(高清版)GB∕T 38645-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南

信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南國家市場監(jiān)督管理總局國家標(biāo)準化管理委員會 I引言 Ⅱ 2規(guī)范性引用文件 1 1 2 2 3 3 3 3 3 4 5 5 89.3評估與總結(jié)階段 99.4成果運用階段 附錄A(資料性附錄)常用演練形式對照表 附錄B(資料性附錄)應(yīng)急演練各步驟參考模板 附錄C(資料性附錄)演練場景庫 29 IⅡ建立網(wǎng)絡(luò)安全事件應(yīng)急工作機制，開展應(yīng)急演練是減少和預(yù)防網(wǎng)絡(luò)安1下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引GB/T25069信息安全技術(shù)術(shù)語GB/T25069界定的以及下列術(shù)語和定22)模擬演練：參演人員利用網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)軟硬件或靶場技1)專項演練：指涉及應(yīng)急預(yù)案中特定系統(tǒng)或應(yīng)急響應(yīng)功能的演練活動。針對一個或少數(shù)幾2)綜合演練：指涉及應(yīng)急預(yù)案中多項或全部應(yīng)急響應(yīng)功能的演練活動。對多個環(huán)節(jié)和功能2)示范性演練：為向觀摩人員展示應(yīng)急能力或提供示范教學(xué)，按照演練方案開展的表演性3j)跟蹤演練成果運用。4562)演練場景(步驟)清單。要明確演練過程中各場景(各步驟)的時間順序列表和耗時情況。演練場景之間的邏輯關(guān)聯(lián)依賴于事件發(fā)展規(guī)律、控制消息和演d)編寫工作方案和不足的過程。演練評估宜以演練目標(biāo)為基礎(chǔ)。每項演練目標(biāo)都要設(shè)計合理的評估項目方法、標(biāo)準。應(yīng)急演練方案的制定可參考附錄D。789系統(tǒng)或新設(shè)施中恢復(fù)運行業(yè)務(wù)能力等應(yīng)急措施。實施組恢復(fù)復(fù)雜系統(tǒng)意外情況及其處置等內(nèi)容。腳本宜包括應(yīng)急處置效果驗證和處置現(xiàn)各機構(gòu)自身年度演練計劃，由機構(gòu)層面統(tǒng)一牽頭，或某部門發(fā)起的涉及機構(gòu)其他有關(guān)部門的、針對某一專項應(yīng)急及機構(gòu)其他有關(guān)部門的、針對某一專項應(yīng)急各機構(gòu)自身年度演練計劃，由機構(gòu)層面統(tǒng)一牽頭，或某部門發(fā)起的涉及機構(gòu)其他有關(guān)部門的、針對某一專項應(yīng)急各機構(gòu)自身年度演練計劃，由機構(gòu)層面統(tǒng)一牽頭、覆蓋機構(gòu)所有部門及成員的、針對可能導(dǎo)致機構(gòu)核心業(yè)務(wù)中斷引發(fā)全局性風(fēng)險事件設(shè)置的場景各機構(gòu)自身年度演練計劃，由機構(gòu)層面統(tǒng)一牽頭、覆蓋機構(gòu)所有部門及成員的、針對可能導(dǎo)致機構(gòu)核心業(yè)務(wù)中斷引發(fā)全局性風(fēng)險事件設(shè)置的場景機構(gòu)自身年度演練計劃，由機構(gòu)層面統(tǒng)一牽頭、覆蓋機構(gòu)所有部門及成員的、針對可能導(dǎo)致機構(gòu)核心業(yè)務(wù)中斷引發(fā)全局性風(fēng)險事件設(shè)置的場景目的：通過桌面推演完善機構(gòu)內(nèi)部應(yīng)急指揮、決策和應(yīng)急處置機制，落實安全責(zé)任制，檢驗有關(guān)專項應(yīng)急預(yù)案有效性，促進相關(guān)人員深入急準備目的：通過實操演練磨合機構(gòu)內(nèi)部應(yīng)急指揮、決策和應(yīng)急處置機制，中各項應(yīng)急操作流程的能力目的：通過示范演練提示風(fēng)險，切實提升機構(gòu)領(lǐng)導(dǎo)層對網(wǎng)絡(luò)安全事件應(yīng)急演練的重視程度；促進機構(gòu)內(nèi)部應(yīng)急工作目的：通過桌面推演完善機構(gòu)內(nèi)部應(yīng)急指揮決策和應(yīng)急處置機制，落實安全責(zé)任制，檢驗機構(gòu)總體應(yīng)急預(yù)案及各分預(yù)案的有效性，促進機構(gòu)全員深入掌握應(yīng)急預(yù)目的：通過實操演練磨合機構(gòu)內(nèi)部應(yīng)急指揮、決策和應(yīng)急處置機制，執(zhí)行性，培養(yǎng)機構(gòu)全員的臨場應(yīng)變能力目的：通過示范演練提示網(wǎng)絡(luò)安全事件應(yīng)急演練的口表A.1(續(xù))可套用模板：可套用模板：可套用模板：可套用模板：可套用模板：行業(yè)年度演練計劃，由行業(yè)監(jiān)管/主管部門牽頭行業(yè)各有關(guān)機構(gòu)，或由行業(yè)某機構(gòu)發(fā)起涉及行業(yè)其他業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，針對某一專項應(yīng)急行業(yè)年度演練計劃，由行業(yè)監(jiān)管/主管部門牽頭行業(yè)各有關(guān)機構(