软考教材重点内容 信息安全工程师 第17章 网络安全应急响应技术原理与应用

17.1 网络安全应急响应概述
网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施。
17.1.1 网络安全应急响应概念
网络安全应急响应是指为应对网络安全事件，相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。
17.2.3 网络安全应急响应组织类型
根据资金的来源、服务的对象等多种因素，应急响应组分成以下几类:公益性应急响应组、内部应急响应组、商业性应急响应组、厂商应急响应组。

17.3 网络安全应急响应预案内容与类型

17.3.1 网络安全事件类型与分级

2017 年中央网信办发布《国家网络安全事件应急预案》，其中把网络信息安全事件分为恶意程序事件、网攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等 7 个基本分类。

根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度，可以将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件，如表 17-2 所示。

17.3.2 网络安全应急响应预案内容
网络安全应急响应预案是指在突发紧急情况下，按事先设想的安全事件类型及意外情形制定处理安全事件的工作步骤。
网络安全应急响应预案的基本内容如下:

1. 详细列出系统紧急情况的类型及处理措施。
2.事件处理基本工作流程。
3.应急处理所要采取的具体步骤及操作顺序。
4 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。

17.3.3 网络安全应急响应预案类型

1.核心业务系统中断或硬件设备故障时的应急处置程序(I 级)

事件触发:当发现核心业务系统中断或硬件设备故障时，启动 I 级处置程序。具体应急操作如下:
迅速判断故障节点，启用备用设备或线路。

2.门户网站及托管系统遭到完整性破坏时的应急处置程序(I 级)

事件触发:当发现门户网站或本单位在互联网上运行的其他业务网站内容被篡改或遭破坏性攻击(包括严重病毒)时，启动 I 级处置程序。

具体应急操作如下:

立即断开网站与互联网的连接，并停止系统运行。

首先将被攻击(或被病毒感染)的服务器等设备从网络中隔离出来，保护好现场。 由网站及相关业务系统人员负责恢复与重建被攻击或被破坏的系统，恢复系统数据。追查非法信息来源，向上级主管部门或公安部门报警。

3.外网系统遭遇黑客入侵攻击时的应急处置程序(II 级)

事件触发:当发现门户网站、电子邮件系统等遭遇黑客入侵攻击时，启动 II 级处置程序。具体应急操作如下:

立即断开网站和相关系统与互联网的连接。
使用防火墙对攻击来源进行封堵。
记录当前连接情况，保存相关日志。
向上级主管部门或网监部门报警。
在强化安全防范措施的基础上，修复网站或相关系统后，将其重新投入使用。

4.外网系统遭遇拒绝服务攻击时的应急处置程序(II 级)

事件触发:
事件触发:当发现门户网站、电子邮件系统等互联网业务网站遭遇拒绝服务攻击时，启动 II 级处置程序。具体应急操作如下:

使用防火墙对攻击来源进行封堵。
更改 DNS 解析，将拒绝服务攻击分流。
记录当前连接情况，保存相关日志。
通过以上程序仍无法解决时，即断开网站与互联网的连接，并向上级主管部门或公安部门报警。
在互联网管理部门和公安部门的协助下解决此项应急工作。

17.4.1 常见网络安全应急处理场景

1.恶意程序事件
恶意程序事件通常会导致计算机系统响应缓慢、网络流量异常，主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。对恶意程序破坏性蔓延的，由应急响应组织进行处置，可以协调外部组织进行技术协助，分析有害程序，保护现场，必要时切断相关网络连接。

2.网络攻击事件

安全扫描器攻击:黑客利用扫描器对目标系统进行漏洞探测。
暴力破解攻击:对目标系统账号密码进行暴力破解，获取后台管理员权限。

系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击。

3.网站及 Web 应用安全事件

网页篡改:网站页面内容非授权篡改或错误操作。
网页挂马:利用网站漏洞，制作网页木马。
非法页面:存在赌博、色情、钓鱼等不良网页。
Web 漏洞攻击:通过 SQL 注入漏洞、上传漏洞、XSS 漏洞、越权访问漏洞等各种 Web 漏洞进行攻击。网站域名服务劫持:网站域名服务信息遭受破坏，使得网站域名服务解析指向恶意的网站。

4.拒绝服务事件

DDoS:攻击者利用 TCP/IP 协议漏洞及服务器网络带宽资源的有限性，发起分布式拒 绝服务攻击。
DoS:服务器存在安全漏洞，导致网站和服务器无法访问，业务中断，用户无法访问。

