公共场所网络安全事件应急处置演练脚本

公共场所网络安全事件应急处置演练脚本1演练前置配置1.1核心说明本次演练严格依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《国家网络安全事件应急预案》《网络安全事件报告管理办法》制定，适用范围覆盖城市核心商业综合体、交通枢纽、公立医院、高校校园、政务服务大厅等提供公共网络服务、自助终端服务、扫码类公共服务的公共场所。演练核心目的为检验公共场所运营主体网络安全事件监测、研判、处置能力，压实网络安全主体责任，完善多部门协同处置机制，降低事件造成的财产损失、个人信息泄露风险，避免次生舆情与社会不稳定因素。本次演练设定基准场景为XX核心商圈（建筑面积12万㎡，日均客流量8.2万人次，部署公共WiFi接入点127个、自助结算终端48台、人脸闸机12组，入驻商户217家，全场景支持扫码支付，网络系统已完成等保三级备案）发生连锁网络安全事件，事件等级为较大网络安全事件（三级），触发依据为《国家网络安全事件应急预案》规定的三级事件判定标准：涉及10万以上100万以下个人信息泄露，或造成直接经济损失100万元以上1000万元以下，或影响公共场所正常运营2小时以上4小时以下。1.2参演单位及职责参演单位分类具体组成核心职责演练指挥部属地网信部门、公安网安部门牵头，行业主管部门（商务局、交通运输局、卫健委、政务服务管理局等）参与负责演练总调度、事件等级判定、处置决策下达、响应终止审批、事后追责统筹场所运营方公共场所运维部、安全管理部、客服部、行政部负责本单位网络资产梳理、事件初判、现场管控、用户告知、数据备份、配合溯源与漏洞排查、落实安全加固要求技术支撑单位属地等保测评机构、签约网络安全服务商负责技术溯源、漏洞排查、恶意程序清除、安全加固指导、二次安全验证业务协同单位银联、微信支付、支付宝等支付机构，通信运营商，人脸数据服务商，相关政务服务平台运营方负责业务侧止损、涉事业务临时管控、受害用户赔付对接、攻击源流量封堵应急保障组市场监管部门、信访部门、12345政务热线运营方、属地宣传部门负责投诉处置、消费者权益保障、舆情管控、负面信息澄清本次演练设定完整攻击链场景：境外黑客组织通过扫描XX商圈公网IP段，利用未修补的高危漏洞获取自助结算系统服务器权限，横向渗透至公共WiFiAC控制器、人脸闸机后台服务器，触发三类连锁风险：①公共WiFi被植入钓鱼链路，仿冒官方热点诱使用户接入，窃取用户支付密码、手机号等敏感信息，已发生多起用户非本人小额支付事件；②自助结算系统被植入挖矿程序，CPU占用率持续95%以上导致结算卡顿，1.2万条用户结算账单信息（含手机号、消费记录、支付账号脱敏信息）被拖库；③人脸闸机后台管理员账号被暴力破解，27万条人脸特征数据、18万条身份核验记录存在泄露风险。2应急处置演练全流程演练总时长为240分钟，全流程设置6个核心环节，各环节明确动作要求、责任主体、输出物、合格判定标准：2.1事件监测与初判（时长0-15分钟）2.1.1告警触发①1分20秒：商圈网络安全运维平台同步触发3条高优先级告警：公共WiFi出口流量出现未知加密传输链路，流向归属地为荷兰的已知暗网IP段（198.XX.XX.XX），累计传输数据量12.7GB；自助结算系统服务器CPU占用率持续10分钟超过95%，日志出现异常远程登录记录，登录IP为境内已被国家网信办通报的恶意扫描肉鸡IP（117.XX.XX.XX）；人脸闸机后台数据库出现全表查询操作，操作IP与上述肉鸡IP一致，查询时长4分12秒，涉及数据量3.2GB。②3分10秒：12345政务热线接到5起群众投诉，称连接XX商圈公共WiFi后，微信、支付宝出现19.9元-99.9元不等的非本人操作小额扣款，合计涉及金额1276.3元；同时商圈客服接到3起商户投诉，称自助结算系统卡顿，每笔结算耗时从3秒延长至47秒，高峰期排队人数超过30人。2.1.2初判处置责任主体为商圈运营方运维部，要求5分钟内完成初步核查，10分钟内形成初判报告上报演练指挥部：①登录公共WiFiAC控制器，确认存在1个仿冒热点，SSID与官方热点仅相差1个空格，已接入用户1247人，热点后台植入了钓鱼跳转程序，用户输入的支付密码、手机号会自动上传至境外服务器。②登录自助结算系统服务器，排查进程发现未知挖矿程序“miner.exe”，占用CPU资源87%，数据库日志存在异常导出记录，导出文件为“user_bill_202401-202406.rar”，文件大小1.2GB。③登录人脸闸机后台，确认管理员账号为弱密码“admin123”，被暴力破解1274次后成功登录，异常操作未触发系统告警，人脸特征数据已被下载80%。