gòu)，或由行業(yè)某機構(gòu)發(fā)起涉及行業(yè)其他業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，針對某一專項應(yīng)急行業(yè)年度演練計劃，由行業(yè)監(jiān)管/主管部門牽由行業(yè)某機構(gòu)發(fā)起涉及行業(yè)其他業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，針對某一專項應(yīng)急行業(yè)年度演練計劃，由行業(yè)監(jiān)管/主管部門牽頭行業(yè)各有關(guān)機構(gòu)，或由行業(yè)某機構(gòu)發(fā)起的、涉及行業(yè)其他業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，針對可能引發(fā)行業(yè)全局性風(fēng)險的事件行業(yè)年度演練計劃，由行業(yè)監(jiān)管/主管部門牽由行業(yè)某機構(gòu)發(fā)起的、監(jiān)管/主管部門牽頭行業(yè)的事件設(shè)置的綜合性場景目的：通過桌面推演提高行業(yè)總體應(yīng)急指揮決策協(xié)調(diào)力，檢驗行業(yè)專項預(yù)案及各級機構(gòu)有關(guān)專項應(yīng)急預(yù)案有效性，促進相關(guān)人員深入掌握目的：通過實操演練提項預(yù)案流程及各級機構(gòu)人員的臨場應(yīng)變能力目的：通過示范演練提間應(yīng)急工作交流目的：通過桌面推演提策協(xié)調(diào)力，梳理行業(yè)各業(yè)務(wù)條線上下游機構(gòu)間的耦合關(guān)系，完善各機略，落實安全責(zé)任制，檢機構(gòu)有關(guān)專項應(yīng)急預(yù)案有效性，促進相關(guān)人員掌握應(yīng)急預(yù)案，完善應(yīng)急準備目的：通過實操演練提高行業(yè)總體指揮決策協(xié)項應(yīng)急預(yù)案中各項應(yīng)急執(zhí)行性，培養(yǎng)有關(guān)人員的臨場應(yīng)變能力目的：通過示范演練提示風(fēng)險，切實提升行業(yè)各機構(gòu)領(lǐng)導(dǎo)層對網(wǎng)絡(luò)安全事件應(yīng)急演練的重視程度；促進行業(yè)機構(gòu)之間應(yīng)急工作可套用模板：可套用模板：可套用模板：可套用模板：可套用模板：一行業(yè)發(fā)起的、涉及其他行業(yè)或有關(guān)業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，針對某一專項一行業(yè)發(fā)起的、涉及其他行業(yè)或有關(guān)業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，針對某一專項一行業(yè)發(fā)起的、涉及其他行業(yè)或有關(guān)業(yè)務(wù)關(guān)聯(lián)機構(gòu)的，可能引發(fā)多行業(yè)安全風(fēng)險的事件設(shè)置的綜合性場景的綜合性場景行業(yè)發(fā)起的、涉及其他行的，可能引發(fā)多行業(yè)安全風(fēng)險的事件設(shè)置的綜合性目的：通過桌面推演提高跨行業(yè)應(yīng)急指揮協(xié)調(diào)能力，梳理各行業(yè)之間的應(yīng)急聯(lián)動關(guān)系，完善急預(yù)案，完善應(yīng)急準備目的：通過實操演練提高跨行業(yè)應(yīng)急指揮協(xié)調(diào)能力，磨合行業(yè)間應(yīng)急響應(yīng)聯(lián)動策略，檢驗各中各項應(yīng)急操作流程的能力目的：通過示范演練提急工作交流目的：通過桌面推演提高跨行業(yè)應(yīng)急指揮協(xié)調(diào)能力，梳理各行業(yè)之間的應(yīng)急聯(lián)動關(guān)系，完善行業(yè)間應(yīng)急響應(yīng)聯(lián)動機制，檢驗各行業(yè)總體應(yīng)急預(yù)案及有關(guān)分預(yù)案的有效性，促進相關(guān)人員深入掌握應(yīng)急預(yù)案，完目的：通過實操演練提高跨行業(yè)應(yīng)急指揮協(xié)調(diào)能力，磨合行業(yè)間應(yīng)急響應(yīng)聯(lián)動策略，檢驗各行性，培養(yǎng)有關(guān)人員的臨場應(yīng)變能力目的：通過示范演練提示表A.1(續(xù))可套用模板：可套用模板：可套用模板：B.8應(yīng)急演練評估單B.6事件報告單可套用模板：可套用模板：地區(qū)一地區(qū)(省市縣級單位)發(fā)起的、針對可能對局部地區(qū)造成影響的事件設(shè)置的故障場景。主要為自然災(zāi)害或突發(fā)公共一地區(qū)(省市縣級單位)發(fā)起的、針對可能對局地區(qū)(省市縣級單位)發(fā)起的、針對可能對局部地區(qū)造成影響的事件設(shè)置的故障場景。