網(wǎng)絡(luò)安全應(yīng)急演練

網(wǎng)絡(luò)安全應(yīng)急演練網(wǎng)絡(luò)安全應(yīng)急演練一、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)與演練網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和一般意義的突發(fā)公共事件應(yīng)急響應(yīng)一樣，也需要對(duì)制定的應(yīng)急響應(yīng)方案“勤加演練”，以鞏固能力、磨煉意志、鍛煉隊(duì)伍。網(wǎng)絡(luò)攻擊等緊急事件的發(fā)生，往往會(huì)擾亂正常的網(wǎng)絡(luò)秩序，影響網(wǎng)絡(luò)辦公系統(tǒng)的正常運(yùn)行，使網(wǎng)絡(luò)安全受到威脅，造成如網(wǎng)絡(luò)癱瘓、數(shù)據(jù)被竊取或丟失等后果，甚至更嚴(yán)重的損失。因此，在應(yīng)急響應(yīng)預(yù)案制定以后，有組織有規(guī)劃地模擬演練具有至關(guān)重要的作用。只有經(jīng)過網(wǎng)絡(luò)安全應(yīng)急預(yù)案的扎實(shí)培訓(xùn)與演練，才能在遇到網(wǎng)絡(luò)突發(fā)事件時(shí)，及時(shí)有效地對(duì)事件做出響應(yīng)，切實(shí)履行應(yīng)急響應(yīng)預(yù)案內(nèi)容，準(zhǔn)確給出應(yīng)急處理方法，將危害降到最低。(一)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)與演練目的1、增強(qiáng)網(wǎng)絡(luò)安全意識(shí)網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第1頁。網(wǎng)絡(luò)安全事故隱患往往“生成”于無形。例如，漏洞或黑客攻擊發(fā)生之時(shí)，受害方企事業(yè)單位可能處于非常危險(xiǎn)的境地而無所察覺，一些內(nèi)部部門人員的網(wǎng)絡(luò)安全意識(shí)也容易懈怠。但不論是內(nèi)部員工的疏忽還是管理上的大意，都可能給身在“暗處”的網(wǎng)絡(luò)犯罪分子以可乘之機(jī)。加上常規(guī)情況下，企事業(yè)單位的網(wǎng)絡(luò)安全事件并不常見，尤其是重大災(zāi)難性的網(wǎng)絡(luò)安全事故直接關(guān)系到企業(yè)的生存，更不是普通員工所了解的，因此網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的培訓(xùn)演練將對(duì)內(nèi)部管理人員、普通員工的網(wǎng)絡(luò)信息安全意識(shí)的提高非常重要。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第1頁。2、檢驗(yàn)預(yù)案的有效性為了使政府機(jī)構(gòu)和企事業(yè)單位的相關(guān)人員了解應(yīng)急響應(yīng)預(yù)案的內(nèi)容，熟悉應(yīng)急響應(yīng)預(yù)案的制定規(guī)則和實(shí)施流程，相關(guān)組織需要對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行培訓(xùn)，并通過演練來檢驗(yàn)所制定的應(yīng)急響應(yīng)預(yù)案的有效性，使之在真正應(yīng)對(duì)突發(fā)事件，如網(wǎng)絡(luò)入侵和攻擊等情況時(shí)，能夠臨危不亂，有效應(yīng)對(duì)。通過應(yīng)急演練，還可以發(fā)現(xiàn)應(yīng)急預(yù)案中存在的問題，在突發(fā)事件發(fā)生前暴露預(yù)案的缺點(diǎn)，驗(yàn)證預(yù)案在應(yīng)對(duì)可能出現(xiàn)的各種意外情況時(shí)所具備的適應(yīng)性，找出預(yù)案需要進(jìn)一步完善和修正的地方。3、提高整體作戰(zhàn)協(xié)調(diào)能力網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第2頁。應(yīng)急響應(yīng)預(yù)案的培訓(xùn)與演練能夠在提高相關(guān)人員的網(wǎng)絡(luò)安全意識(shí)的同時(shí)，培養(yǎng)相關(guān)人員之間、特別是跨部門人員之間的協(xié)調(diào)能力，并且能夠檢測(cè)應(yīng)急響應(yīng)工作的整體性、充分性和完整性。通過機(jī)構(gòu)內(nèi)部各個(gè)業(yè)務(wù)部門、職能部門、技術(shù)部門在模擬演練中實(shí)時(shí)磨合，提高各級(jí)領(lǐng)導(dǎo)者應(yīng)對(duì)突發(fā)事件的分析研判、決策指揮和組織協(xié)調(diào)能力，幫助應(yīng)急管理人員和各類救援人員熟悉突發(fā)事件情景，提高應(yīng)急熟練程度和實(shí)戰(zhàn)技能。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第2頁。