1、網絡安全應急演練一、網絡安全應急響應預案培訓與演練網絡安全應急響應和一般意義的突發公共事件應急響應一樣， 也需要對制定的應急響應方案“勤加演練”，以鞏固能力、磨煉意 志、鍛煉隊伍。網絡攻擊等緊急事件的發生，往往會擾亂正常的網 絡秩序，影響網絡辦公系統的正常運行，使網絡安全受到威脅，造 成如網絡癱瘓、數據被竊取或丟失等后果，甚至更嚴重的損失。因 此，在應急響應預案制定以后，有組織有規劃地模擬演練具有至關 重要的作用。只有經過網絡安全應急預案的扎實培訓與演練，才能 在遇到網絡突發事件時，及時有效地對事件做出響應，切實履行應 急響應預案內容，準確給出應急處理方法，將危害降到最低。（一）網絡安全應急響

2、應預案培訓與演練目的增強網絡安全意識網絡安全事故隱患往往“生成”于無形。例如，漏洞或黑客攻 擊發生之時，受害方企事業單位可能處于非常危險的境地而無所察 覺，一些內部部門人員的網絡安全意識也容易懈怠。但不論是內部 員工的疏忽還是管理上的大意，都可能給身在“暗處”的網絡犯罪 分子以可乘之機。加上常規情況下，企事業單位的網絡安全事件并 不常見，尤其是重大災難性的網絡安全事故直接關系到企業的生存,更不是普通員工所了解的，因此網絡安全應急響應的培訓演練將對 內部管理人員、普通員工的網絡信息安全意識的提高非常重要。檢驗預案的有效性為了使政府機構和企事業單位的相關人員了解應急響應預案的 內容，熟悉應急響應預

3、案的制定規則和實施流程，相關組織需要對 應急響應預案進行培訓，并通過演練來檢驗所制定的應急響應預案 的有效性，使之在真正應對突發事件，如網絡入侵和攻擊等情況時， 能夠臨危不亂，有效應對。通過應急演練，還可以發現應急預案中 存在的問題，在突發事件發生前暴露預案的缺點，驗證預案在應對 可能出現的各種意外情況時所具備的適應性，找出預案需要進一步 完善和修正的地方。3、提高整體作戰協調能力應急響應預案的培訓與演練能夠在提高相關人員的網絡安全意 識的同時，培養相關人員之間、特別是跨部門人員之間的協調能力， 并且能夠檢測應急響應工作的整體性、充分性和完整性。通過機構 內部各個業務部門、職能部門、技術部門在

4、模擬演練中實時磨合， 提高各級領導者應對突發事件的分析研判、決策指揮和組織協調能 力，幫助應急管理人員和各類救援人員熟悉突發事件情景，提高應 急熟練程度和實戰技能。網絡系統可能跨越不同地區、不同城市，甚至相隔幾千公里的 省份，因此重視網絡安全應急響應，并及時、適時加以培訓和實戰 演練，可以改善各應急組織機構、人員之間的交流溝通、協調合作， 提升整體作戰的協調能力和水平。（二）網絡安全應急響應預案培訓應急響應預案的培訓是為了更好地應對網絡突發狀況，實施演 練計劃所做的每一項工作，其培訓過程主要針對應急預案涉及的相 關內容進行培訓學習。做好應急預案的培訓工作能使各級人員明確 自身職責，是做好應急響

5、應工作的基礎與前提。應急響應預案的培 訓分為以下幾個方面。應急響應預案培訓的要求應急響應預案制定后需要對相關人員進行培訓，規定好針對不 同角色人員的培訓計劃、培訓方式，并對最后的培訓結果進行驗收， 同時，要對整體培訓過程以及考核得分做出記錄。應急響應預案培訓的方式應急響應預案的培訓可以采用多種方式，包括書籍閱讀、人工 授課、視頻教學、開展培訓班等。通過培訓學習提高相關人員的網 絡安全意識，加強對于緊急網絡事件的應變能力。3應急響應預案培訓的范政府機構人員:政府機構網絡涉及重要資料數據甚至國家機 密文件，對政府機構人員的培訓工作直接關系到國家安全。另外， 在網絡救援實施過程中，需要政府相關部門起

