《02.03.安全应急演练服务技术白皮书v2.0.docx》由会员分享,可在线阅读,更多相关《02.03.安全应急演练服务技术白皮书v2.0.docx(16页珍藏版)》请在课桌文档上搜索。
1、(NSFOCU5绿盟科技安全服务技术白皮书安全应急演练服务文档编号NSF-2014SI密级内部使用版本编号3.0日期2016/9/26NSFOCUS2023绿盟科技版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属嫁盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。版本变更记录时间版本说明修改人2014/01/01V1.0文档创建、丰富内容安全服务部2014/12/12V2.0丰宫内容安全服务部2014/9/26V3.0丰富内容安全服务部适用性声明本文档主要介绍北京神州绿盟信息
2、安全科技股份有限公司(以下简称“绿盟科技”)安全应急演练服务的具体内容和方法,用于客户的相关人员了解绿盟科技的该项服务。目录一 .概述21.1 基本概念21.2 服务的必要性31.3 客户收益3二 .服务实施的标准或原则52.1 政策法规文件或标准52.1.1 国内文件或标准52.1.2 国际标准或最佳实践62.2 服务原则6三 .绿盟科技安全应急演练服务73.1 服务范围73.2 演练形式73.3 演练原则83.4 演练场景选择83.4.1 安全事件入口点83.4.2 演练场景分类93.5 演练流程93.5.1 演练准备103.5.2 演练实施123.5.3 演练收尾123.6 服务特点13
3、3.7 服务报告13四 .为什么选择绿盟科技14一概述1.1 基本概念应急响应是指为了应对网络与信息安全事件发生所做的准备,以及在安全事件发生后所采取的处置措施。应急响应预案是指按照确定的应急响应策略制定的、在安全事件发生后控制危害或维持信息系统继续运行或进行系统恢的操作规程。应急响应预案是一个需要持续改进的文档。应急演练是指通过设定发生的安全事件而进行的以检验应急响应工作、评估应急响应预案为目的的演习和检验行为。应急指挥机构应急响应预案中所规定的应急指挥协调机构,如在应急响应预案中确定的现场指挥部、指挥中心等。演练情景指根据应急演练的目标要求,根据突发事件发生与演变的规律,事先假设的事件发生
4、发展过程,一般从事件发生的时间、地点、状态特征、波及范围、周边环境、可能的后果以及随时间演变的进程等方面进行描述。演练规划根据实际情况,依据相关法律法规和应急响应预案的规定,对一定时期内各类应急演练活动作出的总体计划安排,通常包括应急演练的频次、规模、形式、时间、地点等。演练计划指对拟举行演练的基本构想和准备活动的初步安排,一般包括演练的目的、方式、时间、地点、日程安排、经费预算和保障措施等。演练评估由内部信息安全专家或聘请的外部专家,在全面分析演练记录及相关资料的基础上,对比参演人员表现与演练目标要求,对演练活动及其组织过程作出客观评价,并编写应急演练评估报告。非预设事件在应急预案或演练方案
5、中未事先设定的事件。例如,预案中考虑不足忽略的事件;在某种状态下的偶发性事件在演练中出现;演练中临时需要增加的事件内容等。突发事件在演练过程中突然发生的、意料不到的事件,其中也包括事件发生、发展的速度很快,出乎意料;事件难以应对,必须采取应急预案之外的方法来处理等。1.2 服务的必要性近些年,网络与信息安全突发事件的频繁发生,时刻挑战着政府、企事业单位以及其他各行业在应对突发事件时的应急处置能力。无论是“911事件”、“震网事件”、“CSDN拖库事件”等人为制造的信息安全事件,还是“汶川地震、海啸、大规模停电等自然因素造成的安全事件,其结果往往是轻则企业遭受经济损失、面临亏损,重则将导致企业破
6、产、政府公信力下降、阻碍整个信息产业的发展。如何应对这些非预期的网络与信息安全事件,在事件发生前及时预警、防止事件发生;事件发生时迅速处置、减少损失;事件发生后及时恢复,减少影响;成为当前各行业、各单位共同面对的重要课题。“十二五”以来,我国政府更加重视对信息安全领域的投入,尤其加大了对公共信息安全的投入,“十二五规划”明确提出“健全对事故灾难、社会安全事件的预防预警和应急处置体系”,并在2008年出台了国家网络与信息安全事件应急预案(国办函2008168号),在此预案的指导下,各行业纷纷开始完善本行业的应急管理体系建设并开展安全应急演练工作,这其中,证券业、银行业、电信行业、电力行业、税务系
