▼
网络安全应急响应预案又称网络安全应急响应预案计划,是针对可能发生的网络安全突发事件,为保证迅速、有序、有效地开展应急与救援行动、降低事故损失而预先制定的包括网络信息系统运行、维持、恢复在内的策略和规程,应急响应预案与应急响应实践是相互补充与促进的关系。一方面,应急响应预案为应急响应实践提供了指导策略和规程,另一方面,应急响应实践可以发现事前制定的应急响应预案的不足,从而吸取教训,进一步完善应急响应预案。毫无章法和事前准备的应急响应有可能造成比突发事件本身更大的危害和损失。由此可见制定应急响应预案的必要性。这是制定应急响应预案之前就应有的认识,是制定应急响应预案的思想准备。应急响应预案规范要求使用者按照既定标准、规范的要求进行操作,使应急响应预案达到规定的标准。
一、风险评估与业务影响分析
(一)预案工作的3个阶段
在应急响应涉及的各种活动中需要抓住应急响应预案的3个关键环节,即预案的准备、编制和实践,形成了一个不断反馈螺旋上升的闭环。应急响应的基础是预案的准备,应急响应的依据是预案的编制,应急响应的核心是预案的实践。
1、预案的准备阶段
即所谓“不打无准备之仗”。在从事任何一项工作之前都要弄清楚为什么和是什么,应急响应也不例外。应急响应预案的准备就是指应急响应需求分析和应急响应策略的确定。需求分析和策略的确定是建立在风险评估的基础之上,并且紧紧围绕着组织的业务战略来展开的。
2、预案的编制阶段
在明确了应急响应的需求和响应策略的基础上,科学编制预案文件。
3.预案的实施阶段
预案策略完成后,需要对应急响应参与的人员按照预案进行培训,演练实战和更新。如果演练不成功,应急预案也就失去了存在的价值,甚至成为了一个对组织工作的负累、百害而无一用的预案。
网络安全应急响应预案的工作流程如图1所示。
图1 网络安全应急响应预案的工作流程
(二)风险评估
风险评估就是确定网络安全事故灾难造成的损失的过程,是依据有关网络信息安全技术与管理标准,对信息系统及由其处理、传输和存储信息保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及利用脆弱性导致安全事件的可能性,并结合网络安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
风险评估包括风险分析和分级。风险分析是将风险数据转换为能更好地帮助决策的形式,风险分级则确保团队成员能够定位首要的项目风险。
风险评估实施策略如图2所示。
图2 风险评估实施策略
为了保证风险策略实施的连续性和一致性,与已有安全策略相关的文档进行确认是非常重要的。已有安全策略文档对具体安全措施起指导性的作用,但为了有效实施安全策略,在风险评估过程中,需要根据评估文档对已有安全策略进行及时、详细的补充。
(三)业务影响分析
业务影响分析(BIA,Business Impact Analysis)是在风险评估的基础之上分析各种网络安全事件对业务功能可能产生的影响,进而确定响应的恢复目标。
BIA所要求完成的工作包括两层含义:一是在风险评估的基础上分析各种网络安全事件发生时对业务功能可能产生的影响,是风险分析的结果;二是BIA还有进一步的要求,那就是在风险分析的基础上确定应急响应的恢复目标。
那么什么是应急响应的恢复目标?怎样确定需要恢复的目标?如何度量目标已有效恢复?恢复目标的确定实际上就是在风险评估中所识别和整理出来的“重要资产清单”,为了科学地衡量目标是否有效恢复,需要进一步确定以下两点。
1.优先顺序
关键业务功能及恢复的优先顺序。也就是模拟整个组织的业务全面中断之后,最先应该抢修的是哪个子系统。可依据的指标是时间和范围,即恢复时间目标(RTO, Recovery Time Object)和恢复点目标(RPO,Recovery Point Object)的范围。模拟业务停顿随时间而造成的损失,进而确定优先顺序对组织而言是比较合适的。
