網(wǎng)絡(luò)安全應(yīng)急演練

1、網(wǎng)絡(luò)安全應(yīng)急演練一、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)與演練網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和一般意義的突發(fā)公共事件應(yīng)急響應(yīng)一樣， 也需要對制定的應(yīng)急響應(yīng)方案“勤加演練”，以鞏固能力、磨煉意 志、鍛煉隊(duì)伍。網(wǎng)絡(luò)攻擊等緊急事件的發(fā)生，往往會擾亂正常的網(wǎng) 絡(luò)秩序，影響網(wǎng)絡(luò)辦公系統(tǒng)的正常運(yùn)行，使網(wǎng)絡(luò)安全受到威脅，造 成如網(wǎng)絡(luò)癱瘓、數(shù)據(jù)被竊取或丟失等后果，甚至更嚴(yán)重的損失。因 此，在應(yīng)急響應(yīng)預(yù)案制定以后，有組織有規(guī)劃地模擬演練具有至關(guān) 重要的作用。只有經(jīng)過網(wǎng)絡(luò)安全應(yīng)急預(yù)案的扎實(shí)培訓(xùn)與演練，才能 在遇到網(wǎng)絡(luò)突發(fā)事件時(shí)，及時(shí)有效地對事件做出響應(yīng)，切實(shí)履行應(yīng) 急響應(yīng)預(yù)案內(nèi)容，準(zhǔn)確給出應(yīng)急處理方法，將危害降到最低。（一）網(wǎng)絡(luò)安全應(yīng)急響

2、應(yīng)預(yù)案培訓(xùn)與演練目的增強(qiáng)網(wǎng)絡(luò)安全意識網(wǎng)絡(luò)安全事故隱患往往“生成”于無形。例如，漏洞或黑客攻 擊發(fā)生之時(shí)，受害方企事業(yè)單位可能處于非常危險(xiǎn)的境地而無所察 覺，一些內(nèi)部部門人員的網(wǎng)絡(luò)安全意識也容易懈怠。但不論是內(nèi)部 員工的疏忽還是管理上的大意，都可能給身在“暗處”的網(wǎng)絡(luò)犯罪 分子以可乘之機(jī)。加上常規(guī)情況下，企事業(yè)單位的網(wǎng)絡(luò)安全事件并 不常見，尤其是重大災(zāi)難性的網(wǎng)絡(luò)安全事故直接關(guān)系到企業(yè)的生存,更不是普通員工所了解的，因此網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的培訓(xùn)演練將對 內(nèi)部管理人員、普通員工的網(wǎng)絡(luò)信息安全意識的提高非常重要。檢驗(yàn)預(yù)案的有效性為了使政府機(jī)構(gòu)和企事業(yè)單位的相關(guān)人員了解應(yīng)急響應(yīng)預(yù)案的 內(nèi)容，熟悉應(yīng)急響應(yīng)預(yù)

3、案的制定規(guī)則和實(shí)施流程，相關(guān)組織需要對 應(yīng)急響應(yīng)預(yù)案進(jìn)行培訓(xùn)，并通過演練來檢驗(yàn)所制定的應(yīng)急響應(yīng)預(yù)案 的有效性，使之在真正應(yīng)對突發(fā)事件，如網(wǎng)絡(luò)入侵和攻擊等情況時(shí)， 能夠臨危不亂，有效應(yīng)對。通過應(yīng)急演練，還可以發(fā)現(xiàn)應(yīng)急預(yù)案中 存在的問題，在突發(fā)事件發(fā)生前暴露預(yù)案的缺點(diǎn)，驗(yàn)證預(yù)案在應(yīng)對 可能出現(xiàn)的各種意外情況時(shí)所具備的適應(yīng)性，找出預(yù)案需要進(jìn)一步 完善和修正的地方。3、提高整體作戰(zhàn)協(xié)調(diào)能力應(yīng)急響應(yīng)預(yù)案的培訓(xùn)與演練能夠在提高相關(guān)人員的網(wǎng)絡(luò)安全意 識的同時(shí)，培養(yǎng)相關(guān)人員之間、特別是跨部門人員之間的協(xié)調(diào)能力， 并且能夠檢測應(yīng)急響應(yīng)工作的整體性、充分性和完整性。通過機(jī)構(gòu) 內(nèi)部各個(gè)業(yè)務(wù)部門、職能部門、技術(shù)部門在

