网络安全应急演练
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
一、网络安全应急响应预案培训与演练
网络安全应急响应和一般意义的突发公共事件应急响应一样,也需要对制定的应急响应方案“勤加演练”,以巩固能力、磨炼意志、锻炼队伍。网络攻击等紧急事件的发生,往往会扰乱正常的网络秩序,影响网络办公系统的正常运行,使网络安全受到威胁,造成如网络瘫痪、数据被窃取或丢失等后果,甚至更严重的损失。因此,在应急响应预案制定以后,有组织有规划地模拟演练具有至关重要的作用。只有经过网络安全应急预案的扎实培训与演练,才能在遇到网络突发事件时,及时有效地对事件做出响应,切实履行应急响应预案内容,准确给出应急处理方法,将危害降到最低。
(一)网络安全应急响应预案培训与演练目的
1、增强网络安全意识
网络安全事故隐患往往“生成”于无形。例如,漏洞或黑客攻击发生之时,受害方企事业单位可能处于非常危险的境地而无所察觉,一些内部部门人员的网络安全意识也容易懈怠。但不论是内部员工的疏忽还是管理上的大意,都可能给身在“暗处”的网络犯罪分子以可乘之机。加上常规情况下,企事业单位的网络安全事件并不常见,尤其是重大灾难性的网络安全事故直接关系到企业的生存,更不是普通员工所了解的,因此网络安全应急响应的培训演练将对内部管理人员、普通员工的网络信息安全意识的提高非常重要。
2、检验预案的有效性
为了使政府机构和企事业单位的相关人员了解应急响应预案的内容,熟悉应急响应预案的制定规则和实施流程,相关组织需要对应急响应预案进行培训,并通过演练来检验所制定的应急响应预案的有效性,使之在真正应对突发事件,如网络入侵和攻击等情况时,能够临危不乱,有效应对。通过应急演练,还可以发现应急预案中存在的问题,在突发事件发生前暴露预案的缺点,验证预案在应对可能出现的各种意外情况时所具备的适应性,找出预案需要进一步完善和修正的地方。
3、提高整体作战协调能力
应急响应预案的培训与演练能够在提高相关人员的网络安全意识的同时,培养相关人员之间、特别是跨部门人员之间的协调能力,并且能够检测应急响应工作的整体性、充分性和完整性。通过机构内部各个业务部门、职能部门、技术部门在模拟演练中实时磨合,提高各级领导者应对突发事件的分析研判、决策指挥和组织协调能力,帮助应急管理人员和各类救援人员熟悉突发事件情景,提高应急熟练程度和实战技能。
网络系统可能跨越不同地区、不同城市,甚至相隔几千公里的省份,因此重视网络安全应急响应,并及时、适时加以培训和实战演练,可以改善各应急组织机构、人员之间的交流沟通、协调合作,提升整体作战的协调能力和水平。
(二)网络安全应急响应预案培训
应急响应预案的培训是为了更好地应对网络突发状况,实施演练计划所做的每一项工作,其培训过程主要针对应急预案涉及的相关内容进行培训学习。做好应急预案的培训工作能使各级人员明确自身职责,是做好应急响应工作的基础与前提。应急响应预案的培训分为以下几个方面。
1、应急响应预案培训的要求
应急响应预案制定后需要对相关人员进行培训,规定好针对不同角色人员的培训计划、培训方式,并对最后的培训结果进行验收,同时,要对整体培训过程以及考核得分做出记录。
2、应急响应预案培训的方式
应急响应预案的培训可以采用多种方式,包括书籍阅读、人工授课、视频教学、开展培训班等。通过培训学习提高相关人员的网络安全意识,加强对于紧急网络事件的应变能力。
3、应急响应预案培训的范围
(1)政府机构人员:政府机构网络涉及重要资料数据甚至国家机密文件,对政府机构人员的培训工作直接关系到国家安全。另外,在网络救援实施过程中,需要政府相关部门起到领导决策作用,在救援行动的关键节点给予批准,并做好整体把关,因此对其培训工作尤为重要。
(2)企业人员:全体员工都要进行应急响应预案相关知识的培训学习,提高网络安全意识,在网络安全受到威胁时了解自身岗位职责,提高执行能力。
