攻防演练剧本参考

1. 开场主持（总指挥）

各位领导、各位同事，下面由我来简要介绍一下本次信息安全应急演练的基本情况：

随着信息化的不断深化和在全国各地的集中部署，我司形成了以CIS 、ERP等系统为核心的信息化架构，信息化已经渗透到生产经营管理的各个领域。

但是,随着这些信息化系统的大干快上,相应的信息安全防护措施却没有完全跟上 ,有的应用系统和电脑全副武装,有的异地的应用系统和电脑管控不到位，而大家又都在同一个内网,一旦发生勒索软件传播、应用系统被攻击、客户信息被窃取、网站被篡改等等诸如此类的事件，都会对我司的业务经营带来风险。

2017年6月1日《网络安全法》的颁布实施，把信息安全的保障从企业自身规范上升为国家法律层面的要求公安部门也处罚了一批安全落实不到位且发生安全事件的单位,对单位主要负责人进行了罚款和行政处理。本次演练的主题是信息安全应急演练,特别选取了三个重大的信息安全事件作为演练场景。

本次演练主要目的有：

演练目的

1.业务人员：事件发生后，具备手工作业的能力，经过和IT人员的配合可以补录数据并保持业务连续；

2.高层领导：发现演练过程中的不足，提出改进意见；

3.信息部人员：熟悉和规范应急流程，提高应急能力；

本次演练由我担任总指挥，信息中心担任现场总指挥、*担任现场解说，并设置有安全应急工作组、系统恢复应急小组等。

2. 实战演练

2.1 演练启动

各位领导，接下来演练正式开始。

●总指挥：“现场总指挥，信息安全演练是否准备就绪？”

●现场总指挥：“总指挥，应急演练各项工作就绪。”

●总指挥：“好，现在我宣布信息安全应急演练正式开始！”

●主持人：各位领导。我是信息中心**。接下来由我负责现场解说。

网络安全法的发布,使得企业内部的信息安全已经不再是家事,而是上升为国家法律要求,信息安全事件和安全事故一样,集团领导是第一责任人.

而对直接主管人员和直接负责人来说,处罚金额也包括了5千-50万各个等级,包括15日以下的拘留,比如对漏洞不做整改并发生了安全事件至少要罚款5000.

·我们来看一下今年的一个处罚实例, 7月22日，某网站存在高危漏洞，造成网站发生被黑客攻击入侵的网络安全事件。这次处罚原因并不是网站发生被黑客攻击入侵的信息安全事件,而是网络安全防护工作落实不到位且发生了本次信息安全事件。所以我们需要做好信息安全的规定动作，就可以减少事件发生后的处罚责任。这五个规定动作是1.网络日志留存2.漏洞处置3.容灾备份4.应急演练5.安全检测评估。

下面开始我们演练的第一个场景。

2.2 演练场景1：员工被邮件钓鱼，导致勒索软件大面积爆发

（视频上的场景是黑客的电脑桌面）

黑客正在扫描网络的弱密码，并用弱密码给我司通讯录发钓鱼邮件。(最后显示出可以盗取所有通讯录)

●黑客：“哎，这个用户的密码好简单，我就用他的邮箱发钓鱼邮件吧”；

（视频上的场景是某员工的电脑屏幕）

●某员工：“哎，我的电脑提示需要交比特币才能继续使用,我赶紧给IT打电话吧”；(虚拟机真实样本)

（视频上的场景是信息中心的IT热线被打爆）

●某员工：“你好，我是XXX用户….

●IT热线接线员：“你好，你是XXX用户，你的电脑发现勒索病毒界面，请留下你得联系方式，我将该情况上报。。。你好，你是XXX用户，你的电脑发现勒索病毒界面，请留下你得联系方式，我将该情况上报。。。你好，你是总部12楼的用户，你的电脑发现勒索病毒界面，请留下你得联系方式，我将该情况上报。

●某员工：“我这个电话打不进去…怎么办啊.