網(wǎng)絡(luò)系統(tǒng)可能跨越不同地區(qū)、不同城市，甚至相隔幾千公里的省份，因此重視網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，并及時(shí)、適時(shí)加以培訓(xùn)和實(shí)戰(zhàn)演練，可以改善各應(yīng)急組織機(jī)構(gòu)、人員之間的交流溝通、協(xié)調(diào)合作，提升整體作戰(zhàn)的協(xié)調(diào)能力和水平。(二)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)應(yīng)急響應(yīng)預(yù)案的培訓(xùn)是為了更好地應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)狀況，實(shí)施演練計(jì)劃所做的每一項(xiàng)工作，其培訓(xùn)過程主要針對(duì)應(yīng)急預(yù)案涉及的相關(guān)內(nèi)容進(jìn)行培訓(xùn)學(xué)習(xí)。做好應(yīng)急預(yù)案的培訓(xùn)工作能使各級(jí)人員明確自身職責(zé)，是做好應(yīng)急響應(yīng)工作的基礎(chǔ)與前提。應(yīng)急響應(yīng)預(yù)案的培訓(xùn)分為以下幾個(gè)方面。1、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的要求應(yīng)急響應(yīng)預(yù)案制定后需要對(duì)相關(guān)人員進(jìn)行培訓(xùn)，規(guī)定好針對(duì)不同角色人員的培訓(xùn)計(jì)劃、培訓(xùn)方式，并對(duì)最后的培訓(xùn)結(jié)果進(jìn)行驗(yàn)收，同時(shí)，要對(duì)整體培訓(xùn)過程以及考核得分做出記錄。2、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的方式應(yīng)急響應(yīng)預(yù)案的培訓(xùn)可以采用多種方式，包括書籍閱讀、人工授課、視頻教學(xué)、開展培訓(xùn)班等。通過培訓(xùn)學(xué)習(xí)提高相關(guān)人員的網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)對(duì)于緊急網(wǎng)絡(luò)事件的應(yīng)變能力。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第3頁。3、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的范圍網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第3頁。(1)政府機(jī)構(gòu)人員:政府機(jī)構(gòu)網(wǎng)絡(luò)涉及重要資料數(shù)據(jù)甚至國(guó)家機(jī)密文件，對(duì)政府機(jī)構(gòu)人員的培訓(xùn)工作直接關(guān)系到國(guó)家安全。另外，在網(wǎng)絡(luò)救援實(shí)施過程中，需要政府相關(guān)部門起到領(lǐng)導(dǎo)決策作用，在救援行動(dòng)的關(guān)鍵節(jié)點(diǎn)給予批準(zhǔn)，并做好整體把關(guān)，因此對(duì)其培訓(xùn)工作尤為重要。(2)企業(yè)人員:全體員工都要進(jìn)行應(yīng)急響應(yīng)預(yù)案相關(guān)知識(shí)的培訓(xùn)學(xué)習(xí)，提高網(wǎng)絡(luò)安全意識(shí)，在網(wǎng)絡(luò)安全受到威脅時(shí)了解自身崗位職責(zé)，提高執(zhí)行能力。(3)專業(yè)應(yīng)急處理人員:突發(fā)網(wǎng)絡(luò)攻擊事件發(fā)生時(shí)，專業(yè)應(yīng)急處理人員是救援工作的主要力量，因此要大力加強(qiáng)其培訓(xùn)工作，使其學(xué)習(xí)更多網(wǎng)絡(luò)安全威脅處理措施，熟悉應(yīng)急響應(yīng)預(yù)案的步驟及崗位職責(zé)，切實(shí)做到臨危不亂，對(duì)緊急情況有效有序地處理，快速恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常狀態(tài)。4、應(yīng)急響應(yīng)預(yù)案培訓(xùn)的內(nèi)容學(xué)習(xí)網(wǎng)絡(luò)信息安全相關(guān)法規(guī)、條例、標(biāo)準(zhǔn)和安全知識(shí)，了解各種網(wǎng)絡(luò)惡意事件所造成的損害，學(xué)習(xí)不同級(jí)別事件的應(yīng)急策略和行動(dòng)計(jì)劃等。培訓(xùn)過程中可根據(jù)預(yù)案中人員角色等級(jí)，有針對(duì)性地對(duì)內(nèi)容進(jìn)行更改調(diào)整。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第4頁。