网络安全应急响应预案

网络安全应急响应预案

一、网络安全应急响应预案培训与演练

网络安全应急响应与一般意义得突发公共事件应急响应一样，也需要对制定得应急响应方案“勤加演练”，以巩固能力、磨炼意志、锻炼队伍。网络攻击等紧急事件得发生，往往会扰乱正常得网络秩序,影响网络办公系统得正常运行,使网络安全受到威胁,造成如网络瘫痪、数据被窃取或丢失等后果，甚至更严重得损失。因此,在应急响应预案制定以后，有组织有规划地模拟演练具有至关重要得作用。只有经过网络安全应急预案得扎实培训与演练，才能在遇到网络突发事件时,及时有效地对事件做出响应,切实履行应急响应预案内容，准确给出应急处理方法，将危害降到最低。

(一）网络安全应急响应预案培训与演练目得

1、增强网络安全意识

网络安全事故隐患往往“生成"于无形。例如,漏洞或黑客攻击发生之时，受害方企事业单位可能处于非常危险得境地而无所察觉,一些内部部门人员得网络安全意识也容易懈怠.但不论就是内部员工得疏忽还就是管理上得大意,都可能给身在“暗处"得网络犯罪分子以可乘之机。加上常规情况下，企事业单位得网络安全事件并不常见，尤其就是重大灾难性得网络安全事故直接关系到企业得生存，更不就是普通员工所了解得,因此网络安全应急响应得培训演练将对内部管理人员、普通员工得网络信息安全意识得提高非常重要。

2、检验预案得有效性

为了使政府机构与企事业单位得相关人员了解应急响应预案得内容，熟悉应急响应预案得制定规则与实施流程,相关组织需要对应急响应预案进行培训，并通过演练来检验所制定得应急响应预案得有效性,使之在真正应对突发事件,如网络入侵与攻击等情况时，能够临危不乱，有效应对。通过应急演练,还可以发现应急预案中存在得问题，在突发事件发生前暴露预案得缺点，验证预案在应对可能出现得各种意外情况时所具备得适应性,找出预案需要进一步完善与修正得地方.

3、提高整体作战协调能力

应急响应预案得培训与演练能够在提高相关人员得网络安全意识得同时，培养相关人员之间、特别就是跨部门人员之间得协调能力,并且能够检测应急响应工作得整体性、充分性与完整性。通过机构内部各个业务部门、职能部门、技术部门在模拟演练中实时磨合，提高各级领导者应对突发事件得分析研判、决策指挥与组织协调能力,帮助应急管理人员与各类救援人员熟悉突发事件情景，提高应急熟练程度与实战技能。

网络系统可能跨越不同地区、不同城市，甚至相隔几千公里得省份,因此重视网络安全应急响应,并及时、适时加以培训与实战演练，可以改善各应急组织机构、人员之间得交流沟通、协调合作，提升整体作战得协调能力与水平.

(二)网络安全应急响应预案培训

应急响应预案得培训就是为了更好地应对网络突发状况，实施演练计划所做得每一项工作,其培训过程主要针对应急预案涉及得相关内容进行培训学习。做好应急预案得培训工作能使各级人员明确自身职责，就是做好应急响应工作得基础与前提。应急响应预案得培训分为以下几个方面。

1、应急响应预案培训得要求

应急响应预案制定后需要对相关人员进行培训，规定好针对不同角色人员得培训计划、培训方式,并对最后得培训结果进行验收，同时，要对整体培训过程以及考核得分做出记录。

2、应急响应预案培训得方式

应急响应预案得培训可以采用多种方式，包括书籍阅读、人工授课、视频教学、开展培训班等。通过培训学习提高相关人员得网络安全意识,加强对于紧急网络事件得应变能力。

3、应急响应预案培训得范围

(１)政府机构人员:政府机构网络涉及重要资料数据甚至国家机密文件,对政府机构人员得培训工作直接关系到国家安全。另外，在网络救援实施过程中，需要政府相关部门起到领导决策作用,在救援行动得关键节点给予批准，并做好整体把关，因此对其培训工作尤为重要。

(２）企业人员：全体员工都要进行应急响应预案相关知识得培训学习,提高网络安全意识,在网络安全受到威胁时了解自身岗位职责，提高执行能力.