7、统走在了前列,并在行业中陆续出台了一系列行业规范和指南,推动了行业的应急管理体系建设,并开展了多次针对各行业业务系统的安全应急演练工作,取得良好成效。1.3 客户收益绿盟科技结合多年在紧急事件响应处理服务、业务连续性保障服务、应急管理体系建设咨询服务、安全攻防演练等领域的经验,结合国内外的最佳实践标准,总结了一套完整的安全应急演练服务方案。这项服务能为客户带来以下收益: 检验预案通过开展应急演练,查找已经编制的应急预案中存在的问题,进而完善应急预案,提高应急预案的实用性和可操作性。 完善准备通过开展应急演练,检查应对突发事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补
8、充,做好应急准备工作。 锻炼队伍通过开展应急演练,增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,提高其应急处置能力。 磨合机制通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善应急机制。 宣传教育通过开展应急演练,普及应急知识,提高风险防范意识和灾害应对能力。二.服务实施的标准或原则2.1 政策法规文件或标准2.1.1 国内文件或标准 中华人民共和国突发事件应对法 国家信息化领导小组关于加强信息安全保障工作意见(中办发200327号) 国务院信息化工作办公室转发V国家网络与信息安全协调小组关于建立健全基础信息网络和重要信息系统应急协调机制的意见的通知(国信办20
9、0410号) 信息安全风险评估规范GB/T20984-2007 信息安全风险管理指南GB/Z24364-2009 信息安全应急响应计划规范GB/T24363-2009 信息安全事件管理指南GB/Z20985-2007 信息安全事件分类分级指南GB/Z20986-2007 信息系统灾难恢复规范GB/T20988-2007 国家突发公共事件总体应急预案 中华人民共和国互联网网络安全应急预案 国家网络与信息安全事件应急预案(国办函2008168号) 国家通信保障应急预案 银行业信息系统灾难恢复管理规范(JR/T0044-2008) 保险业信息系统灾难恢复管理指引(2008) 民用航空重要信息系统灾难
10、备份与恢复管理规范(MHZT0026-2005)2.1.2 国际标准或最佳实践 BS25999-1:2006业务连续性管理第一部分:实用规则 BS25999-2:2007业务连续性管理第二部分:详细说明 信息技术系统应急规划指南NISTSP800-34 计算机安全事件处理指南NISTSP800-61 NFPA1600美国消防协会规范和标准1600关于灾难/应急管理与业务持续规划的标准(StandardonDisasterZEmergencyManagementandBusinessContinuityPrograms) SS540(TR19)&SS507新加坡BCM标准 Sarbanes-Ox
11、leyAct萨班斯-奥西利法案(2002) BaselIlCapitalAccord新巴塞尔协定(巴塞尔银行监督委员会于2001年发布)2.2 服务原则绿盟科技在提供安全应急演练服务中,将遵循下列原则。 标准性原则:安全应急演练服务的设计及实施方法严格遵循国际国内系列标准和最佳实践进行。 规范性原则:安全应急演练服务输出的过程文档及最终交付文档应具有很好的规范性和一致性。实施人员必须由专业的安全服务人员依照规范的流程进行,对实施过程和结果要有相应的记录,提供完整的服务报告。 完整性原则:安全应急演练服务的调研和服务所涉及的范围、内容均能够完整地覆盖信息安全所涉及的技术组织和管理的各个层面。 可
