病毒入侵應(yīng)急預(yù)案一、總則1、適用范圍咱們公司這病毒入侵應(yīng)急預(yù)案，主要管的是辦公電腦、服務(wù)器還有內(nèi)部網(wǎng)絡(luò)遭病毒攻擊或者惡意軟件入侵時候的事兒。比如突然發(fā)現(xiàn)電腦上彈窗亂飛、系統(tǒng)卡成PPT、文件被加密要錢的那種情況，或者發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)傳輸速度突然變慢、數(shù)據(jù)疑似被篡改，就得啟動這個預(yù)案。具體說，涉及到IT系統(tǒng)、數(shù)據(jù)安全、辦公自動化這些方面，只要病毒入侵給公司正常運營帶來影響，都得上這個預(yù)案。2、響應(yīng)分級病毒入侵這事兒，也得分級處理，不能一驚一乍全都按最大級別來。咱們根據(jù)病毒影響范圍、擴散速度還有咱們自己能控制住事態(tài)的能力，把應(yīng)急響應(yīng)分成三級。一級響應(yīng)是最高級別，一般發(fā)生在病毒已經(jīng)全網(wǎng)擴散，大量服務(wù)器癱瘓，或者核心數(shù)據(jù)遭加密勒索，這時候就得拉響警報，跨部門一起上。比如前年某次某大廠遭遇WannaC勒索病毒，整個生產(chǎn)系統(tǒng)停擺，文件全被鎖，這就是典型的一級響應(yīng)場景。二級響應(yīng)是中等級別，可能只是部分部門網(wǎng)絡(luò)受影響，少量服務(wù)器中毒，但還沒擴散到全公司。這時候得啟動部門級應(yīng)急小組，集中處理，比如某次咱們測試環(huán)境突然發(fā)現(xiàn)病毒，只影響幾個機器，就按二級響應(yīng)，IT和安?？焖俑綦x感染設(shè)備，分析病毒來源。三級響應(yīng)是最低級別，一般就是個別電腦中毒，還沒影響其他設(shè)備，這時候可以部門內(nèi)部自己搞定，比如員工電腦彈出廣告軟件，殺毒軟件查殺就行。去年有個員工電腦裝了盜版軟件，結(jié)果中了釣魚病毒，只清理了那臺電腦，就是三級響應(yīng)的例子。分級原則主要是看影響范圍，比如是否超過三個部門，看恢復(fù)難度，比如是否需要第三方安全公司幫忙，還有咱們自己響應(yīng)速度，比如能不能在四個小時內(nèi)控制住，根據(jù)這些來判斷響應(yīng)級別。二、應(yīng)急組織機構(gòu)及職責(zé)1、應(yīng)急組織形式及構(gòu)成單位咱們公司這病毒入侵應(yīng)急，不是一個人說了算，得成立個專項小組，叫“網(wǎng)絡(luò)應(yīng)急響應(yīng)小組”，全公司范圍內(nèi)就這一套，統(tǒng)一指揮。這個小組不是固定編制，但核心成員得有。主要構(gòu)成部門有：一是信息技術(shù)部，這是主力，負(fù)全責(zé)，平時就得備好應(yīng)急工具包，比如隔離軟件、恢復(fù)備份這些。病毒來了，他們得先分析是啥病毒，從哪兒來的，怎么傳的。二是安全管理部，他們更側(cè)重防護(hù)和調(diào)查，比如檢查安全漏洞，分析攻擊路徑，事后寫報告。前年某次病毒事件后，他們花了兩天時間才把攻擊源定位到某個第三方軟件。三是辦公室，主要是協(xié)調(diào)，比如臨時通知全員禁用U盤，或者統(tǒng)一發(fā)布臨時郵箱地址，防止釣魚郵件。他們還得隨時給領(lǐng)導(dǎo)匯報情況，別讓領(lǐng)導(dǎo)蒙在鼓里。四是財務(wù)部，關(guān)鍵時候得配合，比如勒索病毒來了，要贖金還是硬抗，他們得算筆賬，看看公司財力行不行，法律上有沒有風(fēng)險。五是人力資源部，處理內(nèi)部安撫，比如員工電腦中毒，得安撫情緒，順便做下思想工作，別有人說三道四。平時這些部門各干各的，病毒來了就聚到應(yīng)急指揮室，由信息技術(shù)部頭兒當(dāng)總指揮，其他人按分工干活。