网络攻防演习应急流程.doc

网络攻防演习应急流程 为保障网络攻防演习工作中， 演习单位在发现各类网络攻击事件时，能验证各方面人员应对演习过程中的组织能力和应急处置能力，提高对演习目标的防护水平。同时，检验演习单位与公安机关的协同联动机制的有效性，制定本应急流程。 一、工作目标 本应急流程主要是在攻防演习期间，针对演习目标在遭受攻击时，通过监测发现、分析研判、处置上报等演习环节有效抑制安全事件发生及影响扩散，保障目标系统安全运行，。 二、组织及职责 领导小组： 负责指挥协调开展应急响应工作，及时向公安部攻防演习指挥部上报应急处置情况。 综合工作组： 负责与各工作组联系沟通，综合分析研判安全事件，报领导小组启动相应应急预案。 防护工作组： 利用监测技术手段对网络攻击进行监测、 分析、预警和处置，将初步判定为安全事件的分析结果反馈 综合工作组。 应急工作组： 接到安全事件应急处置通知，立即启动应 急预案开展应急处置工作，将处置完成后将处置结果上报领 导小组。 三、工作内容及流程 结合演习单位实际工作情况，将应急流程工作分为两个 阶段：监测阶段、分析阶段和处置阶段。 具体防护流程图如下： 网络攻防演习应急流程图 1、监测发现 演习过程中，防护小组应按照职责开展全网的监测和分 析工作，具体内容如下： 1) 防护工作组利用流量检测系统、 WAF、IDS、等安全监 测设备对攻击行为进行识别，同时对主机、应用系统、中间 件和数据库的日志进行人工分析及时发现识别可疑攻击。 2) 防护工作组通过分析确定是攻击行为传、口令爆破）且未入侵成功，则在防火墙、  （例如： 后门上WAF、网络设 备上进行阻断。 3) 防护工作组经初步分析判断为可疑入侵成功事件， 将 分析结果反馈综合工作组。 2、分析研判 1) 综合工作组根据防护小组反馈的信息， 对可疑入侵成 功事件进行综合研判。 如确认为入侵事件上报领导小组。 3、处置措施 1) 综合工作组综合分析确认事件严重程度， 为领导小组 是否启动应急预案提供决策支持。 领导小组根据综合工作组上报的事件和决策支持信息，决定启动相应应急预案并通知应急小组开展安全事件应急处置工作。 应急工作组根据事件性质按照相应应急预案开展应急处置工作。 安全事件处置完成后，应急工作组上报领导小组。 5) 领导小组根据应急工作组上报的处置结果， 按照演习 要求，上报公安部攻防演习指挥部。