02.03.安全应急演练服务技术白皮书v2.0.docx

《02.03.安全应急演练服务技术白皮书v2.0.docx》由会员分享，可在线阅读，更多相关《02.03.安全应急演练服务技术白皮书v2.0.docx（17页珍藏版）》请在第一文库网上搜索。

1、绿盟科技安全服务技术白皮书安全应急演练服务文档编号NSF-2014SI密级内部使用版本编号3.0日期2016/9/26NSFOCUS2023绿盟科技版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属嫁盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。版本变更记录时间版本说明修改人2014/01/01V1.0文档创建、丰富内容安全服务部2014/12/12V2.0丰宫内容安全服务部2014/9/26V3.0丰富内容安全服务部适用性声明本文档主要介绍北京神州绿盟信息安全科技股份有限

2、公司（以下简称“绿盟科技”）安全应急演练服务的具体内容和方法，用于客户的相关人员了解绿盟科技的该项服务。目录一 .概述21.1 基本概念21.2 服务的必要性31.3 客户收益3二 .服务实施的标准或原则52.1 政策法规文件或标准52.1.1 国内文件或标准52.1.2 国际标准或最佳实践62.2 服务原则6三 .绿盟科技安全应急演练服务73.1 服务范围73.2 演练形式73.3 演练原则83.4 演练场景选择83.4.1 安全事件入口点83.4.2 演练场景分类93.5 演练流程93.5.1 演练准备103.5.2 演练实施123.5.3 演练收尾123.6 服务特点133.7 服务报告

3、13四 .为什么选择绿盟科技14一概述1.1 基本概念应急响应是指为了应对网络与信息安全事件发生所做的准备，以及在安全事件发生后所采取的处置措施。应急响应预案是指按照确定的应急响应策略制定的、在安全事件发生后控制危害或维持信息系统继续运行或进行系统恢的操作规程。应急响应预案是一个需要持续改进的文档。应急演练是指通过设定发生的安全事件而进行的以检验应急响应工作、评估应急响应预案为目的的演习和检验行为。应急指挥机构应急响应预案中所规定的应急指挥协调机构，如在应急响应预案中确定的现场指挥部、指挥中心等。演练情景指根据应急演练的目标要求，根据突发事件发生与演变的规律，事先假设的事件发生发展过程，一般从

4、事件发生的时间、地点、状态特征、波及范围、周边环境、可能的后果以及随时间演变的进程等方面进行描述。演练规划根据实际情况，依据相关法律法规和应急响应预案的规定，对一定时期内各类应急演练活动作出的总体计划安排，通常包括应急演练的频次、规模、形式、时间、地点等。演练计划指对拟举行演练的基本构想和准备活动的初步安排，一般包括演练的目的、方式、时间、地点、日程安排、经费预算和保障措施等。演练评估由内部信息安全专家或聘请的外部专家，在全面分析演练记录及相关资料的基础上，对比参演人员表现与演练目标要求，对演练活动及其组织过程作出客观评价，并编写应急演练评估报告。非预设事件在应急预案或演练方案中未事先设定的事

5、件。例如，预案中考虑不足忽略的事件；在某种状态下的偶发性事件在演练中出现；演练中临时需要增加的事件内容等。突发事件在演练过程中突然发生的、意料不到的事件，其中也包括事件发生、发展的速度很快，出乎意料；事件难以应对，必须采取应急预案之外的方法来处理等。1.2 服务的必要性近些年，网络与信息安全突发事件的频繁发生，时刻挑战着政府、企事业单位以及其他各行业在应对突发事件时的应急处置能力。无论是“911事件”、“震网事件”、“CSDN拖库事件”等人为制造的信息安全事件，还是“汶川地震、海啸、大规模停电等自然因素造成的安全事件，其结果往往是轻则企业遭受经济损失、面临亏损，重则将导致企业破产、政府公信力下

6、降、阻碍整个信息产业的发展。如何应对这些非预期的网络与信息安全事件，在事件发生前及时预警、防止事件发生；事件发生时迅速处置、减少损失；事件发生后及时恢复，减少影响；成为当前各行业、各单位共同面对的重要课题。“十二五”以来，我国政府更加重视对信息安全领域的投入，尤其加大了对公共信息安全的投入，“十二五规划”明确提出“健全对事故灾难、社会安全事件的预防预警和应急处置体系”，并在2008年出台了国家网络与信息安全事件应急预案（国办函2008168号），在此预案的指导下，各行业纷纷开始完善本行业的应急管理体系建设并开展安全应急演练工作，这其中，证券业、银行业、电信行业、电力行业、税务系统走在了前列，并

7、在行业中陆续出台了一系列行业规范和指南，推动了行业的应急管理体系建设，并开展了多次针对各行业业务系统的安全应急演练工作，取得良好成效。1.3 客户收益绿盟科技结合多年在紧急事件响应处理服务、业务连续性保障服务、应急管理体系建设咨询服务、安全攻防演练等领域的经验，结合国内外的最佳实践标准，总结了一套完整的安全应急演练服务方案。这项服务能为客户带来以下收益： 检验预案通过开展应急演练，查找已经编制的应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性。 完善准备通过开展应急演练，检查应对突发事件所需应急队伍、物资、装备、技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备