4、模擬演練中實(shí)時(shí)磨合， 提高各級領(lǐng)導(dǎo)者應(yīng)對突發(fā)事件的分析研判、決策指揮和組織協(xié)調(diào)能 力，幫助應(yīng)急管理人員和各類救援人員熟悉突發(fā)事件情景，提高應(yīng) 急熟練程度和實(shí)戰(zhàn)技能。網(wǎng)絡(luò)系統(tǒng)可能跨越不同地區(qū)、不同城市，甚至相隔幾千公里的 省份，因此重視網(wǎng)絡(luò)安全應(yīng)急響應(yīng)，并及時(shí)、適時(shí)加以培訓(xùn)和實(shí)戰(zhàn) 演練，可以改善各應(yīng)急組織機(jī)構(gòu)、人員之間的交流溝通、協(xié)調(diào)合作， 提升整體作戰(zhàn)的協(xié)調(diào)能力和水平。（二）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案培訓(xùn)應(yīng)急響應(yīng)預(yù)案的培訓(xùn)是為了更好地應(yīng)對網(wǎng)絡(luò)突發(fā)狀況，實(shí)施演 練計(jì)劃所做的每一項(xiàng)工作，其培訓(xùn)過程主要針對應(yīng)急預(yù)案涉及的相 關(guān)內(nèi)容進(jìn)行培訓(xùn)學(xué)習(xí)。做好應(yīng)急預(yù)案的培訓(xùn)工作能使各級人員明確 自身職責(zé)，是做好應(yīng)急響

5、應(yīng)工作的基礎(chǔ)與前提。應(yīng)急響應(yīng)預(yù)案的培 訓(xùn)分為以下幾個(gè)方面。應(yīng)急響應(yīng)預(yù)案培訓(xùn)的要求應(yīng)急響應(yīng)預(yù)案制定后需要對相關(guān)人員進(jìn)行培訓(xùn)，規(guī)定好針對不 同角色人員的培訓(xùn)計(jì)劃、培訓(xùn)方式，并對最后的培訓(xùn)結(jié)果進(jìn)行驗(yàn)收， 同時(shí)，要對整體培訓(xùn)過程以及考核得分做出記錄。應(yīng)急響應(yīng)預(yù)案培訓(xùn)的方式應(yīng)急響應(yīng)預(yù)案的培訓(xùn)可以采用多種方式，包括書籍閱讀、人工 授課、視頻教學(xué)、開展培訓(xùn)班等。通過培訓(xùn)學(xué)習(xí)提高相關(guān)人員的網(wǎng) 絡(luò)安全意識，加強(qiáng)對于緊急網(wǎng)絡(luò)事件的應(yīng)變能力。3應(yīng)急響應(yīng)預(yù)案培訓(xùn)的范政府機(jī)構(gòu)人員:政府機(jī)構(gòu)網(wǎng)絡(luò)涉及重要資料數(shù)據(jù)甚至國家機(jī) 密文件，對政府機(jī)構(gòu)人員的培訓(xùn)工作直接關(guān)系到國家安全。另外， 在網(wǎng)絡(luò)救援實(shí)施過程中，需要政府相關(guān)部門起

6、到領(lǐng)導(dǎo)決策作用，在 救援行動的關(guān)鍵節(jié)點(diǎn)給予批準(zhǔn)，并做好整體把關(guān)，因此對其培訓(xùn)工 作尤為重要。企業(yè)人員:全體員工都要進(jìn)行應(yīng)急響應(yīng)預(yù)案相關(guān)知識的培訓(xùn) 學(xué)習(xí)，提高網(wǎng)絡(luò)安全意識，在網(wǎng)絡(luò)安全受到威脅時(shí)了解自身崗位職 責(zé)，提高執(zhí)行能力。專業(yè)應(yīng)急處理人員:突發(fā)網(wǎng)絡(luò)攻擊事件發(fā)生時(shí)，專業(yè)應(yīng)急處理 人員是救援工作的主要力量，因此要大力加強(qiáng)其培訓(xùn)工作，使其學(xué) 習(xí)更多網(wǎng)絡(luò)安全威脅處理措施，熟悉應(yīng)急響應(yīng)預(yù)案的步驟及崗位職 責(zé)，切實(shí)做到臨危不亂，對緊急情況有效有序地處理，快速恢復(fù)網(wǎng) 絡(luò)系統(tǒng)正常狀態(tài)。應(yīng)急響應(yīng)預(yù)案培訓(xùn)的內(nèi)容學(xué)習(xí)網(wǎng)絡(luò)信息安全相關(guān)法規(guī)、條例、標(biāo)準(zhǔn)和安全知識，了解各 種網(wǎng)絡(luò)惡意事件所造成的損害，學(xué)習(xí)不同級別事件的

