网络安全应急演练与实战攻防演习概念.docx

网络安全应急演练与实战攻防演习概念 摘要：本文从网络安全应急演练和实战攻防演习概念出发，分别描述了两者的区别、组织和实施过程；以一次实战攻防演习为例，阐述了演习的组织架构、组织过程、攻击步骤方法和演习过程中发现的问题总结；最后，分享了强化网络安全保障工作的经验。 随着网络和信息技术迅猛发展，网络安全问题也日益凸显。通过开展网络安全应急演练和实战攻防演习，可以检验关键信息基础设施应对网络安全事件的水平和协同配合能力。法律法规要求《中华人民共和国网络安全法》第三十四条第四款规定关键信息基础设施的运营者制定网络安全事件应急预案，并定期进行演练。第三十九条第二款规定国家网信部门应当统筹协调有关部门定期组织对关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力。第五十三条规定国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全应急演练的概念和分类网络安全应急演练是有关政府部门、企事业单位、社会团体组织人员，针对设定的突发事件模拟情景，按照应急预案所规定的职责和程序，在特定的时间和地域，开展应急处置的活动。应急演练按照组织形式可以分为桌面推演、模拟演练和实操演练。1.桌面推演参演人员根据应急预案，利用流程图、计算机模拟、视频会议等辅助手段，针对事先假定的演练场景进行模拟应急决策及现场处置的过程，验证应急预案的有效性，促进相关人员明确应急预案中有关职责，掌握应急流程及应急操作，提高指挥决策和各方协同配合能力。2.模拟演练参演人员利用网络与信息系统相关软硬件或靶场技术，模拟构建接近真实环境的测试环境，模拟突发事件场景或场景片段，注重模拟演练技术操作的验证、演练过程中各方资源的协调和配合，以及演练过程中各类问题和风险的应对。根据《信息安全技术网络安全事件应急演练指南》，可以将网络安全应急演练（以下简称“演练”）分为四个阶段。如图1所示。准备阶段需要制定演练计划，包括：明确演练目的，分析演练要求，确定演练范围，起草日程计划和编制演练经费预算。制定演练方案，包括：确定演练的目标，设计演练场景和实施步骤、保障措施、评估标准和演练脚本等。落实保障措施，包括：人员、经费、场地、基础设施、通信、技术、安全等方面的保障措施。演练前，组织启动会和培训会，确保所有参演人员熟悉演练规则、程序和内容，明确各自在演练中的职责分工。正式演练前，需要进行多次演练预演，逐步完善演练方案和流程。实施阶段该阶段进入正式的演练环节，演练组织机构宣布演练正式开始，对演练全过程进行指挥控制，掌握进展情况。各参与方需要按照演练方案进行应急演练，如有观摩的领导，可以增加现场解说。演练执行可以分为监测预警、事件研判、事件通告、事件处置以及系统确认五个阶段。演练实施过程中，评估人员按照演练方案采集评估素材。网络安全事件处置结束后，指挥机构宣布演练结束，指挥机构进行总结和点评。实施阶段流程如图1所示。评估与总结阶段分析演练记录及相关资料，对演练活动及组织过程进行客观评价，编写演练评估报告。根据演练记录、演练评估报告、演练方案等材料对演练进行总结，并形成演练总结报告，包括：演练目的、时间、地点、参演机构和人员、发现的问题、经验和教训、改进措施和建议等。成果运用阶段根据演练总结报告提出的问题和建议，进行安全整改。对演练中发现的问题，持续改进，并及时修改和完善应急预案。吸取经验，完善演练方案，制定下一步工作计划。作为政府部门重要业务系统或者门户网站的网络安全应急演练，多采用“模拟演练”的形式，即搭建模拟环境进行应急演练。主办单位和承办单位进行需求沟通，确认应急演练希望达成的目标；初步确认演练时间，了解演练目标、规模、方式等内容；确定演练攻击与防守的目标系统、场景和方式等；建立应急演练工作组织架构，编写初步的演练脚本；进一步确定演练环境、系统、攻击展现方法和防守展现方法，根据演练地点，搭建和调试演练环境；确定每个场景的演练展现方式，编写技术操作手册；确定应急响应流程，在技术操作手册的基础上编写演练脚本；完成会场布置，做好相关的准备工作，提升演练人员的熟练度，准备视频素材，制作演练视频；在正式演练前至少开展三次全面联排，确保设备、人员、流程万无一失，保障正式演练顺利完成；举办正式的演练大会，过程中及时处置突发情况，对演练现场工作进行拍摄，形成演练工作素材；总结演练成果、过程经验，编写工作总结报告，编辑宣传稿件，发布宣传。可以参照如图2所示的演练流程进行。实战攻防演习和应急演练的区别应急演练是按照“预防为主，积极处置”的原则