網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案一、總則1、適用范圍咱們公司的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，主要就是針對那些可能發(fā)生的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、系統(tǒng)癱瘓這些情況。不管是內(nèi)部員工操作失誤引起的，還是外部黑客惡意攻擊導(dǎo)致的，都在這個預(yù)案的覆蓋范圍內(nèi)。比如說，某次因為員工賬號密碼設(shè)置太簡單，被黑客暴力破解導(dǎo)致核心數(shù)據(jù)庫泄露，這種情況就得啟動預(yù)案。再比如，某次遭受分布式拒絕服務(wù)攻擊，導(dǎo)致公司官網(wǎng)和服務(wù)器完全癱瘓，用戶訪問不了，這也是預(yù)案要管的事兒。適用范圍具體來說包括四個方面：一是影響公司業(yè)務(wù)連續(xù)性的網(wǎng)絡(luò)事件，二是涉及公司客戶、員工個人信息安全的網(wǎng)絡(luò)事件，三是可能引發(fā)公共安全或社會影響的網(wǎng)絡(luò)事件，四是違反國家網(wǎng)絡(luò)安全法律法規(guī)的網(wǎng)絡(luò)事件。總之，只要跟公司網(wǎng)絡(luò)系統(tǒng)安全有關(guān)，不管大小，都在預(yù)案管理范疇內(nèi)。2、響應(yīng)分級咱們這個預(yù)案把網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)分成了四個等級，主要是看事件的影響程度、波及范圍還有咱們自己控制事態(tài)的能力。這四個等級從低到高分別是：一級是一般事件，二級是較重事件，三級是重大事件，四級是特別重大事件。分級的基本原則是這樣的：首先看事件造成的直接經(jīng)濟損失，比如一般事件損失低于50萬元，較重事件損失在50萬到500萬元之間，重大事件損失超過500萬元，特別重大事件損失超過1000萬元。其次看受影響的人數(shù)，比如一般事件影響不到100人，較重事件影響100到1000人，重大事件影響超過1000人，特別重大事件影響人數(shù)超過1萬人。再就是看事件是否涉及重要數(shù)據(jù)資產(chǎn)，比如一般事件只是影響到一些非核心業(yè)務(wù)數(shù)據(jù)，而特別重大事件則可能涉及到國家關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)數(shù)據(jù)。最后咱們還得考慮事態(tài)控制能力，比如一般事件咱們能在2小時內(nèi)基本控制，而特別重大事件可能需要超過24小時才能初步控制。這樣的分級能讓咱們在應(yīng)對不同級別的事件時，資源調(diào)配和處置措施更精準，避免小題大做或者掉以輕心。二、應(yīng)急組織機構(gòu)及職責(zé)1、應(yīng)急組織形式及構(gòu)成單位咱們的網(wǎng)絡(luò)安全應(yīng)急組織，采用總指揮負責(zé)制下的職能工作組模式?？傊笓]由主管信息技術(shù)的副總裁擔任，負責(zé)所有應(yīng)急工作的最終決策和指揮。副總指揮由首席信息官和信息安全部的負責(zé)人擔任，協(xié)助總指揮工作，并分管具體應(yīng)急任務(wù)。組織架構(gòu)里主要包括六個部門：一是信息安全部，這是核心部門，平時負責(zé)安全策略制定、漏洞掃描、入侵檢測這些事兒，應(yīng)急時則負責(zé)具體的攻擊分析和溯源工作。二是信息技術(shù)部，他們平時管著網(wǎng)絡(luò)、服務(wù)器、系統(tǒng)這些，應(yīng)急時主要負責(zé)受影響系統(tǒng)的恢復(fù)和業(yè)務(wù)重啟。