摘要:基于信息系统不断遭受安全攻击,各类安全事件不断发生,国家及相关部门全面加强应急体系建设工作。目前各行各业针对各自的信息系统制定了总体应急预案和专项应急预案,但应急预案如何有效的形成、有效的应用是应急响应过程中需面对的问题。文章反思了应急预案编制和应急预案体系建设实践过程中的一些混乱和偏差,指出了应急预案体系建设方面面临的一些主要问题与困难。
关键词:应急预案体系;应急响应;有效性
1、引言
信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减,但目前没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致业务中断、系统宕机、网络瘫痪等信息安全事件发生,并对组织和业务运行产生直接或间接的负面影响。因此,为了减少信息安全事件对组织和业务的影响,应制定有效的信息安全应急响应计划,并形成应急预案。一般来说,由于各种事故灾害种类繁多,情况复杂,突发性强,能够让人们作出有效反应的时间很短,因此必须建立科学、完善的应急管理体系和实施规范有序的运作程序。事故应急预案在应急系统中起着关键的作用,它明确了在突发事故发生之前、发生过程中以及刚刚结束之后,谁负责做什么、何时做以及相应的策略和资源准备情况等,是针对可能发生的重大事故及其影响和后果的严重程度,为应急准备和应急响应的各个方面所预先做出的详细安排,是开展及时、有序和有效事故应急救援工作的行动指南。而如何评判应急预案的有效性成为应急管理工作必须面对的一个问题。
2、当前面临的主要问题
2.1缺乏理论指导,认识不够统一
当前认识上的不统一具体表现在:一是应急预案与工作方案相混淆;二是应急管理、应急处置工作与业务处置工作相混淆;三是应急预案体系与应急体系的关系区分不够清晰;四是对应急预案间的关系理解存在偏差;五是在应急预案分类上存在疑惑。
2.2应急预案体系内外衔接不足
主要表现在单位应急预案体系与单位内部各部门、下级单位、分支机构的应急预案体系衔接不足;应急预案体系对自然环境、社会环境、国际环境的应对应急预案体系衔接不足,覆盖不够。应急预案体系之间衔接不足的重要原因大多是没有找准衔接的着力点。
2.3应急预案演练组织困难
不同专项应急预案要求不同,演练环境不同,应急演练组织困难。
2.4应急预案过于形式化
当前,大部分单位或部门制定的应急预案过于形式化,当发生信息安全事件时,应急预案未起到任何效果。
3、结构组成
3.1社会实体
具有一定的可支配资源(人、财、物),具有明确的管辖范围界定,具有一定的社会功能,内部具有机构和制度保证其运行的社会组织称为社会实体。社会实体具有多层嵌套性,其内部也可以有实体,称为子实体。比如对于一个国家来说,国家是最大的社会实体,国家机关、企事业单位、社团组织以及其下属单位和部门等都是社会实体。
社会实体的概念是对具体社会单位、部门、组织等的抽象,目的是为了使论述更具一般性和准确性。
3.2应急管理
应急管理主要是指对一个社会实体应急体系的建立和维护,从而保障其在任何时候都能正常和高效运行。也可以说应急管理是社会实体危机防控网的建立和管理。
3.3应急处置
应急处置是危机发生时或者危机风险较大时,应急体系对危机要素的主动干预,从而尽快解除风险和危机的过程。
3.4应急预案
应急预案是对危机事件防控体系及其运作机制的描述文件,应急预案经批准生效后具备法规制度效力。
应急预案可以按多种标准进行分类,如按适用对象来分类,可以分为总体应急预案和专项应急预案。
3.5总体应急预案
总体应急预案是用来应对和处置社会实体面临的所有危机情况、所有危机侧面和所有危机环节的应急预案。总体应急预案是社会实体的全局性应急预案。
总体应急预案虽然普适性强,但针对性不足。对于重要事件、重要环节和重要侧面,一般要有其他专门预案的辅助,以提高针对性。
3.6专项应急预案
针对某一个(一次) 、某一种、某一类危机事件或者危机事件某一重要环节、重要侧面的应急预案是专项预案。专项应急预案也是社会实体的全局性应急预案。
4、应急预案体系要素分析
4.1应急预案性质解析
应急预案对应单次、一种、一类、或全部危机事件,在预案执行时要制定方案。为所有危机情况提供基本应对的预案是总体预案,为一类或一种危机提供应对措施的预案是专项预案。
应急预案是处理危机事件措施完整的、封闭的描述。相同的一个危机事件,对国家来说是一件事、对国家部门来说,也是一件事,对国家各企事业单位来说同样都是各自的一件事,只不过关注危机事件的方面或方向不同,因此各自有不同的应急预案。
