一、常見(jiàn)網(wǎng)絡(luò)安全應(yīng)急處理場(chǎng)景 
 

1、惡意程序事件 

惡意程序事件通常會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)響應(yīng)緩慢、網(wǎng)絡(luò)流量異常，主要包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、特洛伊木馬、僵尸網(wǎng)絡(luò)。對(duì)惡意程序破壞性蔓延的，由應(yīng)急響應(yīng)組織進(jìn)行處置，可以協(xié)調(diào)外部組織進(jìn)行技術(shù)協(xié)助，分析有害程序，保護(hù)現(xiàn)場(chǎng)，必要時(shí)切斷相關(guān)網(wǎng)絡(luò)連接。 
 

2、網(wǎng)絡(luò)攻擊事件 

• 安全掃描器攻擊：黑客利用掃描器對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞探測(cè)。 

• 暴力破解攻擊：對(duì)目標(biāo)系統(tǒng)賬號(hào)密碼進(jìn)行暴力破解，獲取后臺(tái)管理員權(quán)限。 

• 系統(tǒng)漏洞攻擊：利用操作系統(tǒng)／應(yīng)用系統(tǒng)中存在的漏洞進(jìn)行攻擊。
 

3、網(wǎng)站及Web應(yīng)用安全事件 

• 網(wǎng)頁(yè)篡改：網(wǎng)站頁(yè)面內(nèi)容非授權(quán)篡改或錯(cuò)誤操作。 

• 網(wǎng)頁(yè)掛馬：利用網(wǎng)站漏洞，制作網(wǎng)頁(yè)木馬。 

• 非法頁(yè)面：存在賭博、色情、釣魚(yú)等不良網(wǎng)頁(yè)。 

• Web漏洞攻擊：通過(guò)SQL注入漏洞、上傳漏洞、XSS漏洞、越權(quán)訪問(wèn)漏洞等各種Web 漏洞進(jìn)行攻擊。 

• 網(wǎng)站域名服務(wù)劫持：網(wǎng)站域名服務(wù)信息遭受破壞，使得網(wǎng)站域名服務(wù)解析指向惡意的網(wǎng)站。 
 

4、拒絕服務(wù)事件 

• DDoS:攻擊者利用TCP/IP協(xié)議漏洞及服務(wù)器網(wǎng)絡(luò)帶寬資源的有限性，發(fā)起分布式拒絕服務(wù)攻擊。 

• DoS:服務(wù)器存在安全漏洞，導(dǎo)致網(wǎng)站和服務(wù)器無(wú)法訪問(wèn)，業(yè)務(wù)中斷，用戶無(wú)法訪問(wèn)。
 

二、網(wǎng)絡(luò)安全應(yīng)急處理流程 

應(yīng)急事件處理一般包括安全事件報(bào)警、安全事件確認(rèn)、啟動(dòng)應(yīng)急預(yù)案、安全事件處理、撰寫(xiě)安全事件報(bào)告、應(yīng)急工作總結(jié)等步驟。 
 

第一步，安全事件報(bào)警。發(fā)生緊急情況時(shí)，由值班工作人員及時(shí)報(bào)告。報(bào)警人員要準(zhǔn)確描述安全事件，并做書(shū)面記錄。根據(jù)安全事件的類型，各安全事件按呈報(bào)條例依次報(bào)告1-值班人 員、2-應(yīng)急工作組長(zhǎng)、3-應(yīng)急領(lǐng)導(dǎo)小組。 
 

第二步，安全事件確認(rèn)。應(yīng)急工作組長(zhǎng)和應(yīng)急領(lǐng)導(dǎo)小組接到安全報(bào)警之后，首先應(yīng)當(dāng)判斷安全事件的類型，然后確定是否啟動(dòng)應(yīng)急預(yù)案。 
 

