攻防演练在即：如何开展网络安全应急响应

很多人的应急方案是从模板开始的！有些人不求甚解十几二十年多，我见过十几年甚至二十多年的从业者，一直是“模板君”的存在，而且“模板君”在网络安全从业者中，比比皆是处处都在。模板是给我指引的，并不是让我们完全套用的，我们基于工作原理和背景下，利用模板让我们的内容更加统一与实用。

而很多单位也会按照“要求”开展风险评估，风险评估中发现的部分问题简单已整改，就过去了。而把应急委托给“模板”，好像自古以来风险评估是风险评估，应急是应急，老死不相往来一样。这就是我前几年和一个厅局领导在他办公室交流时，我不知天高地厚的说的一样：你要一个牛头，能给你一个牛头，要牛腿给牛腿，但是你要你一头牛时，他给你七拼八凑出一头牛的样子，但是拼凑出来的是没有生命没有灵魂的。

我们在工作汇报时，常常用“有机融合”，其实想表达的就是工作的注入了灵魂；而“无机融合”则只能是机械的堆砌。

首先，风险评估是网络安全应急工作的起点

风险评估风险识别、风险分析和风险评价的整个过程，包括风险发现、识别和描述风险、理解风险本质、确定风险等级，将风险分析的结果与风险准则比较以确定风险和（或）其大小是否可接受或可容忍的过程。

风险评估是一切网络安全保障工作的起点，对网络安全应急响应也不例外，风险识别和处理的过程是应急响应工作准备阶段的前置。风险评估可以参考《信息安全技术 信息安全风险评估方法》GB/T 20984-2022。

应急响应计划的编制准备涉及风险评估、业务影响分析、制定应急响应策略、编制应急响应计划文档。

风险评估是“知己”的必要手段和过程，以确保应急准备工作有的放矢，而应急响应又是风险评估工作的一种优化反馈输入，可以说两者之间是相互结合、互为补充的关系。

一方面，风险评估过程中的风险识别阶段会针对资产、脆弱性和威胁的识别，这对于应急响应工作有重要的指导意义，且残余风险的监控和应对也是应急响应工作的重要组成部分；另一方面，安全事件发生后的优化阶段也是对网络安全风险重新评估的指南针，网络安全事件的处置和反馈，是周期性地开展风险研判风险评估工作的重要输入。

其次，基于安全事件分级分类应急响应计划

编制安全应急响应计划文档是应急响应规划过程中的关键一步。应急响应计划应描述支持应急操作的技术能力,并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡,通常是计划越详细,其方法就越缺乏弹性和通用性。计划编制者应根据实际情况对其内容进行适当地调整、充实和本地化,以更好地满足组织特定的系统,操作和机构需求。同时可以参考GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》GB/T 20985《信息技术 安全技术 信息安全事件管理》使用。

应急响应计划应能为信息安全事件中不熟悉计划的人员或要求进行恢复操作的系统提供快速明确的指导。计划应明确、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。应急响应计划文档包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个部分。

再次，基于安全事件应急的应急组织

组织应结合本单位日常机构建立信息安全应急响应的工作机构,并明确其职责。其中一些人可负责两种或多种职责,一些职位可由多人担任(应急响应计划文档中应明确他们的替代顺序)。应急响应的工作机构由管理、业务、技术和行政后勤等人员组成,一般来说,按角色可划分为5个功能小组:应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组等。组织应该根据其所具备的技能和知识将人员分配到这些小组中,理想的情况是,分配到相关小组中的人员在正常条件下负责的是相同或类似的工作。

实际中,可以不必成立专门机构对应各功能小组,组织可以根据自身情况由其具体的某个或某几个部门或部门中的某几个人担当其中的一个或几个角色。

组织可聘请具有相应资质的外部专家协助应急响应工作,也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分或全部工作。在聘请外部专家协助应急响应工作或者委托外部机构承担部分或者全部应急响应工作时,需要和其签订相关协议(例如信息保密协议、服务水平协议、服务持续协议等)。

其四，加强预防和预警机制

1、信息监测及报告

组织应加强信息安全监测、分析和预警工作,建立信息安全事件报告和通报制度,发生信息安全事件的单位或者部门应当在信息安全事件发生后,立即向应急响应日常运行小组报告。

2、预警应急响应

日常运行小组接到信息安全事件报告后,应当经初步核实后,将有关情况及时向应急响应领导小组报告,并进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。应急响应领导小组视情况召集协调会,决策行动方案,发布指示和命令。

3 、预防

积极推行信息安全等级保护制度,基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复。

预防机制应被记录在应急响应计划中,应对系统相关的人员进行培训,使他们明确如何以及何时使用预防机制。预防机制应得到维护以处于良好状态,确保它们在信息安全事件中的有效性。

其五、应急响应流程

在安全事件发生后,应通知应急响应日常运行小组,使其能够评估研判确定事态的严重程度和下一步将要采取的行动。在损害评估完成后,应通知应急响应领导小组。

可以通过各种方法完成通知,通知形式不限，可以包括固定电话、移动电话和电子邮件等。由于电子邮件无法确定能否得到有效回复,所以应谨慎使用电子邮件发送通知。

通知策略应定义信息安全事件发生后人员无法联络时的规程。通知规程应在应急响应计划中明确描述。一种通用的通知方法是呼叫树。呼叫树应包括主要的和备用的联络方法,应确定在某个人无法联系上时应采取的规程。

需要通知的人员应在应急响应计划附录中的联系人清单中标明。联系人清单确定人员在其小组中的职位、姓名和联络信息(如家庭,工作电话号码,手机号码、电子邮件地址和家庭地址等),关于内部联络清单，这个需要在平时统计并制定好，这份资料会在各类工作中被用到。

另外，同理根据应急方案或计划，适当的寻求外部组织的支持，外部联系单也非常重要。

在事件发生后涉及，信息上报和披露等内容。

事件发生后，基于事件分类分级，由应急领导小组发布应急响应启动令，快速、有序的启动应急预案。应急响应启动后,应急响应领导小组要对人力、财力,物力到位情况实施检查与督察,并记录实际发生的情况。

其六、应急处置及后期处置

启动应急响应计划后,应立即采取相关措施抑制信息安全事件影响,避免造成更大损失。在确定有效控制了信息安全事件影响后,开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。

根据BIA中确定的恢复的顺序，避免对系统及业务造成重大影响。严格遵照恢复规程操作，降低误操作引发的次生风险。

应急处置工作结束，需要迅速采取必要措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。通过统计各种数据，查明原因，重建系统。结合应急记录，进行总结并对应急计划或应急缺陷进行修订或整改提升。

后记，应急工作最重要的还是人、财、物、技各类保障，人是什么样的人，这个是需要考虑的，是名副其实的具有应急能力的人，还是给了他一个应急管理员的角色，而不具备能力，具不具备制定各类手册与实操等；财，是支撑一切的，财够不够，如何合理分配等，都需要科学分配；物，交通谁负责、通信谁保障？备机备件是否可用，回到人由谁负责？等等；技，日常技术保障、应急响应技术服务，需要考虑日常监测与预警及应急技术储备，还有全面考察和管理相关技术基础等等。

总之，虽然我们已经箭在弦上了，但是很多工作还是向平时要成绩的。在这个极端时间内，本来就是挂一漏万的难以顾全。然而，这也正好可以验证自己的安全服务团队的专业性，把水分压干，为后期工作的开展提供参考和支撑。

预祝大家在攻防演练过程中，取得好的防守成绩。