17.4.2 网络安全应急处理流程

应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。

第一步，安全事件报警。发生紧急情况时，由值班工作人员及时报告。报警人员要准确描述安全事件，并做书面记录。根据安全事件的类型，各安全事件按呈报条例依次报告

1 一值班人员
2 一应急工作组长
3 一应急领导小组

第二步，安全事件确认。应急工作组长和应急领导小组接到安全报警之后，首先应当判断安全事件的类型，然后确定是否启动应急预案。

第三步，启动应急预案。应急预案是充分考虑各种安全事件后，制定的应急处理措施，以便在紧急情况下，及时有效地应付各类安全事件。必须避免在紧急情况下，找不到应急预案，或无法启动应急预案的情况。

第四步，安全事件处理。安全事件处理是一件复杂的工作，要求至少两人参加.

第五步，撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。

第六步，应急工作总结。召开应急工作总结会议，回顾应急工作过程中所遇到的问题，分析问题引起的原因，并找出相应的解决方法。

系统备份容灾

常见的备份容灾技术主要有磁盘阵列、双机热备系统、容灾中心等。当运行系统受到攻击瘫痪后，启用备份容灾系统，以保持业务连续运行和数据安全。

针对网络信息系统的容灾恢复问题，国家制定和颁布了《信息安全技术信息系统灾难恢复规范(GB/T20988-20070)，该规范定义了六个灾难恢复等级和技术要求，各级规范要求如下:

第 1 级--基本支持。本级要求至少每周做一次完全数据备份，并且备份介质场外存放; 同时还
需要有符合介质存放的场地;企业要制定介质存取、验证和转储的管理制度， 并按介质特性对备份
数据进行定期的有效性验证;企业需要制订经过完整测试和演练 的灾难恢复预案。

第 2 级--备用场地支持。第 2 级在第 1 级的基础上，还要求配备灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备;并且对于第 1 级中存 放介质的场地，需要其能满足信息系统和关键业务功能恢复运作的要求;对于企业的 运维能力，也增加了相应的要求，即要制定备用场地管理制度，同时要与相关厂商、 运营商有符合灾难恢复时间要求的紧急供货协议、备用通信线路协议。

第 3 级--电子传输和部分设备支持。
第 3 级不同于第 2 级的调配数据处理设备和具备网络系统紧急供货协议，其要求配置部分数据处理设备和部分通信线路及相应的网络设备;同时要求每天多次利用通信网络将关键数据定时批量传送至备用场地，并在灾难备份中心配置专职的运行管理人员;对于运行维护来说，要求制定电子传输数据备份系统运行管理制度。

第 4 级--电子传输及完整设备支持。第 4 级相对于第 3 级中的配备部分数据处理设备和网络设备而言，须配置灾难恢复所需的全部数据处理设备和通信线路及网络设备，并处于就绪状态;备用场地也提出了支持 7X24小时运作的更高的要求，同时对技术支持和运维管理的要求也有相应的提高。

第 5 级--实时数据传输及完整设备支持。第 5 级相对于第 4 级的数据电子传输而言，要求实现远程数据复制技术，并利用通信网络将关键数据实时复制到备用场地;同时要求备用网络具备自动或集中切换能力。

第 6 级--数据零丢失和远程集群支持。第 6 级相对于第 5 级的实时数据复制而言，要求数据远程实时备份，实现数据零丢失;同时要求应用软件是集群的，可以实现实时无缝切换，并具备远程集群系统的实时监控和自动切换能力;对于备用网络的要求也有所加强，要求用户可通过网络同时接入主、备中心。

17.6.4“永恒之蓝”攻击的紧急处置

(1)如果主机己被感染，则将主机隔离或断网(拔网线)。若有该主机备份，则启动备份恢复程序。
(2)如果主机未被感染，采取以下合适的方式进行防护，避免主机被感染。

安装免疫工具。如安装和使用 360 提供的免疫工具。
漏洞修补。针对恶意程序利用的漏洞，安装 MS 17-010 补丁。
系统安全加固。手工关闭 445 端口相关服务或启动主机防火墙，封堵 445 端口。
阻断 445 端口网络通信。配置网络设备或安全设备的访问控制策略(ACL )，封堵 445 端口通信。

华为设备封堵 445：

acl number 3050
rule deny tcp destination-port eq 445
rule permit ip
traffic classifier deny-wannacry type and
if-match acl 3050
traffic behavior deny-wannacry
traffic policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry precedence 5
interface〔需要挂载的三层端口名称]
traffic-policy deny-wannacry inbound
traffic-policy deny-wannacry outbound