信息技术人员网络攻击应对不当应急演练脚本.docxVIP

信息技术人员网络攻击应对不当应急演练脚本

场景设置

某中型制造业企业A公司，拥有500余名员工，内部部署了ERP系统、MES生产管理系统、OA办公系统，核心业务数据存储于机房主服务器集群，同时通过企业邮箱与上下游供应商、客户保持日常业务往来。公司信息技术部共8人，其中部门经理1名，系统管理员2名（负责服务器、核心系统运维），网络管理员2名（负责防火墙、交换机等网络设备运维），桌面支持2名（负责员工电脑故障排查），安全专员1名（兼职，仅接受过基础网络安全培训）。

演练背景设定为：周一上午9:15，公司市场部员工张某打开收到的一封标注“2024年Q3供应商报价调整”的邮件，邮件附件为一个名为“报价明细.xls.exe”的文件，张某未仔细核对发件人信息，误判为合作供应商发来的文件，双击打开后，电脑屏幕瞬间黑屏，随后弹出“文件已损坏，请联系管理员修复”的提示框，张某以为是普通文件损坏，未及时上报。5分钟后，张某电脑重新启动，桌面出现一个名为“重要通知.txt”的文件，打开后发现是一段加密提示：“所有文件已被加密，如需解密请联系邮箱xxxx@，支付5个比特币，48小时内未付款将永久删除密钥”。此时，张某才意识到电脑被病毒攻击，急忙联系桌面支持人员。

第一阶段：事件初现与应对失当

9:22，桌面支持人员李某接到张某的求助电话，张某在电话中仅描述“电脑文件打不开，弹出了奇怪的提示”，李某未详细询问事件细节（如是否点击陌生邮件附件、电脑是否出现异常弹窗、是否有文件被加密等），仅凭经验判断是普通系统故障，告知张某“先重启电脑，不行就用公司统一部署的杀毒软件全盘扫描”，随后便忙于处理其他员工的打印机故障报修，未对该事件进行记录或上报。

9:30，张某按照李某的建议重启电脑后，发现所有办公文档、图片、压缩包均已被加密，文件名后缀变为“.xxx”，且电脑右下角弹出持续闪烁的加密提示弹窗。张某再次联系李某，语气急促地说“重启后文件全被加密了，电脑被病毒攻击了！”李某此时才意识到问题的严重性，但未第一时间将事件升级至网络管理员或安全专员，而是自行携带U盘赶到张某的工位，尝试将加密文件复制到U盘中，准备带回自己的电脑进行“破解”。

9:35，李某将加密文件复制到自己的工作U盘后，回到自己的工位，将U盘插入自己的电脑，准备打开文件查看加密格式。由于李某的电脑未启用U盘自动查杀功能，且杀毒软件病毒库已15天未更新，插入U盘瞬间，病毒便通过U盘传播至李某的电脑。1分钟后，李某的电脑桌面文件开始逐一被加密，文件名后缀同样变为“.xxx”，李某慌乱之下，直接拔掉U盘，却未意识到病毒已通过公司内部局域网，从张某和李某的电脑开始向其他员工终端扩散。

9:40，公司研发部员工王某发现自己电脑中的设计图纸文件全部被加密，随即联系桌面支持人员。此时，桌面支持的另一名员工赵某接到王某的电话，王某详细描述了文件被加密、出现勒索提示的情况，赵某意识到可能是大规模病毒攻击，立即联系李某询问是否有类似事件上报，李某才承认“刚才市场部的张某也遇到了同样的情况，我正在处理”，但未提及自己将加密文件复制到U盘并导致自身电脑被感染的情况。赵某此时仍未将事件上报至部门管理层，而是决定先自行排查，他登录公司内部OA系统，在部门工作群中发了一条消息：“请大家注意，近期可能有病毒传播，不要点击陌生邮件附件，发现文件异常及时联系桌面支持”，未采取任何技术手段遏制病毒扩散。

9:45，信息技术部经理刘某路过办公区，听到几名员工在讨论“电脑文件被加密”，上前询问后才得知事件的存在。刘某立即召集所有信息技术部成员到会议室开会，在会上询问事件经过时，李某才坦白自己复制加密文件导致自身电脑被感染的情况，刘某未冷静分析事件影响，反而当众指责李某“做事不经过大脑，这么重要的事情为什么不及时上报”，导致李某情绪紧张，无法清晰描述事件细节。此时，网络管理员陈某提出“立即断开公司核心服务器与局域网的连接，防止病毒扩散至核心业务系统”，但刘某认为“断开服务器连接会导致ERP、MES系统无法使用，影响生产进度，先观察一段时间再说”，否决了陈某的提议。

第二阶段：病毒扩散与应对混乱

9:50，病毒通过内部局域网开始向核心服务器集群渗透。由于公司核心服务器未启用严格的访问控制策略，普通员工电脑与核心服务器之间的防火墙规则设置为“允许所有内部IP访问”，且服务器未安装终端检测与响应（EDR）系统，仅部署了基础杀毒软件，病毒轻易突破了服务器的防御。9:55，系统管理员王某发现ERP系统数据库服务器的CPU使用率突然飙升至100%，大量进程异常启动，随即查看服务器日志，发现从市场部和桌面支持部的多个IP地址发起了大量异常访问请求，且服务器中的部分业务数据文件已开始被加密。王某急忙向刘某汇报：“核心服务器被攻击了，ERP数据库正在被