企业网络安全应急响应预案的撰写要点
企业网络安全应急响应预案的撰写要点
在当今数字化时代,企业的核心业务离不开计算机和网络系统的支持。但随着网络攻击手段的不断升级,企业网络安全面临着越来越大的威胁,例如勒索病毒、网络钓鱼、社交工程等,这些攻击可能导致企业数据泄露、财产损失等严重后果。面对网络攻击的威胁,企业需要制定一份有效的网络安全应急预案,以保障企业网络安全和业务持续运转。本文将从大纲设置、制定原则、职责分工、前置准备工作、预警机制、应急响应流程、应急保障措施、附件等多个方面,详细介绍网络安全应急响应预案的撰写要点。
应急响应预案--大纲设置
通常,应急响应预案应包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个基本要素,每章包含的小节内容如下:
基本要素 | 包含内容 |
|---|---|
总则 | 编制目的、编制依据、适用范围、工作原则 |
角色及职责 | 领导组、技术组、专家组、实施组、日常运营组 |
预防和预警机制 | 容灾备份、持续监测 |
应急响应流程 | 网络安全事件通告、事件定级、应急启动、应急处置、后期处置 |
应急响应保障措施 | 人员保障、物质保障、技术保障 |
附件 | 职责表、联系表、标准操作表等 |
上述大纲内容可以基本保障企业对突发网络安全事件形成闭环管理,预案编制者可以根据实际情况对安全实际情况及其内容进行适当的调整,使安全策略更适合企业特定的系统、操作和机构需求。
制定应急响应预案的原则
实务中,编制应急响应预案时常常存在以下几点问题:下位预案照搬上位预案、应急预案内容不完整、操作性不强、缺乏演练、缺乏动态管理(更新修订)等。
应急响应预案的不严谨会直接影响网络安全事件处置结果,可能会给企业造成重大经济损失和形象损失。所以,企业在编制应急响应预案时应遵循以下几点原则性建议:
- 针对性:预案编制要针对重大风险、可能发生的事故、关键的岗位和地点、薄弱环节、重要工程等
- 操作性:企业编制的预案应能在第一时间用于事故救援,能有效应对事故。特别是专项预案和现场处置方案
- 符合性:企业应急预案要符合国家法律法规、标准和规范的要求
- 衔接性:企业应急预案与上级单位应急预案、当地政府应急预案、主管部门应急预案等要相互衔接
- 科学性:预案编制必须在全面调查研究的基础上,开展分析论证,制定出科学的处置方案,使应急预案建立在科学的基础上,严密统一、协调有序、高效快捷地应对突发事件
- 完整性:企业应急预案内容要完整,包括功能完整、应急过程完整、适用范围完整等所有基本信息的完整
- 可读性:企业应急预案的编写要有条理,简单易读。
在众多原则中,预案的“可操作性”最关键。应急响应预案的格式应该能够给要求进行恢复操作的人员(甚至有时可能包括对灾难恢复不熟悉的人员)提供快速明确的指导。预案应明确、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。
应急预案中的职责分工
网络安全应急响应的工作机构由管理、业务、技术和行政后勤等部门的人员组成,按角色可划分为5个功能小组,即网络安全应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组。各个小组的具体职责如下:
网络安全应急领导小组的职责
- 对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人、财、物)等
- 审核并批准应急响应策略
- 审核并批准应急响应预案
- 批准和监督(或指挥)应急响应预案的执行
- 启动定期评审、修订应急响应预案
- 负责组织的外部协调工作
网络安全应急响应技术保障小组
- 为网络安全事件的处置工作提供基础技术与工具等保障
- 协助配合实施小组及时有效应对网络安全事件
网络安全应急响应专家小组
- 对重大网络安全事件进行评估,提出启动应急响应级别的建议
