2024年4月14日发(作者:电脑怎么升级win10系统)
****集团
遭受勒索病毒攻击时响应预案
一、编制目的
通过应急响应预案,建立当发生勒索病毒攻击时能够快速、准确、有效的组织解决问
题机制,保障生产正常,数据安全,保证业务连续性。
二、应急小组成员及职责划分
成员
张某
雷某
高某
李某
李某
李某
李某
李某
李某
王某
王某
岗位
副总经理
资深工程师
资深工程师
高级工程师
高级工程师
工程师
高级工程师
资深工程师
高级工程师
工程师
助理工程师
角色 角色职责 联系电话
总指挥 负责整体应急指挥
组员
组员
组员
组员
组员
组员
组员
组员
组员
组员
组员
组员
组员
组员
确认病毒给网络造成的影响,中断及恢复网
络、监控网络异常行为、安全风险,联系深信
服等安全厂商;提报当地网警。
确认系统种勒索病毒及造成的影响及备份恢复
确认系统种勒索病毒及造成的影响及备份恢复
确认系统种勒索病毒及造成的影响及备份恢复
确认病毒给网络、桌面造成的影响,中断及恢
复网络
确认系统、网络、桌面种勒索病毒及造成的影
响及备份恢复,中断及恢复网络,恢复系统
确认数据库造成的影响及数据库恢复
确认桌面端遭受的影响及联系卡巴斯基
确认桌面端遭受的影响
确认桌面端遭受的影响
确认平台信息系统造成的影响及应用恢复
确认信息系统造成的影响及应用恢复
确认生产应用系统造成的影响及应用恢复
确认生产应用系统造成的影响及应用恢复
王某乐 资深工程师
王某
王某
王某
资深工程师
资深工程师
高级工程师
三、应急响应
步骤 流程 内容
1、 重要业务数据必须有在线备份、离线备份;
2、 重要的VM需离线备份,定期检查;
3、 全网定时漏洞扫描,修补扫描的漏洞和更新组件;
4、 通过防火墙、态势感知等实时监控网络流量异常等信
息,安全威胁及时预警。
责任人 实效
1 应急准备 *** 持续
2
启动应急预
案
1、 服务器被勒索病毒攻击时;
2、 客户端被勒索病毒攻击时。
1、 立即断网;
[断网]:拔掉受感染机器的网线或者禁用网卡,如果
是笔记本电脑还需关闭无线网络,避免病毒横向攻
击,扩大感染范围;
2、 跨网段传播时拔掉分支之间防火墙网线,避免病毒在
工厂间传播。具体参照《断网流程》断网操作流程--
3、 禁用3389、445、139、135等网络端口
电话或微信告知部门接口人
1、 断网后立即拨打网警电话,报警备案;
2、及时联系我司合作伙伴深信服专业人员第一时间前来
协助处理病毒问题。
排查业务系统。在已经隔离被感染主机后,应对局域
网内的其他机器进行排查,分支公司同步排查,检查核心
业务系统是否受到影响,生产线是否受到影响,并检查备
份系统是否被加密等,以确定感染的范围。如备份系统是
安全的,则立即恢复文件。
1、对勒索病毒感染的服务器或终端,立即断网(VM关闭网
卡或者拔掉ESXi主机网线);
2、 对病毒感染的服务器或者终端进行磁盘低格,重新安
装操作系统,打上最新补丁,安装杀毒软件;
3、 从CDP或者在线备份或离线备份中恢复最近一次备份
数据;
4、 备份恢复操作流程参照各模块《备份还原测试应急演
练恢复报告》执行;
5、 软件组相关人员测试恢复的业务系统及数据是否正常
使用;
6、 通知受影响的用户恢复使用。
持续跟踪进度并反馈给总指挥
****( 0.5h
3 应急行动 ***** 0.5h
4
5
通知用户
外联协助
李某
王某
0.2h
0.1h
6
业务系统排
查
王某 0.5h
7
应急措施,
准备清除方
案
王某 4h
8
9
跟踪与跟进 李某
全体
/
/
1、 保存有关记录、日志或审计记录,追查病毒攻击来
分析与总结 源;
2、 分析漏洞,加强防护,输出总结报告。
四、演习要求
1、频次要求
一年一次
2、内容要求
2.1本响应预案演练每年至少执行一次,在响应演练测试计划本身或系统应用环境发生
重大变化之后需要再测试一次;每年度应对本预案中涉及到的内容测试一次;
2.2搭建测试环境,模拟响应预案事故,演练响应预案和涉及到的各个程序;
2.3响应预案演练测试完成后,总结演练过程,优化预案流程。
五、联系信息
序号 联系人
1
2
3
4
5
公安局
网警
***
***
****
单位
当地公安局
当地网警
合作网络安全乙方公司
合作杀毒乙方公司
信赖合作方乙方公司
电话
***
*****
*********
*********
********
发布者:admin,转转请注明出处:http://www.yc00.com/xitong/1713039837a2170794.html
评论列表(0条)