ICS35.040 CCS L 80 中华人民共和国交通运输行业标准 JT/T15452025 交通运输行业网络安全实战演练 工作规程 Codeofpracticeforcybersecuritypractical attackanddefense exercises ofthetransportation JT 2025-03-10发布 2025-07-01实施 中华人民共和国交通运输部发布 JT/T1545—2025 目 次 前言 II 范围 规范性引用文件 术语和定义 总体原则 4 组织架构 演练流程 演练准备 演练实施 演练总结 10 整改复测 11 追溯方法 附录A（资料性） 网络安全实战演练工作方案示例 附录B（资料性） 网络安全实战演练总结报告示例 附录C（资料性） 网络安全实战演练攻击成果报告示例 附录D(资料性) 网络安全实战演练防守成果报告示例 参考文献 21 JT 1 JT/T1545—2025 前言 本文件按照GB/T1.1一2020《标准化工作导则 」第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由交通运输信息通信及导航标准化技术委员会提出并归口。 本文件起草单位：中国交通通信信息中心、交通运输信息安全中心有限公司、国家信息技术安全研 究中心、交通运输部路网监测与应急处置中心、云南公路联网收费管理有限公司。 本文件主要起草人：杜渐、戴明、贺林佳、李飞、高薪、贺文涛、李霞、潘承亚、李涛、肖强、邢宏伟 郭晓禹、梁田、张子田、赵成卫、陈朴、兰昱、黄乐金、李存默、赵宾、孙策、贾茂霞、王玮、王正琼、姚佳明、 王琳、张吉光。 JT II JT/T1545—2025 交通运输行业网络安全实战演练工作规程 1范围 本文件明确了交通运输行业网络安全实战演练的总体原则和组织架构，确立了演练流程，规定了演 练准备、演练实施、演练总结、整改复测等阶段的操作指示，描述了追溯方法。 本文件适用于指导交通运输行业各级交通运输主管部门、企事业单位和运营者组织开展的交通运输 行业网络安全实战演练工作。 2规范性引用文件 2 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T22239 信息安全技术网络安全等级保护基本要求 GB/T25069 信息安全技术术语 GB/T29246 信息安全技术信息安全管理体系 概述和词汇 GB/T32924 信息安全技术网络安全预警指南 GB/T 38645 信息安全技术网络安全事件应急演练指南 3术语和定义 GB/T22239、GB/T25069、GB/T29246、GB/T32924、GB/T38645界定的以及下列术语和定义适用于 本文件。 3.1 防守defense 对保护对象的应用、数据和设备进行保护，防止未经授权的访问、使用、泄露、破坏等活动，保障其机 密性、完整性和可用性的过程。 3.2 网络安全实战演练cybersecuritypracticalattackanddefenseexercises 根据网络安全威胁或网络安全事件，通过被授权、真实可控的攻击行为和场景，对实际运行的网络或 信息系统安全保护能力进行训练及评估的活动。 JT 4总体原则 网络安全实战演练（以下简称演练）总体原则如下： a） 统筹协调：保障各参与方密切配合、沟通顺畅、协同高效开展演练； b) 结合实际：基于实际运行的网络环境和真实的运维状态开展演练； c） 风险可控：确保人员、工具、方法和过程可控，不对演练对象造成实质性损害； （P 注重实效：以明确发现安全防护风险、事件处置能力不足等为演练的主要目的。 1 JT/T1545—2025 5 组织架构 5.1 管理部门 管理部门包括交通运输各级网络安全主管部门，主要工作内容如下： a）下达演练任务和要求； 审定演练方案； 开展演练备案； c) (p 组织演练总结和督促整改。 5.2 组织单位 组织单位即组织开展演练的单位，主要工作内容如下： a) 对演练工作的承诺和支持，包括发布正式文件，提供人员、物资供应、场地环境、经费支撑等必要 资源； b) 组织编制演练工作方案； ( 组织协调筹备和指挥调度现场工作； (p 研究决定演练工作中的重大事项； e) 宣布演练开始、结束或终止； f) 开展演练总结和整改复测工作。 5.3 参演机构 5.3.1 攻击方 由网络安全专业技术人员组建的攻击队伍，针对技术和非技术安全控制的脆弱性，组织开展网络攻 击，达到获得信息系统或网络设备的访问权或敏感数据等目的。主要工作内容如下： a) 模拟真实网络攻击； b) 发现网络安全威胁和脆弱性； c) 提交攻击成果报告； (p 复盘并参与演练总结工作； e) 组织单位部署的其他工作。 5.3.2 防守方 以现有网络安全运维人员为主组建的防守队伍，主要工作内容如下： a） 演练中的监测、预警、分析、验证和处置； b) 提交防守成果报告； JT c) 网络安全加固与风险整改； (p 复盘并开展演练总结工作； e) 组织单位部署的其他工作。 5.3.3 专家裁判组 由网络安全管理和技术专家组建的裁判队伍，其工作内容如下： a) 提出评价指标和评分标准； b) 把控演练的进度和效果，研判技术风险； 2 JT/T1545—2025 c） 审核攻击方和防守方的成果报告； (p 其他需要裁定的技术事项。 演练流程 演练流程应按照下列步骤进行（流程框架见图1）： 演练准备：组织单位准备（编制演练方案、方案报备等），攻击方准备（工具、成果提交形式等）， a) 防守方准备（资产梳理、工具和防守报告等）的主要内容和流程； b) 演练实施：演练实施期间组织单位、攻击方、防守方和裁判专家组的工作流程和职责； 演练总结：组织单位、攻击方和防守方在总结阶段的相关工作； c) (P 整改复测：演练问题整改、问题复测和归档文件的相关工作和流程工作。 7演练准备 8演练实施 9演练总结 10整改复测 10.1防守方 7.1组织单位 8.1组织单位 9.1组织单位 1.宜布演练正式开始， 1.组织形成演练总结报 确定演练目标和范围 并对全程进行指挥掌控； 进行安全加固或修复， 告： 成立专家裁判组和制定 2.督促各参演机构按照 2.通报演练结果； 并自测确认 风险控制措施 方案实施并记录实施过程； 3.将演练总结报告报送 3.宜布演练的终止， 并 管理部门 对演练进行点评等 编制演练工作方案 形成整改报告 8.2攻击方 9.2攻击方 1.消除痕迹、清理账号 1.实施攻击； 方案评审是否 2.提交攻击成果报告等 等； 通过？ 2.提交攻击成果报告 否 复测是否 是 8.3防守方 9.3防守方 通过？ 1.实施防守； 1.核查网络、设备及应 演练工作方案报备 是 2.提交防守成果报告等 用系统状态； 2.对受到的攻击进行溯 10.2组织单位 8.4专家裁判组 源： 3.提交防守成果报告 7.2攻击方 对高危操作、攻击成果 组织文件归档 1.确认攻击技术、工具等 报告、防守成果报告等信 符合要求； 息开展研判分析 2.确认攻击成果提交形式 人 3.签署保密协议并获正式 授权，及其他相关准备等 将研判结果 提交组织单 位，演练是 7.3防守方 否终止？ 1.按要求提供信息； 2.资产梳理、安全加固； 是 3.确认防护措施和工具有 效性，及其他相关准备等 演练终止 图1演练流程框架 JT 7演练准备 7.1组织单位 7.1.1 确定演练目标和范围 组织单位应结合日常工作、重要时期、重大活动、网络安全事件、专项演练等需求确定演练目标。应 针对演练目标和现状，确定参加演练的单位、网络和系统等，宜明确到演练的目标系统 3