0.前言

由于都是发自己的文章，所以也不会有那么多的内容发布，一周可能也就更新个两篇，如果工作忙，可能一周就一篇，但是文章都会很细致，暂时只更新学习笔记，至于挖洞思路，小菜鸟还不配。又偷偷更新了一篇。

0.1.免责声明

传播、利用本公众号剁椒鱼头没剁椒所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号剁椒鱼头没剁椒及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

0.2.其它

部分文章由于之前授权给其它公众号发布，所以有些并未加入相关的系列中，还请到历史文章中查看，尤其是提取方面的文章。

由于不少朋友和我说使用CSDN看文章不方便，有时候设置粉丝阅读后还需要登陆账户，所以这里我准备了一个公众号，会陆续将文章同步过来，期间可能也会发一些其它内容。

文章内容太多不适合使用手机观看，手机只适合用来点赞😀

内容同步于CSDN：剁椒鱼头没剁椒

1. 前言

关注后台回复"网络安全应急演练方案"可得完整的一个方案。

作为安服难免会被客户叫去搞攻防演练或者应急演练，不管是攻防演练还是应急演练都是检验和测试企业在面临突发网络安全事件时的应对能力和数据安全保障措施。通过演练，可以发现和解决潜在的安全隐患，提高系统的安全性和可靠性。同时在应急演练中，可以锻炼参与人员的反应能力与应急能力，提高响应速度和效率，以便在真实事件发生时能够更快地采取应对措施。并且可以帮助参与人员了解和掌握数据安全的重要性，提高安全防范意识和风险意识。

不过对于攻防演练和应急演练，这两个还是存在侧重点不同的。

1.1. 应急演练与攻防演练区别

网络安全应急演练和网络安全攻防演练的主要区别在于他们的根本目标和侧重点。

网络安全应急演练的主要目标是提高政府机关、企事业单位的应急响应能力，通过模拟异常情况来发现并改进应急预案的不足之处。它主要关注的是检验应急预案的科学性、实用性和可操作性，以及应急人员队伍的能力差距、网络安全事件的应对水平和内部协同配合能力。

网络安全攻防演练的主要目标是检验安全建设和安全防御体系是否存在遗漏或薄弱点，以指导后续的安全防御体系建设，提升整体安全防御能力。它侧重于攻击和防守方之间的技能竞技，攻方旨在最终拿下目标，而守方则尽可能地发现和抵御攻击。

总的来说，网络安全应急演练和网络安全攻防演练在根本目标和侧重点上有所不同，这使得它们在网络安全领域扮演了不同的重要角色。

1.2. 其它介绍

当接收到业主的需求后就需要根据不同的要求来制定不同的方案，以下仅作参考，由于每家公司或每家企业做事的风格和要求不同所制作出来的方案也都不相同，本次主要是介绍应急演练方面的方案、脚本、场景以及其它的一些流程。

均为自己的见解，倘若有什么更好或者出错的地方，请各位能够指出，共同学习，共同进步，还是那句话，一切皆是我自学，本次的应急演练在昨天也就是23年7月12日下午交付业主，不过由于时间问题，在原定计划中，我们是能够演练完以及能够顺利结束的，但是整个下午不单单是演练还有安全培训以及培训后的考试，但是时间仅仅只有2个小时，所以在最后的时候，很多流程都草草了之了，对于本次的演练时间也是业主来安排的，从规划上及初期的业主反馈是很好的，但是在实际过程中，由于时间问题，没能做好第二方案，导致我们在演练过程中很多的步骤都跳过了，所以整体个人感觉不尽人意，不过也没办法，业主把时间一压再压，与给定的时间一缩再缩我们也没办法，最主要是再过程中临时压缩，无法调整，只好这样了，但业主没说什么，我们也就没什么话可说了。

下面内容均是原版方案，已脱敏，但是也被修改了不少觉得不完美的内容。

2. 应急演练方案参考

关于应急演练的方案制作，其实总结其它就是一句话，将你所有的流程在未实施前，展现给业主，同时根据不同的需求进行更改，例如本次业主想要制定和数据泄露方面有关的应急演练，我们提供的方案为：利用sql注入获取数据、利用OA漏洞获取数据两种，后续我们采用的是OA漏洞获取数据。

