XXX区网络安全应急演练工作方案(1)

XXXX区网络安全应急演练工作方案一、 应急演练总体目标为进一步提升我区关键信息基础设施保障水平，强化信息系统应急处置能力，形成科学、有效、反应迅速的应急工作机制，确保关键信息基础设施的运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，维护正常的经济、政治、社会秩序。根据中华人民共和国计算机信息系统安全保护条例、国家突发公共事件总体应急预案、关于做好2018年中国国际智能产业博览会网络安全保障工作的通知等有关精神，结合我区的实际情况，我们将举办一次网络安全应急演练，并邀请我区网络安全保障的重点单位就网络安全事件联动处置进行沟通交流。本次网络安全应急演练重在提升整体协作、共同处置能力。通过演练来固化应急处置流程，熟悉在遇到安全事件时的紧急处置方法，联系那些人员，调用那些资源，做到有备无患。二、 应急演练设计（1）应急演练时间（8月22日）09:30-10:00 XXXX区网络安全应急演练启动10:00-10:30 应急演练XXXXXX门户网站网页篡改事件10:30-11:00 应急XXXXXX邮件系统数据泄露事件11:00-11:30 XXXX区网络安全应急演练总结（2）应急演练地点XXXX会议室三、 演练内容根据当前的网络安全形势，本次网络安全应急演练以XXXXX门户网站系统遭黑客入侵插入黑链、篡改页面，和XXXXX邮件系统被侵入导致数据泄露为背景，演练发生这些安全事件时对应的应急联动处置。演练将详细演示应急处置中：监测发现、事件报告和通知、现场处置和侦查调查、通报预警和舆情处置、督办整改、事件总结等六个阶段的应急处置措施，重点强调安全事件应急处置中网安支队与各单位之间的安全联动和资源协调。四、 演练组织架构根据应急演练中不同部门的职责分工，本次应急演练人员分为以下小组：网安支队：负责安全事件的外部监控、事件通告、现场处置、督办整改等应急处置的主要流程；事发单位组：由该单位信息中心安全专职组成，负责对演练网站的内部监控、紧急处置、组织整改和情况上报工作；技术组：由信息安全技术支撑单位技术人员组成，负责演练模拟网站构建、模拟黑客攻击和漏洞根除；交流组：由各单位分管领导及一名信息安全专职组成，观看应急演练，并对应急处置流程进行沟通交流。五、 演练科目本次应急演练以近期发生较多的真实案例为参照，制定类似的演练科目，本次应急演练科目如下：（1）网页篡改演练外部黑客通过演练网站漏洞进行页面篡改，网页被篡改为反动标语，网安支队巡查发现后，组织该单位进行应急处置。网安支队发现网页篡改后，启动应急预案，立即联系事发单位系统管理人员断开网络连接保护现场，并上报网安总队，安排民警和技术组专家赶赴现场进行固化证据、安全分析入侵途径、追根溯源。现场处置完毕后组织开展通报预警和舆情处置工作，并下发信息系统安全等级保护限期整改通知书督促该单位进行漏洞整改，该单位联络系统开发商和安全服务商对黑客入侵途径进行分析、篡改页面进行清除、查杀潜在病毒木马、修补相关漏洞，经回归测试正常后，将整改情况回复网安支队，支队确认整改完毕后，事发网站恢复正常运行，所有应急处置流程文档建档入库。（2）数据泄露演练外部黑客通过邮件系统漏洞获取服务器权限，发送钓鱼邮件企图获取关键信息，事发单位信息中心发现异常，请求网安支队进行应急处置的相关流程。该单位信息中心监控人员发现邮件系统异常后，联系网安支队报告安全事件（然后提交网络安全事件报告表）。网安支队在了解大致情况后，安排民警到现场进行调查取证、固化证据、判断事件的性质并指导该单位人员进行应急处置（填写网络安全事件现场调查处置情况记录单）。在现场处置完毕后网安支队加强相关信息的网络监控，并下发信息系统安全等级保护限期整改通知书督促该单位进行漏洞整改，该单位联络系统开发商和安全服务商对黑客入侵途径进行分析，对系统漏洞进行修复，经回归测试确认正常后将整改情况回复网安支队，支队确认系统恢复正常后恢复网站正常运行，本次应急处置的所有流程文档建档入库。六、 演练流程（1） 准备阶段1、制作信息系统安全应急演练预案、信息系统应急演练方案；2、技术组根据演练科目搭建演练所需系统环境、演练网站、漏洞利用等软件环境。（2） 预演阶段网安支队与技术组在搭建的环境中根据应急演练方案进行预演，实际检验与改进安全监测、攻击处置、过程展示等各个环节。七、 应急演练在预演对各个环节进行充分论证以后进行正式应急演练。1、由网安支队就网站安全应急演练进行综述性致辞，演练正式开始；2、演练组的演练讲解人员就网络应急演练的网络拓扑、演练科目、演练人员等情况通过演练PPT大屏进行讲解；3、演练科目正式开始，演练组的演练讲解人员进行程讲解。八、 网页篡改应急演练详情（1）网安支队互联网巡查；（网安支队互联网监控中心）（2）技术组的模拟攻击人员对XXXX门户网站发起攻击，通过演练网站远程接入漏洞进入服务器，修改网页内容，网站页面被篡改的情况通过终端大屏进行实时展示；（技术组）（3）网安支队互联网巡查民警发现网站页面篡改行为，记录页面篡改相关信息并通知网安支队互联网管理民警；（网安支队管理技术组）（4）网安支队互联网管理民警简要核实页面篡改情况，根据应急预案启动第类重大安全事件应急处置流程，立即通知事发单位物理断开网站服务器保留现场，将非法信息或篡改信息从网络中隔离出来，上报分管局领导，安排人员赶赴现场进行安全处置；（网安支队）（5）事发单位物理断开网站服务器网络连接，封闭现场等待网安支队到达；（事发单位）（6）网安支队协同技术人员赶赴现场进行证据固化、入侵途径分析、追根溯源等应急处置操作，并指导事发单位进行后续的处置工作；（网安支队）（7）现场处置完毕后网安支队组织专家开展分析研判、通报预警、监控处置等工作；（网安支队）（8）网安支队下发信息系统安全限期整改通知书督促事发单位进行整改；（网安支队）（9）事发单位组织安全服务商和系统开发商进行入侵途径分析、篡改页面清除、查杀潜在病毒木马、修补相关漏洞，经回归测试正常后，将整改详细情况回复网安支队；（事发单位）（10）网安支队确认整改完毕后，系统恢复正常运行，本次应急处置所有过程文档建档入库。（网安支队）九、 数据泄露应急演练详情（1）技术组发起攻击，侵入XXXXX邮件系统，并发起钓鱼邮件；（技术组）（2）打开邮件系统，发现疑似虚假账户的钓鱼邮件，怀疑邮件系统被入侵，邮件数据发生泄漏，联系网安支队请求应急处置；（事发单位）（3）网安支队在接收到安全事件报告后根据该安全事件的级别、性质、影响范围，确定属于第级重大安全事件，需要在12小时内汇报分管局领导，并通知事发单位保护现场；（网安支队）（4）网安支队协同技术人员赶赴现场进行证据固化、入侵途径分析、追根溯源等应急处置操作，并指导事发单位进行后续处置；（网安支队）（5）现场处置完毕后网安支队对事发系统进行外部监控防止事件发酵；（网安支队）（8）网安支队下发信息系统安全限期整改通知书督促事发单位进行整改；（网安支队）（9）事发单位组织安全服务商和系统开发商进行入侵