信息安全工程师软考（17）：应急响应

应急响应概述

网络安全应急响应是指为应对网络安全实践，进行监测、预警、分析、响应和恢复等工作。

安全应急组织：

世界上第一个计算机安全应急组织CERT
FIRST国际性网络安全应急响应组织
中国 - 国家互联网应急中心（CBCERT或CNCERT/CC）

十六字方针：“积极预防、及时发现、快速响应、力保恢复”

应急响应组织建立与工作机制

组织建立

组织构成：主要由应急领导组和应急技术支撑组构成
领导组职责：负责应急指挥和协调工作
技术组职责：解决技术问题和现场操作处理，具体工作包括：
- 网络安全威胁情报分析研究
- 网络安全事件监测与分析
- 网络安全预警信息发布
- 应急响应预案编写与修订
- 应急响应知识库开发与管理
- 应急响应演练
- 事件响应和处置
- 事件分析和总结
- 网络安全教育与培训

组织类型

公益性应急响应组：非营利性质的组织
内部应急响应组：单位或公司内部专门成立的应急小组
商业性应急响应组：提供有偿服务的专业组织
厂商应急响应组：产品厂商内部设立的应急组织，负责解决自身产品相关问题

网络安全事件类型与分级

网络安全事件的基本分类
- 发布机构：中央网信办发布的《国家网络安全事件应急预案》
- 7个基本分类：
  - 恶意程序事件
  - 网络攻击事件
  - 信息破坏事件
  - 信息内容安全事件
  - 设备设施故障
  - 灾害性事件
  - 其他信息安全事件
网络安全事件的分级标准
- 分级依据：根据事件对国家安全、社会秩序、经济建设和公众利益的影响程度
- 四级分类：
  - 特别重大网络安全事件（一级）
  - 重大网络安全事件（二级）
  - 较大网络安全事件（三级）
  - 一般网络安全事件（四级）
特别重大网络安全事件定义
- 判定标准（符合下列情形之一）：
  - 重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力
  - 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁
  - 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件
重大与较大网络安全事件定义
- 重大网络安全事件：
  - 重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪
  - 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁
  - 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件
- 较大网络安全事件：
  - 重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率
  - 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁
  - 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件
一般网络安全事件定义
- 判定标准：对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件

应急响应预案内容与分类

应急预案基本内容
- 四大核心内容：
  - 系统紧急情况的类型及处理措施
  - 事件处理基本工作流程
  - 应急处理具体步骤及操作顺序
  - 相关人员联系信息（姓名、住址、电话等）和有关职能部门的联系方法
应急预案类型
- 按管理区域划分：
  - 国家级应急预案
  - 区域级应急预案
  - 行业级应急预案
  - 部门级应急预案
- 层级特点：管理层级越高越偏向指导，层级越低越侧重具体操作

常见应急事件场景与处理流程

应急事件处理场景

恶意程序事件

典型表现: 导致计算机系统响应缓慢、网络流量异常，包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络等恶意代码类型。
处理措施: 可协调外部组织进行技术协助，分析有害程序，保护现场证据，必要时切断相关网络连接。与恶意代码章节内容一致，重点掌握各类恶意程序特征。

网络攻击事件

主要类型:
- 安全扫描器攻击：黑客利用扫描器对目标系统进行漏洞探测
- 暴力破解攻击：对系统账号密码进行暴力破解获取管理员权限
- 系统漏洞攻击：利用操作系统/应用系统中存在的漏洞进行攻击
防护方案:
- 设备防护: 部署防火墙、WAF等安全设备阻挡扫描和攻击
- 策略设置: 对暴力破解设置输错锁定策略（如3次错误锁定30分钟）
- 系统加固: 定期为操作系统和应用程序打补丁，如Linux的Apache或Windows的IIS
- 多层防御: 结合安全设备、补丁管理和应用限制形成立体防护

网站及Web应用安全事件

常见形式:
- 网页篡改：非授权篡改页面内容
- 网页挂马：利用网站漏洞植入网页木马
- 非法页面：包含赌博、色情、钓鱼等内容
- Web漏洞攻击：SQL注入、XSS、上传漏洞等
- 域名劫持：DNS解析被篡改指向恶意网站
防护要点:
- 操作系统和数据库安全加固
- Web应用定期更新补丁
- 部署专业WAF防护设备
- 实施严格的访问控制策略

拒绝服务事件

攻击类型:
- DDoS：利用TCP/IP协议漏洞及带宽资源有限性发起分布式攻击
- DoS：利用服务器漏洞导致服务不可用
解决方案:
- 基础DoS可通过防火墙/IDS防护
- DDoS需要专业清洗设备或云清洗服务
- 关键业务建议部署流量清洗解决方案

