网络安全事件应急演练方案.docx
《网络安全事件应急演练方案.docx》由会员分享,可在线阅读,更多相关《网络安全事件应急演练方案.docx(61页珍藏版)》请在冰豆网上搜索。
网络安全事件应急演练指南(试行)
网络安全事件应急演练指南编制课题组
20XX年9月
III
Administrator
2020-08-1715:
07:
14
--------------------------------------------
gdf
目 录
1总则 1
1.1应急演练定义 1
1.2应急演练目的 1
1.3应急演练原则 2
1.4应急演练分类 2
1.4.1按组织形式划分 2
1.4.2按内容划分 2
1.4.3按目的与作用划分 3
1.4.4按组织范围划分 3
1.5应急演练规划 3
2应急演练组织机构 3
2.1组织单位 4
2.1.1领导小组 4
2.1.2策划小组 4
2.1.3保障小组 4
2.1.4评估小组 4
2.1.5督导小组 4
2.1.6观摩小组 4
2.2参演单位 4
2.2.1领导小组 5
2.2.2工作小组 5
3应急演练流程 5
4应急演练准备 5
4.1制定演练计划 5
4.1.1确定演练目的 6
4.1.2分析演练需求 6
4.1.3确定演练范围 6
4.1.4安排演练准备与实施的日程计划 6
4.1.5编制演练经费预算 6
4.2设计演练方案 6
4.2.1确定演练目标 6
4.2.2设计演练场景与实施步骤 7
4.2.3设计评估标准与方案 7
4.2.4编写演练方案文件 7
4.2.5演练方案评审 8
4.3演练动员与培训 8
4.4应急演练保障 8
4.4.1人员保障 8
4.4.2经费保障 8
4.4.3场地保障 8
4.4.4基础设施保障 8
4.4.5通信保障 9
4.4.6安全保障 9
5应急演练实施 9
5.1系统准备 9
5.2演练启动 9
5.3演练执行 9
5.4演练解说 10
5.5演练记录 10
5.6演练宣传报道 10
5.7演练结束与终止 10
5.8系统恢复 11
6应急演练总结 11
6.1演练评估 11
6.2演练总结 11
6.3文件归档与备案 11
6.4考核与奖惩 12
7演练成果运用 12
8附录 12
附录A-1演练计划(模板) 13
附录A-2演练方案(模板) 14
附录A-3演练方案剧本(模板) 16
附录A-4演练记录单(模板) 18
附录A-5演练评估(模板) 20
附录A-6演练宣传(模板) 22
附录A-7演练总结(模板) 24
附录A-8事件报告书(模板) 26
附录B演练形式对照表 27
附录C演练场景库 31
附录D-1设备设施故障实战演练案例 34
附录D-2网络攻击事件桌面推演案例 44
网络安全事件应急演练指南
1总则
受中央网信办委托,课题组研究编制了《网络安全事件应急演练指南(试行)》。
该指南适用于各地区、各部门、各行业、各单位组织开展网络安全事件应急演练活动,可参考本指南落实网络安全事件应急演练的机构组成与职责,确定演练的目标与内容、演练的组织过程与形式,以及开展对演练过程的监督检查与评价。
在参考本指南的基础上,可结合实际情况制定具体应急演练操作细则。
本指南主要依据以下国家法规文件及网络安全相关文件进行编制:
《中华人民共和国网络安全法》-中华人民共和国主席令第五十三号
《中华人民共和国突发事件应对法》-中华人民共和国主席令第六十九号
《国家信息化领导小组关于加强信息安全保障工作的意见》-中办发[2003]27号
《国家突发公共事件总体应急预案》
《国家网络安全事件应急预案》-中网办发文[20XX]4号
《突发事件应急预案管理办法》-国办发[2013]101号
《信息安全技术信息安全事件分类分级指南》-(GBZ20986-2007)
