网络安全应急演练方案.docx

网络安全应急演练方案放一个 网络安全应急演练方案的模板，框架有了, 大家根据自己需求做点调整。一、演练说明1、演练场景本次演练以业务系统遭受外部攻击，服务器沦陷，从而导致系统被破坏为背景。主要模拟事件发现与评估、启动响应、信息通报、应急处置、问题根除、恢复重建、调查和持续改进全过程。2、演练时间20XX/XX/XX-20XX/XX/XX3、演练范围涉及业务系统如下：1、A：xxx5、B：xxx6、C：xxx4、演练目标(1) 应急检验：通过开展应急演练，检验一旦发生危害事件时，提升部门的应急能力和响应速度。(2) 完善准备：通过开展应急演练，检查应对应急事件所需应急队伍、装备、技术等方面的准备情况。(3) 锻炼队伍：增强演练组织、队伍和人员对应急预案的熟悉程度，提高应急处置能力。(4) 磨合机制：通过开展应急演练，进一步明确相关单位和人员的职责任务、理顺工作关系，完善应急机制。(5) 安全宣贯：普及应急知识，宣贯应急意识，提高员工防范意识和遇到主机入侵事件的应对能力。5、演练组织组长：安全室管理员副组长：各部室安全管理员成员：各业务负责人、安全厂商、业务厂商二、演练实施及阶段安排演练工作实施分为7个阶段：准备阶段、攻击阶段、监测阶段、抑制阶段、根除阶段、恢复阶段、演练总结阶段。1、准备阶段1. XX系统配置核查核查XXX2. 硬件环境及网络检查主机内存、CPU、网络路由检查3. 数据库状态检查及备份核查XXX4. 应急脚本状态测试、检查1.检查备份脚本2.检查主机脚本是否可执行3.进入主机目录查看应用备份脚本5. 备份生产主机的数据和文件1.到对应主机上执行备份脚本（备份所有应用），开始备份。2.检查发布环境备份结果3.备份主机文件夹4.进入主机目录执行应用备份脚本6. 网站发布演练公告发布本次演练公告2、攻击阶段(1) 尝试黑客入侵内网主机渗透测试组尝试进行入侵攻击(2) 业务测试确认测试关键业务(3) web单点故障模拟查看应用主进程号ps ef | grep java停掉主机进程(4) 中间件单点故障模拟挂起部分服务进程(查询、办理类服务)(5) 数据库单点故障模拟挂起主机数据库进程3、监测阶段(1) 防火墙网络设备确认攻击情况互联网域防火墙检测异常会话数与流量(2) waf、ips确认攻击情况分析判断WAF、IPS告警情况(3) 主机、数据库确认攻击情况主机、数据库侧查看业务异常情况4、抑制阶段(1) 防火墙网络设备封堵攻击源ip调整互联网域已经内网防火墙策略封禁异常IP(2) waf、ips封堵攻击行为调整WAF策略阻断异常web安全攻击(3) 主机、数据库紧急断网处置将受害主机服务器软件网卡以及物理断网隔离5、根除阶段(1) 隔离失陷主机将受害主机断网隔离处理(2) 异常进程、账号排查查看主机登录日志并核查主机进程(3) 后门查杀工具查杀后门利用赛门铁克、云计算管控平台对受害主机进行病毒查杀以及后门清理6、恢复阶段(1) 主机、数据库单点恢复重启所有的应用进程(2) 网络连接恢复业务访问测试网络连接是否回复(3) 中间件单点恢复恢复服务进程(查询、办理类服务)(4) Web单点恢复恢复主机业务进程，登陆主机三、演练总结1. 确认业务恢复情况各业务侧进行业务访问测试，检查业务是否回复正常2. 编写演练报告总结优化威胁处置流程，对演练系统暴露出的问题进行修补改进等