工業(yè)信息安全應(yīng)急演練的探索與啟示

楊安

（國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)應(yīng)急所，北京 100040）

0 引言

應(yīng)急演練是面向信息安全專項(xiàng)應(yīng)急預(yù)案的演習(xí)，針對(duì)模擬工業(yè)信息安全事件，依照應(yīng)急預(yù)案的規(guī)定和程序，在特定的時(shí)間和地域，執(zhí)行事件處置任務(wù)的實(shí)踐活動(dòng)。國(guó)內(nèi)工業(yè)信息安全應(yīng)急演練是落實(shí)《網(wǎng)絡(luò)安全法》《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《工控安全事件應(yīng)急管理工作指南》等法律法規(guī)及相關(guān)政策文件及地方、企業(yè)應(yīng)急管理要求的一項(xiàng)具體工作，用于檢驗(yàn)相關(guān)工業(yè)信息安全風(fēng)險(xiǎn)預(yù)警、事件應(yīng)急響應(yīng)工作機(jī)制的有效性，鍛煉應(yīng)對(duì)工業(yè)信息安全事件的組織協(xié)調(diào)和應(yīng)急處置能力，積累工業(yè)信息安全事件應(yīng)急管理工作經(jīng)驗(yàn)。本文分析國(guó)內(nèi)外工業(yè)信息安全應(yīng)急演練現(xiàn)狀，并針對(duì)國(guó)內(nèi)演練中存在的問(wèn)題進(jìn)行討論，提出可行的解決方案。

1 國(guó)內(nèi)外應(yīng)急演練現(xiàn)狀

應(yīng)急演練具有多種分類方法，從組織形式角度可劃分為桌面演練、模擬演練和實(shí)戰(zhàn)演練；從內(nèi)容角度可劃分為單項(xiàng)演練和綜合演練；從目的角度可劃分為檢驗(yàn)性演練、示范性演練和研究性演練。

近幾年，國(guó)外工業(yè)信息安全應(yīng)急演練主要以實(shí)戰(zhàn)演練為主，“網(wǎng)絡(luò)風(fēng)暴”、“網(wǎng)絡(luò)衛(wèi)士”、“鎖定盾牌”等老牌知名應(yīng)急演練活動(dòng)都非常關(guān)注工業(yè)信息安全，針對(duì)能源、制造、交通運(yùn)輸、電力等行業(yè)以及關(guān)鍵信息基礎(chǔ)設(shè)施，設(shè)計(jì)多個(gè)安全事件場(chǎng)景，測(cè)試驗(yàn)證工業(yè)信息安全應(yīng)急保障能力。這些演練活動(dòng)采用的形式豐富多樣，從最初的桌面推演，逐步發(fā)展到實(shí)戰(zhàn)演練和線上線下結(jié)合等形式[1]。

國(guó)內(nèi)工業(yè)信息安全應(yīng)急演練起步較晚，近幾年才隨著頂層法律法規(guī)的落地而逐步開展[2]。行政法規(guī)方面，眾多省市逐步頒發(fā)了各自區(qū)域性的工業(yè)領(lǐng)域應(yīng)急預(yù)案，如湖南省發(fā)布的《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》。標(biāo)準(zhǔn)方面，相比傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域已發(fā)布了《GB/T 38645-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》[3]標(biāo)準(zhǔn)，我國(guó)工業(yè)信息安全應(yīng)急演練標(biāo)準(zhǔn)仍存在空缺，相關(guān)標(biāo)準(zhǔn)正在籌備中。

實(shí)際演練活動(dòng)方面，我國(guó)逐步舉辦了多場(chǎng)國(guó)家級(jí)或省市級(jí)演練觀摩活動(dòng)。2017年為落實(shí)《工控安全事件應(yīng)急管理工作指南》相關(guān)要求，工業(yè)和信息化部在河北省張家口市開展首個(gè)國(guó)家級(jí)工業(yè)控制系統(tǒng)信息安全事件應(yīng)急演練。2019年9月工業(yè)和信息化部網(wǎng)安局于湖南長(zhǎng)沙市舉辦工業(yè)互聯(lián)網(wǎng)安全演練。此外國(guó)內(nèi)各省市也陸續(xù)開展應(yīng)急演練活動(dòng)（部分應(yīng)急演練活動(dòng)如表1所示）。

表1 近2 年國(guó)內(nèi)部分省市級(jí)工業(yè)信息安全應(yīng)急演練活動(dòng)

經(jīng)分析上述演練觀摩活動(dòng)的具體內(nèi)容可知，國(guó)內(nèi)演練活動(dòng)多以示范性為主，主要用于推廣工業(yè)信息安全事件應(yīng)急處置。然而國(guó)外已充分認(rèn)識(shí)到工業(yè)信息安全事件應(yīng)急演練的重要性，其演練活動(dòng)主要以實(shí)戰(zhàn)為主，主要用于鍛煉應(yīng)急團(tuán)隊(duì)能力。