2、應(yīng)急組織機構(gòu)設(shè)置及工作小組職責(zé)應(yīng)急小組內(nèi)部分了四個小組，每個小組干不一樣的事兒：（1）技術(shù)處置組這是核心組，信息技術(shù)部牽頭，安全管理部配合，具體任務(wù)：快速隔離中毒設(shè)備，用專用網(wǎng)絡(luò)段先拖開，防止擴散。對比正常系統(tǒng)文件，找出被篡改的地方，恢復(fù)關(guān)鍵數(shù)據(jù)。分析病毒特征，看有沒有現(xiàn)成的殺毒工具能殺，沒有就自己寫腳本隔離。去年某次沙盒環(huán)境病毒，他們花了三小時寫了個臨時補丁。重新配置防火墻和殺毒軟件策略，把后門堵上。（2）安全分析組安全管理部主帶，信息技術(shù)部幫手，主要干：調(diào)查病毒來源，是釣魚郵件、弱口令破解還是供應(yīng)鏈攻擊。某次發(fā)現(xiàn)是某供應(yīng)商軟件帶毒，追查了三天。檢查所有系統(tǒng)日志，找出最早感染時間點和傳播路徑。評估是否需要報警，比如涉及勒索贖金，就得聯(lián)系警方。（3）后勤保障組辦公室和財務(wù)部搭把手，任務(wù)：等信息技術(shù)部說恢復(fù)哪個系統(tǒng)，就趕緊重啟，或者把備用服務(wù)器推上線。臨時調(diào)整辦公方式，比如全員改成用手機APP傳文件，或者用臨時郵箱。算下恢復(fù)成本，比如數(shù)據(jù)恢復(fù)服務(wù)要多少錢，新服務(wù)器要加多少錢。（4）溝通協(xié)調(diào)組人力資源部和辦公室輪流帶，關(guān)鍵任務(wù)：對外統(tǒng)一口徑，別員工上網(wǎng)傳“公司被黑了”，說“系統(tǒng)在維修”。對內(nèi)定時發(fā)通知，比如“請大家檢查郵件附件是否亂點”，“XX系統(tǒng)恢復(fù)到幾點了”。安撫受影響員工，特別是數(shù)據(jù)被鎖的，別讓他們急眼鬧事。去年某次中毒，有個項目經(jīng)理差點拍桌子走人，后來溝通組苦口婆心才勸回來。平時這些小組各干各的活，病毒來了就按這個分工跑，保證不混亂。三、信息接報1、應(yīng)急值守與信息接收公司24小時得有個人盯著網(wǎng)絡(luò)情況，這個活兒信息技術(shù)部輪流干，白天是小張，晚上換小李，周末是王工，都留聯(lián)系方式在應(yīng)急值班臺賬上。病毒入侵這事兒，不管幾點，打這個電話就得接：內(nèi)線8008，外線留個公司總機。接電話的先別急，問清楚來龍去脈，是哪個部門報的，什么癥狀，影響了多少人。然后立刻通知信息技術(shù)部值班人員，同時把情況記到應(yīng)急日志里，時間、地點、報告人、簡單描述，字跡工整點，別潦草。2、內(nèi)部通報程序與方式確認(rèn)是病毒入侵后，內(nèi)部通報得快，但不能亂。信息技術(shù)部頭兒先給安全管理部、辦公室打電話，說“XX系統(tǒng)發(fā)現(xiàn)病毒，正在處理”。然后安全管理部負(fù)責(zé)給各部門主管發(fā)短信，內(nèi)容就一句：“XX系統(tǒng)臨時維護(hù)，請暫時不用電腦辦公，詳情稍后通知?！备鞑块T主管再發(fā)郵件或者群消息給組員，說：“下午系統(tǒng)要修，先刷題去?！比滩怀^半小時。通報順序是：先內(nèi)部技術(shù)團隊，再部門主管，最后全員。責(zé)任人很明確，信息技術(shù)部頭兒負(fù)總責(zé)，各部門主管自己管自己的人。3、向上級報告流程與時限咱們是集團子公司，集團要求突發(fā)事件4小時內(nèi)必須報上去。一旦確認(rèn)是重大病毒入侵（比如全網(wǎng)癱瘓，或者被勒索），信息技術(shù)部頭兒立刻打電話給集團應(yīng)急聯(lián)系人，張總，內(nèi)線7010。電話里先說“報告張總，XX系統(tǒng)遭病毒攻擊，正在控制”，然后發(fā)短信補充：時間、地點、影響范圍、已采取措施、預(yù)計恢復(fù)時間。如果涉及勒索，還得說“對方要贖金，金額XX萬”。報告內(nèi)容就這幾樣，別扯別的。