XX市安全生產(chǎn)監(jiān)督管理局迎十九大網(wǎng)絡(luò)與信息安全應(yīng)急演練方案XX市基礎(chǔ)信息安全測(cè)評(píng)認(rèn)證中心2017年10月目錄一、目的 3二、參演機(jī)構(gòu) 3三、注意事項(xiàng) 5四、演練準(zhǔn)備 6（一）演練對(duì)象 6（二）演練時(shí)間 6（三）演練方式 6（四）環(huán)境模擬搭建 6（五）演練人員及聯(lián)系方式 6（六）演練申請(qǐng)表 7五、演練實(shí)施 9（一）演練總體流程 9（二）演練科目一（門戶網(wǎng)站應(yīng)急關(guān)機(jī)） 10（三）演練科目二（網(wǎng)站系統(tǒng)恢復(fù)歷史數(shù)據(jù)） 11六、演練簡(jiǎn)報(bào)及總結(jié) 12（一）演練簡(jiǎn)報(bào) 12（一）演練評(píng)估總結(jié)報(bào)告 13一、目的信息安全應(yīng)急演練的目的是通過模擬構(gòu)成信息系統(tǒng)的各類軟硬件系統(tǒng)、網(wǎng)絡(luò)環(huán)境、物理環(huán)境在遇到系統(tǒng)硬件故障、用戶誤操作、網(wǎng)絡(luò)攻擊、停電、甚至火災(zāi)地震等災(zāi)難事故等各類安全性事件，導(dǎo)致信息系統(tǒng)服務(wù)停止、系統(tǒng)崩潰、數(shù)據(jù)丟失等各種情況，驗(yàn)證系統(tǒng)管理方是否能及時(shí)根據(jù)具體情況啟動(dòng)應(yīng)急預(yù)案，使用各種措施將信息系統(tǒng)的服務(wù)恢復(fù)至預(yù)期水平，保持信息系統(tǒng)服務(wù)的持續(xù)可用性。此次演練，我們選擇市安全生產(chǎn)監(jiān)督管理局“外網(wǎng)門戶網(wǎng)站”作為主要演練目標(biāo)系統(tǒng)，演練的主要目的在于：驗(yàn)證門戶網(wǎng)站在黑客攻擊情況下應(yīng)急關(guān)機(jī)的效果；驗(yàn)證門戶網(wǎng)站在恢復(fù)歷史備份數(shù)據(jù)后的效果。二、參演機(jī)構(gòu)為保障信息系統(tǒng)應(yīng)急響應(yīng)及演練工作的順利進(jìn)行，特成立應(yīng)急演練領(lǐng)導(dǎo)小組，下轄規(guī)劃實(shí)施組、外部保障組、咨詢驗(yàn)證組。領(lǐng)導(dǎo)小組：系統(tǒng)應(yīng)急演練工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，領(lǐng)導(dǎo)和決策信息系統(tǒng)應(yīng)急響應(yīng)的重大事宜。領(lǐng)導(dǎo)小組組長(zhǎng)：王輝，副組長(zhǎng)：陸建明。其主要職責(zé)包括：審核并批準(zhǔn)應(yīng)急演練方案；指導(dǎo)應(yīng)急演練方案的執(zhí)行。規(guī)劃實(shí)施組：系統(tǒng)應(yīng)急演練方案規(guī)劃和實(shí)施機(jī)構(gòu)，組長(zhǎng)：孫建林，成員：高峰、吳俊。其主要職責(zé)包括：應(yīng)急演練的需求分析；提出應(yīng)急演練策略、制訂應(yīng)急演練方案；實(shí)施應(yīng)急演練全過程工作；應(yīng)急演練實(shí)施后的總結(jié)。