网络安全应急响应具体实施

1、网络安全应急响应是在特定网络和系统面临或已经遭受突然攻击行为时， 进行快速应急反应，提出并实施应急方案。作为一项综合性工作，网络安 全应急响应不仅涉及入侵检测、事件诊断、攻 击隔离、快 速恢复、网络追 踪、计算机取证、自动响应等关键技术，对安全管理也提出更高的要求。根据应急事件处理的PDCERF方法学，将应急响应分为准备、检测、抑制、 根除、恢复、跟进6个阶段的工作，本文按照各个阶段主要应用的关键技 术进行介绍。准备(Preparation )阶段是网络安全事件响应的第一个阶段，也属于一个过 渡阶段，即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上，大 部分工作需要在应急响应之前就已做

2、好准备。这一阶段极为重要，因为事件发 生时可能需要在短时间内处理较多事务，如果没有足够的准备，将无法准确地 完成及时响应，导致难以意料的损失。(一)准备阶段工作内容准备阶段的工作内容主要有2个，一是对信息网络系统进行初始化快照。二是准备应急响应工具包。系统快照是指常规情况下，信息系统进程、账 号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发 生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统 快照，并在检测的时候将保存的快照与信息系统当前状态进行对比，是后 续“检测”又全事件的一种重要途径。1、系统快照系统快照是系统正常状态下的精简化描述，因此须在确保系统未被入侵

3、的 前提下，由系统维护人员完成系统快照的生成和保存工作，注意执行系统 快照留存的时间点有以下几种。(1)系统初始化安装完成后。(2)系统重要配置文件发生更改后。(3)系统进行软件升级后。(4)系统发生过安全入侵事件并恢复后。在进行安全检测时，通过将最近保存的系统快照与当前系统快照进行仔细 的核对，能够快速、准确地发现系统的改变或异常。准备阶段还应包括建立安全保障措施、对系统进行安全加固，制定安全事 件应急预案规范，进行应急演练等内容。主机系统快照，应包括但并不限于以下内容。(1)系统进程快照。(2)关键文件签名快照。(3)开放的对外服务端口快照。(4)系统资源利用率的快照。(5)注册表快照。(

4、6)计划任务快照。(7)系统账号快照。(8)日志及审核策略快照。以上内容中的系统进程快照、关键文件签名和系统账号快照尤为重要, 般入侵事件均可通过此3项快照的关联分析查找获得重要信息。网络设备快照应包括但并不限于以下内容。(1 )路由快照。(2)设备账号快照。(3)系统资源利用率快照。数据库系统快照照应包括但并不限于以下内容。(1 )开启的服务。(2)所有用户及所具有的角色及权限。(3)概要文件。(4)数据库参数。(5)所有初始化参数。2、应急响应工具包应急响应工具包是指网络与信息安全应急事件处理过程中使用工具的集合。该工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工具所产

5、生的结果将是网络与信息安全应急事件处理过程中的可信基础。本规范结合实际工作情况，具体说明了Windows 应急响应工具包和Unix/Linux 应急响应工具包。工具包应尽量放置在不可更改的介质上，如只读光盘。(二)准备阶段工作流程第一步：系统维护人员按照系统的初始化策略对系统进行安装和配置加固第二步：系统维护人员对安装和配置加固后的系统进行自我检查，确认是 否加固完成。第三步：系统维护人员建立系统状态快照。第四步：系统维护人员对快照信息进行完整性签名，以防止快照被非法篡 改。第五步：系统维护人员将快照保存在与系统分离的存储介质上准备阶段的具体流程如图1所示建立和保存系统状态快照对快照进行完整性

6、签名快照保存寻1在至的度流程图1准备阶段流程（三）准备阶段操作说明1、对系统的影响：操作不会对系统造成影响，在系统正常运行情况下执行各个步骤。2、操作的复杂度（容易 /普通/复杂）：容易。3、操作效果：对执行后的结果必须保存到不可更改的存储介质。4、操作人员：各操作系统、数据库、网络设备的系统维护人员。二、检测阶段讲述检测阶段的网络安全应急响应实施。结合准备阶段生成的系统初始化 状态快照，这里概要介绍检测安全事件（系统安全事件、网络安全事件、 数据库安全事件）相关内容和技术。除对比系统初始化快照外，安全事件检测手段还包括部署入侵检测设备、 流量监控和防病毒系统集中监控等。其中，入侵检测系统通过