短信和電話同步發(fā)，確保對方收到。如果集團有專門的事故報告系統(tǒng)，還得登錄填表，表格里要填啥提前準(zhǔn)備著，省得手忙腳亂。4、向外部單位通報方法如果病毒是從外部攻擊進(jìn)來的，或者公司被黑客勒索，還得跟外頭說。信息技術(shù)部頭兒聯(lián)系安全管理部，安全部負(fù)責(zé)寫個通報稿，發(fā)給網(wǎng)信辦、公安網(wǎng)安隊這些。內(nèi)容得有：公司名稱、地址、聯(lián)系人、被攻擊時間、病毒類型、影響范圍、已經(jīng)做了啥、下一步打算。比如前年某次被釣魚郵件攻擊，咱們就發(fā)了通報，說“發(fā)現(xiàn)員工點開陌生郵件導(dǎo)致系統(tǒng)感染，已隔離并加強培訓(xùn)”。另外，如果用了云服務(wù)或者第三方軟件，也得通知他們，比如阿里云、騰訊云這些，讓他們幫忙查查云環(huán)境有沒有被拖累。責(zé)任人主要是安全管理部，他們得知道這些部門的聯(lián)系方式，別到時候打不通。四、信息處置與研判1、響應(yīng)啟動程序與方式病毒入侵這事兒，不能拖，得快速啟動預(yù)案。怎么啟動呢？分兩種情況。一種情況是手動啟動，由應(yīng)急領(lǐng)導(dǎo)小組決定。比如信息技術(shù)部報告說“數(shù)據(jù)庫被加密，全公司系統(tǒng)下線”，安全管理部說“源碼被篡改，可能有后門”，這時候應(yīng)急領(lǐng)導(dǎo)小組（由我牽頭，信息技術(shù)部、安全部、辦公室頭兒都參加）得開緊急會，五分鐘快速判斷：是三級的小問題還是可能是一級的大災(zāi)難？如果判斷是重大事件，我拍板，信息技術(shù)部立刻去執(zhí)行，同時我對外發(fā)布啟動一級響應(yīng)的通知。這個啟動方式適用于情況不明或者比較嚴(yán)重的情況。另一種情況是自動啟動，適合有明確標(biāo)準(zhǔn)的。比如咱們內(nèi)部規(guī)定，“超過五個部門同時報稱中毒，或者核心數(shù)據(jù)庫遭攻擊”，達(dá)到這個條件，信息技術(shù)部頭兒不用請示，直接宣布啟動二級響應(yīng)，然后同步給我和安全管理部發(fā)消息抄送。這種方式效率高，防止猶豫。去年有個病毒傳播特別快，信息技術(shù)部發(fā)現(xiàn)三個系統(tǒng)同時告警，還沒等我打招呼，他們已經(jīng)按這個規(guī)則自動啟動了二級響應(yīng)，這才沒讓事態(tài)擴大。2、預(yù)警啟動與準(zhǔn)備有時候情況還沒到必須全面啟動的程度，但感覺不對勁，得提前準(zhǔn)備。比如安全分析組發(fā)現(xiàn)某臺電腦中毒，但還在isolated狀態(tài)，只是彈個廣告，還沒擴散。這時候應(yīng)急領(lǐng)導(dǎo)小組可以決定啟動預(yù)警狀態(tài)，意思就是“大家該做的準(zhǔn)備都做上，但不用全面停工”。具體操作是：信息技術(shù)部把那臺電腦徹底格式化，安全管理部把全網(wǎng)殺毒策略加強一級，辦公室通知各部門“注意檢查電腦有沒有異?！?，但不讓停業(yè)務(wù)。同時信息技術(shù)部和安全管理部開始開會，準(zhǔn)備最壞的打算，比如備份數(shù)據(jù)怎么恢復(fù)，如果擴散了怎么隔離。這種狀態(tài)持續(xù)不超過12小時，如果12小時后確認(rèn)沒事，就解除預(yù)警；如果發(fā)現(xiàn)真擴散了，就立刻按原定級別啟動。去年就靠這個預(yù)警狀態(tài)，提前封了個來自某供應(yīng)商軟件的漏洞，避免了一次大規(guī)模中毒。3、響應(yīng)調(diào)整與跟蹤響應(yīng)啟動后，不能一成不變。信息技術(shù)部、安全分析組每兩小時得給我匯報一次情況：病毒擴散到哪兒了？恢復(fù)進(jìn)度怎么樣？有沒有新發(fā)現(xiàn)？如果發(fā)現(xiàn)病毒比預(yù)想的厲害，比如某個防病毒軟件對它無效，可能就需要從二級調(diào)到一級，增派人手、甚至請外部專家?guī)兔?。