8、工作。 锻炼队伍通过开展应急演练，增强演练组织单位、参与单位和人员等对应急预案的熟悉程序，提高其应急处置能力。 磨合机制通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善应急机制。 宣传教育通过开展应急演练，普及应急知识，提高风险防范意识和灾害应对能力。二.服务实施的标准或原则2.1 政策法规文件或标准2.1.1 国内文件或标准 中华人民共和国突发事件应对法 国家信息化领导小组关于加强信息安全保障工作意见（中办发200327号） 国务院信息化工作办公室转发V国家网络与信息安全协调小组关于建立健全基础信息网络和重要信息系统应急协调机制的意见的通知（国信办200410号） 信

9、息安全风险评估规范GB/T20984-2007 信息安全风险管理指南GB/Z24364-2009 信息安全应急响应计划规范GB/T24363-2009 信息安全事件管理指南GB/Z20985-2007 信息安全事件分类分级指南GB/Z20986-2007 信息系统灾难恢复规范GB/T20988-2007 国家突发公共事件总体应急预案 中华人民共和国互联网网络安全应急预案 国家网络与信息安全事件应急预案（国办函2008168号） 国家通信保障应急预案 银行业信息系统灾难恢复管理规范（JR/T0044-2008） 保险业信息系统灾难恢复管理指引（2008） 民用航空重要信息系统灾难备份与恢复管理规

10、范（MHZT0026-2005）2.1.2 国际标准或最佳实践 BS25999-1:2006业务连续性管理第一部分：实用规则 BS25999-2:2007业务连续性管理第二部分：详细说明 信息技术系统应急规划指南NISTSP800-34 计算机安全事件处理指南NISTSP800-61 NFPA1600美国消防协会规范和标准1600关于灾难/应急管理与业务持续规划的标准(StandardonDisasterZEmergencyManagementandBusinessContinuityPrograms) SS540(TR19)&SS507新加坡BCM标准 Sarbanes-Ox1eyAct萨班

11、斯-奥西利法案(2002) Base1I1Capita1Accord新巴塞尔协定(巴塞尔银行监督委员会于2001年发布)2.2 服务原则绿盟科技在提供安全应急演练服务中，将遵循下列原则。 标准性原则：安全应急演练服务的设计及实施方法严格遵循国际国内系列标准和最佳实践进行。 规范性原则：安全应急演练服务输出的过程文档及最终交付文档应具有很好的规范性和一致性。实施人员必须由专业的安全服务人员依照规范的流程进行，对实施过程和结果要有相应的记录，提供完整的服务报告。 完整性原则：安全应急演练服务的调研和服务所涉及的范围、内容均能够完整地覆盖信息安全所涉及的技术组织和管理的各个层面。 可操作性原则：安全

12、应急演练必须立足于组织的实际现实业务及信息安全组织和管理现状，服务过程及成果应符合企业实际，易于实际操作。 持续改进原则：在服务过程中和服务交付后，演练方案和成果能随着组织客观环境变化和实际情况动态调整，确保能符合组织当前的实际情况，并持续完善和更新。三.绿盟科技安全应急演练服务3.1 服务范围安全应急演练服务的对象范围主要针对组织核心业务及支撑核心业务的资源、人员、组织、流程、场所，以及相关第三方单位、上下级单位等，在服务过程中，重点需要梳理和掌握单位的组织架构、人员情况、业务流程、相关资产、关联第三方以及与应急演练相关的文档等。3.2 演练形式开展安全应急演练可以采取不同方式进行，应急演练

13、方式分为以下几种： 按组织形式划分，安全应急演练可分为模拟演练和实战演练。模拟演练：模拟演练是指参演人员利用各种辅助手段（如流程图、计算机模拟、视频会议）对IT运行环境进行模拟，针对事先假定的系统信息安全事件的演练情景，讨论和推演应急决策及现场处置的过程，从而促进相关人员掌握应急预案中所规定的职责和程序，提高指挥决策和协同配合能力。实战演练：实战演练是指参演人员利用应急处置涉及的设备和物资，针对事先设置的突发事件情景及其后续的发展情景，通过实际决策、行动和操作，完成真实应急响应的过程，从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战演练通常要在特定场所完成

14、。 按内容划分，应急演练可分为单项演练和综合演练。单项演练：单项演练是指涉及应急预案中特定应急响应功能或现场处置方案中一系列应急响应功能的演练活动。注重针对一个或少数几个参与单位（岗位）的特定环节和功能进行检验。综合演练：综合演练是指涉及应急预案中多项或全部应急响应功能的演练活动。注重对多个环节和功能进行检验，特别是对不同单位之间应急机制和联合应对能力的检验。 按目的与作用划分，应急演练可分为检验性演练、示范性演练和研究性演练检验性演练：检验性演练是指为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练，检验性演练通常采用随机演练方式：随机协商，检验真

15、实应急水平，按照“随机、协商、安全、渐进”的原则。示范性演练：示范性演练是指为向观摩人员展示应急能力或提供示范教学，严格按照应急预案规定开展的表演性演练。研究性演练：研究性演练是指为研究和解决突发事件应急处置的重点、难点问题，试验新方案、新技术、新装备而组织的演练。绿盟科技在以往开展安全应急演练过程中，结合客户实际情况和行业经验将不同类型的演练相互组合，形成了专项模拟演练、综合模拟演练、专项实战演练、综合实战演练、示范性专项演练、示范性综合演练等。3.3 演练原则结合客户信息安全应急保障体系的要求，需定期开展安全应急演练工作，按照“先专项后综合、先桌面后实战、循序渐进、时空有序”等原则，合理规划安全应急演练的频次、规模、形式、时间、地点等。具体原则包括： 结合实际，合理定位。紧密结合应急管理工作实际，明确演练目的，根据资源条件确定