1.1应急演练定义
应急演练是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等(以下统称演练组织单位)组织相关单位及人员,依据有关网络安全应急预案,开展应对网络安全事件的活动。
1.2应急演练目的
(1)检验预案。
通过开展应急演练,查找应急预案中存在的问题,进而完善应急预案,提高应急预案的实用性和可操作性。
(2)完善准备。
通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作。
(3)锻炼队伍。
通过开展应急演练,增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,加强配合,提高其应急处置能力。
(4)磨合机制。
通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导。
12
(5)宣传教育。
通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识。
1.3应急演练原则
(1)结合实际,合理定位。
紧密结合应急管理工作实际需求,明确演练目的,根据资源条件确定演练方式和规模。
(2)着眼实战、讲求实效。
以提高应急指挥机构的指挥协调能力和应急队伍的实战应变能力为着眼点。
重视对演练流程及演练效果的评估、考核,总结推广好的经验,对发现的问题及时整改。
(3)周密部署、确保安全。
围绕演练目的,精心策划演练内容,科学设计演练方案,周密部署演练活动,制订并严格遵守有关安全措施,确保演练参与人员及演练设施安全。
(4)统筹规划、厉行节约。
统筹规划应急演练活动,演与练有效互补,适当开展跨行业、跨地域的综合性演练,充分利用现有资源,提升应急演练效益。
1.4应急演练分类
1.4.1按组织形式划分
按照应急演练的组织形式可分为桌面推演和实战演练。
(1)桌面推演:
桌面推演是指参演人员根据应急预案,利用流程图、计算机模拟、视频会议等辅助手段,针对事先假定的演练情景进行模拟应急决策及现场处置的过程,验证应急预案的有效性,促进相关人员明确应急预案中有关职责,掌握应急流程及应急操作,提高指挥决策和各方协同配合能力。
(2)实战演练:
实战演练是指参演人员利用信息系统真实生产环境模拟突发事件场景,完成判断、决策、处置等环节的应急响应过程,检验和提高相关人员的临场组织指挥、应急处置和后勤保障能力。
实战演练还可分为指定科目演练和预先不告知科目的演练。
1.4.2按内容划分
按内容划分,应急演练可分为专项演练和综合演练。
(1)专项演练。
专项演练是指涉及应急预案中特定系统或应急响应功能的演练活动。
注重针对一个或少数几个参与部门(岗位)的特定环节和功能进行检验。
(2)综合演练。
综合演练是指涉及应急预案中多项或全部应急响应功能的演练活动。
注重对多个环节和功能进行检验,特别是对不同机构、行业、地区之间应急机制和联合应对能力的检验。
1.4.3按目的与作用划分
按目的与作用划分,应急演练可分为检验性演练、示范性演练和研究性演练。
(1)检验性演练。
检验性演练是指为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练。
(2)示范性演练。
示范性演练是指为向观摩人员展示应急能力或提供示范教学,严格按照应急预案规定开展的表演性演练。
(3)研究性演练。
研究性演练是指为研究和解决突发事件应急处置的、难点问题,试验新方案、新技术、新装备而组织的演练。
1.4.4按组织范围划分
按组织范围划分,应急演练可分为机构内部、行业内部、跨行业、地域性、跨地域等。
(1)机构内部演练。