12、操作性原则:安全应急演练必须立足于组织的实际现实业务及信息安全组织和管理现状,服务过程及成果应符合企业实际,易于实际操作。 持续改进原则:在服务过程中和服务交付后,演练方案和成果能随着组织客观环境变化和实际情况动态调整,确保能符合组织当前的实际情况,并持续完善和更新。三.绿盟科技安全应急演练服务3.1 服务范围安全应急演练服务的对象范围主要针对组织核心业务及支撑核心业务的资源、人员、组织、流程、场所,以及相关第三方单位、上下级单位等,在服务过程中,重点需要梳理和掌握单位的组织架构、人员情况、业务流程、相关资产、关联第三方以及与应急演练相关的文档等。3.2 演练形式开展安全应急演练可以采取不同方
13、式进行,应急演练方式分为以下几种: 按组织形式划分,安全应急演练可分为模拟演练和实战演练。模拟演练:模拟演练是指参演人员利用各种辅助手段(如流程图、计算机模拟、视频会议)对IT运行环境进行模拟,针对事先假定的系统信息安全事件的演练情景,讨论和推演应急决策及现场处置的过程,从而促进相关人员掌握应急预案中所规定的职责和程序,提高指挥决策和协同配合能力。实战演练:实战演练是指参演人员利用应急处置涉及的设备和物资,针对事先设置的突发事件情景及其后续的发展情景,通过实际决策、行动和操作,完成真实应急响应的过程,从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战演练通常
14、要在特定场所完成。 按内容划分,应急演练可分为单项演练和综合演练。单项演练:单项演练是指涉及应急预案中特定应急响应功能或现场处置方案中一系列应急响应功能的演练活动。注重针对一个或少数几个参与单位(岗位)的特定环节和功能进行检验。综合演练:综合演练是指涉及应急预案中多项或全部应急响应功能的演练活动。注重对多个环节和功能进行检验,特别是对不同单位之间应急机制和联合应对能力的检验。 按目的与作用划分,应急演练可分为检验性演练、示范性演练和研究性演练检验性演练:检验性演练是指为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练,检验性演练通常采用随机演练方式:
15、随机协商,检验真实应急水平,按照“随机、协商、安全、渐进”的原则。示范性演练:示范性演练是指为向观摩人员展示应急能力或提供示范教学,严格按照应急预案规定开展的表演性演练。研究性演练:研究性演练是指为研究和解决突发事件应急处置的重点、难点问题,试验新方案、新技术、新装备而组织的演练。绿盟科技在以往开展安全应急演练过程中,结合客户实际情况和行业经验将不同类型的演练相互组合,形成了专项模拟演练、综合模拟演练、专项实战演练、综合实战演练、示范性专项演练、示范性综合演练等。3.3 演练原则结合客户信息安全应急保障体系的要求,需定期开展安全应急演练工作,按照“先专项后综合、先桌面后实战、循序渐进、时空有序
16、”等原则,合理规划安全应急演练的频次、规模、形式、时间、地点等。具体原则包括: 结合实际,合理定位。紧密结合应急管理工作实际,明确演练目的,根据资源条件确定演练方式和规模。 着眼实战、讲求实效,以提高应急指挥人员的指挥协调能力、应急队伍的实战能力为着眼点。重视对演练效果及组织工作的评估、考核、总结推广好经验,及时整改存在问题。 精心组织、确保安全。围绕演练目的,精心策划演练内容,科学设计演练方案,周密组织演练活动,制订并严格遵守有关安全措施,确保演练参与人员及演练装备设施的安全。3.4 演练场景选择3.4.1 安全事件入口点安全事件的发生通常由儿类固定的因素引起,在设计安全应急演练场景时,应考
17、虑几种安全事件的入口点,下表列出几类场景入口供选择演练场景时参考:易发安全事件的场景入口分类场景入口触发的安全事件的相关类型基础环境类业务系统类安全事件类电力中断机房灾害硬件故障通讯中断系统故障入侵系统故障网络攻击信息泄露误操作软件故障通讯中断系统故障设备故隙物理环境硬件故障通讯中断系统故障3.4.2 演练场景分类选择安全应急演练场景时可参照的常见事件包括机房灾害、硬件故障、软件故障、应用故障、通讯中断、安全事件等,包含的事件如下表所示:事件分类(安全应急演练场景)类型包含的事件基础环境类机房灾害电力中断空调中断UPS故障漏水硬件故障主机存储网络软件故障数据库中间件操作系统通讯中断局域网广域网