主要為自然災(zāi)害目的：通過桌面推演提高地區(qū)性應(yīng)急組織機構(gòu)的指揮協(xié)調(diào)能力，梳理各關(guān)聯(lián)地區(qū)及有關(guān)行業(yè)應(yīng)急響應(yīng)聯(lián)動機制，檢驗各地區(qū)、行業(yè)總體應(yīng)急預(yù)案及有關(guān)分預(yù)案的有效性，促進相關(guān)人員深入掌握應(yīng)急預(yù)案，完目的：通過實操演練提高地區(qū)性應(yīng)急組織機構(gòu)應(yīng)急指揮和協(xié)調(diào)能力，略，檢驗地區(qū)、行業(yè)總體中各項應(yīng)急操作流程的能力目的：通過示范演練提升能力，強化安全意識宣貫；促進地區(qū)之間應(yīng)急工作地區(qū)可套用模板：可套用模板：自然災(zāi)害或突發(fā)公共自然災(zāi)害或突發(fā)公共地區(qū)(省/市/縣級單位)發(fā)起的、針對可能造成跨地域影響的事件設(shè)置的故障場景。主要為自然災(zāi)害或突發(fā)公共事件目的：通過桌面推演提高跨地域性應(yīng)急組織機構(gòu)的指揮協(xié)調(diào)能力，梳理各關(guān)聯(lián)地區(qū)及有關(guān)行業(yè)應(yīng)急響應(yīng)聯(lián)動機制，檢驗各地區(qū)、行業(yè)總體應(yīng)急預(yù)案及有關(guān)分預(yù)案的有效性，促進相關(guān)人員深入掌握應(yīng)急預(yù)案，目的：通過實操演練提策略，檢驗地區(qū)、行業(yè)總能力目的：通過示范演練提升跨地域性應(yīng)急組織機構(gòu)及有關(guān)行業(yè)網(wǎng)絡(luò)安全事件應(yīng)對能力，強化安全意識宣貫；促進地區(qū)之間應(yīng)急工表A.1(續(xù))B.7應(yīng)急演練記錄單B.8應(yīng)急演練評估單B.6事件報告單B.1應(yīng)急演練計劃表B.1應(yīng)急演練計劃演練項目目的/要求演練時間參演機構(gòu)或部門(是/否)件的情況，分析和查找薄弱環(huán)節(jié)，確定需調(diào)整的演練人員、需鍛煉的技能、需檢驗的設(shè)備、需完善的應(yīng)急處置流程和需進一步明確的職責(zé)注2:演練方式：桌面推演/實操演練/示范演練，跨行業(yè)/跨地區(qū)/單位內(nèi)部/部門內(nèi)部，綜合演練/專項演注3:演練時間：建議黨政機關(guān)、企事業(yè)單位及社會團體每年組織一次綜合演練，不定期組織專項演練或小范圍演練。注4:演練過程安排：包括但不限于預(yù)案評審、演練通知、演練環(huán)境部署、執(zhí)行演練方案、演練報注5:建議每年12月前完成下一年度的演練計劃，并將有關(guān)經(jīng)費納入預(yù)算。與演練時間演練地點演練目的□桌面推演□實操演練□示范演練□組織內(nèi)部□行業(yè)內(nèi)部□跨行業(yè)□地域性□跨地區(qū)□綜合演練□專項演練(單位、角色、職責(zé)分工)管理部門××(人員):×××××職責(zé)指揮機構(gòu)××(人員):×××××職責(zé)××(人員):×××××職責(zé)××(人員):×××××職責(zé)參演機構(gòu)X×(人員):XXXXX職責(zé)××(人員):×××××職責(zé)XX(人員):XXXXX職責(zé)××(人員):×××××職責(zé)××(人員):×××××職責(zé)××(人員):×××××職責(zé)保障范圍保障目的牽頭單位/部門配合單位/部門人員保障：××××評估時間評估地點評估組成員姓名評估項目(1—差、3—合格、5—優(yōu)秀)改進建議1◆演練方案的合理性，可用性◆演練方案與預(yù)案符合程度2監(jiān)控告警能力◆告警信息是否及時、準確3故障定位能力◆是否準確定位故障點◆是否及時根據(jù)預(yù)案提出解決方案4現(xiàn)場指揮協(xié)調(diào)能力◆現(xiàn)場是否迅速建立應(yīng)急指揮部◆是否有明確的總指揮和現(xiàn)場指揮◆總指揮和現(xiàn)場指揮命令下達是否正確◆各主管部門是否迅速到位，每個人員標(biāo)志清楚5參演人員處置能力●是否就位迅速，職責(zé)明確◆是否處置及時◆是否正確向指揮部反饋處置情況B.5應(yīng)急演練腳本應(yīng)急演練腳本模板見表B.5。表B.5演練時間演練地點演練目的□組織內(nèi)部□行業(yè)內(nèi)部□跨行業(yè)□地域性□跨地區(qū)□綜合演練□專項演練管理部門參演機構(gòu)(單位、角色、職責(zé)分工)管理機構(gòu)××(人員):×××××職責(zé)指揮機構(gòu)XX(人員):XXXX×職責(zé)××(人員):×××××職責(zé)參演機構(gòu)××(人員):×××××職責(zé)××(人員):×××××職責(zé)××(人員):×××××職責(zé)××(人員):×××××職責(zé)表B.5(續(xù))經(jīng)費保障：××××場地保障：××××基礎(chǔ)設(shè)施保障：××××通信保障：××××安全保障：××××保障檢查：××××(按方案步驟執(zhí)行)(鏡頭)同步場景聯(lián)系方式(含手機)事件發(fā)生時間、地點事件影響范圍、影響程度、事件導(dǎo)致的后果、已采取的措施及效果需要有關(guān)部門和單位演練時間演練地點演練目的口跨行業(yè)□跨地區(qū)□機構(gòu)內(nèi)部□行業(yè)內(nèi)部□綜合演練□專項演練管理部門參演機構(gòu)起止時間(選填)系統(tǒng)準備及啟動1□系統(tǒng)備份等安全控制措施□演練前是否向指揮組確認□指揮組是否正式宣布演練開始□其他(請補充說明)□文字□照片□音像□其他(補充說明具體手段)2□演練指揮組組長是否對演練全過程進行控制或授權(quán)協(xié)調(diào)組控制□參演機構(gòu)是否指定專人按預(yù)案要求將發(fā)現(xiàn)的問題和處置情況