第三步，啟動(dòng)應(yīng)急預(yù)案。應(yīng)急預(yù)案是充分考慮各種安全事件后，制定的應(yīng)急處理措施， 以便在緊急情況下，及時(shí)有效地應(yīng)付各類安全事件。必須避免在緊急情況下，找不到應(yīng)急預(yù)案，或無(wú)法啟動(dòng)應(yīng)急預(yù)案的情況。 
 

第四步，安全事件處理。安全事件處理是一件復(fù)雜的工作，要求至少兩人參加，所處理的工作主要包括如下內(nèi)容： 

• 準(zhǔn)備工作：通知相關(guān)人員，交換必要的信息。 

• 檢測(cè)工作：對(duì)現(xiàn)場(chǎng)做快照，保護(hù)一切可能作為證據(jù)的記錄（包括系統(tǒng)事件、事故處理者所采取的行動(dòng)、與外界溝通的情況等）。

• 抑制工作：采取圍堵措施，盡量限制攻擊涉及的范圍。 

• 根除工作：解決問(wèn)題，根除隱患，分析導(dǎo)致事故發(fā)生的系統(tǒng)脆弱點(diǎn)，并采取補(bǔ)救措施。需要注意的是，在清理現(xiàn)場(chǎng)時(shí)，一定要采集保存所有必要的原始信息，對(duì)事故進(jìn)行存檔。

• 恢復(fù)工作：恢復(fù)系統(tǒng)，使系統(tǒng)正常運(yùn)行。 

• 總結(jié)工作：提交事故處理報(bào)告。 
 

第五步，撰寫(xiě)安全事件報(bào)告。根據(jù)事件處理工作記錄和所搜集到的原始數(shù)據(jù)，結(jié)合專家的安全知識(shí)，完成安全事件報(bào)告的撰寫(xiě)。安全事件報(bào)告包括如下內(nèi)容： 

• 安全事件發(fā)生的日期； 

• 參加人員； 

• 事件發(fā)現(xiàn)的途徑； 

• 事件類型； 

• 事件涉及的范圍； 

• 現(xiàn)場(chǎng)記錄； 

• 事件導(dǎo)致的損失和影響； 

• 事件處理的過(guò)程； 

• 從本次事故中應(yīng)該吸取的經(jīng)驗(yàn)與教訓(xùn)。 
 

第六步，應(yīng)急工作總結(jié)。召開(kāi)應(yīng)急工作總結(jié)會(huì)議，回顧應(yīng)急工作過(guò)程中所遇到的問(wèn)題，分析問(wèn)題引起的原因，并找出相應(yīng)的解決方法。
 

三、網(wǎng)絡(luò)安全事件應(yīng)急演練 

網(wǎng)絡(luò)安全事件應(yīng)急演練是對(duì)假定的網(wǎng)絡(luò)安全事件出現(xiàn)情況進(jìn)行模擬響應(yīng)，以確認(rèn)應(yīng)急響應(yīng)工作機(jī)制及網(wǎng)絡(luò)安全事件預(yù)案的有效性。 網(wǎng)絡(luò)安全事件應(yīng)急演練的類型按組織形式劃分，可分為桌面應(yīng)急演練和實(shí)戰(zhàn)應(yīng)急演練；按內(nèi)容劃分，可分為單項(xiàng)應(yīng)急演練和綜合應(yīng)急演練；按目的與作用劃分，可分為檢驗(yàn)性應(yīng)急演練、示范性應(yīng)急演練和研究性應(yīng)急演練。具體情況參見(jiàn)下圖。
 

網(wǎng)絡(luò)安全事件應(yīng)急演練的一般流程是制定應(yīng)急演練工作計(jì)劃，編寫(xiě)應(yīng)急演練具體方案，組織實(shí)施應(yīng)急演練方案，最后評(píng)估和總結(jié)應(yīng)急演練工作，優(yōu)化改進(jìn)應(yīng)急響應(yīng)機(jī)制及應(yīng)急預(yù)案。

來(lái)源：技進(jìn)之路