三是法務(wù)合規(guī)部，他們負責(zé)看事件是否違反法律法規(guī)，應(yīng)急時負責(zé)對外發(fā)布口徑和法律風(fēng)險評估。四是人力資源部，管著員工，應(yīng)急時負責(zé)受影響員工的安撫和內(nèi)部通報。五是財務(wù)部，管著錢，應(yīng)急時負責(zé)評估損失和審批應(yīng)急費用。六是公關(guān)部，負責(zé)跟媒體打交道，應(yīng)急時負責(zé)發(fā)布官方聲明和危機公關(guān)。這六個部門構(gòu)成了應(yīng)急組織的基本框架，確保了事有人管、責(zé)有人負。2、應(yīng)急組織機構(gòu)設(shè)置及工作小組職責(zé)在總指揮領(lǐng)導(dǎo)下，咱們設(shè)立了四個專項工作組，每個組都有明確的分工和行動任務(wù)：（1）事件分析組這個組由信息安全部和信息技術(shù)部核心人員組成，是應(yīng)急響應(yīng)的“大腦”。主要職責(zé)是快速識別攻擊類型、分析攻擊路徑、評估影響范圍，給指揮組提供決策依據(jù)。行動任務(wù)包括：30分鐘內(nèi)完成初步的攻擊特征識別，2小時內(nèi)提交詳細的技術(shù)分析報告，確定是DDoS攻擊還是勒索軟件，受影響哪些系統(tǒng)，客戶數(shù)據(jù)是否泄露。平時得常跟安全廠商搞技術(shù)交流，更新攻擊特征庫。（2）系統(tǒng)恢復(fù)組這個組由信息技術(shù)部和第三方維保服務(wù)商組成，是應(yīng)急響應(yīng)的“handson”團隊。主要職責(zé)是隔離受感染系統(tǒng)、清除惡意代碼、恢復(fù)備份數(shù)據(jù)。行動任務(wù)包括：1小時內(nèi)完成受影響服務(wù)器的物理隔離，4小時內(nèi)完成核心系統(tǒng)備份恢復(fù)，24小時內(nèi)恢復(fù)80%的業(yè)務(wù)可用性。得常備著應(yīng)急恢復(fù)工具包，定期演練恢復(fù)流程。（3）業(yè)務(wù)保障組這個組由信息技術(shù)部、相關(guān)業(yè)務(wù)部門負責(zé)人和財務(wù)部組成，是應(yīng)急響應(yīng)的“中間商”。主要職責(zé)是協(xié)調(diào)各部門資源、制定業(yè)務(wù)恢復(fù)優(yōu)先級、監(jiān)控恢復(fù)進度。行動任務(wù)包括：1.5小時內(nèi)確定恢復(fù)業(yè)務(wù)清單和優(yōu)先級順序，每小時向指揮組匯報進展，確保關(guān)鍵業(yè)務(wù)先恢復(fù)。平時要搞業(yè)務(wù)影響評估，知道哪個系統(tǒng)宕機會造成多大損失。（4）對外溝通組這個組由法務(wù)合規(guī)部、公關(guān)部和人力資源部組成，是應(yīng)急響應(yīng)的“喇叭”。主要職責(zé)是統(tǒng)一對外口徑、管理媒體關(guān)系、安撫內(nèi)部員工。行動任務(wù)包括：2小時內(nèi)發(fā)布初步事件公告，24小時內(nèi)更新詳細情況說明，全程監(jiān)控社交媒體輿情，及時回應(yīng)員工關(guān)切。得準備各種危機溝通預(yù)案和素材庫，定期組織媒體溝通演練。各個工作組雖然分工不同，但都得向總指揮匯報。平時各部門得定期交叉培訓(xùn)，確保換誰都能上手。應(yīng)急時則通過即時通訊群和每日例會保持溝通，避免信息孤島。這四個組構(gòu)成了應(yīng)急響應(yīng)的“鐵三角”，確保了技術(shù)處置、業(yè)務(wù)恢復(fù)和對外溝通這三條線同時推進。三、信息接報1、應(yīng)急值守電話公司設(shè)24小時網(wǎng)絡(luò)安全應(yīng)急值守電話，號碼是[內(nèi)部公布號碼]。由信息安全部指定專人值守，平時由部內(nèi)值班人員接聽，應(yīng)急狀態(tài)時則由總指揮指定的聯(lián)絡(luò)員統(tǒng)一接聽。