向協(xié)調(diào)組報告□實施組是否將演練進展情況及時向協(xié)調(diào)組口演練執(zhí)行過程是否做好全演練執(zhí)行過程記錄□其他(請補充說明)表B.7(續(xù))起止時間(選填)3□演練結(jié)束后，是否由指揮組宣布演練結(jié)束，且□各參演機構(gòu)和指揮機構(gòu)是否及時總結(jié)□各參演機構(gòu)和指揮機構(gòu)對演練現(xiàn)場是否進行□演練過程中出現(xiàn)突發(fā)相關(guān)情形，指揮組是否提□其他(請補充說明)4□各參演機構(gòu)是否恢復(fù)系統(tǒng)□各參演機構(gòu)是否向指揮組報告系統(tǒng)恢復(fù)情況□演練結(jié)束后次日是否向指揮組書面報告系統(tǒng)□其他(請補充說明)-演練時間演練地點演練目的□綜合演練□專項演練管理部門評估組成員姓名評估項目(1—差、3—合格、5—優(yōu)秀)改進建議1◆演練方案的合理性，可用性◆演練方案與預(yù)案符合程度2監(jiān)控告警能力◆告警信息是否及時、準確3故障定位能力◆是否準確定位故障點◆是否及時根據(jù)預(yù)案提出解決方案4現(xiàn)場指揮協(xié)調(diào)能力◆是否有明確的指揮組組長和協(xié)調(diào)者指揮組和協(xié)調(diào)組命令下達是否正確◆各主管部門是否迅速到位，每個人員標(biāo)志清楚表B.8(續(xù))評估項目(1—差、3—合格、5—優(yōu)秀)改進建議5參演人員處置能力◆是否就位迅速，職責(zé)明確◆是否處置及時◆是否正確向指揮部反饋處置情況6關(guān)聯(lián)方應(yīng)急聯(lián)動能力◆接口部門及人員是否明確◆是否響應(yīng)及時◆配合是否流暢7演練保障能力◆應(yīng)急人員(主備崗)是否及時就位◆技術(shù)備品備件是否充足◆應(yīng)急物資及必要通信設(shè)備準備是否充足◆是否制定意外情況應(yīng)急措施和回退方案8◆是否通過演練發(fā)現(xiàn)待改進事項◆是否達到預(yù)期目標(biāo)9◆是否符合演練預(yù)算，厲行節(jié)約演練時間演練地點演練目的□桌面推演□實操演練□示范演練□跨行業(yè)□跨地區(qū)□機構(gòu)內(nèi)部□行業(yè)內(nèi)部參演機構(gòu)演練評估時間演練評估地點評估專家組成員改進思路常見風(fēng)險類型常見故障類型自然災(zāi)害風(fēng)險由于太陽黑子活動，導(dǎo)致技術(shù)系統(tǒng)遭受一定程度干擾，出現(xiàn)運行異常等臺風(fēng)沿海地區(qū)受臺風(fēng)影響，可能出現(xiàn)電力中斷、通信線路受損、水害等，影響系由臺風(fēng)導(dǎo)致的區(qū)域性電力、通信、交通癱瘓及社會公共安全等應(yīng)急場景由地震引發(fā)的地域性社會救援、醫(yī)療衛(wèi)生、電力、通信、運輸?shù)葢?yīng)急場景因水災(zāi)引起的機房地下基礎(chǔ)設(shè)施被淹、機房滲漏等，影響技術(shù)系統(tǒng)正常運行以及市政排水、社會救援、交通等應(yīng)急場景機房火災(zāi)導(dǎo)致的技術(shù)系統(tǒng)不可用由于服務(wù)器硬件、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備等故障導(dǎo)致的系統(tǒng)不可用由于計算機軟件邏輯錯誤、軟件缺陷、變更失敗等導(dǎo)致的系統(tǒng)不可用機房基礎(chǔ)設(shè)施由于機房配電、通信線路、空調(diào)、消防系統(tǒng)等基礎(chǔ)設(shè)施故障導(dǎo)致的系統(tǒng)不可用由于系統(tǒng)性能不夠、處理能力不足導(dǎo)致的運行緩慢或業(yè)務(wù)中斷等場景表C.1(續(xù))常見風(fēng)險類型常見故障類型機構(gòu)層面專項桌面推演/行業(yè)層面專項桌面推演/地區(qū)攻擊者利用工業(yè)控制系統(tǒng)漏洞、協(xié)議缺陷等對系統(tǒng)進行攻擊滲透導(dǎo)致的系統(tǒng)運行異常或不可用機構(gòu)層面專項桌面推演/行業(yè)層面專項桌面推演/地區(qū)業(yè)務(wù)規(guī)則邏輯錯誤或調(diào)整后測試不充分導(dǎo)致的系統(tǒng)運行異?；虿豢捎脵C構(gòu)層面專項桌面推演/行業(yè)層面專項桌面推演/地區(qū)網(wǎng)絡(luò)攻擊事件蓄意制造、傳播有害程序，或是因受到有害程序影響而導(dǎo)致的互聯(lián)網(wǎng)安全利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和網(wǎng)安全事件機構(gòu)層面專項實操演練/行業(yè)層面專項實操演練/地區(qū)由于電力行業(yè)發(fā)電或傳輸系統(tǒng)故障導(dǎo)致的區(qū)域性事件或其他行業(yè)遭受連由于通信行業(yè)線路故障導(dǎo)致的區(qū)域性事件或其他行業(yè)遭受連帶影響的云服務(wù)提供商由于云服務(wù)商故障導(dǎo)致的業(yè)務(wù)中斷或業(yè)務(wù)數(shù)據(jù)丟失、損毀等事件參考案例演練時間演練地點演練目的檢驗信息系統(tǒng)重大技術(shù)故障的發(fā)現(xiàn)、定位、指揮及協(xié)同處置能力，驗證應(yīng)急預(yù)案和應(yīng)急處置流程，檢驗備份/災(zāi)備系統(tǒng)建設(shè)能及和××單位生產(chǎn)時間××系統(tǒng)突發(fā)技術(shù)故障，導(dǎo)致系統(tǒng)不可用，有關(guān)業(yè)務(wù)中斷。