反過來，如果隔離措施做得好，發(fā)現(xiàn)是誤報，也可以從一級調(diào)回二級。這種調(diào)整得基于事實，不能瞎猜。安全分析組得用數(shù)據(jù)說話，比如“監(jiān)控顯示病毒傳播速度減慢了30%，現(xiàn)在感染設(shè)備穩(wěn)定在XX臺”，基于這些數(shù)據(jù)我才能決定要不要調(diào)整。如果事態(tài)明顯變輕，比如本來以為是勒索病毒，后來發(fā)現(xiàn)只是普通蠕蟲，也可以降級響應(yīng)，避免動用過多資源。去年有個事件，最初判斷是重大勒索，啟動一級響應(yīng)，后來發(fā)現(xiàn)只是某個員工電腦中毒導(dǎo)致共享文件被誤刪，馬上降級到三級，省了不少事兒。五、預(yù)警1、預(yù)警啟動預(yù)警不是直接宣布戰(zhàn)爭，是感覺不對勁，提前亮個黃牌提醒大家注意。比如安全分析組發(fā)現(xiàn)某個可疑流量，雖然還沒確認(rèn)是病毒，但跟以往攻擊模式有點像，或者某個系統(tǒng)補丁沒打，知道外面有針對這個補丁的漏洞在掃，這時候就可以啟動預(yù)警。預(yù)警信息主要發(fā)布給內(nèi)部，怎么發(fā)呢？信息技術(shù)部通過內(nèi)部郵件系統(tǒng)發(fā)紅頭文件級別的通知，標(biāo)題是“【預(yù)警】注意網(wǎng)絡(luò)異?；顒印?，內(nèi)容簡單明了：說發(fā)現(xiàn)了啥異常情況，可能影響哪個系統(tǒng)，建議大家檢查一下，暫時不用什么特別操作，但保持關(guān)注。同時在公司內(nèi)部通訊軟件（比如企業(yè)微信）的工作群發(fā)個提醒消息。發(fā)布渠道主要是這兩種，確保關(guān)鍵部門的人都能看到。信息內(nèi)容就這幾項：預(yù)警級別（黃牌）、事態(tài)簡述、可能影響范圍、建議措施、發(fā)布單位。責(zé)任人就是信息技術(shù)部頭兒，他得根據(jù)安全分析組的判斷，快速起草并發(fā)送。2、響應(yīng)準(zhǔn)備預(yù)警啟動了，不代表真的全面戰(zhàn)爭，但得做好隨時投入戰(zhàn)斗的準(zhǔn)備。這時候得干幾件事：隊伍方面，應(yīng)急領(lǐng)導(dǎo)小組開會，明確各自崗位，信息技術(shù)部、安全管理部的人全部到崗，準(zhǔn)備隨時聽指揮。物資方面，檢查備份系統(tǒng)是不是能隨時啟動，恢復(fù)數(shù)據(jù)用得著那些光盤、U盤、服務(wù)器鑰匙啥的，都準(zhǔn)備好。裝備方面，確保應(yīng)急指揮室的電腦、電話、投影儀這些用得上，網(wǎng)絡(luò)應(yīng)急工具包（包含各種掃描器、分析軟件）隨時能取。后勤方面，辦公室預(yù)定好應(yīng)急會議室，準(zhǔn)備好飲用水、盒飯，萬一真響應(yīng)了，大家能連續(xù)干幾天。通信方面，安全管理部檢查所有對外聯(lián)系人的號碼是不是最新，確保能隨時聯(lián)系上網(wǎng)信辦、公安機關(guān)、云服務(wù)商這些。同時內(nèi)部建立臨時通信方式，比如用對講機或者建立一個不依賴公司主網(wǎng)絡(luò)的溝通群，防止病毒通過主網(wǎng)絡(luò)傳播時斷掉聯(lián)系。這些準(zhǔn)備工作得在預(yù)警啟動后四個小時內(nèi)全部就位，由信息技術(shù)部和安全管理部頭兒負(fù)責(zé)檢查確認(rèn)。3、預(yù)警解除預(yù)警解除不是說沒事了，而是確認(rèn)當(dāng)前風(fēng)險可控，可以回到正常工作狀態(tài)。怎么解除呢？由安全分析組先判斷：如果他們監(jiān)控到異常流量停止了48小時，或者排查完發(fā)現(xiàn)是個假警報，可以提出解除預(yù)警的建議。