這個電話必須是熱線，確保任何時候都能打通，聽到就是有效接報。旁邊還得配個備用電話和即時通訊賬號，以防萬一。2、事故信息接收與內(nèi)部通報接到信息后，第一反應(yīng)是核實。信息安全部接報后15分鐘內(nèi)要搞清楚：是內(nèi)部員工報的，還是外部機構(gòu)轉(zhuǎn)來的，或者是系統(tǒng)自動告警觸發(fā)的。核實清楚后立刻通過內(nèi)部即時通訊群@相關(guān)同事，同步信息。如果是重大事件，比如確認遭受APT攻擊或數(shù)據(jù)泄露，要1小時內(nèi)通過加密郵件和電話同步給總指揮、副總指揮以及各工作組組長。內(nèi)部通報要分級別，一般事件通過部門長通知，較重及以上事件必須同步到主管副總裁。通報內(nèi)容要簡潔，說清時間、地點、現(xiàn)象、影響，后續(xù)詳情再補充。3、向上級報告流程責(zé)任人是信息安全部負責(zé)人，但必須及時越級上報。比如發(fā)生重大數(shù)據(jù)泄露事件，信息安全部先向主管副總裁匯報，同時必須2小時內(nèi)通過加密渠道向集團總部信息安全委員會報告，內(nèi)容包括事件發(fā)生時間、初步影響評估、已采取措施、預(yù)計處置周期。特別重大事件則必須在1小時內(nèi)上報，并同步抄送相關(guān)行業(yè)監(jiān)管部門。報告要圖文并茂，附上技術(shù)截圖和影響范圍圖，避免口頭描述的模糊不清。時限是硬指標，拖延一分鐘都可能讓事態(tài)擴大。4、向社會通報方法這個比較敏感，由法務(wù)合規(guī)部和公關(guān)部聯(lián)合決定。通報前必須先評估法律風(fēng)險和輿論影響。比如某次遭受DDoS攻擊導(dǎo)致官網(wǎng)癱瘓，我們先是通過官方微博發(fā)布“系統(tǒng)維護通知”，然后根據(jù)恢復(fù)進度分三階段更新：先說“正在搶修”，再說“部分恢復(fù)”，最后說“已恢復(fù)正?！薄Ｈ瘫苊馐褂谩肮簟薄昂诳汀钡让舾性~，多用“技術(shù)故障”“系統(tǒng)升級”這類中性詞。通報渠道主要是官網(wǎng)、官方微博，重大事件會通過新聞發(fā)布會。責(zé)任人由公關(guān)部牽頭，法務(wù)全程參與審核。5、向外部單位通報程序涉及外部單位時必須謹慎，由信息安全部聯(lián)合法務(wù)部制定名單。比如通知下游客戶系統(tǒng)受影響，要提前準備模板，說明影響范圍、預(yù)計恢復(fù)時間、臨時解決方案。比如某次通知上游供應(yīng)商賬號異常，要附上操作記錄截圖，并要求對方配合加強賬戶安全。通報方式首選加密郵件，重大事件通過電話確認。責(zé)任人由信息安全部牽頭，但涉及法律問題必須經(jīng)法務(wù)部審批。四、信息處置與研判1、響應(yīng)啟動程序響應(yīng)啟動分兩種情況，一種是手動觸發(fā)，一種是自動觸發(fā)。手動觸發(fā)時，信息安全部初步研判事件等級后，立刻向應(yīng)急領(lǐng)導(dǎo)小組匯報。領(lǐng)導(dǎo)小組根據(jù)事件性質(zhì)、影響范圍這些要素，對照咱們預(yù)案里定的分級標準，比如是否達到系統(tǒng)癱瘓、數(shù)據(jù)泄露數(shù)量等閾值，集體決策。如果同意啟動，由總指揮簽發(fā)啟動令，并通過內(nèi)部系統(tǒng)公告和即時通訊群同步，所有相關(guān)人員必須10分鐘內(nèi)確認收到。比如某次發(fā)生SQL注入，如果只影響測試環(huán)境，信息安全部自行處置即可；如果打的是生產(chǎn)環(huán)境，且能快速定位阻斷，則由領(lǐng)導(dǎo)小組決定是否啟動二級響應(yīng)。自動觸發(fā)比較簡單，預(yù)設(shè)了一些自動觸發(fā)的條件。比如公司核心業(yè)務(wù)系統(tǒng)CPU使用率連續(xù)5分鐘超過90%，或者檢測到超過100個IP同時掃描內(nèi)部端口，監(jiān)控系統(tǒng)就會自動向領(lǐng)導(dǎo)小組發(fā)送預(yù)警，并自動啟動一級響應(yīng)流程。