JT/T 1545-2025 交通运输行业网络安全实战演练工作规程 ,该文件为pdf格式 ,请用户放心下载!
尊敬的用户你们好,你们的支持是我们前进的动力,网站收集的文件并免费分享都是不容易,如果你觉得本站不错的话,可以收藏并分享给你周围的朋友。
如果你觉得网站不错,找不到本网站,可以百度、360搜搜,搜狗, 神马搜索关键词“文档天下”,就可以找到本网站。也可以保存到浏览器书签里。
收费文件即表明收集不易,也是你们支持,信任本网站的理由!真心非常感谢大家一直以来的理解和支持!
资源简介
目 次
前言………………………………………………………………………………………………………… Ⅲ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 总体原则………………………………………………………………………………………………… 1
5 组织架构………………………………………………………………………………………………… 2
6 演练流程………………………………………………………………………………………………… 3
7 演练准备………………………………………………………………………………………………… 3
8 演练实施………………………………………………………………………………………………… 5
9 演练总结………………………………………………………………………………………………… 6
10 整改复测………………………………………………………………………………………………… 6
11 追溯方法………………………………………………………………………………………………… 6
附录A(资料性) 网络安全实战演练工作方案示例…………………………………………………… 8
附录B(资料性) 网络安全实战演练总结报告示例…………………………………………………… 15
附录C(资料性) 网络安全实战演练攻击成果报告示例……………………………………………… 17
附录D(资料性) 网络安全实战演练防守成果报告示例……………………………………………… 19
参考文献…………………………………………………………………………………………………… 21
Ⅰ
JT/ T 1545—2025
前 言
本文件按照GB/ T 1. 1—2020《标准化工作导则 第1 部分:标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由交通运输信息通信及导航标准化技术委员会提出并归口。
本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、国家信息技术安全研
究中心、交通运输部路网监测与应急处置中心、云南公路联网收费管理有限公司。
本文件主要起草人:杜渐、戴明、贺林佳、李飞、高薪、贺文涛、李霞、潘承亚、李涛、肖强、邢宏伟、
郭晓禹、梁田、张子田、赵成卫、陈朴、兰昱、黄乐金、李存默、赵宾、孙策、贾茂霞、王玮、王正琼、姚佳明、
王琳、张吉光。
Ⅲ
JT/ T 1545—2025
交通运输行业网络安全实战演练工作规程
1 范围
本文件明确了交通运输行业网络安全实战演练的总体原则和组织架构,确立了演练流程,规定了演
练准备、演练实施、演练总结、整改复测等阶段的操作指示,描述了追溯方法。
本文件适用于指导交通运输行业各级交通运输主管部门、企事业单位和运营者组织开展的交通运输
行业网络安全实战演练工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/ T 22239 信息安全技术 网络安全等级保护基本要求
GB/ T 25069 信息安全技术 术语
GB/ T 29246 信息安全技术 信息安全管理体系 概述和词汇
GB/ T 32924 信息安全技术 网络安全预警指南
GB/ T 38645 信息安全技术 网络安全事件应急演练指南
3 术语和定义
GB/ T 22239、GB/ T 25069、GB/ T 29246、GB/ T 32924、GB/ T 38645 界定的以及下列术语和定义适用于
本文件。
3. 1
防守 defense
对保护对象的应用、数据和设备进行保护,防止未经授权的访问、使用、泄露、破坏等活动,保障其机
密性、完整性和可用性的过程。
3. 2
网络安全实战演练 cybersecurity practical attack and defense exercises
根据网络安全威胁或网络安全事件,通过被授权、真实可控的攻击行为和场景,对实际运行的网络或
信息系统安全保护能力进行训练及评估的活动。
4 总体原则
网络安全实战演练(以下简称演练)总体原则如下:
a) 统筹协调:保障各参与方密切配合、沟通顺畅、协同高效开展演练;
b) 结合实际:基于实际运行的网络环境和真实的运维状态开展演练;
c) 风险可控:确保人员、工具、方法和过程可控,不对演练对象造成实质性损害;
d) 注重实效:以明确发现安全防护风险、事件处置能力不足等为演练的主要目的。
1
JT/ T 1545—2025
5 组织架构
5. 1 管理部门
管理部门包括交通运输各级网络安全主管部门,主要工作内容如下:
a) 下达演练任务和要求;
b) 审定演练方案;
c) 开展演练备案;
d) 组织演练总结和督促整改。
5. 2 组织单位
组织单位即组织开展演练的单位,主要工作内容如下:
a) 对演练工作的承诺和支持,包括发布正式文件,提供人员、物资供应、场地环境、经费支撑等必要
资源;
b) 组织编制演练工作方案;
c) 组织协调筹备和指挥调度现场工作;
d) 研究决定演练工作中的重大事项;
e) 宣布演练开始、结束或终止;
f) 开展演练总结和整改复测工作。
5. 3 参演机构
5. 3. 1 攻击方
由网络安全专业技术人员组建的攻击队伍,针对技术和非技术安全控制的脆弱性,组织开展网络攻
击,达到获得信息系统或网络设备的访问权或敏感数据等目的。主要工作内容如下:
a) 模拟真实网络攻击;
b) 发现网络安全威胁和脆弱性;
c) 提交攻击成果报告;
d) 复盘并参与演练总结工作;
e) 组织单位部署的其他工作。
5. 3. 2 防守方
以现有网络安全运维人员为主组建的防守队伍,主要工作内容如下:
a) 演练中的监测、预警、分析、验证和处置;
b) 提交防守成果报告;
c) 网络安全加固与风险整改;
d) 复盘并开展演练总结工作;
e) 组织单位部署的其他工作。
5. 3. 3 专家裁判组
由网络安全管理和技术专家组建的裁判队伍,其工作内容如下:
a) 提出评价指标和评分标准;
b) 把控演练的进度和效果,研判技术风险;
2
JT/ T 1545—2025
c) 审核攻击方和防守方的成果报告;
d) 其他需要裁定的技术事项。
6 演练流程
演练流程应按照下列步骤进行(流程框架见图1):
a) 演练准备:组织单位准备(编制演练方案、方案报备等),攻击方准备(工具、成果提交形式等),
防守方准备(资产梳理、工具和防守报告等)的主要内容和流程;
b) 演练实施:演练实施期间组织单位、攻击方、防守方和裁判专家组的工作流程和职责;
c) 演练总结:组织单位、攻击方和防守方在总结阶段的相关工作;
d) 整改复测:演练问题整改、问题复测和归档文件的相关工作和流程工作。
图1 演练流程框架
7 演练准备
7. 1 组织单位
7. 1. 1 确定演练目标和范围
组织单位应结合日常工作、重要时期、重大活动、网络安全事件、专项演练等需求确定演练目标。应
针对演练目标和现状,确定参加演练的单位、网络和系统等,宜明确到演练的目标系统。
3
JT/ T 1545—2025
7. 1. 2 成立专家裁判组
组织单位组织成立专家裁判组,制定评价指标和评分标准。
7. 1. 3 制定风险控制措施
演练应保证过程安全可控,至少满足下列要求:
a) 应明确攻击方使用物理入侵、地址解析协议攻击、拒绝服务等攻击方式的限定条件,或明确不准
许使用上述攻击方式;
b) 攻击方所采用的高危操作应经专家裁判组研讨批准后方可进行,高危操作包括但不限于内核提
权、更改设备配置、修改系统管理员密码、页面篡改、生产数据篡改、使用主动扩散工具等;
c) 攻击方只准许在组织单位要求的时间范围内开展攻击;
d) 应全程记录攻击方所有攻击过程及行为,确保能追溯;
e) 防守方不准许采取断网、断电等方式关闭网络;
f) 攻击方、防守方不准许下载演练所需以外的个人信息、业务数据和源代码等;
g) 攻击方、防守方不准许擅自发布基于演练掌握的信息、数据以及发现的隐患和漏洞;
h) 攻击方、防守方在演练结束后,应检查并确认已清理和销毁在演练过程中产生的临时数据、攻击
痕迹和工具;
