市安监局网络信息安全应急演练方案V1

XX市安全生产监督管理局迎十九大网络与信息安全应急演练方案XX市基础信息安全测评认证中心2017年10月目录一、目的 3二、参演机构 3三、注意事项 5四、演练准备 6（一）演练对象 6（二）演练时间 6（三）演练方式 6（四）环境模拟搭建 6（五）演练人员及联系方式 6（六）演练申请表 7五、演练实施 9（一）演练总体流程 9（二）演练科目一（门户网站应急关机） 10（三）演练科目二（网站系统恢复历史数据） 11六、演练简报及总结 12（一）演练简报 12（一）演练评估总结报告 13一、目的信息安全应急演练的目的是通过模拟构成信息系统的各类软硬件系统、网络环境、物理环境在遇到系统硬件故障、用户误操作、网络攻击、停电、甚至火灾地震等灾难事故等各类安全性事件，导致信息系统服务停止、系统崩溃、数据丢失等各种情况，验证系统管理方是否能及时根据具体情况启动应急预案，使用各种措施将信息系统的服务恢复至预期水平，保持信息系统服务的持续可用性。此次演练，我们选择市安全生产监督管理局“外网门户网站”作为主要演练目标系统，演练的主要目的在于：验证门户网站在黑客攻击情况下应急关机的效果；验证门户网站在恢复历史备份数据后的效果。二、参演机构为保障信息系统应急响应及演练工作的顺利进行，特成立应急演练领导小组，下辖规划实施组、外部保障组、咨询验证组。领导小组：系统应急演练工作的组织领导机构，领导和决策信息系统应急响应的重大事宜。领导小组组长：王辉，副组长：陆建明。其主要职责包括：审核并批准应急演练方案；指导应急演练方案的执行。规划实施组：系统应急演练方案规划和实施机构，组长：孙建林，成员：高峰、吴俊。其主要职责包括：应急演练的需求分析；提出应急演练策略、制订应急演练方案；实施应急演练全过程工作；应急演练实施后的总结。外部保障组：由相关方（如系统运维服务商、网站系统开发商等）组成，在应急演练过程中时获得相应支持，其主要职责如下：提供相关设备及软件的技术支持；在应急演练出现意外情况时提供相关保障，及时恢复系统正常运行。演练咨询及验证组：由第三方机构人员（信息安全测评机构）组成，成员包括：周晓峰、张杭钢，其主要职责如下：协助实施规划组确定演练内容及流程确认演练过程的规范性及有效性

三、注意事项应急演练场景应当尽可能真实，以便有效模拟实际安全事件的发生模式。从实践的角度看，系统进行应急演练时，在可能的条件下，应不中断业务系统正常运行状态。应急演练准备工作应对以下内容进行分析，这包括：保证系统正常运行应急演练时应当避免引起应急。不管是演练团队还是成员个人，都应当清楚保护系统正常运行需要采取的措施。引入的任何假设场景都应避免影响单位的正常运营，并能够被清楚识别。决定是否延迟演练在演练开始以前，应当有一个该测试是否应被延迟的决定。如果单位过于繁忙，或者生产问题致使主要站点和系统不稳定，测试的额外压力会使情况恶化。这种情况下，延迟测试可能是更恰当的决定。真实应急应急演练过程有可能引发真正应急的发生，当真实应急发生时，协调者应当立即停止测试，并启动真实系统的恢复程序。误传在应急演练过程中，不是演练团队的人员也许以为某个真实的灾难已经发生。可能会纷纷议论这场“灾难”而紧张惊慌，并不恰当地在网络上传播不实消息。因此所有演练的传达应当首先说明“这只是一次演练”，以免产生混乱。