(3)专业应急处理人员:突发网络攻击事件发生时,专业应急处理人员是救援工作的主要力量,因此要大力加强其培训工作,使其学习更多网络安全威胁处理措施,熟悉应急响应预案的步骤及岗位职责,切实做到临危不乱,对紧急情况有效有序地处理,快速恢复网络系统正常状态。
4、应急响应预案培训的内容
学习网络信息安全相关法规、条例、标准和安全知识,了解各种网络恶意事件所造成的损害,学习不同级别事件的应急策略和行动计划等。培训过程中可根据预案中人员角色等级,有针对性地对内容进行更改调整。
(三)网络安全应急响应预案演练
制定好的应急响应预案,只做培训还不够,还需要通过实战演练来提高应对网络突发事件的行动力,针对网络突发事件的假想情景,按照应急响应预案中规定的职责和程序来执行应急响应任务。根据出现的新的网络攻击手段或其他特殊情况,不断进行预案的调整完善。
1、应急演练的作用
应急演练是对应急响应预案可行性的有效验证。通过演练可以检验应急响应小组中每个成员对工作完成的熟练程度和相互配合能力,包括各个部门之间的配合、成员之间的协调。通过实战练习积累经验,对应急响应预案内容不断地充实和完善,使负责人员、执行人员、应急专业技术人员应对网络突发事件的应变能力得以提升,从而有条不紊地处理突发事件。
2、应急演练的组织实施
应急演练的组织工作由应急小组指挥人员执行,包括演练地段的选择、保障物资与设备的准备、人员任务的分配等。整个实施过程由应急响应执行人员和记录人员组成,按照应急响应预案计划进行准备与实行。各级人员明确分工,并充分做好网络恢复保障工作。演练可以采用对网络系统或者主机进行虚拟攻击的方式,过程中要特别注意对这些危害的掌控。
3、应急演练的考核与总结
记录人员对演练的每个环节都要做好记录、资料收集和评价工作。对网络突发事件处理过程中遇到的问题进行分析汇总,并对每个岗位所在人员的表现进行评测,演练完毕以后要对整个演练过程进行总结,以不断地改进预案,验证可行性,更好地应对在实际生活中可能发生的多种紧急情况。
4、应急演练的注意事项
应急演练时首先要制定一个适应性计划,在证明应急响应预案有效性的同时,保证网络的安全,避免由于一次演练的失误而造成真正的网络攻击,使政府或企业重要资料数据泄露或财产遭受损失。
二、网络安全应急演练环境
应急演练的环境包括进行应急演练所需的文档、人员和设备。完整的环境不仅保证了演练可以完整实施,也提升了该演练的效果。应急演练的环境应该尽可能与真实场景相同,人员参与尽可能全面,对应急演练事件的记录尽量详细。
通过已有的一些网络安全事件和网络安全应急演练,可以对一般的环境进行综合和总结,设计出综合的应急演练环境。
(一)网络安全应急演练文档
应急演练文档是为了规范和记录应急演练事件,应急演练文档包括应急演练方案、应急通信录以及应急演练记录表。
1、应急演练方案
应急演练方案是对每次应急演练的部署和指导,该方案应为每个参与应急演练的人员所熟知。应急演练方案应包括以下内容。
(1)应急演练的背景、目的和假设。这一部分应对应急演练进行基本介绍,让全体参与者对演练有初步的了解。
(2)应急演练流程。该部分通过流程图的方式,明确整个事件流程、需要完成的任务、可能出现的情况等。流程图可以对应急演练进行简明扼要的归纳。
(3)网络架构图、应急恢复策略及应急故障处理。这一部分为技术人员提供指引,包括熟知网络拓扑结构以及故障发生时所应进行的行动。
(4)事故上报模板、任务分配表以及岗位职责。这一部分明确了应急演练中部门的职责和个人的任务,通过提供模板提高上报速度。
2、应急通信录
应急通信录保证了当发生事件时,每个涉事人员、部门和领导可以被联络到。应急通信录包括全员通信录、关键电话线、设备供应商通信录和安全厂商通信录。在进行应急演练中,通过全员通信录,可以快速定位到个人;通过关键电话线,可以找到负责某一项工作的部门;如发生意外,通过设备供应商通信录和安全厂商通信录,可以找到设备供应商和有资质的安全厂商,以避免造成不必要的损失。
3、应急演练记录表
应急演练记录表是指对应急演练过程产生的相关数据进行记录,以备后期查询、分析和总结。应急演练记录表包括响应时间表、损失评估表等,对响应的速度、应急演练每一阶段造成的损失进行记录。这些应急演练记录表是对本次应急演练评估分析的重要依据,因此非常重要。
