网络安全应急演练网页篡改应对方案

网络安全应急演练方案

1.总体目标为保障XX单位各信息系统平稳运行，加强各单位对突发事件的处置能力，验证应急预案的可用性，特开展本次网络安全应急演练本次演练主要针对我XXX系统被入侵后如何快速关停和恢复，以实际提升系统日常防护和维护人员发现和处理安全事件的能力本次应急演练总体目标如下1）通过开展应急演练，查找应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性2）检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充，做好应急准备工作3）增强演练组织单位、参与单位和人员等对应急预案的熟悉程序，加强配合，提高其应急处置能力4）进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离、阻隔、配套应急联动机制，防范网络安全风险传导普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识

2.演练原则1）结合实际，合理定位紧密结合应急管理工作实际需求，明确演练目的，根据资源条件确定演练方式和规模2）着眼实战、讲求实效以提高应急指挥机构的指挥协调能力和应急队伍的实战应变能力为着眼点重视对演练流程及演练效果的评估、考核，总结推广好的经验，对发现的问题及时整改3）周密部署、确保安全围绕演练目的，精心策划演练内容，科学设计演练方案，周密部署演练活动，制订并严格遵守有关安全措施，确保演练参与人员及演练设施安全4）统筹规划、厉行节约统筹规划应急演练活动，演与练有效互补，适当开展跨行业、跨地域的综合性演练，充分利用现有资源，提升应急演练效益

3.演练基本情况演练事件

3.1网页篡改事件演练方式

3.2桌面推演演练组织

3.3领导小组本单位网络安全应急响应工作组组成总指挥负责演练全程的总体把控，由组织单位参会的最高领导担任；副总指挥协助总指挥对演练实施过程进行控制；现场指挥负责演练指令的下达策划小组由本单位网络安全应急响应工作组、网络安全运维单位组成，统筹演练筹备、实施、总结等阶段各项工作；演练本单位有关部门之间的沟通协调保障小组由网络安全运维单位负责调集和调试演练总指挥部所需各项技术设施，与各参演单位进行技术设施对接；演练过程中现场消息的传达，维持演练现场秩序；会务相关的各项后勤保障评估小组由网络安全运维单位后台应急管理专家、具有一定演练评估经验和突发事件应急处置经验专业人员组成，负责对演练准备、组织、实施及其安全事项等进行全过程、全方位评估，及时向演练策划和保障小组提出意见、建议

4.网络安全应急响应小组组长:副组长成员

5.演练时间及地点时间安排2023年6月6日演练地点计算机培训室参加演练人员

6.演练流程概述1）检测阶段接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否发生了信息安全事件，制定进一步的响应策略，并保留证据2）抑制阶段及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小3）根除阶段对事件进行抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除事件4）恢复阶段恢复安全事件所涉及的系统，并还原到正常状态，使业务能够正常运行，恢复工作应避免出现误操作导致数据的丢失5）总结阶段通过以上各个阶段的记录表格，恢复安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能地把所有信息记录到文档中各阶段没有明确的时间先后顺序，如检测阶段和抑制阶段可同步进行

7.应急演练参演单位序号公司参演角色负责人姓名

123458.演练场景概述8网络安全事件.1针对网页篡改进行桌面演练

9.演练准备

1.提供演练所需要的软件、硬件、网络等环境（测试环境）

2.环境需求•模拟业务支撑系统某个应用程序系统地址（WEB程序地址）•为了应急演练不破坏正常的业务系统，演练所需要的漏洞可手动构造•演练阶段所需要的工具及攻击方法需要系统维护组人员协商确认，避免对系统造成危害

10.正式应急演练当发生网页篡改事件时紧急措施

1、进行系统临时性恢复，迅速恢复系统被篡改的内容（相关恢复人员、制度和措施，参考招行相关流程）；

2、严格监控对系统的业务访问以及服务器系统登陆情况，确保对再次攻击的行为能进行检测；

3、将发生安全事件的设备脱网，做好安全审计及系统恢复准备；

4、在必要情况下，将遭受攻击的主机上系统日志、应用日志、第三方监控设备日志等导出备份，并加以分析判断抑制处理

1、分析web应用日志，确认有无恶意口令猜解、文件上传、SQL注入等非正常查询；

2、分析系统日志，确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息；

3、分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序；

4、分析操作系统的服务、进程、端口等，确认有无可疑项；

5、结合上述日志审计，确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等根除措施

1、通过防火墙策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求;

2、利用工具或设备，对服务器进行系统层和应用层的扫描，查看是否有系统层或应用层漏洞；

3、对web服务软件和数据库进行安全配置；

4、对存在问题的web页面代码进行安全修改；

5、必要情况下进行主机系统重新安装，并恢复数据库系统；

6、恢复业务数据；

7、进行业务测试，确定系统完全恢复；

8、系统上网运行

11.总结归档组织单位的事件处置完成后，应按照相关管理办法的规定，形成事件分析和处置报告，并归档参与演练的相关单位对应急演练全过程进行监看和评估，确认参演单位的工作流程是否正确，确认应急预案是否合理和可落地执行，形成评估结果和整改建议应急预案演练记录表预案名称演练地点组织部门演练时间参加部门及人员□实际演练□桌面演练口提问讨论时试演练演练方式□全部预案口部分预案演练过程口迅速准确基本按时到位口个别人员不到位口重点部位人员到位情况人员不到位口职责明确、操作熟练口职责明确、操作不熟练口职责不明确、操作不熟练演整体组织口准确、高效口协调基本顺利，能满足要求口羲效率低，有待改进果协调组织情况分工口合理、高效口基本合理，能完成任务口效率低、评审没有完成任务□达到预期目标口基本达到目的，部分环节有待改善口没实战效果情况有达到目标，需重新演练存在问题和改进措施。