工業(yè)信息安全應(yīng)急演練的探索與啟示

楊安

（國家工業(yè)信息安全發(fā)展研究中心監(jiān)測應(yīng)急所，北京 100040）

0 引言

應(yīng)急演練是面向信息安全專項應(yīng)急預(yù)案的演習，針對模擬工業(yè)信息安全事件，依照應(yīng)急預(yù)案的規(guī)定和程序，在特定的時間和地域，執(zhí)行事件處置任務(wù)的實踐活動。國內(nèi)工業(yè)信息安全應(yīng)急演練是落實《網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《工控安全事件應(yīng)急管理工作指南》等法律法規(guī)及相關(guān)政策文件及地方、企業(yè)應(yīng)急管理要求的一項具體工作，用于檢驗相關(guān)工業(yè)信息安全風險預(yù)警、事件應(yīng)急響應(yīng)工作機制的有效性，鍛煉應(yīng)對工業(yè)信息安全事件的組織協(xié)調(diào)和應(yīng)急處置能力，積累工業(yè)信息安全事件應(yīng)急管理工作經(jīng)驗。本文分析國內(nèi)外工業(yè)信息安全應(yīng)急演練現(xiàn)狀，并針對國內(nèi)演練中存在的問題進行討論，提出可行的解決方案。

1 國內(nèi)外應(yīng)急演練現(xiàn)狀

應(yīng)急演練具有多種分類方法，從組織形式角度可劃分為桌面演練、模擬演練和實戰(zhàn)演練；從內(nèi)容角度可劃分為單項演練和綜合演練；從目的角度可劃分為檢驗性演練、示范性演練和研究性演練。

近幾年，國外工業(yè)信息安全應(yīng)急演練主要以實戰(zhàn)演練為主，“網(wǎng)絡(luò)風暴”、“網(wǎng)絡(luò)衛(wèi)士”、“鎖定盾牌”等老牌知名應(yīng)急演練活動都非常關(guān)注工業(yè)信息安全，針對能源、制造、交通運輸、電力等行業(yè)以及關(guān)鍵信息基礎(chǔ)設(shè)施，設(shè)計多個安全事件場景，測試驗證工業(yè)信息安全應(yīng)急保障能力。這些演練活動采用的形式豐富多樣，從最初的桌面推演，逐步發(fā)展到實戰(zhàn)演練和線上線下結(jié)合等形式[1]。

國內(nèi)工業(yè)信息安全應(yīng)急演練起步較晚，近幾年才隨著頂層法律法規(guī)的落地而逐步開展[2]。行政法規(guī)方面，眾多省市逐步頒發(fā)了各自區(qū)域性的工業(yè)領(lǐng)域應(yīng)急預(yù)案，如湖南省發(fā)布的《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》。標準方面，相比傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域已發(fā)布了《GB/T 38645-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》[3]標準，我國工業(yè)信息安全應(yīng)急演練標準仍存在空缺，相關(guān)標準正在籌備中。

實際演練活動方面，我國逐步舉辦了多場國家級或省市級演練觀摩活動。2017年為落實《工控安全事件應(yīng)急管理工作指南》相關(guān)要求，工業(yè)和信息化部在河北省張家口市開展首個國家級工業(yè)控制系統(tǒng)信息安全事件應(yīng)急演練。2019年9月工業(yè)和信息化部網(wǎng)安局于湖南長沙市舉辦工業(yè)互聯(lián)網(wǎng)安全演練。此外國內(nèi)各省市也陸續(xù)開展應(yīng)急演練活動（部分應(yīng)急演練活動如表1所示）。

表1 近2 年國內(nèi)部分省市級工業(yè)信息安全應(yīng)急演練活動

經(jīng)分析上述演練觀摩活動的具體內(nèi)容可知，國內(nèi)演練活動多以示范性為主，主要用于推廣工業(yè)信息安全事件應(yīng)急處置。然而國外已充分認識到工業(yè)信息安全事件應(yīng)急演練的重要性，其演練活動主要以實戰(zhàn)為主，主要用于鍛煉應(yīng)急團隊能力。