7、應(yīng)急策略和行 動計(jì)劃等。培訓(xùn)過程中可根據(jù)預(yù)案中人員角色等級，有針對性地對 內(nèi)容進(jìn)行更改調(diào)整。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案演練制定好的應(yīng)急響應(yīng)預(yù)案，只做培訓(xùn)還不夠，還需要通過實(shí)戰(zhàn)演 練來提高應(yīng)對網(wǎng)絡(luò)突發(fā)事件的行動力，針對網(wǎng)絡(luò)突發(fā)事件的假想情 景，按照應(yīng)急響應(yīng)預(yù)案中規(guī)定的職責(zé)和程序來執(zhí)行應(yīng)急響應(yīng)任務(wù)。根據(jù)出現(xiàn)的新的網(wǎng)絡(luò)攻擊手段或其他特殊情況，不斷進(jìn)行預(yù)案的調(diào) 整完善。應(yīng)急演練的作用應(yīng)急演練是對應(yīng)急響應(yīng)預(yù)案可行性的有效驗(yàn)證。通過演練可以 檢驗(yàn)應(yīng)急響應(yīng)小組中每個(gè)成員對工作完成的熟練程度和相互配合能 力，包括各個(gè)部門之間的配合、成員之間的協(xié)調(diào)。通過實(shí)戰(zhàn)練習(xí)積 累經(jīng)驗(yàn)，對應(yīng)急響應(yīng)預(yù)案內(nèi)容不斷地充實(shí)和完善，使負(fù)責(zé)人

8、員、執(zhí) 行人員、應(yīng)急專業(yè)技術(shù)人員應(yīng)對網(wǎng)絡(luò)突發(fā)事件的應(yīng)變能力得以提升， 從而有條不紊地處理突發(fā)事件。應(yīng)急演練的組織實(shí)施應(yīng)急演練的組織工作由應(yīng)急小組指揮人員執(zhí)行，包括演練地段 的選擇、保障物資與設(shè)備的準(zhǔn)備、人員任務(wù)的分配等。整個(gè)實(shí)施過 程由應(yīng)急響應(yīng)執(zhí)行人員和記錄人員組成，按照應(yīng)急響應(yīng)預(yù)案計(jì)劃進(jìn) 行準(zhǔn)備與實(shí)行。各級人員明確分工，并充分做好網(wǎng)絡(luò)恢復(fù)保障工作。 演練可以采用對網(wǎng)絡(luò)系統(tǒng)或者主機(jī)進(jìn)行虛擬攻擊的方式，過程中要 特別注意對這些危害的掌控。應(yīng)急演練的考核與總結(jié)記錄人員對演練的每個(gè)環(huán)節(jié)都要做好記錄、資料收集和評價(jià)工 作。對網(wǎng)絡(luò)突發(fā)事件處理過程中遇到的問題進(jìn)行分析匯總，并對每 個(gè)崗位所在人員的表現(xiàn)進(jìn)行

9、評測，演練完畢以后要對整個(gè)演練過程 進(jìn)行總結(jié)，以不斷地改進(jìn)預(yù)案，驗(yàn)證可行性，更好地應(yīng)對在實(shí)際生 活中可能發(fā)生的多種緊急情況。應(yīng)急演練的注意事項(xiàng)應(yīng)急演練時(shí)首先要制定一個(gè)適應(yīng)性計(jì)劃，在證明應(yīng)急響應(yīng)預(yù)案 有效性的同時(shí)，保證網(wǎng)絡(luò)的安全，避免由于一次演練的失誤而造成 真正的網(wǎng)絡(luò)攻擊，使政府或企業(yè)重要資料數(shù)據(jù)泄露或財(cái)產(chǎn)遭受損失。二網(wǎng)絡(luò)安全應(yīng)急演練環(huán)境應(yīng)急演練的環(huán)境包括進(jìn)行應(yīng)急演練所需的文檔、人員和設(shè)備。完整 的環(huán)境不僅保證了演練可以完整實(shí)施，也提升了該演練的效果。應(yīng) 急演練的環(huán)境應(yīng)該盡可能與真實(shí)場景相同，人員參與盡可能全面， 對應(yīng)急演練事件的記錄盡量詳細(xì)。通過已有的一些網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全應(yīng)急演練，可以

