网络安全应急演练方案

放一个 网络安全应急演练方案的模板，框架有了, 大家根据自己需求做点调整。

演练说明

演练场景

本次演练以业务系统遭受外部攻击，服务器沦陷，从而导致系统被破坏为背景。主要模拟事件发现与评估、启动响应、信息通报、应急处置、问题根除、恢复重建、调查和持续改进全过程。

演练时间

20XX/XX/XX-20XX/XX/XX

演练范围

涉及业务系统如下： 1、A：xxx 5、B：xxx 6、C：xxx

演练目标

1. 应急检验：通过开展应急演练，检验一旦发生危害事件时，提升部门的应急能力和响应速度。
2. 完善准备：通过开展应急演练，检查应对应急事件所需应急队伍、装备、技术等方面的准备情况。
3. 锻炼队伍：增强演练组织、队伍和人员对应急预案的熟悉程度，提高应急处置能力。
4. 磨合机制：通过开展应急演练，进一步明确相关单位和人员的职责任务、理顺工作关系，完善应急机制。
5. 安全宣贯：普及应急知识，宣贯应急意识，提高员工防范意识和遇到主机入侵事件的应对能力。

演练组织

组长：安全室管理员 副组长：各部室安全管理员 成员：各业务负责人、安全厂商、业务厂商

演练实施及阶段安排

演练工作实施分为7个阶段：

准备阶段、攻击阶段、监测阶段、抑制阶段、根除阶段、恢复阶段、演练总结阶段。

准备阶段

1. XX系统配置核查 核查XXX
2. 硬件环境及网络检查 主机内存、CPU、网络路由检查
3. 数据库状态检查及备份 核查XXX
4. 应急脚本状态测试、检查 1.检查备份脚本 2.检查主机脚本是否可执行 3.进入主机目录查看应用备份脚本
5. 备份生产主机的数据和文件 1.到对应主机上执行备份脚本（备份所有应用），开始备份。 2.检查发布环境备份结果 3.备份主机文件夹 4.进入主机目录执行应用备份脚本
6. 网站发布演练公告 发布本次演练公告

攻击阶段

1. 尝试黑客入侵内网主机 渗透测试组尝试进行入侵攻击
2. 业务测试确认 测试关键业务
3. web单点故障模拟 查看应用主进程号ps –ef | grep java 停掉主机进程
4. 中间件单点故障模拟 挂起部分服务进程(查询、办理类服务)
5. 数据库单点故障模拟 挂起主机数据库进程

监测阶段

1. 防火墙网络设备确认攻击情况 互联网域防火墙检测异常会话数与流量
2. waf、ips确认攻击情况 分析判断WAF、IPS告警情况
3. 主机、数据库确认攻击情况 主机、数据库侧查看业务异常情况

抑制阶段

1. 防火墙网络设备封堵攻击源ip 调整互联网域已经内网防火墙策略封禁异常IP
2. waf、ips封堵攻击行为 调整WAF策略阻断异常web安全攻击
3. 主机、数据库紧急断网处置 将受害主机服务器软件网卡以及物理断网隔离

根除阶段

1. 隔离失陷主机 将受害主机断网隔离处理
2. 异常进程、账号排查 查看主机登录日志并核查主机进程
3. 后门查杀工具查杀后门 利用赛门铁克、云计算管控平台对受害主机进行病毒查杀以及后门清理

恢复阶段

1. 主机、数据库单点恢复 重启所有的应用进程
2. 网络连接恢复 业务访问测试网络连接是否回复
3. 中间件单点恢复 恢复服务进程(查询、办理类服务)
4. Web单点恢复 恢复主机业务进程，登陆主机

演练总结

1. 确认业务恢复情况 各业务侧进行业务访问测试，检查业务是否回复正常
2. 编写演练报告 总结优化威胁处置流程，对演练系统暴露出的问题进行修补改进等

更多报告!!

这个项目会不定期更新一些报告，欢迎大家关注! https://github.com/awake1t/HackReport