(三)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案演練網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第4頁。制定好的應(yīng)急響應(yīng)預(yù)案，只做培訓(xùn)還不夠，還需要通過實(shí)戰(zhàn)演練來提高應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件的行動(dòng)力，針對(duì)網(wǎng)絡(luò)突發(fā)事件的假想情景，按照應(yīng)急響應(yīng)預(yù)案中規(guī)定的職責(zé)和程序來執(zhí)行應(yīng)急響應(yīng)任務(wù)。根據(jù)出現(xiàn)的新的網(wǎng)絡(luò)攻擊手段或其他特殊情況，不斷進(jìn)行預(yù)案的調(diào)整完善。1、應(yīng)急演練的作用應(yīng)急演練是對(duì)應(yīng)急響應(yīng)預(yù)案可行性的有效驗(yàn)證。通過演練可以檢驗(yàn)應(yīng)急響應(yīng)小組中每個(gè)成員對(duì)工作完成的熟練程度和相互配合能力，包括各個(gè)部門之間的配合、成員之間的協(xié)調(diào)。通過實(shí)戰(zhàn)練習(xí)積累經(jīng)驗(yàn)，對(duì)應(yīng)急響應(yīng)預(yù)案內(nèi)容不斷地充實(shí)和完善，使負(fù)責(zé)人員、執(zhí)行人員、應(yīng)急專業(yè)技術(shù)人員應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件的應(yīng)變能力得以提升，從而有條不紊地處理突發(fā)事件。2、應(yīng)急演練的組織實(shí)施應(yīng)急演練的組織工作由應(yīng)急小組指揮人員執(zhí)行，包括演練地段的選擇、保障物資與設(shè)備的準(zhǔn)備、人員任務(wù)的分配等。整個(gè)實(shí)施過程由應(yīng)急響應(yīng)執(zhí)行人員和記錄人員組成，按照應(yīng)急響應(yīng)預(yù)案計(jì)劃進(jìn)行準(zhǔn)備與實(shí)行。各級(jí)人員明確分工，并充分做好網(wǎng)絡(luò)恢復(fù)保障工作。演練可以采用對(duì)網(wǎng)絡(luò)系統(tǒng)或者主機(jī)進(jìn)行虛擬攻擊的方式，過程中要特別注意對(duì)這些危害的掌控。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第5頁。3、應(yīng)急演練的考核與總結(jié)網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第5頁。記錄人員對(duì)演練的每個(gè)環(huán)節(jié)都要做好記錄、資料收集和評(píng)價(jià)工作。對(duì)網(wǎng)絡(luò)突發(fā)事件處理過程中遇到的問題進(jìn)行分析匯總，并對(duì)每個(gè)崗位所在人員的表現(xiàn)進(jìn)行評(píng)測(cè)，演練完畢以后要對(duì)整個(gè)演練過程進(jìn)行總結(jié)，以不斷地改進(jìn)預(yù)案，驗(yàn)證可行性，更好地應(yīng)對(duì)在實(shí)際生活中可能發(fā)生的多種緊急情況。4、應(yīng)急演練的注意事項(xiàng)應(yīng)急演練時(shí)首先要制定一個(gè)適應(yīng)性計(jì)劃，在證明應(yīng)急響應(yīng)預(yù)案有效性的同時(shí)，保證網(wǎng)絡(luò)的安全，避免由于一次演練的失誤而造成真正的網(wǎng)絡(luò)攻擊，使政府或企業(yè)重要資料數(shù)據(jù)泄露或財(cái)產(chǎn)遭受損失。二、網(wǎng)絡(luò)安全應(yīng)急演練環(huán)境應(yīng)急演練的環(huán)境包括進(jìn)行應(yīng)急演練所需的文檔、人員和設(shè)備。完整的環(huán)境不僅保證了演練可以完整實(shí)施，也提升了該演練的效果。應(yīng)急演練的環(huán)境應(yīng)該盡可能與真實(shí)場(chǎng)景相同，人員參與盡可能全面，對(duì)應(yīng)急演練事件的記錄盡量詳細(xì)。通過已有的一些網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全應(yīng)急演練，可以對(duì)一般的環(huán)境進(jìn)行綜合和總結(jié)，設(shè)計(jì)出綜合的應(yīng)急演練環(huán)境。(一)網(wǎng)絡(luò)安全應(yīng)急演練文檔網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第6頁。應(yīng)急演練文檔是為了規(guī)范和記錄應(yīng)急演練事件，應(yīng)急演練文檔包括應(yīng)急演練方案、應(yīng)急通信錄以及應(yīng)急演練記錄表。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第6頁。