10、對一 般的環(huán)境進(jìn)行綜合和總結(jié)，設(shè)計(jì)出綜合的應(yīng)急演練環(huán)境。網(wǎng)絡(luò)安全應(yīng)急演練文檔應(yīng)急演練文檔是為了規(guī)范和記錄應(yīng)急演練事件，應(yīng)急演練文檔 包括應(yīng)急演練方案、應(yīng)急通信錄以及應(yīng)急演練記錄表。應(yīng)急演練方案應(yīng)急演練方案是對每次應(yīng)急演練的部署和指導(dǎo)，該方案應(yīng)為每 個(gè)參與應(yīng)急演練的人員所熟知。應(yīng)急演練方案應(yīng)包括以下內(nèi)容。應(yīng)急演練的背景、目的和假設(shè)。這一部分應(yīng)對應(yīng)急演練進(jìn)行基本 介紹，讓全體參與者對演練有初步的了解。應(yīng)急演練流程。該部分通過流程圖的方式，明確整個(gè)事件流程、 需要完成的任務(wù)、可能出現(xiàn)的情況等。流程圖可以對應(yīng)急演練進(jìn)行 簡明扼要的歸納。網(wǎng)絡(luò)架構(gòu)圖、應(yīng)急恢復(fù)策略及應(yīng)急故障處理。這一部分為技術(shù)人 員提供指

11、引，包括熟知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及故障發(fā)生時(shí)所應(yīng)進(jìn)行的行 動。事故上報(bào)模板、任務(wù)分配表以及崗位職責(zé)。這一部分明確了應(yīng)急 演練中部門的職責(zé)和個(gè)人的任務(wù)，通過提供模板提高上報(bào)速度。應(yīng)急通信錄應(yīng)急通信錄保證了當(dāng)發(fā)生事件時(shí)，每個(gè)涉事人員、部門和領(lǐng)導(dǎo) 可以被聯(lián)絡(luò)到。應(yīng)急通信錄包括全員通信錄、關(guān)鍵電話線、設(shè)備供 應(yīng)商通信錄和安全廠商通信錄。在進(jìn)行應(yīng)急演練中，通過全員通信 錄，可以快速定位到個(gè)人;通過關(guān)鍵電話線，可以找到負(fù)責(zé)某一項(xiàng)工 作的部門;如發(fā)生意外，通過設(shè)備供應(yīng)商通信錄和安全廠商通信錄，可以找到設(shè)備供應(yīng)商和有資質(zhì)的安全廠商，以避免造成不必要的損失。應(yīng)急演練記錄表應(yīng)急演練記錄表是指對應(yīng)急演練過程產(chǎn)生的相關(guān)數(shù)據(jù)

12、進(jìn)行記 錄，以備后期查詢、分析和總結(jié)。應(yīng)急演練記錄表包括響應(yīng)時(shí)間表、 損失評估表等，對響應(yīng)的速度、應(yīng)急演練每一階段造成的損失進(jìn)行 記錄。這些應(yīng)急演練記錄表是對本次應(yīng)急演練評估分析的重要依據(jù)， 因此非常重要。以上為應(yīng)急演練基本文檔，在實(shí)際操作中可以根據(jù)實(shí)際情況進(jìn)行更 改。（二）演練人員安排應(yīng)急演練的參與者可以分為3個(gè)層次:把握全局的領(lǐng)導(dǎo)層、具體 執(zhí)行演練的實(shí)施層以及為演練提供支持的后勤層。領(lǐng)導(dǎo)層領(lǐng)導(dǎo)層對應(yīng)急演練的全局進(jìn)行把握，確定時(shí)間節(jié)點(diǎn)、具體方案、應(yīng) 急演練實(shí)施的效果以及突發(fā)情況下的組織。同時(shí)對人員進(jìn)行調(diào)度， 對資源進(jìn)行配置。實(shí)施層實(shí)施層負(fù)責(zé)具體執(zhí)行應(yīng)急演練的任務(wù)，包括執(zhí)行應(yīng)急演練和后 期運(yùn)維

