结束与终止 | 3 | YYYY-MM-DD 9:31-9:35 | ■演练结束后,是否由总指挥部宣布演练结束,且所有人员停止了演练活动 ■各应急指挥中心和总指挥部是否及时总结 ■各应急指挥中心和总指挥部对演练现场是否进行清理。 □演练过程中出现突发相关情形,总指挥部领导小组是否提前终止演练 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
| 系统恢复 | 4 | YYYY-MM-DD 9:35之后 | ■各参演机构是否恢复系统 ■各参演机构是否向总指挥部报告系统恢复情况 ■演练结束后次日是否向总指挥部书面报告系统运行状态 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 □照片 □音像 □其他(补充说明具体手段) |
表D.7 灾害性事件桌面推演评估
| 演练概要 | ||||||
|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位数据中心 | |||
| 演练目的 | 检验单位各部门针对火灾类突发事件的应对能力及灾备系统可用性,完善与各关联单位的应急响应联动机制,提高全体人员消防安全意识与应变自救能力。 | |||||
| 场景设置 | 模拟XX单位数据中心所在大楼突发火灾,消防部门接到报警抵达现场并准备对大楼进行封锁,XX单位配合消防部门对大楼人员进行紧急疏散,同时启动应急预案,紧急将重要技术系统切换至灾备中心,技术人员撤离。 | |||||
| 演练形式 | ■桌面推演 □实操演练 □示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | ■综合演练 □专项演练 | |||
| 管理部门 | XX单位 | 参演机构 | 大楼物业、消防部门 | |||
| 评估组成员 | ||||||
| 姓名 | 单位 | 职务 | 专长领域 | |||
| XXX | XX单位技术部 | 部门负责人 | …… | |||
| XXX | XX单位综合部 | 部门负责人 | …… | |||
| XXX | 大厦物业保障部 | 部门负责人 | …… | |||
| XXX | XX区消防支队 | 负责人 | XXX | XX单位保障部 | 部门负责人 | ……. |
| …… | …… | …… | …… | |||
| 演练评估 | ||||||
| 序号 | 评估项目 | 评估指标 | 评估结论 (1—差、3—合格、5—优秀) | 改进建议 | ||
| 1 | 演练方案可行性 | ◆演练方案的合理性,可用性 ◆演练方案与预案符合程度 | (3)演练方案合理,与预案基本符合 | 建议根据演练情况进一步修订完善预案 | ||
| 2 | 监控告警能力 | ◆告警信息是否及时、准确 | (5)及时、准确 | |||
| 3 | 故障定位能力 | ◆是否准确定位故障点 ◆是否及时根据预案提出解决方案 | (3)能够根据告警信息及时定位故障点并按照预案确定处置方案 | 建议持续丰富和细化预案场景库 | ||
| 4 | 现场指挥协调能力 | ◆现场是否迅速建立应急指挥部 ◆是否有明确的总指挥和现场指挥 ◆总指挥和现场指挥命令下达是否正确 ◆各主管部门是否迅速到位,每个人员标志清楚 | (5)组织架构明确,各方响应迅速 | |||
| 5 | 参演人员处置能力 | ◆是否就位迅速,职责明确 ◆是否处置及时 ◆是否正确向指挥部反馈处置情况 | (5)应急过程中各方职责分工清晰,处置迅速且及时向指挥部反馈处置进展 | |||
| 6 | 关联方应急联动能力 | ◆接口部门及人员是否明确 ◆是否响应及时 ◆配合是否流畅 | (3)与关联方对接顺利,各关联方配合及时准确 | 持续完善关联单位之间联络机制 | ||
| 7 | 演练保障能力 | ◆应急人员(主备岗)是否及时就位 ◆技术备品备件是否充足 ◆应急物资、及必要通讯设备准备是否充足 ◆是否制定意外情况应急措施和回退方案 | (5)制订了紧急情况回退方案,应急人员、设备、物资等充足。 | |||
| 8 | 演练目标的实现情况 | ◆是否通过演练发现待改进事项 ◆是否达到预期目标 | (5)已针对需要改进事项提出有关建议,经评估,演练达到预期目标 | |||
| 9 | 演练的成本效益分析 | ◆是否符合演练预算,厉行节约 | (5)严格按照预算开展演练 |
表D.8 灾害性事件桌面推演总结
| 演练概要 | |||
|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位数据中心 |
