网络安全应急演练方案
1.总体目标
为保障 XX 单位各信息系统平稳运行,加强各单位对突发事件的处置能力,验证应急预案的可用性,特开展本次网络安全应急演练。本次演练主要针对我 XXX 系统被入侵后如何快速关停和恢复,以实际提升系统日常防护和维护人员发现和处理安全事件的能力。本次应急演练总体目标如下:
1)通过开展应急演练,查应急预案中存在的问题,进而完善应急预案,提高应急预案的实用性和可操作性。
2)检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作。
3)增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,加强配合,提高其应急处置能力。
4)进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导。普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识。
2.演练原则
1)结合实际,合理定位。紧密结合应急管理工作实际需求,明确演练目的,根据资源条件确定演练方式和规模。
2)着眼实战、讲求实效。以提高应急指挥机构的指挥协调能力和应急队伍的实战应变能力为着眼点。重视对演练流程及演练效果的评估、考核,总结推广好的经验,对发现的问题及时整改。
3)周密部署、确保安全。围绕演练目的,精心策划演练内容,科学设计演练方案,周密部署演练活动,制订并严格遵守有关安全措施,确保演练参与人员及演练设施安全。
4)统筹规划、厉行节约。统筹规划应急演练活动,演与练有效互补,适当开展跨行业、跨地域的综合性演练,充分利用现有资源,提升应急演练效益。
3.演练基本情况
3.1演练事件
网页篡改事件
3.2演练方式
桌面推演
3.3演练组织
领导小组:
本单位网络安全应急响应工作组组成。总指挥负责演练全程的总体把控,由组织单位参会的最高领导担任;副总指挥协助总指挥对演练实施过程进行控制;现场指挥负责演练指令的下达。
策划小组:
由本单位网络安全应急响应工作组、网络安全运维单位组成,统筹演练筹备、实施、总结等阶段各项工作;演练本单位有关部门之间的沟通协调。
保障小组:
由网络安全运维单位负责调集和调试演练总指挥部所需各项技术设施,与各参演单位进行技术设施对接;演练过程中现场消息的传达,维持演练现场秩序;会务相关的各项后勤保障。
评估小组:
网页被篡改怎么办由网络安全运维单位后台应急管理专家、具有一定演练评估经验和突发事件应急处置经验专业人员组
成,负责对演练准备、组织、实施及其安全事项等进行全过程、全方位评估,及时向演练策划和保障小组提出意见、建议。
4.网络安全应急响应小组
组长:
副组长:
成员:
5.演练时间及地点
时间安排:2023 年6 月6 日
演练地点:计算机培训室
参加演练人员:
6.演练流程概述
1)检测阶段:接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否发生了信息安全事件,制定进一步的响应策略,并保留证据。
2)抑制阶段:及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。
3)根除阶段:对事件进行抑制之后,通过对有关事件或行为的分析结果,出事件根源,明确相应的补救措施并彻底清除事件。
4)恢复阶段:恢复安全事件所涉及的系统,并还原到正常状态,使业务能够正常运行,恢复工作应避免出现误操作导致数据的丢失。
5)总结阶段:通过以上各个阶段的记录表格,恢复安全事件处理的全过程,整理与事件相关的各种信息,进行总结,并尽可能地把所有信息记录到文档中。
各阶段没有明确的时间先后顺序,如检测阶段和抑制阶段可同步进行。
7.应急演练参演单位
序号公司参演角负责人姓名1
2
3
4
5
8.演练场景概述
8.1 网络安全事件
针对网页篡改进行桌面演练。
9.演练准备
1.提供演练所需要的软件、硬件、网络等环境(测试环境)。
2.环境需求:
●模拟业务支撑系统某个应用程序系统地址(WEB 程序地址)。
●为了应急演练不破坏正常的业务系统,演练所需要的漏洞可手动构造。
●演练阶段所需要的工具及攻击方法需要系统维护组人员协商确认,避免
对系统造成危害。
10.正式应急演练
当发生网页篡改事件时
紧急措施:
1、进行系统临时性恢复,迅速恢复系统被篡改的内容(相关恢复人员、制度和措施,
参考招行相关流程);
2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能
进行检测;
3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;
4、在必要情况下,将遭受攻击的主机上系统日志、应用日志、第三方监控设备日志
等导出备份,并加以分析判断。
抑制处理:
1、分析 web 应用日志,确认有无恶意口令猜解、文件上传、SQL 注入等非正常查询;
2、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其 IP 地址、登陆
时间等信息;
3、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查是否存在可疑文
件和后门程序;