遭受勒索病毒攻击时应急响应预案

****集团遭受勒索病毒攻击时响应预案一、编制目的通过应急响应预案，建立当发生勒索病毒攻击时能够快速、准确、有效的组织解决问题机制，保障生产正常，数据安全，保证业务连续性。二、应急小组成员及职责划分成员岗位角色角色职责联系电话张某副总经理总指挥负责整体应急指挥雷某资深工程师组员确认病毒给网络造成的影响，中断及恢复网络、监控网络异常行为、安全风险，联系深信服等安全厂商；提报当地网警。高某资深工程师组员确认系统种勒索病毒及造成的影响及备份恢复李某高级工程师组员确认系统种勒索病毒及造成的影响及备份恢复李某高级工程师组员确认系统种勒索病毒及造成的影响及备份恢复李某工程师组员确认病毒给网络、桌面造成的影响，中断及恢复网络李某高级工程师组员确认系统、网络、桌面种勒索病毒及造成的影响及备份恢复，中断及恢复网络，恢复系统李某资深工程师组员确认数据库造成的影响及数据库恢复李某高级工程师组员确认桌面端遭受的影响及联系卡巴斯基王某工程师组员确认桌面端遭受的影响王某助理工程师组员确认桌面端遭受的影响王某乐资深工程师组员确认平台信息系统造成的影响及应用恢复王某资深工程师组员确认信息系统造成的影响及应用恢复王某资深工程师组员确认生产应用系统造成的影响及应用恢复王某高级工程师组员确认生产应用系统造成的影响及应用恢复三、应急响应步骤流程内容责任人实效1应急准备重要业务数据必须有在线备份、离线备份；重要的VM需离线备份，定期检查；全网定时漏洞扫描，修补扫描的漏洞和更新组件；通过防火墙、态势感知等实时监控网络流量异常等信息，安全威胁及时预警。***持续2启动应急预案服务器被勒索病毒攻击时；客户端被勒索病毒攻击时。****（0.5h3应急行动立即断网；[断网]：拔掉受感染机器的网线或者禁用网卡，如果是笔记本电脑还需关闭无线网络，避免病毒横向攻击，扩大感染范围；跨网段传播时拔掉分支之间防火墙网线，避免病毒在工厂间传播。具体参照《断网流程》断网操作流程--禁用3389、445、139、135等网络端口*****0.5h4通知用户电话或微信告知部门接口人李某0.2h5外联协助断网后立即拨打网警电话，报警备案；2、及时联系我司合作伙伴深信服专业人员第一时间前来协助处理病毒问题。王某0.1h6业务系统排查排查业务系统。在已经隔离被感染主机后，应对局域网内的其他机器进行排查，分支公司同步排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。如备份系统是安全的，则立即恢复文件。王某0.5h7应急措施，准备清除方案1、对勒索病毒感染的服务器或终端，立即断网(VM关闭网卡或者拔掉ESXi主机网线)；对病毒感染的服务器或者终端进行磁盘低格，重新安装操作系统，打上最新补丁，安装杀毒软件；从CDP或者在线备份或离线备份中恢复最近一次备份数据；备份恢复操作流程参照各模块《备份还原测试应急演练恢复报告》执行；软件组相关人员测试恢复的业务系统及数据是否正常使用；通知受影响的用户恢复使用。王某4h8跟踪与跟进持续跟踪进度并反馈给总指挥李某/9分析与总结保存有关记录、日志或审计记录，追查病毒攻击来源；分析漏洞，加强防护，输出总结报告。全体/四、演习要求1、频次要求一年一次2、内容要求2.1本响应预案演练每年至少执行一次，在响应演练测试计划本身或系统应用环境发生重大变化之后需要再测试一次；每年度应对本预案中涉及到的内容测试一次；2.2搭建测试环境，模拟响应预案事故，演练响应预案和涉及到的各个程序；2.3响应预案演练测试完成后，总结演练过程，优化预案流程。五、联系信息序号联系人单位电话1公安局当地公安局*