公共互联网网络安全突发事件应急预案(通用5篇).pdfVIP

公共互联网网络安全突发事件应急预

案（通用5篇）

【第一篇】

适用主体：XX市XX区XX街道办事处所辖社区

应对事件：公共互联网网络安全突发事件（勒索软

件大规模感染）

一、风险评估

1.诱因

a.社区便民终端（社保、医保、养老认证一体机）

未及时打补丁，存在永恒之蓝漏洞；

b.社工、网格员私用U盘交叉拷贝数据；

c.居民小区公共WiFi与政务网逻辑隔离失效；

d.第三方维护公司远程桌面端口映射至公网且使

用弱口令。

2.发生等级

Ⅳ级（一般）：单台终端文件被加密，无横向移动，

2小时内解决；

Ⅲ级（较大）：3—10台终端感染，政务外网流量

异常＜50%，4小时内解决；

Ⅱ级（重大）：10—50台终端、社区服务中心业务

停摆，外网流量异常≥50%，12小时内解决；

Ⅰ级（特别重大）：50台以上、关键数据库被加密、

影响跨社区数据同步，24小时内无法恢复。

二、职责分工（到人到岗）

1.指挥长：街道党工委副书记（A角），夜间由值

班副主任（B角）自动顶替；

2.技术组长：街道智慧治理中心主任，负责现场

溯源、样本提取、补丁推送；

3.联络员：街道党政办秘书，负责与区网信办、

公安网安、运营商、社区医院对接；

4.断网执行人：各社区网格员，每人对应一栋楼

宇弱电间，收到指令3分钟内拔网线；

5.数据恢复员：街道外包运维公司两人，持加密

狗、只读硬盘底座，负责干净镜像还原；

6.舆情引导员：街道宣传专干，30分钟内完成

“居民告知书”模板推送至业主群；

7.后勤保障员：街道财政所出纳，携带备用对讲

机、充电宝、移动照明灯，现场待命。

三、分阶段处置流程

（一）发现与初判（0—15分钟）

1.居民或窗口人员发现终端屏幕弹出勒索界面→

立即拍照→发社区“安全哨兵”微信群；

2.技术组长远程快速自查：

a.登录社区安全感知平台，查看是否存在大量

445端口外联；

b.若确认≥3台同源外联，判定≥Ⅲ级；

3.指挥长下达“社区网安突发事件启动”指令，

联络员同步电话上报区网信办。

（二）遏制与隔离（15—45分钟）

资源清单：

千兆可网管交换机8台（已提前编号，存放各社

区居委会）；

断网钳20把、一次性标签200张、强光手电10

支；

纸质“断网确认单”一式两联。

操作步骤：

1.断网执行人携带工具包跑步至对应弱电间，按

“先外网、后内网”顺序拔线，标签注明时间；

2.技术组长在核心交换机上创建黑洞路由，将已

知C2地址段0.0.0.0/32引流；

3.数据恢复员在备用机房搭设临时还原区，使用

ESXi主机+快照NAS，确保与被感染网络物理隔离；

4.舆情引导员在业主群发布“网络临时中断，窗

口业务转线下”语音+文字，防止恐慌。

（三）溯源与清除（45分钟—4小时）

1.技术组长提取内存镜像（WinPmem），使用

Volatility查找异常进程；

2.将样本上传至区网安大队沙箱，等待动态行为

报告；

3.对感染终端使用PE盘启动，全盘镜像后格式化，

再推送离线补丁包（已存于加密U盘）；

4.清除完成后，由指挥长、技术组长、社区书记

三方在“清除确认单”签字，方可申请入网。

（四）恢复与加固（4—12小时）

1.窗口业务优先恢复：养老认证→医保查询→社

保缴费；

2.使用AC+AP白名单模式，居民终端需MAC绑定

+Portal短信认证；

3.所有Windows终端强制开启BitLocker，密码由

街道统一托管在KeePassXC；

4.部署EDR探针，策略：U盘只读、勒索行为自动

KillChain；

5.恢复后72小时内，技术组长每8小时