主要下面都是围绕数据安全写的应急演练方案，当然也可以修改为其它的，比如应急演练有：数据泄露、网站挂马、网站被黑、钓鱼排查等等。

那么根据这方面就需要作相应的方案了，以下的方案较为简单，当然很多公司都是有专门的模板，这里仅作参考。

2.1. 演练背景

演练背景主要是介绍一下，为什么要做应急演练，演练能解决哪些问题，当然这些都是汇总，不要细说。

内容参考：

为做好某公司2023年数据安全应急演练工作，以形成科学、有效、反应迅速的应急工作机制，以便检验和测试企业在面临突发网络安全事件时的应对能力和数据安全保障措施。通过演练，可以发现和解决潜在的安全隐患，提高系统的安全性和可靠性。同时在应急演练中，可以锻炼参与人员的反应能力与应急能力，提高响应速度和效率，以便在真实事件发生时能够更快地采取应对措施。并且可以帮助参与人员了解和掌握数据安全的重要性，提高安全防范意识和风险意识。通过演练，可以加强参与人员对数据安全的认知和理解，使他们更加关注和重视数据安全问题。

2.2. 演练目的

演练目的主要是较为详细的介绍以下能解决哪些问题。例如：检验预案、完善准备、锻炼队伍、增强安全意识等等，下面的内容参考都是演练目的的二级标题。

不过有些业主比较喜欢实在的内容，不喜欢吹嘘的，那么也没办法，那就不要写这一套吹嘘了，根据他们实际的情况来写，尽量在每一条中将业主公司的名称都加进去。

内容参考：

1. 确保数据安全
  应急演练旨在模拟真实的数据安全事件，以便检验和测试企业在面临突发网络安全事件时的应对能力和数据安全保障措施。通过演练，可以发现和解决潜在的安全隐患，提高系统的安全性和可靠性。
2. 提高响应速度
  在应急演练中，参与人员需要快速响应和应对网络安全事件。通过演练，可以锻炼参与人员的反应能力和协作能力，提高响应速度和效率，以便在真实事件发生时能够更快地采取应对措施。
3. 增强安全意识
  应急演练可以帮助参与人员了解和掌握数据安全的重要性，提高安全防范意识和风险意识。通过演练，可以加强参与人员对数据安全的认知和理解，使他们更加关注和重视数据安全问题。
4. 促进团队协作
  应急演练需要团队协作来完成。通过演练，可以加强团队成员之间的沟通和协作能力，培养团队合作意识，以便在真实事件发生时能够更好地协同应对。
5. 验证应急预案
  应急演练的一个重要目的是验证应急预案的有效性和可行性。通过演练，可以检查应急预案的完整性、可操作性和适应性，确保在真实事件发生时能够及时、准确地执行相应的应急措施。

2.3. 演练范围及类型

关于这方面就很简单了，按照需求写呗！

演练对象及范围：主要就是使用什么系统来进行演练，当然对于应急演练，更多的情况下都是使用搭建的模拟环境来进行演练。

演练事件类型：这方面可以分为桌面推演与实战演练，桌面推演主要就是事先准备好一切模拟的环境，根据流程来走所有的过程。而实战演练，是利用现有的信息系统真实的生产环境来模拟突发事件来进行演练，同时实战还分为指定科目演练和预先不告知科目演练，不过正常情况下都是模拟演练，实战演练在真实的环境中，搞不好会出现问题，除了说那种挂黑链，或者后门木马删除就能解决的，如果涉及让业务中断的演练，我相信一般情况下业主不会选择这类进行演练的，除非是一些不重要的系统，桌面推演更可控。

演练事件等级：关于这个需要根据业主内部的应急响应预案及事件分类来定义，不要你觉得，要业主觉得。

演练事件持续时间：这个就根据时间情况推算吧。

演练内容：关于这方面就是需要进行详细的介绍了。

内容参考：

1. 演练对象范围：XXXX公司OA系统
2. 演练事件类型：模拟演练
3. 演练事件等级：三级安全事件
4. 演练事件持续时间：20分钟左右
5. 演练内容：看下面

2.3.1. 演练内容

演练内容可以是几个单位综合起来一起演练，也有是那种部分单位，或者只有一个单位进行演练的，我们这里只有一个，同时我们没按照那种固定的模板，比如说，应急指挥小组、应急执行小组、演练策划小组、演练观摩小组，最主要业主也没那么多人来参考，所以我们就简化了很多，我们只制定了攻击者、运维人员、应急处置组成员、应急处置组组长及解说。

以下均为参考，通常是划分为：探测攻击阶段、排查分析阶段、应急响应阶段、抑制根除阶段、恢复跟踪阶段，当然我觉得这些更能体现出方案的完整性，不过我们就简单一点随意一点，所以才有了下面的内容，不过每个公司有不同的方案哦。

