网络安全应急响应预案.docx
《网络安全应急响应预案.docx》由会员分享,可在线阅读,更多相关《网络安全应急响应预案.docx(18页珍藏版)》请在冰豆网上搜索。
网络安全应急响应预案
网络平安应急响应预案
一、网络平安应急响应预案培训与演练
网络平安应急响应和一般意义的突发公共事件应急响应一样,也需要对制定的应
急响应方案“勤加演练〞,以稳固能力、磨炼意志、锻炼队伍。
网络攻击等紧急事
件的发生,往往会扰乱正常的网络秩序,影响网络办公系统的正常运行,使网络
平安受到威胁,造成如网络瘫痪、数据被窃取或丧失等后果,甚至更严重的损失。
因此,在应急响应预案制定以后,有组织有规划地模拟演练具有至关重要的作用。
只有经过网络平安应急预案的扎实培训与演练,才能在遇到网络突发事件时,及
时有效地对事件做出响应,切实履行应急响应预案内容,准确给出应急处理方法,
将危害降到最低。
〔一〕网络平安应急响应预案培训与演练目的
1、增强网络平安意识
网络平安事故隐患往往“生成〞于无形。
例如,漏洞或黑客攻击发生之时,受害方
企事业单位可能处于非常危险的境地而无所发觉,一些内部部门人员的网络平安
意识也容易懈怠。
但不管是内部员工的疏忽还是管理上的大意,都可能给身在“暗
处〞的网络犯罪分子以可乘之机。
加上常规情况下,企事业单位的网络平安事件
并不常见,尤其是重大灾难性的网络平安事故直接关系到企业的生存,更不是普
通员工所了解的,因此网络平安应急响应的培训演练将对内部管理人员、普通员
工的网络信息平安意识的提高非常重要。
2、检验预案的有效性
为了使政府机构和企事业单位的相关人员了解应急响应预案的内容,熟悉应急响
应预案的制定规那么和实施流程,相关组织需要对应急响应预案进展培训,并通过
演练来检验所制定的应急响应预案的有效性,使之在真正应对突发事件,如网络
入侵和攻击等情况时,能够临危不乱,有效应对。
通过应急演练,还可以发现应
急预案中存在的问题,在突发事件发生前暴露预案的缺点,验证预案在应对可能
出现的各种意外情况时所具备的适应性,找出预案需要进一步完善和修正的地
方。
3、提高整体作战协调能力
应急响应预案的培训与演练能够在提高相关人员的网络平安意识的同时,培养相
关人员之间、特别是跨部门人员之间的协调能力,并且能够检测应急响应工作的
整体性、充分性和完整性。
通过机构内部各个业务部门、职能部门、技术部门在
模拟演练中实时磨合,提高各级领导者应对突发事件的分析研判、决策指挥和组
织协调能力,帮助应急管理人员和各类救援人员熟悉突发事件情景,提高应急熟
练程度和实战技能。
网络系统可能跨越不同地区、不同城市,甚至相隔几千公里的省份,因此重视网
络平安应急响应,并及时、适时加以培训和实战演练,可以改善各应急组织机构、
人员之间的交流沟通、协调合作,提升整体作战的协调能力和水平。
〔二〕网络平安应急响应预案培训
应急响应预案的培训是为了更好地应对网络突发状况,实施演练方案所做的每一
项工作,其培训过程主要针对应急预案涉及的相关内容进展培训学习。
做好应急
预案的培训工作能使各级人员明确自身职责,是做好应急响应工作的根底与前
提。
应急响应预案的培训分为以下几个方面。
1、应急响应预案培训的要求
应急响应预案制定后需要对相关人员进展培训,规定好针对不同角色人员的培训
方案、培训方式,并对最后的培训结果进展验收,同时,要对整体培训过程以及
考核得分做出记录。
2、应急响应预案培训的方式
应急响应预案的培训可以采用多种方式,包括书籍阅读、人工授课、视频教学、
开展培训班等。
通过培训学习提高相关人员的网络平安意识,加强对于紧急网络
事件的应变能力。
3、应急响应预案培训的X围
〔1〕政府机构人员:
政府机构网络涉及重要资料数据甚至国家XX文件,对政
府机构人员的培训工作直接关系到国家平安。
另外,在网络救援实施过程中,需
要政府相关部门起到领导决策作用,在救援行动的关键节点给予批准,并做好整
体把关,因此对其培训工作尤为重要。
〔2〕企业人员:
全体员工都要进展应急响应预案相关知识的培训学习,提高网
络平安意识,在网络平安受到威胁时了解自身岗位职责,提高执行能力。
〔3〕专业应急处理人员:
突发网络攻击事件发生时,专业应急处理人员是救援
工作的主要力量,因此要大力加强其培训工作,使其学习更多网络平安威胁处理
措施,熟悉应急响应预案的步骤及岗位职责,切实做到临危不乱,对紧急情况有
效有序地处理,快速恢复网络系统正常状态。
4、应急响应预案培训的内容
学习网络信息平安相关法规、条例、标准和平安知识,了解各种网络恶意事件所
造成的损害,学习不同级别事件的应急策略和行动方案等。
培训过程中可根据预
案中人员角色等级,有针对性地对内容进展更改调整。
〔三〕网络平安应急响应预案演练
制定好的应急响应预案,只做培训还不够,还需要通过实战演练来提高应对网络
突发事件的行动力,针对网络突发事件的假想情景,按照应急响应预案中规定的
职责和程序来执行应急响应任务。
根据出现的新的网络攻击手段或其他特殊情
况,不断进展预案的调整完善。
1、应急演练的作用
应急演练是对应急响应预案可行性的有效验证。
通过演练可以检验应急响应小组
中每个成员对工作完成的熟练程度和相互配合能力,包括各个部门之间的配合、
成员之间的协调。
通过实战练习积累经历,对应急响应预案内容不断地充实和完
善,使负责人员、执行人员、应急专业技术人员应对网络突发事件的应变能力得
以提升,从而有条不紊地处理突发事件。
2、应急演练的组织实施
应急演练的组织工作由应急小组指挥人员执行,包括演练地段的选择、保障物资
与设备的准备、人员任务的分配等。
整个实施过程由应急响应执行人员和记录人
员组成,按照应急响应预案方案进展准备与实行。
各级人员明确分工,并充分做
好网络恢复保障工作。
演练可以采用对网络系统或者主机进展虚拟攻击的方式,
过程中要特别注意对这些危害的掌控。
3、应急演练的考核与总结
记录人员对演练的每个环节都要做好记录、资料收集和评价工作。
对网络突发事
件处理过程中遇到的问题进展分析汇总,并对每个岗位所在人员的表现进展评
测,演练完毕以后要对整个演练过程进展总结,以不断地改良预案,验证可行性,
更好地应对在实际生活中可能发生的多种紧急情况。
4、应急演练的考前须知
应急演练时首先要制定一个适应性方案,在证明应急响应预案有效性的同时,保
证网络的平安,防止由于一次演练的失误而造成真正的网络攻击,使政府或企业
重要资料数据泄露或财产遭受损失。
二、网络平安应急演练环境
应急演练的环境包括进展应急演练所需的文档、人员和设备。
完整的环境不仅保
证了演练可以完整实施,也提升了该演练的效果。
应急演练的环境应该尽可能与
真实场景一样,人员参与尽可能全面,对应急演练事件的记录尽量详细。
通过已有的一些网络平安事件和网络平安应急演练,可以对一般的环境进展综合
和总结,设计出综合的应急演练环境。
〔一〕网络平安应急演练文档
应急演练文档是为了规X和记录应急演练事件,应急演练文档包括应急演练方
案、应急通信录以及应急演练记录表。
1、应急演练方案
应急演练方案是对每次应急演练的部署和指导,该方案应为每个参与应急演练的
人员所熟知。
应急演练方案应包括以下内容。
〔1〕应急演练的背景、目的和假设。
这一局部应对应急演练进展根本介绍,让
全体参与者对演练有初步的了解。
〔2〕应急演练流程。
该局部通过流程图的方式,明确整个事件流程、需要完成
的任务、可能出现的情况等。
流程图可以对应急演练进展简明扼要的归纳。
〔3〕网络架构图、应急恢复策略及应急故障处理。
这一局部为技术人员提供指
引,包括熟知网络拓扑构造以及故障发生时所应进展的行动。
〔4〕事故上报模板、任务分配表以及岗位职责。
这一局部明确了应急演练中部
门的职责和个人的任务,通过提供模板提高上报速度。
2、应急通信录
应急通信录保证了当发生事件时,每个涉事人员、部门和领导可以被联络到。
应
急通信录包括全员通信录、关键线、设备供给商通信录和平安厂商通信录。
在进展应急演练中,通过全员通信录,可以快速定位到个人;通过关键线,
可以找到负责某一项工作的部门;如发生意外,通过设备供给商通信录和平安厂
商通信录,可以找到设备供给商和有资质的平安厂商,以防止造成不必要的损失。
3、应急演练记录表
应急演练记录表是指对应急演练过程产生的相关数据进展记录,以备后期查询、