机构内部演练是指由机构层面总体牵头或某一部门牵头组织的专项或多项应急响应功能的演练活动。
(2)行业内部演练。
行业内部演练是指由行业监管部门组织的行业内各级机构参加的演练活动。
(3)跨行业演练。
跨行业演练是指由多个行业共同参与的演练活动。
(4)地域性演练。
地域性演练是指在省、市、县级单位组织的地区内不同单位之间的专项或多项应急响应功能的演练活动。
(5)跨地域演练。
跨地域演练是指多个地区共同组织的专项或多项应急响应功能的演练活动。
不同类型的演练相互组合,可以形成专项桌面演练、综合性桌面演练、专项实战演练、综合性实战演练、专项示范性演练、综合性示范演练等(演练形式对照见附录B)。
1.5应急演练规划
各行业、地区根据实际情况,依据相关法律法规和应急响应预案的规定,对一定时期内各类应急演练活动做出总体计划安排,包括应急演练的频次、规模、形式、时间、地点等(模板见附录A-1,场景库见附录C)。
通常以一年为一个周期制定演练总体计划。
2应急演练组织机构
演练应在预案中规定的应急指挥机构的组织下开展,演练组织架构通常分为总指挥部和应急指挥中心。
总指挥部由组织单位成立,应急指挥中心由各参演单位分别成立。
根据演练规模大小,组织机构可进行相应调整。
2.1组织单位
2.1.1领导小组
一般由总指挥、副总指挥和现场指挥组成。
总指挥负责演练全程的总体把控,由组织单位参会的最高领导担任;副总指挥协助总指挥对演练实施过程进行控制;现场指挥负责演练指令的下达。
2.1.2策划小组
一般由演练组织单位具有相关工作经验的人员组成,统筹演练筹备、实施、总结等阶段各项工作;与演练涉及的相关单位以及本单位有关部门之间的沟通协调;组织编制演练宣传方案,向相关单位和媒体进行新闻发布等。
2.1.3保障小组
负责调集和调试演练总指挥部所需各项技术设施,与各参演单位进行技术设施对接;演练过程中现场消息的传达,维持演练现场秩序;会务相关的各项后勤保障。
2.1.4评估小组
一般由应急管理专家、具有一定演练评估经验和突发事件应急处置经验专业人员组成,负责对演练准备、组织、实施及其安全事项等进行全过程、全方位评估,及时向演练策划和保障小组提出意见、建议。
2.1.5督导小组
一般由演练组织单位牵头相关参演单位领导及技术专家组成,在演练实施阶段赴各参演单位演练现场监督指导演练工作。
2.1.6观摩小组
指特邀观摩演练过程的参演单位领导及其他各类人员。
2.2参演单位
参演单位各自成立负责本单位演练部分的非常设性机构,一般包括领导小组和工作小
组。
2.2.1领导小组
负责应急演练全程重大事项的决策和审批,对演练全程进行总体把控,由组长、副组长、成员组成。
领导小组组长、副组长一般由参演单位负责人和信息技术部门负责人担任;小组其他成员一般由参演单位其他相关部门负责人担任。
2.2.2工作小组
参与演练工作的各类人员的总称,角色主要分为以下几类:
(1)策划人员:
一般由具有一定演练组织经验和突发事件应急处置经验的人员担任。
负责与演练组织单位沟通协调,按照要求制定演练计划、设计演练方案、编写方案脚本等,同时负责本单位开展演练各项工作的总体协调。
(2)参演人员:
指在演练过程中承担具体演练任务的人员,一般由参演单位应急响应相关部门人员组成,负责模拟事件场景并针对模拟事件场景作出应急响应行动。
(3)保障人员:
指在演练过程中负责各项技术设施的调集和调试并与总指挥部进行安全对接,以及会务相关各项后勤保障的人员。
(4)汇报人员:
指在演练过程中负责向组织单位报告演练具体情况、进展情况的人员。
3应急演练流程
应急演练工作分为演练准备、演练实施、演练总结和成果运用四个阶段。
演练准备阶段是确保演练成功的关键。
包括制定计划、设计方案、方案评审、动员培训、演练保障等几个方面。