經(jīng)判斷為主用生產(chǎn)系統(tǒng)硬件故障，隨即啟動應(yīng)急預(yù)案，將生產(chǎn)系統(tǒng)向備□桌面推演■實操演練□示范演練□綜合演練■專項演練××單位系統(tǒng)運行部××單位綜合部、有關(guān)業(yè)務(wù)部(單位、角色、職責(zé)分工)指揮組：技術(shù)部門分管領(lǐng)導(dǎo)、運行部負責(zé)人、綜合部負責(zé)人策劃組：系統(tǒng)運行部負責(zé)編寫方案、組織策劃保障組：系統(tǒng)運行部(運行一線、二線人員)負責(zé)安全保障(明確到人)評估組：系統(tǒng)運行部、綜合部、有關(guān)業(yè)務(wù)部門派人員保障：演練各項工作落實到人(安排主備崗),演練準備及實施全程參與(明確到人)物資保障：技術(shù)系統(tǒng)備品備件等……通信保障：專線等通信鏈路，固定電話、手表D.1(續(xù))時間控制(執(zhí)行方)同步執(zhí)行1T向演練現(xiàn)場下達演練開始指令2(停止服務(wù)進程等方式)3與此同時，業(yè)務(wù)部門陸續(xù)接到下級單位報障電話，反映××業(yè)務(wù)部門4二線運管中心接到報告，對故障進行定位，組織進行故障研判二線運管中心5按照預(yù)案，應(yīng)立即將生產(chǎn)系統(tǒng)向備份系統(tǒng)切換，運管中心人員向運行負責(zé)任報告故障情向運行負責(zé)人報告二線運管中心67二線運管中心××系統(tǒng)管理員8通知有關(guān)業(yè)務(wù)部門進行制定統(tǒng)一解釋口徑，通過短信、網(wǎng)站公告、客戶電話等形式提示業(yè)務(wù)部門9綜合部門××系統(tǒng)管理員將生產(chǎn)系統(tǒng)向備份系統(tǒng)切××系統(tǒng)管理員表D.1(續(xù))時間控制(執(zhí)行方)同步執(zhí)行角色/動作管中心向運行負責(zé)人報告系統(tǒng)恢復(fù)情況，告建議在本階段生產(chǎn)運行結(jié)束后切換回主用向運行負責(zé)人報告切換二線運管中心報告恢復(fù)情況二線運管中心演練時間演練地點××單位X×系統(tǒng)所在機房/備份中心演練目的□桌面推演■實操演練□示范演練□跨行業(yè)□跨地區(qū)■單位內(nèi)部□部門內(nèi)部□綜合演練■專項演練管理部門××單位系統(tǒng)運行部參演機構(gòu)8表D.2(續(xù))起止時間參演人員處置(選填)1■系統(tǒng)備份等安全控制措施■演練前是否向總指揮部確認■總指揮部是否正式宣布演練開始□其他(請補充說明)良好無■文字□照片□音像□其他(補充說明具體手段)2■演練總指揮是否對演練全過程進行控制或授權(quán)策劃組控制■各應(yīng)急指揮中心是否按照演練預(yù)案進行事件場景模擬■演練單位是否指定專人按預(yù)案要求將發(fā)現(xiàn)的問題和處置情況向總指揮部報告■各應(yīng)急指揮中心領(lǐng)導(dǎo)小組是否將演練進展情況及時向總指揮■演練執(zhí)行過程是否做好全演練執(zhí)行過程記錄□其他(請補充說明)良好無X■文字□照片□音像□其他(補充說明具體手段)3■演練結(jié)束后，是否由總指揮部宣布演練結(jié)束，且所有人員停止了演練活動■各應(yīng)急指揮中心和總指揮部是否及時總結(jié)■各應(yīng)急指揮中心和總指揮部對演練現(xiàn)場是否進行清理□演練過程中出現(xiàn)突發(fā)相關(guān)情形，總指揮部領(lǐng)導(dǎo)小組是否提前終止□其他(請補充說明)良好無X■文字□照片口音像□其他(補充說明具體手段)49:30之后■各參演機構(gòu)是否恢復(fù)系統(tǒng)■各參演機構(gòu)是否向總指揮部報告系統(tǒng)恢復(fù)情況■演練結(jié)束后次日是否向總指揮部書面報告系統(tǒng)運行狀態(tài)□其他(請補充說明)良好無X■文字□照片□音像□其他(補充說明具體手段)表D.3設(shè)備設(shè)施故障實操演練評估演練時間演練地點××單位××系統(tǒng)所在機房/備份中心演練目的□桌面推演■實操演練□示范演練□跨行業(yè)□跨地區(qū)■單位內(nèi)部□部門內(nèi)部□綜合演練■專項演練管理部門××單位系統(tǒng)運行部參演機構(gòu)評估組成員姓名××單位系統(tǒng)運行部××單位××業(yè)務(wù)部評估項目(1—差、3—合格、5—優(yōu)秀)改進建議1◆演練方案的合理性，可用性2監(jiān)控告警能力◆告警信息是否及時、準確3故障定位能力◆是否準確定位故障點◆是否及時根據(jù)預(yù)案提出解決方案能夠根據(jù)告警信息及時定位故障點并按照建議持續(xù)豐富和細化預(yù)案場景庫表D.3(續(xù))評估項目(1一差、3一合格、5—優(yōu)秀)改進建議4現(xiàn)場指揮協(xié)調(diào)能力◆是否有明確的總指揮和現(xiàn)場指揮◆總指揮和現(xiàn)場指揮命令下達是否正確◆各主管部門是否迅速到位，每個人員標(biāo)志清楚組織架構(gòu)明確，各方響應(yīng)迅速，得分：55參演人員處置能力◆是否就位迅速，職責(zé)明確◆是否處置及時◆是否正確向指揮部反饋處置情況6關(guān)聯(lián)方應(yīng)急聯(lián)動能力◆接口部門及人員是否明確是否響應(yīng)及時◆配合是否流暢7演練保