這種機制主要針對突發(fā)性強、擴散快的攻擊，能省去手動判斷的時間。2、預(yù)警啟動機制不是所有事件都夠得上正式響應(yīng)的條件，但也不能放任不管。當事件初步研判可能升級，或者有一些異常信號但還不明顯時，可以啟動預(yù)警響應(yīng)。預(yù)警響應(yīng)不是正式的應(yīng)急狀態(tài)，主要是讓相關(guān)團隊進入預(yù)備狀態(tài)。比如某次監(jiān)控系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，雖然還沒達到攻擊閾值，但信息安全部還是決定啟動預(yù)警，讓技術(shù)團隊1小時內(nèi)到崗待命，同時通知法務(wù)部門準備可能需要的法律文書。預(yù)警期間，領(lǐng)導(dǎo)小組每天開短會研判事態(tài)發(fā)展，一旦達到啟動條件就立刻轉(zhuǎn)為正式響應(yīng)。預(yù)警狀態(tài)一般不超過12小時，最多持續(xù)24小時。3、響應(yīng)級別動態(tài)調(diào)整響應(yīng)啟動后不是一成不變的。事態(tài)發(fā)展很快，可能剛開始是小問題，后來擴大了；也可能初期很嚴重，后來控制住了。所以必須根據(jù)實際情況調(diào)整級別。比如某次遭受WAF繞過攻擊，初期判斷影響有限，啟動了一級響應(yīng)，但后來發(fā)現(xiàn)勒索軟件已擴散到多個服務(wù)器，領(lǐng)導(dǎo)小組立即決定升級為三級響應(yīng)，調(diào)集更多資源進行處置。調(diào)整的程序是：工作組每小時向領(lǐng)導(dǎo)小組匯報最新情況，領(lǐng)導(dǎo)小組根據(jù)匯報結(jié)合現(xiàn)場反饋，2小時內(nèi)完成級別調(diào)整決策，并同步各團隊。級別調(diào)整的原則是“寧可高估，不可低估”，寧可響應(yīng)過度，也不要應(yīng)對不足。但同時也要避免級別升級過快造成資源浪費和恐慌。最關(guān)鍵的是要基于數(shù)據(jù)，而不是感覺。比如通過監(jiān)控系統(tǒng)看到恢復(fù)進度穩(wěn)定了，即使仍在損失數(shù)據(jù)，也可以考慮降級，避免持續(xù)動員最高級別的資源。五、預(yù)警1、預(yù)警啟動預(yù)警啟動不是正式的應(yīng)急響應(yīng)，但也不是空喊口號。當監(jiān)控系統(tǒng)發(fā)現(xiàn)異常但還沒到啟動正式響應(yīng)的程度時，比如某個非核心系統(tǒng)的訪問量突然增加50%，或者檢測到疑似惡意樣本在內(nèi)部網(wǎng)絡(luò)擴散但范圍有限，信息安全部就得先發(fā)預(yù)警。預(yù)警信息主要通過公司內(nèi)部安全通知平臺和各部門負責(zé)人的加密郵件同步。內(nèi)容要簡潔明了，說清楚“發(fā)生了什么異常（比如某某系統(tǒng)流量突增）”、“可能的影響（比如有被攻擊的風(fēng)險）”、“建議的措施（比如檢查相關(guān)日志）”，還有“發(fā)布者（信息安全部）和聯(lián)系方式”。比如某次發(fā)現(xiàn)辦公郵箱收到大量偽造的釣魚郵件，預(yù)警信息就會提示各部門注意查收，并要求開啟郵件過濾規(guī)則。發(fā)布方式要快，但也要準確，避免引起不必要的恐慌。2、響應(yīng)準備一旦發(fā)出預(yù)警，就不是閑著沒事干，而是要提前準備。這包括三個層面：一是隊伍準備，讓關(guān)鍵崗位的人進入待命狀態(tài)。比如信息安全部核心技術(shù)人員、系統(tǒng)運維骨干，都要提前登錄系統(tǒng)查看狀態(tài)，法務(wù)合規(guī)部準備可能需要的法律文書，公關(guān)部準備對外溝通的口徑。