i) 各参演机构应对所有参演人员进行必要的政治审查,所有人员签署保密协议,必要时可提请公
安机关对攻击人员进行背景审查。
7. 1. 4 编制演练工作方案
7. 1. 4. 1 组织单位组织编制演练工作方案(示例见附录A),主要内容包括工作背景、演练目标、演练范
围、演练开始时间和结束时间,宜包括:
a) 组织单位和参演机构及工作内容;
b) 攻击记录工具或平台;
c) 演练专项;
d) 演练场所;
e) 进度安排;
f) 风险控制措施;
g) 联络机制;
h) 评价机制;
i) 工作要求;
j) 相关附件;
k) 其他相关内容。
7. 1. 4. 2 工作方案编制完成后,组织单位应组织方案评审,确定方案科学可行。通过评审的工作方案
开展报备工作,并向各参演机构宣贯。
7. 1. 5 报备
组织单位按照管理部门的要求,将演练工作方案向其报备。
7. 2 攻击方
攻击方准备工作如下:
a) 按组织单位要求提供人员相关信息;
4
JT/ T 1545—2025
b) 确认攻击技术、工具或方式符合风险控制措施要求;
c) 确认攻击成果的提交形式;
d) 签署保密协议;
e) 获取正式授权书和目标攻击的授权信息。
7. 3 防守方
防守方准备工作如下:
a) 按组织单位要求提供演练范围内的人员、信息系统和主要防护工具等信息;
b) 适时完成资产梳理、暴露面排查和安全加固等工作;
c) 根据需要确认网络安全防护措施和工具的有效性;
d) 确认防守成果的提交形式;
e) 确认演练应急措施。
8 演练实施
8. 1 组织单位
8. 1. 1 宣布演练正式开始,对全过程进行指挥控制,掌握进展情况。
8. 1. 2 督促各参演机构按照演练工作方案实施,采用文字、照片、音像录屏等工具或平台记录演练实施
过程。
8. 1. 3 演练时间结束或达到演练目标后,组织单位宣布演练实施阶段结束,对演练过程进行点评。实施
过程中出现下列情况,经组织单位或管理部门决定,应提前终止演练:
a) 出现真实突发事件;
b) 所有目标系统被攻击方完全控制;
c) 出现组织单位认为需要终止的其他情况。
8. 2 攻击方
8. 2. 1 演练正式开始后,组织攻击队伍,按照实施方案要求实施演练。
8. 2. 2 实施攻击,主要包括下列内容:
a) 在演练范围内,按照时限等规则要求开展网络攻击,按要求记录攻击过程和成果证据;
b) 按照演练工作方案中规定的攻击成果模板进行成果提交;
c) 提交成果并裁定有效后,彻底清除上传的脚本文件,恢复修改的文件,删除临时创建的测试账号
等攻击痕迹,对于无法清理内容进行记录与说明。
8. 3 防守方
实施防守,主要包括下列内容:
a) 通过流量监测、日志分析等方法,确认网络安全威胁或网络安全事件,及时发出安全警示;
b) 收到安全警示后,按照应急预案开展处置和加固,如隔离受影响资产、修复漏洞、恢复关键服务
等,必要时与组织单位沟通确认;
c) 按照演练工作方案中时限等规则进行防守报告提交;
d) 对暴露的问题进行全面分析,并展开详细的事后调查。
8. 4 专家裁判组
专家裁判组接收高危操作、攻击成果、防守报告等信息,开展研判分析工作并反馈。
5
JT/ T 1545—2025
9 演练总结
9. 1 组织单位
组织单位对演练总体实施进行全面总结,主要包括组织队伍、攻击情况、防守情况、安全防护措施、监
测措施、响应和协同处置等各阶段工作的成果等内容,总结工作内容如下:
a) 形成总结报告(示例见附录B);
b) 通报演练结果;
c) 按要求将总结报告报送管理部门,全国联网运行的网络,同步报送相关管理单位。
9. 2 攻击方
攻击方主要工作内容如下:
a) 检查并确认已彻底消除痕迹,彻底清除上传的脚本文件,恢复修改的文件,删除临时创建的测试
账号等攻击痕迹,对于无法清理的内容,形成正式清单报送组织单位;
b) 对演练中产生的成果、问题进行汇总,提出整改修复意见,提交攻击成果报告(示例见附录C)。
9. 3 防守方
防守方主要工作内容如下:
a) 核查演练范围内网络、设备、应用系统等运行状态;
b) 对受到的攻击进行溯源;
c) 对演练中产生的成果、问题进行汇总,提出整改方案,提交防守成果报告(示例见附录D)。
10 整改复测
10. 1 防守方
10. 1. 1 全面复盘在演练中暴露的脆弱点,并对演练过程中发现的问题和风险进行整改,包括漏洞修
复、系统加固、应用升级、策略更新等,整改完成后进行自测确认。
10. 1. 2 形成整改报告并报送组织单位。
10. 2 组织单位
10. 2. 1 根据整改报告组织复测。
10. 2. 2 组织文件归档。
11 追溯方法
11. 1 归档文件
对演练准备、实施、总结和整改复测过程中产生的文件进行归档,主要包括:
a) 组织单位、攻击方、防守方和专家裁判组正式提供的本次演练的工作方案、总结报告、攻击成果
报告、防守成果报告等相关资料;
b) 演练整改方案、复测报告等文件相关的评审记录、会议记录、审批记录和报备文件等;
c) 采用攻击记录工具或平台记录的演练实施过程记录。
6
JT/ T 1545—2025
11. 2 过程记录
在演练的各阶段过程中记录并保存的主要内容如下:
a) 记录和审核人员姓名;
b) 时间;
c) 地点;
d) 网络路径;
e) 使用的工具和方法;
f) 执行的具体操作内容(含文字、图片和视频);
g) 攻击操作的结果或防守的结果;
h) 问题整改建议;
i) 其他。
7
JT/ T 1545—2025
附 录 A
(资料性)
网络安全实战演练工作方案示例
A. 1 背景和目的
某单位在吸取× × 网络安全事件的经验教训后,为贯彻落实有关工作要求,提升网络安全保护能力、
防范网络安全事故,特组织开展与× × 关键业务相关的系统演练。具体演练目的为:
a) 核验防护:通过开展演练,发现某关键业务类系统的网络系统运行、数据安全、供应链管控、密码
应用安全、事件处置等方面的风险,检验网络的安全保护能力;
b) 定位短板:通过开展演练,定位某关键业务系统管理单位、运维单位、应急保障等单位在组织管
理、机制建设、队伍保障、技术措施、应急处置等方面的短板;
c) 锻炼队伍:通过开展演练,提升管理部门、组织机构、参演机构等人员的监测预警、攻击防守、应
急响应、协同处置等方面的能力,增强全员网络安全意识;
d) 磨合机制:通过开展演练,进一步明确管理单位、运维单位、应急保障等单位的责任边界,完善各
单位间的信息共享及联动处置机制。
A. 2 攻击记录工具或平台
本次演练使用的记录工具或演练使用的平台,用于事后回溯或对攻击方进行监督审计。
A. 3 演练专项
本次演练主要以发现某关键业务类系统的“弱口令”“高风险漏洞”等为目标。
A. 4 演练场所
本次演练攻击方在组织单位的某机房内进行攻击,使用的工具全程接入演练平台。
A. 5 演练范围
本次演练的范围以某关键业务类系统为主,包括其门户网站、公众号、小程序和网络、系统平
台等。
A. 6 组织单位及工作内容
本次演练组织单位人员及工作内容名单见表A. 1。
表A. 1 组织单位人员及工作内容
序号角色岗位成员姓名工作内容
1 负责人× × × × × × 负责演练工作方案审核、演练总体协调及组织
2 参与人员× × × × × × 负责演练工作方案编制及其他事务工作
3 参与人员× × × × × × ……
8
JT/ T 1545—2025
A. 7 参演机构及工作内容
A. 7. 1 攻击方
本次演练攻击方人员及工作内容见表A. 2。
表A. 2 攻击方人员及工作内容
序号角色姓名单位/ 部门工作内容
1 负责人× × × × × × 负责攻击路线制定及攻击方活动协调
2 参与人员× × × × × × 负责攻击实施与报告编制
3 参与人员× × × × × × ……
A. 7. 2 防守方
本次演练防守方人员及工作内容见表A. 3。
表A. 3 防守方人员及工作内容
序号单位/ 部门姓名岗位工作内容
1 × × × × × × × × × 某门户网站的防守活动协调
2 × × × × × × × × × 某小程序的防守活动协调
3 × × × × × × × × × ……
A. 7. 3 专家裁判组
本次演练专家裁判组人员及工作内容见表A. 4。
表A. 4 专家裁判组人员及工作内容
序号角色成员姓名工作内容
1 组长× × × 专家裁判组管理、零时差攻击成果判定、高危行为裁定
及专家裁判组决议审查等
2 副组长× × × 攻击/ 防守成果判定、高危行为研判等
3 组员× × × 高危行为研判、专家裁判组工作记录等
4 组员× × × ……
A. 8 进度安排
A. 8. 1 准备阶段
本次演练准备阶段事项见表A. 5。
9
JT/ T 1545—2025
表A. 5 演练准备阶段事项
序号事项责任方截止日期