| 演练目的 | 检验单位各部门针对火灾类突发事件的应对能力及灾备系统可用性,完善与各关联单位的应急响应联动机制,提高全体人员消防安全意识与应变自救能力。 | ||
| 场景设置 | 模拟XX单位数据中心所在大楼突发火灾,消防部门接到报警抵达现场并准备对大楼进行封锁,XX单位配合消防部门对大楼人员进行紧急疏散,同时启动应急预案,紧急将重要技术系统切换至灾备中心,技术人员撤离。 | ||
| 演练形式 | ■桌面推演 □实操演练 □示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | ■综合演练 □专项演练 |
| 管理部门 | XX单位 | 参演机构 | 大楼物业、消防部门 |
| 演练评估 | |||
| 演练评估时间 | YYYY-MM-DD | 演练评估地点 | XX单位会议室 |
| 评估专家组成员 | 由XX单位技术部、综合部及有关业务部门,大厦物业保障部,消防支队负责人等组成。 | ||
| 评估结论 | 演练方案涉及合理,与预案基本符合; 告警及时、准确,能够根据告警信息及时定位故障点并按照预案确定处置方案; 组织架构明确,各方响应迅速,职责分工清晰,处置迅速; 与关联方对接顺利,各关联方配合及时有效; 达到预期演练目标。 | ||
| 演练总结及改进思路 | |||
| 演练总结 | 将于演练结束两周内编制详细演练总结及整改方案。 | ||
| 改进思路 | 将于演练结束两周内编制详细演练总结及整改方案。 |
网络攻击事件示范演练案例
网络攻击事件示范演练方案适用于通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷造成系统异常或对信息系统运行造成潜在危害的网络安全事件的应急演练。
该样例模拟某单位门户网站遭遇DDoS攻击的场景。
表D.9 网络攻击事件示范演练方案
| 演练方案概要 | |||||||
|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位网站系统所在机房 | ||||
| 演练目的 | 检验XX单位互联网安全防护能力,验证应急预案和应急处置流程,完善与各关联单位的应急响应联动机制。 | ||||||
| 场景设置 | 某工作日,XX单位发现门户网站访问缓慢,经判断为遭遇DDOS攻击,紧急启动应急预案并协调网络运营商开展应急处置。 | ||||||
| 演练形式 | □桌面推演 □实操演练 ■示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | □综合演练 ■专项演练 | ||||
| 管理部门 | XX单位技术部 | 参演机构 | 网络运营商、CNCERT、安全厂商 | ||||
| 参演团队构成(单位、角色、职责分工) | 指挥组:技术部门分管领导、技术部负责人、综合部负责人 策划组:技术部负责编写方案、组织策划 保障组:技术部负责安全保障(明确到人) 观察组:行业所有单位、有关外联单位 评估组:技术部、综合部、行业信息安全专家组成评估小组 | ||||||
| 演练保障 | 技术保障:演练相关网络设备数量、型号,拟使用的监控及处置相关工具;如入侵检测系统、防火墙系统、防病毒系统等 人员保障:信息安全运维人员及演练有关技术人员全员到岗 经费保障:应急演练预算 场地保障:故障模拟场地、应急指挥场地、应急处置场地等 通讯保障:热线、视频会议系统、电话会议系统、其他通讯设施等 | ||||||
| 演练方案 | |||||||
| 演练阶段 | 序号 | 时间控制 | 演练步骤 | 动作 | 角色 (执行方) | 同步执行 | 角色/动作 |
| 演练开始 | 1 | T | XX单位向演练现场下达演练开始指令 | ||||
| 2 | T+1 | 网络运行商向演练单位发起故障 | 中断通信线路 | ||||
| 故障预警、响应及报告流程 | 3 | T+3 | XX单位运维部门监控出现门户网站流量告警,运维人员对告警进行初步分析,判断为门户网站遭遇DDOS攻击 | 查看监控告警界面 | |||
| 4 | T+5 | 监控人员向运维负责人报告故障 | 电话报告故障 | ||||
| 应急决策、指挥、处置、报告、信息发布 | 5 | T+6 | 运维负责人召集应急工作小组,进一步确认故障及影响范围,研判风险,并确定启动相应应急预案 | 组织进行故障及风险研判 | |||
| 6 | T+10 | 按应急预案,紧急与运营商沟通启动流量清洗服务 | 综合部门开展舆情监控,通过微信公众号等方式发布公告 | ||||