不是讓他們干活，主要是讓他們保持信息通暢，隨時能響應(yīng)。二是物資裝備準備，檢查應(yīng)急響應(yīng)的工具有沒有準備好。比如應(yīng)急響應(yīng)的電腦、備用鑰匙、安全工具軟件這些，都要確保能用。網(wǎng)絡(luò)沙箱、蜜罐系統(tǒng)這些也要檢查運行狀態(tài)，確保能分析攻擊樣本。再就是備用線路、備用服務(wù)器這些，看看能不能提前啟動。三是后勤通信準備，確保內(nèi)外部溝通渠道暢通。內(nèi)部要確保加密通訊群能正常使用，外部要跟可能需要協(xié)調(diào)的單位（比如云服務(wù)商、公安網(wǎng)安部門）保持聯(lián)系。同時要準備好應(yīng)急響應(yīng)的場所，比如會議室的投影儀、白板這些都要檢查。后勤方面，看看應(yīng)急響應(yīng)的餐食、飲用水有沒有備好。總之就是讓人、財、物都就位，一旦需要立即啟動。3、預(yù)警解除預(yù)警解除不是隨便說一句就行的，得有依據(jù)。基本條件有這么幾條：首先，引發(fā)預(yù)警的異常現(xiàn)象消失了，比如那個流量突增的系統(tǒng)恢復(fù)正常了；其次，安全部門分析確認風(fēng)險可控了，比如查清楚釣魚郵件是測試環(huán)境發(fā)的，沒有實際危害；第三，觀察一段時間（比如24小時）沒有新的異常出現(xiàn)。滿足這些條件后，由信息安全部牽頭，聯(lián)合相關(guān)部門確認無誤，然后通過之前發(fā)預(yù)警的渠道同步解除預(yù)警。解除預(yù)警后要說明原因，比如“經(jīng)過處置，釣魚郵件風(fēng)險已消除，預(yù)警解除”。責(zé)任人主要是信息安全部負責(zé)人，但必須經(jīng)領(lǐng)導(dǎo)小組確認。解除預(yù)警不代表安全工作結(jié)束了，還是要繼續(xù)觀察一段時間，避免后患。六、應(yīng)急響應(yīng)1、響應(yīng)啟動響應(yīng)啟動是應(yīng)急響應(yīng)的起點，關(guān)鍵在于快速準確地確定級別。根據(jù)事態(tài)的嚴重程度、影響范圍、可控性這些因素，對照預(yù)案里定的標準，由應(yīng)急領(lǐng)導(dǎo)小組集體研判，確定是啟動一級、二級還是三級響應(yīng)。一旦確定，總指揮立刻簽發(fā)啟動令。啟動后有幾項程序性工作必須馬上做：一是召開應(yīng)急會議，總指揮主持，各工作組組長必須參加，研究處置方案。第一次會議必須在1小時內(nèi)召開，后續(xù)根據(jù)需要隨時開短會。會上要明確分工，落實任務(wù)。二是信息上報，啟動后2小時內(nèi)要向主管副總裁和集團總部（如果適用）匯報基本情況，包括事件性質(zhì)、影響范圍、已采取措施。重大事件還要同步抄送相關(guān)監(jiān)管部門。三是資源協(xié)調(diào)，各工作組開始行動，信息技術(shù)部恢復(fù)系統(tǒng)，信息安全部分析攻擊路徑，法務(wù)合規(guī)部評估法律風(fēng)險，等等。同時要啟動備用資源，比如調(diào)用備份服務(wù)器、增加帶寬。四是信息公開，根據(jù)領(lǐng)導(dǎo)小組的決策，通過官方微博、官網(wǎng)發(fā)布初步信息，說明“正在處置，請勿恐慌”。后續(xù)根據(jù)進展逐步更新。信息公開要統(tǒng)一口徑，由公關(guān)部牽頭，法務(wù)部審核。五是后勤財力保障，行政部要確保應(yīng)急響應(yīng)人員有飯吃有水喝，財務(wù)部準備好應(yīng)急資金，確保買設(shè)備、請專家不耽誤。2、應(yīng)急處置應(yīng)急處置要分兩塊：一塊是現(xiàn)場處置，一塊是技術(shù)處置?，F(xiàn)場處置主要是保障人身安全和秩序。比如發(fā)生勒索軟件，首先要隔離受感染電腦，防止擴散，然后才能談解密。