1 确定演练目标和范围,成立专家裁判组× × × × 年× 月× 日
2 制定风险控制措施× × × × 年× 月× 日
3 编制演练工作方案并组织评审× × × × 年× 月× 日
4 完成演练工作方案报备× × × × 年× 月× 日
A. 8. 2 实施阶段
本次演练实施阶段事项见表A. 6。
表A. 6 演练实施阶段事项
序号事项责任方开始日期截止日期
1 演练开始× × × × 年× 月× 日× 年× 月× 日
2 实施攻击× × × × 年× 月× 日× 年× 月× 日
3 成果提交× × × × 年× 月× 日× 年× 月× 日
4 成果确认× × × × 年× 月× 日× 年× 月× 日
A. 8. 3 演练总结
演练期间,各参演机构做好日志记录,建立过程文档。
演练结束后,某单位根据演练中发现的问题和建议对网络安全、应急处置(包括演练工作)等进行持
续改进。某单位应督促相关部门和人员进行复盘总结并制定整改计划,明确整改完成日期,根据相关情
况梳理编制总结报告。
A. 8. 4 整改复测
某单位× × 部门负责跟踪督查整改工作进展,并对复测工作进行安排。
涉及整改的相关部门和人员应按照整改计划,在计划时限内完成各项整改工作内容,并配合开展复
测工作。
A. 9 风险控制措施
风险控制措施包括下列内容。
a) 人员保障:为确保演练的专业性与合规性,专家裁判组对所有攻击人员进行全面的专业能力考
核,具备考核记录。组织单位进一步强化安全审查流程,对所有攻击人员进行详尽的政治背景
审查,包括公安机关出具的无犯罪记录证明。此外,组织单位明确要求攻击方、攻击人员及裁判
专家签署保密协议,以确保参演人员政治素质过硬,实施人员的专业能力严格符合演练设定的
目标及各项专项要求。同时,为进一步增强安全防范,必要时将提请公安机关对攻击人员进行
更为深入的背景审查。
10
JT/ T 1545—2025
b) 环境保障:为打造安全可靠的演练环境,实现对出入人员的严格管控,在演练场所外部安装刷脸门
禁系统。演练场所内,拟部署专业× ×演练平台、提供正版授权攻击软件、将所有日志无缝接入审
计系统,以确保数据的安全性与可追溯性。此外,演练场所室内拟配备完善的网络接入设施、两台
具备30 天视频存储功能的监控设备以及正版授权的软件和场地保障措施,以全面满足演练需求。
c) 过程保障:为确保演练过程的规范性与可追溯性,拟指定专人负责每日对演练平台和监控系统
产生的日志、数据进行全面备份,实现过程全记录、数据全留存的目标,并确保所有信息均能供
审计。同时,根据相关规定,演练前提前15 个工作日由组织单位的× × 部门向管理部门进行报
备,并提交本次演练的详细方案,以接受管理部门的监督与指导。
d) 风险保障:为确保生产业务的安全运行,当攻击方在攻击路径中发现存在高危安全漏洞、重大网
络安全事件或威胁,以及需对核心业务系统进行关键性操作时,严格遵循既定流程,首先向专家
裁判组进行请示并报告相关情况。在演练过程中,所有涉及漏洞隐患信息、网络与信息系统信
息、工作及业务数据、个人信息数据等敏感数据信息,均需采取有效的信息保护措施,确保数据
安全得到充分保障。参与演练的相关人员均签署保密协议,以确保信息不被泄露。演练活动结
束后,攻击方应负责彻底清除上传的脚本文件,恢复被修改的文件至原始状态,并删除临时创建
的测试账号等所有可能留下的攻击痕迹。对于无法完全清理的内容,编制正式清单并报送至组
织单位备案。
A. 10 联络机制
演练相关方的主要联系人员及联系方式见表A. 7。
表A. 7 演练相关方主要联系人员及联系方式
序号演练单位单位名称角色姓名联系方式
1 管理部门管理部门1 负责人× × × × × ×
联络人× × × × × ×
2 组织单位
组织单位1
组织单位2
负责人× × × × × ×
联络人× × × × × ×
负责人× × × × × ×
联络人× × × × × ×
3 攻击方
攻击队伍1
攻击队伍2
负责人× × × × × ×
队员× × × × × ×
负责人× × × × × ×
队员× × × × × ×
4 防守方
防守单位1
防守单位2
负责人× × × × × ×
联络人× × × × × ×
负责人× × × × × ×
联络人× × × × × ×
5 专家裁判组
专家裁判组1
专家裁判组2
组长× × × × × ×
组员× × × × × ×
组长× × × × × ×
组员× × × × × ×
注:以上人员保持24 小时开机。
11
JT/ T 1545—2025
A. 11 评价机制
本次演练攻击方采用得分制,主要在获取权限、突破网络边界、攻取靶标系统、获取敏感数据、发现事
前已有痕迹等方面进行评分排名。
A. 12 工作要求
演练工作要求要点如下:
a) 工作时间: × 月× 日至× 月× 日(演练时间),每日成果报告于当日× 时× 分前提交。
b) 现场工作主要要求:
1) 严格遵守组织单位所规定的相关攻击规则;
2) 按时完成签到,禁止迟到早退;
3) 演练期间参演人员禁止拍照、录像等,任何演练相关信息禁止发布于互联网,一经发现将追
究相关责任;
4) 演练中遇到问题请联系联络组人员;
5) 各攻击队员需确保身体健康,无重大或传染性疾病,在演练过程中如有身体不适需即刻停
止并报告;
6) 演练场地楼内禁止吸烟。
A. 13 相关附件
A. 13. 1 保密承诺书
保密承诺书模板见图A. 1。
A. 13. 2 任务计划
演练任务计划见表A. 8。
表A. 8 演练任务计划
序号阶段事项具体工作内容执行单位(部门) 计划完成时间
12
演练准备× × × × × × × × × × × ×
× × × × × × × × × × × ×
34
演练实施× × × × × × × × × × × ×
× × × × × × × × × × × ×
56
演练总结× × × × × × × × × × × ×
× × × × × × × × × × × ×
78
整改复测× × × × × × × × × × × ×
× × × × × × × × × × × ×
注:根据需要增减行数。
A. 13. 3 演练授权书
演练授权书模板见表A. 9。
12
JT/ T 1545—2025
图A. 1 保密承诺书模板
13
JT/ T 1545—2025
表A. 9 演练授权书模板
授权方名称(盖章) × × ×
联系人姓名× × × 联系电话× × ×
被授权方名称× × ×
联系人姓名× × × 联系电话× × ×
授权委托事项× × ×
授权时间× 年× 月× 日— × 年× 月× 日,9:00—21:00
演练范围
(网络、单位和系统) × × ×
演练方法
被授权方演练方法遵循业界通用标准,包括但不限于:自动化扫描,口令穷举,身份验证
突破,策略配置漏洞,漏洞利用,访问控制突破,系统用户提权,内外网混联检测,溢出漏洞
攻击等
授权方声明
授权方认可被授权方提供的演练方法,被授权方告知授权方演练可能带来的后果(如系
统负载上升,系统崩溃,数据库异常等)。被授权方避免采用破坏性较强方法,尽量避免可
能带来的严重后果。演练人员在与授权方协商确认的前提下,尽量将演练时间安排在不
影响系统业务的时间进行,以减小演练对目标系统的影响。同时,在实施阶段提前告知授
权方具体时间,授权方提前做好必要的备份和风险应对措施准备。对因演练而导致的意
外事件,双方将协商共同配合解决
注:授权方在本授权委托书中填写的联系信息需与授权方实际被演练系统上公布的联系信息一致,若相关联系信
息发生变更应及时通知被授权方。
A. 13. 4 痕迹清除确认单
痕迹清除确认单模板见表A. 10。
表A. 10 痕迹清除确认单模板
序号恢复项是否消除数据痕迹备注
1 终端电脑是× × ×
2 笔记本电脑是× × ×
3 移动存储设备是× × ×
4 移动通信设备是× × ×
本人承诺:
已消除在参与本次活动过程中使用的电脑设备、存储类设备、通信类设备及其他配套设施所记录的一切与本次演练
相关的数据,如未清除本人愿承担相关责任。
承诺人(签字):
年 月 日
14
JT/ T 1545—2025
附 录 B
(资料性)
网络安全实战演练总结报告示例
B. 1 演练概述
根据网络安全工作部署,某单位于× 年× 月× 日至× 年× 月× 日组织开展与× × 关键业务相关的系
统演练。
B. 2 演练范围
× × 关键业务相关的系统(包括但不限于:业务系统、主机及其他设备)。
B. 3 参演机构
某单位某部门负责组织协调此次演练工作,并对实施进度和质量进行把控。组织技术专家成立专家
裁判组,组织某单位成立攻击方, × × 关键业务相关的系统的责任部门负责防守工作。
B. 4 计划安排
