安服笔记:如何开展网络安全应急演练?
前 言
网络应急演练是指用户组织相关人员,依据有关网络安全应急预案,开展应对网络安全事件的活动。通过模拟真实的安全事件呈现单位内部应对应急事件处置过程,检验应急响应中各方的协同反应水平和实战能力、评估应急响应预案的实用性、可行性、可靠性为目的。
为什么要开展应急演练
1、从合规角度出发
《网络安全法》第25条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
2、从业务角度出发
如今,政府机关、企事业单位等组织业务运营高度依赖信息化,一旦出现安全事件时,会造成重大经济损失和社会影响。制定相关单位的应急预案是在发生网络安全事件时及时快速响应、处置事件的必要手段,而应急演练工作的开展恰恰是检验应急预案的合理性、及时性、有效性的实质性检验标准。
应急演练与攻防演习的区别
在如今攻防演习深入人心的大趋势下,很多人都搞不清楚应急演练与攻防演习(或者攻防演练)究竟有啥地方不一样,应急演练与攻防演练要达到的根本目标是其主要的区别。
应急演练的根本目标:
检验发生安全事件时本单位的制定应急预案的科学性、实用性和可操作性;应急人员队伍能力差距;网络安全事件的应对水平以及内部协同配合能力;应急响应工作机制。来提高政府机关、企事业单位应急响应能力建设,提高应急响应工作水平,提升内部员工网络安全防范意识。
攻防演习的根本目标:
是检验政府机关、企事业单位的安全建设、安全防御体系是否存在遗漏或者薄弱点,来指导后续的安全防御体系建设,提升整体安全防御能力。
应急演练的开展形式
应急演练的开展方式一般分为以下两种:
1.桌面推演:根据应急预案,
a.利用流程图、计算机、视频会议等辅助手段;
b.针对事先假定的某一演练场景进行模拟应急决策及现场处置过程。
2.现场演练:根据应急预案,
a.利用网络与信息系统真实环境或靶场技术,模拟突发事件场景;
b.完成现场判断、决策、处置等环节的应急响应过程,演练过程中需各方资源的协调和配合、各类问题和风险的应对。
应急演练的流程
应急演练的一般流程分为:
1.演练准备工作:
一是演练场景的选择,一般演习场景主要为:勒索、挖矿类病毒木马类事件、web网络攻击事件(如:SQL注入,文件上传,XSS攻击等)、DDOS拒绝服务攻击事件、网页篡改、网站暗链等事件类型,整个演练可根据实际情况进行单个场景或者多个场景组成综合性场景进行演练;二是演练方案、演练场地的准备。
2.演练环境搭建:
依据演练环境、系统、攻击展现方法和防守展现方法,根据演练地点位置,搭建、测试与调试演练系统环境。攻击目标一般有三种方式:第一,以真实系统作为演练目标(一般需提前对系统进行渗透测试,发现安全风险);第二,模拟真实系统,搭建测试环境作为演练目标;第三,自建靶场作为演练目标。
3.演练脚本编写:
根据演练事件、应急预案编写本次演练的演练脚本。
4.演练彩排工作:
演练场地现场进行多次演练彩排。
5.正式演练:
正式开展应急演练。
6.应急演练总结:对本次应急演练进行总结,发现演练中暴露的问题,修订应急预案或整改发现的安全风险。
应急演练的示例
应急演练的攻击流程示例
应急演练的应急处置示例
