软考-信息安全-网络安全应急响应技术原理与应用

软考-信息安全-网络安全应急响应技术原理与应用

17.1 网络安全应急响应概述

“居安思危，思则有备，有备无患”。网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施。主要阐述网络安全应急响应的概念，网络安全应急响应的发展，网络安全应急响应的相关要求。

17.1.1 网络安全应急响应概念

网络安全应急响应是指为应对网络安全事件，相关人员或组织机构对网络安全事件进行监测，预警，分析，响应和恢复等工作。必须建立相应的应急组织，制定网络安全应急计划和采取网络安全应急保障措施，以便及时响应和处理网络中随时可能出现的安全事件。

17.1.2 网络安全应急响应发展

世界上第一个计算机安全应急组织CERT。国内已经建立了国家计算机网络应急技术处理协调中心，简称“国家互联网应急中心”，英文简称为CNCERT或CNCERT/CC。成立了国家信息安全漏洞共享平台（CNVD）。中国反网络病毒联盟（ANVA）。中国互联网网络安全威胁治理联盟（CCTGA）。

17.1.3 网络安全应急响应相关要求

网络安全应急响应是网络空间安全保障的重要机制，《中华人民共和国网络安全法》（第五章监测预警与应急处置）中明确地给出了相应的法律要求。对于网络安全应急响应管理和技术要求，国家有关部门相继发布了以下标准规范《信息安全技术 信息系统安全管理要求》《信息安全技术 信息安全事件分类分级指南》《信息安全技术 信息系统灾难恢复规范》《信息安全技术 灾难恢复中心建设与运维管理规范》

17.2 网络安全应急响应组织建立与工作机制

17.2.1 网络安全应急响应组织建立

网络安全应急响应组织的工作主要包括如下几个方面：

网络安全威胁情报分析研究。网络安全事件的监测与分析。网络安全预警信息发布。网络安全应急响应预案编写与修订。网络安全应急响应知识库开发与管理。网络安全应急响应演练。网络安全事件响应和处置。网络安全事件分析和总结。网络安全教育与培训。

17.2.2 网络安全应急响应组织工作机制

是对组织机构的网络安全事件进行处理，协调或提供支持的团队。负责协调组织机构的安全紧急事件，为组织机构提供计算机网络安全的监测，预警，响应，防范等安全服务和技术支持，及时收集，核实，汇总，发布有关网络安全的权威性信息。

17.2.3 网络安全应急响应组织类型

应急响应组分成以下几类：

公益性应急响应组。内部应急响应组。商业性应急响应组。厂商应急响应组。

17.3 网络安全应急响应预案内容与类型

17.3.1 网络安全事件类型与分级

2017年中央网信办发布《国家网络安全事件应急预案》，其中把网络信息安全事件分为恶意程序事件，网络攻击事件，信息破坏事件，信息内容安全事件，设备设施故障，灾害性事件与其他信息安全事件等7个基本分类。

17.3.2 网络安全应急响应预案内容

网络安全应急响应预案是指在突发紧急情况下，按事先设想的安全事件类型及意外情形，制定处理安全事件的工作步骤。对应基本的内容如下：

详细列出系统紧急情况的类型及处理措施。事件处理基本工作流程。应急处理所要采取的具体步骤及操作顺序。执行应急预案有关人员的姓名，住址，电话号码以及有关职能部门的联系方法。

17.3.3 网络安全应急响应预案类型

1.核心业务系统中断或硬件设备故障时的应急处置程序2.门户网站及托管系统遭到完整性破坏时的应急处置程序3.外网系统遭遇黑客入侵攻击时的应急处置程序4.外网系统遭遇拒绝服务攻击时的应急处置程序5.外部电源中断后的应急处置程序

17.4 常见网络安全应急事件场景与处理流程

17.4.1 常见网络安全应急处理场景

1.恶意程序事件2.网络攻击事件3.网站及Web应用安全事件4.拒绝服务事件

17.4.2 网络安全应急处理流程

17.4.3 网络安全事件应急演练

桌面应急演练

参演人员利用地图，沙盘，流程图，计算机模拟，视频会议等辅助手段，针对事先假定的演练情景，讨论和推演应急决策及现场处置的过程。

实战应急演练单项应急演练综合应急演练校验性应急演练

检验应急预案的可行性，应急准备的充分性，应急机制的协调性及相关人员的应急处置能力而组织的演练

示范性应急演练

为向观摩人员展示应急能力或提供示范教学，严格按照应急预案规定开展的示范性演练。

研究性应急演练

为研究和解决突发事件应急处置的重点，难点问题，试验信方案，新技术，新装备而组织的演练。

17.5 网络安全应急响应技术与常见工具

17.5.1 网络安全应急响应技术概况

访问控制，网络安全评估，系统恢复，网络安全监测，入侵取证。

17.5.2 访问控制

17.5.3 网络安全评估

1.恶意代码检测2.漏洞扫描3.文件完整性检查4.系统配置文件检查5.网卡混杂模式检查6.文件系统检查7.日志文件审查

17.5.4 网络安全监测

1.网络流量监测

tcpdump，tcpview，snort，wireshark，netstat

2.系统自身监测

1）受害系统的网络通信状态监测

netstat，tcpview

2）受害系统的操作系统进程活动状态监测

Linux环境下有psWindows环境下有autoruns，process explorer

3）受害系统的用户活动状况监测

who命令

4）受害系统的地址解析状况监测

arp -a

5）受害系统的进程资源使用状况监测

lsof

17.5.5 系统恢复

1.系统紧急启动

主要类型有光盘，U盘。

2.恶意代码清除3.系统漏洞修补4.文件删除恢复5.系统备份容灾

《信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007)》

17.5.6 入侵取证

通常可以作为证据或证据关联的信息如下：

日志文件系统进程用户系统状态

如系统开放的服务及网络运行的模式等

网络通信连接记录磁盘介质

网络安全取证一般包含如下6个步骤：

1）取证现场保护2）识别证据3）传输证据4）保存证据5）分析证据6）提交证据

1.证据获取

ipconfig,ifconfig,netstat,fport,lsof,date,time,who,ps,tcpdump

2.正确安全保护

md5sum，tripwire，使用PGP加密电子邮件

3.证据分析

grep，find，ollydbg，gdb，strings，tracert等

17.6 网络安全应急响应参考案例

17.6.1 公共互联网网络安全突发事件应急预案

17.6.2 阿里云安全应急响应服务

17.6.3 IBM产品安全漏洞应急响应

17.6.4 永恒之蓝攻击的紧急处置

17.6.5 页面篡改事件处置规程

迷茫的人生，需要不断努力，才能看清远方模糊的志向！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。