外部保障組：由相關(guān)方（如系統(tǒng)運(yùn)維服務(wù)商、網(wǎng)站系統(tǒng)開發(fā)商等）組成，在應(yīng)急演練過程中時(shí)獲得相應(yīng)支持，其主要職責(zé)如下：提供相關(guān)設(shè)備及軟件的技術(shù)支持；在應(yīng)急演練出現(xiàn)意外情況時(shí)提供相關(guān)保障，及時(shí)恢復(fù)系統(tǒng)正常運(yùn)行。演練咨詢及驗(yàn)證組：由第三方機(jī)構(gòu)人員（信息安全測(cè)評(píng)機(jī)構(gòu)）組成，成員包括：周曉峰、張杭鋼，其主要職責(zé)如下：協(xié)助實(shí)施規(guī)劃組確定演練內(nèi)容及流程確認(rèn)演練過程的規(guī)范性及有效性

三、注意事項(xiàng)應(yīng)急演練場(chǎng)景應(yīng)當(dāng)盡可能真實(shí)，以便有效模擬實(shí)際安全事件的發(fā)生模式。從實(shí)踐的角度看，系統(tǒng)進(jìn)行應(yīng)急演練時(shí)，在可能的條件下，應(yīng)不中斷業(yè)務(wù)系統(tǒng)正常運(yùn)行狀態(tài)。應(yīng)急演練準(zhǔn)備工作應(yīng)對(duì)以下內(nèi)容進(jìn)行分析，這包括：保證系統(tǒng)正常運(yùn)行應(yīng)急演練時(shí)應(yīng)當(dāng)避免引起應(yīng)急。不管是演練團(tuán)隊(duì)還是成員個(gè)人，都應(yīng)當(dāng)清楚保護(hù)系統(tǒng)正常運(yùn)行需要采取的措施。引入的任何假設(shè)場(chǎng)景都應(yīng)避免影響單位的正常運(yùn)營(yíng)，并能夠被清楚識(shí)別。決定是否延遲演練在演練開始以前，應(yīng)當(dāng)有一個(gè)該測(cè)試是否應(yīng)被延遲的決定。如果單位過于繁忙，或者生產(chǎn)問題致使主要站點(diǎn)和系統(tǒng)不穩(wěn)定，測(cè)試的額外壓力會(huì)使情況惡化。這種情況下，延遲測(cè)試可能是更恰當(dāng)?shù)臎Q定。真實(shí)應(yīng)急應(yīng)急演練過程有可能引發(fā)真正應(yīng)急的發(fā)生，當(dāng)真實(shí)應(yīng)急發(fā)生時(shí)，協(xié)調(diào)者應(yīng)當(dāng)立即停止測(cè)試，并啟動(dòng)真實(shí)系統(tǒng)的恢復(fù)程序。誤傳在應(yīng)急演練過程中，不是演練團(tuán)隊(duì)的人員也許以為某個(gè)真實(shí)的災(zāi)難已經(jīng)發(fā)生?？赡軙?huì)紛紛議論這場(chǎng)“災(zāi)難”而緊張?bào)@慌，并不恰當(dāng)?shù)卦诰W(wǎng)絡(luò)上傳播不實(shí)消息。因此所有演練的傳達(dá)應(yīng)當(dāng)首先說明“這只是一次演練”，以免產(chǎn)生混亂。

四、演練準(zhǔn)備（一）演練對(duì)象XX市安全生產(chǎn)監(jiān)督管理局“門戶網(wǎng)站系統(tǒng)”（二）演練時(shí)間正式演練：2017年10月12日（待定）（三）演練方式門戶網(wǎng)站黑客攻擊應(yīng)急關(guān)機(jī)演練：采用門戶網(wǎng)站真實(shí)云主機(jī)的方式進(jìn)行，真實(shí)地驗(yàn)證網(wǎng)站應(yīng)急關(guān)機(jī)的實(shí)際有效性及響應(yīng)時(shí)間。門戶網(wǎng)站虛擬機(jī)整體恢復(fù)演練：采用“測(cè)試用虛擬機(jī)+真實(shí)虛擬機(jī)備份”模式，不干擾生產(chǎn)機(jī)的正常運(yùn)行，但需要真實(shí)地驗(yàn)證備份數(shù)據(jù)的有效性。