信息化软件系统_应急预案.docxVIP

信息化软件系统_应急预案

XX企业应对勒索软件攻击的应急预案

一、风险评估

1.诱因识别

1.1外部钓鱼邮件：伪装成供应商发票、快递通知、政府罚单，诱导员工点击带毒附件或输入凭据。

1.2水坑攻击：攻击者提前入侵企业常用外包网站，在JavaScript中植入漏洞利用包，员工浏览即触发。

1.3远程桌面爆破：对外开放的3389、22、5985端口被字典或撞库爆破，成功后横向移动。

1.4供应链污染：正版软件升级通道被篡改，升级包携带加密载荷。

1.5内部恶意人员：离职前夕通过合法账号批量加密核心数据，索要赎金。

2.发生等级

A级（灾难级）：≥50%终端与服务器被加密，核心ERP、MES、财务系统停机＞4h，预估直接损失≥1000万元。

B级（重大级）：20%–50%资产被加密，关键业务停机1–4h，预估损失200–1000万元。

C级（较大级）：5%–20%资产被加密，非关键业务受影响，停机＜1h，预估损失50–200万元。

D级（一般级）：＜5%终端被加密，无服务器受影响，预估损失＜50万元。

二、职责分工（到人到岗）

1.应急指挥组

总指挥：信息中心主任王××（手机138××××0001，24h值班），负责对外发布、资源调配、向上级集团汇报。

副总指挥：CIO李××（139××××0002），负责技术路线决策、赎金支付否决权。

成员：财务总监、法务部长、公关部长、生产副总。

2.技术处置组

组长：信息安全部经理张××（137××××0003），负责封网、取证、解密、恢复。

主机小组：AIX/Windows/Linux系统工程师各2名，共6人，名单及分机号见附表1。

网络小组：网络运维3人，负责交换机ACL、防火墙策略、IPS隔离。

备份小组：存储管理员2人，验证离线副本完整性。

3.业务恢复组

组长：生产计划部经理赵××（136××××0004），按优先级恢复MES、ERP、WMS。

成员：各业务系统关键用户12人，负责补录数据、校验工艺参数。

4.法务与合规组

组长：法务部长陈××（135××××0005），判断数据泄露是否触发《个人信息保护法》第57条报告义务。

成员：外部律所1人、保险公司联络人1人。

5.通讯与后勤组

组长：行政部经理周××（134××××0006），负责应急餐、住宿、交通、备用电话卡。

成员：行政、司机、保安共8人。

三、分阶段处置流程

阶段0：事前加固（T常态化）

资源清单：

a.备份系统：Commvault2023，每日22:00全量，321策略，离线磁带库IBMTS4500位于30km外银行级机房。

b.日志中心：SplunkEnterprise9.0，保存180天，索引容量20TB。

c.微隔离：IllumioASP3.2，基于标签的eastwest白名单。

d.特权账号：CyberArk12.6，RDP录像留存90天。

e.演练沙箱：VMwarevSphere7.0集群40台虚机，隔离VLAN501。

责任人：张××；操作步骤：每月第1个工作日验证磁带可读；每季度轮换加密密钥；每半年更新一次“黄金镜像”。

阶段1：发现与报告（T00–15min）

触发条件：EDR告警“文件扩展名被批量改写为.lockbit3”、服务台接到“文件打不开”工单≥3起。

操作步骤：

1.任何员工发现异常，立即拨4000001100按“1”键，自动创建INCRSYYYY工单。

2.值班安全分析师5min内登录Splunk，检索事件时间窗口内“.lockbit3”日志，若≥10条，立即电话通知张××。

3.张××10min内判定为疑似勒索，启动“蓝色代码”，在微信群“RS应急指挥”发送固定格式消息：“时间+主机名+扩展名+已隔离数量”。

阶段2：快速遏制（T015–60min）

资源清单：

a.网络：H3C12500核心交换机2台，预配置ACL编号1999，denyipanyany。

b.终端：EDR控制台，一键“网络隔离”脚本。

c.账号：AD紧急冻结脚本freeze.exe（CyberArk提供）。

责任人：网络小组王×、主机小组刘×。

操作步骤：

1.15:15在核心交换机下发ACL1999，将