1、應(yīng)急演練方案應(yīng)急演練方案是對(duì)每次應(yīng)急演練的部署和指導(dǎo)，該方案應(yīng)為每個(gè)參與應(yīng)急演練的人員所熟知。應(yīng)急演練方案應(yīng)包括以下內(nèi)容。(1)應(yīng)急演練的背景、目的和假設(shè)。這一部分應(yīng)對(duì)應(yīng)急演練進(jìn)行基本介紹，讓全體參與者對(duì)演練有初步的了解。(2)應(yīng)急演練流程。該部分通過流程圖的方式，明確整個(gè)事件流程、需要完成的任務(wù)、可能出現(xiàn)的情況等。流程圖可以對(duì)應(yīng)急演練進(jìn)行簡(jiǎn)明扼要的歸納。(3)網(wǎng)絡(luò)架構(gòu)圖、應(yīng)急恢復(fù)策略及應(yīng)急故障處理。這一部分為技術(shù)人員提供指引，包括熟知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及故障發(fā)生時(shí)所應(yīng)進(jìn)行的行動(dòng)。(4)事故上報(bào)模板、任務(wù)分配表以及崗位職責(zé)。這一部分明確了應(yīng)急演練中部門的職責(zé)和個(gè)人的任務(wù)，通過提供模板提高上報(bào)速度。2、應(yīng)急通信錄網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第7頁。應(yīng)急通信錄保證了當(dāng)發(fā)生事件時(shí)，每個(gè)涉事人員、部門和領(lǐng)導(dǎo)可以被聯(lián)絡(luò)到。應(yīng)急通信錄包括全員通信錄、關(guān)鍵電話線、設(shè)備供應(yīng)商通信錄和安全廠商通信錄。在進(jìn)行應(yīng)急演練中，通過全員通信錄，可以快速定位到個(gè)人;通過關(guān)鍵電話線，可以找到負(fù)責(zé)某一項(xiàng)工作的部門;如發(fā)生意外，通過設(shè)備供應(yīng)商通信錄和安全廠商通信錄，可以找到設(shè)備供應(yīng)商和有資質(zhì)的安全廠商，以避免造成不必要的損失。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第7頁。3、應(yīng)急演練記錄表應(yīng)急演練記錄表是指對(duì)應(yīng)急演練過程產(chǎn)生的相關(guān)數(shù)據(jù)進(jìn)行記錄，以備后期查詢、分析和總結(jié)。應(yīng)急演練記錄表包括響應(yīng)時(shí)間表、損失評(píng)估表等，對(duì)響應(yīng)的速度、應(yīng)急演練每一階段造成的損失進(jìn)行記錄。這些應(yīng)急演練記錄表是對(duì)本次應(yīng)急演練評(píng)估分析的重要依據(jù)，因此非常重要。以上為應(yīng)急演練基本文檔，在實(shí)際操作中可以根據(jù)實(shí)際情況進(jìn)行更改。(二)演練人員安排應(yīng)急演練的參與者可以分為3個(gè)層次:把握全局的領(lǐng)導(dǎo)層、具體執(zhí)行演練的實(shí)施層以及為演練提供支持的后勤層。1、領(lǐng)導(dǎo)層領(lǐng)導(dǎo)層對(duì)應(yīng)急演練的全局進(jìn)行把握，確定時(shí)間節(jié)點(diǎn)、具體方案、應(yīng)急演練實(shí)施的效果以及突發(fā)情況下的組織。同時(shí)對(duì)人員進(jìn)行調(diào)度，對(duì)資源進(jìn)行配置。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第8頁。2、實(shí)施層網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第8頁。實(shí)施層負(fù)責(zé)具體執(zhí)行應(yīng)急演練的任務(wù)，包括執(zhí)行應(yīng)急演練和后期運(yùn)維2個(gè)方面。應(yīng)急演練執(zhí)行小組對(duì)網(wǎng)絡(luò)行為、數(shù)據(jù)行為進(jìn)行分析，對(duì)痕跡進(jìn)行取證，對(duì)涉及的樣本進(jìn)行逆向分析，并且整理應(yīng)急演練的報(bào)告。后期運(yùn)維小組對(duì)應(yīng)急演練中的行為監(jiān)控，避免出現(xiàn)越權(quán)或破壞行為，應(yīng)急演練前對(duì)設(shè)備進(jìn)行管理，應(yīng)急演練后對(duì)造成的影響進(jìn)行恢復(fù)。3、后勤層后勤層人員對(duì)安全事件的影響進(jìn)行評(píng)估。后勤層在出現(xiàn)問題時(shí)進(jìn)行上下級(jí)和部門間的溝通，并與外界的廠商、安全機(jī)構(gòu)聯(lián)絡(luò)，確保應(yīng)急演練的實(shí)施全程溝通暢通。當(dāng)出現(xiàn)意外情況時(shí)，可以快速尋求幫助，為全員提供支持。(三)演練設(shè)備安排應(yīng)急演練的環(huán)境既要能夠與實(shí)際環(huán)境相匹配，又要保證演練事件不會(huì)對(duì)正常的工作造成影響，不會(huì)對(duì)正常的網(wǎng)絡(luò)造成破壞。