13、2個(gè)方面。應(yīng)急演練執(zhí)行小組對網(wǎng)絡(luò)行為、數(shù)據(jù)行為進(jìn)行分 析，對痕跡進(jìn)行取證，對涉及的樣本進(jìn)行逆向分析，并且整理應(yīng)急 演練的報(bào)告。后期運(yùn)維小組對應(yīng)急演練中的行為監(jiān)控，避免出現(xiàn)越 權(quán)或破壞行為，應(yīng)急演練前對設(shè)備進(jìn)行管理，應(yīng)急演練后對造成的 影響進(jìn)行恢復(fù)。3、后勤層后勤層人員對安全事件的影響進(jìn)行評估。后勤層在出現(xiàn)問題時(shí)進(jìn)行 上下級和部門間的溝通，并與外界的廠商、安全機(jī)構(gòu)聯(lián)絡(luò)，確保應(yīng) 急演練的實(shí)施全程溝通暢通。當(dāng)出現(xiàn)意外情況時(shí)，可以快速尋求幫 助，為全員提供支持。（三）演練設(shè)備安排應(yīng)急演練的環(huán)境既要能夠與實(shí)際環(huán)境相匹配，又要保證演練事 件不會對正常的工作造成影響，不會對正常的網(wǎng)絡(luò)造成破壞。因此 對設(shè)備的

14、安排要遵從以下幾點(diǎn)。應(yīng)急演練的環(huán)境應(yīng)盡量與實(shí)際環(huán)境相同相似的人員結(jié)構(gòu)與拓?fù)浣Y(jié)構(gòu)可以提升演練在真實(shí)場景中的應(yīng)用。因 此應(yīng)事先整理全局網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D，并由此給出應(yīng)急演練的網(wǎng)絡(luò)拓 撲結(jié)構(gòu)。對于非保密、非重要、非關(guān)鍵節(jié)點(diǎn)可以考慮用真機(jī)進(jìn)行操 作。2、使用虛擬設(shè)備實(shí)現(xiàn)邏輯隔離對于一些重要的節(jié)點(diǎn)，應(yīng)急演練可能對該節(jié)點(diǎn)造成一定的影響， 因此要使用虛擬設(shè)備進(jìn)行隔離，避免造成不必要的損失。3、使用備用設(shè)備替代或進(jìn)行物理隔離對于關(guān)鍵節(jié)點(diǎn)要進(jìn)行物理隔離，同一位置可以使用其他物理設(shè) 備進(jìn)行替代，在保證拓?fù)浣Y(jié)構(gòu)完整的同時(shí)，對這些位置進(jìn)行保護(hù)。三、演練示例-以企業(yè)為例以企業(yè)網(wǎng)絡(luò)應(yīng)急響應(yīng)為例，將企業(yè)網(wǎng)絡(luò)安全應(yīng)急演練的大致過

15、 程逐一呈現(xiàn)，分為演練準(zhǔn)備、演練步驟、其他相關(guān)保障3個(gè)部分。演練準(zhǔn)備在網(wǎng)絡(luò)安全應(yīng)急演練之前，需要理解和熟悉應(yīng)急響應(yīng)預(yù)案的背 景或相關(guān)信息;組織專門隊(duì)伍，明確職責(zé)定位;同時(shí)還需對接企業(yè)既有 的預(yù)防監(jiān)控制度。1、熟悉預(yù)案，理解演練內(nèi)容主要目的是使該應(yīng)急響應(yīng)預(yù)案更容易理解、實(shí)施和后期維護(hù)。 通常在這部分內(nèi)容中主要包括背景、目的、適用范圍及影響情況等。背景:介紹該預(yù)案的背景信息，并說明其啟動響應(yīng)預(yù)案的原因及受 影響的層面。目的:介紹該預(yù)案的最終完成目標(biāo)適用范圍:介紹該預(yù)案涉及的范圍，確定該預(yù)案能夠解決哪些問題，以及不能夠解決哪些問題等。人員配及職責(zé)企事業(yè)單位應(yīng)急響應(yīng)工作演練組織架構(gòu)按照人員的職能劃分為