2.业务重要性
业务越重要,相应的RTO值就越小。从用户的角度来讲当然希望所有RTO都趋于零,但这在应急响应中是办不到的,否则就落入了什么都重要等于什么都不重要的怪圈,因此需要从风险控制和承担剩余风险的角度来量化分析RTO和RPO。
二、制订预案文档
(一)预案说明
编制网络安全应急响应预案在应急响应规划过程中起着非常重要的作用,应急响应预案描述支持应急操作的技术能力并适应机构及其需求,应急响应预案需求在详细程度和灵活程度之间取得平衡,通常是预案做得越详细,在实施过程中的弹性和通用性越小。预案编制者应该根据实际情况对安全实际情况及其内容进行适当的调整,使安全策略更适合组织特定的系统、操作和机构需求。
从功能上说,应急响应预案应该提供执行事故/灾难恢复的操作过程的描述,在事故/灾难发生后,按照应急响应预案,企业可以调动当前的资源来指导应急响应人员进行数据和业务的恢复,而且是在尽量短的时间内,用尽量小的代价恢复尽量多的数据,从而保证企业关键业务的连续性。
从内容上讲,应急响应预案包括企业的网络信息系统中断后进行恢复的相关操作和流程、详细的人员划分和调度、人员的各自职责和相关的操作规程。应急响应预案的格式应该能够给要求进行恢复操作的人员(甚至有时可能包括对灾难恢复不熟悉的人员)提供快速明确的指导。应急响应预案应能为网络安全事件中不熟悉预案的人员或要求进行恢复操作的系统提供快速确定的指导。预案应明确、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。
应急响应预案应包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个基本要素,下面分别进行简要阐述。
(二)预案总则
预案总则提供了重要的编制应急预案的背景和相关信息,使应急响应预案更容易理解、实施和维护。总则包括编制目的、编制依据、适用范围、工作原则等。
1、编制目的
简要介绍制定网络安全应急响应预案的原因和目标,预案为使用者简要回答“为什么”需要该安全应急预案。
2、编制依据
说明编制网络安全响应预案的依据。供参考的依据包括(但不限于)国家有关网络安全应急响应的相关标准、政府和企业制定的有关突发公共事件应急响应的文件、本单位突发公共事件应急响应预案、本单位网络安全保障工作的相关文件等。预案告知使用者本预案“凭什么”这么制定的问题。
3、适用范围
说明预案的作用范围,解决哪些问题,不解决哪些问题。预案告知使用者预案中“有什么”。不属于该预案所罗列的其他安全问题,不在解决范围之内。
4、工作原则
确定应急响应预案组织和实施原则。阐述应对安全事件的准则。预案告知使用者在执行安全应急预案时“如何做”的原则。
(三)分工及职责
网络安全应急响应是日常工作的有机组成部分,因此应结合本单位日常机构建立网络安全响应的工作机构,并明确其职责。根据企业实际情况,一些工作人员可负责多种职责,一些职位可由多人担任。通常该单位分管信息化建设的主管出任应急响应机构的负责人,如果该单位是属于“网络安全敏感性”部门,换言之,网络安全事件等同于通常意义的安全事件如基础电信企业等,则建议由第一领导出任网络安全应急响应机构的负责人。
由于网络安全应急响应是和突发安全事件所造成的灾难“争时间、抢速度”,所以可聘任权威技术机构的专家协助应急响应工作,也可委托具有相应资质的专业技术服务机构承担应急响应的部分或主体工作。图3为应急响应工作机构。
图3 网络安全应急响应工作机构
网络安全应急响应的工作机构由管理、业务、技术和行政后勤等部门的人员组成,按角色可划分为5个功能小组,即网络安全应急响应领导小组(具体执行机构为应急办,但对于企业而言二者实际可合一办公)、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组。人员配置的原则是:分配到各相关小组中的人员在正常条件下负责的也是相同或类似的工作。
