17.1 概述

1）概念

指为应对网络安全事件，相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。

2）发展

1988年，美国发生了“小莫里斯网络蠕虫”安全事件，导致上千台计算机受到了影响，促使美国政府成立了世界上第一个计算机安全应急组织CERT。

目前，国内已经建立了国家计算机网络应急技术处理协调中心，简称“国家互联网应急中心"，英文简称为CNCERT或CNCERT/CC，该中心成立于2002年9月

CNCERT 积极发挥行业联动合力，发起成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA)

3）相关要求

《中华人民共和国网络安全法》

17.2 应急响应组织建立与工作机制

1）组织建立

一般来说，网络安全应急响应组织主要由应急领导组和应急技术支撑组构成。领导组的主要职责是领导和协调突发事件与自然灾害的应急指挥、协调等工作;技术支撑组的职责主要是解决网络安全事件的技术问题和现场操作处理安全事件。

工作内容主要包括以下方面：

• 网络安全威胁情报分析研究;
• 网络安全事件的监测与分析;
• 网络安全预警信息发布;
• 网络安全应急响应预案编写与修订;
• 网络安全应急响应知识库开发与管理:
• 网络安全应急响应演练;
• 网络安全事件响应和处置;
• 网络安全事件分析和总结:
• 网络安全教育与培训。

2）工作机制

网络安全应急响应组织是对组织机构的网络安全事件进行处理、协调或提供支持的团队，负责协调组织机构的安全紧急事件，为组织机构提供计算机网络安全的监测、预警、响应、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关网络安全的权威性信息，并与国内外计算机网络安全应急响应组织进行合作和交流。

3）组织类型

公益性、内部应急、商业性应急、厂商应急

17.3 网络安全应急响应预案内容与类型

1）事件类型与分级

2017年中央网信办发布《国家网络安全事件应急预案》，其中把网络信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。

根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度，可以将网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件

2）内容

网络安全应急响应预案是指在突发紧急情况下，按事先设想的安全事件类型及意外情形，制定处理安全事件的工作步骤。一般来说，网络安全应急响应预案的基本内容如下:

• 详细列出系统紧急情况的类型及处理措施。
• 事件处理基本工作流程。
• 应急处理所要采取的具体步骤及操作顺序。
• 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。

3）预案类型

按照网络安全应急响应预案覆盖的管理区域，可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。

网络安全应急响应要根据网络信息系统及业务特点，制订更具体化的应急响应预案，一般要求针对特定的网络安全事件给出具体处置操作，如恶意代码应急预案、网络设备故障应急预案、机房电力供应中断应急预案、网站网页篡改应急预案等。下面给出核心业务系统、门户网站、外部电源中断、黑客入侵等应急处置程序参考模板。

17.4 常见网络安全应急事件场景与处理流程

1）常见应急处理场景

2）处理流程

应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰
写安全事件报告、应急工作总结等步骤。

• 第一步，安全事件报警。发生紧急情况时，由值班工作人员及时报告。报警人员要准确描述安全事件，并做书面记录。根据安全事件的类型，各安全事件按呈报条例依次报告1-值班人员、2-应急工作组长、3-应急领导小组。
• 第二步，安全事件确认。应急工作组长和应急领导小组接到安全报警之后，首先应当判断
  安全事件的类型，然后确定是否启动应急预案。
• 第三步，启动应急预案。应急预案是充分考虑各种安全事件后，制定的应急处理措施，以便在紧急情况下，及时有效地应付各类安全事件。必须避免在紧急情况下，找不到应急预案，或无法启动应急预案的情况。
• 第四步，安全事件处理。安全事件处理是一件复杂的工作，要求至少两人参加，所处理的工作主要包括如下内容:
  • 准备工作：通知相关人员，交换必要的信息。
  • 检测工作：对现场做快照，保护一切可能作为证据的记录(包括系统事件、事故处理者所采取的行动、与外界沟通的情况等)
  • 抑制工作：采取围堵措施，尽量限制攻击涉及的范围，
  • 根除工作：解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取补救措施。需要注意的是，在清理现场时，一定要采集保存所有必要的原始信息，对事故进行存档。
  • 恢复工作：恢复系统，使系统正常运行
  • 总结工作：提交事故处理报告
• 第五步，撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。安全事件报告包括如下内容：
  • 安全事件发生的日期:
  • 参加人员;
  • 事件发现的途径:
  • 事件类型;
  • 事件涉及的范围:
  • 现场记录;
  • 事件导致的损失和影响;
  • 事件处理的过程;
  • 从本次事故中应该吸取的经验与教训。
• 第六步，应急工作总结。召开应急工作总结会议，回顾应急工作过程中所遇到的问题，分析问题引起的原因，并找出相应的解决方法。

3）应急演练

：是对假定的网络安全事件出现情况进行模拟响应，以确认应急响应工作机制及网络安全事件预案的有效性。

按组织形式划分，可分为桌面应急演练和实战应急演练;按内容划分，可分为单项应急演练和综合应急演练;按目的与作用划分，可分为检验性应急演练、示范性应急演练和研究性应急演练。

17.5 应急响应技术与常见工具

网络安全应急响应是各种技术的综合应用及网络安全管理活动的协作。本节主要阐述常见的网络安全应急响应技术，包括访问控制、网络安全评估、网络安全监测、系统恢复、入侵取证等。

1）概况

网络安全应急响应是一个复杂的过程，需要综合应用多种技术和安全机制

2）访问控制

访问控制的技术手段主要有网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等。这些访问控制手段可以通过防火墙、代理服务器、路由器、VLAN、用户身份认证授权等来实现。

3）安全评估

恶意代码检测、漏洞扫描、文件完整性检查、系统配置文件检查、网咖混杂模式检查、文件系统检查、日志文件审查

4）网络安全检测

网络流量监测、系统自身监测

5）系统恢复

系统紧急启动、恶意代码清除、系统漏洞修补、文件删除恢复、系统备份容灾

六个灾难恢复等级

• 1级-基本支持
• 2级-备用场地支持
• 3级-电子传输和部分设备支持
• 4级-电子传输及完整设备支持
• 5级-实时数据传输及完整设备支持
• 6级-数据丢失和远程集群支持

6）入侵取证

日志、文件、系统进程、用户、系统状态、网络通信连接记录、磁盘介质

网络安全取证一般包含如下6个步骤:

第一步，取证现场保护。保护受害系统或设备的完整性，防止证据信息丢失。

第二步，识别证据。识别可获取的证据信息类型，应用适当的获取技术与工具。

第三步，传输证据。将获取的信息安全地传送到取证设备。

第四步，保存证据。存储证据，并确保存储的数据与原始数据一致。

第五步，分析证据。将有关证据进行关联分析，构造证据链，重现攻击过程。

第六步，提交证据。向管理者、律师或者法院提交证据。

17.6 参考案例

1）公共互联网网络安全突发事件应急预案

2）阿里云安全应急响应服务

3）IBM 产品安全漏洞应急响应

4）永恒之蓝 攻击的紧急处置

5）页面篡改事件处置规程