障能力◆應(yīng)急人員(主備崗)是否及時就位◆技術(shù)備品備件是否充足●應(yīng)急物資及必要通信設(shè)備準備是否充足◆是否制定意外情況應(yīng)急措施和回退方案8◆是否通過演練發(fā)現(xiàn)待改進事項◆是否達到預(yù)期目標(biāo)已針對需要改進事項提出有關(guān)建議，經(jīng)評9◆是否符合演練預(yù)算，厲行節(jié)約表演練時間演練地點××單位××系統(tǒng)所在機房/備份中心演練目的□桌面推演■實操演練□示范演練□跨行業(yè)□跨地區(qū)■單位內(nèi)部□部門內(nèi)部□綜合演練■專項演練管理部門參演機構(gòu)××單位綜合部、有關(guān)業(yè)務(wù)部演練評估時間演練評估地點××單位會議室成員演練方案涉及合理，與預(yù)案基本符合；告警及時、準確，能夠根據(jù)告警信息及時定位故障點并按照預(yù)案確定處置方案；組織架構(gòu)明確，各方響應(yīng)迅速，職責(zé)分工清晰，處置迅速；與關(guān)聯(lián)方對接順利，各關(guān)聯(lián)方配合及時有效；改進思路演練時間演練地點××單位數(shù)據(jù)中心演練目的檢驗單位各部門針對火災(zāi)類突發(fā)事件的應(yīng)對能力及災(zāi)備系統(tǒng)可用性，完善與各關(guān)聯(lián)單位的應(yīng)急響應(yīng)聯(lián)動機制，提高全體人員自救能力■桌面推演□實操演練□示范演練■跨行業(yè)□跨地區(qū)□單位內(nèi)部□部門內(nèi)部■綜合演練□專項演練管理部門××單位運維部門參演機構(gòu)大樓物業(yè)、消防部門(單位、角色、職責(zé)分工)指揮組：××單位總經(jīng)理、單位所有部門負責(zé)人組成指揮組(分指揮部),總經(jīng)理任(分指揮部)指揮(明確到人)策劃組：運維部門牽頭，會同各參演部門有關(guān)人員組成策劃組，開展演練方案制定、劇本編寫等(明確到人)保障組：運維部會同大樓物業(yè)負責(zé)演練過程中的安全保障(明確到人，以及聯(lián)系方式)評估組：行業(yè)有關(guān)信息技術(shù)專家組成評估小組對演練情況開展評估(明確到人)人員保障：演練各項工作落實到人(安排主備崗),演練準備及實施全程參與(明確到人)物資保障：技術(shù)系統(tǒng)備品備件、消防設(shè)施(呼吸器等)、緊急照明設(shè)施……通信保障：專線等通信鏈路，固定電話、手機、對講表D.5(續(xù)時間控制(執(zhí)行方)同步執(zhí)行角色/動作1T向××單位下達演練開始指令總指揮部2××單位接受指令，介紹參演場景及演練內(nèi)容××單位分指揮部3××單位向演練現(xiàn)場下達演練開始指令4霧探測器送等方式)××單位運維保障部門5通過監(jiān)控確認告警區(qū)域，立即趕往該區(qū)域?qū)嵉夭榭础痢羻挝贿\維監(jiān)控部門6實地查看確認出現(xiàn)大量煙霧，暫未見明火，火，物業(yè)已報警并將立即啟動火災(zāi)應(yīng)急××單位運維監(jiān)控部門與此同時物業(yè)部門電話向消防部門報警，大樓響起火災(zāi)接到火災(zāi)報警，立即災(zāi)地點消防部門7××單位運維監(jiān)控人員立即向部門負責(zé)人應(yīng)急預(yù)案啟動條件，要求立即啟動應(yīng)急××單位運維監(jiān)控部門運維負責(zé)人同意啟預(yù)案啟動82)通知系統(tǒng)管理員執(zhí)運維負責(zé)人緊急向單位領(lǐng)導(dǎo)報告情況，并要求按照預(yù)案服從綜合部門安排立即疏散古表D.5(續(xù))時間控制(執(zhí)行方)同步執(zhí)行角色/動作預(yù)案啟動9馬上撤離綜合部門綜合部門與撤離系統(tǒng)管理員災(zāi)備中心對有關(guān)系統(tǒng)進行接管，與此同時指定專人統(tǒng)計影響情況并草擬《網(wǎng)絡(luò)安全事件報告書》向上級部門報告災(zāi)備中心指定人員制定統(tǒng)一信、網(wǎng)站公告、客戶電話等形式提示風(fēng)險，開展輿情監(jiān)控，災(zāi)備中心災(zāi)備中心常，持續(xù)統(tǒng)計確認受影響范圍，向上級部門報告災(zāi)備中心中心臨時辦公場地×X單位分指揮部表演練時間演練地點××單位數(shù)據(jù)中心演練目的檢驗單位各部門針對火災(zāi)類突發(fā)事件的應(yīng)對能力及災(zāi)備系統(tǒng)可用性，完善與各關(guān)聯(lián)單位的應(yīng)急響應(yīng)聯(lián)動機制，提高全體人員自救能力■桌面推演□實操演練□示范演練■跨行業(yè)口跨地區(qū)□單位內(nèi)部□部門內(nèi)部■綜合演練□專項演練管理部門××單位參演機構(gòu)大樓物業(yè)、消防部門起止時間參演人員處置(選填)1■系統(tǒng)備份等安全控制措施■演練前是否向總指揮部確認■總指揮部是否正式宣布演練開始□其他(請補充說明)良好無■文字□照片□音像□其他(補充說明具體手段)2■演練總指揮是否對演練全過程進行控制或授權(quán)策劃組控制■各應(yīng)急指揮中心是否按照演練預(yù)案進行事件場景模擬■演練單位是否指定專人按預(yù)案要求將發(fā)現(xiàn)的問題和處置情況向總指揮部報告■各應(yīng)急指揮中心領(lǐng)導(dǎo)小組是否將演練進展情況及時向總指揮■演練執(zhí)行過程是否做好全演練執(zhí)行過程記錄□其他(請補充說明)良好無■文字□照片□音