信息安全实战演练方案设计分析

信息安全实战演练方案设计分析

【摘 要】随着国税系统信息化程度越来越高，一旦爆发信息安

全事故将对国税工作造成严重的影响。在进行了一系列桌面演练、

模拟演练的基础上，选择适当的时机进行实战演练，可以进一步检

验和完善制定的应急预案，亦可以加快信息安全响应机制。本文结

合工作实际，论述地市级税务机关，信息安全实战演练的前提条件

与实现细节。

【关键词】信息安全，实战演练，场景设计

一、信息安全实战演练的前提条件

近几年，江苏省地市级国税机关在省局领导下，陆续开展了信息

安全方面的桌面演练、模拟演练，取得了良好的效果。本文根据工

作实际，结合以往的演练经验，设计出一套可以进行信息安全实战

演练的方案，实现了非蠕虫性质的恶意代码攻击造成大范围计算机

不能正常使用，既达到了信息安全事件的破坏性，又不影响全局的

正常使用，既有危害性，又具有可控性。为了将信息安全实战演练

造成的风险降到最低，需考虑如下因素：（1）实战演练应获取相关

领导的支持，在主管领导及上级税务机关批准后，方可进行信息安

全的实战演练。应有计划、平稳进行，不能贸然进行实战演练。（2）

进行实战演练前，必须将可能发生的情况考虑充分，并做好相应的

应急处理措施。（3）实战演练的时间安排：应考虑避免报税高峰期

或认证高峰期，避免税收业务集中的时间段。尽量安排在报税期或

认证期相对业务量少的正常工作时间，既有一定的业务量，影响又

不会很大。（4）实战演练的人员安排：在确定参加演练单位及职责

时应对参与演练的工作人员和技术人员的职责进行明确划分，详细

列出所涉及的内部资源和外部资源，并在演练前一一确认，对已经

变动的资源做好更正。（5）实战演练的破坏对象：鉴于目前，江苏

省国税主要的业务系统，譬如ctais 、防伪税控等都是省级集中，

因此，地市级信息安全实战演练，不考虑破坏这些涉税系统的服务

器，同时，为了避免整个地市级税收业务的中断，可以考虑在实战

演练时，选择性的破坏部分客户端的正常应用。（6）实战演练的外

部资源支持：在进行实战演练时，为了防止意外的发生并及时处理

意外情况，务必尽可能获取足够多的外部资源支持。主要包括各信

息安全厂商的技术支持及相关部门横向的支持。这些外部资源支持

务必到达实战演练的现场，而非远端电话支持。（7）实战演练时务

必保证信息的公开透明性，遇到各种情况及时发布通知。实战演练

前，亦应该明确告知演练可能会带来的各种风险及演练的时间安

排、参加人员等各种细节。（8）实战演练后，务必进行相关的业务

测试、功能测试，确保经过演练，各种设备使用正常，可以顺利开

展工作。

二、信息安全实战演练的实现细节

（1）演练时间。根据实战演练前提条件中提到的降低风险需考虑

的因素，考虑将演练时间安排在报税期或认证期的非业务高峰期的

正常工作时间。可以造成对工作的影响，锻炼相关人员的应急处理

能力，具有一定的实战意义。（2）破坏对象。对于地市级实战演练，

选择一个下级单位和一个本级单位作为演练单位。选择大厅发票发

售、报税认证、红冲窗口各一台计算机进行破坏，其他办公电脑按

20%的比例分部门进行破坏。（3）故障场景。鉴于实战演练将风险

降到最低的考虑，演练时，安全事件最好是可控的、可预期的，技

术上的具体实现大致如下：考虑到国税总局部署的vrv 桌面安全管

理系统具有策略管理中心，根据文件下发策略计划安排指定部分客

户端，将具有破坏性的代码文件进行下发，达到大范围客户端遭受

恶意代码攻击而不能正常使用的故障效果。实现客户端遭受恶意代

码攻击的场景设计，主要有两个批处理文件与一个注册表注入文件

构成，命名分别为“cmdstart0.bat ”、”add1.reg ”与

“autorunreg2.bat ”，命名规则仿照某些病毒文件名中含有数字的

特征，容易识别。主要实现，将“cmdstart0.bat ”添加进注册表

的开机启动项中，达到开机即无限弹出cmd 命令窗口的功能。（4）

故障解决措施。由于此次演练场景为大范围计算机遭受恶意代码攻

击而不能正常使用，受影响客户端数量众多，若安全管理员一一手

工删除，工作量比较大，因此提供dos 批处理文件给客户端使用人

员，进入安全模式，双击运行该脚本即可。其中，该批处理文件命

名为“recover.bat ”，实现删除注册表开机启动项及三个执行文件。

鉴于该实战演练场景设计中的三个批处理文件不具有传染性，仅仅

为恶意代码植入，因此，一般删除注册表项cmd1，即开机不再自动

运行cmd 窗口无限弹出命令，那么计算机就可以正常使用了。

综上所诉，随着国税系统信息化集中程度的提高，信息化安全体

系的建设对保障国税工作的顺利开展起到了更加关键的作用，一旦

发生信息安全事故将会给国税事业带来不可估量的影响。各级税务

机关制定了相应的应急预案，预案是否有效则需通过演练来进一步

检验。在已经完成了桌面演练、模拟演练的基础上，进一步推进具

有实战性的信息安全实战演练，具有非常重要的意义。信息安全实

战演练的实现方案需非常的细化，鉴于篇幅有限，本文仅作为抛砖

引玉，供读者参考。

参考文献

[1]刘建国，靳松，孙昌平．信息系统应急演练方案设计[z]．南

京：江苏省国家税务．2008

[2]税务系统网络与信息安全应急响应工作指南（试行）[z]．北

京：国家税务总局．2007