圖1 2019 年自治區(qū)工業(yè)控制系統(tǒng)信息安全應(yīng)急演練及培訓(xùn)會(huì)現(xiàn)場(chǎng)

此外，國(guó)內(nèi)公布的演練活動(dòng)數(shù)量較少、級(jí)別有待提升（多為市級(jí)）。國(guó)外工業(yè)信息應(yīng)急演練主要以國(guó)家級(jí)活動(dòng)為主（甚至涉及多個(gè)發(fā)達(dá)國(guó)家），且涵蓋多個(gè)政府部門和私營(yíng)企業(yè)，重點(diǎn)關(guān)注國(guó)家、部門、企業(yè)間的綜合協(xié)調(diào)響應(yīng)能力。

2 對(duì)我國(guó)工業(yè)信息安全應(yīng)急演練的啟示

結(jié)合國(guó)內(nèi)外工業(yè)信息安全應(yīng)急演練的特點(diǎn)和現(xiàn)狀對(duì)比分析可知，我國(guó)工業(yè)信息安全應(yīng)急演練仍存在諸多困難，需通過(guò)以下幾個(gè)方面加強(qiáng)相關(guān)工作，提升我國(guó)工業(yè)信息安全應(yīng)急響應(yīng)和事后恢復(fù)能力。

2.1 構(gòu)建演練標(biāo)準(zhǔn)體系

作為信息安全工作的重要組成部分，我國(guó)工業(yè)信息安全應(yīng)急及應(yīng)急演練工作正逐步加強(qiáng)。然而目前工業(yè)信息安全應(yīng)急正處于起步階段，大部分地區(qū)還未建立從政府到企業(yè)的層次化工業(yè)信息安全應(yīng)急體系，缺少相關(guān)法律法規(guī)及規(guī)章制度。針對(duì)該現(xiàn)狀，應(yīng)在政府指導(dǎo)下，整合科研機(jī)構(gòu)和工業(yè)企業(yè)等多方力量，構(gòu)建國(guó)內(nèi)工業(yè)信息安全應(yīng)急演練規(guī)則、演練方法和評(píng)價(jià)標(biāo)準(zhǔn)體系等相關(guān)法律法規(guī)和政策標(biāo)準(zhǔn)，確保應(yīng)急演練活動(dòng)的規(guī)范化。

2.2 拓寬演練領(lǐng)域

當(dāng)前部分重點(diǎn)行業(yè)較為重視應(yīng)急演練工作，通過(guò)引入?yún)⒀萁徊嬖u(píng)估和跨區(qū)現(xiàn)場(chǎng)觀摩等機(jī)制，提升應(yīng)急演練的效果，以期更好地加強(qiáng)自身安全性。然而目前多數(shù)科研單位、工業(yè)信息安全企業(yè)主要關(guān)注通用應(yīng)急預(yù)案制定和通用應(yīng)急演練等工作，較少涉及特定行業(yè)的工業(yè)信息安全應(yīng)急相關(guān)工作。未來(lái)希望相關(guān)單位能針對(duì)重點(diǎn)行業(yè)深入研究，制定特定行業(yè)的工業(yè)信息安全應(yīng)急演練方案，即針對(duì)特定行業(yè)領(lǐng)域面臨的風(fēng)險(xiǎn)，根據(jù)行業(yè)及下屬單位實(shí)際特點(diǎn)，結(jié)合工業(yè)信息安全應(yīng)急演練的需求和目標(biāo)，設(shè)計(jì)或優(yōu)化行業(yè)內(nèi)部以及跨地區(qū)聯(lián)合的工業(yè)信息安全應(yīng)急演練方案。

2.3 完善演練程序流程

目前政府和多數(shù)企業(yè)已意識(shí)到應(yīng)急演練的重要作用，希望通過(guò)演練提升自身的應(yīng)急響應(yīng)能力。然而國(guó)內(nèi)缺少規(guī)范化的演練程序，部分工業(yè)信息安全應(yīng)急演練籌備、組織人員較少，易出現(xiàn)演練方案不合理、演練腳本不細(xì)致、人員培訓(xùn)不到位、保障準(zhǔn)備不充分等問(wèn)題，導(dǎo)致演練質(zhì)量達(dá)不到預(yù)期要求。針對(duì)此問(wèn)題，應(yīng)探討演練持續(xù)改進(jìn)方法和流程，設(shè)計(jì)一套演練程序管理體系，實(shí)現(xiàn)從規(guī)劃、設(shè)計(jì)、實(shí)施到評(píng)估和改進(jìn)的全方位管理，逐步完善應(yīng)急演練流程，使其更有效地驗(yàn)證應(yīng)急預(yù)案的科學(xué)性、可行性、有效性。