IT热线接线员向信息中心桌面管理人员报障

●IT热线接线员：“你好，。我是IT热线接线员。我们接到了来自多家单位的报障电话，初步判断是中了未知病毒,此类问题先是从XX，然后是XX，现在，本部也发现类似问题, 目前已有20多个,并且越来越频繁,请协调处理”；

●信息中心桌面管理人员：“麻烦提供下报障用户的清单和联系方式，我立即处理”；

信息中心桌面管理人员将事件上报信息管理部

（视频上的场景是信息管理部***在接电话）

●信息中心桌面管理人员（**）：“各地分公司和总部陆续发现未知病毒,目前已经感染50多台电脑，请安排人员协助分析”；

●信息管理部应急人员（***）：“这些电脑目前是什么情况,”；

●信息中心桌面管理人员（**）：“这些电脑的文件都打不开,电脑屏幕显示了一张需要交赎金才能使用的图片”；

●信息管理部应急人员（***）：“这可能是目前正在全球肆虐传播的勒索病毒,请告诉我一个就近的报障用户,我去现场提取病毒样本 ,”；

(视频显示***起身并打电话)

●信息管理部应急人员（**）第一时间上报信息管理部总经理：“,目前集团疑似遭到勒索软件攻击，已经影响50多台电脑，还可能进一步感染服务器,这种病毒传播快,目前还没有解决办法,我现去现场查看样本,稍候给您汇报进展；

●信息管理部总经理（*）：“抓紧处理,努力确保业务不影响；

PPT演示和讲解:***建立微信群,找外部专家协助分析了样本

（视频上的场景是应急小组工作场景）（视频上的场景是中发现钓鱼邮件）

●应急专家:经过样本分析,此病毒通过445端口传播,主要攻击没有打WINDOWS补丁的电脑,LINUX系统不受影响, 建议网络管理员立即封闭445端口,组织病毒在各分公司区域横向传播，建议桌面运维人员使用专杀工具对中毒电脑进行查杀和修复，建议服务器运维人员立即对服务器进行补丁升级，建议管理部向全集团发布病毒防范通知。

●网络（***）：已经将445端口封闭，目前病毒无法传播至服务器区域。

●服务器（***）：正在将服务器的补丁逐步打上，目前本部已经完成了98%,还有分公司的服务器已经发邮件告知分公司处理方法。

●桌面（）：安排桌面运维小组奔赴各地协助桌面恢复。目前有台电脑由于日常没有备份，数据已经无法恢复，有**台电脑由于在异地，没有本地IT人员，只能建议重新安装系统。

●管理部（***）：已经向全集团发布病毒防范通知，指导桌面，服务器，全员如何开展病毒防范工作。（切桌面,屏幕显示文件内容：建议桌面用户在确认完补丁版本和防病毒版本后再使用本机）

●管理部（***）：已经向全集团发布如何查看本机补丁版本和防病毒版本的指导说明（切桌面,屏幕显示文件内容：建议桌面用户在确认完补丁版本和防病毒版本后再使用本机）

●应急专家: 依据我们持续监控的情报，目前病毒传播在可控状态，暂无最新的病毒传播迹象。

（视频上的场景汇报总结）

●管理部（***）：目前病毒传播情况已经控制，集团人员业务不受影响。

●网络部（***）：本次事件发现集团分域工作需要尽快开展，对各个安全域隔离需要尽快提上日程。

●服务器（***）：本次事件发现部分分公司的服务器放入公司内网后没有统一的安全保障措施。

●桌面（**）：本次事件发现部分分公司的桌面电脑放入公司内网后没有统一的安全保障措施,有人擅自脱离安全域 ,卸载防病毒软件，部分员工电脑的密码容易被猜测。

●信息管理部总经理（*）：请大家针对本次事件作出改善计划，举一反三，不断改进我们的安全保障体系。

2.3 演练场景2：网站被攻击篡改，导致反动标语挂在首页

（视频上的场景是网站监控的页面）

网站监测发现我司官网首页被篡改，反动标语挂在首页。

（视频上的场景是各人员视频）

●应急专家:***你好，我们实时监测发现我司官网首页被篡改，反动标语挂在首页。

●管理部（***）：好的，我立即启动应急预案。

●信息管理部应急人员（**）第一时间上报信息管理部总经理：“,我司官网首页被篡改，反动标语挂在首页，按应急预案需要第一时间断开官网，请指示”；

●信息管理部总经理（*）：“同意立即断开官网，开展恢复措施，查明原因”；

（视频上的场景是信息管理部***将网络人员,安全应急人员拉入应急响应微信群,并在微信群里发布工作内容,此处可以展示电脑屏幕）

●***: 我司官网首页被篡改，反动标语挂在首页，请网络组立即断开官网

●网络部（***）：官网已经隔离。

●应急人员：请上传服务器日志，我们开始失陷检测，作事件溯源分析。

●服务器（***）：服务器日志已经上传

●应急人员：根据分析，黑客人员发现我司在互联网的服务器资产有系统漏洞，经过注入木马后上传非法图片，目前已经手工清除，请开发人员完成本次漏洞的整改，请网络管理员对非必要的互联网资产进行更改，不用再发布在互联网上。黑客IP地址是，，，，。