演练实施阶段是演练的实际操作阶段,包括系统准备、演练启动、演练执行、演练解说、演练记录、演练宣传、演练结束和系统恢复几个方面。
演练总结阶段是对演练全面回顾,归纳问题和经验,包括演练评估、演练总结、文件归档和备案、考核与奖惩几个方面。
演练成果运用是在演练总结的基础上,对问题和经验的运用,包括完善预案、实施整改、教育培训等。
4应急演练准备
4.1制定演练计划
演练计划由总指挥部策划小组组织各参演单位制定并报领导小组批准。
主要包括以下内
容:
4.1.1确定演练目的
明确开展应急演练的原因、演练要解决的问题和期望达到的效果。
4.1.2分析演练需求
在对事先设定事件场景风险和应急预案认真分析的基础上,结合年度内发生网络安全事件的情况,梳理和查找薄弱环节,确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程和需进一步明确的职责。
4.1.3确定演练范围
根据演练需求、经费、资源和时间等条件的限制,确定演练事件类型、等级、地域、参演机构及人数、演练方式等。
演练需求和演练范围往往互为影响。
4.1.4安排演练准备与实施的日程计划
包括各种演练文件编写与审定的期限、信息系统及技术物资准备的期限、演练实施的日期等。
4.1.5编制演练经费预算
明确演练经费筹措渠道。
4.2设计演练方案
演练方案由总指挥部策划小组组织各参演单位编写,演练参演单位策划人员承担具体编写任务,经参演单位评审后报演练领导小组批准。
主要内容包括:
4.2.1确定演练目标
演练目标是需完成的主要演练任务及其达到的效果,一般说明“由谁在什么条件下完成什么任务,依据什么标准,取得什么效果”。
演练目标应明确、具体、可量化、可实现。
如一次演练有若干项演练目标,每项演练目标都要在演练方案中有相应的事件和演练活动予以实现,并在演练评估中有相应的评估项目判断该目标的实现情况。
4.2.2设计演练场景与实施步骤
演练情景要为演练活动提供初始条件,还要通过一系列的情景事件引导演练活动继续,直至演练完成。
演练情景包括演练场景概述和演练场景清单。
(1)演练场景概述。
要对每一处演练场景的概要说明,主要说明事件类别、发生的时间地点、发展速度、受影响范围、人员和物资分布、已造成的损失、后续发展预测等。
(2)演练场景(步骤)清单。
要明确演练过程中各场景(各步骤)的时间顺序列表和耗时情况。
演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。
(模板见附录A-2)
4.2.3设计评估标准与方案
演练评估是通过观察、体验和记录演练活动,比较演练实际效果与目标之间的差异,总结演练成效和不足的过程。
演练评估应以演练目标为基础。
每项演练目标都要设计合理的评估项目方法、标准。
根据演练目标的不同,可以用选择项(如:
是/否判断,多项选择)、主观评分(如:
1—差、3—合格、5—优秀)、定量测量等方法进行评估。
为便于演练评估操作,通常事先设计好评估表格,包括演练目标、评估方法、评价标准和相关记录项等。
有条件时还可以采用专业评估软件等工具。
(模板见附录A-5)
4.2.4编写演练方案文件
演练方案文件是指导演练实施的详细工作文件。
根据演练类别和规模的不同,演练方案可以编为一个或多个文件。
编为多个文件时可包括演练人员手册、演练宣传方案、演练剧本等,分别发给相关人员。
对涉密应急预案的演练或不宜公开的演练内容,还要制订保密措施。
(1)演练人员手册。
内容主要包括演练概述、组织机构、时间、地点、参演单位、演练目的、演练情景概述、演练现场标识、演练后勤保障、演练规则、安全注意事项、通信联系方式等,但不包括演练细节。
演练人员手册可发放给所有参加演练的人员。