内容参考：

（一）OA系统存在RCE漏洞—数据泄露
1）信息收集
  攻击者对XXX公司OA系统进行端口扫描、目录扫描、漏洞探测等资产收集动作后，发现存在文件上传漏洞，并利用该漏洞获取到OA系统shell权限，并获取到OA配置文件，成功获取到数据库账户密码，利用工具成功连接到目标主机并登陆数据库，获取数据库中的所有数据。
2）监测告警
  运维人员在日常巡检过程中，发现数据库日志存在异常IP连接，通过对异常IP进行分析，确认为安全事件，并立即通知应急处置组人员。
3）应急响应
  应急处置组成员接到运维人员电话告警信息，根据XXX公司安全事件等级划分判定为三级事件，并立即对OA系统进行断网处置，并将发生的安全事件上报网络安全应急处置组组长，应急处置组组长宣布启动应急响应，并执行应急预案。
4）事件溯源
  应急处置组成员对该事件进行分析，是由于使用的OA系统存在漏洞，同时未及时更新，导致该漏洞暴露在公网中，被攻击者恶意利用该漏洞获取系统权限，从而导致数据泄露。
5）系统防护
  应急处置组成员对OA系统进行升级，修改数据库密码，同时将攻击者IP加入黑名单，关闭不必要的端口。
6）持续观察
  应急处置组成员在对OA系统进行加固后，对漏洞进行了验证，验证修复及加固的效果，并持续对该系统进行观察。

2.4. 演练的时间及地点

看标题也知道了，这些都是业主指定的，届时你添加进去即可。

内容参考：

演练时间：2023年7月12日
演练地点：XXXXXXXX会议室

2.5. 演练队伍

关于演练队伍就需要看你的人员安排了，倘若是那种大型的演练，那么小组划分就比较多了，这里介绍一下，大型的演练可划分为哪些小组以及相应的职责，根据不同的规模可进行增加或减少。

领导小组：一般是由于业主他们指定的领导小组来组成，总指挥简单来说就是来进行控场，一般是最高领导来担任，副总来协助。

策划小组：一般是由演练组织单位成员来组成，做好整体的统筹、实施、总结，同时兼顾与参演单位之间的沟通协调，组织编制演练宣传，指定方案等。

保障小组：主要是做好各项技术的实施，并且与参演单位进行技术实施对接，维持现场秩序，以及后勤保障工作。

评估小组：一般是由应急管理的专家，或者具有应急处置经验的成员组成，负责对整个事件的组织，实施及其它的安全事项进行评估打分，并提出相关意见或建议。

督导小组：一般是由组织单位牵头由相关领导及技术专家组成，在实施阶段进行现场的监察指挥。

观摩小组：主要就是来观摩演练过程的参演单位领导及各类人员。

如果上述小组都存在，那么这个演练也是大规模的，通常小规模的演练，或者就一个企业内的演练，通常不会安排那么多人的，正常也就存在领导小组、策划小组、保障小组、观摩小组，而这些名字也不是固定的，只是说这是一个模板。

例如我们这次，只有攻击小组、应急响应小组、运维小组、观摩小组，主要我们也是小型的应急演练，同时没有设定应急响应领导小组，由应急响应小组组员向应急响应小组组长汇报。

同时策划小组，我们也没单列，所以整体来说较为简单，所以倘若你们写方案的话，尽量写的更为严谨一些，划分的详细一下，我是个小菜鸟呀，完全是自学呀。

内容参考：

1. 应急响应小组
  组长： 
  组员：
  职责：负责应急指挥、组织协调、过程控制、应急处置、各阶段指令、解除应急响应、报告应急处置情况、后续监控、
2. 攻击小组
  组长： 
  组员： 
  职责：负责对模拟环境发起攻击。
3. 运维小组
  组长：
  组员： 
  职责：负责初期阶段的监测、告警。
4. 观摩小组
  组员： 
  职责：负责观看演练过程。

2.6. 演练前期规划

这里可能就写的更简单了，主要涉及演练前的培训、准备相关资源、科目启动阶段。下面的内容参考是大白话，不是原稿。

内容参考：

1.演练前培训：
  主要就是培训相关人员的处置流程方法、对于演练过程中所涉及到的相关设备的操作、工具等，但通常都是组织单位来进行应急操作，很少是由业主来操作的，就是是业主来操作也很少是不懂技术的来操作，基本上都是懂技术来操作。
2.准备相关资源：
  这里就是提前将涉及到的相关资源准备好，比如：演练的系统环境、漏洞环境、数据库环境的部署与调试。攻击过程中的EXP或POC等工具的验证，对外展示的信息内容准备，相关记录表，相关联系方式的联系等一些需要的内容。
3.演练的步骤：
  主要就是准备好，每一步是那个人或者哪个小组来做，做什么、得到什么、下一步等。

当然前期的规划中可能还需要制定很多的方案，比如：评估方案、演练手册、脚本方案、宣传方案等，当然不是固定的，根据演练的内容的复杂度、规模来制定，通常只有涉及到大型的政企才会导致设计的方案等都会成倍的增加难度，以及考虑的影响范围，例如我这次就是个很小的应急演练，实际整个观看的人只有40多人，参演的人员只有5个人，很多职位只是一个人，所以整体的内容的设计都没有那么复杂，主要是太复杂，没那么多人安排。