| 7 | 通知网络安全厂商紧急赶来故障现场开展技术支持 | ||||||
| 8 | T+20 | 运营商流量清洗完成,网络流量恢复正常,门户网站恢复访问 | |||||
| 9 | T+25 | 持续跟踪门户网站运行情况,并向运维负责人报告情况 | 电话报告处置情况及后续工作 | 网络安全厂商对门户网站安全情况进行评估并提出加固方案 | |||
| 10 | T+30 | 与CNCERT沟通请求提供网络攻击溯源服务 | 电话沟通情况,请求支援 | ||||
| 应急演练完毕及报告 | 11 | T+31 | 对事件发生和应急处置概况等进行总结 | ||||
| 12 | T+35 | 专家点评,宣布演练结束 |
表D.10 网络攻击事件示范演练剧本
| 演练概要 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位网站系统所在机房 | ||||||
| 演练目的 | 检验XX单位互联网安全防护能力,验证应急预案和应急处置流程,完善与各关联单位的应急响应联动机制。 | ||||||||
| 场景设置 | 某工作日,XX单位发现门户网站访问缓慢,经判断为遭遇DDOS攻击,紧急启动应急预案并协调网络运营商开展应急处置。 | ||||||||
| 演练形式 | □桌面推演 □实操演练 ■示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | □综合演练 ■专项演练 | ||||||
| 管理部门 | XX单位 | 参演机构 | 网络运营商、CNCERT、安全厂商 | ||||||
| 参演团队构成 (单位、角色、职责分工) | 指挥组:技术部门分管领导、技术部负责人、综合部负责人 策划组:技术部负责编写方案、组织策划 保障组:技术部负责安全保障(明确到人) 督导组: 观察组:行业所有单位、有关外联单位 评估组:系统运行部、综合部、行业信息安全专家组成评估小组 | ||||||||
| 演练保障 | 技术保障:演练相关网络设备数量、型号,拟使用的监控及处置相关工具;如入侵检测系统、防火墙系统、防病毒系统等 人员保障:信息安全运维人员及演练有关技术人员全员到岗 经费保障:应急演练预算 物资保障: 场地保障:故障模拟场地、应急指挥场地、应急处置场地等 通讯保障:热线、视频会议系统、电话会议系统、其他通讯设施等 其它: | ||||||||
| 演练方案剧本 | |||||||||
| 演练阶段 | 序号 | 演练主线 (按方案步骤执行) | 场景展示 (镜头) | 角色 | 指令/报告/应答 | 动作 | 同步场景 | 角色/动作 | 备注 |
| 演练开始 | 1 | XX单位向演练现场下达演练开始指令 | 会议室(应急指挥中心) | 演练总指挥 | 技术部请准备开始网络攻击事件应急演练 | 技术部收到演练开始指令 | 技术部负责人 | ||
| 2 | 网络运行商向演练单位发起故障 | 向演练单位发起DDOS攻击 | |||||||
| 故障预警、响应及报告流程 | 3 | XX单位运维部门监控出现门户网站流量告警,运维人员对告警进行初步分析,判断为门户网站遭遇DDOS攻击 | 机房监控室 | 运维人员 | 查看告警界面 | ||||
| 4 | 监控人员向运维负责人报告故障 | 机房监控室 | 运维人员 | 报告:当前监控系统出现流量告警,经初步分析,判断为我单位门户网站遭遇DDOS攻击,建议按要求立即启动应急预案。 | 向负责人电话报告 | 同意启动应急预案 | 技术部负责人 | ||
| 应急决策、指挥、处置、报告、信息发布 | 5 | 运维负责人召集应急工作小组,进一步确认故障及影响范围,研判风险,并确定启动相应应急预案 | 会议室(应急指挥中心) | 技术、综合、业务等部门负责人 | 我单位门户网站遭遇DDOS攻击,技术部门已按要求启动应急预案,通知运营商开展流量清洗工作,请各部门研判风险提出有关建议。 | ||||
| 6 | 按应急预案,紧急与运营商沟通启动流量清洗服务 | 机房监控室 | 运维人员 | 我单位门户网站遭遇DDOS攻击,请立即启动流量清洗服务。 | 与运营商电话沟通 | 立即启动流量清洗服务 | 运营商 | ||
| 7 | 我单位门户网站遭遇DDOS攻击,请立即赶赴现场配合开展应急处置 | 与安全服务厂商电话沟通 | 立即派技术人员赶赴现场 | 安全服务厂商 | |||||
| 8 | 运营商流量清洗完成,网络流量恢复正常,门户网站恢复访问 | 运营商运管中心 | 运营商操作人员 | 已完成流量清洗工作,请确认网站是否访问正常 | 与XX单位电话沟通 | 通过监控确认流量正常,网站恢复正常访问,持续跟踪 | XX单位运维人员 | ||