18、互联网业务系统类系统故障核心业务A故障核心业务B故障安全事件类安全事件蠕虫(恶意代码)病毒木马DDOS入侵信息泄露网络攻击3.5 演练流程绿盟科技安全应急演练服务主要分为三个阶段,包括应急演练准备阶段、应急演练实施阶段和应急演练收尾阶段,绿盟科技在应急演练准备阶段提供演练计划咨询、演练方案设计撰写与修订、演练前培训等工作,并在应急演练实施和收尾阶段提供全程化的指导与咨询。整体流程如下图所示:应急演练准备制定演练计划设计演练方案演练动员与培训II应急演练实施:演练执行演练启动应急演练收尾演练评估与总结丁图3.1安全应急演练流程3.5.1 演练准备(D制定演练计划主要内容包括: 确定演练目的,明确
19、举办应急演练的原因、演练要解决的问题和期望达到的效果等, 分析演练需求,在对事先设定事件的风险及应急预案进行认真分析的基础上,确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程和需进一步明确的职责等。 确定演练范围,根据演练需求、经费、资源和时间等条件的限制,确定演练事件类型、等级、地域、参演机构及人数、演练方式等。演练需求和演练范围往往互为影响。 安排演练准备与实施的日程计划,包括各种演练文件编写与审定的期限、物资器材准备的期限、演练实施的日期等。(2)设计演练方案主要内容包括: 确定演练目标演练目标是需完成的主要演练任务及其达到的效果,一般说明“由谁在什么条件下完成什么
20、任务,依据什么标准,取得什么效果”。演练目标应简单、具体、可量化、可实现。一次演练一般有若干项演练目标,每项演练目标都要在演练方案中有相应的事件和演练活动予以实现,并在演练评估中有相应的评估项目判断该目标的实现情况。 设计演练情景与实施步骤演练情景要为演练活动提供初始条件,还要通过一系列的情景事件引导演练活动继续,直至演练完成。演练情景包括演练场景概述和演练场景清单。演练场景概述。要对每一处演练场景的概要说明,主要说明事件类别、发生的时间地点、发展速度、强度与危险性、受影响范围、人员和物资分布、已造成的损失、后续发展预测、气象及其他环境条件等。演练场景清单。要明确演练过程中各场景的时间顺序列表
21、和空间分布情况。演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。 编写演练方案文件演练方案文件是指导演练实施的详细工作文件。根据演练类别和规模的不同,演练方案可以编为一个或多个文件。编为多个文件时可包括演练人员手册、演练宣传方案、演练脚本等,分别发给相关人员。演练人员手册。内容主要包括演练概述、组织机构、时间、地点、参演单位、演练目的、演练情景概述、演练现场标识、演练后勤保障、演练规则、安全注意事项、通信联系方式等,但不包括演练细节。演练人员手册可发放给所有参加演练的人员。演练宣传方案。内容主要包括宣传目标、宣传方式、传播途径、主要任务及分工、技术支持、
22、通信联系方式等。演练脚本。描述演练事件场景、处置行动、执行人员、指令与对白、视频背景与字幕、解说词等。 演练方案评审对综合性较强、风险较大的应急演练,应针对演练中可能发生的非预期事件单独编制相应的处置方案,由专家顾问对演练方案进行评审,确保演练方案科学可行,以确保应急演练工作的顺利进行。(3)演练动员与培训在演练开始前要进行演练动员和培训,确保所有演练参与人员掌握演练规则,演练情景和各自在演练中的任务。所有演练参与人员都要经过应急基本知识、演练基本概念、演练现场规则等方面的培训。对演练控制人员要进行岗位职责、演练过程控制和管理等方面的培训;对演练评估人员要进行岗位职责、演练评估方法、工具使用等
23、方面的培训;对演练参演人员要进行应急预案、应急技能及设备使用等方面的培训。3.5.2 演练实施(1)演练启动演练正式启动前一般要举行简短仪式,由应急演练总指挥宣布演练开始并启动应急演练。(2)演练执行 演练指挥与行动应急演练总指挥负责演练实施全过程的指挥控制。按照演练方案要求,应急指挥机构指挥各参演队伍和人员,开展对演练事件的应急处置行动,完成各项演练活动。 演练解说在演练实施过程中,客户可以安排专人对演练过程进行解说,解说内容一般包括演练背景描述、进程讲解、案例介绍、环境渲染等。对于有演练脚本的大型综合性示范演练,可按照脚本中的解说词进行讲解。 演练记录演练实施过程中,一般要安排专门人员,采