16、 4個(gè)功能小組:領(lǐng)導(dǎo)小組、IT支撐實(shí)施小組、后期運(yùn)維小組及公關(guān)外 聯(lián)小組。在發(fā)生網(wǎng)絡(luò)突發(fā)事件后，在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下，各個(gè) 應(yīng)急響應(yīng)小組的成員各司其職，并嚴(yán)格按照應(yīng)急響應(yīng)計(jì)劃組織實(shí)施 應(yīng)急響應(yīng)的工作。領(lǐng)導(dǎo)小組職能:領(lǐng)導(dǎo)預(yù)案的實(shí)施與監(jiān)督，例如由企業(yè)一把手擔(dān)任組 長。IT支撐實(shí)施小組職能:聯(lián)合業(yè)務(wù)線負(fù)責(zé)人、IT技術(shù)支撐人員、外 部技術(shù)專家和外部顧問，共同執(zhí)行相關(guān)事故檢測、抑制、根除、恢 復(fù)、跟進(jìn)等任務(wù)。后期運(yùn)維小組職能:實(shí)際上也是上述IT支撐實(shí)施小組的組成分支 之一，但更加注重處理“跟進(jìn)階段”的事宜，主要包括監(jiān)控各個(gè)提 醒日志、權(quán)限管理、設(shè)備管理等，評估事件發(fā)生后的損失，并做好 后方物質(zhì)保障。公

17、關(guān)外聯(lián)小組職能:在需要的情況下，負(fù)責(zé)對外溝通、互動，回應(yīng) 公共輿論或網(wǎng)民的關(guān)切；特殊情況還要向主管部門、公安部門通報(bào)情 況;如果是內(nèi)部可以處理，并未對公共互聯(lián)網(wǎng)和客戶造成明顯影響， 那么公關(guān)外聯(lián)小組可以對內(nèi)發(fā)布消息，報(bào)告事實(shí)經(jīng)過即可。整個(gè)應(yīng)急響應(yīng)組織內(nèi)的人員需要具備良好的管理技能，不同程 度的專業(yè)技能，保持團(tuán)隊(duì)合作精神，保障各個(gè)小組在事件發(fā)生時(shí)合 理分工，建立起各個(gè)應(yīng)急響應(yīng)小組在突發(fā)狀況下的恢復(fù)控制能力。對接預(yù)防監(jiān)控制度為維護(hù)整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全性和穩(wěn)定性，企業(yè)一般實(shí)行日 常實(shí)時(shí)監(jiān)控制度，出現(xiàn)異?；驁?bào)警情況及時(shí)上報(bào)給網(wǎng)絡(luò)安全應(yīng)急響 應(yīng)小組，由相關(guān)人員檢查處理，將事故消滅在萌芽狀態(tài)。因此，在應(yīng)

18、急演練將要正式開始執(zhí)行時(shí)，須對接好常規(guī)網(wǎng)絡(luò)維 護(hù)、預(yù)防監(jiān)控等制度。同時(shí)應(yīng)急響應(yīng)小組中的相關(guān)人員要定期檢查 網(wǎng)絡(luò)日志，加強(qiáng)對網(wǎng)絡(luò)安全防護(hù)和應(yīng)急準(zhǔn)備工作的監(jiān)督檢查，保障 網(wǎng)絡(luò)系統(tǒng)的安全暢通，隨時(shí)準(zhǔn)備發(fā)現(xiàn)網(wǎng)絡(luò)安全問題、啟動網(wǎng)絡(luò)安全 應(yīng)急響應(yīng)。演練步驟應(yīng)急事件通報(bào)應(yīng)急響應(yīng)實(shí)施后，發(fā)現(xiàn)網(wǎng)絡(luò)故障的相關(guān)人員有責(zé)任將情況進(jìn)行 匯報(bào)。上報(bào)分為兩種情況:正常工作時(shí)間的突發(fā)事件的報(bào)告，根據(jù)報(bào) 告流程，向直屬領(lǐng)導(dǎo)匯報(bào)，并通知應(yīng)急小組相關(guān)負(fù)責(zé)人；非工作時(shí)間 的突發(fā)事件報(bào)告，通知應(yīng)急小組值班人員，值班人員及時(shí)備案，并 盡量聯(lián)系維修人員做臨時(shí)的網(wǎng)絡(luò)維護(hù)。確定應(yīng)急事件優(yōu)先級這里我們假設(shè)企業(yè)按照應(yīng)急響應(yīng)四級的分類標(biāo)準(zhǔn)定級，但每

19、個(gè) 分級下的指標(biāo)可以由企業(yè)根據(jù)自己的業(yè)務(wù)特點(diǎn)和性質(zhì)加以限定。下 面的指標(biāo)參數(shù)標(biāo)準(zhǔn)可作參考。（1）通過對突發(fā)事件的預(yù)警評估，突發(fā)事件符合以下一項(xiàng)或多項(xiàng)標(biāo)準(zhǔn) 時(shí)，將突發(fā)事件性質(zhì)定義為重大突發(fā)事件（I級）。1）網(wǎng)絡(luò)系統(tǒng)中斷時(shí)間超過4 h。2）其他關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時(shí)間超過8 h。3）受影響的業(yè)務(wù)范圍超過總量50%。4）超過60 min以上的關(guān)鍵實(shí)時(shí)數(shù)據(jù)破壞或丟失。5）關(guān)鍵機(jī)房無法進(jìn)入時(shí)間超過12 h。6）關(guān)鍵機(jī)房無法提供正常服務(wù)時(shí)間超過24 h。7）其他滿足重大突發(fā)事件（I級）特征的突發(fā)事件。（2）通過對突發(fā)事件的預(yù)警評估，突發(fā)事件符合以下一項(xiàng)或多項(xiàng)標(biāo)準(zhǔn) 時(shí)，將突發(fā)事件性質(zhì)定義為較大突發(fā)事件（口級）。

20、1）網(wǎng)絡(luò)系統(tǒng)中斷時(shí)間超過2 h。2）其他關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時(shí)間超過4 h。3）受影響的業(yè)務(wù)范圍超過總量30%。4）超過30 min以上的關(guān)鍵實(shí)時(shí)數(shù)據(jù)破壞或丟失。5）關(guān)鍵機(jī)房無法進(jìn)入時(shí)間超過4 h。6）關(guān)鍵機(jī)房無法提供正常服務(wù)時(shí)間超過12 h。7）其他滿足較大突發(fā)事件（口級）特征的突發(fā)事件。（3）通過對突發(fā)事件的預(yù)警評估，突發(fā)事件符合以下一項(xiàng)或多項(xiàng)標(biāo)準(zhǔn) 時(shí)，將突發(fā)事件性質(zhì)定義為一般突發(fā)事件（B級）。1）主要系統(tǒng)部分中斷超過2 h。2）關(guān)鍵業(yè)務(wù)系統(tǒng)中斷時(shí)間超過4 h（受影響的業(yè)務(wù)范圍超過總量 10%）。3）超過5 min以上的關(guān)鍵實(shí)時(shí)數(shù)據(jù)破壞或丟失。4）關(guān)鍵機(jī)房無法進(jìn)入時(shí)間超過30 min。5）關(guān)鍵

21、機(jī)房無法提供正常服務(wù)時(shí)間超過4 h。6）其他滿足一般突發(fā)事件（B級）特征的突發(fā)事件。應(yīng)急響應(yīng)啟動實(shí)施（1）重大突發(fā)事件（I級）處置的指揮權(quán)限。1）組織處置:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2）突發(fā)事件處置方案:應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理。3）災(zāi)難宣告:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動網(wǎng)絡(luò)恢復(fù)行動，負(fù) 責(zé)決策是否啟動I級恢復(fù)預(yù)案。4）事件評級、事件升級預(yù)警:應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，并 報(bào)領(lǐng)導(dǎo)小組批準(zhǔn)。5）事件降級:應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組 負(fù)責(zé)批準(zhǔn)。6）事件報(bào)告:由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組報(bào) 告。（2）重大突發(fā)事件（I級）的主要恢復(fù)策略包括以

22、下五點(diǎn)。1）應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組立即啟動緊急指揮中心，進(jìn)行指揮部署。2）應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組通知和調(diào)動所有應(yīng)急響應(yīng)IT支撐實(shí)施團(tuán)隊(duì)。3）應(yīng)急響應(yīng)后期運(yùn)維小組調(diào)動所有備用處理設(shè)備。4）網(wǎng)絡(luò)恢復(fù)行動立即準(zhǔn)備就緒，人員到位，所有服務(wù)和設(shè)施立即現(xiàn) 場激活。5）IT支撐實(shí)施小組接收到事件報(bào)告后，立即調(diào)動后期小組做好備份 工作，同時(shí)應(yīng)急響應(yīng)IT支撐實(shí)施小組各個(gè)人員實(shí)施網(wǎng)絡(luò)救援工作。（3）較大突發(fā)事件（U級）處置的指揮權(quán)限。1）組織處置:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2）突發(fā)事件處置方案:應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理。3）災(zāi)難宣告:由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動備份，負(fù)責(zé)決策 啟動口級恢復(fù)預(yù)案。4）事件評級、事