(3）专业应急处理人员：突发网络攻击事件发生时，专业应急处理人员就是救援工作得主要力量,因此要大力加强其培训工作,使其学习更多网络安全威胁处理措施,熟悉应急响应预案得步骤及岗位职责，切实做到临危不乱,对紧急情况有效有序地处理，快速恢复网络系统正常状态。

４、应急响应预案培训得内容

学习网络信息安全相关法规、条例、标准与安全知识，了解各种网络恶意事件所造成得损害，学习不同级别事件得应急策略与行动计划等。培训过程中可根据预案中人员角色等级，有针对性地对内容进行更改调整.

(三）网络安全应急响应预案演练

制定好得应急响应预案，只做培训还不够,还需要通过实战演练来提高应对网络突发事件得行动力，针对网络突发事件得假想情景,按照应急响应预案中规定得职责与程序来执行应急响应任务。根据出现得新得网络攻击手段或其她特殊情况,不断进行预案得调整完善。

１、应急演练得作用

应急演练就是对应急响应预案可行性得有效验证。通过演练可以检验应急响应小组中每个成员对工作完成得熟练程度与相互配合能力,包括各个部门之间得配合、成员之间得协调.通过实战练习积累经验，对应急响应预案内容不断地充实与完善，使负责人员、执行人员、应急专业技术人员应对网络突发事件得应变能力得以提升，从而有条不紊地处理突发事件。

2、应急演练得组织实施

应急演练得组织工作由应急小组指挥人员执行，包括演练地段得选择、保障物资与设备得准备、人员任务得分配等.整个实施过程由应急响应执行人员与记录人员组成，按照应急响应预案计划进行准备与实行。各级人员明确分工,并充分做好网络恢复保障工作.演练可以采用对网络系统或者主机进行虚拟攻击得方式,过程中要特别注意对这些危害得掌控。

3、应急演练得考核与总结

记录人员对演练得每个环节都要做好记录、资料收集与评价工作.对网络突发事件处理过程中遇到得问题进行分析汇总，并对每个岗位所在人员得表现进行评测,演练完毕以后要对整个演练过程进行总结,以不断地改进预案，验证可行性，更好地应对在实际生活中可能发生得多种紧急情况。

4、应急演练得注意事项

应急演练时首先要制定一个适应性计划，在证明应急响应预案有效性得同时，保证网络得安全,避免由于一次演练得失误而造成真正得网络攻击,使政府或企业重要资料数据泄露或财产遭受损失。

二、网络安全应急演练环境

应急演练得环境包括进行应急演练所需得文档、人员与设备。完整得环境不仅保证了演练可以完整实施，也提升了该演练得效果。应急演练得环境应该尽可能与真实场景相同,人员参与尽可能全面，对应急演练事件得记录尽量详细。

通过已有得一些网络安全事件与网络安全应急演练，可以对一般得环境进行综合与总结,设计出综合得应急演练环境。

（一)网络安全应急演练文档

应急演练文档就是为了规范与记录应急演练事件,应急演练文档包括应急演练方案、应急通信录以及应急演练记录表。

1、应急演练方案

应急演练方案就是对每次应急演练得部署与指导，该方案应为每个参与应急演练得人员所熟知。应急演练方案应包括以下内容。

(1）应急演练得背景、目得与假设。这一部分应对应急演练进行基本介绍,让全体参与者对演练有初步得了解.

（2）应急演练流程。该部分通过流程图得方式，明确整个事件流程、需要完成得任务、可能出现得情况等.流程图可以对应急演练进行简明扼要得归纳。

（3)网络架构图、应急恢复策略及应急故障处理。这一部分为技术人员提供指引,包括熟知网络拓扑结构以及故障发生时所应进行得行动。

（４）事故上报模板、任务分配表以及岗位职责。这一部分明确了应急演练中部门得职责与个人得任务，通过提供模板提高上报速度。

2、应急通信录

应急通信录保证了当发生事件时,每个涉事人员、部门与领导可以被联络到。应急通信录包括全员通信录、关键电话线、设备供应商通信录与安全厂商通信录。在进行应急演练中，通过全员通信录,可以快速定位到个人;通过关键电话线，可以找到负责某一项工作得部门；如发生意外，通过设备供应商通信录与安全厂商通信录,可以找到设备供应商与有资质得安全厂商，以避免造成不必要得损失。

３、应急演练记录表

应急演练记录表就是指对应急演练过程产生得相关数据进行记录,以备后期查询、分析与总结.应急演练记录表包括响应时间表、损失评估表等,对响应得速度、应急演练每一阶段造成得损失进行记录。这些应急演练记录表就是对本次应急演练评估分析得重要依据,因此非常重要。