× 年× 月× 日至× 年× 月× 日,研究演练工作方案,落实演练条件,制定了风险控制措施,落实相关
要求,确定相应应急预案,明确攻击报告成果及评价内容,完成备案等必要程序。
× 年× 月× 日至× 年× 月× 日,完成了为期一周的演练工作。
× 年× 月× 日,完成了本次演练工作总结报告。
B. 5 工作成果
本次演练共发现高危漏洞× × 个,其中互联网侧漏洞× × 个,内网侧漏洞× × 个;获得个人信息× ×
余条,敏感数据× × 余条,应用系统权限× × 个(含管理员);专项钓鱼行动共获取× × 台终端控制权限。
主要涉及部分系统存在高危风险及漏洞、工作人员网络安全意识不够等问题。
B. 5. 1 存在风险的系统
主要涉及× × 关键业务信息系统、× × 关键业务微信小程序等。
B. 5. 2 漏洞情况
本次演练共发现高危漏洞× 个,主要为弱口令、未授权访问等类型的漏洞。
B. 5. 3 专项钓鱼行动情况
通过社会工程学攻击投放程序执行文件,共有× × 台终端执行。
B. 5. 4 专家研判说明
本次演练未涉及高危操作。
B. 6 改进和建议
根据某单位实际情况,结合本次演练发现的网络安全风险及隐患,形成详细的网络安全防护改进和
建议。
15
JT/ T 1545—2025
B. 7 资源保障程度
为了切实保障演练工作顺利开展,某单位通过人员保障、环境保障、过程保障、风险保障等措施保障
本次演练。主要包括下列内容:
a) 人员保障程度:参演人员及审查情况;
b) 环境保障程度:监控设备、正版授权软件和场地的保障情况;
c) 过程保障程度:过程数据留存情况;
d) 风险保障程度:高风险操作、行为等保障情况。
16
JT/ T 1545—2025
附 录 C
(资料性)
网络安全实战演练攻击成果报告示例
C. 1 演练综述
经某单位授权,某攻击队伍于× 年× 月× 日至× 年× 月× 日,对某关键业务系统及相关微信小程序、
单位进行了攻击,通过模拟真实网络攻击行为,评估系统是否存在可以被攻击者利用的漏洞以及由此因
此引发的风险大小,为制定相应的安全措施与解决方案提供实际的依据。
C. 2 攻击过程
C. 2. 1 攻击路径说明
C. 2. 1. 1 路径1:通过信息收集,发现某突破点,经某系统漏洞,获取某业务系统应用管理员权限。
C. 2. 1. 2 路径2:通过信息收集,发现某突破点,利用某系统的弱口令,获取某业务微信小程序应用管理
员权限。
C. 2. 2 成果说明
C. 2. 2. 1 通过某系统漏洞获取某业务系统应用管理员权限
× 年× 月× 日,获取某业务系统应用管理员权限成功,本成果已经本次演练专家裁判组审核通过。
详细情况见表C. 1。
表C. 1 某业务系统应用管理员权限成果详情
成果名称通过某系统漏洞获取× 业务系统应用管理员权限
资产信息
资产类型互联网应用系统资产URL × × ×
资产IP × × × 暴露面× × ×
获取权限某业务系统的应用管理员权限
攻击情况
攻击方法× × × 突破网路边界× × ×
存在隐患× × × 影响的业务系统× × ×
漏洞详情
被攻击方式× × × 漏洞名称× × ×
是否零时差漏洞× × × 漏洞类型× × ×
影响操作系统× × × 影响应用系统或产品× × ×
C. 2. 2. 2 利用弱口令获取某业务微信小程序应用管理员权限
× 年× 月× 日,获取某业务微信小程序权限成功,本成果已经本次演练专家裁判组审核通过。详细
情况见表C. 2。
17
JT/ T 1545—2025
表C. 2 某业务微信小程序应用管理员权限成果详情
成果名称通过弱口令获取某业务微信小程序应用管理员权限
资产信息
资产类型互联网应用系统资产URL × × ×
资产IP × × × 暴露面× × ×
获取权限某业务微信小程序的应用管理员权限
攻击情况
攻击方法× × × 突破网路边界× × ×
存在隐患× × × 影响的业务系统× × ×
漏洞详情
被攻击方式× × × 漏洞名称× × ×
是否零时差漏洞× × × 漏洞类型× × ×
影响操作系统× × × 影响应用系统或产品× × ×
C. 2. 3 存在的问题
本次演练共发现漏洞× × 个,应用系统权限× × 个。
C. 3 漏洞或高风险分析及处置建议
C. 3. 1 针对某业务系统的漏洞,结合某单位网络安全现状,形成详细处置建议。
C. 3. 2 针对某业务微信小程序弱口令,结合某单位网络安全现状,形成详细处置建议。
18
JT/ T 1545—2025
附 录 D
(资料性)
网络安全实战演练防守成果报告示例
D. 1 防守综述
本单位在吸取× × 网络安全事件的经验教训后,为贯彻落实有关工作要求,提升网络安全保护能力、
防范网络安全事故,在指导思想和工作原则下,特组织开展与× × 关键业务相关的系统演练。× × 关键
业务相关的系统的责任部门负责防守工作。
× 年× 月× 日× 时× 分,通过监测发现某业务系统被攻击,相关信息见表D. 1。
表D. 1 某业务系统被攻击信息
事件名称× × ×
涉及范围
系统名称某业务系统涉及系统互联网IP × × ×
网络层级× × × 涉及系统内网IP × × ×
涉及系统URL × × ×
攻击情况
源攻击IP × × ×
是否关键节点× × ×
事件描述× × ×
D. 2 监测发现
D. 2. 1 监测发现及时性
监测发现及时性见表D. 2。
表D. 2 监测发现及时性
填报事项填报内容
攻击时间× × × × / × × / × × , × × : × ×
攻击证据截图 通过× × 设备发现攻击者通过× × 账号,登录到某业务系统并获取到相关数据(提供截图);
× × × × / × × / × × , × × : × × ,攻击者获取应用服务器管理员权限(提供截图)
检出时间× × × × / × × / × × , × × : × ×
检出证据截图 × × × × / × × / × × , × × : × × ,通过× × 设备发现某业务系统应用服务器被上传某攻击
组件(提供截图)
D. 2. 2 影响范围
影响范围见表D. 3。
19
JT/ T 1545—2025
表D. 3 影响范围
填报事项填报内容
归属单位/ 部门× × × ×
定级备案情况× × × ×
承载数据类型× × × ×
数据量× × × ×
涉及业务× × × ×
D. 3 分析研判
D. 3. 1 事件基本情况
体现事件类型、涉事系统类型、涉事系统所处区域、涉事系统重要级别,进行攻击路径分析,包括攻击
者攻击方式、权限获取情况、横向移动情况及方法等。
D. 3. 2 事件详情分析
体现攻击者利用的漏洞详情,包括漏洞名称、漏洞编号、漏洞类型、漏洞描述,排查是否出现数据泄露
情况,涉及数据类型、泄露机制、数据量等。
D. 3. 3 攻击痕迹提取
体现攻击痕迹提取采用的技术方法,提取的痕迹类型(日志/ 流量)、痕迹说明,痕迹应能包括原始攻
击日志,能支持攻击特征、攻击链条、攻击方法等分析研判工作,提供痕迹附件或截图。
D. 3. 4 攻击链分析
× 年× 月× 日× 时× 分,通过某监测预警系统发现某样本,根据某分析过程,确认其为攻击。
D. 4 应急处置
D. 4. 1 阻断攻击
× 年× 月× 日× 时× 分,某操作人员发现某业务系统流量告警,研判确认某IP 为攻击者,实施了IP
封堵的阻断措施(阻断措施包括但不限于IP 封堵、端口封堵、服务封堵和进程查杀等)。
D. 4. 2 整改加固
D. 4. 2. 1 某操作人员于× 年× 月× 日× 时× 分定位了某漏洞,确认了某漏洞影响位置、某漏洞等级;通
过× × 等加固措施,于× 年× 月× 日× 时× 分修复了某漏洞。
D. 4. 2. 2 某操作人员于× 年× 月× 日× 时× 分确认了某执行程序为木马工具,明确该木马工具的影响
操作系统和应用;通过× × 等加固措施,于× 年× 月× 日× 时× 分消除了该木马工具的影响。
D. 4. 3 系统恢复
本次演练结束后,对某业务系统、某微信小程序造成了相关影响。通过× × 等恢复方法, × 年× 月×
日× 时× 分,某业务系统、某微信小程序已恢复正常运行(提供系统恢复证明截图)。
20
JT/ T 1545—2025
参考文献
[1] GB 17859 计算机信息系统 安全保护等级划分准则
[2] GB/ T 20984 信息安全技术 信息安全风险评估方法
[3] GB/ T 20985 (所有部分)信息技术 安全技术 信息安全事件管理
[4] GB/ T 22080 信息技术 安全技术 信息安全管理体系 要求
[5] GB/ T 30279 信息安全技术 网络安全漏洞分类分级指南
[6] GB/ T 31496 信息技术 安全技术 信息安全管理体系 指南