四、演练准备（一）演练对象XX市安全生产监督管理局“门户网站系统”（二）演练时间正式演练：2017年10月12日（待定）（三）演练方式门户网站黑客攻击应急关机演练：采用门户网站真实云主机的方式进行，真实地验证网站应急关机的实际有效性及响应时间。门户网站虚拟机整体恢复演练：采用“测试用虚拟机+真实虚拟机备份”模式，不干扰生产机的正常运行，但需要真实地验证备份数据的有效性。（四）环境模拟搭建演练前应做好环境搭建模拟准备工作：检查网站系统的每日自动数据备份的状态是否正常；准备网站测试虚拟机，安装操作系统、数据库、应用平台及各类数据。（五）演练人员及联系方式1.局方系统管理人员（规划实施组）包括网络、系统、安全和软件的管理及维护人员。2.系统运行维护人员（外部保障组）包括提供网络及软硬件系统日常运维服务的运营商、集成商、软件开发商。3.第三方人员（咨询验证组）提供确认应急演练方案咨询及演练现场规范性验证的第三方安全测评机构。演练工作组工作组角色姓名手机备注演练领导小组组长局领导副组长规划实施组组长规划科技处处长副组长成员技术保障组网络运维负责网站开发商网络运维OA开发商云平台支持华通政务云咨询验证组演练咨询测评中心演练咨询及验证（六）演练申请表应急演练实施组在信息系统灾备演练开始前，以书面形式向系统应急演练工作领导小组提出演练申请，由领导小组批准方可进行演练。

演练申请演练场景演练时间演练负责人参与人员演练目的演练内容规划实施组意见规划实施小组组长：时间：领导小组意见领导小组组长：时间：

五、演练实施（一）演练总体流程本次应急演练的主要流程如下：（二）演练科目一（门户网站应急关机）序号步骤名称具体操作及交流内容1演练情况介绍演练规划实施组组长孙建林处长介绍本次应急演练中3个科目的基本情况，介绍参加演练的领导及实施小组成员，宣布演练开始；2上报网站被攻击情况演练实施负责人高峰处长向组长报告局网站被黑客攻击、页面被篡改；3请示启动网站应急预案孙建林处长向应急演练领导小组汇报网站系统安全事件初步调查情况，建议启动局信息安全应急响应预案；4实施应急处置1、由值班技术工程师登录云凭他进行应急关机；2、门户网站5确认应急处置效果1、在高峰处长正式确认网站已有效关机2、由孙建林处长向领导小组报告门户网站系统已应急关机，并汇报服务器后续处理事项。6回复系统由软件开发商工程师进行云主机开机恢复

（三）演练科目二（网站系统恢复历史数据）序号步骤名称具体操作1上报网站页面异常演练实施负责人高峰向孙建林处长报告局网站部分页面异常，并根据网站开发商工程师远程检查反馈，确认页面文件因黑客利用最新暴露的安全漏洞进行攻击而被破坏；2请示启动网站应急预案孙建林处长向应急演练领导小组汇报网站安全事件初步调查情况，建议启动局信息安全应急响应预案；3领导指挥启动领导小组了解情况后，同意启动应急预案，并下达启动指令；4检查数据备份正常演练实施组高峰处长要求运维服务商驻现场工程师检查网站云主机近期内每日备份的有效性，确认最新备份数据的时间点。5提取备份数据1、由运维服务商现场工程师将备份的文件从备份介质中恢复2、由网站开发商将备份数据导入到网站，检查内容正常、数据得到有效恢复3、报演练实施负责人；6确认网站功能1、高峰处长再次确认网站页面数据已得到恢复；2、由孙建林处长向领导小组报告网站安全事件已得到初步与处理，并汇报后续系统安全巡查工作。7后续处置1、采用多种手段进行服务器病毒木马查杀；2、进行应急安全测评，全面检查系统安全漏洞及风险；3、实施安全补丁加固措施。

六、演练简报及总结（一）演练简报演练结束后1天之内，咨询组出具演练简报，描述演练基本情况。格式见下：XX市安全生产监督管理局2017年度网络与信息安全应急演练简报演练时间演练地点参加演练人员实到人员名单指挥员演练方式演练过程简介演练问题及