以上为应急演练基本文档,在实际操作中可以根据实际情况进行更改。

(二）演练人员安排

应急演练得参与者可以分为3个层次：把握全局得领导层、具体执行演练得实施层以及为演练提供支持得后勤层。

1、领导层

领导层对应急演练得全局进行把握,确定时间节点、具体方案、应急演练实施得效果以及突发情况下得组织。同时对人员进行调度,对资源进行配置。

2、实施层

实施层负责具体执行应急演练得任务,包括执行应急演练与后期运维2个方面.应急演练执行小组对网络行为、数据行为进行分析，对痕迹进行取证，对涉及得样本进行逆向分析，并且整理应急演练得报告。后期运维小组对应急演练中得行为

监控,避免出现越权或破坏行为,应急演练前对设备进行管理,应急演练后对造成

得影响进行恢复.

3、后勤层

后勤层人员对安全事件得影响进行评估。后勤层在出现问题时进行上下级与部门间得沟通，并与外界得厂商、安全机构联络，确保应急演练得实施全程沟通畅通。当出现意外情况时，可以快速寻求帮助，为全员提供支持。

（三)演练设备安排

应急演练得环境既要能够与实际环境相匹配，又要保证演练事件不会对正常得工作造成影响，不会对正常得网络造成破坏.因此对设备得安排要遵从以下几点。

1、应急演练得环境应尽量与实际环境相同

相似得人员结构与拓扑结构可以提升演练在真实场景中得应用.因此应事先整理全局网络结构拓扑图,并由此给出应急演练得网络拓扑结构。对于非保密、非重要、非关键节点可以考虑用真机进行操作。

2、使用虚拟设备实现逻辑隔离

对于一些重要得节点，应急演练可能对该节点造成一定得影响,因此要使用虚拟设备进行隔离,避免造成不必要得损失。

3、使用备用设备替代或进行物理隔离

对于关键节点要进行物理隔离,同一位置可以使用其她物理设备进行替代，在保证拓扑结构完整得同时,对这些位置进行保护。

三、演练示例-—以企业为例

以企业网络应急响应为例，将企业网络安全应急演练得大致过程逐一呈现，分为演练准备、演练步骤、其她相关保障3个部分。

（一）演练准备

在网络安全应急演练之前,需要理解与熟悉应急响应预案得背景或相关信息;组织专门队伍,明确职责定位;同时还需对接企业既有得预防监控制度。

1、熟悉预案,理解演练内容

主要目得就是使该应急响应预案更容易理解、实施与后期维护。通常在这部分内容中主要包括背景、目得、适用范围及影响情况等。

（1）背景：介绍该预案得背景信息，并说明其启动响应预案得原因及受影响得层面。

(2)目得：介绍该预案得最终完成目标。

（3）适用范围：介绍该预案涉及得范围，确定该预案能够解决哪些问题,以及不能够解决哪些问题等。

2、人员配置及职责

企事业单位应急响应工作演练组织架构按照人员得职能划分为4个功能小组:领导小组、ＩT支撑实施小组、后期运维小组及公关外联小组.在发生网络突发事件后，在领导小组得统一指挥下,各个应急响应小组得成员各司其职，并严格按照应急响应计划组织实施应急响应得工作.

（1)领导小组职能：领导预案得实施与监督,例如由企业一把手担任组长。

（２)IT支撑实施小组职能:联合业务线负责人、IT技术支撑人员、外部技术专家与外部顾问，共同执行相关事故检测、抑制、根除、恢复、跟进等任务。

（3）后期运维小组职能：实际上也就是上述IT支撑实施小组得组成分支之一，但更加注重处理“跟进阶段"得事宜,主要包括监控各个提醒日志、权限管理、设备管理等，评估事件发生后得损失，并做好后方物质保障。

(４）公关外联小组职能:在需要得情况下,负责对外沟通、互动，回应公共舆论或网民得关切;特殊情况还要向主管部门、公安部门通报情况;如果就是内部可以处理，并未对公共互联网与客户造成明显影响,那么公关外联小组可以对内发布消息，报告事实经过即可。

整个应急响应组织内得人员需要具备良好得管理技能,不同程度得专业技能,保持团队合作精神,保障各个小组在事件发生时合理分工，建立起各个应急响应小组在突发状况下得恢复控制能力。

3、对接预防监控制度

为维护整个网络信息系统得安全性与稳定性，企业一般实行日常实时监控制度，出现异常或报警情况及时上报给网络安全应急响应小组，由相关人员检查处理，将事故消灭在萌芽状态.