6、到領導決策作用，在 救援行動的關鍵節點給予批準，并做好整體把關，因此對其培訓工 作尤為重要。企業人員:全體員工都要進行應急響應預案相關知識的培訓 學習，提高網絡安全意識，在網絡安全受到威脅時了解自身崗位職 責，提高執行能力。專業應急處理人員:突發網絡攻擊事件發生時，專業應急處理 人員是救援工作的主要力量，因此要大力加強其培訓工作，使其學 習更多網絡安全威脅處理措施，熟悉應急響應預案的步驟及崗位職 責，切實做到臨危不亂，對緊急情況有效有序地處理，快速恢復網 絡系統正常狀態。應急響應預案培訓的內容學習網絡信息安全相關法規、條例、標準和安全知識，了解各 種網絡惡意事件所造成的損害，學習不同級別事件的

7、應急策略和行 動計劃等。培訓過程中可根據預案中人員角色等級，有針對性地對 內容進行更改調整。網絡安全應急響應預案演練制定好的應急響應預案，只做培訓還不夠，還需要通過實戰演 練來提高應對網絡突發事件的行動力，針對網絡突發事件的假想情 景，按照應急響應預案中規定的職責和程序來執行應急響應任務。根據出現的新的網絡攻擊手段或其他特殊情況，不斷進行預案的調 整完善。應急演練的作用應急演練是對應急響應預案可行性的有效驗證。通過演練可以 檢驗應急響應小組中每個成員對工作完成的熟練程度和相互配合能 力，包括各個部門之間的配合、成員之間的協調。通過實戰練習積 累經驗，對應急響應預案內容不斷地充實和完善，使負責人

8、員、執 行人員、應急專業技術人員應對網絡突發事件的應變能力得以提升， 從而有條不紊地處理突發事件。應急演練的組織實施應急演練的組織工作由應急小組指揮人員執行，包括演練地段 的選擇、保障物資與設備的準備、人員任務的分配等。整個實施過 程由應急響應執行人員和記錄人員組成，按照應急響應預案計劃進 行準備與實行。各級人員明確分工，并充分做好網絡恢復保障工作。 演練可以采用對網絡系統或者主機進行虛擬攻擊的方式，過程中要 特別注意對這些危害的掌控。應急演練的考核與總結記錄人員對演練的每個環節都要做好記錄、資料收集和評價工 作。對網絡突發事件處理過程中遇到的問題進行分析匯總，并對每 個崗位所在人員的表現進行

9、評測，演練完畢以后要對整個演練過程 進行總結，以不斷地改進預案，驗證可行性，更好地應對在實際生 活中可能發生的多種緊急情況。應急演練的注意事項應急演練時首先要制定一個適應性計劃，在證明應急響應預案 有效性的同時，保證網絡的安全，避免由于一次演練的失誤而造成 真正的網絡攻擊，使政府或企業重要資料數據泄露或財產遭受損失。二網絡安全應急演練環境應急演練的環境包括進行應急演練所需的文檔、人員和設備。完整 的環境不僅保證了演練可以完整實施，也提升了該演練的效果。應 急演練的環境應該盡可能與真實場景相同，人員參與盡可能全面， 對應急演練事件的記錄盡量詳細。通過已有的一些網絡安全事件和網絡安全應急演練，可以

10、對一 般的環境進行綜合和總結，設計出綜合的應急演練環境。網絡安全應急演練文檔應急演練文檔是為了規范和記錄應急演練事件，應急演練文檔 包括應急演練方案、應急通信錄以及應急演練記錄表。應急演練方案應急演練方案是對每次應急演練的部署和指導，該方案應為每 個參與應急演練的人員所熟知。應急演練方案應包括以下內容。應急演練的背景、目的和假設。這一部分應對應急演練進行基本 介紹，讓全體參與者對演練有初步的了解。應急演練流程。該部分通過流程圖的方式，明確整個事件流程、 需要完成的任務、可能出現的情況等。流程圖可以對應急演練進行 簡明扼要的歸納。網絡架構圖、應急恢復策略及應急故障處理。這一部分為技術人 員提供指