- 研究分析网络安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议
- 分析网络安全事件原因及造成的危害,为应急响应提供技术支持
网络安全应急响应实施小组
- 分析应急响应需求(如风险评估、业务影响分析等)
- 确定应急响应策略和等级
- 实现应急响应策略
- 编制应急响应预案文档
- 实施应急响应预案
- 组织应急响应预案的测试、培训和演练
- 合理部署和使用应急响应资源
- 总结应急响应工作,提交应急响应总结报告
- 执行应急响应预案的评审、修订任务
网络安全应急响应日常运行小组
- 协助灾难恢复系统实施
- 备份中心日常管理
- 备份系统的运行和维护
- 应急监控系统的运作和维护
- 参与和协助应急响应预案的测试、培训和演练
- 维护和管理应急响应预案文档
- 网络安全事件发生时损失控制和损害评估
实务中,根据企业体量大小,可按实际情况缩减或合并上述职能分工,但缩减前提是保障责任到人。由于网络安全应急响应是和突发安全事件所造成的灾难“争时间、抢速度”,所以企业还可聘任权威技术机构的专家协助应急响应工作,也可委托具有相应资质的专业技术服务机构承担应急响应的部分或主体工作。
制定应急预案的前置准备工作
应急响应预案的前置准备工作就是指应急响应需求分析和应急响应策略的确定。需求分析和策略的确定是建立在风险评估的基础之上,并且紧紧围绕着企业的业务战略来展开的。
风险评估
风险评估就是确定网络安全事故灾难造成的损失的过程,是依据有关网络信息安全技术与管理标准,对信息系统及由其处理、传输和存储信息保密性、完整性和可用性等安全属性进行评价的过程。
常发生的网络安全事件类型及风险分析如下:
- 机房安全事件:指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件,造成机房物理环境或设备的严重损害。如:电气设备漏电伤人或引起火灾、机房火灾造成设备损毁、长时间电力故障,备用UPS电源无法继续供电,造成机房网络设备、服务器停止工作。
- 网络中断事件:骨干网络中断24小时以上、公司国际互联网中断48小时以上的网络事件。
- 数据库系统事件:数据库系统故障,造成数据损坏或丢失,导致应用系统无法正常使用,公司重要数据泄露造成公司管理、经营的负面影响和重大损失。
- 网络入侵事件:通过非授权方式侵入公司信息系统,对相关信息资产进行非授权监听、调用、篡改、销毁等,造成公司管理、经营的负面影响和重大损失。
- 病毒破坏事件:指病毒、非预期程序代码植入公司信息系统,造成重大的破坏等。
- 重要存储介质失窃事件:指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等,如纸质文件资料、硬盘、U盘等。
业务影响分析(BIA)
业务影响分析(BIA,Business Impact Analysis)是在风险评估的基础之上分析各种网络安全事件对业务功能可能产生的影响,进而确定响应的恢复目标。
BIA所要求完成的工作包括两层含义:一是在风险评估的基础上分析各种网络安全事件发生时对业务功能可能产生的影响,是风险分析的结果;二是BIA还有进一步的要求,那就是在风险分析的基础上确定应急响应的恢复目标。
恢复目标需要遵循“优先原则”,即模拟整个企业的业务全面中断之后,最先应该抢修的是哪个子系统,才能对业务影响最小。
所以,只有开展前置准备工作(风险评估&业务影响分析),明确应急响应的需求和响应策略后,预案编制者才能科学地编制预案文件。
关于预防和预警机制
预防和预警机制是一种防御性的方法,即所谓的“将安全隐患消灭在萌芽状态之中”。重视网络安全事件的预防和预警,比网络安全事件发生后进行应急响应更好。在预防机制中,最常见的措施就是进行容灾备份。根据本单位的实际情况所采取的预防机制应被记录在应急响应预案中,同时还应对相关人员进行培训,使他们明确如何及何时使用这些预防、预警手段。