●网络部（***）：对非必要的互联网资产已经进行更改，不用再发布在互联网上。

●系统负责人：已经安排开发商对漏洞进行修改。

●管理部（***）：本次事件已经上报公安，并提供了黑客IP地址报案。

（视频上的内容为场景汇报总结）

●管理部（***）：目前官网已经修复，网络恢复。

●网络部（***）：本次事件发现我们对互联网资产的发现能力不足，需要自动化发现设备。

●系统负责人：本次事件发现软件供应商每个页面都有该漏洞，需要修改200多个页面，目前供应商重新修改表示工作量太大，需要增加费用，我们前期的系统建设管控存在问题。

●信息管理部总经理（*）：请大家针对本次事件作出改善计划，举一反三，不断改进我们的安全保障体系。

2.4 演练场景3：现场营业厅应用系统&网上营业厅被黑客侵入，导致大量客户信息泄露，CIS数据被篡改，营业厅现场用户无法正常开户，销户，缴费

（视频上的场景是发现网上营业厅被黑客攻击）

发现网上营业厅被黑客攻击。

（视频上的场景是各人员视频）

●应急专家:***你好，我们监测发现我司网上营业厅被黑客攻击。

●管理部（***）：好的，我立即启动应急预案。

●信息管理部应急人员（**）第一时间上报信息管理部总经理：“,我司网上营业厅被黑客攻击，目前正在紧急排查遭受的损失和事件影响”；

●信息管理部总经理（*）：“联系相关业务人员一起加入本次事件应急”；

（视频上的场景是信息管理部***将网络人员,安全应急人员，业务人员拉入应急响应微信群,并在微信群里发布工作内容,此处可以展示电脑屏幕）

●***: 我司网上营业厅被黑客攻击，请人员作安全评估

（视频上的场景是发现系统失陷和被窃取文件的事件等）

●应急人员：经分析，黑客于时间通过漏洞，从IP进入内网，于时间上传木马，于时间下载客户数据，于时间修改CIS抄表读数和缴费记录，于**时间中断CIS服务。

●信息中心（**）：报告集团分管总裁，CIS系统被黑客攻击，有一天的数据受影响，目前正在紧急恢复，现场营业厅目前是手工处理状态。

●集团分管总裁：请办公室出紧急说明，避免舆论恶化影响

（视频上的场景是各单位人员视频）

●应急人员：删除木马，IP需要打上补丁，系统需要安全整改，**端口需要防火墙关闭，CIS数据需要恢复到昨天，黑客IP地址是。。。（显示黑客IP地址和实时攻击图）。

现场营业厅：张贴系统暂停通知，给每位客户提供小礼品，并提供纸质单据记录客户缴费记录，开户和销户业务如果手工能办就手工办理，如果不能办就和客户解释，留下客户电话，待系统恢复后及时通知。

办公室发布声明：由于集团。。。

官网发布通知：由于集团。。。

CIS负责人：将数据恢复到昨天的记录，导出待确认的抄表读数和缴费记录

呼叫中心：通知抄表组，再次核对抄表读数，补录数据

财务组：拿银行对帐单，再次核对缴费记录，补录数据

●CIS负责人：报告集团副总裁，经过和抄表组，财务组等各单位核对后，目前数据恢复正常，现场营业厅恢复业务。

（视频上的内容为场景汇报总结）

●管理部（***）：本次事件已经上报公安，并提供了黑客IP地址报案。

●办公室：再次发布通告，黑客已经抓获，我司今后将提供更好的服务。

●营业厅负责人：手工表单还有几类业务有欠缺，需要补充。

2.5 完成演练

●现场总指挥（*）：“报告总指挥，安全事件应急演练按预定方案已完成”。

●总指挥（*）：“收到”。

3. 领导讲话

●总指挥（*）：“本次演练已按预定方案完成，基本达到了我们的预期目标。”

●总指挥（*）：“下面请XXX对本次演练进行点评”

XX点评

●总指挥（*）：“下面请XXX讲话”

XXX讲话

●总指挥（*）：“下面我宣布，信息安全应急演练结束。”

4. 演练结束

原创 安全大脑