像□其他(補充說明具體手段)上起止時間參演人員處置(選填)3■演練結(jié)束后，是否由總指揮部宣布演練結(jié)束，且所有人員停止了演練活動■各應(yīng)急指揮中心和總指揮部是否及時總結(jié)■各應(yīng)急指揮中心和總指揮部對演練現(xiàn)場是否進行清理□演練過程中出現(xiàn)突發(fā)相關(guān)情形，總指揮部領(lǐng)導(dǎo)小組是否提前終止□其他(請補充說明)良好無■文字□照片□音像□其他(補充說明具體手段)49:35之后■各參演機構(gòu)是否恢復(fù)系統(tǒng)■各參演機構(gòu)是否向總指揮部報告系統(tǒng)恢復(fù)情況■演練結(jié)束后次日是否向總指揮部書面報告系統(tǒng)運行狀態(tài)□其他(請補充說明)良好無■文字□照片□音像□其他(補充說明具體手段)表演練時間演練地點××單位數(shù)據(jù)中心演練目的檢驗單位各部門針對火災(zāi)類突發(fā)事件的應(yīng)對能力及災(zāi)備系統(tǒng)可用性，完善與各關(guān)聯(lián)單位的應(yīng)急響應(yīng)聯(lián)動機制，提高全體人員消自救能力模擬××單位數(shù)據(jù)中心所在大樓突發(fā)火災(zāi)，消防部門接到報警抵達現(xiàn)場并準備對大樓進行封鎖，××單位配合消防部門對大樓人員進同時啟動應(yīng)急預(yù)案，緊急將重要技術(shù)系統(tǒng)切換至災(zāi)備中心，技術(shù)人員撤離■桌面推演□實操演練□示范演練■綜合演練□專項演練管理部門××單位大樓物業(yè)、消防部門評估組成員姓名××單位技術(shù)部××單位綜合部負責(zé)人…評估項目(1—差、3—合格、5—優(yōu)秀)改進建議1◆演練方案的合理性，可用性◆演練方案與預(yù)案符合程度2監(jiān)控告警能力◆告警信息是否及時、準確3故障定位能力◆是否準確定位故障點◆是否及時根據(jù)預(yù)案提出解決方案能夠根據(jù)告警信息及時定位故障點并按照-評估項目(1一差、3一合格、5—優(yōu)秀)改進建議4現(xiàn)場指揮協(xié)調(diào)能力◆現(xiàn)場是否迅速建立應(yīng)急指揮部◆是否有明確的總指揮和現(xiàn)場指揮◆總指揮和現(xiàn)場指揮命令下達是否正確◆各主管部門是否迅速到位，每個人員標(biāo)志清楚組織架構(gòu)明確，各方響應(yīng)迅速，得分：55參演人員處置能力◆是否就位迅速，職責(zé)明確◆是否處置及時◆是否正確向指揮部反饋處置情況6關(guān)聯(lián)方應(yīng)急聯(lián)動能力◆接口部門及人員是否明確◆是否響應(yīng)及時◆配合是否流暢持續(xù)完善關(guān)聯(lián)單位之間聯(lián)絡(luò)機制7演練保障能力◆應(yīng)急人員(主備崗)是否及時就位◆技術(shù)備品備件是否充足◆應(yīng)急物資及必要通信設(shè)備準備是否充足◆是否制定意外情況應(yīng)急措施和回退方案8◆是否通過演練發(fā)現(xiàn)待改進事項◆是否達到預(yù)期目標(biāo)已針對需要改進事項提出有關(guān)建議，經(jīng)評9◆是否符合演練預(yù)算，厲行節(jié)約表D.8災(zāi)害性事件桌面推演總結(jié)出演練時間演練地點××單位數(shù)據(jù)中心演練目的檢驗單位各部門針對火災(zāi)類突發(fā)事件的應(yīng)對能力及災(zāi)備系統(tǒng)可用性，完善與各關(guān)聯(lián)單位的應(yīng)急響應(yīng)聯(lián)動機制，提高全體人員自救能力■桌面推演□實操演練□示范演練■跨行業(yè)□跨地區(qū)□單位內(nèi)部□部門內(nèi)部■綜合演練□專項演練管理部門××單位參演機構(gòu)大樓物業(yè)、消防部門演練評估時間演練評估地點××單位會議室評估專家組成員由××單位技術(shù)部、綜合部及有關(guān)業(yè)務(wù)部門，大廈物業(yè)保障部，消防支隊負責(zé)人等組成演練方案涉及合理，與預(yù)案基本符合；告警及時、準確，能夠根據(jù)告警信息及時定位故障點并按照預(yù)案確定處置方案；組織架構(gòu)明確，各方響應(yīng)迅速，職責(zé)分工清晰，處置迅速；與關(guān)聯(lián)方對接順利，各關(guān)聯(lián)方配合及時有效；改進思路D.3網(wǎng)絡(luò)攻擊事件示范演練案例網(wǎng)絡(luò)攻擊事件示范演練方案適用于通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷造成系統(tǒng)異常或?qū)π畔⑾到y(tǒng)運行造成潛在危害的網(wǎng)絡(luò)安全事件的應(yīng)急演練。本樣例模擬某單位門戶網(wǎng)站遭遇DDoS攻擊的場景，演練期間各項活動所需表格可參照表D.9～表D.13。演練時間演練地點××單位網(wǎng)站系統(tǒng)所在機房演練目的檢驗××單位互聯(lián)網(wǎng)安全防護能力，驗證應(yīng)急預(yù)案和應(yīng)急處置流程，完善與各關(guān)聯(lián)單位的應(yīng)急響應(yīng)聯(lián)動機制某工作日，××單位發(fā)現(xiàn)門戶網(wǎng)站訪問緩慢，經(jīng)判斷為遭遇DDoS攻擊，緊急啟動應(yīng)急預(yù)案并協(xié)調(diào)網(wǎng)絡(luò)運□桌面推演□實操演練■示范演練■跨行業(yè)口跨地區(qū)□單位內(nèi)部□部門內(nèi)部□綜合演練■專項演練管理部門××單位技術(shù)部網(wǎng)絡(luò)運營商、CNCERT、安全廠商(單位、角色、職責(zé)分工)策劃組：技術(shù)部負責(zé)編寫方案、組織策劃保障組：技術(shù)部負責(zé)安全保障(明確到人)評估組：技術(shù)部、綜合部、行業(yè)信息安全專技術(shù)保障：演練相關(guān)網(wǎng)絡(luò)設(shè)備數(shù)量、型號，擬使用的監(jiān)控及處置相關(guān)工具。