XXXX区网络安全应急演练工作方案
应急演练总体目标
为进一步提升我区关键信息基础设施保障水平，强化信息系统应急处置能力，形成科学、有效、反应迅速的应急工作机制，确保关键信息基础设施的运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，维护正常的经济、政治、社会秩序。根据《中华人民共和国计算机信息系统安全保护条例》、《国家突发公共事件总体应急预案》、《关于做好2018年中国国际智能产业博览会网络安全保障工作的通知》等有关精神，结合我区的实际情况，我们将举办一次网络安全应急演练，并邀请我区网络安全保障的重点单位就网络安全事件联动处置进行沟通交流。
本次网络安全应急演练重在提升整体协作、共同处置能力。通过演练来固化应急处置流程，熟悉在遇到安全事件时的紧急处置方法，联系那些人员，调用那些资源，做到有备无患。
应急演练设计
（1）应急演练时间（8月22日）
09:30-10:00XXXX区网络安全应急演练启动
10:00-10:30应急演练XXXXXX门户网站网页篡改事件
10:30-11:00应急XXXXXX邮件系统数据泄露事件
11:00-11:30XXXX区网络安全应急演练总结
（2）应急演练地点
XXXX会议室
演练内容
根据当前的网络安全形势，本次网络安全应急演练以XXXXX门户网站系统遭黑客入侵插入黑链、篡改页面，和XXXXX邮件系统被侵入导致数据泄露为背景，演练发生这些安全事件时对应的应急联动处置。演练将详细演示应急处置中：监测发现、事件报告和通知、现场处置和侦查调查、通报预警和舆情处置、督办整改、事件总结等六个阶段的应急处置措施，重点强调安全事件应急处置中网安支队与各单位之间的安全联动和资源协调。
演练组织架构
根据应急演练中不同部门的职责分工，本次应急演练人员分为以下小组：
网安支队：负责安全事件的外部监控、事件通告、现场处置、督办整改等应急处置的主要流程；
事发单位组：由该单位信息中心安全专职组成，负责对演练网站的内部监控、紧急处置、组织整改和情况上报工作；
技术组：由信息安全技术支撑单位技术人员组成，负责演练模拟网站构建、模拟黑客攻击和漏洞根除；
交流组：由各单位分管领导及一名信息安全专职组成，观看应急演练，并对应急处置流程进行沟通交流。
演练科目
本次应急演练以近期发生较多的真实案例为参照，制定类似的演练科目，本次应急演练科目如下：
（1）网页篡改
演练外部黑客通过演练网站漏洞进行页面篡改，网页被篡改为反动标语，网安支队巡查发现后，组织该单位进行应急处置。
网安支队发现网页篡改后，启动应急预案，立即联系事发单位系统管理人员断开网络连接保护现场，并上报网安总队，安排民警和技术组专家赶赴现场进行固化证据、安全分析入侵途径、追根溯源。现场处置完毕后组织开展通报预警和舆情处置工作，并下发《信息系统安全等级保护限期整改通知书》督促该单位进行漏洞整改，该单位联络系统开发商和安全服务商对黑客入侵途径进行分析、篡改页面进行清除、查杀潜在病毒木马、修补相关漏洞，经回归测试正常后，将整改情况回复网安支队，支队确认整改完毕后，事发网站恢复正常运行，所有应急处置流程文档建档入库。
（2）数据泄露
演练外部黑客通过邮件系统漏洞获取服务器权限，发送钓鱼邮件企图获取关键信息，事发单位信息中心发现异常，请求网安支队进行应急处置的相关流程。
该单位信息中心监控人员发现邮件系统异常后，联系网安支队报告安全事件（然后提交《网络安全事件报告表》）。网安支队在了解大致情况后，安排民警到现场进行调查取证、固化证据、判断事件的性质并指导该单位人员进行应急处置（填写《网络安全事件现场调查处置情况记录单》）。在现场处置完毕后网安支队加强相关信息的网络监控，并下发《信息系统安全等级保护限期整改通知书》督促该单位进行漏洞整改，该单位联络系统开发商和安全服务商对黑客入侵途径进行分析，对系统漏洞进行修复，经回归测试确认正常后将整改情况回复网安支队，支队确认系统恢复正常后恢复网站正常运行，本次应急处置的所有流程文档建档入库。
演练流程
准备阶段
1、制作信息系统安全应急演练预案、信息系统应急演练方案；
2、技术组根据演练科目搭建演练所需系统环境、演练网站、漏洞利用等软件环境。
预演阶段
网安支队与技术组在搭建的环境中根据应急演练方案进行预演，实际检验与改进安全监测、攻击处置、过程展示等各个环节。
应急演练
在预演对各个环节进行充分论证以后进行正式应急演练。
1、由网安支队就网站安全应急演练进行综述性致辞，演练正式开始；
2、演练组的演练讲解人员就网络应急演练的网络拓扑、演练科目、演练人员等情况通过演练PPT大屏进行讲解；
3、演练科目正式开始，演练组的演练讲解人员进行
程讲解。
网页篡改应急演练详情
（1）网安支队互联网巡查；（网安支队互联网监控中心）