应急预案本身是有层次的,诸如应急处置原则、组织体制设置和运行机制的建立、资源和信息保障、内部的规定、处置程序和处置方案等。但预案并没有因为行政的上下级关系而形成层次关系或上下级别关系。
预案具备关联性,全局预案在不同的条件下可能与多个部门(局部)预案关联,甚至全局预案之间也具有关联性,应急预案关联并非应急预案对应。在这里,全局与局部也是相对的。
应急预案要解决的主要问题是非正常情况下全局关系和资源的协调问题,而不是局部具体工作。
从本质上来说,国家级预案与社区、乡村级预案,形式要件本质上没有区别,只不过国家级预案的原则性较强,村级预案程序性较强,但国家级的应急预案也应该有应急程序,应急程序属于保密信息文件,不能公开,村级预案也应该有原则规定,但比较简单。
4.2总体应急预案设置
一个社会实体,在实体内部有相对独立的部门分工,为加强危机情况下应急协作,应建立实体层面(相对于部门)的应急预案。实体层面应急预案,以实体内部视角看,属于全局应急预案。若在其管辖范围之内,如果专项应急预案无法覆盖所有可能的危机情况,则应建立总体应急预案。
4.3现场应急处置方案
现场应急处置方案(现场处置方案)是实际执行部门(班组)的部门应急预案,是局部应急预案,是现场工作应急预案。现场应急处置预案是在特定的现场工作出现紧急事态的情况下,如何处置问题的应急预案,偏重于资源和方案准备,一旦紧急事件发生,解决如何报告、如何申请救援和自救、抢修、维护稳定等一系列问题。与现场工作方案或现场施工方案等有着本质的区别,不随特定工作的不同而不同,具有一定的体系完整性和稳定性。现场应急处置方案并非基层单位所特有,在国家层面也应有现场应急处置方案,比如国家层面的出国访问、考察等活动,也应有相应的现场应急处置方案。
4.4专项应急预案分类解析
在社会实体层面专项预案中有自然灾害类应急预案,其中包括气象灾害处置应急预案、地震地质等灾害处置应急预案等专项预案。自然灾害类应急预案偏重于灾害的持续监视与预警,次生灾害的监视与分析,物资、装备、人员队伍如何准备和如何调度的分析,如何与国家、政府的联动,与社会支援合作等。总之,自然灾害类应急预案是为社会实体业务类应急预案服务的。虽然灾害和事故有时存在一定的因果关系,但灾害类应急预案与事故类应急预案并非因果关系的预案。
5、总体应急预案内容
5.1总则
说明编制预案的目的、工作原则、编制依据、适用范围等。
5.2组织指挥体系及职责
明确各组织机构的职责、权利和义务,以突发事故应急响应全过程为主线,明确事故发生、报警、响应、结束、善后处理处置等环节的主管部门与协作部门;以应急准备及保障机构为支线,明确各参与部门的职责。
5.3应急响应
包括分级响应程序(原则上按一般、较大、重大、特别重大四级启动相应预案),信息共享和处理,通讯,指挥和协调,紧急处置,应急人员的安全防护,群众的安全防护,社会力量动员与参与,事故调查分析、检测与后果评估,新闻报道,应急结束等11个要素。
5.4后期处置
包括善后处置、社会救助、保险、事故调查报告和经验教训总结及改进建议。
5.5保障措施
包括通信与信息保障,应急支援与装备保障,技术储备与保障,宣传、培训和演习,监督检查等。
6、专项应急预案处置步骤
6.1事件的检测和取证
在事件发生后,查看到信息当前的状态,对事件进行检测,调查取证,作为事件的研判和处置的依据。
6.2事件信息的汇总和研判
根据对事件的调查取证,组织相关人员对对事件造成的影响程度进行分析和研判,制定事件应急解决措施。
6.3事件态势的控制
采取临时措施控制事态的发展,确保第一时间恢复系统服务。
6.4事件根源的根除
根据对事件的分析和研判,采取相应措施,将事件进行根除。
6.5系统服务的恢复
事件根除后,把所有被攻击影响的系统恢复到正常状态。
6.6事件的跟进和总结
系统服务后,对系统的状态进行跟踪,确保事件完成根除,并对事件进行总结。
7、结论
因信息安全事件应急预案不同于其他应急预案,信息安全应急预案更侧重于重要应用系统,基于系统安全分析,针对高风险的安全事件编写应急预案。
应急预案通过场景法把事件描述出来,发生安全事件后,谁去处理安全事件,有哪些资源,资源怎么去协调,协调到位需多长时间。
应急预案可遵循“事件的检测、取证”→“事件信息的汇总、研判”→“事件态势的控制”→“事件攻击/破坏的抑制”→“事件根源的根除”→“系统服务的恢复”→“事件的跟进、总结”的方法论。