因此對(duì)設(shè)備的安排要遵從以下幾點(diǎn)。1、應(yīng)急演練的環(huán)境應(yīng)盡量與實(shí)際環(huán)境相同網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第9頁。相似的人員結(jié)構(gòu)與拓?fù)浣Y(jié)構(gòu)可以提升演練在真實(shí)場(chǎng)景中的應(yīng)用。因此應(yīng)事先整理全局網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，并由此給出應(yīng)急演練的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。對(duì)于非保密、非重要、非關(guān)鍵節(jié)點(diǎn)可以考慮用真機(jī)進(jìn)行操作。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第9頁。2、使用虛擬設(shè)備實(shí)現(xiàn)邏輯隔離對(duì)于一些重要的節(jié)點(diǎn)，應(yīng)急演練可能對(duì)該節(jié)點(diǎn)造成一定的影響，因此要使用虛擬設(shè)備進(jìn)行隔離，避免造成不必要的損失。3、使用備用設(shè)備替代或進(jìn)行物理隔離對(duì)于關(guān)鍵節(jié)點(diǎn)要進(jìn)行物理隔離，同一位置可以使用其他物理設(shè)備進(jìn)行替代，在保證拓?fù)浣Y(jié)構(gòu)完整的同時(shí)，對(duì)這些位置進(jìn)行保護(hù)。三、演練示例--以企業(yè)為例以企業(yè)網(wǎng)絡(luò)應(yīng)急響應(yīng)為例，將企業(yè)網(wǎng)絡(luò)安全應(yīng)急演練的大致過程逐一呈現(xiàn)，分為演練準(zhǔn)備、演練步驟、其他相關(guān)保障3個(gè)部分。(一)演練準(zhǔn)備在網(wǎng)絡(luò)安全應(yīng)急演練之前，需要理解和熟悉應(yīng)急響應(yīng)預(yù)案的背景或相關(guān)信息;組織專門隊(duì)伍，明確職責(zé)定位;同時(shí)還需對(duì)接企業(yè)既有的預(yù)防監(jiān)控制度。1、熟悉預(yù)案，理解演練內(nèi)容主要目的是使該應(yīng)急響應(yīng)預(yù)案更容易理解、實(shí)施和后期維護(hù)。通常在這部分內(nèi)容中主要包括背景、目的、適用范圍及影響情況等。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第10頁。(1)背景:介紹該預(yù)案的背景信息，并說明其啟動(dòng)響應(yīng)預(yù)案的原因及受影響的層面。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第10頁。(2)目的:介紹該預(yù)案的最終完成目標(biāo)。(3)適用范圍:介紹該預(yù)案涉及的范圍，確定該預(yù)案能夠解決哪些問題，以及不能夠解決哪些問題等。2、人員配置及職責(zé)企事業(yè)單位應(yīng)急響應(yīng)工作演練組織架構(gòu)按照人員的職能劃分為4個(gè)功能小組:領(lǐng)導(dǎo)小組、IT支撐實(shí)施小組、后期運(yùn)維小組及公關(guān)外聯(lián)小組。在發(fā)生網(wǎng)絡(luò)突發(fā)事件后，在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下，各個(gè)應(yīng)急響應(yīng)小組的成員各司其職，并嚴(yán)格按照應(yīng)急響應(yīng)計(jì)劃組織實(shí)施應(yīng)急響應(yīng)的工作。(1)領(lǐng)導(dǎo)小組職能:領(lǐng)導(dǎo)預(yù)案的實(shí)施與監(jiān)督，例如由企業(yè)一把手擔(dān)任組長(zhǎng)。(2)IT支撐實(shí)施小組職能:聯(lián)合業(yè)務(wù)線負(fù)責(zé)人、IT技術(shù)支撐人員、外部技術(shù)專家和外部顧問，共同執(zhí)行相關(guān)事故檢測(cè)、抑制、根除、恢復(fù)、跟進(jìn)等任務(wù)。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第11頁。(3)后期運(yùn)維小組職能:實(shí)際上也是上述IT支撐實(shí)施小組的組成分支之一，但更加注重處理“跟進(jìn)階段”的事宜，主要包括監(jiān)控各個(gè)提醒日志、權(quán)限管理、設(shè)備管理等，評(píng)估事件發(fā)生后的損失，并做好后方物質(zhì)保障。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第11頁。(4)公關(guān)外聯(lián)小組職能:在需要的情況下，負(fù)責(zé)對(duì)外溝通、互動(dòng)，回應(yīng)公共輿論或網(wǎng)民的關(guān)切;特殊情況還要向主管部門、公安部門通報(bào)情況;如果是內(nèi)部可以處理，并未對(duì)公共互聯(lián)網(wǎng)和客戶造成明顯影響，那么公關(guān)外聯(lián)小組可以對(duì)內(nèi)發(fā)布消息，報(bào)告事實(shí)經(jīng)過即可。