应加强对以往发生的网络安全事件的总结和可能引发的网络安全事件相关信息的收集,分析判断和持续监测。
应急响应流程
企业在发生网络安全事件时,应当及时启动应急预案进行处置。一般的网络安全应急响应流程建议包括:网络安全事件通告、事件定级(网络安全事件评估)、应急启动、应急处置和后期处置5个部分,编制者在编制预案时可根据下列提纲内容自行扩充。
- 事件通告
- 信息通报:通过电话、微信等方式快速逐级通报;当关键人无法联系时,应通知备选联系人
- 信息上报:发生较大、重大、特别重大网络安全事件,需要上报至相关(监管)部门;发生低等级安全事件可以予以记录档案,或以月报/季报/年报等形式提交给上级主管或者监管部门
- 信息披露:规范组织内部人员的信息披露,保证信息发布口径的一致性,避免造成舆论恐慌。
- 事件定级
- 确定网络安全事件发生后的损坏性质和损坏程度,是启动和实施应急响应预案的前提。
- 根据《GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南》可知,不同事件类别,事件级别可分为(一般事件、较大事件、重大事件、特别重大事件)四个等级:
- “四级事件”属于日常运行维护服务范畴,基本无需启动应急措施。“三级事件”虽然仍由日常运行维护人员处理,但需要应急响应有关人员告知。事件从四级升级到三级时,由运行维护服务人员及时通知应急响应小组启动应急响应预案。“二级事件”和“一级事件”属于应急响应事件,必须全面启动网络安全应急响应预案。
- 发生网络安全事件后,响应不力和过度响应都将对企业造成经济和声誉等方面的损害。因此,在事件分类的基础上,针对特定类型的事件,需进一步根据事件的严重程度采取相应比例的响应措施。
- 应急启动
- 一般而言,对于导致业务中断、系统宕机、网络瘫痪等突发网络安全事件应该立即启动应急响应预案。但由于企业规模、构成、性质等的不同,不同的企业对突发、重大网络安全事件的定义可以不一样,因此,各个企业的应急响应预案的激活条件可能各不相同。激活条件可以基于以下4个方面考虑:
- 人员的安全或数据、设施的损失程度。
- 系统损失的程度(如物理的、运作的或成本的)。
- 系统对于组织业务的影响程度(如保护资产的关键基础设施)。
- 预期的中断持续时间。
- 应急处置
- 按照网络管理分工,相应的网络安全事件响应与处理时间,从发现到处理完毕,原则上不超过24小时。网络安全事件处理流程见下图:
目前在网络安全领域对应急响应和灾难恢复没有进行严格的区分,为了有条不紊地进行恢复操作,建议在网络安全应急响应预案中提供详细的恢复任务,并事先将这些任务分配给适当的恢复小组。
- 后期处置
- 通过应急处理成功解决网络安全事件后,应急响应工作并未结束,还需要尽快组织相关人员进行信息系统重建,同时还需要对网络安全事件应急响应进行总结,如果有必要还需对应急响应预案进行完善。
应急响应保障措施
附件
网络安全应急响应预案的附件提供了预案主体不包含的关键细节,内容应根据系统和预案的需求确定。常见的网络安全应急响应预案附件包括以下几种:
- 具体的组织体系结构及人员职责说明
- 应急响应预案各个小组成员的联络清单
- 供应商联络清单,包括离站存储和备用站点的外部联系点(POC)
- 系统恢复或处理的标准操作规程和检查列表
- 支持系统运行所需的硬件、软件、固件和其他资源的设备和系统需求清单,每个条目应包含详细内容,包括型号或版本号、规格说明和数量等。
- 供应商服务水平协议(SLA,Service Level Agreement)、与其他机构互惠协议、谅解备忘录和其他关键记录
- 场所紧急预案、运行连续性预案的描述和说明
- 在预案制订前进行BIA,包含关于系统各部分相互关系、风险、优先级别等
- 应急响应预案文档的保存和分发方法
- IT标准操作规程
企业可按实际情况删减或补充。