[7] GB/ T 39204 信息安全技术 关键信息基础设施安全保护要求
[8] 关键信息基础设施安全保护条例(中华人民共和国国务院令第745 号)
[9] 国家网络安全事件应急预案(中网办发文〔2017〕4 号)
21
JT/ T 1545—2025
前言………………………………………………………………………………………………………… Ⅲ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 总体原则………………………………………………………………………………………………… 1
5 组织架构………………………………………………………………………………………………… 2
6 演练流程………………………………………………………………………………………………… 3
7 演练准备………………………………………………………………………………………………… 3
8 演练实施………………………………………………………………………………………………… 5
9 演练总结………………………………………………………………………………………………… 6
10 整改复测………………………………………………………………………………………………… 6
11 追溯方法………………………………………………………………………………………………… 6
附录A(资料性) 网络安全实战演练工作方案示例…………………………………………………… 8
附录B(资料性) 网络安全实战演练总结报告示例…………………………………………………… 15
附录C(资料性) 网络安全实战演练攻击成果报告示例……………………………………………… 17
附录D(资料性) 网络安全实战演练防守成果报告示例……………………………………………… 19
参考文献…………………………………………………………………………………………………… 21
Ⅰ
JT/ T 1545—2025
前 言
本文件按照GB/ T 1. 1—2020《标准化工作导则 第1 部分:标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由交通运输信息通信及导航标准化技术委员会提出并归口。
本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、国家信息技术安全研
究中心、交通运输部路网监测与应急处置中心、云南公路联网收费管理有限公司。
本文件主要起草人:杜渐、戴明、贺林佳、李飞、高薪、贺文涛、李霞、潘承亚、李涛、肖强、邢宏伟、
郭晓禹、梁田、张子田、赵成卫、陈朴、兰昱、黄乐金、李存默、赵宾、孙策、贾茂霞、王玮、王正琼、姚佳明、
王琳、张吉光。
Ⅲ
JT/ T 1545—2025
交通运输行业网络安全实战演练工作规程
1 范围
本文件明确了交通运输行业网络安全实战演练的总体原则和组织架构,确立了演练流程,规定了演
练准备、演练实施、演练总结、整改复测等阶段的操作指示,描述了追溯方法。
本文件适用于指导交通运输行业各级交通运输主管部门、企事业单位和运营者组织开展的交通运输
行业网络安全实战演练工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/ T 22239 信息安全技术 网络安全等级保护基本要求
GB/ T 25069 信息安全技术 术语
GB/ T 29246 信息安全技术 信息安全管理体系 概述和词汇
GB/ T 32924 信息安全技术 网络安全预警指南
GB/ T 38645 信息安全技术 网络安全事件应急演练指南
3 术语和定义
GB/ T 22239、GB/ T 25069、GB/ T 29246、GB/ T 32924、GB/ T 38645 界定的以及下列术语和定义适用于
本文件。
3. 1
防守 defense
对保护对象的应用、数据和设备进行保护,防止未经授权的访问、使用、泄露、破坏等活动,保障其机
密性、完整性和可用性的过程。
3. 2
网络安全实战演练 cybersecurity practical attack and defense exercises
根据网络安全威胁或网络安全事件,通过被授权、真实可控的攻击行为和场景,对实际运行的网络或
信息系统安全保护能力进行训练及评估的活动。
4 总体原则
网络安全实战演练(以下简称演练)总体原则如下:
a) 统筹协调:保障各参与方密切配合、沟通顺畅、协同高效开展演练;
b) 结合实际:基于实际运行的网络环境和真实的运维状态开展演练;
c) 风险可控:确保人员、工具、方法和过程可控,不对演练对象造成实质性损害;
d) 注重实效:以明确发现安全防护风险、事件处置能力不足等为演练的主要目的。
1
JT/ T 1545—2025
5 组织架构
5. 1 管理部门
管理部门包括交通运输各级网络安全主管部门,主要工作内容如下:
a) 下达演练任务和要求;
b) 审定演练方案;
c) 开展演练备案;
d) 组织演练总结和督促整改。
5. 2 组织单位
组织单位即组织开展演练的单位,主要工作内容如下:
a) 对演练工作的承诺和支持,包括发布正式文件,提供人员、物资供应、场地环境、经费支撑等必要
资源;
b) 组织编制演练工作方案;
c) 组织协调筹备和指挥调度现场工作;
d) 研究决定演练工作中的重大事项;
e) 宣布演练开始、结束或终止;
f) 开展演练总结和整改复测工作。
5. 3 参演机构
5. 3. 1 攻击方
由网络安全专业技术人员组建的攻击队伍,针对技术和非技术安全控制的脆弱性,组织开展网络攻
击,达到获得信息系统或网络设备的访问权或敏感数据等目的。主要工作内容如下:
a) 模拟真实网络攻击;
b) 发现网络安全威胁和脆弱性;
c) 提交攻击成果报告;
d) 复盘并参与演练总结工作;
e) 组织单位部署的其他工作。
5. 3. 2 防守方
以现有网络安全运维人员为主组建的防守队伍,主要工作内容如下:
a) 演练中的监测、预警、分析、验证和处置;
b) 提交防守成果报告;
c) 网络安全加固与风险整改;
d) 复盘并开展演练总结工作;
e) 组织单位部署的其他工作。
5. 3. 3 专家裁判组
由网络安全管理和技术专家组建的裁判队伍,其工作内容如下:
a) 提出评价指标和评分标准;
b) 把控演练的进度和效果,研判技术风险;
2
JT/ T 1545—2025
c) 审核攻击方和防守方的成果报告;
d) 其他需要裁定的技术事项。
6 演练流程
演练流程应按照下列步骤进行(流程框架见图1):
a) 演练准备:组织单位准备(编制演练方案、方案报备等),攻击方准备(工具、成果提交形式等),
防守方准备(资产梳理、工具和防守报告等)的主要内容和流程;
b) 演练实施:演练实施期间组织单位、攻击方、防守方和裁判专家组的工作流程和职责;
c) 演练总结:组织单位、攻击方和防守方在总结阶段的相关工作;
d) 整改复测:演练问题整改、问题复测和归档文件的相关工作和流程工作。
图1 演练流程框架
7 演练准备
7. 1 组织单位
7. 1. 1 确定演练目标和范围
组织单位应结合日常工作、重要时期、重大活动、网络安全事件、专项演练等需求确定演练目标。应
针对演练目标和现状,确定参加演练的单位、网络和系统等,宜明确到演练的目标系统。
3
JT/ T 1545—2025
7. 1. 2 成立专家裁判组
组织单位组织成立专家裁判组,制定评价指标和评分标准。
7. 1. 3 制定风险控制措施
演练应保证过程安全可控,至少满足下列要求:
a) 应明确攻击方使用物理入侵、地址解析协议攻击、拒绝服务等攻击方式的限定条件,或明确不准
许使用上述攻击方式;
b) 攻击方所采用的高危操作应经专家裁判组研讨批准后方可进行,高危操作包括但不限于内核提
权、更改设备配置、修改系统管理员密码、页面篡改、生产数据篡改、使用主动扩散工具等;
c) 攻击方只准许在组织单位要求的时间范围内开展攻击;
d) 应全程记录攻击方所有攻击过程及行为,确保能追溯;
e) 防守方不准许采取断网、断电等方式关闭网络;
f) 攻击方、防守方不准许下载演练所需以外的个人信息、业务数据和源代码等;
g) 攻击方、防守方不准许擅自发布基于演练掌握的信息、数据以及发现的隐患和漏洞;
h) 攻击方、防守方在演练结束后,应检查并确认已清理和销毁在演练过程中产生的临时数据、攻击
痕迹和工具;
i) 各参演机构应对所有参演人员进行必要的政治审查,所有人员签署保密协议,必要时可提请公
安机关对攻击人员进行背景审查。
7. 1. 4 编制演练工作方案
7. 1. 4. 1 组织单位组织编制演练工作方案(示例见附录A),主要内容包括工作背景、演练目标、演练范
围、演练开始时间和结束时间,宜包括:
a) 组织单位和参演机构及工作内容;
b) 攻击记录工具或平台;
c) 演练专项;
d) 演练场所;
e) 进度安排;
f) 风险控制措施;
g) 联络机制;
h) 评价机制;
i) 工作要求;
j) 相关附件;
k) 其他相关内容。
7. 1. 4. 2 工作方案编制完成后,组织单位应组织方案评审,确定方案科学可行。通过评审的工作方案
开展报备工作,并向各参演机构宣贯。
7. 1. 5 报备
组织单位按照管理部门的要求,将演练工作方案向其报备。
7. 2 攻击方
攻击方准备工作如下:
a) 按组织单位要求提供人员相关信息;
4
JT/ T 1545—2025
b) 确认攻击技术、工具或方式符合风险控制措施要求;
c) 确认攻击成果的提交形式;
d) 签署保密协议;
e) 获取正式授权书和目标攻击的授权信息。
7. 3 防守方
防守方准备工作如下:
a) 按组织单位要求提供演练范围内的人员、信息系统和主要防护工具等信息;
b) 适时完成资产梳理、暴露面排查和安全加固等工作;
c) 根据需要确认网络安全防护措施和工具的有效性;
d) 确认防守成果的提交形式;
e) 确认演练应急措施。
8 演练实施
8. 1 组织单位
8. 1. 1 宣布演练正式开始,对全过程进行指挥控制,掌握进展情况。
8. 1. 2 督促各参演机构按照演练工作方案实施,采用文字、照片、音像录屏等工具或平台记录演练实施
过程。
8. 1. 3 演练时间结束或达到演练目标后,组织单位宣布演练实施阶段结束,对演练过程进行点评。实施
过程中出现下列情况,经组织单位或管理部门决定,应提前终止演练:
a) 出现真实突发事件;
b) 所有目标系统被攻击方完全控制;
c) 出现组织单位认为需要终止的其他情况。
8. 2 攻击方
8. 2. 1 演练正式开始后,组织攻击队伍,按照实施方案要求实施演练。
8. 2. 2 实施攻击,主要包括下列内容:
a) 在演练范围内,按照时限等规则要求开展网络攻击,按要求记录攻击过程和成果证据;
b) 按照演练工作方案中规定的攻击成果模板进行成果提交;
c) 提交成果并裁定有效后,彻底清除上传的脚本文件,恢复修改的文件,删除临时创建的测试账号
等攻击痕迹,对于无法清理内容进行记录与说明。
8. 3 防守方
实施防守,主要包括下列内容:
a) 通过流量监测、日志分析等方法,确认网络安全威胁或网络安全事件,及时发出安全警示;
b) 收到安全警示后,按照应急预案开展处置和加固,如隔离受影响资产、修复漏洞、恢复关键服务
等,必要时与组织单位沟通确认;
c) 按照演练工作方案中时限等规则进行防守报告提交;
d) 对暴露的问题进行全面分析,并展开详细的事后调查。
8. 4 专家裁判组
专家裁判组接收高危操作、攻击成果、防守报告等信息,开展研判分析工作并反馈。
5
JT/ T 1545—2025
9 演练总结
9. 1 组织单位
组织单位对演练总体实施进行全面总结,主要包括组织队伍、攻击情况、防守情况、安全防护措施、监
测措施、响应和协同处置等各阶段工作的成果等内容,总结工作内容如下:
a) 形成总结报告(示例见附录B);
b) 通报演练结果;
c) 按要求将总结报告报送管理部门,全国联网运行的网络,同步报送相关管理单位。
9. 2 攻击方
攻击方主要工作内容如下:
a) 检查并确认已彻底消除痕迹,彻底清除上传的脚本文件,恢复修改的文件,删除临时创建的测试
账号等攻击痕迹,对于无法清理的内容,形成正式清单报送组织单位;
b) 对演练中产生的成果、问题进行汇总,提出整改修复意见,提交攻击成果报告(示例见附录C)。
9. 3 防守方
防守方主要工作内容如下:
a) 核查演练范围内网络、设备、应用系统等运行状态;
b) 对受到的攻击进行溯源;
c) 对演练中产生的成果、问题进行汇总,提出整改方案,提交防守成果报告(示例见附录D)。
10 整改复测
10. 1 防守方
10. 1. 1 全面复盘在演练中暴露的脆弱点,并对演练过程中发现的问题和风险进行整改,包括漏洞修
复、系统加固、应用升级、策略更新等,整改完成后进行自测确认。
10. 1. 2 形成整改报告并报送组织单位。
10. 2 组织单位
10. 2. 1 根据整改报告组织复测。
10. 2. 2 组织文件归档。
11 追溯方法
11. 1 归档文件
对演练准备、实施、总结和整改复测过程中产生的文件进行归档,主要包括:
a) 组织单位、攻击方、防守方和专家裁判组正式提供的本次演练的工作方案、总结报告、攻击成果
报告、防守成果报告等相关资料;
b) 演练整改方案、复测报告等文件相关的评审记录、会议记录、审批记录和报备文件等;
c) 采用攻击记录工具或平台记录的演练实施过程记录。
6
JT/ T 1545—2025
11. 2 过程记录
在演练的各阶段过程中记录并保存的主要内容如下:
a) 记录和审核人员姓名;
b) 时间;
c) 地点;
d) 网络路径;
e) 使用的工具和方法;
f) 执行的具体操作内容(含文字、图片和视频);
g) 攻击操作的结果或防守的结果;
h) 问题整改建议;
i) 其他。
7
JT/ T 1545—2025
附 录 A
(资料性)
网络安全实战演练工作方案示例
A. 1 背景和目的
某单位在吸取× × 网络安全事件的经验教训后,为贯彻落实有关工作要求,提升网络安全保护能力、
防范网络安全事故,特组织开展与× × 关键业务相关的系统演练。具体演练目的为:
a) 核验防护:通过开展演练,发现某关键业务类系统的网络系统运行、数据安全、供应链管控、密码
应用安全、事件处置等方面的风险,检验网络的安全保护能力;
b) 定位短板:通过开展演练,定位某关键业务系统管理单位、运维单位、应急保障等单位在组织管
理、机制建设、队伍保障、技术措施、应急处置等方面的短板;
c) 锻炼队伍:通过开展演练,提升管理部门、组织机构、参演机构等人员的监测预警、攻击防守、应
急响应、协同处置等方面的能力,增强全员网络安全意识;
d) 磨合机制:通过开展演练,进一步明确管理单位、运维单位、应急保障等单位的责任边界,完善各
单位间的信息共享及联动处置机制。
A. 2 攻击记录工具或平台
本次演练使用的记录工具或演练使用的平台,用于事后回溯或对攻击方进行监督审计。
A. 3 演练专项
本次演练主要以发现某关键业务类系统的“弱口令”“高风险漏洞”等为目标。
A. 4 演练场所
本次演练攻击方在组织单位的某机房内进行攻击,使用的工具全程接入演练平台。
A. 5 演练范围
本次演练的范围以某关键业务类系统为主,包括其门户网站、公众号、小程序和网络、系统平
台等。
A. 6 组织单位及工作内容
本次演练组织单位人员及工作内容名单见表A. 1。
表A. 1 组织单位人员及工作内容
序号角色岗位成员姓名工作内容
1 负责人× × × × × × 负责演练工作方案审核、演练总体协调及组织
2 参与人员× × × × × × 负责演练工作方案编制及其他事务工作
3 参与人员× × × × × × ……
8
JT/ T 1545—2025
A. 7 参演机构及工作内容
A. 7. 1 攻击方
本次演练攻击方人员及工作内容见表A. 2。
表A. 2 攻击方人员及工作内容
序号角色姓名单位/ 部门工作内容
1 负责人× × × × × × 负责攻击路线制定及攻击方活动协调
2 参与人员× × × × × × 负责攻击实施与报告编制
3 参与人员× × × × × × ……
A. 7. 2 防守方
本次演练防守方人员及工作内容见表A. 3。
表A. 3 防守方人员及工作内容
序号单位/ 部门姓名岗位工作内容
1 × × × × × × × × × 某门户网站的防守活动协调
2 × × × × × × × × × 某小程序的防守活动协调
3 × × × × × × × × × ……
A. 7. 3 专家裁判组
本次演练专家裁判组人员及工作内容见表A. 4。
表A. 4 专家裁判组人员及工作内容
序号角色成员姓名工作内容
1 组长× × × 专家裁判组管理、零时差攻击成果判定、高危行为裁定
及专家裁判组决议审查等
2 副组长× × × 攻击/ 防守成果判定、高危行为研判等
3 组员× × × 高危行为研判、专家裁判组工作记录等
4 组员× × × ……
A. 8 进度安排
A. 8. 1 准备阶段
本次演练准备阶段事项见表A. 5。
9
JT/ T 1545—2025
表A. 5 演练准备阶段事项
序号事项责任方截止日期
1 确定演练目标和范围,成立专家裁判组× × × × 年× 月× 日
2 制定风险控制措施× × × × 年× 月× 日
3 编制演练工作方案并组织评审× × × × 年× 月× 日
4 完成演练工作方案报备× × × × 年× 月× 日
A. 8. 2 实施阶段