④初判结论：确认属于网络攻击引发的连锁安全事件，涉及个人信息泄露人数超过10万人，已造成群众财产损失，可能影响商圈正常运营超过2小时，符合较大网络安全事件（三级）判定标准，申请启动三级应急响应。2.1.3合格判定标准初判信息准确率100%，上报时间不超过15分钟，漏报、错报、延时上报判定为该环节不合格。输出物为《网络安全事件初判报告》《告警信息汇总表》。2.2应急响应启动与现场管控（时长15-45分钟）2.2.1响应启动①15分钟：演练指挥部收到初判报告后，5分钟内完成事件等级核定，符合三级事件标准，正式启动应急响应，成立现场处置专班，要求各参演单位10分钟内抵达XX商圈现场指挥部。②22分钟：指挥部下达分级处置指令：第一优先级保障群众财产安全，避免新增损失；第二优先级保障商圈核心业务正常运营，减少对群众出行、消费的影响；第三优先级开展攻击溯源与漏洞排查，固定证据。2.2.2现场管控处置责任主体为商圈运营方、公安网安部门，要求45分钟内完成所有管控措施：①25分钟前：关停仿冒公共WiFi热点，官方WiFi临时启用短信验证登录机制，原有无需验证的接入链路全部断开；通过商圈广播、各楼层电子屏滚动播放安全提示：“本次为网络安全应急演练，XX商圈公共WiFi暂未发现官方链路风险，请不要连接名称存在空格、特殊字符的陌生WiFi，如已连接并发生非本人支付操作，请立即修改支付密码并到1楼服务台登记”。②30分钟前：临时关停自助结算系统异常服务器，切换至备用服务器，备用服务器上线前完成全量漏洞扫描，确认无恶意程序后启用；安排20名工作人员在自助结算区引导用户使用人工结算通道，将单通道排队人数控制在5人以内。③35分钟前：临时切断人脸闸机后台与公网的连接，启用离线核验模式，人脸数据仅在本地存储、不对外传输；重置人脸闸机后台所有管理员账号密码，密码强度符合等保三级要求（长度16位以上，包含大小写字母、数字、特殊字符），启用双因子认证机制。④40分钟前：公安网安部门对涉事服务器、公共WiFiAC控制器、人脸闸机后台进行现场封存，固定电子证据，任何单位和个人不得修改设备日志、删除存储数据。2.2.3合格判定标准所有管控措施45分钟内全部落地，群众告知覆盖率不低于95%，未出现新增用户财产损失。输出物为《现场管控措施执行台账》《电子证据固定清单》。2.3技术溯源与漏洞排查（时长45-120分钟）2.3.1攻击溯源责任主体为技术支撑单位、公安网安部门，要求100分钟内完成溯源核查：①60分钟前：完成攻击链路还原：攻击起始IP为境外黑客组织控制的境内肉鸡，首先通过端口扫描发现XX商圈自助结算系统服务器未安装2023年4月发布的安全补丁，存在CVE-2023-28252（WindowsServer远程代码执行高危漏洞），获取服务器最高权限后，通过横向渗透获取公共WiFiAC控制器、人脸闸机后台的访问权限，分别植入钓鱼程序、挖矿程序，窃取用户数据。②90分钟前：完成泄露数据核查：确认被窃取的数据包括公共WiFi接入用户的手机号1247条、支付敏感信息213条；自助结算系统用户账单信息12472条；人脸特征数据271342条、身份核验记录187649条，所有数据尚未在暗网公开售卖。③100分钟前：完成受害用户排查：通过支付流水比对，确认共有213名用户发生非本人操作小额扣款，合计金额13274.7元，涉及支付平台为微信支付、支付宝、银联云闪付。2.3.2漏洞排查责任主体为技术支撑单位、商圈运营方，要求120分钟内完成全量资产漏洞扫描，共排查出7项安全隐患：①自助结算系统服务器未安装最新安全补丁，存在CVE-2023-28252高危漏洞；②公共WiFiAC控制器未启用防仿冒热点机制，无异常流量监测功能；③人脸闸机后台管理员账号为弱密码，未启用双因子认证；④商圈边界防火墙未配置入侵防御规则，恶意扫描流量未被拦截；⑤数据库未配置操作审计规则，异常全表查询未触发告警；⑥第三方支付接口未做签名校验，存在交易数据被篡改风险；⑦运维人员未定期开展安全培训，弱密码使用、补丁更新不及时问题普遍存在。2.3.3合格判定标准溯源准确率100%，攻击路径描述完整，泄露数据统计误差不超过0.1%，漏洞排查覆盖率100%，高危漏洞检出率100%。输出物为《攻击溯源报告》《泄露数据清单》《受害用户清单》《安全漏洞排查报告》《隐患整改清单》。2.4止损处置与用户告知（时长120-180分钟）2.4.1业务侧止损责任主体为业务协同单位、商圈运营方，要求150分钟内完成所有止损措施：①130分钟前：微信支付、支付宝、银联分别对涉事213名用户的异常交易进行冻结，已扣款资金原路退回，同时对涉及的支付账号临时开启7天风险保护，非本人操作的100元以上交易需人工核验。