特别需要指出的是,应急响应预案的组织实施必须在应急响应领导小组的统一指挥下开展,组长应尽可能由组织最高管理层成员担任,领导小组的职责是领导和决策网络安全响应的重大事宜,因此,预案是否可行的最终决定权是由领导小组审核批准的。
现将功能小组职责表述如下。
1、网络安全应急领导小组的职责包括下述6个方面
(1)对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人、财、物)等。
(2)审核并批准应急响应策略。
(3)审核并批准应急响应预案。
(4)批准和监督(或指挥)应急响应预案的执行。
(5)启动定期评审、修订应急响应预案。
(6)负责组织的外部协调工作。
2、网络安全应急响应技术保障小组的主要职责包括以下2个方面
(1)为网络安全事件的处置工作提供基础技术与工具等保障。
(2)协助配合实施小组及时有效应对网络安全事件。
3、网络安全应急响应专家小组的主要职责包括3个方面
(1)对重大网络安全事件进行评估,提出启动应急响应级别的建议。
(2)研究分析网络安全时间的相关情况及发展趋势,为应急响应提供咨询或提出建议。
(3)分析网络安全事件原因及造成的危害,为应急响应提供技术支持。
4、网络安全应急响应实施小组的主要职责包括下述9个方面
(1)分析应急响应需求(如风险评估、业务影响分析等)。
(2)确定应急响应策略和等级。
(3)实现应急响应策略。
(4)编制应急响应预案文档。
(5)实施应急响应预案。
(6)组织应急响应预案的测试、培训和演练。
(7)合理部署和使用应急响应资源。
(8)总结应急响应工作,提交应急响应总结报告。
(9)执行应急响应预案的评审、修订任务。
5、网络安全应急响应日常运行小组的主要职责包括以下7个方面
(1)协助灾难恢复系统实施。
(2)备份中心日常管理。
(3)备份系统的运行和维护。
(4)应急监控系统的运作和维护。
(5)参与和协助应急响应预案的测试、培训和演练。
(6)维护和管理应急响应预案文档。
(7)网络安全事件发生时损失控制和损害评估。
网络安全应急响应组织应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作,以确保在网络安全事件发生时能及时通报准确情况和获得适当支持。
(四)预防和预警机制
预防和预警机制是一种防御性的方法,即所谓的“将安全隐患消灭在萌芽状态之中”。重视网络安全事件的预防和预警,比网络安全事件发生后进行应急响应更好。在预防机制中,最常见的措施就是进行容灾备份。根据本单位的实际情况所采取的预防机制应被记录在应急响应预案中,同时还应对相关人员进行培训,使他们明确如何及何时使用这些预防、预警手段。
常言道“失败是成功之母”。应加强对以往发生的网络安全事件的总结和可能引发的网络安全事件相关信息的收集,分析判断和持续监测。
(五)制订应急响应流程
网络安全应急响应流程是应急预案的核心精华部分,它描述并规定了网络安全事件发生后应该采取的工作流程和相应条款,目的是保证应急响应能够有组织地执行,从而最大程度地保证应急响应的有效性。
整个应急响应流程中包含了网络安全事件通告、事件定级(网络安全事件评估)、应急启动、应急处置和后期处置5个部分,下面对这5个部分分别进行阐述。
1、事件通告
事件通告部分又包括信息通报、信息上报和信息披露3个部分。
(1)信息通报
信息通报是“纵向通报”,信息通报分为组织内信息通报和组织外信息通报两部分。组织内信息通报的目的是在网络安全事件发生后迅速通知应急响应日常运行小组,并根据评估结果迅速通知所有相关人员,从而快速有序地启动和实施应急响应预案。组织外信息通报的目的是将相关信息及时通报给收到负面影响的外部机构。互联的单位系统及重要用户,有时根据应急响应的需要,应将有关信息准确通报给相关设备设施及服务提供商(包括电信、电力等)等外部组织,以获得适当的应急响应支持。值得注意的是,对外信息通报应符合组织对外信息发布的有关规定,避免出现由于轻率的信息发布而带来的不必要的“心理恐慌”。