圖1 2019 年自治區(qū)工業(yè)控制系統(tǒng)信息安全應(yīng)急演練及培訓會現(xiàn)場

此外，國內(nèi)公布的演練活動數(shù)量較少、級別有待提升（多為市級）。國外工業(yè)信息應(yīng)急演練主要以國家級活動為主（甚至涉及多個發(fā)達國家），且涵蓋多個政府部門和私營企業(yè)，重點關(guān)注國家、部門、企業(yè)間的綜合協(xié)調(diào)響應(yīng)能力。

2 對我國工業(yè)信息安全應(yīng)急演練的啟示

結(jié)合國內(nèi)外工業(yè)信息安全應(yīng)急演練的特點和現(xiàn)狀對比分析可知，我國工業(yè)信息安全應(yīng)急演練仍存在諸多困難，需通過以下幾個方面加強相關(guān)工作，提升我國工業(yè)信息安全應(yīng)急響應(yīng)和事后恢復(fù)能力。

2.1 構(gòu)建演練標準體系

作為信息安全工作的重要組成部分，我國工業(yè)信息安全應(yīng)急及應(yīng)急演練工作正逐步加強。然而目前工業(yè)信息安全應(yīng)急正處于起步階段，大部分地區(qū)還未建立從政府到企業(yè)的層次化工業(yè)信息安全應(yīng)急體系，缺少相關(guān)法律法規(guī)及規(guī)章制度。針對該現(xiàn)狀，應(yīng)在政府指導(dǎo)下，整合科研機構(gòu)和工業(yè)企業(yè)等多方力量，構(gòu)建國內(nèi)工業(yè)信息安全應(yīng)急演練規(guī)則、演練方法和評價標準體系等相關(guān)法律法規(guī)和政策標準，確保應(yīng)急演練活動的規(guī)范化。

2.2 拓寬演練領(lǐng)域

當前部分重點行業(yè)較為重視應(yīng)急演練工作，通過引入?yún)⒀萁徊嬖u估和跨區(qū)現(xiàn)場觀摩等機制，提升應(yīng)急演練的效果，以期更好地加強自身安全性。然而目前多數(shù)科研單位、工業(yè)信息安全企業(yè)主要關(guān)注通用應(yīng)急預(yù)案制定和通用應(yīng)急演練等工作，較少涉及特定行業(yè)的工業(yè)信息安全應(yīng)急相關(guān)工作。未來希望相關(guān)單位能針對重點行業(yè)深入研究，制定特定行業(yè)的工業(yè)信息安全應(yīng)急演練方案，即針對特定行業(yè)領(lǐng)域面臨的風險，根據(jù)行業(yè)及下屬單位實際特點，結(jié)合工業(yè)信息安全應(yīng)急演練的需求和目標，設(shè)計或優(yōu)化行業(yè)內(nèi)部以及跨地區(qū)聯(lián)合的工業(yè)信息安全應(yīng)急演練方案。

2.3 完善演練程序流程

目前政府和多數(shù)企業(yè)已意識到應(yīng)急演練的重要作用，希望通過演練提升自身的應(yīng)急響應(yīng)能力。然而國內(nèi)缺少規(guī)范化的演練程序，部分工業(yè)信息安全應(yīng)急演練籌備、組織人員較少，易出現(xiàn)演練方案不合理、演練腳本不細致、人員培訓不到位、保障準備不充分等問題，導(dǎo)致演練質(zhì)量達不到預(yù)期要求。針對此問題，應(yīng)探討演練持續(xù)改進方法和流程，設(shè)計一套演練程序管理體系，實現(xiàn)從規(guī)劃、設(shè)計、實施到評估和改進的全方位管理，逐步完善應(yīng)急演練流程，使其更有效地驗證應(yīng)急預(yù)案的科學性、可行性、有效性。