11、引，包括熟知網絡拓撲結構以及故障發生時所應進行的行 動。事故上報模板、任務分配表以及崗位職責。這一部分明確了應急 演練中部門的職責和個人的任務，通過提供模板提高上報速度。應急通信錄應急通信錄保證了當發生事件時，每個涉事人員、部門和領導 可以被聯絡到。應急通信錄包括全員通信錄、關鍵電話線、設備供 應商通信錄和安全廠商通信錄。在進行應急演練中，通過全員通信 錄，可以快速定位到個人;通過關鍵電話線，可以找到負責某一項工 作的部門;如發生意外，通過設備供應商通信錄和安全廠商通信錄，可以找到設備供應商和有資質的安全廠商，以避免造成不必要的損失。應急演練記錄表應急演練記錄表是指對應急演練過程產生的相關數據

12、進行記 錄，以備后期查詢、分析和總結。應急演練記錄表包括響應時間表、 損失評估表等，對響應的速度、應急演練每一階段造成的損失進行 記錄。這些應急演練記錄表是對本次應急演練評估分析的重要依據， 因此非常重要。以上為應急演練基本文檔，在實際操作中可以根據實際情況進行更 改。（二）演練人員安排應急演練的參與者可以分為3個層次:把握全局的領導層、具體 執行演練的實施層以及為演練提供支持的后勤層。領導層領導層對應急演練的全局進行把握，確定時間節點、具體方案、應 急演練實施的效果以及突發情況下的組織。同時對人員進行調度， 對資源進行配置。實施層實施層負責具體執行應急演練的任務，包括執行應急演練和后 期運維

13、2個方面。應急演練執行小組對網絡行為、數據行為進行分 析，對痕跡進行取證，對涉及的樣本進行逆向分析，并且整理應急 演練的報告。后期運維小組對應急演練中的行為監控，避免出現越 權或破壞行為，應急演練前對設備進行管理，應急演練后對造成的 影響進行恢復。3、后勤層后勤層人員對安全事件的影響進行評估。后勤層在出現問題時進行 上下級和部門間的溝通，并與外界的廠商、安全機構聯絡，確保應 急演練的實施全程溝通暢通。當出現意外情況時，可以快速尋求幫 助，為全員提供支持。（三）演練設備安排應急演練的環境既要能夠與實際環境相匹配，又要保證演練事 件不會對正常的工作造成影響，不會對正常的網絡造成破壞。因此 對設備的

14、安排要遵從以下幾點。應急演練的環境應盡量與實際環境相同相似的人員結構與拓撲結構可以提升演練在真實場景中的應用。因 此應事先整理全局網絡結構拓撲圖，并由此給出應急演練的網絡拓 撲結構。對于非保密、非重要、非關鍵節點可以考慮用真機進行操 作。2、使用虛擬設備實現邏輯隔離對于一些重要的節點，應急演練可能對該節點造成一定的影響， 因此要使用虛擬設備進行隔離，避免造成不必要的損失。3、使用備用設備替代或進行物理隔離對于關鍵節點要進行物理隔離，同一位置可以使用其他物理設 備進行替代，在保證拓撲結構完整的同時，對這些位置進行保護。三、演練示例-以企業為例以企業網絡應急響應為例，將企業網絡安全應急演練的大致過

15、 程逐一呈現，分為演練準備、演練步驟、其他相關保障3個部分。演練準備在網絡安全應急演練之前，需要理解和熟悉應急響應預案的背 景或相關信息;組織專門隊伍，明確職責定位;同時還需對接企業既有 的預防監控制度。1、熟悉預案，理解演練內容主要目的是使該應急響應預案更容易理解、實施和后期維護。 通常在這部分內容中主要包括背景、目的、適用范圍及影響情況等。背景:介紹該預案的背景信息，并說明其啟動響應預案的原因及受 影響的層面。目的:介紹該預案的最終完成目標適用范圍:介紹該預案涉及的范圍，確定該預案能夠解決哪些問題，以及不能夠解決哪些問題等。人員配及職責企事業單位應急響應工作演練組織架構按照人員的職能劃分為