如果攻擊導(dǎo)致某個區(qū)域網(wǎng)絡(luò)中斷，要看有沒有人員被困需要疏散，要安排安保人員維持秩序。人員搜救、醫(yī)療救治這些，如果涉及到人，要第一時間聯(lián)系公司保安或外部救援力量?，F(xiàn)場監(jiān)測也很重要，比如安裝網(wǎng)絡(luò)流量分析工具，看攻擊還在不在，來自哪里。技術(shù)支持主要是信息安全和技術(shù)部門的事，分析攻擊特征，查找漏洞，清除惡意代碼。工程搶險就是修復(fù)受損系統(tǒng)，恢復(fù)數(shù)據(jù)。環(huán)境保護主要是如果涉及物理設(shè)備損壞，比如服務(wù)器燒壞了，要按規(guī)定處理電子垃圾。人員防護是底線，所有現(xiàn)場處置人員必須佩戴好防護設(shè)備，比如手套、口罩，避免直接接觸可能受污染的設(shè)備或介質(zhì)。3、應(yīng)急支援應(yīng)急支援是應(yīng)對超出自身能力的極端情況。當發(fā)現(xiàn)事態(tài)完全失控，比如內(nèi)部團隊實在搞不定，或者面臨法律訴訟需要外部專家協(xié)助時，就得請求支援。程序上分兩步：第一步是內(nèi)部決策，由領(lǐng)導(dǎo)小組評估是否需要支援，確定后指定專人聯(lián)系。第二步是正式請求，通過加密郵件或電話聯(lián)系外部單位，比如公安網(wǎng)安部門、知名安全廠商、云服務(wù)商。請求時要說清楚需要什么幫助、提供哪些信息、聯(lián)系人是誰。聯(lián)動程序上要明確，外部力量到達后，由總指揮決定是成立聯(lián)合指揮組，還是由外部專家負責(zé)技術(shù)指揮，但重大決策還得由我方領(lǐng)導(dǎo)小組拍板。指揮關(guān)系要早定好，避免亂套。比如某次請求安全廠商協(xié)助溯源，就要提前約定好，他們是技術(shù)支持，我方是主導(dǎo)方。4、響應(yīng)終止響應(yīng)終止不是隨便宣布的，得看條件是否滿足。基本條件有這么幾條：首先，攻擊源完全切斷，沒有新的威脅了；其次，受影響系統(tǒng)全部恢復(fù)，業(yè)務(wù)正常運轉(zhuǎn)了；第三，監(jiān)測到一段時間（比如72小時）沒有異常波動；第四，外部監(jiān)管機構(gòu)（如果有介入）也點頭了。滿足這些條件后，由信息安全部牽頭，各工作組確認無誤，向領(lǐng)導(dǎo)小組匯報，領(lǐng)導(dǎo)小組批準后由總指揮宣布終止響應(yīng)。宣布后要同步所有團隊，應(yīng)急狀態(tài)結(jié)束。責(zé)任人主要是信息安全部負責(zé)人，但必須經(jīng)領(lǐng)導(dǎo)小組確認。終止不是結(jié)束，還要做好后續(xù)總結(jié)復(fù)盤，把經(jīng)驗教訓(xùn)寫進報告。七、后期處置后期處置是應(yīng)急響應(yīng)的收尾階段，主要是把一切恢復(fù)到正常狀態(tài)，并總結(jié)經(jīng)驗教訓(xùn)。這包括三個方面：1、污染物處理（這個說法可能不太準確，如果是指網(wǎng)絡(luò)攻擊留下的“污染”，那就是指清除攻擊痕跡和惡意軟件這些）。比如發(fā)生勒索軟件事件，解密之后不能馬上用，因為系統(tǒng)可能還殘留后門或惡意代碼。這時候就要進行全面的安全掃描和代碼審查，清除所有可疑文件和修改，修復(fù)被攻擊的漏洞，確保系統(tǒng)干凈了才能恢復(fù)全面運行。這個過程可能需要幾天甚至幾周，要安排專人跟蹤，并定期向領(lǐng)導(dǎo)小組匯報進展。2、生產(chǎn)秩序恢復(fù)。系統(tǒng)恢復(fù)了不等于一切OK，業(yè)務(wù)要恢復(fù)正常流轉(zhuǎn)才行。比如受攻擊的系統(tǒng)提供的是訂單功能，那就要檢查訂單數(shù)據(jù)是否完整，流程是否順暢，客戶有沒有投訴?？赡苄枰R時調(diào)整流程，比如手工處理訂單，或者啟用備用系統(tǒng)?