因此,在应急演练将要正式开始执行时，须对接好常规网络维护、预防监控等制度.同时应急响应小组中得相关人员要定期检查网络日志,加强对网络安全防护与应急准备工作得监督检查，保障网络系统得安全畅通,随时准备发现网络安全问题、启动网络安全应急响应。

(二）演练步骤

1、应急事件通报

应急响应实施后，发现网络故障得相关人员有责任将情况进行汇报.上报分为两种情况：正常工作时间得突发事件得报告，根据报告流程,向直属领导汇报，并通知应急小组相关负责人；非工作时间得突发事件报告，通知应急小组值班人员，值班人员及时备案，并尽量联系维修人员做临时得网络维护.

２、确定应急事件优先级

这里我们假设企业按照应急响应四级得分类标准定级，但每个分级下得指标可以由企业根据自己得业务特点与性质加以限定。下面得指标参数标准可作参考。

(1）通过对突发事件得预警评估，突发事件符合以下一项或多项标准时，将突发事件性质定义为重大突发事件(Ⅰ级)。

１）网络系统中断时间超过4 h。

2)其她关键业务系统中断时间超过８ｈ.

３）受影响得业务范围超过总量50％。

4)超过60min以上得关键实时数据破坏或丢失。

5）关键机房无法进入时间超过1２h.

6）关键机房无法提供正常服务时间超过2４ｈ。

7)其她满足重大突发事件（Ⅰ级）特征得突发事件.

(2）通过对突发事件得预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为较大突发事件（Ⅱ级)。

1）网络系统中断时间超过2 h。

2)其她关键业务系统中断时间超过4 h。

３）受影响得业务范围超过总量30%。

4)超过3０min以上得关键实时数据破坏或丢失。

5）关键机房无法进入时间超过4 ｈ。

６)关键机房无法提供正常服务时间超过１2 ｈ。

７）其她满足较大突发事件(Ⅱ级）特征得突发事件.

（3)通过对突发事件得预警评估,突发事件符合以下一项或多项标准时,将突发事件性质定义为一般突发事件（Ⅲ级)。

1）主要系统部分中断超过２h。

2）关键业务系统中断时间超过４h(受影响得业务范围超过总量１０%）。

3)超过５ｍin以上得关键实时数据破坏或丢失。

４)关键机房无法进入时间超过30 miｎ。

5）关键机房无法提供正常服务时间超过4 h.

6）其她满足一般突发事件（Ⅲ级）特征得突发事件。

３、应急响应启动实施

(1）重大突发事件（Ⅰ级）处置得指挥权限.

1）组织处置：应急响应领导小组直接负责。

2）突发事件处置方案：应急响应ＩT支撑实施小组负责处理.

3)灾难宣告：应急响应领导小组负责决策就是否启动网络恢复行动,负责决策就是否启动Ⅰ级恢复预案。

4)事件评级、事件升级预警:应急响应IT支撑实施小组提出建议，并报领导小组批准。

5)事件降级:应急响应IＴ支撑实施小组提出建议，应急响应领导小组负责批准。

6）事件报告：由应急响应公关外联小组负责向应急响应领导小组报告。

（2)重大突发事件(Ⅰ级）得主要恢复策略包括以下五点。

1）应急响应领导小组立即启动紧急指挥中心,进行指挥部署。

２）应急响应领导小组通知与调动所有应急响应IT支撑实施团队。

３)应急响应后期运维小组调动所有备用处理设备。

4）网络恢复行动立即准备就绪,人员到位，所有服务与设施立即现场激活.

5）IT 支撑实施小组接收到事件报告后,立即调动后期小组做好备份工作,同时应急响应ＩT支撑实施小组各个人员实施网络救援工作。

（3)较大突发事件（Ⅱ级）处置得指挥权限.

1)组织处置：应急响应领导小组直接负责。

2）突发事件处置方案：应急响应ＩT支撑实施小组负责处理.

３)灾难宣告：由应急响应领导小组负责决策就是否启动备份，负责决策启动Ⅱ级恢复预案。

4)事件评级、事件升级预警:应急响应IT支撑实施小组提出建议,并报应急响应领导小组批准,如果事件得严重性超过Ⅱ级但尚未达到Ⅰ级，按相对高一级突发事件处理。

5）事件降级:应急响应IT支撑实施小组提出建议，应急响应领导小组负责批

准.

