（新）信息系统安全应急演练总结2篇

（新）信息系统安全应急演练总结(2篇）第一篇本次2024年度关键信息基础设施勒索病毒应急响应演练于2024年5月16日在某省属能源投资集团总部、下辖3家地市发电分公司同步开展，演练围绕“钓鱼邮件入侵-勒索病毒横向扩散-核心业务系统加密-应急处置恢复”全流程真实场景展开，覆盖信息安全运维、核心业务管理、合规法务、公关舆情、行政后勤等12个相关部门，共计107名参演人员参与，全程由省网络安全应急专家组派出3名观察员现场评估。本次演练严格落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》及国资委关于国有企业网络安全应急能力建设的相关要求，旨在检验集团现有信息安全应急预案的可行性、跨部门协同处置的流畅性，排查核心防护体系存在的短板，全面提升集团应对大规模网络攻击的应急处置能力。本次演练筹备阶段历时28天，分为方案编制、组织搭建、技术准备、预培训四个环节推进。一是成立专项工作组，由集团分管信息安全的副总经理担任演练总指挥，信息中心主任担任应急组长，明确各参演部门的职责边界：信息中心负责全程技术处置、预警监测；安全生产部负责核心生产业务的应急切换、用户解释；合规法务部负责事件定性、赎金支付合规审查、监管上报材料审核；品牌公关部负责舆情监测、对外信息发布；财务部负责应急资金预留、流程合规审核；纪检监察部负责演练全过程监督。二是编制针对性演练方案，前期组织专业安全服务商对集团核心资产开展全面风险评估，梳理出集团当前面临的最高危风险为勒索病毒攻击，近年全国能源行业发生的17起较大网络安全事件中，11起为勒索病毒入侵导致核心生产系统中断，结合集团去年年底开展的全员钓鱼演练结果，近62%的员工会点击陌生邮件附件，因此确定本次演练场景为：集团总部市场部员工收到伪装为“省发改委2024年度电价调整通知”的钓鱼邮件，点击带宏病毒的压缩附件后感染勒索病毒，病毒通过办公网横向渗透突破边界防火墙，进入核心业务区加密营销系统数据库和生产监控系统配置文件，最终导致12个地市的电力用户缴费、查询业务中断，发电分公司远程监控功能异常。方案明确了演练不影响实际生产业务，所有演练动作在和生产环境物理隔离的模拟仿真环境开展，模拟环境完全复刻生产环境的拓扑、资产配置和数据备份体系，确保演练结果真实可信。三是完成技术和人员准备，提前10天完成模拟环境搭建，更新了终端防护、邮件网关、入侵检测系统的规则库，对集团三地三中心的冷备份数据做了预校验，组织所有参演人员开展1次预培训，讲解了应急预案流程、演练纪律和处置基本要点，发放了应急处置手册，明确了演练过程中的信息上报路径。本次演练按照真实事件的时间线推进，全程共历时4小时12分钟，分为预警发现、研判定级、处置响应、恢复复盘四个阶段。第一阶段为预警发现阶段，演练启动后15分钟，模拟的市场部员工点击钓鱼附件后12分钟，集团终端防护管理平台率先触发高级威胁告警，提示3台终端出现大量文件加密行为，文件后缀统一被修改为“.lockbit”，运维值班人员第一时间登录管理平台核实告警信息，确认异常后立即上报运维班班长，班长在8分钟内完成初步判断，认定为大规模勒索病毒入侵，按照应急预案要求上报集团应急响应小组组长，应急组长宣布启动二级应急响应，正式进入处置流程，本阶段共计用时27分钟，符合预案规定的1小时内启动响应的要求。第二阶段为研判定级阶段，应急响应技术组到位后，第一时间指导值班人员对中毒终端采取断网隔离措施，避免病毒进一步扩散，同时通过流量分析工具排查横向渗透路径，发现病毒已经通过办公网共享服务器入侵到核心业务区的应用服务器，进一步排查后确认核心营销数据库12TB数据已经全部被加密，生产监控系统1200多份配置文件被加密，业务完全中断，技术组结合影响范围，定级为较大网络安全事件，按照要求上报总指挥，同时由集团合规法务部按照《关键信息基础设施安全保护条例》要求，起草初始报告上报省能源局关键信息基础设施保护办公室和省公安厅网安总队，本阶段共计用时1小时12分钟。