然后交由應(yīng)急領(lǐng)導(dǎo)小組（我牽頭）審核，如果大家一致認(rèn)為確實沒事了，我就簽個字，通過同樣的渠道（郵件紅頭文件+內(nèi)部通訊軟件消息）宣布解除預(yù)警。解除預(yù)警的基本要求是：確認(rèn)的威脅已經(jīng)排除，或者已經(jīng)確認(rèn)不會對咱們造成影響，并且觀察了一段時間（比如12小時）沒有新問題。責(zé)任人是我，但實際操作是安全分析組提出建議，信息技術(shù)部執(zhí)行解除程序，辦公室抄送相關(guān)人員。六、應(yīng)急響應(yīng)1、響應(yīng)啟動預(yù)警解除不了，或者確認(rèn)是大事了，就得正式啟動應(yīng)急響應(yīng)。啟動前得先定級別，怎么定呢？回顧咱們第三部分說的分級條件：全網(wǎng)停擺是啥情況，多少部門受影響算大，有沒有核心數(shù)據(jù)被鎖，這些事先列清楚。一旦達(dá)到某個級別，比如說是二級響應(yīng)，就得按程序來。首先開應(yīng)急會議，我召集信息技術(shù)部、安全管理部、辦公室、財務(wù)部頭兒，半小時內(nèi)開完，明確各自任務(wù)。比如二級響應(yīng)，我可能說“信息技術(shù)部負(fù)責(zé)恢復(fù)系統(tǒng)，安全部分析攻擊路徑，辦公室通知全員，財務(wù)部準(zhǔn)備預(yù)算”。信息上報，達(dá)到二級就得給集團張總打電話發(fā)短信，內(nèi)容提前寫好了，抄送安全管理部。資源協(xié)調(diào)，信息技術(shù)部頭兒立刻去拉備用服務(wù)器，安全管理部聯(lián)系第三方安全公司做備份恢復(fù)，辦公室協(xié)調(diào)會議室、飯。信息公開，這時候得對外說點什么，由辦公室牽頭寫個“臨時通知”，說“XX系統(tǒng)維護(hù)中，請稍后”，發(fā)布到公司網(wǎng)站和內(nèi)部公告欄。后勤財力，信息技術(shù)部要錢買工具，安全管理部要錢請專家，都得找財務(wù)部，財務(wù)部得準(zhǔn)備一筆應(yīng)急金，比如規(guī)定“系統(tǒng)恢復(fù)費先花，后報銷”。這些工作必須在響應(yīng)啟動后一小時內(nèi)落實，責(zé)任到人，我負(fù)總責(zé)，各部門頭兒自己管自己那塊兒。2、應(yīng)急處置響應(yīng)啟動了，現(xiàn)場得有人管，怎么管呢？警戒疏散：信息技術(shù)部在受影響區(qū)域門口拉警戒線，保安配合，讓大家從備用通道走，比如從三樓樓梯口撤到大廳。人員搜救：這聽著嚇人，其實就是確認(rèn)有沒有員工卡在電腦前動彈不動，辦公室和各部門主管負(fù)責(zé)清點人數(shù)。醫(yī)療救治：如果病毒搞出人受傷（比如長時間盯著屏幕眼花），就聯(lián)系公司合作的醫(yī)院急救，安全管理部頭兒負(fù)責(zé)對接。現(xiàn)場監(jiān)測：安全分析組拿各種探測工具，在現(xiàn)場擺設(shè)備，看病毒還在不在，從哪個端口傳出去的，必須實時監(jiān)控。技術(shù)支持：信息技術(shù)部全員上陣，分析組提供病毒特征，恢復(fù)組負(fù)責(zé)重裝系統(tǒng)，大家分工合作。工程搶險：物理層面得保障，比如應(yīng)急電源不能斷，服務(wù)器空調(diào)不能停，設(shè)施部配合檢查。環(huán)境保護(hù)：主要是心理環(huán)境，辦公室頭兒到處轉(zhuǎn)轉(zhuǎn)，跟大家說“沒事，正在處理，很快恢復(fù)”，防止恐慌。人員防護(hù)是大事，所有在現(xiàn)場的人必須穿防護(hù)裝備，比如信息技術(shù)部的人戴手套，安全分析組的人穿防護(hù)服，防止病毒通過接觸傳播，特別是如果病毒有某些特殊傳播途徑的話。3、應(yīng)急支援萬一內(nèi)部搞不定，得找外頭幫忙。怎么請人呢？