②140分钟前：通信运营商对攻击源IP的访问流量进行省级封堵，禁止该IP访问本省所有公共场所的网络资产。③150分钟前：人脸数据服务商对已泄露的271342条人脸特征数据加入全国核验黑名单，该批数据在所有接入该服务商的公共场所人脸核验系统中均无法通过验证，避免被用于违法犯罪活动。2.4.2用户告知与投诉处置责任主体为应急保障组、商圈运营方，要求180分钟内完成所有告知与处置机制搭建：①160分钟前：协调三大通信运营商，基于位置数据向2024年以来所有到访过XX商圈的用户发送提示短信：“【XX市网信办】温馨提示：XX商圈正在开展网络安全应急演练，如您2024年以来到访过该商圈并连接过公共WiFi、使用过自助结算或人脸闸机服务，请及时核查支付记录，如有异常请拨打12345热线登记，我们将为受影响用户提供1年免费个人信息安全监测服务”。②170分钟前：在商圈官网、官方公众号发布正式公告，说明演练背景、事件情况、处置措施、用户权益保障方案，公布24小时咨询热线，安排20名客服人员值守接听用户咨询。③180分钟前：12345政务热线设立专门坐席，所有涉及该事件的咨询、投诉1小时内响应，24小时内办结。2.4.3合格判定标准所有受害用户损失100%挽回，未出现新增数据泄露、财产损失情况，用户告知覆盖率不低于90%，投诉响应率100%，未出现负面舆情发酵。输出物为《止损措施执行报告》《资金退回清单》《用户告知台账》《投诉处置流程》。2.5加固整改与响应终止（时长180-240分钟）2.5.1安全加固责任主体为商圈运营方、技术支撑单位，要求230分钟内完成所有加固措施：①200分钟前：完成所有高危漏洞修复：自助结算系统服务器安装最新安全补丁，公共WiFiAC控制器启用防仿冒热点、异常流量监测功能，人脸闸机后台双因子认证全量覆盖，边界防火墙配置入侵防御规则，数据库启用操作审计和异常告警功能，第三方支付接口添加签名校验机制。②220分钟前：完成所有网络资产二次漏洞扫描，确认高危漏洞清零，中危漏洞整改率不低于90%，剩余低危漏洞形成15天整改计划。③230分钟前：完成所有系统压力测试，确认公共WiFi、自助结算系统、人脸闸机均恢复正常服务，性能指标符合日常运营要求。2.5.2响应终止240分钟：演练指挥部组织各单位开展处置效果评估，确认满足以下全部条件：①所有攻击源已被封堵，恶意程序已全部清除；②所有受害用户损失100%挽回，未出现新的安全事件；③所有系统恢复正常运营，高危漏洞已清零；④用户告知工作完成，未出现重大负面舆情。符合响应终止条件，正式宣布三级网络安全事件应急响应终止。2.5.3合格判定标准高危漏洞整改率100%，系统服务可用率100%。输出物为《安全加固报告》《二次漏洞扫描报告》《应急响应终止通知书》。2.6事后处置与复盘总结（演练结束后7个工作日内完成）2.6.1追责与整改①公安网安部门对本次攻击事件立案侦查，将黑客组织线索上报公安部网安局；对XX商圈运营方未落实网络安全等级保护制度、未定期开展漏洞修补的行为，依据《中华人民共和国个人信息保护法》第六十六条规定，处以15万元罚款，对直接负责的主管人员处以1万元罚款。②行业主管部门对商圈运营方进行约谈，要求其30日内完成所有安全隐患整改，提交整改报告，组织等保测评机构重新开展等保三级测评，测评合格后方可全量恢复服务。2.6.2复盘优化演练指挥部组织各参演单位召开复盘会，梳理演练中暴露的问题，制定针对性改进措施：①针对运营方安全意识薄弱问题：每季度组织一次公共场所运营主体网络安全培训，每年开展不少于2次应急演练，培训、演练情况纳入年度网络安全考核。②针对应急响应不及时问题：完善网络安全事件上报机制，要求所有公共场所发生安全事件10分钟内上报属地网信、公安部门，未按时上报的追究相关人员责任。③针对跨部门协同效率偏低问题：建立公共场所网络安全事件协同处置台账，明确各单位处置时限、职责边界，每半年开展一次跨部门协同演练。输出物为《演练复盘报告》《问题整改清单》《年度应急演练计划》。3演练考核评估标准本次演练总分100分，80分以上为合格，各环节分值设置如下：3.1监测与初判环节（20分）：告警响应及时率100%得5分，初判信息准确率100%得10分，上报时间不超过15分钟得5分，每延迟1分钟扣1分，错报、漏报扣10分。3.2现场管控环节（25分）：管控措施45分钟内全部落地得10分，群众告知覆盖率95%以上得5分，未出现新增用户损失得10分，出现1例新增损失扣5分。3.3溯源与排查环节（25分）：溯源准确率10