整個(gè)應(yīng)急響應(yīng)組織內(nèi)的人員需要具備良好的管理技能，不同程度的專業(yè)技能，保持團(tuán)隊(duì)合作精神，保障各個(gè)小組在事件發(fā)生時(shí)合理分工，建立起各個(gè)應(yīng)急響應(yīng)小組在突發(fā)狀況下的恢復(fù)控制能力。3、對(duì)接預(yù)防監(jiān)控制度為維護(hù)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全性和穩(wěn)定性，企業(yè)一般實(shí)行日常實(shí)時(shí)監(jiān)控制度，出現(xiàn)異?；驁?bào)警情況及時(shí)上報(bào)給網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組，由相關(guān)人員檢查處理，將事故消滅在萌芽狀態(tài)。因此，在應(yīng)急演練將要正式開始執(zhí)行時(shí)，須對(duì)接好常規(guī)網(wǎng)絡(luò)維護(hù)、預(yù)防監(jiān)控等制度。同時(shí)應(yīng)急響應(yīng)小組中的相關(guān)人員要定期檢查網(wǎng)絡(luò)日志，加強(qiáng)對(duì)網(wǎng)絡(luò)安全防護(hù)和應(yīng)急準(zhǔn)備工作的監(jiān)督檢查，保障網(wǎng)絡(luò)系統(tǒng)的安全暢通，隨時(shí)準(zhǔn)備發(fā)現(xiàn)網(wǎng)絡(luò)安全問題、啟動(dòng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。(二)演練步驟網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第12頁。1、應(yīng)急事件通報(bào)網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第12頁。應(yīng)急響應(yīng)實(shí)施后，發(fā)現(xiàn)網(wǎng)絡(luò)故障的相關(guān)人員有責(zé)任將情況進(jìn)行匯報(bào)。上報(bào)分為兩種情況:正常工作時(shí)間的突發(fā)事件的報(bào)告，根據(jù)報(bào)告流程，向直屬領(lǐng)導(dǎo)匯報(bào)，并通知應(yīng)急小組相關(guān)負(fù)責(zé)人;非工作時(shí)間的突發(fā)事件報(bào)告，通知應(yīng)急小組值班人員，值班人員及時(shí)備案，并盡量聯(lián)系維修人員做臨時(shí)的網(wǎng)絡(luò)維護(hù)。2、確定應(yīng)急事件優(yōu)先級(jí)這里我們假設(shè)企業(yè)按照應(yīng)急響應(yīng)四級(jí)的分類標(biāo)準(zhǔn)定級(jí)，但每個(gè)分級(jí)下的指標(biāo)可以由企業(yè)根據(jù)自己的業(yè)務(wù)特點(diǎn)和性質(zhì)加以限定。下面的指標(biāo)參數(shù)標(biāo)準(zhǔn)可作參考。(1)通過對(duì)突發(fā)事件的預(yù)警評(píng)估，突發(fā)事件符合以下一項(xiàng)或多項(xiàng)標(biāo)準(zhǔn)時(shí)，將突發(fā)事件性質(zhì)定義為重大突發(fā)事件(Ⅰ級(jí))。1)網(wǎng)絡(luò)系統(tǒng)中斷時(shí)間超過4h。2)其他關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時(shí)間超過8h。3)受影響的業(yè)務(wù)范圍超過總量50%。4)超過60min以上的關(guān)鍵實(shí)時(shí)數(shù)據(jù)破壞或丟失。5)關(guān)鍵機(jī)房無法進(jìn)入時(shí)間超過12h。6)關(guān)鍵機(jī)房無法提供正常服務(wù)時(shí)間超過24h。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第13頁。7)其他滿足重大突發(fā)事件(Ⅰ級(jí))特征的突發(fā)事件。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第13頁。(2)通過對(duì)突發(fā)事件的預(yù)警評(píng)估，突發(fā)事件符合以下一項(xiàng)或多項(xiàng)標(biāo)準(zhǔn)時(shí)，將突發(fā)事件性質(zhì)定義為較大突發(fā)事件(Ⅱ級(jí))。1)網(wǎng)絡(luò)系統(tǒng)中斷時(shí)間超過2h。2)其他關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時(shí)間超過4h。3)受影響的業(yè)務(wù)范圍超過總量30%。