工业信息安全应急演练的探索与启示

杨安

（国家工业信息安全发展研究中心监测应急所，北京 100040）

0 引言

应急演练是面向信息安全专项应急预案的演习，针对模拟工业信息安全事件，依照应急预案的规定和程序，在特定的时间和地域，执行事件处置任务的实践活动。国内工业信息安全应急演练是落实《网络安全法》《国家网络安全事件应急预案》《工控安全事件应急管理工作指南》等法律法规及相关政策文件及地方、企业应急管理要求的一项具体工作，用于检验相关工业信息安全风险预警、事件应急响应工作机制的有效性，锻炼应对工业信息安全事件的组织协调和应急处置能力，积累工业信息安全事件应急管理工作经验。本文分析国内外工业信息安全应急演练现状，并针对国内演练中存在的问题进行讨论，提出可行的解决方案。

1 国内外应急演练现状

应急演练具有多种分类方法，从组织形式角度可划分为桌面演练、模拟演练和实战演练；从内容角度可划分为单项演练和综合演练；从目的角度可划分为检验性演练、示范性演练和研究性演练。

近几年，国外工业信息安全应急演练主要以实战演练为主，“网络风暴”、“网络卫士”、“锁定盾牌”等老牌知名应急演练活动都非常关注工业信息安全，针对能源、制造、交通运输、电力等行业以及关键信息基础设施，设计多个安全事件场景，测试验证工业信息安全应急保障能力。这些演练活动采用的形式丰富多样，从最初的桌面推演，逐步发展到实战演练和线上线下结合等形式[1]。

国内工业信息安全应急演练起步较晚，近几年才随着顶层法律法规的落地而逐步开展[2]。行政法规方面，众多省市逐步颁发了各自区域性的工业领域应急预案，如湖南省发布的《湖南省工业控制系统信息安全事件应急预案》。标准方面，相比传统网络安全领域已发布了《GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南》[3]标准，我国工业信息安全应急演练标准仍存在空缺，相关标准正在筹备中。

实际演练活动方面，我国逐步举办了多场国家级或省市级演练观摩活动。2017年为落实《工控安全事件应急管理工作指南》相关要求，工业和信息化部在河北省张家口市开展首个国家级工业控制系统信息安全事件应急演练。2019年9月工业和信息化部网安局于湖南长沙市举办工业互联网安全演练。此外国内各省市也陆续开展应急演练活动（部分应急演练活动如表1所示）。

表1 近2 年国内部分省市级工业信息安全应急演练活动

经分析上述演练观摩活动的具体内容可知，国内演练活动多以示范性为主，主要用于推广工业信息安全事件应急处置。然而国外已充分认识到工业信息安全事件应急演练的重要性，其演练活动主要以实战为主，主要用于锻炼应急团队能力。

图1 2019 年自治区工业控制系统信息安全应急演练及培训会现场

此外，国内公布的演练活动数量较少、级别有待提升（多为市级）。国外工业信息应急演练主要以国家级活动为主（甚至涉及多个发达国家），且涵盖多个政府部门和私营企业，重点关注国家、部门、企业间的综合协调响应能力。

2 对我国工业信息安全应急演练的启示

结合国内外工业信息安全应急演练的特点和现状对比分析可知，我国工业信息安全应急演练仍存在诸多困难，需通过以下几个方面加强相关工作，提升我国工业信息安全应急响应和事后恢复能力。

2.1 构建演练标准体系

作为信息安全工作的重要组成部分，我国工业信息安全应急及应急演练工作正逐步加强。然而目前工业信息安全应急正处于起步阶段，大部分地区还未建立从政府到企业的层次化工业信息安全应急体系，缺少相关法律法规及规章制度。针对该现状，应在政府指导下，整合科研机构和工业企业等多方力量，构建国内工业信息安全应急演练规则、演练方法和评价标准体系等相关法律法规和政策标准，确保应急演练活动的规范化。