16、 4個功能小組:領導小組、IT支撐實施小組、后期運維小組及公關外 聯小組。在發生網絡突發事件后，在領導小組的統一指揮下，各個 應急響應小組的成員各司其職，并嚴格按照應急響應計劃組織實施 應急響應的工作。領導小組職能:領導預案的實施與監督，例如由企業一把手擔任組 長。IT支撐實施小組職能:聯合業務線負責人、IT技術支撐人員、外 部技術專家和外部顧問，共同執行相關事故檢測、抑制、根除、恢 復、跟進等任務。后期運維小組職能:實際上也是上述IT支撐實施小組的組成分支 之一，但更加注重處理“跟進階段”的事宜，主要包括監控各個提 醒日志、權限管理、設備管理等，評估事件發生后的損失，并做好 后方物質保障。公

17、關外聯小組職能:在需要的情況下，負責對外溝通、互動，回應 公共輿論或網民的關切；特殊情況還要向主管部門、公安部門通報情 況;如果是內部可以處理，并未對公共互聯網和客戶造成明顯影響， 那么公關外聯小組可以對內發布消息，報告事實經過即可。整個應急響應組織內的人員需要具備良好的管理技能，不同程 度的專業技能，保持團隊合作精神，保障各個小組在事件發生時合 理分工，建立起各個應急響應小組在突發狀況下的恢復控制能力。對接預防監控制度為維護整個網絡信息系統的安全性和穩定性，企業一般實行日 常實時監控制度，出現異常或報警情況及時上報給網絡安全應急響 應小組，由相關人員檢查處理，將事故消滅在萌芽狀態。因此，在應

18、急演練將要正式開始執行時，須對接好常規網絡維 護、預防監控等制度。同時應急響應小組中的相關人員要定期檢查 網絡日志，加強對網絡安全防護和應急準備工作的監督檢查，保障 網絡系統的安全暢通，隨時準備發現網絡安全問題、啟動網絡安全 應急響應。演練步驟應急事件通報應急響應實施后，發現網絡故障的相關人員有責任將情況進行 匯報。上報分為兩種情況:正常工作時間的突發事件的報告，根據報 告流程，向直屬領導匯報，并通知應急小組相關負責人；非工作時間 的突發事件報告，通知應急小組值班人員，值班人員及時備案，并 盡量聯系維修人員做臨時的網絡維護。確定應急事件優先級這里我們假設企業按照應急響應四級的分類標準定級，但每

19、個 分級下的指標可以由企業根據自己的業務特點和性質加以限定。下 面的指標參數標準可作參考。（1）通過對突發事件的預警評估，突發事件符合以下一項或多項標準 時，將突發事件性質定義為重大突發事件（I級）。1）網絡系統中斷時間超過4 h。2）其他關鍵業務系統中斷時間超過8 h。3）受影響的業務范圍超過總量50%。4）超過60 min以上的關鍵實時數據破壞或丟失。5）關鍵機房無法進入時間超過12 h。6）關鍵機房無法提供正常服務時間超過24 h。7）其他滿足重大突發事件（I級）特征的突發事件。（2）通過對突發事件的預警評估，突發事件符合以下一項或多項標準 時，將突發事件性質定義為較大突發事件（口級）。

20、1）網絡系統中斷時間超過2 h。2）其他關鍵業務系統中斷時間超過4 h。3）受影響的業務范圍超過總量30%。4）超過30 min以上的關鍵實時數據破壞或丟失。5）關鍵機房無法進入時間超過4 h。6）關鍵機房無法提供正常服務時間超過12 h。7）其他滿足較大突發事件（口級）特征的突發事件。（3）通過對突發事件的預警評估，突發事件符合以下一項或多項標準 時，將突發事件性質定義為一般突發事件（B級）。1）主要系統部分中斷超過2 h。2）關鍵業務系統中斷時間超過4 h（受影響的業務范圍超過總量 10%）。3）超過5 min以上的關鍵實時數據破壞或丟失。4）關鍵機房無法進入時間超過30 min。5）關鍵