2.4 豐富演練形式

（1）實(shí)現(xiàn)復(fù)雜桌面演練形式以提升參演人員重視程度。因?qū)崿F(xiàn)簡(jiǎn)單、可控，多數(shù)演練仍采用桌面演練形式。該形式主要是參演人員根據(jù)預(yù)先設(shè)計(jì)的腳本和話術(shù)，按照流程進(jìn)行展示，導(dǎo)致參演人員缺乏代入感，對(duì)演練流程理解不足，難以達(dá)到鍛煉應(yīng)急隊(duì)伍的目的。為此，可改進(jìn)演練形式，引入提問(wèn)、小組討論等多種形式，實(shí)現(xiàn)復(fù)雜桌面演練形式：在準(zhǔn)備階段向參演人員告知提問(wèn)范圍及回答要點(diǎn)；在演練過(guò)程中根據(jù)流程，針對(duì)關(guān)鍵場(chǎng)景向參演人進(jìn)行提問(wèn)，由參演人作答，使演練更加靈活生動(dòng)，提升參演單位對(duì)應(yīng)急演練的重視程度。

（2）實(shí)現(xiàn)復(fù)合模擬演練形式以強(qiáng)化觀摩人員認(rèn)識(shí)程度。目前國(guó)內(nèi)應(yīng)急演練多為宣傳、示范性質(zhì)，流程中的每一項(xiàng)均需準(zhǔn)確、便于展示，然而實(shí)戰(zhàn)演練準(zhǔn)備時(shí)間長(zhǎng)，且現(xiàn)場(chǎng)存在變數(shù)難以確保各步驟穩(wěn)定可復(fù)現(xiàn)，故采用實(shí)戰(zhàn)演練的意向不高。目前傳統(tǒng)桌面演練形式以口頭敘說(shuō)為主，無(wú)直觀、震撼性效果，導(dǎo)致觀摩人員缺少感性認(rèn)識(shí)，難以達(dá)到培訓(xùn)示范的目的。

針對(duì)此問(wèn)題，可采用模擬演練形式，通過(guò)搭建演練專用系統(tǒng)，模擬安全事件并進(jìn)行處置。例如可構(gòu)建水利、輸電、化工、智慧城市、智能制造等典型工控場(chǎng)景的仿真環(huán)境，模擬典型工業(yè)信息安全事件，隨后通過(guò)更新設(shè)備固件、更換配置等可實(shí)現(xiàn)的應(yīng)急措施進(jìn)行處置，將場(chǎng)景恢復(fù)至正常狀態(tài)。演練全程采用聲光電等多元化形式呈現(xiàn)安全事件的各個(gè)階段，并伴以人員實(shí)時(shí)講解，根據(jù)觀眾反映和注意力及時(shí)調(diào)整內(nèi)容，生動(dòng)形象地講解整個(gè)流程。在此演練形式下，觀摩人員將具有較強(qiáng)地代入感，較好地達(dá)到培訓(xùn)示范的目的。

2.5 加強(qiáng)應(yīng)急人才隊(duì)伍

早期國(guó)內(nèi)工業(yè)領(lǐng)域主要以生產(chǎn)安全事件應(yīng)急為主，近幾年隨著相關(guān)政策的實(shí)施，工業(yè)信息安全應(yīng)急隊(duì)伍才逐步開始建設(shè)。目前全國(guó)各省的應(yīng)急預(yù)案正逐步制定，與之配套的工業(yè)信息安全應(yīng)急隊(duì)伍正處于構(gòu)建階段，人員數(shù)量、質(zhì)量參差不齊，相關(guān)經(jīng)驗(yàn)待提升，恐難以應(yīng)對(duì)真實(shí)的工業(yè)信息安全事件。為此，國(guó)家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟等協(xié)會(huì)或研究機(jī)構(gòu)，可在國(guó)家相關(guān)部委的支持下組建國(guó)家級(jí)應(yīng)急支撐隊(duì)伍，并以此為模版協(xié)助各省組建省級(jí)應(yīng)急支撐隊(duì)伍，擴(kuò)充應(yīng)急隊(duì)伍規(guī)模。同時(shí)開展多方面的應(yīng)急處置培訓(xùn)，教授工業(yè)信息安全事件場(chǎng)景下的處置流程、技術(shù)，并讓應(yīng)急支撐人員較為熟練的掌握工業(yè)信息安全現(xiàn)場(chǎng)應(yīng)急處置工具箱等領(lǐng)域?qū)Ｓ泄ぞ撸嵘藛T的應(yīng)急處置能力。

3 結(jié)語(yǔ)

工業(yè)信息安全應(yīng)急演練是用于減少和預(yù)防工業(yè)信息安全事件損失和影響的重要手段之一，受國(guó)內(nèi)外政府的高度重視。然而與國(guó)外在該領(lǐng)域已具備成熟體系、經(jīng)驗(yàn)相比，我國(guó)工業(yè)信息安全應(yīng)急演練相關(guān)工作起步較晚且存在眾多不足，亟需從標(biāo)準(zhǔn)體系、演練領(lǐng)域、演練流程、演練形式、人才等角度進(jìn)行完善、創(chuàng)新，實(shí)現(xiàn)工業(yè)信息安全事件應(yīng)急處置能力的有效提升。