| 9 | 持续跟踪门户网站运行情况,并向运维负责人报告情况 | 机房监控室 | 运维人员 | 运营商已完成流量清洗,目前监控显示流量正常,网站恢复正常访问,请指示 | 向负责人电话报告 | 要求进一步跟踪网站运行情况 | 技术部负责人 | ||
| 10 | 与CNCERT沟通请求提供网络攻击溯源服务 | 机房监控室 | 运维人员、安全服务厂商 | XX单位门户网站于今日X点X分遭遇DDOS攻击,经过运营商流量清洗工作目前流量已恢复正常,网站恢复正常访问,请配合开展溯源工作 | 与CNCERT电话沟通 | 开展攻击溯源(结果后续反馈) | CNCERT | ||
| 应急演练完毕及报告、点评 | 11 | 对事件发生和应急处置概况等进行总结 | 会议室(应急指挥中心) | 演练总指挥 | |||||
| 12 | 专家点评,宣布演练结束 | 会议室(应急指挥中心) | 专家 |
表D.11 网络攻击事件示范演练记录单
| 演练概要 | |||||||
|---|---|---|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位网站系统所在机房 | ||||
| 演练目的 | 检验XX单位互联网安全防护能力,验证应急预案和应急处置流程,完善与各关联单位的应急响应联动机制。 | ||||||
| 场景设置 | 某工作日,XX单位发现门户网站访问缓慢,经判断为遭遇DDOS攻击,紧急启动应急预案并协调网络运营商开展应急处置。 | ||||||
| 演练形式 | □桌面推演 □实操演练 ■示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | □综合演练 ■专项演练 | ||||
| 管理部门 | XX单位 | 参演机构 | 网络运营商、CNCERT、安全厂商 | ||||
| 演练记录 | |||||||
| 演练阶段 | 序号 | 起止时间 | 演练过程控制情况 | 参演人员表现 | 意外情况及其处置(选填) | 记录人 | 记录手段 |
| 系统准备及启动 | 1 | YYYY-MM-DD 9:00-9:02 | ■系统备份等安全控制措施 ■演练前是否向指挥组确认 ■指挥组是否正式宣布演练开始 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 ■照片 ■音像 □其他(补充说明具体手段) |
| 演练执行 | 2 | YYYY-MM-DD 9:03-9:30 | ■演练指挥组组长是否对演练全过程进行控制或授权策划组控制。 ■各参演机构是否按照演练预案进行事件场景模拟 ■演练单位是否指定专人按预案要求将发现的问题和处置情况向总指挥部报告 ■各参演机构是否将演练进展情况及时向总指挥报告 ■演练执行过程是否做好全演练执行过程记录。 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 ■照片 ■音像 □其他(补充说明具体手段) |
| 演练结束与终止 | 3 | YYYY-MM-DD 9:31-9:35 | ■演练结束后,是否由总指挥部宣布演练结束,且所有人员停止了演练活动 ■各参演机构和指挥机构是否及时总结 ■各参演机构和指挥机构对演练现场是否进行清理。 □演练过程中出现突发相关情形,指挥组是否提前终止演练 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 ■照片 ■音像 □其他(补充说明具体手段) |
| 系统恢复 | 4 | YYYY-MM-DD 9:35之后 | ■各参演机构是否恢复系统 ■各参演机构是否向指挥组报告系统恢复情况 ■演练结束后次日是否向指挥组书面报告系统运行状态 □其他(请补充说明) | 良好 | 无 | XXX | ■文字 ■照片 ■音像 □其他(补充说明具体手段) |
表D.12 网络攻击事件示范演练评估
| 演练概要 | ||||
|---|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位网站系统所在机房 | |
| 演练目的 | 检验XX单位互联网安全防护能力,验证应急预案和应急处置流程,完善与各关联单位的应急响应联动机制。 | |||
| 场景设置 | 某工作日,XX单位发现门户网站访问缓慢,经判断为遭遇DDOS攻击,紧急启动应急预案并协调网络运营商开展应急处置。 | |||