网络安全应急处理流程

安全事件报警
- 由值班人员及时报告，需准确描述事件并书面记录
- 按层级上报：值班人员→应急工作组长→应急领导小组
安全事件确认
- 应急组长判断事件类型，领导小组决定是否启动预案
- 避免小题大做消耗资源
启动应急预案
- 需提前制定完备预案，覆盖各类可能场景
- 确保紧急时可快速启动
安全事件处理：至少两人参与，保留原始信息
- 准备: 通知相关人员，信息交换
- 检测: 现场快照，证据保全
- 抑制: 采取围堵措施限制影响范围
- 根除: 分析脆弱点，采取补救措施
- 恢复: 使系统恢复正常运行
- 总结: 提交处理报告
撰写安全事件报告
- 报告内容：事件日期、参与人员；发现途径、类型、范围；现场记录、损失影响；处理过程、经验教训
应急工作总结：召开总结会议、分析问题原因、找出改进方案

网络安全事件应急演练

演练流程

制定演练工作计划
编写具体实施方案
组织实施演练
评估总结工作
优化改进机制

演练分类

按组织形式:
- 桌面演练: 利用地图、沙盘等辅助手段推演决策过程，侧重职责程序掌握和协同能力提升，通常在室内完成
- 实战演练: 使用实际设备物资处理预设事件，检验临场指挥、处置技能和后勤保障能力，需在特定场所进行
按内容范围:
- 单项演练: 针对特定应急功能检验，如数据库专项演练
- 综合演练: 检验多环节多单位协同能力，如疫情防控多部门联合演练
按目的作用:
- 检验性演练: 定期检验预案可行性、准备充分性
- 示范性演练: 向观摩人员展示应急能力
- 研究性演练: 试验新方案、新技术、新装备

网络安全应急响应技术

常用技术分类

访问控制：主要用于攻击阻断和网络安全事件处置，核心设备是防火墙，还包括认证系统等访问控制设备。
安全评估：通过漏洞扫描、木马检测等手段掌握攻击途径及系统状态，用于事件处置和风险评估。
系统恢复：使用系统启动盘、灾备系统等工具修复受害系统，属于事后处置措施。
安全监测：通过网络协议分析器、入侵检测系统等工具实时分析系统活动，实现事前监测预警。
入侵取证：通过网络追踪、硬盘克隆等技术收集证据，用于追究入侵者法律责任。

信息系统容灾恢复

等级划分：国家标准GB/T 20988-2007定义了6个灾难恢复等级，逐级提高恢复能力。
第1级-基本支持：
- 至少每周一次完全数据备份，介质场外存放，同时要求要有符合介质存放的场地
- 需制定介质存取、验证和转储的管理机制，定期验证备份有效性
- 企业要制订经过完整测试和演练的灾难恢复预案
第2级-备用场地支持：
- 需配备灾难发生后可快速调配的数据处理设备和网络设备以及相应的网络设备
- 企业运维能力：要制定备用场地管理制度，要签署紧急供货协议、备用通信线路协议
第3级-电子传输支持：
- 需配备部分备用设备和通信线路
- 每天多次通过通信网络批量传送关键数据至备用场地
- 灾备中心需配置专职运维人员
第4级-完整设备支持：
- 配置全部灾难恢复设备并处于就绪状态（如双机热备）
- 备用场地需支持 $7×24$ 小时运作，提高技术支持标准
第5级-实时数据传输：
- 实现远程数据复制技术，实现关键数据实时同步到备用场地
- 备用网络需具备自动/集中切换能力
第6级-零丢失集群：
- 实现数据零丢失的远程实时备份
- 应用软件需集群化，支持无缝切换和实时监控
- 用户可同时接入主备中心，通常配合全局负载均衡技术

入侵取证过程

通过特定软件和工具，从计算机及网络系统中提取攻击证据。

证据分类：
- 易失性证据：内存、网络连接等断电即丢失的信息
- 非易失性证据：硬盘数据等持久存储信息
取证步骤：
- 取证现场保护：保护受害系统或设备的完整性，防止证据信息丢失
- 证据识别：确定可获取的证据类型（如日志、删除文件等）
- 证据传输：使用专业取证设备安全转移证据
- 证据保存：确保存储数据与原始数据完全一致
- 证据分析：通过关联分析构建证据链，重现攻击过程
- 证据提交：向管理者、律师或法院提交完整证据