；謴?fù)過程中要密切監(jiān)控業(yè)務(wù)指標，發(fā)現(xiàn)異常及時調(diào)整。比如某次恢復(fù)電商系統(tǒng)，發(fā)現(xiàn)用戶登錄慢，就臨時增加了服務(wù)器，等高峰期過去再降下來。恢復(fù)不是一蹴而就的，要分階段，先保核心，再保次要。3、人員安置。主要是指安撫受影響的員工。比如發(fā)生數(shù)據(jù)泄露，可能有些員工擔心自己的信息被泄露，產(chǎn)生焦慮情緒。這時候人力資源部要主動溝通，解釋已經(jīng)采取的措施，提供必要的心理疏導(dǎo)。如果是攻擊導(dǎo)致業(yè)務(wù)中斷，影響員工工作，要盡快恢復(fù)他們的工作環(huán)境，補上因停工造成的損失。同時也要對應(yīng)急響應(yīng)團隊成員進行關(guān)懷，他們可能連續(xù)工作很久很辛苦。必要的休息和獎勵是應(yīng)該的。另外，如果事件涉及法律訴訟，還需要配合律師做好員工溝通工作，避免謠言傳播?？傊讶说膯栴}解決好，才能真正告一段落。八、應(yīng)急保障應(yīng)急保障是預(yù)案能不能落地的基礎(chǔ)，必須把人、財、物都落實到位。1、通信與信息保障網(wǎng)絡(luò)是關(guān)鍵，通信更是命脈。必須確保應(yīng)急時通信暢通。相關(guān)單位主要是信息安全部、信息技術(shù)部、公關(guān)部這些，關(guān)鍵人員就是值班人員、各小組組長。聯(lián)系方式要建個清單，包括手機號、工作電話、加密郵箱、即時通訊賬號，還得注明是哪個部門哪個職位的。方法上，平時就要把所有關(guān)鍵聯(lián)系人加到加密通訊群，應(yīng)急時通過這個群同步信息。備用方案也很重要，比如主網(wǎng)絡(luò)中斷了，要能通過衛(wèi)星電話、備用線路或者短信平臺傳遞關(guān)鍵信息。保障責(zé)任人主要是信息安全部負責(zé)人，但各部門都要指定一名聯(lián)絡(luò)員，確保信息傳遞不卡殼。比如某次應(yīng)急演練，發(fā)現(xiàn)某個部門負責(zé)人的手機沒電了，就是因為平時沒強調(diào)備用電源，后來趕緊把充電寶列為了應(yīng)急物資。2、應(yīng)急隊伍保障人是第一資源。咱們公司的應(yīng)急隊伍分三種：一是專家?guī)欤饕切畔踩康馁Y深工程師，還有定期外聘的外部安全顧問。他們負責(zé)技術(shù)分析、方案制定這些高階工作。二是專兼職隊伍，信息技術(shù)部的系統(tǒng)管理員、網(wǎng)絡(luò)工程師平時就負責(zé)日常運維，應(yīng)急時他們是主力，負責(zé)動手恢復(fù)系統(tǒng)。信息安全部也有一些兼職的安全員，負責(zé)監(jiān)控和初步響應(yīng)。三是協(xié)議隊伍，跟幾家知名的安全服務(wù)公司簽了應(yīng)急支援協(xié)議。平時他們提供服務(wù)，應(yīng)急時按合同付費購買他們的技術(shù)支持，比如漏洞修復(fù)、惡意代碼分析、攻擊溯源。三種隊伍要明確分工，平時要通過演練磨合好配合關(guān)系。比如某次遭受新型攻擊，內(nèi)部專家負責(zé)分析特征，協(xié)議公司的專家負責(zé)提供對抗方案，內(nèi)部隊伍則負責(zé)按方案執(zhí)行。3、物資裝備保障必須有備用的工具和設(shè)備，否則手握空拳。應(yīng)急物資和裝備主要包括：一是技術(shù)裝備，比如應(yīng)急響應(yīng)的筆記本電腦、網(wǎng)絡(luò)分析工具（Wireshark、Nmap這些軟件得裝好）、數(shù)據(jù)恢復(fù)設(shè)備、備用服務(wù)器硬盤、WAF設(shè)備、防火墻這些硬件。二是防護用品，比如U盤、移動硬盤、備用鍵盤鼠標、防靜電手環(huán)這些，保證能正常操作。重要數(shù)據(jù)備份是核心，要有多套備份，存放在不同地方，還得有驗證恢復(fù)流程。