组织内信息通报是信息通报的重点和关键,因为它决定了组织处理网络安全事件的速度和效率,所以这里着重分析说明组织内信息通报。
在网络安全事件发生后,应通知应急响应日常运行小组或应急响应专家小组,确定事态的严重程度和下一步将要采取的行动。在损害评估完成后,要尽快通知应急响应领导小组。
图4 网络安全应急响应呼叫树示例
以应急响应领导小组组长为例,一旦在突发网络安全事件发生之时联系不上该组长,那么根据呼叫树显示的下一步联系人为应急响应领导小组副组长,其次是领导小组成员 1、成员2…以此类推。
表1 应急响应人员联络表
(2)信息上报
信息上报是“纵向通报”。网络安全事件发生后,应该按照相关规定和要求,及时将情况上报给上级主管或者监管单位和部门,需要上报的网络安全事件一般属于二级或二级以上的安全事件(见事件定级的介绍),对于低等级的安全事件可以予以记录档案,或以月报/季报/年报等形式提交给上级主管或者监管部门,以供长期跟踪研究和大范围安全事态预报研究。安全事件报告表模板如表2所示。
表2 网络安全事件报告表
(3)信息披露
信息发布的目的是避免网络安全事件影响被误传或讹传,及时掌握和引导公众舆论,同时规范组织内部人员的信息披露,保证信息发布口径的一致性。因此,网络安全事件发生后,应根据信息安全事件的严重程度,授权特定的小组(如政府部门、企业公共关系部门的新闻发言人等)按照有关规定及时向新闻媒体发布相关信息,同时组织内的其他部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。
2、事件定级
对于突发网络安全事件进行分类和分级是进行应急响应的必然选择。确定网络安全事件发生后对系统损坏性质和损坏程度的评估,是启动和实施应急响应预案的前提。这个损害评估应该在确保人员安全(这里主要是由于网络安全事件所带来的次生灾害,如医院信息系统安全事件导致CT机故障等)这个最优先任务的前提下尽快完成,所以应急响应日常运行小组或专家组应该是第一个得到事件通知的小组,以便尽快得出评论结果。损害评估的侧重点“因系统而异”,但是总的来说应该从以下几个角度进行分析。
(1)受到紧急情况影响的业务系统或区域。无论在何种情况下,保证组织的业务连续性和重要性始终都是应急响应的首要目标。所以应该首先评估组织的主要业务系统或业务区域受到何种程度的影响,并以此作为事件定级的主要依据。
(2)潜在的附加影响或损失(即次生灾害)。由于信息系统将组织的业务与其他组织的业务越来越密切地联系在一起,所以对网络安全事件的滞后影响,次生灾害也应当予以评估。
(3)造成紧急情况或系统中断的原因。在评估业务影响的同时,也积极组织技术力量分析造成安全事件的原因。需要指出的是,对于许多组织而言,特别是那些业务连续性非常重要的组织,应当“先解决后问责”,如立即启动备份系统确保业务尽快恢复到正常状态,随后再分析事故起因。对于那些业务联系连续性要求不高的组织(如企业门户网站等)则可先分析事故起因,再按照应急响应预案确定解决办法。
(4)物理环境(如中心机房结构的完整性、电源、通信及制热、通风和空调的情况)的状况。要注意网络安全事件并不总是等于“黑客攻击事件”,在很多情况下是由于设备故障或物理环境改变甚至仅仅是通信线路接口松脱引起的。所以在考虑事故定级的同时,也应该快速检测物理环境是否有所改变。
(5)系统设备的总量和功能状态(如具备主要功能、具备部分功能、丧失所有功能等)。
(6)系统设备及其存货的损失类型(如水害、水灾或热能、物理及电涌影响)。
(7)被更换的项目(如硬件、软件、固件或支持材料)。
(8)估计恢复正常服务所需的时间。