| 演练形式 | □桌面推演 □实操演练 ■示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | □综合演练 ■专项演练 | |
| 管理部门 | XX单位 | 参演机构 | 网络运营商、CNCERT、安全厂商 | |
| 评估组成员 | ||||
| 姓名 | 单位 | 职务 | 专长领域 | |
| XXX | XX单位技术部 | 部门负责人 | ……. | |
| XXX | XX单位综合部 | 部门负责人 | ……. | |
| XXX | 网络运营商 | 部门负责人 | ……. | |
| XXX | CNCERT | 部门负责人 | ……. | |
| XXX | 安全服务厂商 | 部门负责人 | ……. | |
| ……. | ……. | ……. | ……. | |
| 演练评估 | ||||
| 序号 | 评估项目 | 评估指标 | 评估结论 (1—差、3—合格、5—优秀) | 改进建议 |
| 1 | 演练方案可行性 | ◆演练方案的合理性,可用性 ◆演练方案与预案符合程度 | (3)演练方案合理,与预案基本符合 | 建议根据演练情况进一步修订完善预案 |
| 2 | 监控告警能力 | ◆告警信息是否及时、准确 | (5)及时、准确 | |
| 3 | 故障定位能力 | ◆是否准确定位故障点 ◆是否及时根据预案提出解决方案 | (3)能够根据告警信息及时定位故障点并按照预案确定处置方案 | 建议持续丰富和细化预案场景库 |
| 4 | 现场指挥协调能力 | ◆现场是否迅速建立应急指挥部 ◆是否有明确的指挥组和协调组 ◆指挥组和协调组命令下达是否正确 ◆各主管部门是否迅速到位,每个人员标志清楚 | (5)组织架构明确,各方响应迅速 | |
| 5 | 参演人员处置能力 | ◆是否就位迅速,职责明确 ◆是否处置及时 ◆是否正确向指挥部反馈处置情况 | (5)应急过程中各方职责分工清晰,处置迅速且及时向指挥部反馈处置进展 | |
| 6 | 关联方应急联动能力 | ◆接口部门及人员是否明确 ◆是否响应及时 ◆配合是否流畅 | (3)与关联方对接顺利,各关联方配合及时准确 | 持续完善关联单位之间联络机制 |
| 7 | 演练保障能力 | ◆应急人员(主备岗)是否及时就位 ◆技术备品备件是否充足 ◆应急物资、及必要通讯设备准备是否充足 ◆是否制定意外情况应急措施和回退方案 | (5)制订了紧急情况回退方案,应急人员、设备、物资等充足 | |
| 8 | 演练目标的实现情况 | ◆是否通过演练发现待改进事项 ◆是否达到预期目标 | (5)已针对需要改进事项提出有关建议,经评估,演练达到预期目标 | |
| 9 | 演练的成本效益分析 | ◆是否符合演练预算,厉行节约 | (5)严格按照预算开展演练 |
表D.14 网络攻击事件示范演练总结
| 演练概要 | |||
|---|---|---|---|
| 演练时间 | YYYY-MM-DD | 演练地点 | XX单位网站系统所在机房 |
| 演练目的 | 检验XX单位互联网安全防护能力,验证应急预案和应急处置流程,完善与各关联单位的应急响应联动机制。 | ||
| 场景设置 | 某工作日,XX单位发现门户网站访问缓慢,经判断为遭遇DDOS攻击,紧急启动应急预案并协调网络运营商开展应急处置。 | ||
| 演练形式 | □桌面推演 □实操演练 ■示范演练 | ■跨行业 □跨地区 □单位内部 □部门内部 | □综合演练 ■专项演练 |
| 管理部门 | XX单位 | 参演机构 | 网络运营商、CNCERT、安全厂商 |
| 演练评估 | |||
| 演练评估时间 | YYYY-MM-DD | 演练评估地点 | XX单位会议室 |
| 评估专家组 成员 | XX单位技术部、综合部及有关业务部门负责人、网络运营商、CNCERT、安全厂商有关负责人 | ||
| 评估结论 | 演练方案涉及合理,与预案基本符合; 告警及时、准确,能够根据告警信息及时定位故障点并按照预案确定处置方案; 组织架构明确,各方响应迅速,职责分工清晰,处置迅速; 与关联方对接顺利,各关联方配合及时有效; 达到预期演练目标。 | ||
| 演练总结及改进思路 | |||
| 演练总结 | 将于演练结束两周内编制详细演练总结及整改方案。 | ||
| 改进思路 | 将于演练结束两周内编制详细演练总结及整改方案。 |
延伸阅读
更多内容 可以 GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 进一步学习
联系我们
DB53-T 991-2020 稻鸭共生技术规程 云南省.pdf