(2)演练剧本,指导演练实施的详细工作文件,描述演练事件场景、处置行动、执行人员、指令与对白、视频背景与字幕、解说词等。
(模板见附录A-3)
(3)演练宣传方案。
内容主要包括宣传目标、宣传方式、传播途径、主要任务及分工、技术支持、通信联系方式等。
(模板见附录A-6)
4.2.5演练方案评审
对综合性较强、风险较大的应急演练,组织单位要对演练方案进行评审,确保演练方案科学可行,以确保应急演练工作的顺利进行。
对涉密或不宜公开的演练内容,还要制订保密措施。
4.3演练动员与培训
在演练开始前要进行演练动员和培训,确保所有参演人员已熟练掌握演练规则、演练情景,明确各自在演练中的职责分工。
必要时可开展前期预演。
4.4应急演练保障
4.4.1人员保障
演练组织单位和参演单位应合理安排工作,保证相关人员参与演练活动的时间;并确保所有参演人员已经过演练培训,明确职责分工;通过组织观摩学习和培训,提高演练人员素质和技能。
4.4.2经费保障
演练组织单位每年要根据应急演练规划编制应急演练经费预算,纳入该单位的年度财政
(财务)预算,并按照演练需要及时拨付经费。
对经费使用情况进行监督检查,确保演练经费专款专用、节约高效。
4.4.3场地保障
根据演练方式和内容,经现场勘察后选择合适的演练场地。
桌面推演一般可选择会议室或应急指挥中心等;实战演练应选择与实际情况相似的机房或地点。
4.4.4基础设施保障
根据需要,要有必要的基础设施保障,包括但不限于电力、设备、物资、通信器材等。
4.4.5通信保障
应急演练过程中总指挥部、应急指挥中心及各下设演练场地、参演人员之间要有及时可靠的信息传递渠道。
根据演练需要,可以采用多种公用或专用通信系统,必要时可组建演练专用通信与信息网络,确保演练控制信息的快速传递。
4.4.6安全保障
演练组织单位要高度重视演练组织与实施全过程的安全保障工作。
尤其是大型或高风险演练,要按规定制定专门应急预案,采取预防措施,并对关键部位和环节可能出现的突发事件进行针对性预演。
对可能影响公众生活、易于引起公众误解和恐慌的应急演练(特别是可能造成业务中断的演练),应提前向社会发布公告,告示演练内容、时间、地点和组织单位,并做好应对方案,避免造成负面影响。
涉及敏感系统的演练应符合相关保密要求,在做好数据备份的基础上,对其中的敏感数据应事先进行脱敏处理;在演练方案设计时,应充分考虑在演练中可能突破原有敏感信息访问权限的人员及由此可能造成的后果。
演练现场要有必要的安保措施,必要时对演练现场进行封闭或管制,保证演练安全进行。
演练出现意外情况时,演练总指挥部与各参演单位会商后可提前终止演练。
5应急演练实施
5.1系统准备
对于将进行演练的系统,为保障系统安全,各参演单位应在演练前做好系统备份等相应的安全保护措施,并于演练正式开始之前向总指挥部确认。
5.2演练启动
演练正式启动前一般要举行简短的仪式,由演练总指挥宣布演练开始并启动演练活动。
5.3演练执行
(1)演练正式开始后,演练总指挥负责演练实施全过程的指挥控制。
当演练总指挥不兼任总策划时,一般由总指挥授权策划对演练全过程进行控制。
(2)各应急指挥中心根据总指挥部下达的演练指令,按照演练方案指挥进行事件场景模拟。
(3)参演人员根据事件场景告警信息,按照规定程序开展应急处置行动,处置过程中各参演人员之间通过对讲机、电话、手机、传真机、网络等方式相互沟通,并通过特定的声音、界面、视频等将处置过程一一呈现至总指挥部。
(4)演练过程中,演练单位应指定专人按照应急预案要求对网络安全事件的发现及处置情况向总指挥部报告(模板见附录A-8)。
(5)应急指挥中心领导小组应随时掌握演练进展情况,并向总指挥部报告。
5.4演练解说