4)超過30min以上的關(guān)鍵實(shí)時(shí)數(shù)據(jù)破壞或丟失。5)關(guān)鍵機(jī)房無法進(jìn)入時(shí)間超過4h。6)關(guān)鍵機(jī)房無法提供正常服務(wù)時(shí)間超過12h。7)其他滿足較大突發(fā)事件(Ⅱ級(jí))特征的突發(fā)事件。(3)通過對(duì)突發(fā)事件的預(yù)警評(píng)估，突發(fā)事件符合以下一項(xiàng)或多項(xiàng)標(biāo)準(zhǔn)時(shí)，將突發(fā)事件性質(zhì)定義為一般突發(fā)事件(Ⅲ級(jí))。1)主要系統(tǒng)部分中斷超過2h。2)關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時(shí)間超過4h(受影響的業(yè)務(wù)范圍超過總量10%)。3)超過5min以上的關(guān)鍵實(shí)時(shí)數(shù)據(jù)破壞或丟失。4)關(guān)鍵機(jī)房無法進(jìn)入時(shí)間超過30min。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第14頁。5)關(guān)鍵機(jī)房無法提供正常服務(wù)時(shí)間超過4h。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第14頁。6)其他滿足一般突發(fā)事件(Ⅲ級(jí))特征的突發(fā)事件。3、應(yīng)急響應(yīng)啟動(dòng)實(shí)施(1)重大突發(fā)事件(Ⅰ級(jí))處置的指揮權(quán)限。1)組織處置:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2)突發(fā)事件處置方案:應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理。3)災(zāi)難宣告:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動(dòng)網(wǎng)絡(luò)恢復(fù)行動(dòng)，負(fù)責(zé)決策是否啟動(dòng)Ⅰ級(jí)恢復(fù)預(yù)案。4)事件評(píng)級(jí)、事件升級(jí)預(yù)警:應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，并報(bào)領(lǐng)導(dǎo)小組批準(zhǔn)。5)事件降級(jí):應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)批準(zhǔn)。6)事件報(bào)告:由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組報(bào)告。(2)重大突發(fā)事件(Ⅰ級(jí))的主要恢復(fù)策略包括以下五點(diǎn)。1)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組立即啟動(dòng)緊急指揮中心，進(jìn)行指揮部署。2)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組通知和調(diào)動(dòng)所有應(yīng)急響應(yīng)IT支撐實(shí)施團(tuán)隊(duì)。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第15頁。3)應(yīng)急響應(yīng)后期運(yùn)維小組調(diào)動(dòng)所有備用處理設(shè)備。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第15頁。4)網(wǎng)絡(luò)恢復(fù)行動(dòng)立即準(zhǔn)備就緒，人員到位，所有服務(wù)和設(shè)施立即現(xiàn)場(chǎng)激活。5)IT支撐實(shí)施小組接收到事件報(bào)告后，立即調(diào)動(dòng)后期小組做好備份工作，同時(shí)應(yīng)急響應(yīng)IT支撐實(shí)施小組各個(gè)人員實(shí)施網(wǎng)絡(luò)救援工作。(3)較大突發(fā)事件(Ⅱ級(jí))處置的指揮權(quán)限。1)組織處置:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2)突發(fā)事件處置方案:應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理。3)災(zāi)難宣告:由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動(dòng)備份，負(fù)責(zé)決策啟動(dòng)Ⅱ級(jí)恢復(fù)預(yù)案。4)事件評(píng)級(jí)、事件升級(jí)預(yù)警:應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，并報(bào)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)，如果事件的嚴(yán)重性超過Ⅱ級(jí)但尚未達(dá)到Ⅰ級(jí)，按相對(duì)高一級(jí)突發(fā)事件處理。