三是后勤保障，比如應(yīng)急照明、備用電源、醫(yī)療箱、飲用水、方便面這些。物資要定點存放，比如信息安全部辦公室、數(shù)據(jù)中心機房，都要放一套完整的應(yīng)急包。還要建個臺賬，列清楚每件物資的型號、數(shù)量、位置、負責(zé)人，定期檢查，確保能用。更新補充時限要定好，比如備用電池半年檢查一次，軟件每年更新一次。管理責(zé)任人就是各存放點的部門負責(zé)人，但信息安全部要統(tǒng)一協(xié)調(diào)。比如某次檢查發(fā)現(xiàn)備用路由器沒電了，趕緊更換了電池，不然真用上就麻煩了。九、其他保障除了人、財、物這些硬指標，還有一些軟環(huán)境或者特定領(lǐng)域的保障也很重要，必須提前考慮周全。1、能源保障應(yīng)急響應(yīng)不能斷電、斷網(wǎng)。能源保障主要是確保電力和通信資源的穩(wěn)定。電力方面，要確保核心機房有備用發(fā)電機，并且定期測試，知道什么時候啟動。還要考慮是不是需要臨時租用備用線路。通信方面，要有備用互聯(lián)網(wǎng)接入和專線，以防主線路被攻擊中斷。比如某次演練發(fā)現(xiàn)備用電源啟動慢，后來改進了啟動流程，確保能快速切換。2、經(jīng)費保障應(yīng)急響應(yīng)花錢可能很快，必須有錢支持。要設(shè)立應(yīng)急專項基金，預(yù)算要充足，覆蓋設(shè)備采購、專家咨詢、對外服務(wù)這些費用。使用流程上要簡化，但必須可追溯。比如購買安全設(shè)備需要多少錢、請哪個公司的專家費用多少，都要有記錄。重大事件還可以申請集團總部支持。3、交通運輸保障應(yīng)急響應(yīng)時可能需要派人去現(xiàn)場，或者運送設(shè)備。要提前規(guī)劃好交通工具，比如安排好用車，或者確保應(yīng)急人員能用車。如果涉及外部專家，要提前協(xié)調(diào)好他們的交通。比如某次應(yīng)急響應(yīng)需要去異地機房處理故障，就提前預(yù)定了包車。4、治安保障如果攻擊導(dǎo)致網(wǎng)絡(luò)中斷，可能會影響辦公秩序，甚至引發(fā)盜竊等治安問題。要跟保安部門聯(lián)動，加強重點區(qū)域的巡邏。如果事件涉及法律問題，還要配合警方工作，比如保護現(xiàn)場、提供證據(jù)。5、技術(shù)保障技術(shù)保障是貫穿始終的，除了前面提到的專家和裝備，還要確保有持續(xù)的技術(shù)支持。比如跟云服務(wù)商、設(shè)備供應(yīng)商保持良好關(guān)系，讓他們在應(yīng)急時優(yōu)先響應(yīng)。還要建立技術(shù)交流機制，了解最新的攻擊手法和防御技術(shù)。6、醫(yī)療保障雖然網(wǎng)絡(luò)事件一般不直接危及生命，但高強度應(yīng)急響應(yīng)可能導(dǎo)致人員疲勞，甚至發(fā)生意外。要確保應(yīng)急響應(yīng)人員能及時獲得醫(yī)療幫助，比如配備急救箱，知道附近醫(yī)院的地址。必要時可以購買商業(yè)保險。7、后勤保障后勤是保障大家能安心工作的基礎(chǔ)。要提供餐飲、休息場所，確保應(yīng)急人員有飯吃、有水喝、有地方歇腳。還要做好心理疏導(dǎo)，避免人員過度緊張。這些看似小事，但做好了能極大提升效率。這些保障措施不是孤立的，要聯(lián)動起來，形成一個有機的整體，確保應(yīng)急響應(yīng)時各方面都到位，不出現(xiàn)短板。十、應(yīng)急預(yù)案培訓(xùn)應(yīng)急預(yù)案不是訂起來看的，關(guān)鍵在人會用。培訓(xùn)是讓每個人知道自己在應(yīng)急時該干什么。1、培訓(xùn)內(nèi)容培訓(xùn)要全覆蓋，既要講理論，也要講實操。內(nèi)容包括預(yù)案體系、響應(yīng)流程、各小組職責(zé)、常用工具使用、安全意識、心理疏導(dǎo)這些。理論部分講