2.4 豐富演練形式

（1）實現(xiàn)復(fù)雜桌面演練形式以提升參演人員重視程度。因?qū)崿F(xiàn)簡單、可控，多數(shù)演練仍采用桌面演練形式。該形式主要是參演人員根據(jù)預(yù)先設(shè)計的腳本和話術(shù)，按照流程進行展示，導(dǎo)致參演人員缺乏代入感，對演練流程理解不足，難以達到鍛煉應(yīng)急隊伍的目的。為此，可改進演練形式，引入提問、小組討論等多種形式，實現(xiàn)復(fù)雜桌面演練形式：在準備階段向參演人員告知提問范圍及回答要點；在演練過程中根據(jù)流程，針對關(guān)鍵場景向參演人進行提問，由參演人作答，使演練更加靈活生動，提升參演單位對應(yīng)急演練的重視程度。

（2）實現(xiàn)復(fù)合模擬演練形式以強化觀摩人員認識程度。目前國內(nèi)應(yīng)急演練多為宣傳、示范性質(zhì)，流程中的每一項均需準確、便于展示，然而實戰(zhàn)演練準備時間長，且現(xiàn)場存在變數(shù)難以確保各步驟穩(wěn)定可復(fù)現(xiàn)，故采用實戰(zhàn)演練的意向不高。目前傳統(tǒng)桌面演練形式以口頭敘說為主，無直觀、震撼性效果，導(dǎo)致觀摩人員缺少感性認識，難以達到培訓示范的目的。

針對此問題，可采用模擬演練形式，通過搭建演練專用系統(tǒng)，模擬安全事件并進行處置。例如可構(gòu)建水利、輸電、化工、智慧城市、智能制造等典型工控場景的仿真環(huán)境，模擬典型工業(yè)信息安全事件，隨后通過更新設(shè)備固件、更換配置等可實現(xiàn)的應(yīng)急措施進行處置，將場景恢復(fù)至正常狀態(tài)。演練全程采用聲光電等多元化形式呈現(xiàn)安全事件的各個階段，并伴以人員實時講解，根據(jù)觀眾反映和注意力及時調(diào)整內(nèi)容，生動形象地講解整個流程。在此演練形式下，觀摩人員將具有較強地代入感，較好地達到培訓示范的目的。

2.5 加強應(yīng)急人才隊伍

早期國內(nèi)工業(yè)領(lǐng)域主要以生產(chǎn)安全事件應(yīng)急為主，近幾年隨著相關(guān)政策的實施，工業(yè)信息安全應(yīng)急隊伍才逐步開始建設(shè)。目前全國各省的應(yīng)急預(yù)案正逐步制定，與之配套的工業(yè)信息安全應(yīng)急隊伍正處于構(gòu)建階段，人員數(shù)量、質(zhì)量參差不齊，相關(guān)經(jīng)驗待提升，恐難以應(yīng)對真實的工業(yè)信息安全事件。為此，國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟等協(xié)會或研究機構(gòu)，可在國家相關(guān)部委的支持下組建國家級應(yīng)急支撐隊伍，并以此為模版協(xié)助各省組建省級應(yīng)急支撐隊伍，擴充應(yīng)急隊伍規(guī)模。同時開展多方面的應(yīng)急處置培訓，教授工業(yè)信息安全事件場景下的處置流程、技術(shù)，并讓應(yīng)急支撐人員較為熟練的掌握工業(yè)信息安全現(xiàn)場應(yīng)急處置工具箱等領(lǐng)域?qū)Ｓ泄ぞ?，提升人員的應(yīng)急處置能力。

3 結(jié)語

工業(yè)信息安全應(yīng)急演練是用于減少和預(yù)防工業(yè)信息安全事件損失和影響的重要手段之一，受國內(nèi)外政府的高度重視。然而與國外在該領(lǐng)域已具備成熟體系、經(jīng)驗相比，我國工業(yè)信息安全應(yīng)急演練相關(guān)工作起步較晚且存在眾多不足，亟需從標準體系、演練領(lǐng)域、演練流程、演練形式、人才等角度進行完善、創(chuàng)新，實現(xiàn)工業(yè)信息安全事件應(yīng)急處置能力的有效提升。