分析和总结。
应急演练记录表包括响应时间表、损失评估表等,对响应的速度、
应急演练每一阶段造成的损失进展记录。
这些应急演练记录表是对本次应急演练
评估分析的重要依据,因此非常重要。
以上为应急演练根本文档,在实际操作中可以根据实际情况进展更改。
〔二〕演练人员安排
应急演练的参与者可以分为3个层次:
把握全局的领导层、具体执行演练的实施
层以及为演练提供支持的后勤层。
1、领导层
领导层对应急演练的全局进展把握,确定时间节点、具体方案、应急演练实施的
效果以及突发情况下的组织。
同时对人员进展调度,对资源进展配置。
2、实施层
实施层负责具体执行应急演练的任务,包括执行应急演练和后期运维2个方面。
应急演练执行小组对网络行为、数据行为进展分析,对痕迹进展取证,对涉及的
样本进展逆向分析,并且整理应急演练的报告。
后期运维小组对应急演练中的行
为监控,防止出现越权或破坏行为,应急演练前对设备进展管理,应急演练后对
造成的影响进展恢复。
3、后勤层
后勤层人员对平安事件的影响进展评估。
后勤层在出现问题时进展上下级和部门
间的沟通,并与外界的厂商、平安机构联络,确保应急演练的实施全程沟通畅通。
当出现意外情况时,可以快速寻求帮助,为全员提供支持。
〔三〕演练设备安排
应急演练的环境既要能够与实际环境相匹配,又要保证演练事件不会对正常的工
作造成影响,不会对正常的网络造成破坏。
因此对设备的安排要遵从以下几点。
1、应急演练的环境应尽量与实际环境一样
相似的人员构造与拓扑构造可以提升演练在真实场景中的应用。
因此应事先整理
全局网络构造拓扑图,并由此给出应急演练的网络拓扑构造。
对于非XX、非重
要、非关键节点可以考虑用真机进展操作。
2、使用虚拟设备实现逻辑隔离
对于一些重要的节点,应急演练可能对该节点造成一定的影响,因此要使用虚拟
设备进展隔离,防止造成不必要的损失。
3、使用备用设备替代或进展物理隔离
对于关键节点要进展物理隔离,同一位置可以使用其他物理设备进展替代,在保
证拓扑构造完整的同时,对这些位置进展保护。
三、演练例如——以企业为例
以企业网络应急响应为例,将企业网络平安应急演练的大致过程逐一呈现,分为演练准备、演练步骤、其他相关保障3个局部。
〔一〕演练准备
在网络平安应急演练之前,需要理解和熟悉应急响应预案的背景或相关信息;组
织专门队伍,明确职责定位;同时还需对接企业既有的预防监控制度。
1、熟悉预案,理解演练内容
主要目的是使该应急响应预案更容易理解、实施和后期维护。
通常在这局部内容
中主要包括背景、目的、适用X围及影响情况等。
〔1〕背景:
介绍该预案的背景信息,并说明其启动响应预案的原因及受影响的
层面。
〔2〕目的:
介绍该预案的最终完成目标。
〔3〕适用X围:
介绍该预案涉及的X围,确定该预案能够解决哪些问题,以及
不能够解决哪些问题等。
2、人员配置及职责
企事业单位应急响应工作演练组织架构按照人员的职能划分为4个功能小组:
领
导小组、IT支撑实施小组、后期运维小组及公关外联小组。
在发生网络突发事
件后,在领导小组的统一指挥下,各个应急响应小组的成员各司其职,并严格按
照应急响应方案组织实施应急响应的工作。
〔1〕领导小组职能:
领导预案的实施与监视,例如由企业一把手担任组长。
〔2〕IT支撑实施小组职能:
联合业务线负责人、IT技术支撑人员、外部技术专
家和外部参谋,共同执行相关事故检测、抑制、铲除、恢复、跟进等任务。
〔3〕后期运维小组职能:
实际上也是上述IT支撑实施小组的组成分支之一,但
更加注重处理“跟进阶段〞的事宜,主要包括监控各个提醒日志、权限管理、设备
管理等,评估事件发生后的损失,并做好前方物质保障。
〔4〕公关外联小组职能:
在需要的情况下,负责对外沟通、互动,回应公共舆
论或网民的关切;特殊情况还要向主管部门、公安部门通报情况;如果是内部可
以处理,并未对公共互联网和客户造成明显影响,那么公关外联小组可以对内发
布消息,报告事实经过即可。
整个应急响应组织内的人员需要具备良好的管理技能,不同程度的专业技能,保
持团队合作精神,保障各个小组在事件发生时合理分工,建立起各个应急响应小
组在突发状况下的恢复控制能力。