2.7. 重要环节设置

如果触发场景、如何启动预案、如何处置、总结等，都需要进行介绍与设计。下面的内容参考是大白话，不是原稿，需要各位根据实际的情况进行扩展以及翻译，我这边只是汇总，具体就是简述一下整个流程。

内容参考：

1. 触发场景：
  首先是按照设定的演练科目，及环境进行投放或搭建。
  攻击小组按要求攻击相应的目标，并展现攻击过程与结果。
  运维人员监测发现异常，疑似发生数据安全事件的发生。
2. 启动预案：
  应急响应小组成员对事件进行分析，及威胁程度，并评估事件级别通知应急响应小组组长。
  应急响应小组组长同样并下达启动预案。
  应急响应小组成员控制事态，发布公告。
3. 处置阶段：
  应急响应小组成员对事件进行详细分析，告知应急响应小组组长具体事件的原因、过程及威胁范围。
  应急响应小组成员对事件进行抑制、根除、修复、验证。
  应急响应小组成员向应急响应小组组长汇报处置情况。
  攻击人员验证和漏洞修复及加固情况。
  应急响应小组成员向应急响应小组组长汇报事件原因情况，并请求恢复上线。
  应急响应小组组长同样恢复，下达命令。
  应急响应小组成员持续观察。
4. 总结阶段：
    应急响应小组成员报告系统恢复后，应急响应小组组长宣布演练结束，并做好总结工作。
    分析整个应急响应过程中的不足，总结经验，下一步改进措施，注意这里通常是由业主来总结了，不过一般都是组织单位提前写好稿子，给业主!!

2.8. 演练具体步骤

这里我可以使用时间轴来制定具体步骤，也可以使用阶段来制定具体步骤。这里我使用的时间轴，但是我看到过好的方案，给各位看一下，如果涉及到侵权，还请联系我及时删除。

我这里由于人少，是把应急响应小组划分成组员与组长了，所以各位再看的时候，参考时候，需要修改一下。

由于MD写文档，这表格好像无法合并单元格，我干..........这里就参考模板吧！

2.9. 演练脚本

简单来说演练的脚本就是一个对话的过程，这个时间段应该说什么，如何对话等等，这里也参考模板吧。

2.10. 复盘总结

基本上是组织演练单位来写，写完基本上是业主来说，主要涉及到的内容是演练评估，简单来说就是效果怎么样，有没有达到预期的效果等等。同时对演练过程中暴露出的问题进行改进，积累经验等等。

2.11. 附录

这里可以添加一些届时需要使用到的表格、事件分级等，通常业主公司都会有属于自己的事件分级，到时候添加进去即可。

3. 总结

到这里整个方案就结束了，关于搭建的现场环境，我也不想在写了，这里说一下思路吧，比如我整个是利用OA获取到内部人员的个人信息，那么这里就可以准备一个OA系统，使用文件上传，获取数据，然后将数据导出，运维人员监测到，上报应急处置组，应急处置组排查，确定事实，判断威胁程度和事件分级，启动应急响应，响应完毕后应急处置，应急处置就是如何查到后门，比如看中间件日志，数据库日志，OA日志等，具体的可以看脚本模板。

这里多说一嘴，演练演练如果参演单位全部都是外部人员来做，业主单位只是读稿子，那么这样的演练，只要我们这些外部人员配合好就不会有什么问题，倘若业主自己内部的人也参加，那就需要注意了，要最好做好各种应急预案，避免过程中业主内部的人出现各种问题。

目前基本上的演练都是业主读读稿子，走个流程，真正有用的技术等等都是外部人员来操作，说真的，这种演练也就是骗骗自己罢了，这也是为什么那么多单位一旦被攻击，百分百瘫痪，或者很长时间才能被发现的，倘若有专业的安全人员驻场帮忙做日常的监控，管理等等，那么还好，如果没有基本上网络就是属于一碰就坏的情况，很多甲方觉得我们的网络没问题，我们买了那么多安全设备.......其实.......算了我也不想说安全设备的事。

为什么现在部分网站被人挂黑链、黑页、数据丢失，都要等到被人发出来才能发现，归根到底就是不重视网络安全，天天只把网络安全、信息安全挂在嘴上，但是实事不干，只是天天搞文笔，不向前看，固步自封，这难到不是这些甲方应该认真自考的问题么？说什么在这个环境下，无法创新，无法向钱，都是屁话，最终原因就是躺平......

4. 关于模板

网络安全应急演练方案
链接：https://pan.baidu.com/s/13LplPhAMMHybFoCO3vty8g?pwd=w326
提取码：w326