5)事件降級(jí):應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)批準(zhǔn)。6)事件報(bào)告:由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向領(lǐng)導(dǎo)小組報(bào)告。(4)較大突發(fā)事件(Ⅱ級(jí))的主要恢復(fù)策略包括以下幾個(gè)方面。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第16頁。1)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組指揮工作啟動(dòng)。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第16頁。2)應(yīng)急響應(yīng)外聯(lián)小組根據(jù)預(yù)先確定的降級(jí)策略和應(yīng)用優(yōu)先級(jí)，對(duì)網(wǎng)絡(luò)系統(tǒng)服務(wù)水平和持續(xù)時(shí)間進(jìn)行評(píng)估。3)制定本地網(wǎng)絡(luò)恢復(fù)和降級(jí)策略，首先組織應(yīng)急響應(yīng)IT支撐實(shí)施小組進(jìn)行現(xiàn)場(chǎng)恢復(fù)。4)將事件的嚴(yán)重性和緊急情況的預(yù)計(jì)持續(xù)時(shí)間通知應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，決定是否部分啟動(dòng)備用網(wǎng)絡(luò)恢復(fù)服務(wù)。5)IT支撐實(shí)施小組相關(guān)人員立即準(zhǔn)備就緒，人員到位。6)公關(guān)外聯(lián)小組對(duì)事件嚴(yán)重性和緊急情況評(píng)估結(jié)果上報(bào)，實(shí)施小組接到上報(bào)結(jié)果后，再激活所有服務(wù)和設(shè)施。7)IT支撐實(shí)施小組與后期運(yùn)維小組根據(jù)部分接管的策略，啟動(dòng)相應(yīng)的接管程序。(5)一般突發(fā)事件(Ⅲ級(jí))處置的指揮權(quán)限。1)組織處置:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2)突發(fā)事件處置方案:應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第17頁。3)災(zāi)難宣告:由公關(guān)外聯(lián)小組報(bào)告后，領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動(dòng)Ⅲ級(jí)恢復(fù)預(yù)案。網(wǎng)絡(luò)安全應(yīng)急演練全文共20頁，當(dāng)前為第17頁。4)事件評(píng)級(jí)、事件升級(jí)預(yù)警:應(yīng)急響應(yīng)后期運(yùn)維小組負(fù)責(zé)評(píng)估。如果事件的嚴(yán)重性超過Ⅲ級(jí)但尚未達(dá)到Ⅱ級(jí)，按相對(duì)高一級(jí)突發(fā)事件處理。5)事件降級(jí):應(yīng)急響應(yīng)后期運(yùn)維小組負(fù)責(zé)評(píng)估。6)事件報(bào)告:由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向領(lǐng)導(dǎo)小組報(bào)告。(6)一般突發(fā)事件(Ⅲ級(jí))的主要恢復(fù)策略:通過日常監(jiān)測(cè)和網(wǎng)絡(luò)維護(hù)就可以解決的網(wǎng)絡(luò)安全問題可不啟動(dòng)應(yīng)急響應(yīng)，由應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理，并恢復(fù)系統(tǒng)即可。4、應(yīng)急響應(yīng)事件后期運(yùn)維應(yīng)急響應(yīng)處理過程完畢之后，各部門要做好后期保護(hù)檢查工作，防止故障再次發(fā)生。后期運(yùn)維小組要定期檢查各個(gè)提醒日志，監(jiān)控網(wǎng)絡(luò)狀態(tài)，檢查設(shè)備的完好性，并且組織實(shí)施網(wǎng)絡(luò)恢復(fù)和系統(tǒng)重建工作。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組織其他小組通知相關(guān)恢復(fù)團(tuán)隊(duì)和用戶部門，評(píng)估預(yù)計(jì)時(shí)間內(nèi)的網(wǎng)絡(luò)恢復(fù)情況，恢復(fù)網(wǎng)絡(luò)服務(wù)環(huán)境，不影響業(yè)務(wù)的正常進(jìn)行。事件發(fā)生的所有情況都要記錄到文檔并形成報(bào)告上報(bào)給企業(yè)內(nèi)部上級(jí)部門。5、更新現(xiàn)有應(yīng)急預(yù)案網(wǎng)絡(luò)安