2.2 拓宽演练领域

当前部分重点行业较为重视应急演练工作，通过引入参演交叉评估和跨区现场观摩等机制，提升应急演练的效果，以期更好地加强自身安全性。然而目前多数科研单位、工业信息安全企业主要关注通用应急预案制定和通用应急演练等工作，较少涉及特定行业的工业信息安全应急相关工作。未来希望相关单位能针对重点行业深入研究，制定特定行业的工业信息安全应急演练方案，即针对特定行业领域面临的风险，根据行业及下属单位实际特点，结合工业信息安全应急演练的需求和目标，设计或优化行业内部以及跨地区联合的工业信息安全应急演练方案。

2.3 完善演练程序流程

目前政府和多数企业已意识到应急演练的重要作用，希望通过演练提升自身的应急响应能力。然而国内缺少规范化的演练程序，部分工业信息安全应急演练筹备、组织人员较少，易出现演练方案不合理、演练脚本不细致、人员培训不到位、保障准备不充分等问题，导致演练质量达不到预期要求。针对此问题，应探讨演练持续改进方法和流程，设计一套演练程序管理体系，实现从规划、设计、实施到评估和改进的全方位管理，逐步完善应急演练流程，使其更有效地验证应急预案的科学性、可行性、有效性。

2.4 丰富演练形式

（1）实现复杂桌面演练形式以提升参演人员重视程度。因实现简单、可控，多数演练仍采用桌面演练形式。该形式主要是参演人员根据预先设计的脚本和话术，按照流程进行展示，导致参演人员缺乏代入感，对演练流程理解不足，难以达到锻炼应急队伍的目的。为此，可改进演练形式，引入提问、小组讨论等多种形式，实现复杂桌面演练形式：在准备阶段向参演人员告知提问范围及回答要点；在演练过程中根据流程，针对关键场景向参演人进行提问，由参演人作答，使演练更加灵活生动，提升参演单位对应急演练的重视程度。

（2）实现复合模拟演练形式以强化观摩人员认识程度。目前国内应急演练多为宣传、示范性质，流程中的每一项均需准确、便于展示，然而实战演练准备时间长，且现场存在变数难以确保各步骤稳定可复现，故采用实战演练的意向不高。目前传统桌面演练形式以口头叙说为主，无直观、震撼性效果，导致观摩人员缺少感性认识，难以达到培训示范的目的。

针对此问题，可采用模拟演练形式，通过搭建演练专用系统，模拟安全事件并进行处置。例如可构建水利、输电、化工、智慧城市、智能制造等典型工控场景的仿真环境，模拟典型工业信息安全事件，随后通过更新设备固件、更换配置等可实现的应急措施进行处置，将场景恢复至正常状态。演练全程采用声光电等多元化形式呈现安全事件的各个阶段，并伴以人员实时讲解，根据观众反映和注意力及时调整内容，生动形象地讲解整个流程。在此演练形式下，观摩人员将具有较强地代入感，较好地达到培训示范的目的。

2.5 加强应急人才队伍

早期国内工业领域主要以生产安全事件应急为主，近几年随着相关政策的实施，工业信息安全应急队伍才逐步开始建设。目前全国各省的应急预案正逐步制定，与之配套的工业信息安全应急队伍正处于构建阶段，人员数量、质量参差不齐，相关经验待提升，恐难以应对真实的工业信息安全事件。为此，国家工业信息安全产业发展联盟等协会或研究机构，可在国家相关部委的支持下组建国家级应急支撑队伍，并以此为模版协助各省组建省级应急支撑队伍，扩充应急队伍规模。同时开展多方面的应急处置培训，教授工业信息安全事件场景下的处置流程、技术，并让应急支撑人员较为熟练的掌握工业信息安全现场应急处置工具箱等领域专有工具，提升人员的应急处置能力。

3 结语

工业信息安全应急演练是用于减少和预防工业信息安全事件损失和影响的重要手段之一，受国内外政府的高度重视。然而与国外在该领域已具备成熟体系、经验相比，我国工业信息安全应急演练相关工作起步较晚且存在众多不足，亟需从标准体系、演练领域、演练流程、演练形式、人才等角度进行完善、创新，实现工业信息安全事件应急处置能力的有效提升。