第三阶段为处置恢复阶段，技术组一方面继续排查入侵根源，确认攻击入口为钓鱼邮件，病毒利用未修复的OfficeCVE-2023-36884漏洞执行恶意代码，病毒植入后通过弱密码扫描获取办公网共享服务器权限，进而突破核心区防火墙的宽松规则进入业务区，另一方面，技术组启动数据恢复流程，集团按照等保2.0要求建立了本地热备份、同城异址冷备份、异地云备份的三地三备份体系，本次演练选择从同城异址的离线冷备份恢复数据，恢复前技术组对备份数据做完整性校验，确认备份数据完整可用后，开始逐步恢复系统，同时安全团队对所有受感染服务器进行病毒清理、漏洞修复、重置所有账号密码，业务部门同步启动线下应急方案，开放线下缴费窗口，安排客服人员接听用户咨询电话，避免引发用户不满，法务组明确根据国资委和财政部相关规定，国有企业不得向网络攻击犯罪分子支付赎金，否决了支付赎金快速解密的选项，符合合规要求，本阶段共计用时2小时15分钟，最终核心业务系统全部恢复正常，演练宣布结束。第四阶段为现场评估点评，专家组对演练全过程进行复盘点评，肯定了演练的真实度和处置流程的规范性。本次演练取得了多方面成效，一是完整检验了集团现有应急预案的可行性，验证了应急预案中各个流程、各个部门职责设置的合理性，发现了原来预案中没有明确的跨地市分公司协同处置的要求，填补了预案空白；二是有效锻炼了应急处置队伍，让新入职的17名运维人员熟悉了应急处置流程，提升了一线人员应对实际攻击的能力，改变了过去“预案写在纸上，处置乱在手上”的问题；三是理顺了跨部门协同机制，过去发生安全事件，业务部门不知道自己要做什么，都推给信息部门，通过本次演练，明确了业务部门负责业务应急切换、用户解释，公关部门负责舆情，法务负责合规，形成了全流程协同的工作机制；四是落实了国家监管要求，按照关键信息基础设施保护的要求，每年至少开展一次应急演练，本次演练完成了监管要求的规定动作，也为后续接受监管检查打下了基础。同时，本次演练也暴露出集团信息安全防护和应急体系存在的多个突出问题，主要体现在六个方面：一是一线员工安全意识薄弱，本次演练中投放的钓鱼邮件，发送给100名随机抽取的不同部门员工，有61名员工点击了附件，其中47名员工启用了宏权限，最终导致病毒成功植入，暴露出来日常安全培训流于形式，年度一次的培训没有实际效果，常态化钓鱼演练没有开展，员工对钓鱼邮件的识别能力极低；二是技术防护体系存在明显短板，首先是邮件网关的过滤规则没有及时更新，本次伪装成官方文件的钓鱼邮件居然成功通过邮件网关过滤，进入员工邮箱，说明垃圾邮件过滤规则三个月没有更新，其次是横向隔离不到位，办公网和核心业务区之间的防火墙规则设置过于宽松，开放了全端口全地址段的访问权限，导致病毒从办公网进入核心区几乎没有障碍，第三是终端防护的主动防御能力不足，病毒执行10分钟后才触发告警，没有在病毒启动的时候就拦截，错过了最佳处置时间；三是应急工具储备不足，本次演练排查入侵路径时，应急团队没有专用的流量分析和溯源工具，依靠开源工具逐一排查，比预期多花了21分钟才锁定入侵路径，影响了整体处置效率；四是应急处置流程存在不规范不熟练的问题，部分新运维人员对上报流程不熟悉，一开始上报给了信息化项目服务商，没有上报内部应急小组，耽误了11分钟的处置时间，地市分公司的应急人员不知道要在多长时间内上报给集团总部，跨区域协同出现了17分钟的延迟，业务部门对自己的职责不清晰，演练启动后20分钟才到位，没有及时启动线下应急方案，导致模拟的用户咨询电话排队超过30分钟，可能引发舆情风险；五是备份管理存在漏洞，本次演练中，集团的本地热备份数据被病毒一同加密，符合预期，但是在调用同城冷备份的时候，发现2023年第四季度的一次全量备份数据校验不通过，数据损坏无法使用，如果是真实事件，就只能调用异地备份，会延长业务中断时间超过8小时，暴露出来过去只做备份，从来不验证备份可用性的问题，备份管理制度流于形式；六是监管上报材料不规范，本次演练中起草的初始上报材料，漏填了核心资产的受影响范围、已经采取的处置措施两个必填项，不符合监管部门的上报要求，需要返工修改，耽误了上报时间。