本次演练实施阶段事项见表A. 6。
表A. 6 演练实施阶段事项
序号事项责任方开始日期截止日期
1 演练开始× × × × 年× 月× 日× 年× 月× 日
2 实施攻击× × × × 年× 月× 日× 年× 月× 日
3 成果提交× × × × 年× 月× 日× 年× 月× 日
4 成果确认× × × × 年× 月× 日× 年× 月× 日
A. 8. 3 演练总结
演练期间,各参演机构做好日志记录,建立过程文档。
演练结束后,某单位根据演练中发现的问题和建议对网络安全、应急处置(包括演练工作)等进行持
续改进。某单位应督促相关部门和人员进行复盘总结并制定整改计划,明确整改完成日期,根据相关情
况梳理编制总结报告。
A. 8. 4 整改复测
某单位× × 部门负责跟踪督查整改工作进展,并对复测工作进行安排。
涉及整改的相关部门和人员应按照整改计划,在计划时限内完成各项整改工作内容,并配合开展复
测工作。
A. 9 风险控制措施
风险控制措施包括下列内容。
a) 人员保障:为确保演练的专业性与合规性,专家裁判组对所有攻击人员进行全面的专业能力考
核,具备考核记录。组织单位进一步强化安全审查流程,对所有攻击人员进行详尽的政治背景
审查,包括公安机关出具的无犯罪记录证明。此外,组织单位明确要求攻击方、攻击人员及裁判
专家签署保密协议,以确保参演人员政治素质过硬,实施人员的专业能力严格符合演练设定的
目标及各项专项要求。同时,为进一步增强安全防范,必要时将提请公安机关对攻击人员进行
更为深入的背景审查。
10
JT/ T 1545—2025
b) 环境保障:为打造安全可靠的演练环境,实现对出入人员的严格管控,在演练场所外部安装刷脸门
禁系统。演练场所内,拟部署专业× ×演练平台、提供正版授权攻击软件、将所有日志无缝接入审
计系统,以确保数据的安全性与可追溯性。此外,演练场所室内拟配备完善的网络接入设施、两台
具备30 天视频存储功能的监控设备以及正版授权的软件和场地保障措施,以全面满足演练需求。
c) 过程保障:为确保演练过程的规范性与可追溯性,拟指定专人负责每日对演练平台和监控系统
产生的日志、数据进行全面备份,实现过程全记录、数据全留存的目标,并确保所有信息均能供
审计。同时,根据相关规定,演练前提前15 个工作日由组织单位的× × 部门向管理部门进行报
备,并提交本次演练的详细方案,以接受管理部门的监督与指导。
d) 风险保障:为确保生产业务的安全运行,当攻击方在攻击路径中发现存在高危安全漏洞、重大网
络安全事件或威胁,以及需对核心业务系统进行关键性操作时,严格遵循既定流程,首先向专家
裁判组进行请示并报告相关情况。在演练过程中,所有涉及漏洞隐患信息、网络与信息系统信
息、工作及业务数据、个人信息数据等敏感数据信息,均需采取有效的信息保护措施,确保数据
安全得到充分保障。参与演练的相关人员均签署保密协议,以确保信息不被泄露。演练活动结
束后,攻击方应负责彻底清除上传的脚本文件,恢复被修改的文件至原始状态,并删除临时创建
的测试账号等所有可能留下的攻击痕迹。对于无法完全清理的内容,编制正式清单并报送至组
织单位备案。
A. 10 联络机制
演练相关方的主要联系人员及联系方式见表A. 7。
表A. 7 演练相关方主要联系人员及联系方式
序号演练单位单位名称角色姓名联系方式
1 管理部门管理部门1 负责人× × × × × ×
联络人× × × × × ×
2 组织单位
组织单位1
组织单位2
负责人× × × × × ×
联络人× × × × × ×
负责人× × × × × ×
联络人× × × × × ×
3 攻击方
攻击队伍1
攻击队伍2
负责人× × × × × ×
队员× × × × × ×
负责人× × × × × ×
队员× × × × × ×
4 防守方
防守单位1
防守单位2
负责人× × × × × ×
联络人× × × × × ×
负责人× × × × × ×
联络人× × × × × ×
5 专家裁判组
专家裁判组1
专家裁判组2
组长× × × × × ×
组员× × × × × ×
组长× × × × × ×
组员× × × × × ×
注:以上人员保持24 小时开机。
11
JT/ T 1545—2025
A. 11 评价机制
本次演练攻击方采用得分制,主要在获取权限、突破网络边界、攻取靶标系统、获取敏感数据、发现事
前已有痕迹等方面进行评分排名。
A. 12 工作要求
演练工作要求要点如下:
a) 工作时间: × 月× 日至× 月× 日(演练时间),每日成果报告于当日× 时× 分前提交。
b) 现场工作主要要求:
1) 严格遵守组织单位所规定的相关攻击规则;
2) 按时完成签到,禁止迟到早退;
3) 演练期间参演人员禁止拍照、录像等,任何演练相关信息禁止发布于互联网,一经发现将追
究相关责任;
4) 演练中遇到问题请联系联络组人员;
5) 各攻击队员需确保身体健康,无重大或传染性疾病,在演练过程中如有身体不适需即刻停
止并报告;
6) 演练场地楼内禁止吸烟。
A. 13 相关附件
A. 13. 1 保密承诺书
保密承诺书模板见图A. 1。
A. 13. 2 任务计划
演练任务计划见表A. 8。
表A. 8 演练任务计划
序号阶段事项具体工作内容执行单位(部门) 计划完成时间
12
演练准备× × × × × × × × × × × ×
× × × × × × × × × × × ×
34
演练实施× × × × × × × × × × × ×
× × × × × × × × × × × ×
56
演练总结× × × × × × × × × × × ×
× × × × × × × × × × × ×
78
整改复测× × × × × × × × × × × ×
× × × × × × × × × × × ×
注:根据需要增减行数。
A. 13. 3 演练授权书
演练授权书模板见表A. 9。
12
JT/ T 1545—2025
图A. 1 保密承诺书模板
13
JT/ T 1545—2025
表A. 9 演练授权书模板
授权方名称(盖章) × × ×
联系人姓名× × × 联系电话× × ×
被授权方名称× × ×
联系人姓名× × × 联系电话× × ×
授权委托事项× × ×
授权时间× 年× 月× 日— × 年× 月× 日,9:00—21:00
演练范围
(网络、单位和系统) × × ×
演练方法
被授权方演练方法遵循业界通用标准,包括但不限于:自动化扫描,口令穷举,身份验证
突破,策略配置漏洞,漏洞利用,访问控制突破,系统用户提权,内外网混联检测,溢出漏洞
攻击等
授权方声明
授权方认可被授权方提供的演练方法,被授权方告知授权方演练可能带来的后果(如系
统负载上升,系统崩溃,数据库异常等)。被授权方避免采用破坏性较强方法,尽量避免可
能带来的严重后果。演练人员在与授权方协商确认的前提下,尽量将演练时间安排在不
影响系统业务的时间进行,以减小演练对目标系统的影响。同时,在实施阶段提前告知授
权方具体时间,授权方提前做好必要的备份和风险应对措施准备。对因演练而导致的意
外事件,双方将协商共同配合解决
注:授权方在本授权委托书中填写的联系信息需与授权方实际被演练系统上公布的联系信息一致,若相关联系信
息发生变更应及时通知被授权方。
A. 13. 4 痕迹清除确认单
痕迹清除确认单模板见表A. 10。
表A. 10 痕迹清除确认单模板
序号恢复项是否消除数据痕迹备注
1 终端电脑是× × ×
2 笔记本电脑是× × ×
3 移动存储设备是× × ×
4 移动通信设备是× × ×
本人承诺:
已消除在参与本次活动过程中使用的电脑设备、存储类设备、通信类设备及其他配套设施所记录的一切与本次演练
相关的数据,如未清除本人愿承担相关责任。
承诺人(签字):
年 月 日
14
JT/ T 1545—2025
附 录 B
(资料性)
网络安全实战演练总结报告示例
B. 1 演练概述
根据网络安全工作部署,某单位于× 年× 月× 日至× 年× 月× 日组织开展与× × 关键业务相关的系
统演练。
B. 2 演练范围
× × 关键业务相关的系统(包括但不限于:业务系统、主机及其他设备)。
B. 3 参演机构
某单位某部门负责组织协调此次演练工作,并对实施进度和质量进行把控。组织技术专家成立专家
裁判组,组织某单位成立攻击方, × × 关键业务相关的系统的责任部门负责防守工作。
B. 4 计划安排
× 年× 月× 日至× 年× 月× 日,研究演练工作方案,落实演练条件,制定了风险控制措施,落实相关
要求,确定相应应急预案,明确攻击报告成果及评价内容,完成备案等必要程序。
× 年× 月× 日至× 年× 月× 日,完成了为期一周的演练工作。
× 年× 月× 日,完成了本次演练工作总结报告。