以上为应急演练基本文档,在实际操作中可以根据实际情况进行更改。
(二)演练人员安排
应急演练的参与者可以分为3个层次:把握全局的领导层、具体执行演练的实施层以及为演练提供支持的后勤层。
1、领导层
领导层对应急演练的全局进行把握,确定时间节点、具体方案、应急演练实施的效果以及突发情况下的组织。同时对人员进行调度,对资源进行配置。
2、实施层
实施层负责具体执行应急演练的任务,包括执行应急演练和后期运维2个方面。应急演练执行小组对网络行为、数据行为进行分析,对痕迹进行取证,对涉及的样本进行逆向分析,并且整理应急演练的报告。后期运维小组对应急演练中的行为监控,避免出现越权或破坏行为,应急演练前对设备进行管理,应急演练后对造成的影响进行恢复。
3、后勤层
后勤层人员对安全事件的影响进行评估。后勤层在出现问题时进行上下级和部门间的沟通,并与外界的厂商、安全机构联络,确保应急演练的实施全程沟通畅通。当出现意外情况时,可以快速寻求帮助,为全员提供支持。
(三)演练设备安排
应急演练的环境既要能够与实际环境相匹配,又要保证演练事件不会对正常的工作造成影响,不会对正常的网络造成破坏。因此对设备的安排要遵从以下几点。
1、应急演练的环境应尽量与实际环境相同
相似的人员结构与拓扑结构可以提升演练在真实场景中的应用。因此应事先整理全局网络结构拓扑图,并由此给出应急演练的网络拓扑结构。对于非保密、非重要、非关键节点可以考虑用真机进行操作。
2、使用虚拟设备实现逻辑隔离
对于一些重要的节点,应急演练可能对该节点造成一定的影响,因此要使用虚拟设备进行隔离,避免造成不必要的损失。
3、使用备用设备替代或进行物理隔离
对于关键节点要进行物理隔离,同一位置可以使用其他物理设备进行替代,在保证拓扑结构完整的同时,对这些位置进行保护。
三、演练示例——以企业为例
以企业网络应急响应为例,将企业网络安全应急演练的大致过程逐一呈现,分为演练准备、演练步骤、其他相关保障3个部分。
(一)演练准备
在网络安全应急演练之前,需要理解和熟悉应急响应预案的背景或相关信息;组织专门队伍,明确职责定位;同时还需对接企业既有的预防监控制度。
1、熟悉预案,理解演练内容
主要目的是使该应急响应预案更容易理解、实施和后期维护。通常在这部分内容中主要包括背景、目的、适用范围及影响情况等。
(1)背景:介绍该预案的背景信息,并说明其启动响应预案的原因及受影响的层面。
(2)目的:介绍该预案的最终完成目标。
(3)适用范围:介绍该预案涉及的范围,确定该预案能够解决哪些问题,以及不能够解决哪些问题等。
2、人员配置及职责
企事业单位应急响应工作演练组织架构按照人员的职能划分为4个功能小组:领导小组、IT支撑实施小组、后期运维小组及公关外联小组。在发生网络突发事件后,在领导小组的统一指挥下,各个应急响应小组的成员各司其职,并严格按照应急响应计划组织实施应急响应的工作。
(1)领导小组职能:领导预案的实施与监督,例如由企业一把手担任组长。
(2)IT支撑实施小组职能:联合业务线负责人、IT技术支撑人员、外部技术专家和外部顾问,共同执行相关事故检测、抑制、根除、恢复、跟进等任务。
(3)后期运维小组职能:实际上也是上述IT支撑实施小组的组成分支之一,但更加注重处理“跟进阶段”的事宜,主要包括监控各个提醒日志、权限管理、设备管理等,评估事件发生后的损失,并做好后方物质保障。
(4)公关外联小组职能:在需要的情况下,负责对外沟通、互动,回应公共舆论或网民的关切;特殊情况还要向主管部门、公安部门通报情况;如果是内部可以处理,并未对公共互联网和客户造成明显影响,那么公关外联小组可以对内发布消息,报告事实经过即可。
整个应急响应组织内的人员需要具备良好的管理技能,不同程度的专业技能,保持团队合作精神,保障各个小组在事件发生时合理分工,建立起各个应急响应小组在突发状况下的恢复控制能力。
3、对接预防监控制度
