网络安全挂图作战 之 应急处置挂图作战

新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力,需要建设网络安全保护平台,建设网络安全智慧大脑,利用大数据和人工智能等技术将网络安全业务上图,实施挂图作战。

什么是“应急处置”?

GB/T 39204—2022《信息安全技术 关键信息基础设施安全保护要求》,规定关键信息基础设施网络安全保护在识别认定、安全防护、检测评估、监测预警、主动防御、应急处置等环节的安全要求。

事件处置制度要求包括:

a)应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档。事件处置制度应符合国家联防联控相关要求,及时将信息共享给相关方。

b)应为网络安全事件处置提供相应资源,组织建立专门网络安全应急支撑队伍、专家队伍,保障安全事件得到及时有效处置。

c)应按规定参与和配合相关部门开展的网络安全应急演练、应急处置、案件侦办等工作。

应急预案和演练要求包括:

a)应在国家网络安全事件应急预案的框架下,根据行业和地方的特殊要求,制定网络安全事件应急预案。

b)应在应急预案中明确,一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间。应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事件的处理。

c)在制定应急预案时,应同所涉及的运营者内部相关计划(例如:业务持续性计划、灾难备份计划等)以及外部服务提供者的应急计划进行协调,以确保连续性要求得以满足。

d)应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程。

e)应对网络安全应急预案定期进行评估修订,并持续改进。

f)应每年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的,应定期组织或参加跨组织、跨地域的应急演练。

事件报告要求包括:

a)当发生有可能危害关键业务的安全事件时,应及时向安全管理机构报告并组织研判,形成事件报告;

b)应及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员,并按照规定向供应链涉及的、与事件相关的其他组织通报安全事件。

事件处理和恢复要求包括:

a)应按照事件处置流程、应急预案进行事件处理,恢复关键业务和信息系统到已知的状态;

b)应按照先应急处置、后调查评估的原则,在事件发生后尽快收集证据,按要求进行信息安全取证分析,并确保所有涉及的响应活动被适当记录,便于日后分析,在进行取证分析时,应与业务连续性计划相协调;

c)在事件处理完成后,应采用手工或者自动化机制形成完整的事件处理报告。事件处理报告包括:不同部门对事件的处理记录、事件的状态和取证相关的其他必要信息、评估事件细节、趋势和处理;

d)在恢复关键业务和信息系统后,应对关键业务和信息系统恢复情况进行评估,查找事件原因,并采取措施防止关键业务和信息系统遭受再次破坏、危害或故障;

e)在进行事件处理活动时,应协调组织内部多个部门和外部相关组织,以更好地对事件进行处理,并将事件处理活动的经验教训纳入事件响应规程、培训以及测试,并进行相应变更。

应急处置挂图作战

网络安全应急处置是指在发生重大网络安全事件时,根据既定的网络安全应急预案,按照科学规范的响应程序和处置要求,充分运用应急指挥、应急队伍、应急装备等应急资源,对网络安全事件、事故进行处理、恢复,有效控制事态发展,避免事态扩大和恶化,从而减轻网络安全事件、事故对系统运行、业务开展造成的危害。网络安全应急处置就是在网络安全预案的基础上,在重大网络安全威胁事件发生时,考虑事件现场情况,采取各类处置措施,降低影响或危害的过程。应急处置挂图作战业务与要素如图所示。

网络安全应急处置要素包括:应急处置任务,以及与任务有关的参与单位、参与人、待处置的威胁或事件、涉事目标、涉事资产;应急处置任务流程,如指令下发、操作动作、判断动作、任务反馈;处置过程涉及的各类信息和数据(处置数据),如批准审核文件、处置文件截图、处置反馈表单、统计分析数据、处置工作报告、处置考核数据。

图示 应急处置挂图作战业务与要素

网络安全应急处置指挥官在应急处置过程中关心的主要问题如下。

  • 当前威胁、事件级别如何,发展态势如何?哪些因素造成了态势的恶化?哪些因素造成了态势向良性发展?
  • 为处置当前威胁、事件,是否需要启动特定的分类应急预案?针对当前威胁、事件,是否有必要启动专项应急预案,专事专办以消除影响?
  • 需要下发或已经下发哪些应急处置任务?任务如何流转,是否有反馈?
  • 随着事件应急处置流转,产生了什么样的应急处置信息或数据,可作为指挥依据的信息或数据有哪些?
  • 下发处置指令后,事态的发展如何?

通过对网络安全应急处置流程和要素的梳理可以看出,应急处置挂图作战图形,包括网络安全威胁/事件图层、应急处置任务图层、应急处置措施图层、网络安全威胁/事件关联信息图层,以及用于构建图谱的地理图层。在实际设计图层时,可以将网络安全威胁/事件图层、应急处置任务图层和地理图层作为主图层,与应急处置措施图层和网络安全威胁/事件关联信息图层关联,以充分表达网络安全应急处置信息。围绕上述五个图层,从网络安全保护平台的数据资源中提取相关要素及要素关联信息,构建网络安全应急处置要素,并实现关联要素的闭包提取。然后,根据不同图层要素的关系进行级别映射,并以此进行网络安全威胁/事件关联信息图层与地理图层的映射,构建威胁/事件地图;通过应急处置任务图层与地理图层的映射,构建应急处置任务地图;在必要的情况下,叠加这三个图,构建地图,进行综合展示,并考虑业务开展需要,进行威胁/事件地图、应急处置任务地图的切换。在此基础上,确定单个图层要素、两个图层融合要素、多个图层叠加要素的可视化表达策略,在页面上进行可视化表达的输出;确定要素模型联动策略,确定页面动态交互输出;确定处置指令、处置动作、处置反馈在可视化页面上的响应策略和响应动作,以此确定业务在该场景的交互输出。通过以上过程,完成应急处置挂图作战图形的设计和应用。

小结

实施网络安全挂图作战,必须从网络安全保护业务的实际需求出发,依托平台基础设施,通过面向分类业务的图层映射、要素提取与场景绘图,构建概览图、分级下钻图、解释图(涵盖流程图、关系图、逻辑图和各级地图),以丰富的图形展现网络安全保护平台信息数据,赋予作战“指挥官”判断、决策、指挥能力,支撑网络安全保护工作中等级保护、关键信息基础设施安全保护、安全监测、通报预警、应急处置、技术对抗、安全检查、威胁情报、追踪溯源、侦查打击、指挥调度等业务的开展。

作者:郭启全 稿源:关键信息基础设施安全保护联盟

游侠推荐 – 相关阅读关键信息基础设施安全保卫平台