演练时间：2022年5月13日星期五14:00

一、 演练目标

演练网站被篡改的遏制及恢复方法

二、 演练步骤

1. 准备阶段：

学习防火墙、虚拟化、恶意代码检测、系统日志查看方法等内容，为应急响应做准备。

2. 检测阶段：

1) 信息员监控网站，发现网站被篡改，立刻上报现教中心主任。

2) 根据被篡改内容，判断事态严重程度，决定是否向上级部门报告或报警。

3. 遏制阶段：

1) 操作员立刻使用电脑、手机等工具在防火墙中断开网站服务器的网络连接。

2) 操作员立刻使用电脑、手机等工具在虚拟化中断开网站服务器的网卡连接。

3) 操作员立刻进入机房，切断服务器外连网线。

4) 发布对内对外公告通知。

4. 根除阶段

1) 保护证据，将服务器先进行一次克隆。

2) 使用杀毒软件，将服务器彻底杀毒。

3) 查看服务器日志，寻找可能的漏洞并进行封堵，信息是否被泄漏。

4) 使用备份服务器中安全的数据，替换被攻击的数据。

5. 恢复阶段

1) 使用备份系统恢复网站访问。

2) 在防火墙中打开网络连接。

3) 在虚拟化中打开网卡连接。

4) 恢复机房内部网线连接。

5) 使用漏洞扫描检查风险。

6) 查看网站展示界面是否正常。

7) 使用正式系统接管网站访问。

6. 跟踪总结阶段

做好此次事件的总结，并持续监控网站。

三、 预期效果

此次演练预期做到发现安全事件后三分钟内关闭被篡改网站，并及时对信息泄漏事件进行控制，及时恢复被篡改网站，保证网站丢失信息少于6小时。