向外部請求支援，由我決定，打電話給集團公司應(yīng)急負(fù)責(zé)人，說“我們控制不住了，需要XX幫助”，同時安全管理部頭兒聯(lián)系公安網(wǎng)安隊，信息技術(shù)部頭兒聯(lián)系云服務(wù)商或安全公司。要求要具體，比如“我們需要帶備份恢復(fù)設(shè)備的專家，最快幾點到”。聯(lián)動程序，一旦外部力量答應(yīng)，安全管理部頭兒得提前準(zhǔn)備好現(xiàn)場情況介紹、網(wǎng)絡(luò)拓?fù)鋱D這些資料，讓外頭人快速上手。信息技術(shù)部配合他們接入網(wǎng)絡(luò)，安全分析組配合他們分析數(shù)據(jù)。指揮關(guān)系，外部力量來了，原則上聽我們指揮，但如果是公安網(wǎng)安隊來的，安全法規(guī)規(guī)定得尊重他們的專業(yè)意見。我會指定一個信息技術(shù)部或安全管理部的人做翻譯，確保溝通順暢。具體誰說了算，事前得跟外頭溝通好。4、響應(yīng)終止響應(yīng)終止不是我想停就停，得看條件夠不夠?；緱l件是：所有系統(tǒng)恢復(fù)正常，數(shù)據(jù)恢復(fù)完成，沒有新的病毒活動跡象，經(jīng)安全分析組連續(xù)觀察24小時確認(rèn)沒事。滿足這些條件，由我簽個字，通過同樣的渠道宣布終止響應(yīng)。要求是：確認(rèn)恢復(fù)穩(wěn)定，內(nèi)部通知到所有可能受影響的員工，總結(jié)經(jīng)驗教訓(xùn)。責(zé)任人是我，但辦公室負(fù)責(zé)發(fā)通知，信息技術(shù)部負(fù)責(zé)最終確認(rèn)系統(tǒng)狀態(tài)。七、后期處置1、污染物處理這里的“污染物”不是指傳統(tǒng)意義上的污水廢氣，而是指病毒本身。應(yīng)急響應(yīng)結(jié)束后，病毒可能沒完全清除干凈，或者留下了后門、惡意腳本這些“數(shù)字污染物”。處理這玩意兒得做幾件事：首先，信息技術(shù)部和安全分析組得對所有系統(tǒng)進(jìn)行深度掃描，用最新病毒庫查一遍，再用專門的反惡意軟件工具清理，確保病毒顆粒全滅。如果發(fā)現(xiàn)某些文件被加密或篡改得特別慘，可能得直接格式化重建。其次，安全分析組得把病毒樣本收集起來，做個分析報告，寫明病毒來源、傳播路徑、攻擊手法、咱們防守的漏洞在哪，這個報告對以后防病毒有指導(dǎo)意義。同時把病毒特征提交給國家或行業(yè)安全信息平臺，幫助其他人防范。最后，徹底清理完病毒后，還得再觀察一段時間，比如一個月，看有沒有漏網(wǎng)之魚或者病毒變異體搞事。期間可以加強網(wǎng)絡(luò)監(jiān)控，提高殺毒軟件警覺性。2、生產(chǎn)秩序恢復(fù)系統(tǒng)恢復(fù)了不等于一切OK，業(yè)務(wù)得一步步恢復(fù)正常。先恢復(fù)核心系統(tǒng)，比如ERP、財務(wù)系統(tǒng)這些，確保生產(chǎn)能轉(zhuǎn)起來。信息技術(shù)部排優(yōu)先級，分批次恢復(fù)，恢復(fù)一個測試一個。然后是輔助系統(tǒng)，比如OA、郵箱這些，員工日常辦公用。恢復(fù)后也得盯兩天，看有沒有異常。對于受影響特別嚴(yán)重的部門，可能需要臨時調(diào)整工作方式，比如用手機APP辦公，或者去別的部門支援一陣子。人力資源部得做好員工思想工作，信息技術(shù)部則要持續(xù)優(yōu)化系統(tǒng)性能，防止再出問題?；謴?fù)過程中，各部門頭兒要負(fù)起責(zé)任，檢查自己部門系統(tǒng)用起來順不順，員工會不會操作，及時發(fā)現(xiàn)問題。3、人員安置病毒事件不光影響系統(tǒng)，也影響人，得妥善安排。如果員工電腦中毒，或者數(shù)據(jù)丟失影響工作，先安撫情緒，解釋是啥情況，恢復(fù)需要多久。信息技術(shù)部負(fù)責(zé)數(shù)據(jù)恢復(fù)，恢復(fù)不完得跟員工說明白，看怎么補上損失。