23、件升級預(yù)警:應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，并 報(bào)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)，如果事件的嚴(yán)重性超過級但尚未達(dá)到I級，按相對高一級突發(fā)事件處理。5）事件降級:應(yīng)急響應(yīng)IT支撐實(shí)施小組提出建議，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組 負(fù)責(zé)批準(zhǔn)。6）事件報(bào)告:由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向領(lǐng)導(dǎo)小組報(bào)告。（4）較大突發(fā)事件（U級）的主要恢復(fù)策略包括以下幾個(gè)方面。2）應(yīng)急響應(yīng)外聯(lián)小組根據(jù)預(yù)先確定的降級策略和應(yīng)用優(yōu)先級，對網(wǎng) 絡(luò)系統(tǒng)服務(wù)水平和持續(xù)時(shí)間進(jìn)行評估。3）制定本地網(wǎng)絡(luò)恢復(fù)和降級策略，首先組織應(yīng)急響應(yīng)IT支撐實(shí)施小 組進(jìn)行現(xiàn)場恢復(fù)。4）將事件的嚴(yán)重性和緊急情況的預(yù)計(jì)持續(xù)時(shí)間通知應(yīng)急響應(yīng)領(lǐng)導(dǎo)小 組，決定是否部分啟動備用網(wǎng)絡(luò)恢復(fù)服

24、務(wù)。5）IT支撐實(shí)施小組相關(guān)人員立即準(zhǔn)備就緒，人員到位。6）公關(guān)外聯(lián)小組對事件嚴(yán)重性和緊急情況評估結(jié)果上報(bào)，實(shí)施小組 接到上報(bào)結(jié)果后，再激活所有服務(wù)和設(shè)施。7）IT支撐實(shí)施小組與后期運(yùn)維小組根據(jù)部分接管的策略，啟動相應(yīng) 的接管程序。（5）一般突發(fā)事件（B級）處置的指揮權(quán)限。1）組織處置:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組直接負(fù)責(zé)。2）突發(fā)事件處置方案:應(yīng)急響應(yīng)IT支撐實(shí)施小組負(fù)責(zé)處理。3）災(zāi)難宣告:由公關(guān)外聯(lián)小組報(bào)告后，領(lǐng)導(dǎo)小組負(fù)責(zé)決策是否啟動B 級恢復(fù)預(yù)案。4）事件評級、事件升級預(yù)警：應(yīng)急響應(yīng)后期運(yùn)維小組負(fù)責(zé)評估。如果 事件的嚴(yán)重性超過B級但尚未達(dá)到級，按相對高一級突發(fā)事件處 理。5）事件降級:應(yīng)急響應(yīng)后期運(yùn)維小組負(fù)責(zé)評估。6）事件報(bào)告:由應(yīng)急響應(yīng)公關(guān)外聯(lián)小組負(fù)責(zé)向領(lǐng)導(dǎo)小組報(bào)告。（6）一般突發(fā)事件（B級）的主要恢復(fù)策略:通過日常監(jiān)測和網(wǎng)絡(luò)維護(hù) 就可以解決的網(wǎng)絡(luò)安全問題可不啟動應(yīng)急響應(yīng)，由應(yīng)急響應(yīng)IT支撐 實(shí)施小組負(fù)責(zé)處理，并恢復(fù)系統(tǒng)即可。應(yīng)急響應(yīng)事件后期運(yùn)維應(yīng)急響應(yīng)處理過程完畢之后，各部門要做好后期保護(hù)檢查工作， 防止故障再次發(fā)生。后期運(yùn)維小組要定期檢查各個(gè)提醒日志，監(jiān)控 網(wǎng)絡(luò)狀態(tài)，檢查設(shè)備的完好性，并且組織實(shí)施網(wǎng)絡(luò)恢復(fù)和系統(tǒng)重建 工作。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組織其他小組通知相關(guān)恢復(fù)團(tuán)隊(duì)和用戶部 門，評估預(yù)計(jì)時(shí)間內(nèi)的網(wǎng)絡(luò)恢復(fù)情況，恢復(fù)網(wǎng)絡(luò)服務(wù)環(huán)境，不影響 業(yè)務(wù)的正常進(jìn)行。事件發(fā)生的所有情況都要記錄到文