如入侵檢測系統(tǒng)、防火墻人員保障：信息安全運維人員及演練有關(guān)技術(shù)人員全員到崗場地保障：故障模擬場地、應(yīng)急指揮場地、通信保障：熱線、視頻會議系統(tǒng)、電話會議系統(tǒng)時間控制(執(zhí)行方)同步執(zhí)行1T××單位向演練現(xiàn)場下達演練開始指令2網(wǎng)絡(luò)運營商向演練單位發(fā)起故障中斷通信線路出時間控制(執(zhí)行方)同步執(zhí)行角色/動作故障預(yù)警、響3××單位運維部門監(jiān)控出現(xiàn)門戶網(wǎng)站流量4電話報告故障告、信息發(fā)布5故障及影響范圍，研判風(fēng)險，并確定啟動相應(yīng)應(yīng)急預(yù)案組織進行故障及風(fēng)險研判6號等方式發(fā)布公告7緊急趕來故障現(xiàn)場應(yīng)急決策、指揮、處置、8門戶網(wǎng)站恢復(fù)訪問9持續(xù)跟蹤門戶網(wǎng)站運行情況，并向運維負責(zé)電話報告處置情況及后續(xù)工作網(wǎng)絡(luò)安全廠商對門戶網(wǎng)站安全情況進行評估并提出加固電話溝通情況，請求支援畢及報告演練時間演練地點××單位網(wǎng)站系統(tǒng)所在機房演練目的檢驗××單位互聯(lián)網(wǎng)安全防護能力，驗證應(yīng)急預(yù)案和應(yīng)急處置流程，完善與各關(guān)聯(lián)單位的應(yīng)急響某工作日，××單位發(fā)現(xiàn)門戶網(wǎng)站訪問緩慢，經(jīng)判斷為遭遇DDoS攻擊，緊急啟動應(yīng)急預(yù)案并協(xié)調(diào)網(wǎng)絡(luò)運營商開□桌面推演□實操演練■示范演練□綜合演練■專項演練管理部門××單位網(wǎng)絡(luò)運營商、CNCERT、安全廠商(單位、角色、職責(zé)分工)策劃組：技術(shù)部負責(zé)編寫方案、組織策劃保障組：技術(shù)部負責(zé)安全保障(明確到人)評估組：系統(tǒng)運行部、綜合部、行業(yè)信息安全專技術(shù)保障：演練相關(guān)網(wǎng)絡(luò)設(shè)備數(shù)量、型號，擬使用的監(jiān)控及處置相關(guān)工具。如入侵檢測系統(tǒng)、防火墻人員保障：信息安全運維人員及演練有關(guān)技術(shù)人員全員到崗場地保障：故障模擬場地、應(yīng)急指揮場地、通信保障：熱線、視頻會議系統(tǒng)、電話會議系統(tǒng)名演練主線(按方案步驟執(zhí)行)(鏡頭)同步場景角色/動作1××單位向演練現(xiàn)場下急指揮中2網(wǎng)絡(luò)運營商向演練單位故障預(yù)警、響應(yīng)及報3××單位運維部門監(jiān)控遭遇DDoS攻擊運維人員4運維人員流量告警，經(jīng)初步分析，向負責(zé)人電話報告同意啟動應(yīng)急預(yù)案應(yīng)急決策、息發(fā)布5及影響范圍，研判風(fēng)險，并確定啟動相應(yīng)應(yīng)急預(yù)案急指揮中負責(zé)人我單位門戶網(wǎng)站遭遇提出有關(guān)建議6按應(yīng)急預(yù)案，緊急與運營商溝通啟動流量清洗服務(wù)運維人員我單位門戶網(wǎng)站遭遇DDoS攻擊，請立即啟動表D.10(續(xù))序號演練主線(按方案步驟執(zhí)行)(鏡頭)同步場景角色/動作應(yīng)急決策、息發(fā)布7我單位門戶網(wǎng)站遭遇與安全服務(wù)廠商電安全服務(wù)廠商8運營商流量清洗完成，網(wǎng)絡(luò)流量恢復(fù)正常，門戶網(wǎng)站恢復(fù)訪問管中心作人員已完成流量清洗工作，請正常，網(wǎng)站恢復(fù)正常訪問，持續(xù)跟蹤人員9告情況運維人員運營商已完成流量清洗，目前監(jiān)控顯示流量正常，網(wǎng)站恢復(fù)正常訪問，請向負責(zé)人電話報告要求進一步跟蹤網(wǎng)與CNCERT溝通請求提員、安全××單位門戶網(wǎng)站于今日×點×分遭遇DDoS攻常，網(wǎng)站恢復(fù)正常訪問，后續(xù)反饋)畢及報告、點評急指揮中急指揮中演練時間演練地點××單位網(wǎng)站系統(tǒng)所在機房演練目的檢驗××單位互聯(lián)網(wǎng)安全防護能力，驗證應(yīng)急預(yù)案和應(yīng)急處置流程，完善與各關(guān)聯(lián)單位的應(yīng)急響應(yīng)聯(lián)動機制某工作日，××單位發(fā)現(xiàn)門戶網(wǎng)站訪問緩慢，經(jīng)判斷為遭遇DDoS攻擊，緊急啟動應(yīng)急預(yù)案并協(xié)調(diào)網(wǎng)絡(luò)□桌面推演□實操演練■示范演練■跨行業(yè)□跨地區(qū)□單位內(nèi)部□部門內(nèi)部□綜合演練■專項演練管理部門××單位參演機構(gòu)網(wǎng)絡(luò)運營商、CNCERT、安全廠商起止時間參演人員處置(選填)1■系統(tǒng)備份等