完成损坏评估后,应急响应日常运行小组应确定网络安全事件的类别与级别。表3是关于网络安全事件信息系统故障响应等级表,事件定级标准遵照国家《信息安全技术·信息安全事件分类分级指南》,分成4个等级。
表3 网络信息系统安全事件的响应等级
应急响应日常运行小组的人员应该通过经常性的应急演练等熟悉安全事件定级,因为事件的级别决定了应急响应的级别。一旦系统影响被确定,就应该将最新信息和对比情况的应急响应预案通知给应急响应领导小组。
“四级事件”属于日常运行维护服务范畴,基本无需启动应急措施。“三级事件”虽然仍由日常运行维护人员处理,但需要应急响应有关人员告知。事件从四级升级到三级时,由运行维护服务人员及时通知应急响应小组启动应急响应预案。“二级事件”和“一级事件”属于应急响应事件,必须全面启动网络安全应急响应预案。
3、应急启动
应急响应预案的启动(激活)代表“作战命令”的正式下达,组织的信息系统甚至整个组织就从“平时运行维护状态”转入了“战时应急状态”。预案的启动应该注意以下三点。
(1)启动原则:果断、快速、有序。“果断”是指应急响应领导小组基于安全事件的评估结论,定下响应决心。因此事件评估是指挥决策的关键。“快速与“有序”是指整个应急响应团队的协同要非常流畅,包括预案启动的通知、人员到位、事件处理、外协单位(如应急设备供应商等)进场等应按照响应流程有条不紊地展开。
(2)启动依据:一般而言,对于导致业务中断、系统宕机、网络瘫痪等突发网络安全事件应该立即启动应急响应预案。但由于组织规模、构成、性质等的不同,不同的组织对突发、重大网络安全事件的定义可以不一样,因此,各个组织的应急响应预案的激活条件可能各不相同。激活条件可以基于以下4个方面考虑。
1)人员的安全或数据、设施的损失程度。
2)系统损失的程度(如物理的、运作的或成本的)。
3)系统对于组织业务的影响程度(如保护资产的关键基础设施)。
4)预期的中断持续时间。
当对系统损害评估的结果显示一个或多个条件被满足时,就应该立即启动相应预案。
启动方法:一般情况下总是由网络安全应急响应领导小组发布应急响应启动令。但需要注意的是,在特殊情况下(如特别重大网络安全事件的发生或特殊组织、特殊岗位等),事件发生现场人员应该按照预先制定的响应方案立即采取抢险措施,同时请示网络安全应急响应领导小组发布应急响应启动令,以获取更大范围的支持。一种有效方法是由网络安全应急响应领导小组事先授权给特殊岗位的人员,以便在特殊情况下第一线人员能够果断决定。但使用这种例外的方式更要慎重,在平时就应该由网络安全应急响应领导小组进行仔细研究和审批。
4、应急处置
应急响应启动令一旦下达,就应该立即采取相关措施抑制和清除网络安全事件影响,避免造成更大的损失。目前在网络安全领域对应急响应和灾难恢复没有进行严格的区分,因为这牵涉到组织的规模、安全事件的影响范围等因素。一般而言,一个组织的规模越小、业务范围越窄、受影响的系统越少,应急响应与灾难恢复就属于同一个范畴。但是对于关键部门、重要信息系统(如省级或省级以上的电子政务系统、金融、电力、能源、交通、航空等国家重要基础设施的信息系统),应急响应与灾难恢复就应当加以区别,这就如同特大自然灾害发生后的抢险救灾与灾后重建就是两个不同(当然也密切相关的)阶段,各自有其工作重心、恢复时间和恢复目标。有兴趣的读者可参阅国家有关《信息系统灾难恢复指南》等标准和国外有关机构的相关资料,以便在应急响应和灾后恢复工作中加以细化。
在采取应急措施有效控制了网络安全事件影响后,就应该开始恢复操作,恢复阶段的行动集中于建立组织的临时业务处理能力(如备份数据的导入等)、修复受损害的系统、在原系统或新设施中恢复业务运行能力等应急措施。
下面分别对恢复顺序、恢复任务和恢复流程等进行说明。
(1)恢复顺序