對于在事件處理中表現(xiàn)好的員工，比如安全分析組熬夜查病毒，信息技術(shù)部連續(xù)作戰(zhàn)，可以適當(dāng)給予獎勵，比如發(fā)點獎金，或者口頭表揚。如果事件導(dǎo)致員工失業(yè)（比如公司系統(tǒng)徹底搞不回來了），得按照勞動法辦妥賠償，做好離職交接。人力資源部主導(dǎo)，財務(wù)部配合。全公司范圍內(nèi)，可以借這個機會搞點培訓(xùn)，比如怎么識別釣魚郵件，怎么保護(hù)密碼，提高大家的安全意識。安全管理部負(fù)責(zé)組織，信息技術(shù)部配合出材料。八、應(yīng)急保障1、通信與信息保障病毒來了，通信不能斷，這是命根子。咱們得準(zhǔn)備兩套方案：平時和緊急時怎么聯(lián)系。平時，信息技術(shù)部、安全管理部、辦公室這些關(guān)鍵部門的電話得保證24小時有人接，而且得留個外線號碼，萬一內(nèi)部網(wǎng)絡(luò)不行了還能打出去。每個人手機號都記在應(yīng)急聯(lián)系本上，更新后貼在應(yīng)急指揮室墻上。緊急時，得有備用通信方式。比如準(zhǔn)備幾部衛(wèi)星電話，存好額度，關(guān)鍵時刻能打國際長途。再比如，搞個對講機，頻率提前跟公安、消防那邊協(xié)調(diào)好，萬一需要聯(lián)動就方便。還有，準(zhǔn)備一個不依賴公司網(wǎng)絡(luò)的臨時溝通群，提前加好所有關(guān)鍵聯(lián)系人。保障責(zé)任人是信息技術(shù)部頭兒，他得定期檢查這些設(shè)備是不是能用，比如每月試打電話，每季度充一次衛(wèi)星電話額度，確保關(guān)鍵時刻能用上。辦公室也得配合，把所有聯(lián)系方式打印出來，貼在顯眼地方。2、應(yīng)急隊伍保障光有設(shè)備不行，還得有人會弄。咱們公司的應(yīng)急隊伍分三類：第一類是核心技術(shù)組，就是信息技術(shù)部和安全管理部那幫骨干，都是專家，平時搞搞培訓(xùn)、寫寫策略，病毒來了就他們上。這些人得定期考核，確保手藝不生疏。第二類是專兼職隊伍，其他部門比如辦公室、財務(wù)，平時干自己活，緊急時候能抽調(diào)來搞點輔助活，比如發(fā)通知、跑腿、安撫員工。這些部門頭兒得提前教他們做啥，別真遇到事手忙腳亂。第三類是協(xié)議隊伍，就是平時不干這活，需要時花錢請的外部專家或公司。比如前年請的那家安全公司，平時沒業(yè)務(wù)，但病毒來了就得他們分析病毒、做恢復(fù)。這些得提前簽好合同，寫明響應(yīng)時間、服務(wù)內(nèi)容、費用。責(zé)任人是應(yīng)急領(lǐng)導(dǎo)小組，得定期跟這些隊伍溝通，確保關(guān)系鐵，關(guān)鍵時刻能叫得動。3、物資裝備保障應(yīng)急響應(yīng)不光需要人，還得有家伙事兒。咱們得清點清楚自己有什么，放在哪兒，怎么用。物資清單得有：首先是數(shù)據(jù)備份，硬盤、U盤、磁帶這些，標(biāo)明大小、創(chuàng)建時間，存放在安全的地方，比如機房、保險柜。其次是殺毒軟件、防火墻的授權(quán)碼，寫明有效期。再比如，應(yīng)急電腦、打印機，還有印出來的紙質(zhì)版應(yīng)急預(yù)案、聯(lián)系本這些。裝備清單得有：網(wǎng)絡(luò)流量分析設(shè)備，入侵檢測系統(tǒng)，還有前面說的衛(wèi)星電話、對講機這些。明確存放位置，備份硬盤放機房保險柜，應(yīng)急電腦放辦公室抽屜。標(biāo)明運輸條件，比如備份硬盤不能淋雨，得放盒子里。更新補充時限，比如每年檢查一次備份硬盤，殺毒軟件授權(quán)每年續(xù)費。最關(guān)鍵的是建立臺賬，把所有物資裝備都登記造冊，誰管、誰負(fù)責(zé)，寫清楚。信息技術(shù)部頭兒是第一責(zé)任人，辦公室配合整理，定期（比如每半年）核對一次，確保數(shù)量對得上，東西能用。