在演练实施过程中,演练组织单位可以安排专人对演练过程进行解说,解说人员也可由各参演单位派员前往总指挥部现场。
解说内容一般包括演练背景描述、进程讲解、案例介绍、环境渲染等。
对于有演练剧本的大型综合性示范演练,可按照剧本中的解说词进行讲解。
5.5演练记录
演练实施过程中,一般要安排专门人员,采用文字、照片和音像等手段记录演练过程。
文字记录主要包括演练实际开始与结束时间、演练过程控制情况、各项演练活动中参演人员的表现、意外情况及其处置等内容。
照片和音像记录可安排专业人员和宣传人员在不同现场、不同角度进行拍摄,尽可能全方位反映演练实施过程。
(模板见附录A-4)
5.6演练宣传报道
总指挥部策划小组按照演练宣传方案作好演练宣传报道工作。
认真做好信息采集、媒体组织、网络或广播电视节目现场采编和播报等工作,扩大演练的宣传教育效果。
对涉密内容或敏感信息应按照保密工作要求做好相关保密工作。
5.7演练结束与终止
所有事件场景演练完成后,由总指挥部宣布演练结束,所有人员停止演练活动,各应急指挥中心分别对演练情况进行总结,演练总指挥做总结性讲话。
总指挥部及各应急指挥中心组织人员对演练现场进行清理和恢复。
演练实施过程中出现下列情况,经总指挥部领导小组决定,可提前终止演练:
(1)出现真实突发事件,需要参演人员参与应急处置时,要终止演练,使参演人员迅速回归其工作岗位,履行应急处置职责;
(2)出现特殊或意外情况,短时间内不能妥善处理或解决时,可提前终止演练。
5.8系统恢复
演练结束后,各参演单位应及时对演练各系统进行认真恢复,并向总指挥部书面报告系统恢复情况,同时,于演练结束后首个工作日向总指挥部书面报告系统运行情况,如系统运行异常,也应及时按照预案要求进行报告。
6应急演练总结
6.1演练评估
演练评估是全面分析演练记录及相关资料的基础上,对比参演人员表现与演练目标要求,对演练活动及其组织过程作出客观评价,并编写演练评估报告的过程。
所有应急演练活动都应进行演练评估。
演练结束后可通过组织评估会议、填写演练评价表和对参演人员进行访谈等方式进行演练评估。
除对演练效果评估之外,也应对演练的整体流程本身进行评估,提出完善建议。
也可要求参演单位提供自我评估总结材料,进一步收集演练组织实施的情况。
演练评估报告的主要内容一般包括演练执行情况、预案的合理性与可操作性、应急指挥人员的指挥协调能力、参演人员的处置能力、演练所用设备装备的适用性、演练目标的实现情况、演练的成本效益分析、对完善预案的建议等。
6.2演练总结
在演练结束后,由演练策划组根据演练记录、演练评估报告、应急预案、现场总结等材料,对演练进行系统和全面的总结,并形成演练总结报告。
演练参与单位也可对本单位的演练情况进行总结。
演练总结报告的内容包括:
演练目的、时间和地点、参演单位和人员、演练方案概要、发现的问题与原因、经验和教训,以及改进有关工作的建议等。
(模板见附录A-7)
6.3文件归档与备案
演练组织单位在演练结束后应将演练计划、演练方案、演练评估报告、演练总结报告等资料归档保存。
对于由上级有关部门布置或参与组织的演练,或者法律、法规、规章要求备案的演练,演练组织单位应当将相关资料报有关部门备案。
6.4考核与奖惩
演练组织单位要注重对演练参与单位及人员进行考核。
对在演练中表现突出的单位和个人,可给予表彰和奖励;对不按要求参加演练,或影响演练正常开展的,可给予相应批评。
建议纳入绩效考核体系。
7演练成果运用
对演练暴露出来的问题,参演单位应当及时采取措施予以改进,建立改进任务表。
对演练中积累的经验,参演单位也要积极加以运用。
问题和经验的运用,包括修改完善应急预案、有针对性地加强应急人员的教育和培训、对应急设施有计划地更新等,要持续跟进监督检查,形成闭环。
8
升级会员 