24、用文字、照片和音像等手段记录演练过程。照片和音像记录可安排专业人员和宣传人员在不同现场、不同角度进行拍摄,尽可能全方位反映演练实施过程。 演练宣传报道对于具有普遍意义的应急演练,可认真做好信息采集、媒体组织、广播电视节目现场采编和播报等工作,扩大演练的宣传教育效果。3.5.3演练收尾(D演练评估与总结演练评估是全面分析演练记录及相关资料的基础上,对比参演人员表现与演练目标要求,对演练活动及其组织过程作出客观评价,并编写演练评估报告的过程。所有应急演练活动都应进行演练评估。演练结束后可通过组织评估会议、填写演练评价表和对参演人员进行访谈等方式,也可要求参演单位提供自我评估总结材料,进一步收集演练
25、组织实施的情况。演练评估报告的主要内容一般包括演练执行情况、预案的合理性与可操作性、应急指挥人员的指挥协调能力、参演人员的处置能力、演练所用设备装备的适用性、演练目标的实现情况、演练的成本效益分析、对完善预案的建议等。在演练结束后,根据演练记录、演练评估报告、应急预案、现场总结等材料,对演练进行系统和全面的总结,并形成演练总结报告。演练参与单位也可对本单位的演练情况进行总结。演练总结报告的内容包括:演练目的,时间和地点,参演单位和人员,演练方案概要,发现的问题与原因,经验和教训,以及改进有关工作的建议等。3.6 服务特点 遵循国际、国内标准和最佳实践绿盟科技安全应急演练服务在服务过程中充分参考
26、国内、外最佳实践和相关标准,确保服务的科学性、实用性和规范性。 具有丰富的实践经验绿盟科技长期专注于安全服务领域,在十多年的服务过程中,积累了大量的针对各行业的包括应急服务在内的服务经验,拥有大量的成功案例,绿盟公司具有国家最高安全服务资质、国家一级应急处理服务资质、国家一级风险评估资质、国家级应急服务支撑单位等与应急服务相关的资质,为客户服务提供保障。 服务规范、成果保证绿盟科技拥有严格的内部项目管理体系一NSPM,在项目实施过程中,要求各项目组严格按照国际项目管理规范进行项目管理,包括项目组织管理、质量管理、沟通管理、交付管理等,确保项目交付时间和交付质量。3.7 服务报告安全应急演练服务
27、根据客户选择的演练内容和服务范围确定具体交付,服务过程中和服务完成后,至少提供以下三类报告:1、项目管理报告包括如下报告:项目启动汇报、项目实施方案、项目阶段汇报、项目管理方案、项目交付清单、项目验收总结等;2、服务过程交付主要包括:应急预案修订版本、应急演练素材、演练脚本、演示PPT等;3、服务成果交付主要包括:安全应急演练培训课件、安全应急演练方案及总结等。为什么选择绿盟科技绿盟科技(股票代码:300369)是中国最早从事网络安全业务的企业之一,成立于2000年4月,总部设在中国北京,在美国硅谷、日本东京设有分支机构,在开拓北美及亚太地区的海外市场的同时,进行安全战略研究及技术预研。目前,
28、国内的分支机构,已经遍布30余个大中型城市,为国内用户提供全面的安全服务。绿盟科技不断提供优质的产品及服务,同时也铭记社会责任。自2000年公司成立以来,绿盟科技拥有众多在业界值得骄傲的荣誉,不断获得来自政府相关主管机构、知名媒体及社会团体等的荣誉及嘉奖,多达50余项,其中包括: 第批经国家认可的安全服务试点企业 第批公共互联网应急处理国家级服务试点单位 第一批获国家一级应急处理服务资质 第一家在国内提出完整专业安全服务体系的网络安全企业 国家二级安全服务资质单位 国家一级风险评估资质单位 国内发布最多自主研究安全漏洞的安全公司 国家级应急服务支撑单位 连续多年获得“值得信赖安全服务品牌”证书 2010年政府及公共事业单位突出贡献企业奖 2010年中国红十字人道服务奖章 2009年中关村国家自主创新示范区创新型试点企业 2009年温总理网络访谈保障工作表彰 2009年国庆60周年网络与信息安全保障先进单位 2009年卓越雇主一中国最适宜工作的公司 2008年第29届北京奥运会及残奥会信息安全保驾护航贡献奖NSFOCUS联系方式:北京市海淀区北洼路4号益泰大展3层邮编:100089电话:010-68438880更多信息请关注公司网站:
