信息安全工程师（76）网络安全应急响应技术原理与应用

前言

网络安全应急响应（Network Security Incident Response）是针对潜在或已发生的网络安全事件而采取的网络安全措施，旨在降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。

一、网络安全应急响应概述

定义：网络安全应急响应是指为应对网络安全事件，相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。

发展背景：

1988年，美国发生了“小莫里斯网络蠕虫”安全事件，导致上千台计算机受到了影响，促使美国政府成立了世界上第一个计算机安全应急组织CERT（Computer Emergency Response Team）。
随后，FIRST（Forum of Incident Response and Security Teams）等国际性网络安全应急响应组织相继成立，致力于提升全球网络安全应急响应能力。
在国内，2002年9月成立了国家计算机网络应急技术处理协调中心（CNCERT/CC），负责中国互联网上网络安全事件的预防、发现、预警和协调处置等工作。

二、网络安全应急响应组织建立与工作机制

组织建立：
网络安全应急响应组织主要由应急领导组和应急技术支撑组构成。
技术支撑组：负责解决网络安全事件的技术问题和现场操作处理安全事件。
领导组：负责领导和协调突发事件与自然灾害的应急指挥、协调等工作。

工作机制：

网络安全应急响应组织负责协调组织机构的安全紧急事件，为组织机构提供计算机网络安全的监测、预警、响应、防范等安全服务和技术支持。
工作内容涵盖网络安全威胁情报分析研究、网络安全事件的监测与分析、网络安全预警信息发布、网络安全应急响应预案编写与修订、网络安全应急响应知识库开发与管理、网络安全应急响应演练、网络安全事件响应和处置、网络安全事件分析和总结以及网络安全教育与培训等。

三、网络安全应急响应预案内容与类型

网络安全事件类型与分级：

根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度，可以将网络安全事件分为特别重大、重大、较大和一般四个级别。
网络安全事件类型包括恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等。

网络安全应急响应预案内容：

预案是指在突发紧急情况下，按事先设想的安全事件类型及意外情形，制定处理安全事件的工作步骤。
预案应详细列出系统紧急情况的类型及处理措施、事件处理基本工作流程、应急处理所要采取的具体步骤及操作顺序以及执行应急预案有关人员的联系方式等。

预案类型：
按照网络安全应急响应预案覆盖的管理区域，可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。不同级别的预案规定的具体要求不同，管理层级高的预案偏向指导，而层级较低的预案侧重于网络安全事件的处置操作规程。

四、网络安全应急响应技术应用

访问控制：
访问控制是网络安全应急响应的重要技术手段，用于控制网络资源不被非法访问，限制安全的影响范围。实现方式包括防火墙、代理服务器、路由器、VLAN、用户身份认证授权等。

网络安全评估：
网络安全评估是指对受害系统进行分析，获取受害系统的危害状况。评估方法包括恶意代码检测、漏洞扫描、文件完整性检查、系统配置文件检查、网卡混杂模式检查等。

网络安全监测：
网络安全监测的目的是对受害系统的网络活动或内部活动进行分析，获取受害系统的当前状态信息。监测方法包括网络流量监测、系统自身监测等。

系统恢复：
系统恢复技术用于将受害系统进行安全处理后，使其重新正常运行，尽量降低攻击造成的损失。恢复方法包括系统紧急启动、恶意代码清除、文件删除恢复以及系统备份容灾等。

入侵取证：
入侵取证是指通过特定的软件和工具，从计算机及网络系统中提取攻击证据。证据信息分为实时信息/易失信息（如内存、网络连接）和非易失信息（不会随设备断电丢失）。取证步骤包括取证现场保护、识别证据、传输证据、保存证据、分析证据和提交证据等。

五、网络安全应急响应流程

安全事件预警：通过挖掘相关行业的威胁情报和漏洞信息，进行风险评估和预警，及时发现潜在的安全风险。
安全事件确认：对发生的网络安全事件进行确认，包括事件类型、影响范围等。
启动应急预案：根据事件类型和级别，启动相应的应急预案。
安全事件处理：组织专业人员进行快速响应，包括定位、分析和修复，以减少损失和恢复受影响的系统和服务。
撰写安全事件报告：根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。
应急工作总结：对安全事件的处理过程进行事后总结，明确问题的原因和解决方案，并进行相关的风险评估，为日后的安全防护提供经验。