信息安全应急演练记录及计划.docx

PAGE PAGE 1 2022 年网络与信息安全应急演练计划 为科学应对信息安全（以下简称信息安全）突发事件，建立健全信息安全应急机制， 有效预防、及时控制和最大限度消除我院信息安全各类突发事件的危害和影响，确保重要计算机信息系统的实体安全、运行安全和数据安全，结合我院实际情况，定于2022 年 03 月 15 日进行信息安全应急演练。 演练参加人员为全体人员。具体演练过程如下： 1、计算机被感染上病毒，计算机使用人员发现软件打开异常，一段时间后电脑蓝屏，导致无法继续使用该计算机，并通知行政部。 2、行政部人员接到该通知后，立即上报行政经理，行政经理通知信息安全管理员到达现场。 3、信息安全管理员首先将该主机从网络中断开，将该设备从网络中隔离出来，保护现场。 4、工作人员利用进入系统对该主机的硬盘进行数据备份。 5、工作人员进入网络安全模式启用防病毒软件对该主机进行杀毒处理，对主机进行病毒扫描和消除工作。 6、计算机杀毒恢复正常后，进入系统后修复系统补丁，关闭相关端口等措施进一步保障计算机信息安全。 7、反病毒软件无法清除该病毒，信息安全员向行政经理反映，由行政部组织相关技术人员研究解决。 8、情况较为严重的，向总经理报告。 9、模拟故障消除，行政部应急处理人员及计算机使用人员进行总结报告。 10、行政部总结信息安全急演练情况，及时发现问题和不足。 11、网络与信息安全应急演练结束后，行政部填写网络与信息安全应急预案演练记录表。 信息安全应急预案演练记录表 预案名称 演练时间参加人员 信息安全应急预案演练 2022.3.15 全体工作人员 演练科室 演练地点 办公室 演练目的 演练过程 规范和强化应对信息安全事件的应急反应能力，保证公司工作顺利进行， 按照‘网络与信息安全应急预案’，组织本次演练。 一、演练场景： 3月 15 日 13 时生产工作人员发现工作站电脑蓝屏无法正常使用。 二、演练过程记录： 1、计算机被感染上病毒，计算机使用人员发现软件打开异常，一段时间后电脑蓝屏，导致无法继续使用该计算机，并通知行政部。 2、行政部人员接到该通知后，立即上报，主任通知信息安全管理员到达现场。 3、信息安全管理员首先将该主机从网络中断开，将该设备从网络中隔离出来，保护现场。 4、工作人员利用进入 系统对该主机的硬盘进行数据备份。 5、工作人员进入网络安全模式启用防病毒软件对该主机进行杀毒处理，对主机进行病毒扫描和消除工作。 6、计算机杀毒恢复正常后，进入系统后修复系统补丁，关闭相关端口等措施进一步保障计算机信息安全。 7、反病毒软件无法清除该病毒，信息安全员向主任反映，由行政部组织相关技术人员研究解决。 8、情况较为严重的，向总经理报告。 9、模拟故障消除，行政部应急处理人员及计算机使用人员进行总结报告。 10、行政部总结信息安全急演练情况，及时发现问题和不足。 11、网络与信息安全应急演练结束后，行政部填写网络与信息安全应急预案演练记录表。 演练小结评估 本次演练人员到位迅速，行政部人员紧密配合协同作战，成功完成了此次信息安全应急演练工作。最大限度地减轻网络与信息安全突发事件的危害，进一步提高网络与信息安全应急保障能力，提高信息安全事件的应急处置能力。 信息安全问题及整改措施 1、网络攻击事件：判断攻击的来源与性质，关闭影响安全的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，保留网络设备和服务器设备上的行为日志，跟踪并锁定攻击来源的 IP 地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。 2、病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康的计算机，必要时可关闭相应的端口，甚至相应楼层的网络，及时请有关技术人员协助进行处理。 3、外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外网入侵，定位入侵的IP 地址，及时关闭入侵的端口，限制入侵的IP 地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。 4、内部入侵：查清入侵来源，如IP 地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设 备。 5、设备故障事件：判断故障发生点和故障原因，迅速联系IT 运维公司尽快抢修故障设备，优先保证公司主干网络和主要应用系统的运转。 6、灾害性事件：根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。 7、其它不确定安全事件：可根据总的安全原则，结合具体情况，做出相应处理，不能处理的及时咨询国