为维护整个网络信息系统的安全性和稳定性,企业一般实行日常实时监控制度,出现异常或报警情况及时上报给网络安全应急响应小组,由相关人员检查处理,将事故消灭在萌芽状态。
因此,在应急演练将要正式开始执行时,须对接好常规网络维护、预防监控等制度。同时应急响应小组中的相关人员要定期检查网络日志,加强对网络安全防护和应急准备工作的监督检查,保障网络系统的安全畅通,随时准备发现网络安全问题、启动网络安全应急响应。
(二)演练步骤
1、应急事件通报
应急响应实施后,发现网络故障的相关人员有责任将情况进行汇报。上报分为两种情况:正常工作时间的突发事件的报告,根据报告流程,向直属领导汇报,并通知应急小组相关负责人;非工作时间的突发事件报告,通知应急小组值班人员,值班人员及时备案,并尽量联系维修人员做临时的网络维护。
2、确定应急事件优先级
这里我们假设企业按照应急响应四级的分类标准定级,但每个分级下的指标可以由企业根据自己的业务特点和性质加以限定。下面的指标参数标准可作参考。
(1)通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为重大突发事件(Ⅰ级)。
1)网络系统中断时间超过4 h。
2)其他关键业务系统中断时间超过8 h。
3)受影响的业务范围超过总量50%。
4)超过60 min以上的关键实时数据破坏或丢失。
5)关键机房无法进入时间超过12 h。
6)关键机房无法提供正常服务时间超过24 h。
7)其他满足重大突发事件(Ⅰ级)特征的突发事件。
(2)通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为较大突发事件(Ⅱ级)。
1)网络系统中断时间超过2 h。
2)其他关键业务系统中断时间超过4 h。
3)受影响的业务范围超过总量30%。
4)超过30 min以上的关键实时数据破坏或丢失。
5)关键机房无法进入时间超过4 h。
6)关键机房无法提供正常服务时间超过12 h 。
7)其他满足较大突发事件(Ⅱ级)特征的突发事件。
(3)通过对突发事件的预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为一般突发事件(Ⅲ级)。
1)主要系统部分中断超过2 h。
2)关键业务系统中断时间超过4 h(受影响的业务范围超过总量10%)。
3)超过5 min以上的关键实时数据破坏或丢失。
4)关键机房无法进入时间超过30 min。
5)关键机房无法提供正常服务时间超过4 h。
6)其他满足一般突发事件(Ⅲ级)特征的突发事件。
3、应急响应启动实施
(1)重大突发事件(Ⅰ级)处置的指挥权限。
1)组织处置:应急响应领导小组直接负责。
2)突发事件处置方案:应急响应IT支撑实施小组负责处理。
3)灾难宣告:应急响应领导小组负责决策是否启动网络恢复行动,负责决策是否启动Ⅰ级恢复预案。
4)事件评级、事件升级预警:应急响应IT支撑实施小组提出建议,并报领导小组批准。
5)事件降级:应急响应IT支撑实施小组提出建议,应急响应领导小组负责批准。
6)事件报告:由应急响应公关外联小组负责向应急响应领导小组报告。
(2)重大突发事件(Ⅰ级)的主要恢复策略包括以下五点。
1)应急响应领导小组立即启动紧急指挥中心,进行指挥部署。
2)应急响应领导小组通知和调动所有应急响应IT支撑实施团队。
3)应急响应后期运维小组调动所有备用处理设备。
4)网络恢复行动立即准备就绪,人员到位,所有服务和设施立即现场激活。
5)IT 支撑实施小组接收到事件报告后,立即调动后期小组做好备份工作,同时应急响应IT支撑实施小组各个人员实施网络救援工作。
(3)较大突发事件(Ⅱ级)处置的指挥权限。
1)组织处置:应急响应领导小组直接负责。
2)突发事件处置方案:应急响应IT支撑实施小组负责处理。
3)灾难宣告:由应急响应领导小组负责决策是否启动备份,负责决策启动Ⅱ级恢复预案。
4)事件评级、事件升级预警:应急响应IT支撑实施小组提出建议,并报应急响应领导小组批准,如果事件的严重性超过Ⅱ级但尚未达到Ⅰ级,按相对高一级突发事件处理。