在进行系统应急恢复时,恢复顺序就是业务影响分析(BIA,Business Impact Analysis)中确定的系统优先顺序。恢复的顺序应该反映出系统允许的(也往往称为可容忍的)中断时间。要注意这里的中断时间不仅是指受损设备本身,还应该由设备受损后给组织业务造成的影响来决定。例如,需要事先确定主要数据库服务器、核心交换机等关键设备受损后,对整个组织业务影响可以容忍的中断时间是多少,以避免对相关系统及其业务应用造成进一步重大影响。容忍时间越短的,恢复优先级越高,这就好比抢救一名心力衰竭并且肢体也受到严重创伤的病人,首先就要实施电击起搏、止血等抢救,然后再进行受创肢体的消毒、包扎等工作。
(2)恢复任务
为了有条不紊地进行恢复操作,网络安全应急响应预案需要提供详细的恢复任务,并事先将这些任务分配给适当的恢复小组。恢复任务通常涉及以下行动。
1)获得访问受损设施和地理区域的授权。例如,在应急响应人员抵达现场时,由于受损设施在平时往往有相应的安全防护手段(口令等),或者涉及组织敏感业务而需要授权进入/使用,因此要保证必要的信息沟通以便抢险人员“无障碍”地展开工作。对于进行远程网上救援指导的专家,这些信息沟通就显得更为重要。
2)通知相关系统的内部和外部业务伙伴,内部人员和外部业务伙伴除了参与应急响应的人员之外,还要包括组织的业务部门相关人员。例如,一个组织的财务软件系统严重受损,原材料采购部门和销售部门的人员就应该获得通知,同时外部业务合作伙伴和银行等相关人员也应该获得通知。
3)获得所需的应急用品和工作场所。应急用品包括软件(如操作系统、数据库、数据恢复软件、组织业务系统所运行的大型专用软件等)、硬件(如替换双机热备中受损主系统的硬件、数据恢复专用设备、存储设备、介质和光缆等)和网络检测设备等;应急工作场所一般情况下应当是在事故发生现场,但对于重大安全事件(如机房火灾、爆炸),则需要开辟临时工作场所。这些工作均需要根据组织的实际情况,事先考虑在应急预案之中。
(3)恢复流程
针对恢复任务,需要整理出分解给各个应急小组的恢复流程。网络安全应急响应预案的编写人员要将其逐一细化并落实在应急响应预案中。恢复流程应按照直接和分步骤的方式书写。为了防止在网络安全事件中产生误解或混乱,不能假定或忽略规程和步骤,并且需要在应急演练中不断完善。
检查列表(Check List)是在制定恢复流程中常使用的一种简单方法,它有助于细化恢复流程,查找问题结点。表4是一个数据库应急恢复任务小组的恢复流程检查表,供参考。
表4 数据库恢复流程检索
5、后期处置
通过应急处理成功解决网络安全事件后,应急响应工作并未结束,还需要尽快组织相关人员进行信息系统重建,同时还需要对网络安全事件应急响应进行总结,如果有必要还需对应急响应预案进行完善。
(1)信息系统重建
在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。具体的方法如下。
1)统计分析各种数据,查明原因。例如,收集和分析各种日志记录和监控设备录像等。这个步骤在事后的责任追究甚至法律介入时将起非常关键的作用。组织应指定专人(或专业机构)妥善保管各种电子文档。
2)对网络安全事件造成的损失和影响及恢复重建工作进行分析评估。对照 BIA 所确定的各项指标,评估现有的状态与这些指标之间的差距,进而分析弥补这些差距所需要投入的各种资源(人力、物力、重建周期等)。
3)认真制定恢复重建预案。在充分分析论证的基础上,制定重建预案并组织实施信息系统重建工作。对已经发生的安全事件要有足够的应对措施。
4)重建工作完成后,对所采取的措施要进行(简要的)风险评估,使组织的业务从“战时状态”恢复到“平时状态”,并为下一次又进入“战时状态”做好准备(所以说风险评估与应急响应是一个组织网络安全的常态性工作)。
(2)应急响应/事件总结
应急响应/事件总结是应急处置之后应进行的工作,具体工作如下。
1)分析和总结事件发生原因。
2)分析和总结事件现象。
3)评估系统的损害程度。
4)评估事件导致的损失。