3、对接预防监控制度
为维护整个网络信息系统的平安性和稳定性,企业一般实行日常实时监控制度,
出现异常或报警情况及时上报给网络平安应急响应小组,由相关人员检查处理,
将事故消灭在萌芽状态。
因此,在应急演练将要正式开场执行时,须对接好常规网络维护、预防监控等制
度。
同时应急响应小组中的相关人员要定期检查网络日志,加强对网络平安防护
和应急准备工作的监视检查,保障网络系统的平安畅通,随时准备发现网络平安
问题、启动网络平安应急响应。
〔二〕演练步骤
1、应急事件通报
应急响应实施后,发现网络故障的相关人员有责任将情况进展汇报。
上报分为两
种情况:
正常工作时间的突发事件的报告,根据报告流程,向直属领导汇报,并
通知应急小组相关负责人;非工作时间的突发事件报告,通知应急小组值班人员,
值班人员及时备案,并尽量联系维修人员做临时的网络维护。
2、确定应急事件优先级
这里我们假设企业按照应急响应四级的分类标准定级,但每个分级下的指标可以
由企业根据自己的业务特点和性质加以限定。
下面的指标参数标准可作参考。
〔1〕通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突
发事件性质定义为重大突发事件〔Ⅰ级〕。
1〕网络系统中断时间超过4h。
2〕其他关键业务系统中断时间超过8h。
3〕受影响的业务X围超过总量50%。
4〕超过60min以上的关键实时数据破坏或丧失。
5〕关键机房无法进入时间超过12h。
6〕关键机房无法提供正常效劳时间超过24h。
7〕其他满足重大突发事件〔Ⅰ级〕特征的突发事件。
〔2〕通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突
发事件性质定义为较大突发事件〔Ⅱ级〕。
1〕网络系统中断时间超过2h。
2〕其他关键业务系统中断时间超过4h。
3〕受影响的业务X围超过总量30%。
4〕超过30min以上的关键实时数据破坏或丧失。
5〕关键机房无法进入时间超过4h。
6〕关键机房无法提供正常效劳时间超过12h。
7〕其他满足较大突发事件〔Ⅱ级〕特征的突发事件。
〔3〕通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突
发事件性质定义为一般突发事件〔Ⅲ级〕。
1〕主要系统局部中断超过2h。
2〕关键业务系统中断时间超过4h〔受影响的业务X围超过总量10%〕。
3〕超过5min以上的关键实时数据破坏或丧失。
4〕关键机房无法进入时间超过30min。
5〕关键机房无法提供正常效劳时间超过4h。
6〕其他满足一般突发事件〔Ⅲ级〕特征的突发事件。
3、应急响应启动实施
〔1〕重大突发事件〔Ⅰ级〕处置的指挥权限。
1〕组织处置:
应急响应领导小组直接负责。
2〕突发事件处置方案:
应急响应IT支撑实施小组负责处理。
3〕灾难宣告:
应急响应领导小组负责决策是否启动网络恢复行动,负责决策是
否启动Ⅰ级恢复预案。
4〕事件评级、事件升级预警:
应急响应IT支撑实施小组提出建议,并报领导小
组批准。
5〕事件降级:
应急响应IT支撑实施小组提出建议,应急响应领导小组负责批准。
6〕事件报告:
由应急响应公关外联小组负责向应急响应领导小组报告。
〔2〕重大突发事件〔Ⅰ级〕的主要恢复策略包括以下五点。
1〕应急响应领导小组立即启动紧急指挥中心,进展指挥部署。
2〕应急响应领导小组通知和调动所有应急响应IT支撑实施团队。
3〕应急响应后期运维小组调动所有备用处理设备。
4〕网络恢复行动立即准备就绪,人员到位,所有效劳和设施立即现场激活。
5〕IT支撑实施小组接收到事件报告后,立即调动后期小组做好备份工作,同时
应急响应IT支撑实施小组各个人员实施网络救援工作。
〔3〕较大突发事件〔Ⅱ级〕处置的指挥权限。
1〕组织处置:
应急响应领导小组直接负责。
2〕突发事件处置方案:
应急响应IT支撑实施小组负责处理。
3〕灾难宣告:
由应急响应领导小组负责决策是否启动备份,负责决策启动Ⅱ级
恢复预案。
4〕事件评级、事件升级预警:
应急响应IT支撑实施小组提出建议,并报应急响