针对本次演练发现的问题，集团已经明确了整改时间表和责任部门，逐项推进整改：一是强化全员安全意识培训，由信息中心牵头，从6月份开始每月开展一次全员钓鱼演练，对点击钓鱼链接的员工强制开展安全再培训，每季度开展一次安全知识考核，纳入部门绩效考核，提升员工对钓鱼邮件的识别能力，从根源上减少入侵风险；二是升级技术防护体系，三个月内完成防火墙规则梳理，收紧办公网到核心业务区的访问权限，只开放必要的业务端口，每月更新一次邮件网关和入侵检测系统的规则库，升级终端防护系统的主动防御功能，新增勒索病毒行为拦截规则，三个月内完成所有员工终端的高危漏洞修复，建立漏洞一周内修复的管理制度；三是完善应急工具储备，两个月内采购专业的应急响应工具包，包含流量分析、溯源、病毒清理专用工具，建立工具定期更新、定期校验制度，确保应急的时候可以直接使用；四是优化应急预案和处置流程，补充跨地市分公司协同处置的要求，明确各个部门各个岗位的职责，重新组织一次全员预案培训，每季度开展一次桌面推演，提升应急处置的熟练度，明确上报路径和时间要求，避免出现上报错人的问题；五是规范备份数据管理，从现在开始每季度对所有备份数据做一次完整性校验，建立备份校验记录，落实到人，确保备份数据可用，同时升级备份存储架构，提高离线备份的安全性，避免备份数据被病毒加密；六是规范监管上报流程，组织法务和信息部门相关人员学习监管部门的上报要求，制定标准化的上报材料模板，明确需要填写的内容，确保上报材料符合要求。下一步，集团将把应急演练作为信息安全工作的常态化内容，每年至少开展两次不同场景的实战化应急演练，覆盖勒索病毒、DDoS攻击、数据泄露、物理安全事件等多种风险类型，持续优化应急体系，不断提升集团关键信息基础设施的安全防护能力和应急处置能力，落实国家网络安全等级保护制度和关键信息基础设施保护要求，保障集团生产经营业务安全稳定运行，防范重大网络安全事件发生。第二篇2024年第二季度用户个人信息泄露事件应急演练于2024年6月12日在国内头部生鲜电商平台鲜享科技完成，本次演练围绕“暗网监测发现数据售卖-漏洞定位排查-泄露规模核实-监管上报-用户告知-全流程处置”展开，覆盖安全研发、产品运营、客户服务、合规法务、品牌公关、战略合作等8个部门，共计82名人员参演，邀请了国家网安中心南方分中心、省网信办数据安全处的2名专家全程评估，本次演练严格落实《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》关于数据安全事件应急处置的相关要求，检验平台应对用户数据泄露事件的全流程处置能力，排查数据安全治理体系存在的短板。本次演练筹备阶段历时32天，共分为场景设计、预案修订、组织搭建、模拟环境准备四个环节。首先是场景设计，结合近年生鲜电商行业数据泄露事件的特点，2023年全国共发生21起面向电商平台的数据泄露事件，其中13起是黑客利用平台未公开漏洞拖库获取用户信息后在暗网售卖，此类事件一旦处置不当，不仅会面临监管部门的行政处罚，还会引发用户信任危机，严重影响平台的用户留存和品牌声誉，结合平台2023年年末数据安全风险评估结果，平台存在部分废弃业务接口未及时下线、资产梳理不全面的问题，因此确定本次演练的真实场景为：黑灰产分子利用平台官网商品搜索模块的废弃旧接口存在的SQL注入漏洞，未授权获取平台用户数据库权限，脱库获取198万条2023年10月之前注册的用户信息，信息内容包括用户姓名、手机号、收货地址、部分用户的身份证号后四位和银行卡号前六位，黑客将该批数据挂在境外暗网交易平台售卖，标价0.8比特币，被平台的暗网监测系统发现告警，触发应急响应。