5)事件降级:应急响应IT支撑实施小组提出建议,应急响应领导小组负责批
准。
6)事件报告:由应急响应公关外联小组负责向领导小组报告。
(4)较大突发事件(Ⅱ级)的主要恢复策略包括以下几个方面。
1)应急响应领导小组指挥工作启动。
2)应急响应外联小组根据预先确定的降级策略和应用优先级,对网络系统服务水平和持续时间进行评估。
3)制定本地网络恢复和降级策略,首先组织应急响应IT支撑实施小组进行现场恢复。
4)将事件的严重性和紧急情况的预计持续时间通知应急响应领导小组,决定是否部分启动备用网络恢复服务。
5)IT支撑实施小组相关人员立即准备就绪,人员到位。
6)公关外联小组对事件严重性和紧急情况评估结果上报,实施小组接到上报结果后,再激活所有服务和设施。
7)IT支撑实施小组与后期运维小组根据部分接管的策略,启动相应的接管程序。
(5)一般突发事件(Ⅲ级)处置的指挥权限。
1)组织处置:应急响应领导小组直接负责。
2)突发事件处置方案:应急响应IT支撑实施小组负责处理。
3)灾难宣告:由公关外联小组报告后,领导小组负责决策是否启动Ⅲ级恢复预案。
4)事件评级、事件升级预警:应急响应后期运维小组负责评估。如果事件的严重性超过Ⅲ级但尚未达到Ⅱ级,按相对高一级突发事件处理。
5)事件降级:应急响应后期运维小组负责评估。
6)事件报告:由应急响应公关外联小组负责向领导小组报告。
(6)一般突发事件(Ⅲ级)的主要恢复策略:通过日常监测和网络维护就可以解决的网络安全问题可不启动应急响应,由应急响应IT支撑实施小组负责处理,并恢复系统即可。
4、应急响应事件后期运维
应急响应处理过程完毕之后,各部门要做好后期保护检查工作,防止故障再次发生。后期运维小组要定期检查各个提醒日志,监控网络状态,检查设备的完好性,并且组织实施网络恢复和系统重建工作。应急响应领导小组组织其他小组通知相关恢复团队和用户部门,评估预计时间内的网络恢复情况,恢复网络服务环境,不影响业务的正常进行。事件发生的所有情况都要记录到文档并形成报告上报给企业内部上级部门。
5、更新现有应急预案
根据应急演练中总结的问题和收集的资料对既有应急预案进行及时更新以适应更多复杂情况。包括应急处理方案、保障设备、网络修复方案等的更新。每次演练后发现预案中存在与实际情况不符的情况,需要在演练结束后立即记录、更正,保持预案相关文档资料同步更新。
(三)其他相关保障
1、责任与奖惩
在网络安全应急响应演练中,一般可建立奖惩制度。对表现出色的人员给予表彰,并组织其他人员进行交流学习,表现不好的人员给予通报批评并增加演练次数以使参与人员都能掌握操作过程。
2、物质设备保障
通过对网络突发事件的损失评估,调整应急响应经费的预算投入以适应不同的情况,对整个网络系统中的设备及时检查、更新,保障网络安全。
3、专业队伍技术强化
应急响应IT支撑实施小组在技术力量建设方面,要加强专业技能,强化专项技术。如平常注重加强编程高级技能,可以在需要分析恶意代码等问题时更容易找出“骇客”的作案手法;同时要确保有擅长不同领域的专业技术人员。
此外,及时获取最新网络攻击方式、病毒名称、传播方式等相关信息,密切关注国家相关部门的预警,和专业安全技术厂商加强沟通,汲取网络安全理论界和业界实践中积累的经验等,也是提升网络安全应急响应IT支撑实施小组队员专业技能、保障应急响应实施技术储备达到预期效果的有效途径。
四、结语
网络安全应急演练环节是企事业单位熟悉预案、落实预案流程的重要手段。主要介绍了网络安全应急演练相关内容,包括应急响应预案的培训与演练、应急响应环境以及应急响应预案的示例。具体介绍了应急响应预案的培训范围、方式、内容等,以及演练的作用、组织实施和需要注意的事项,并且,还给出了搭建应急演练环境、实施演练的示例基本框架。定期进行应急响应的培训与实战演练可以在发生问题时减少企业或相关单位所受到的损失,高效有序地进行恢复工作,因此制定计划和落实应急演练是网络安全应急响应工作不可或缺的组成部分。
微信公众号:计算机与网络安全
ID:Computer-network