九、其他保障除了通信、隊伍、物資這些，還有些隱性保障也得跟上，不然應(yīng)急響應(yīng)也搞不起來。1、能源保障系統(tǒng)跑起來、應(yīng)急照明亮起來，全靠電。得確保應(yīng)急指揮室、機房這些地方有備用電源。平時檢查發(fā)電機是不是能隨時啟動，柴油夠不夠燒。極端天氣（比如地震、臺風(fēng)）還得考慮整個小區(qū)停電怎么辦，提前跟供電局溝通好，看看能不能給應(yīng)急車輛優(yōu)先供電。責(zé)任人是設(shè)施部頭兒，定期帶人檢查發(fā)電機、UPS這些設(shè)備。2、經(jīng)費保障應(yīng)急響應(yīng)花錢的地方多，恢復(fù)系統(tǒng)、請專家、買設(shè)備、安撫員工，錢得提前準(zhǔn)備好。財務(wù)部得單獨建個應(yīng)急賬戶，每年撥點款，比如說“應(yīng)急預(yù)備金先給XX萬，不夠再報”。重大事件超出預(yù)算怎么辦，也得有預(yù)案，比如直接找我簽字。責(zé)任人是財務(wù)部頭兒，但我要時不時問問他，錢夠不夠花。3、交通運輸保障萬一需要緊急拉設(shè)備、送人，車得有。公司得有幾輛能跑長途的車，平時保養(yǎng)好。同時得知道附近有哪些可靠的租車公司、貨運公司，提前留好聯(lián)系方式。極端天氣影響交通時，怎么把人員從隔離區(qū)送出去，也得提前規(guī)劃。責(zé)任人是辦公室頭兒，他得管好這些聯(lián)系人和應(yīng)急車輛。4、治安保障病毒事件搞大了，可能引起恐慌，甚至有人想趁亂搞事。這時候保安得加強巡邏，門口別讓閑人亂進(jìn)。如果涉及勒索，或者有人揚言報復(fù)，還得請公安機關(guān)來維持秩序。安全管理部頭兒平時就得跟派出所熟悉熟悉，關(guān)鍵時刻好辦事。5、技術(shù)保障應(yīng)急響應(yīng)期間，技術(shù)支持不能斷。除了內(nèi)部IT和安全人員，得知道哪些外部技術(shù)專家、安全公司、云服務(wù)商能提供實時技術(shù)支持，他們的響應(yīng)時間是多久。平時可以跟他們搞點合作，建立點關(guān)系。責(zé)任人是信息技術(shù)部頭兒，他得管好這些外部技術(shù)資源。6、醫(yī)療保障雖然病毒主要是攻擊系統(tǒng)，但長時間盯著電腦、熬夜加班，也可能有人中暑、心梗。公司得知道附近有哪些醫(yī)院能處理緊急情況，特別是心血管科、急診科。可以跟一家醫(yī)院簽個協(xié)議，應(yīng)急時綠色通道。責(zé)任人是辦公室頭兒，他得管好這個聯(lián)系。7、后勤保障應(yīng)急響應(yīng)期間，大家吃飯、喝水、上廁所都得方便。辦公室頭兒得提前準(zhǔn)備好應(yīng)急指揮室的飯、水、紙巾、藥品，確保供應(yīng)不斷。如果響應(yīng)時間長了，還得考慮住宿問題，比如附近酒店有沒有協(xié)議價。責(zé)任人是辦公室頭兒，他得像個管家，把所有后勤細(xì)節(jié)想到。十、應(yīng)急預(yù)案培訓(xùn)1、培訓(xùn)內(nèi)容培訓(xùn)不能搞得太枯燥，得實用。主要講這幾塊：預(yù)案本身，就是總則部分，讓大家知道這預(yù)案是干嘛的，適用范圍，組織架構(gòu)誰管事兒。各部門職責(zé)，比如信息技術(shù)部發(fā)現(xiàn)病毒后第一步該干啥，安全管理部怎么配合，辦公室怎么通知人。響應(yīng)流程，怎么判斷響應(yīng)級別，啟動后具體步驟是什么，特別是預(yù)警、響應(yīng)、終止這幾個關(guān)鍵節(jié)點?，F(xiàn)場處置，比如發(fā)現(xiàn)病毒了怎么隔離設(shè)備，怎么安撫員工，怎么跟外頭（比如警察）說事兒。后期處置，恢復(fù)系統(tǒng)后怎么清查病毒，怎么總結(jié)教訓(xùn)，怎么安撫員工情緒。其他保障，能源、經(jīng)費這些怎么協(xié)調(diào)。內(nèi)容得結(jié)合咱們公司實際情況，用之前發(fā)生的病毒事件做