21、機房無法提供正常服務時間超過4 h。6）其他滿足一般突發事件（B級）特征的突發事件。應急響應啟動實施（1）重大突發事件（I級）處置的指揮權限。1）組織處置:應急響應領導小組直接負責。2）突發事件處置方案:應急響應IT支撐實施小組負責處理。3）災難宣告:應急響應領導小組負責決策是否啟動網絡恢復行動，負 責決策是否啟動I級恢復預案。4）事件評級、事件升級預警:應急響應IT支撐實施小組提出建議，并 報領導小組批準。5）事件降級:應急響應IT支撐實施小組提出建議，應急響應領導小組 負責批準。6）事件報告:由應急響應公關外聯小組負責向應急響應領導小組報 告。（2）重大突發事件（I級）的主要恢復策略包括以

22、下五點。1）應急響應領導小組立即啟動緊急指揮中心，進行指揮部署。2）應急響應領導小組通知和調動所有應急響應IT支撐實施團隊。3）應急響應后期運維小組調動所有備用處理設備。4）網絡恢復行動立即準備就緒，人員到位，所有服務和設施立即現 場激活。5）IT支撐實施小組接收到事件報告后，立即調動后期小組做好備份 工作，同時應急響應IT支撐實施小組各個人員實施網絡救援工作。（3）較大突發事件（U級）處置的指揮權限。1）組織處置:應急響應領導小組直接負責。2）突發事件處置方案:應急響應IT支撐實施小組負責處理。3）災難宣告:由應急響應領導小組負責決策是否啟動備份，負責決策 啟動口級恢復預案。4）事件評級、事

23、件升級預警:應急響應IT支撐實施小組提出建議，并 報應急響應領導小組批準，如果事件的嚴重性超過級但尚未達到I級，按相對高一級突發事件處理。5）事件降級:應急響應IT支撐實施小組提出建議，應急響應領導小組 負責批準。6）事件報告:由應急響應公關外聯小組負責向領導小組報告。（4）較大突發事件（U級）的主要恢復策略包括以下幾個方面。2）應急響應外聯小組根據預先確定的降級策略和應用優先級，對網 絡系統服務水平和持續時間進行評估。3）制定本地網絡恢復和降級策略，首先組織應急響應IT支撐實施小 組進行現場恢復。4）將事件的嚴重性和緊急情況的預計持續時間通知應急響應領導小 組，決定是否部分啟動備用網絡恢復服

24、務。5）IT支撐實施小組相關人員立即準備就緒，人員到位。6）公關外聯小組對事件嚴重性和緊急情況評估結果上報，實施小組 接到上報結果后，再激活所有服務和設施。7）IT支撐實施小組與后期運維小組根據部分接管的策略，啟動相應 的接管程序。（5）一般突發事件（B級）處置的指揮權限。1）組織處置:應急響應領導小組直接負責。2）突發事件處置方案:應急響應IT支撐實施小組負責處理。3）災難宣告:由公關外聯小組報告后，領導小組負責決策是否啟動B 級恢復預案。4）事件評級、事件升級預警：應急響應后期運維小組負責評估。如果 事件的嚴重性超過B級但尚未達到級，按相對高一級突發事件處 理。5）事件降級:應急響應后期運維小組負責評估。6）事件報告:由應急響應公關外聯小組負責向領導小組報告。（6）一般突發事件（B級）的主要恢復策略:通過日常監測和網絡維護 就可以解決的網絡安全問題可不啟動應急響應，由應急響應IT支撐 實施小組負責處理，并恢復系統即可。應急響應事件后期運維應急響應處理過程完畢之后，各部門要做好后期保護檢查工作， 防止故障再次發生。后期運維小組要定期檢查各個提醒日志，監控 網絡狀態，檢查設備的完好性，并且組織實施網絡恢復和系統重建 工作。應急響應領導小組組織其他小組通知相關恢復團隊和用戶部 門，評估預計時間內的網絡恢復情況，恢復網絡服務環境，不影響 業務的正常進行。事件發生的所有情況都要記錄到文