网络安全应急响应

三原则：

• 保密性原则

  实施人员应对安全事件处理服务过程中获知的任何甲方的系统信息承担保密责任和义务，不得泄露给第三方单位或个人，不得利用这些信息进行任何侵害甲方的行为。

• 规范性原则

  实施人员应提供专业的服务人员依照规范的操作流程进行安全事件处理服务，所有服务人员必须对各自的操作过程和结果进行详细记录，最终按照规范的报告格式提供完整的服务报告，重要操作需要获得甲方人员授权。

• 最小影响原则

  安全事件处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)，如无法避免，则必须向甲方予以说明。

1.什么是应急响应

是网络安全事件发生后，快速、有效地采取行动，防止或减少对系统和数据造成的损害，保护网络安全的行为。这需要有一个完整的应急响应计划，包括应急预案、应急指挥中心、应急响应流程、应急演练等。在应急响应中，承担重要角色的是应急响应团队，他们需要快速响应、有效地指挥和协作，根据事件类型和严重程度进行分类、定位、分析和处理，最终消除威胁、恢复系统和数据的正常运行状态。应急响应还需要对事件进行跟踪和评估，总结经验教训，并针对新的威胁做好预防措施，以确保网络安全的持续性和可靠性。

2.应急响应中事件的级别

1.信息级：表示一些可能需要关注，但不需要立即采取行动的事件。

2.低级：表示可能存在安全风险，但对系统、服务或数据的影响很小，不会对业务产生较大影响。需要适当行动，但不需要过分关注。

3.中级：表示存在实际的安全风险，对系统、服务或数据可能会造成一定的影响，需要采取紧急行动加以控制和消除。

4.高级：表示存在严重的安全风险，可能会对系统、服务或数据产生重大影响，需要立即采取紧急行动，并按照事件响应计划进行应急处理。

3.应急响应中的事件类型

1.应用安全

Webshell、网页篡改、网页挂马…

2.系统安全

勒索病毒、挖矿病毒、远程后门…

3.网络安全

DDOS攻击、APR攻击、流量劫持…

4.数据安全

数据泄露、损坏、加密…

4.如何做应急响应

1.制定应急响应计划（准备）

根据公司的安全需求，制定应急响应计划，明确安全事件报告的渠道、事件响应的步骤、负责人和各种安全事件的处理方式。

2.建立应急响应小组（检测）

安全事件发生后，应尽快组建应急响应小组，包括网络安全专家、系统管理员、安全管理人员和其他相关人员，全力处理事件。

3.识别安全威胁（抑制）

当收到安全事件报告时，第一步是对事件进行初步调查，识别安全威胁的种类、影响和攻击来源。根据调查结果采取进一步行动。

4.隔离和阻止攻击（根除）

在确认安全事件后，需要立即隔离与该事件相关的数据和系统组件，避免安全威胁扩散。管理员还需要阻止攻击来源并修复安全漏洞。

5.恢复正常操作（恢复）

安全事件的处理后，需要进行系统和数据恢复的工作，并确保恢复正常操作。与此同时，需要监测系统的安全性和保障防范措施，以避免此类事件的再次发生。

6.重新评估和改进（总结）

在应急响应工作完成后，需要对该事件进行全面分析，总结经验教训。通过评估后，改进计划和措施，并制定更好的预防和应对策略。

注意：在整个过程中，保持沟通和透明，对外界及时报告安全事件的处理过程和处理结果，减少安全事件的影响和损失。

5.应急响应团队组建

内部团队：

监控组：利用各类系统监控、查看监控系统日志，对应用/系统/网络/数据进行安全监测。

响应组：应用组、系统组、设备组

研判组：溯源分析、专家组

文档组：应急响应方案制定、事件报告输出、经验总结输出

外部团队：

合作单位：安全厂商、安全服务团队

监管单位：网信办、公安部

6.入侵排查

系统排查

进程排查

服务排查

文件痕迹排查

日志分析

内存分析

流量分析

威胁情报分析

7.安全产品

安全网关类：

防火墙、UTM（统一威胁管理）、网闸（防止网络攻击：恶意软件，恶意网站和其他网络威胁）、抗DDOS防火墙（专门用于抵抗DDOS的攻击）、VPN、上网行为管理

评估工具类：

漏扫系统（漏洞扫描器或漏洞评估工具）、网络分析系统（是一种用于对网络通信数据进行捕获、存储、分析和可视化的工具或平台）

威胁管理类：

入侵监测系统（IDS）、入侵防御系统（IPS）、WAF（web应用安全网关）

应用管理类：

堡垒机、审计系统（网络审计和安全审计）、终端管理系统（终端设备的配置、监控、安全性和软件更新）、安全运维平台（集成了多种安全工具和功能的综合性安全管理解决方案）