（四）環(huán)境模擬搭建演練前應(yīng)做好環(huán)境搭建模擬準(zhǔn)備工作：檢查網(wǎng)站系統(tǒng)的每日自動(dòng)數(shù)據(jù)備份的狀態(tài)是否正常；準(zhǔn)備網(wǎng)站測(cè)試虛擬機(jī)，安裝操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用平臺(tái)及各類數(shù)據(jù)。（五）演練人員及聯(lián)系方式1.局方系統(tǒng)管理人員（規(guī)劃實(shí)施組）包括網(wǎng)絡(luò)、系統(tǒng)、安全和軟件的管理及維護(hù)人員。2.系統(tǒng)運(yùn)行維護(hù)人員（外部保障組）包括提供網(wǎng)絡(luò)及軟硬件系統(tǒng)日常運(yùn)維服務(wù)的運(yùn)營(yíng)商、集成商、軟件開發(fā)商。3.第三方人員（咨詢驗(yàn)證組）提供確認(rèn)應(yīng)急演練方案咨詢及演練現(xiàn)場(chǎng)規(guī)范性驗(yàn)證的第三方安全測(cè)評(píng)機(jī)構(gòu)。演練工作組工作組角色姓名手機(jī)備注演練領(lǐng)導(dǎo)小組組長(zhǎng)局領(lǐng)導(dǎo)副組長(zhǎng)規(guī)劃實(shí)施組組長(zhǎng)規(guī)劃科技處處長(zhǎng)副組長(zhǎng)成員技術(shù)保障組網(wǎng)絡(luò)運(yùn)維負(fù)責(zé)網(wǎng)站開發(fā)商網(wǎng)絡(luò)運(yùn)維OA開發(fā)商云平臺(tái)支持華通政務(wù)云咨詢驗(yàn)證組演練咨詢測(cè)評(píng)中心演練咨詢及驗(yàn)證（六）演練申請(qǐng)表應(yīng)急演練實(shí)施組在信息系統(tǒng)災(zāi)備演練開始前，以書面形式向系統(tǒng)應(yīng)急演練工作領(lǐng)導(dǎo)小組提出演練申請(qǐng)，由領(lǐng)導(dǎo)小組批準(zhǔn)方可進(jìn)行演練。

演練申請(qǐng)演練場(chǎng)景演練時(shí)間演練負(fù)責(zé)人參與人員演練目的演練內(nèi)容規(guī)劃實(shí)施組意見規(guī)劃實(shí)施小組組長(zhǎng)：時(shí)間：領(lǐng)導(dǎo)小組意見領(lǐng)導(dǎo)小組組長(zhǎng)：時(shí)間：

五、演練實(shí)施（一）演練總體流程本次應(yīng)急演練的主要流程如下：（二）演練科目一（門戶網(wǎng)站應(yīng)急關(guān)機(jī)）序號(hào)步驟名稱具體操作及交流內(nèi)容1演練情況介紹演練規(guī)劃實(shí)施組組長(zhǎng)孫建林處長(zhǎng)介紹本次應(yīng)急演練中3個(gè)科目的基本情況，介紹參加演練的領(lǐng)導(dǎo)及實(shí)施小組成員，宣布演練開始；2上報(bào)網(wǎng)站被攻擊情況演練實(shí)施負(fù)責(zé)人高峰處長(zhǎng)向組長(zhǎng)報(bào)告局網(wǎng)站被黑客攻擊、頁(yè)面被篡改；3請(qǐng)示啟動(dòng)網(wǎng)站應(yīng)急預(yù)案孫建林處長(zhǎng)向應(yīng)急演練領(lǐng)導(dǎo)小組匯報(bào)網(wǎng)站系統(tǒng)安全事件初步調(diào)查情況，建議啟動(dòng)局信息安全應(yīng)急響應(yīng)預(yù)案；4實(shí)施應(yīng)急處置1、由值班技術(shù)工程師登錄云憑他進(jìn)行應(yīng)急關(guān)機(jī)；2、門戶網(wǎng)站5確認(rèn)應(yīng)急處置效果1、在高峰處長(zhǎng)正式確認(rèn)網(wǎng)站已有效關(guān)機(jī)2、由孫建林處長(zhǎng)向領(lǐng)導(dǎo)小組報(bào)告門戶網(wǎng)站系統(tǒng)已應(yīng)急關(guān)機(jī)，并匯報(bào)服務(wù)器后續(xù)處理事項(xiàng)。6回復(fù)系統(tǒng)由軟件開發(fā)商工程師進(jìn)行云主機(jī)開機(jī)恢復(fù)

（三）演練科目二（網(wǎng)站系統(tǒng)恢復(fù)歷史數(shù)據(jù)）序號(hào)步驟名稱具體操作1上報(bào)網(wǎng)站頁(yè)面異常演練實(shí)施負(fù)責(zé)人高峰向?qū)O建林處長(zhǎng)報(bào)告局網(wǎng)站部分頁(yè)面異常，并根據(jù)網(wǎng)站開發(fā)商工程師遠(yuǎn)程檢查反饋，確認(rèn)頁(yè)面文件因黑客利用最新暴露的安全漏洞進(jìn)行攻擊而被破壞；2請(qǐng)示啟動(dòng)網(wǎng)站應(yīng)急預(yù)案孫建林處長(zhǎng)向應(yīng)急演練領(lǐng)導(dǎo)小組匯報(bào)網(wǎng)站安全事件初步調(diào)查情況，建議啟動(dòng)局信息安全應(yīng)急響應(yīng)預(yù)案；3領(lǐng)導(dǎo)指揮啟動(dòng)領(lǐng)導(dǎo)小組了解情況后，同意啟動(dòng)應(yīng)急預(yù)案，并下達(dá)啟動(dòng)指令；4檢查數(shù)據(jù)備份正常演練實(shí)施組高峰處長(zhǎng)要求運(yùn)維服務(wù)商駐現(xiàn)場(chǎng)工程師檢查網(wǎng)站云主機(jī)近期內(nèi)每日備份的有效性，確認(rèn)最新備份數(shù)據(jù)的時(shí)間點(diǎn)。5提取備份數(shù)據(jù)1、由運(yùn)維服務(wù)商現(xiàn)場(chǎng)工程師將備份的文件從備份介質(zhì)中恢復(fù)2、由網(wǎng)站開發(fā)商將備份數(shù)據(jù)導(dǎo)入到網(wǎng)站，檢查內(nèi)容正常、數(shù)據(jù)得到有效恢復(fù)3、報(bào)演練實(shí)施負(fù)責(zé)人；6確認(rèn)網(wǎng)站功能1、高峰處長(zhǎng)再次確認(rèn)網(wǎng)站頁(yè)面數(shù)據(jù)已得到恢復(fù)；2、由孫建林處長(zhǎng)向領(lǐng)導(dǎo)小組報(bào)告網(wǎng)站安全事件已得到初步與處理，并匯報(bào)后續(xù)系統(tǒng)安全巡查工作。7后續(xù)處置1、采用多種手段進(jìn)行服務(wù)器病毒木馬查殺；2、進(jìn)行應(yīng)急安全測(cè)評(píng)，全面檢查系統(tǒng)安全漏洞及風(fēng)險(xiǎn)；3、實(shí)施安全補(bǔ)丁加固措施。

六、演練簡(jiǎn)報(bào)及總結(jié)（一）演練簡(jiǎn)報(bào)演練結(jié)束后1天之內(nèi)，咨詢組出具演練簡(jiǎn)報(bào)，描述演練基本情況。格式見下：XX市安全生產(chǎn)監(jiān)督管理局2017年度網(wǎng)絡(luò)與信息安全應(yīng)急演練簡(jiǎn)報(bào)演練時(shí)間演練地點(diǎn)參加演練人員實(shí)到人員名單指揮員演練方式演練過程簡(jiǎn)介演練問題及