６）事件报告：由应急响应公关外联小组负责向领导小组报告。

(4)较大突发事件（Ⅱ级)得主要恢复策略包括以下几个方面。

1）应急响应领导小组指挥工作启动.

2）应急响应外联小组根据预先确定得降级策略与应用优先级,对网络系统服务水平与持续时间进行评估.

３）制定本地网络恢复与降级策略，首先组织应急响应IＴ支撑实施小组进行现场恢复.

4)将事件得严重性与紧急情况得预计持续时间通知应急响应领导小组，决定就是否部分启动备用网络恢复服务。

５)IT支撑实施小组相关人员立即准备就绪,人员到位。

6）公关外联小组对事件严重性与紧急情况评估结果上报，实施小组接到上报结果后，再激活所有服务与设施.

7)IT支撑实施小组与后期运维小组根据部分接管得策略，启动相应得接管程序。

(５)一般突发事件(Ⅲ级）处置得指挥权限.

１)组织处置：应急响应领导小组直接负责。

2)突发事件处置方案：应急响应IＴ支撑实施小组负责处理。

３）灾难宣告：由公关外联小组报告后,领导小组负责决策就是否启动Ⅲ级恢复预案。

４）事件评级、事件升级预警：应急响应后期运维小组负责评估.如果事件得严重性超过Ⅲ级但尚未达到Ⅱ级,按相对高一级突发事件处理。

5）事件降级：应急响应后期运维小组负责评估。

６）事件报告:由应急响应公关外联小组负责向领导小组报告.

（6）一般突发事件（Ⅲ级）得主要恢复策略：通过日常监测与网络维护就可以解决得网络安全问题可不启动应急响应,由应急响应ＩT支撑实施小组负责处理，并恢复系统即可.

4、应急响应事件后期运维

应急响应处理过程完毕之后，各部门要做好后期保护检查工作,防止故障再次发生。后期运维小组要定期检查各个提醒日志,监控网络状态,检查设备得完好性，并且组织实施网络恢复与系统重建工作.应急响应领导小组组织其她小组通知相关恢复团队与用户部门，评估预计时间内得网络恢复情况，恢复网络服务环境,不影响业务得正常进行。事件发生得所有情况都要记录到文档并形成报告上报给企业内部上级部门。

5、更新现有应急预案

根据应急演练中总结得问题与收集得资料对既有应急预案进行及时更新以适应更多复杂情况。包括应急处理方案、保障设备、网络修复方案等得更新。每次演练后发现预案中存在与实际情况不符得情况,需要在演练结束后立即记录、更正,保持预案相关文档资料同步更新。

（三)其她相关保障

1、责任与奖惩

在网络安全应急响应演练中,一般可建立奖惩制度。对表现出色得人员给予表彰,并组织其她人员进行交流学习，表现不好得人员给予通报批评并增加演练次数以使参与人员都能掌握操作过程。

2、物质设备保障

通过对网络突发事件得损失评估,调整应急响应经费得预算投入以适应不同得情况，对整个网络系统中得设备及时检查、更新，保障网络安全。

3、专业队伍技术强化

应急响应IT支撑实施小组在技术力量建设方面，要加强专业技能,强化专项技术.如平常注重加强编程高级技能，可以在需要分析恶意代码等问题时更容易找出“骇客"得作案手法;同时要确保有擅长不同领域得专业技术人员。

此外，及时获取最新网络攻击方式、病毒名称、传播方式等相关信息，密切关注国家相关部门得预警，与专业安全技术厂商加强沟通，汲取网络安全理论界与业界实践中积累得经验等，也就是提升网络安全应急响应IT支撑实施小组队员专业技能、保障应急响应实施技术储备达到预期效果得有效途径。

四、结语

网络安全应急演练环节就是企事业单位熟悉预案、落实预案流程得重要手段。主要介绍了网络安全应急演练相关内容，包括应急响应预案得培训与演练、应急响应环境以及应急响应预案得示例。具体介绍了应急响应预案得培训范围、方式、内容等,以及演练得作用、组织实施与需要注意得事项，并且，还给出了搭建应急演练环境、实施演练得示例基本框架.定期进行应急响应得培训与实战演练可以在发生问题时减少企业或相关单位所受到得损失,高效有序地进行恢复工作，因此制定计划与落实应急演练就是网络安全应急响应工作不可或缺得组成部分.