5)分析和总结应急处置记录。
6)评审应急响应措施的效果和效率,并提出改进建议。
7)评审应急响应预案的效果和效率,并提出改进建议。
这部分工作也可以与“信息系统重建”结合在一起。表5提供了一个网络安全事件应急响应总结报告的参考模板。
表5 网络安全事件应急响应总结报告模板
(六)应急响应保障措施
“兵马未动,粮草先行”。应急响应预案作为一个组织的“战时方案”,后勤保障是取胜的前提条件。考虑到各个组织的性质和需求可能存在很大的差异,相应的保障措施具体内容是可选择的,也可以做适当调整。
1、人员保障
在整个网络安全的应急响应过程当中,人员保障是最重要的,任何与应急响应有关的工作都需要根据角色分工,但人员保障、物质保障和技术保障这3个大的方面是应急预案必须包括的内容。落实在人上,而不仅仅是层层传达到各个部门。人员保障分为管理和技术2个方面。
(1)管理人员保障
组织要依据自身的职责制定具体角色和职责分工细则,细则需要制度化,并依据现有人员的实际情况制定合理工作安排,工作安排要直接落实到人,形成所有管理人员独立的应急操作手册,如有人员安排变动时要及时更正手册,并保证管理人员所使用的手册版本是最新的。管理人员的具体保障由应急响应领导小组统一规划和组织管理。
(2)技术人员保障
技术人员保障通过建立应急响应技术保障小组和应急响应专家小组来进行,所有的技术保障问题统一由应急响应技术保障小组负责。应急响应技术保障小组要依据应急的技术需要制定具体角色和职责分工细则。细则需要制度化,并依据现有人员的实际情况制定合理工作安排。工作安排要落实到人,形成所有技术人员独立的操作手册,如有人员工作安排变动时要及时更正手册,并保证技术人员所使用的技术手册是最新的。
应急响应技术保障小组可以依据自身的工作特点、协助单位与人员的具体情况制定应急协同调度方案,但无论采取什么方案均要有具体的协同工作记录以备审计。这里需要特别的指出的是,由于设备供货商或研发单位的技术支持部门可能同时与多家组织签署了服务合同,所以要明确规定大规模应急事件发生的时候,这些第三方协作机构也要根据自身的实际情况,对自身的技术支持队伍和服务对象的重要性进行优先级排序,避免多起网络安全事件并发的时候产生混乱。
2、物质保障
物质保障是实现应急响应的基础条件,包括基础物质保障和应急响应物质保障。
(1)基础物质保障
应分析为了及时启动网络安全事件应急响应流程,需要什么样的基础物质保障,即基础物质需求分析,这些需求应与技术保障和日常管理相关联的。即应该保证日常技术保障的实现、日常管理工作的开展和应急响应技术服务在应急处理时的及时到位。物质需求由应急响应技术保障小组提出,应急响应日常运行小组负责落实。
(2)应急响应物质保障
应急响应物质保障包括财力保障、交通运输保障、治安维护和通信保障等部分。
1)财力保障,要保证所需网络安全事件应急响应资金。这部分内容既包括应急设备采购、组织内部人员所需的必要费用,也包括应急响应设备采购、组织内部人员所需的必要费用,也包括应急响应外协单位的服务费用。
2)交通运输保障,要协调保障紧急情况下应急交通工具的优先安排、优先调度、优先放行,确保运输安全畅通。要依法建立紧急情况社会交通运输工具的征用程序确保抢险救灾和人员能够及时安全地送达。应根据应急处置需要,对现场及相关通道实行交通管制,开设应急响应“绿色通道”确保应急救援工作的开展。
3)治安维护,重大网络安全事件发生之后,特别是影响范围已经超出了信息系统或组织内部本身的情况下,治安维护工作除了通常意义下的维持应急抢修秩序,还包括对事发现场的保护,以利于事故原因取证。
4)通信保障,对于国家和区域性行政部门,或者大型基础设施信息系统(电力、航空、交通、能源和金融等),应建立健全应急通信、应急广播电视保障工作体系,完善共用通信网,建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统,确保通信畅通。对于规模较小的组织,尽管所依赖的基础通信设施未受到影响,但也应该有通信保障预案,确保多渠道信息通报机制的畅通。
