网络攻防演习应急流程

网络攻防演习应急流程为保障网络攻防演习工作中，演习单位在发现各类网络攻击事件时，能验证各方面人员应对演习过程中的组织能力和应急处置能力，提高对演习目标的防护水平。同时，检验演习单位与公安机关的协同联动机制的有效性，制定本应急流程。一、工作目标本应急流程主要是在攻防演习期间，针对演习目标在遭受攻击时，通过监测发现、分析研判、处置上报等演习环节有效抑制安全事件发生及影响扩散，保障目标系统安全运行，。二、组织及职责领导小组：负责指挥协调开展应急响应工作，及时向公安部攻防演习指挥部上报应急处置情况。综合工作组：负责与各工作组联系沟通，综合分析研判安全事件，报领导小组启动相应应急预案。防护工作组：利用监测技术手段对网络攻击进行监测、分析、预警和处置，将初步判定为安全事件的分析结果反馈综合工作组。应急工作组：接到安全事件应急处置通知，立即启动应急预案开展应急处置工作，将处置完成后将处置结果上报领导小组。三、工作内容及流程结合演习单位实际工作情况，将应急流程工作分为两个阶段：监测阶段、分析阶段和处置阶段。具体防护流程图如下：网络攻防演习应急流程图1、监测发现演习过程中，防护小组应按照职责开展全网的监测和分析工作，具体内容如下：1)防护工作组利用流量检测系统、WAF、IDS、等安全监测设备对攻击行为进行识别，同时对主机、应用系统、中间件和数据库的日志进行人工分析及时发现识别可疑攻击。2)防护工作组通过分析确定是攻击行为（例如：后门上传、口令爆破）且未入侵成功，则在防火墙、WAF、网络设备上进行阻断。3)防护工作组经初步分析判断为可疑入侵成功事件，将分析结果反馈综合工作组。2、分析研判1)综合工作组根据防护小组反馈的信息，对可疑入侵成功事件进行综合研判。2)如确认为入侵事件上报领导小组。3、处置措施1)综合工作组综合分析确认事件严重程度，为领导小组是否启动应急预案提供决策支持。2)领导小组根据综合工作组上报的事件和决策支持信息，决定启动相应应急预案并通知应急小组开展安全事件应急处置工作。3)应急工作组根据事件性质按照相应应急预案开展应急处置工作。4)安全事件处置完成后，应急工作组上报领导小组。5)领导小组根据应急工作组上报的处置结果，按照演习要求，上报公安部攻防演习指挥部。