0
前言
以“網絡安全為人民,網絡安全靠人民”為主題的第四屆國家網絡安全宣傳周結束了,但是作為一名網絡安全從業者,我們的責任與義務遠不止於參與各種安全周之中的活動而已。提升全民的網絡安全意識、普及《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、提供網絡安全相關咨詢服務將是我們常態化的工作。網絡安全工作無小事,依法進行演練有指南,小編將分享一些開展網絡安全事件應急演練工作的理解與體會,希望能對近期計划進行網絡安全事件應急演練的朋友有所幫助。
背景與意義
《網絡安全法》作為我國網絡空間安全管理的基本法律,框架性地構建了許多法律制度和要求,重點包括網絡信息內容管理制度、網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、網絡安全審查、個人信息和重要數據保護制度、數據出境安全評估、網絡關鍵設備和網絡安全專用產品安全管理制度、 網絡安全事件應對制度等。
截止到現在關於網絡安全事件管理制度有如下7個。
關於網絡安全事件應急演練,在《網絡安全法》中有如下要求:
第三十四條規定,制定網絡安全事件應急預案,並定期進行演練是關鍵信息基礎設施的運營者應當履行安全保護義務之一。
第三十九條規定 定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力,是國家網信部門統籌協調有關部門對關鍵信息基礎設施的安全保護措施之一。
第五十三條規定,負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案,並定期組織演練。
見之於未萌,識之於未發。網絡安全保障工作應按照“預防為主,積極處置”的原則,完善應急處置機制,提高人員安全意識與突發事件的應急處置能力,有序高效處理網絡與信息安全突發事件,保障重要信息系統安全、穩定、持續運行,最大限度地減少信息安全突發事件帶來的影響。
應急演練三步走
step 1:參照《國家網絡安全事件應急預案》制訂本單位預案
2017年6月27日,中央網信辦發布了關於印發《國家網絡安全事件應急預案》的通知(中網辦發文【2017】4號),給各單位制定或修訂本地區、本部門、本行業、本單位網絡安全事件應急預案提供了范本。在《國家網絡安全事件應急預案》中描述了應急預案的關鍵因素,如機構職責、應急外置、預防工作、調查評估、監測預警、保障措施等,同時也介紹了網絡安全事件分級與網絡和信息系統損失程度划分的定義,並要求每年對預案進行一次評估。
step 2:參照《網絡安全事件應急演練指南》落實演練方案
目前,網絡安全事件應急演練指南比較權威的有兩個,一個是信安標委WG7組編寫的《網絡安全事件應急演練通用指南》(征求意見稿),另一個是網信辦編寫的《網絡安全事件應急演練指南》(試行)。這里統稱為《指南》。
通過《指南》我們可以對網絡安全事件應急演練的分類、組織機構、工作方案、腳本、流程、評估方案、保障措施等細節內容要求有進一步了解並可參照《指南》進行編寫。同時《指南》也提供了應急演練中安全事件模擬、演練執行、演練過程和結果記錄、演練結果和過程評估,總結演練效果,改進演練的方法與文檔模板。
下面對演練工作的流程、演練場景庫、演練分類進行簡單的介紹。如需詳細了解《指南》內容,可通過下面的網盤鏈接下載。
鏈接: https://pan.baidu.com/s/1pLwpe2Z 密碼: b1ub
附1:演練工作流程圖及分項細化工作
附2:演練場景庫(詳細描述見指南)
| 網絡安全事件類型 | 子類型 |
|---|---|
| 計算機病毒事件事件 |
有害程序事件 |
| 蠕蟲事件 | |
| 特洛伊木馬事件 | |
| 僵屍網絡事件 | |
| 混合攻擊程序事件 | |
| 網頁內嵌惡意代碼 | |
| 其他有害程序事件 | |
|
拒絕服務攻擊事件 |
網絡攻擊事件 |
| 后門攻擊事件 | |
| 漏洞攻擊事件 | |
| 網絡掃描竊聽事件 | |
| 網絡釣魚事件 | |
| 干擾事件 | |
| 其他網絡攻擊事件 | |
| 信息篡改事件 |
信息破壞事件 |
| 信息假冒事件 | |
| 信息泄露事件 | |
| 信息竊取事件 | |
| 信息丟失事件 | |
| 其他信息破壞事件 | |
| 軟硬件自身故障 |
設備設施故障 |
| 外圍保障設施故障 | |
| 人為破壞事故 | |
| 其他設備設施故障 | |
| 不可抗力對信息系統造成物理破壞而導致的網絡安全事件 | 災害性事件 |
| 是指不能歸為以上基本分類的網絡安全事件 | 其他事件 |
附3:演練分類
按組織形分:桌面推演(事先假定的情景,主要提高指揮決策和協同配合能力)、實戰演練(實戰應急響應,主要提高臨場組織指揮、處置與保障能力。可分為指定科目或預先不告知科目兩類)。
按內容分:專項演練(注重一個或少數幾個部門的特定環節)、綜合演練(注重多環節,檢驗聯合應對能力)。
按目的作用分:檢驗性驗練、示范性演練、研究性演練。
按組織范圍分:機構內部演練、行業內部演練、跨行業演練、地域性演練、跨地域演練。
step 3:正式演練與總結
當完成演練后,可參照《指南》由演練策划組根據演練記錄、演練評估報告、應急預案、現場總結等材料,對演練進行系統和全面的總結,並形成演練總結報告。演練參與單位也可對本單位的演練情況進行總結。
演練總結報告的內容包括:演練目的、時間和地點、參演單位和人員、演練方案概要、發現的問題與原因、經驗和教訓,以及改進有關工作的建議等。
要完成一次演練,雖然只有三步,但你是不是已經感覺到要做好網絡安全演練是一件非常繁瑣的事情。光光看一本61頁《指南》就頭大了,還要去參照《指南》的12個附件編寫計划、方案、劇本、記錄單、評估單、宣傳、總結、報告、最后進行歸檔,那會是一次多么痛的領悟啊。專業的人做專業的事,把網絡安全演練外包吧。