B. 5 工作成果
本次演练共发现高危漏洞× × 个,其中互联网侧漏洞× × 个,内网侧漏洞× × 个;获得个人信息× ×
余条,敏感数据× × 余条,应用系统权限× × 个(含管理员);专项钓鱼行动共获取× × 台终端控制权限。
主要涉及部分系统存在高危风险及漏洞、工作人员网络安全意识不够等问题。
B. 5. 1 存在风险的系统
主要涉及× × 关键业务信息系统、× × 关键业务微信小程序等。
B. 5. 2 漏洞情况
本次演练共发现高危漏洞× 个,主要为弱口令、未授权访问等类型的漏洞。
B. 5. 3 专项钓鱼行动情况
通过社会工程学攻击投放程序执行文件,共有× × 台终端执行。
B. 5. 4 专家研判说明
本次演练未涉及高危操作。
B. 6 改进和建议
根据某单位实际情况,结合本次演练发现的网络安全风险及隐患,形成详细的网络安全防护改进和
建议。
15
JT/ T 1545—2025
B. 7 资源保障程度
为了切实保障演练工作顺利开展,某单位通过人员保障、环境保障、过程保障、风险保障等措施保障
本次演练。主要包括下列内容:
a) 人员保障程度:参演人员及审查情况;
b) 环境保障程度:监控设备、正版授权软件和场地的保障情况;
c) 过程保障程度:过程数据留存情况;
d) 风险保障程度:高风险操作、行为等保障情况。
16
JT/ T 1545—2025
附 录 C
(资料性)
网络安全实战演练攻击成果报告示例
C. 1 演练综述
经某单位授权,某攻击队伍于× 年× 月× 日至× 年× 月× 日,对某关键业务系统及相关微信小程序、
单位进行了攻击,通过模拟真实网络攻击行为,评估系统是否存在可以被攻击者利用的漏洞以及由此因
此引发的风险大小,为制定相应的安全措施与解决方案提供实际的依据。
C. 2 攻击过程
C. 2. 1 攻击路径说明
C. 2. 1. 1 路径1:通过信息收集,发现某突破点,经某系统漏洞,获取某业务系统应用管理员权限。
C. 2. 1. 2 路径2:通过信息收集,发现某突破点,利用某系统的弱口令,获取某业务微信小程序应用管理
员权限。
C. 2. 2 成果说明
C. 2. 2. 1 通过某系统漏洞获取某业务系统应用管理员权限
× 年× 月× 日,获取某业务系统应用管理员权限成功,本成果已经本次演练专家裁判组审核通过。
详细情况见表C. 1。
表C. 1 某业务系统应用管理员权限成果详情
成果名称通过某系统漏洞获取× 业务系统应用管理员权限
资产信息
资产类型互联网应用系统资产URL × × ×
资产IP × × × 暴露面× × ×
获取权限某业务系统的应用管理员权限
攻击情况
攻击方法× × × 突破网路边界× × ×
存在隐患× × × 影响的业务系统× × ×
漏洞详情
被攻击方式× × × 漏洞名称× × ×
是否零时差漏洞× × × 漏洞类型× × ×
影响操作系统× × × 影响应用系统或产品× × ×
C. 2. 2. 2 利用弱口令获取某业务微信小程序应用管理员权限
× 年× 月× 日,获取某业务微信小程序权限成功,本成果已经本次演练专家裁判组审核通过。详细
情况见表C. 2。
17
JT/ T 1545—2025
表C. 2 某业务微信小程序应用管理员权限成果详情
成果名称通过弱口令获取某业务微信小程序应用管理员权限
资产信息
资产类型互联网应用系统资产URL × × ×
资产IP × × × 暴露面× × ×
获取权限某业务微信小程序的应用管理员权限
攻击情况
攻击方法× × × 突破网路边界× × ×
存在隐患× × × 影响的业务系统× × ×
漏洞详情
被攻击方式× × × 漏洞名称× × ×
是否零时差漏洞× × × 漏洞类型× × ×
影响操作系统× × × 影响应用系统或产品× × ×
C. 2. 3 存在的问题
本次演练共发现漏洞× × 个,应用系统权限× × 个。
C. 3 漏洞或高风险分析及处置建议
C. 3. 1 针对某业务系统的漏洞,结合某单位网络安全现状,形成详细处置建议。
C. 3. 2 针对某业务微信小程序弱口令,结合某单位网络安全现状,形成详细处置建议。
18
JT/ T 1545—2025
附 录 D
(资料性)
网络安全实战演练防守成果报告示例
D. 1 防守综述
本单位在吸取× × 网络安全事件的经验教训后,为贯彻落实有关工作要求,提升网络安全保护能力、
防范网络安全事故,在指导思想和工作原则下,特组织开展与× × 关键业务相关的系统演练。× × 关键
业务相关的系统的责任部门负责防守工作。
× 年× 月× 日× 时× 分,通过监测发现某业务系统被攻击,相关信息见表D. 1。
表D. 1 某业务系统被攻击信息
事件名称× × ×
涉及范围
系统名称某业务系统涉及系统互联网IP × × ×
网络层级× × × 涉及系统内网IP × × ×
涉及系统URL × × ×
攻击情况
源攻击IP × × ×
是否关键节点× × ×
事件描述× × ×
D. 2 监测发现
D. 2. 1 监测发现及时性
监测发现及时性见表D. 2。
表D. 2 监测发现及时性
填报事项填报内容
攻击时间× × × × / × × / × × , × × : × ×
攻击证据截图 通过× × 设备发现攻击者通过× × 账号,登录到某业务系统并获取到相关数据(提供截图);
× × × × / × × / × × , × × : × × ,攻击者获取应用服务器管理员权限(提供截图)
检出时间× × × × / × × / × × , × × : × ×
检出证据截图 × × × × / × × / × × , × × : × × ,通过× × 设备发现某业务系统应用服务器被上传某攻击
组件(提供截图)
D. 2. 2 影响范围
影响范围见表D. 3。
19
JT/ T 1545—2025
表D. 3 影响范围
填报事项填报内容
归属单位/ 部门× × × ×
定级备案情况× × × ×
承载数据类型× × × ×
数据量× × × ×
涉及业务× × × ×
D. 3 分析研判
D. 3. 1 事件基本情况
体现事件类型、涉事系统类型、涉事系统所处区域、涉事系统重要级别,进行攻击路径分析,包括攻击
者攻击方式、权限获取情况、横向移动情况及方法等。
D. 3. 2 事件详情分析
体现攻击者利用的漏洞详情,包括漏洞名称、漏洞编号、漏洞类型、漏洞描述,排查是否出现数据泄露
情况,涉及数据类型、泄露机制、数据量等。
D. 3. 3 攻击痕迹提取
体现攻击痕迹提取采用的技术方法,提取的痕迹类型(日志/ 流量)、痕迹说明,痕迹应能包括原始攻
击日志,能支持攻击特征、攻击链条、攻击方法等分析研判工作,提供痕迹附件或截图。
D. 3. 4 攻击链分析
× 年× 月× 日× 时× 分,通过某监测预警系统发现某样本,根据某分析过程,确认其为攻击。
D. 4 应急处置
D. 4. 1 阻断攻击
× 年× 月× 日× 时× 分,某操作人员发现某业务系统流量告警,研判确认某IP 为攻击者,实施了IP
封堵的阻断措施(阻断措施包括但不限于IP 封堵、端口封堵、服务封堵和进程查杀等)。
D. 4. 2 整改加固
D. 4. 2. 1 某操作人员于× 年× 月× 日× 时× 分定位了某漏洞,确认了某漏洞影响位置、某漏洞等级;通
过× × 等加固措施,于× 年× 月× 日× 时× 分修复了某漏洞。
D. 4. 2. 2 某操作人员于× 年× 月× 日× 时× 分确认了某执行程序为木马工具,明确该木马工具的影响
操作系统和应用;通过× × 等加固措施,于× 年× 月× 日× 时× 分消除了该木马工具的影响。
D. 4. 3 系统恢复
本次演练结束后,对某业务系统、某微信小程序造成了相关影响。通过× × 等恢复方法, × 年× 月×
日× 时× 分,某业务系统、某微信小程序已恢复正常运行(提供系统恢复证明截图)。
20
JT/ T 1545—2025
参考文献
[1] GB 17859 计算机信息系统 安全保护等级划分准则
[2] GB/ T 20984 信息安全技术 信息安全风险评估方法
[3] GB/ T 20985 (所有部分)信息技术 安全技术 信息安全事件管理
[4] GB/ T 22080 信息技术 安全技术 信息安全管理体系 要求
[5] GB/ T 30279 信息安全技术 网络安全漏洞分类分级指南
[6] GB/ T 31496 信息技术 安全技术 信息安全管理体系 指南
[7] GB/ T 39204 信息安全技术 关键信息基础设施安全保护要求
[8] 关键信息基础设施安全保护条例(中华人民共和国国务院令第745 号)
[9] 国家网络安全事件应急预案(中网办发文〔2017〕4 号)
21
JT/ T 1545—2025
评论