安服筆記：如何開展網絡安全應急演練？

前 言

網絡應急演練是指用戶組織相關人員，依據有關網絡安全應急預案，開展應對網絡安全事件的活動。通過模擬真實的安全事件呈現單位內部應對應急事件處置過程，檢驗應急響應中各方的協同反應水平和實戰能力、評估應急響應預案的實用性、可行性、可靠性為目的。

為什么要開展應急演練

1、從合規角度出發

《網絡安全法》第25條規定：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

2、從業務角度出發

如今，政府機關、企事業單位等組織業務運營高度依賴信息化，一旦出現安全事件時，會造成重大經濟損失和社會影響。制定相關單位的應急預案是在發生網絡安全事件時及時快速響應、處置事件的必要手段，而應急演練工作的開展恰恰是檢驗應急預案的合理性、及時性、有效性的實質性檢驗標準。

應急演練與攻防演習的區別

在如今攻防演習深入人心的大趨勢下，很多人都搞不清楚應急演練與攻防演習（或者攻防演練）究竟有啥地方不一樣，應急演練與攻防演練要達到的根本目標是其主要的區別。

應急演練的根本目標：

檢驗發生安全事件時本單位的制定應急預案的科學性、實用性和可操作性；應急人員隊伍能力差距；網絡安全事件的應對水平以及內部協同配合能力；應急響應工作機制。來提高政府機關、企事業單位應急響應能力建設，提高應急響應工作水平，提升內部員工網絡安全防范意識。

攻防演習的根本目標：

是檢驗政府機關、企事業單位的安全建設、安全防御體系是否存在遺漏或者薄弱點，來指導后續的安全防御體系建設，提升整體安全防御能力。

應急演練的開展形式

應急演練的開展方式一般分為以下兩種：

1.桌面推演：根據應急預案，

a.利用流程圖、計算機、視頻會議等輔助手段；

b.針對事先假定的某一演練場景進行模擬應急決策及現場處置過程。

2.現場演練：根據應急預案，

a.利用網絡與信息系統真實環境或靶場技術，模擬突發事件場景；

b.完成現場判斷、決策、處置等環節的應急響應過程，演練過程中需各方資源的協調和配合、各類問題和風險的應對。

應急演練的流程

應急演練的一般流程分為：

1.演練準備工作：

一是演練場景的選擇，一般演習場景主要為：勒索、挖礦類病毒木馬類事件、web網絡攻擊事件（如：SQL注入，文件上傳，XSS攻擊等）、DDOS拒絕服務攻擊事件、網頁篡改、網站暗鏈等事件類型，整個演練可根據實際情況進行單個場景或者多個場景組成綜合性場景進行演練；二是演練方案、演練場地的準備。

2.演練環境搭建：

依據演練環境、系統、攻擊展現方法和防守展現方法，根據演練地點位置，搭建、測試與調試演練系統環境。攻擊目標一般有三種方式：第一，以真實系統作為演練目標（一般需提前對系統進行滲透測試，發現安全風險）；第二，模擬真實系統，搭建測試環境作為演練目標；第三，自建靶場作為演練目標。

3.演練腳本編寫：

根據演練事件、應急預案編寫本次演練的演練腳本。

4.演練彩排工作：

演練場地現場進行多次演練彩排。

5.正式演練：

正式開展應急演練。

6.應急演練總結：對本次應急演練進行總結，發現演練中暴露的問題，修訂應急預案或整改發現的安全風險。

應急演練的示例

應急演練的攻擊流程示例

應急演練的應急處置示例