0.1　應急響應場景一

0.1.1　事件發現

時間：9:00:00。

安全部：工作人員的手機上收到流量監測設備的安全告警信息為“安全檢測平臺在外包人員網段發現GandCrab告警信息，請立即登錄平臺核查。”

外包商：工程師的計算機發現病毒，立即打電話反饋給項目經理，項目經理通知項目管理部，項目管理部立即告知安全部。

安全部：登錄流量監測設備，分析告警日志，確認告警真實。

? 通知終端部：“外包人員接入網發生病毒告警，請立即開展排查。”

? 通知網絡部：“外包人員所在的開發測試網發現病毒，需要協查。”

時間：9:15:00。

安全部：工作人員通過流量監測設備的告警日志發現，現在感染的告警IP（感染病毒的計算機）數量迅速增加到了50多臺。通過受感染的計算機IP發現有3個網段受到感染。

? 通知網絡部：需要網絡部定位感染病毒的區域，并將告警IP清單發送給網絡部。

? 通知終端部：需要終端部加強對辦公網及生產網的終端監控。

網絡部：根據安全部提供的IP清單，確認感染源全部為外包商開發測試網內的終端計算機。

終端部：通過終端防病毒系統，對集團內部的所有終端進行病毒查殺，除開發測試網外，未在辦公網及生產網發現病毒，可確認此次感染范圍僅在開發測試網內。

0.1.2　事件分析

時間：9:25:00。

安全部、終端部、網絡部：召開現場會議，根據各類告警信息，經各部門討論研判，總結內容如下。

（1）病毒感染范圍為外包商所在的開發測試網。

（2）病毒類型為GandCrab勒索病毒，感染原因主要是針對計算機的Windows 7系統未安裝MS17-010補丁，同時終端存在弱口令，導致該勒索病毒通過網絡大量傳播并互相感染。

（3）該病毒已在開發測試網內橫向擴散，使50多臺計算機終端被感染。

（4）辦公網及生產網終端并未受到影響。

綜合各類信息診斷，可確認外包商所在的開發測試網已發生大規模惡意代碼類傳播事件。根據《集團信息系統惡意代碼事件應急預案》需要對開發測試網段進行斷網處理，由于斷網將影響現在所有的開發項目，應由安全部將以上研判分析情況上報給總經理辦公室，申請啟動應急預案。

安全部上報總經理辦公室：“總經理您好，我是安全部，同網絡部和終端部一起確認，外包商所在的開發測試網內的終端已發生大面積的勒索病毒感染，目前已經感染了50多臺計算機終端，且仍在繼續擴散。為了避免其他網絡遭受影響，建議立即啟動應急預案，對開發測試網進行斷網處理。斷網后，所有的外包開發項目將會中斷，預計需要斷網1天，現已經通知外包商進行病毒自查。”

總經理：“同意啟動預案，請立即處置并加強監控。”

0.1.3　應急處置

時間：9:30:00。

網絡部：登錄交換機，確認開發測試網所在的端口，并逐一關閉（執行shutdown命令）。

安全部：發送郵件給項目管理部，包括病毒檢查工具、處置方案和《木馬病毒處置報告》模板。

項目管理部：組織外包商會議，向外包商說明病毒檢查工具的使用和處置方案的流程，處置完成后提交《木馬病毒處置報告》。

外包商：組織人員按照處置方案進行病毒排查，由安全部協助處理。

終端部：安排人員實時監控全集團的終端，確保其他終端不受病毒影響。

安全部：組織技術人員對病毒告警進行分析研判，定位病毒傳播源頭和受影響的具體終端，并編寫《病毒溯源報告》。

0.1.4　事件恢復

時間：18:30:00。

安全部、項目管理部、外包商：組織會議，由外包商反饋病毒處置情況，并提交《木馬病毒處置報告》。

總經理、安全部、網絡部、終端部：組織會議。

? 安全部匯報：“總經理，病毒已經處置完畢（提交《木馬病毒處置報告》和《病毒溯源報告》），確認本次事件由外包商的開發人員引起，隨后在開發測試網內擴散，感染了其他開發人員的計算機。經過網絡部評估，建議逐步開通受感染的3個網段，恢復正常辦公。”

? 總經理：“同意，請安全部、網絡部和終端部持續做好監測工作。”

網絡部：登錄交換機，開通受感染的3個網段所在的端口。

安全部、網絡部、終端部：持續監控半小時，沒有發現新的病毒告警信息。

安全部向總經理匯報：“經過半小時的監控，沒有發現新的病毒告警信息，申請逐一開通所有的開發測試網段。”

總經理：“同意。”

網絡部：登錄交換機，開通所有的開發測試網。

安全部、網絡部、終端部：持續監控半小時，沒有新增病毒告警信息。

安全部向總經理匯報：“根據最近半小時監控，無新增病毒告警信息。”

總經理：宣布應急處置結束。

0.1.5　事后描述

經監測，開發測試網重新接入網絡后，未發現新增病毒告警信息。

本次病毒傳播事件已得到有效遏制，應急處置成功。

此次感染終端僅為外包商所在的開發測試網，感染原因主要為終端未安裝MS17-010補丁，且未安裝防病毒軟件。

安全部向總經理提交了本次的《病毒傳播事件調查報告》。

根據報告的責任認定，依照甲乙雙方簽訂的合同條款，對責任方進行處罰。

0.1.6　風險評估

時間：事件結束幾天后。

組織相關人員對此次應急處置事件進行風險評估，其結果如下。

（1）在現有的安全管理要求基礎上，增加對外包服務人員的終端設備防病毒檢測技術手段的要求，逐漸實現自動阻斷技術的能力。

（2）要求外包商項目經理提升管理能力，加強對項目中流動人員設備的安全管理。

（3）強化與外包商合作協議中的安全管理要求，確保外包商工作人員處置信息安全事件的及時性和有效性。