3、技术保障
技术保障是网络安全事件应急响应的必备手段,由应急响应技术保障小组统一负责,它包括应急响应技术服务与日常技术保障两部分。
(1)应急响应技术服务
根据对组织BIA的分析,应急响应技术保障小组可制定网络安全事件技术应对表,并以此来选择合适的技术服务者或服务机构,同时要明确组织与个人、组织与服务机构的职责和沟通方式。
(2)日常技术保障
日常技术保障包括事件监控与预警的技术保障、应急技术保障两部分。
1)预防是应对网络安全突发事件“成效比”最高的方式之一。而预防则取决于日常工作中对各种蛛丝马迹的发现和分析,即事件监控与预警。事件监控与预警的技术保障由应急响应日常运作小组负责,是应急响应日常运作小组的常规职责。有条件的组织应建立相应的监控与预警部门之间的信息交流(如果这个部门不是应急响应的日常运行小组的话)。信息系统的复杂性、虚拟性和海量信息处理的时效性等加大了对事件监控和预警的难度,所以相关组织也应有针对性地使用各种网络监控工具和分析工具(如嗅探器、逆火等常用工具),逐步加强对事件的监控与预警能力。对网络安全事件进行日常监控的方法(手段)、流程、记录等应明确是谁的职责,落实到人。
2)应急技术储备。应急技术储备由应急响应技术保障小组配合应急处理技术服务和技术人员保障来实现。尽管对于不同规模的组织,应急技术储备的广度和深度各不相同,但包括“数据恢复技术”等技术储备是所有组织均需要的,建议组织根据应急技术服务来确定和不断完善应急技术储备方案,从而做到“召之即来,来之能战,战之能胜”。当然这个原则对人员、物力等保障也是适用的。
(七)预案附件
网络安全应急响应预案的附件提供了预案主体不包含的关键细节,内容应根据系统和预案的需求确定。常见的网络安全应急响应预案附件包括以下几种。
1、具体的组织体系结构及人员职责说明。
2、应急响应预案各个小组成员的联络清单。
3、供应商联络清单,包括离站存储和备用站点的外部联系点(POC)。
4、系统恢复或处理的标准操作规程和检查列表。
5、支持系统运行所需的硬件、软件、固件和其他资源的设备和系统需求清单,每个条目应包含详细内容,包括型号或版本号、规格说明和数量等。
6、供应商服务水平协议(SLA,Service Level Agreement)、与其他机构互惠协议、谅解备忘录和其他关键记录。
7、场所紧急预案、运行连续性预案的描述和说明。
8、在预案制订前进行BIA,包含关于系统各部分相互关系、风险、优先级别等。
9、应急响应预案文档的保存和分发方法。
10、IT标准操作规程。
三、结语
本文讨论了网络安全应急响应预案规范的一些内容,首先,介绍了在预案中的规范性引用文件;其次,重点介绍了应急响应预案在编制前的一些准备工作,包括风险管理、业务影响分析和制定应急响应预案文档的相关策略;最后,详细地阐述了编制应急响应预案文档的6个基本要素。在总则中,提出预案的编制目的、编制依据、适用范围、工作原则;在应急预案中的5个角色和职责,即应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组;在预防和预警机制中,提出最常见的措施就是进行容灾备份;在应急响应流程描述并规定了网络安全事件发生后应该采取的工作流程和相应条款;在应急响应保障措施中提出人员保障、物质保障和技术保障是必须包括的内容;在附件提供了预案主体不包含的关键细节。
希望大家,能对应急响应预案规范中所提出的编制准备,以及预案中的基本内容有深刻的理解,根据相应的情况能够规范地组织编写应急响应预案,并根据风险评估过程文档对预案做快速、有效的调整。总之,在面对各种突发事故,保证事发时能够临危不乱、各司其职、处置快捷,把危害和损失降到最低。
▲- The end –