为了避免演练影响平台正常生产业务，本次演练所有场景都在和生产环境隔离的模拟环境中开展，模拟环境完整复刻了平台的用户数据库结构、资产拓扑、监测体系，确保演练结果真实有效。其次是预案修订，本次演练前组织合规部门对照《个人信息保护法》《网络数据安全管理条例》的相关要求，修订了原来的数据安全应急预案，明确了数据泄露事件的定级标准、上报流程、用户告知要求，补充了跨部门协同的权责划分，解决了原来预案中权责不清的问题。第三是组织搭建，由平台CTO担任演练总指挥，数据安全负责人担任应急小组组长，明确各个部门的职责：安全团队负责预警监测、漏洞定位、入侵排查、技术处置；合规法务部负责事件定级、监管对接、合规审核、法律风险评估；产品运营部负责APP推送、公告发布、用户标签梳理；客户服务部负责用户咨询接件、问题解答；品牌公关部负责舆情监测、舆论引导；战略合作部负责通知第三方合作机构，比如支付机构、物流服务商，协同防范风险。第四是准备工作，提前15天完成了模拟环境搭建，导入了模拟的用户数据，模拟了暗网数据售卖的场景，对所有参演人员开展了1次数据安全法规培训，讲解了数据泄露事件处置的合规要求，发放了应急处置手册，明确了演练的纪律和流程。本次演练按照真实事件的处置流程推进，全程历时5小时20分钟，分为预警核实、定级上报、处置排查、告知整改四个阶段。第一阶段是预警核实阶段，演练启动后10分钟，平台安全运营中心的暗网监测系统触发一级告警，提示监测到境外暗网有用户售卖本平台的用户数据，附带了100条数据样本，值班安全分析师立即下载样本，和平台用户数据库的数据进行比对核实，确认100条样本中有98条和平台真实用户数据完全一致，确认数据泄露事件真实发生，值班分析师在15分钟内完成核实，上报数据安全应急小组组长，应急组长在10分钟内宣布启动二级应急响应，正式进入处置流程，本阶段共计用时35分钟。第二阶段是定级上报阶段，应急小组到位后，首先组织技术团队定位入侵路径，技术团队通过排查漏洞发现，泄露来源于官网搜索模块2021年上线测试后废弃的旧接口，该接口没有正式上线，也没有删除，一直留在官网服务器中，没有纳入资产清单，也没有配置WAF防护规则，黑客通过端口扫描发现了该接口，利用SQL注入漏洞获取了数据库权限，完成了脱库，技术团队进一步核实泄露范围，确认共有198万用户的数据被泄露，没有涉及核心支付密码信息，对照数据安全事件定级标准，本次事件属于较大数据安全事件，按照《个人信息保护法》要求，应当在72小时内向省级网信部门上报，并告知受影响用户，应急小组立即上报平台CEO和合规负责人，合规部门立即启动监管上报材料起草工作，本阶段共计用时1小时20分钟，在规定的时间内完成了定级和初步上报准备。第三阶段是处置排查阶段，技术团队第一时间下线了废弃的旧接口，更新了WAF规则，对服务器进行全面查杀，排查黑客是否留下后门，确认没有其他漏洞被利用，没有进一步的数据泄露，同时通知战略合作部门，及时告知合作的第三方支付机构，提醒他们防范不法分子利用泄露的信息进行诈骗和盗刷，通知物流服务商同步做好用户提醒，客服部门提前开通了数据泄露专项咨询通道，安排20名客服待命，品牌公关部门启动全网舆情监测，监控社交媒体、论坛等渠道的相关讨论，防范舆情发酵，合规部门完成了监管上报材料的起草，按照要求上报给省网信办数据安全处，本阶段共计用时2小时10分钟。第四阶段是用户告知阶段，在这个环节出现了演练预设的分歧：品牌公关部门提出，全平台发布公告可能引发不必要的恐慌，影响平台的股价和用户信任，建议只私下通知受影响用户，不发布公开公告，合规法务部门对照《个人信息保护法》第五十五条、五十六条明确要求，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和受影响的个人，按照告知原则，能够精准通知受影响用户的应当精准通知，同时需要发布公开公告说明事件整体情况，隐瞒不报一旦被曝光，会面临更严重的处罚，最高可以处上一年度营业额百分之五的罚款，远大于公开公告带来的声誉影响，最终经过讨论，确定按照合规要求，一方面向所有受影响用户发送精准的提醒短信，在APP推送个性化提醒，建议用户修改账户密码，不要相信陌生诈骗电话，另一方面在平台官网、APP首页发布公开公告，说明事件情况、已经采取的处置措施和用户防范建议，配合监管部门的后续调查，本阶段完成后，演练宣布结束，专家组开展现场点评。