应领导小组批准,如果事件的严重性超过Ⅱ级但尚未到达Ⅰ级,按相对高一级突
发事件处理。
5〕事件降级:
应急响应IT支撑实施小组提出建议,应急响应领导小组负责批
准。
6〕事件报告:
由应急响应公关外联小组负责向领导小组报告。
〔4〕较大突发事件〔Ⅱ级〕的主要恢复策略包括以下几个方面。
1〕应急响应领导小组指挥工作启动。
2〕应急响应外联小组根据预先确定的降级策略和应用优先级,对网络系统效劳
水平和持续时间进展评估。
3〕制定本地网络恢复和降级策略,首先组织应急响应IT支撑实施小组进展现场
恢复。
4〕将事件的严重性和紧急情况的预计持续时间通知应急响应领导小组,决定是
否局部启动备用网络恢复效劳。
5〕IT支撑实施小组相关人员立即准备就绪,人员到位。
6〕公关外联小组对事件严重性和紧急情况评估结果上报,实施小组接到上报结
果后,再激活所有效劳和设施。
7〕IT支撑实施小组与后期运维小组根据局部接收的策略,启动相应的接收程序。
〔5〕一般突发事件〔Ⅲ级〕处置的指挥权限。
1〕组织处置:
应急响应领导小组直接负责。
2〕突发事件处置方案:
应急响应IT支撑实施小组负责处理。
3〕灾难宣告:
由公关外联小组报告后,领导小组负责决策是否启动Ⅲ级恢复预
案。
4〕事件评级、事件升级预警:
应急响应后期运维小组负责评估。
如果事件的严
重性超过Ⅲ级但尚未到达Ⅱ级,按相对高一级突发事件处理。
5〕事件降级:
应急响应后期运维小组负责评估。
6〕事件报告:
由应急响应公关外联小组负责向领导小组报告。
〔6〕一般突发事件〔Ⅲ级〕的主要恢复策略:
通过日常监测和网络维护就可以
解决的网络平安问题可不启动应急响应,由应急响应IT支撑实施小组负责处理,
并恢复系统即可。
4、应急响应事件后期运维
应急响应处理过程完毕之后,各部门要做好后期保护检查工作,防止故障再次发
生。
后期运维小组要定期检查各个提醒日志,监控网络状态,检查设备的完好性,
并且组织实施网络恢复和系统重建工作。
应急响应领导小组组织其他小组通知相
关恢复团队和用户部门,评估预计时间内的网络恢复情况,恢复网络效劳环境,
不影响业务的正常进展。
事件发生的所有情况都要记录到文档并形成报告上报给
企业内部上级部门。
5、更新现有应急预案
根据应急演练中总结的问题和收集的资料对既有应急预案进展及时更新以适应
更多复杂情况。
包括应急处理方案、保障设备、网络修复方案等的更新。
每次演
练后发现预案中存在与实际情况不符的情况,需要在演练完毕后立即记录、更正,
保持预案相关文档资料同步更新。
〔三〕其他相关保障
1、责任与奖惩
在网络平安应急响应演练中,一般可建立奖惩制度。
对表现出色的人员给予表彰,
并组织其他人员进展交流学习,表现不好的人员给予通报批评并增加演练次数以
使参与人员都能掌握操作过程。
2、物质设备保障
通过对网络突发事件的损失评估,调整应急响应经费的预算投入以适应不同的情
况,对整个网络系统中的设备及时检查、更新,保障网络平安。
3、专业队伍技术强化
应急响应IT支撑实施小组在技术力量建立方面,要加强专业技能,强化专项技
术。
如平常注重加强编程高级技能,可以在需要分析恶意代码等问题时更容易找
出“骇客〞的作案手法;同时要确保有擅长不同领域的专业技术人员。
此外,及时获取最新网络攻击方式、病毒名称、传播方式等相关信息,密切关注
国家相关部门的预警,和专业平安技术厂商加强沟通,汲取网络平安理论界和业
界实践中积累的经历等,也是提升网络平安应急响应IT支撑实施小组队员专业
技能、保障应急响应实施技术储藏到达预期效果的有效途径。
四、结语
网络平安应急演练环节是企事业单位熟悉预案、落实预案流程的重要手段。
主要
介绍了网络平安应急演练相关内容,包括应急响应预案的培训与演练、应急响应
环境以及应急响应预案的例如。
具体介绍了应急响应预案的培训X围、方式、内
容等,以及演练的作用、组织实施和需要注意的事项,并且,还给出了搭建应急
演练环境、实施演练的例如根本框架。
定期进展应急响应的培训与实战演练可以
在发生问题时减少企业或相关单位所受到的损失,高效有序地进展恢复工作,因
此制定方案和落实应急演练是网络平安应急响应工作不可或缺的组成局部。
升级会员 