本次演练取得了显著的成效，一是全面检验了平台数据安全应急处置体系，验证了数据泄露应急预案的可行性，梳理了全流程的处置环节，填补了原来预案中多个空白，比如第三方合作机构通知流程、暗网告警核实流程等；二是提升了跨部门协同处置能力，解决了过去发生数据安全事件，各个部门互相推诿，权责不清的问题，明确了各个环节的牵头部门和配合部门，形成了高效协同的处置机制；三是强化了全员的数据安全合规意识，通过本次演练，让业务部门、公关部门等非技术部门也了解了《个人信息保护法》的相关要求，认识到数据泄露事件处置中合规的重要性，改变了过去重业务轻安全的观念；四是落实了国家数据安全监管的要求，按照监管部门要求，掌握大量用户个人信息的平台应当定期开展数据安全应急演练，本次演练完成了规定动作，也为平台后续的数据安全治理提供了清晰方向。本次演练也暴露出平台数据安全治理和应急体系存在多个突出问题，主要体现在六个方面：一是资产管理存在漏洞，影子资产清理不到位，本次发生漏洞的废弃接口已经存在三年，没有纳入资产清单，也没有纳入日常漏洞扫描的范围，导致长期无人管理，最终被黑客利用，暴露出来平台的资产管理只覆盖上线的正式业务，对测试、废弃的资产没有定期清理，资产动态管理机制不完善，新增资产要求必须入库，废弃资产没有要求及时下线注销，导致大量影子资产存在，成为随时可能引爆的安全隐患；二是预警处置效率偏低，本次暗网告警发出后，值班人员需要人工下载样本、人工比对数据，一共花了12分钟才完成核实，没有自动化的比对工具，导致处置效率偏低，如果是大规模泄露，会耽误宝贵的处置时间，另外，漏洞扫描机制不完善，每月一次的全量漏洞扫描没有覆盖到未纳入资产清单的影子资产，导致漏洞存在三年都没有被发现；三是跨部门协同存在权责模糊的问题，本次演练中，用户告知内容的审核，一开始安全部门认为应当由法务审核，法务认为应当由公关审核，推了20分钟才确定由法务牵头审核，公关配合，耽误了处置时间，另外，监管上报材料的准备，一开始漏了泄露数据的类型、影响用户范围两个核心内容，不符合监管要求，需要返工，耽误了18分钟的上报时间，还有，第三方合作机构通知流程原来没有写进预案，演练的时候花了15分钟才找到对接人，差点遗漏通知环节；四是用户数据管理精细化程度不够，本次演练中，一开始无法快速导出受影响用户的清单和联系方式，因为用户数据没有按照注册时间、业务类型做清晰的标签，技术团队花了27分钟才整理出受影响用户的清单，耽误了用户告知的时间，另外，一开始设计的告知方案是全平台推送，没有想到可以做精准告知，差点引发不必要的用户恐慌，说明对用户数据的标签化管理不到位，无法快速定位受影响用户；五是应急相关的配套机制不完善，平台虽然购买了网络安全责任险，但是演练中发现，整个团队都不清楚理赔的流程，不知道需要保留哪些证据，什么时候通知保险公司，也没有明确对接人，如果是真实事件，会影响后续理赔，另外，和监管部门的常态化沟通机制没有建立，对上报的要求、格式不熟悉，导致材料不符合要求；六是数据安全漏洞生命周期管理不到位，平台建立了漏洞管理机制，但是只覆盖了正式资产，对于测试、废弃资产没有要求，导致漏洞长期存在，没有被及时修复，另外，第三方安全服务商的漏洞扫描服务也只扫描已知资产，没有主动发现影子资产的能力，导致漏洞无法被及时发现。针对本次演练发现的所有问题，平台已经制定了详细的整改方案，明确了责任部门和完成时间，逐项推进整改：一是全面梳理资产，一个月内完成全