7、侦听网络流 量并与事先存在的攻击特征匹配，实现对入侵事件的实时和自动发现。入 侵检测系统往往存在较高的误报率。实际应用入侵检测系统时，需要结合 部署环境的实际情况定制检测策略，以保证检测的准确性。流量监控的检 测方式对于发现有明显流量特征的安全事件，如网络蠕虫十分有效。在事 件检测阶段做到“及时发现”，必须合理利用各种已有的检测手段，综合分 析发现安全事件的真实原因。（一）检测阶段工作内容 检测阶段是应急响应执行过程中的关键一环，在这个阶段需要系统维护人 员使用初级检测技术进行检测，确定系统是否出现异常。在发现异常情况 后，形成安全事件报告，由安全技术人员和安全专业技术人员介入进行高 级检测来

8、查找安全事件的真正原因，明确安全事件的特征、影响范围并标 识安全事件对受影响的系统所带来的改变，最终形成安全事件的应急处理 方案。（二）检测阶段工作流程第一步：系统维护人员或安全技术人员在执行日常任务和检测中发现系统 异常。第二步：发现异常情况后，形成安全事件报告。第三步：安全技术人员、系统维护人员和第三方安全事件应急服务人员查 找安全事件的原因。第四步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确 定安全事件的原因、性质和影响范围第五步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。检测阶段工作流程如图2所示。启动检测，发现系统异常形成安全事件

9、报告杳找安全事件的原因确定安全事件的原因、性质和影响范围口确定安全事件的应急处理方案:J圻邦护百徘奇曜32检鞭段的流程图2检测阶段的流程此阶段工作中应注意，第三方安全事件应急服务人员应在必要时参加；制定应急处理方案应包含实施方案失败的应变和回退措施。（三）操作说明第一，检测阶段操作不会对系统造成影响，在系统正常运行情况下执行各 个步骤，但在事件驱动检测方式中，确定有安全事件发生的情况下必须根 据流程采取相应的措施，防止中断系统或网络的正常运行。第二，初级检测操作的复杂度为“普通”，高级检测操作的复杂度为“复杂”。第三，例行检测是一种积极的方式，能预先发现系统和网络存在的漏洞， 可根据流程采取补

10、救措施；事件驱动方式的检测方法对安全事件能迅速响 应，不会让安全事件扩大。第四，检测阶段的操作人员主要有：系统维护人员、安全技术人员、第三 方安全事件应急服务人员、安全评估人员。三、抑制和根除阶段介绍各类安全事件（拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库 SQL注入类攻击）相应的抑制（Containment ）或根除（Eradication ）方法和技术。（一）抑制和根除阶段工作内容首先，网络安全攻击事件的进行可以分为拒绝服务类攻击、系统漏洞及恶 意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻 击，针对每一类攻击事件都需提供抑制方法，

11、以及可操作性的技术规范和 指导。抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、 阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征， 比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等，采取有针对 性的安全补救工作，以防止攻击进一步加深和扩大。抑制阶段的风险是可能对正常业务造成影响，如系统中了蠕虫病毒后要拔 掉网线，遭到DDoS 攻击时会在网络设备上做一些安全配置，由于简单口 令遭到入侵后要更改口令会对系统的业务造成中断或延迟，所以在采取抑 制措施时，必须充分考虑其风险。根除阶段是在抑制的基础上，对引起该类安全问题的最终技术原因在技术 上进行完全的杜绝，并对这

12、类安全问题所造成的后果进行弥补和消除。在 根除阶段，采取措施最大的风险主要是在系统升级或补丁时可能造成系统 故障，所以必须做好备份工作。在进入抑制和根除阶段之前，应形成安全事件应急响应方案，并对方案的 实施获取必要的管理授权。（二）抑制和根除阶段工作流程第一步：应急处理方案获得授权。第二步：系统维护人员、安全技术人员和第三方安全事件应急服务人员共 同测试应急处理方案验证效果。第三步：系统维护人员、安全技术人员和第三方安全事件应急服务人员共 同测试应急处理方案是否影响系统运行，对系统的影响程度不可接受时返 回检测阶段。第四步：实施应急处理方案。第五步：当实施应急处理方案失败的情况下，采 取应变和

13、回退措施，并返 回到检测阶段。抑制和根除阶段工作流程如图3所示。应急处理方案获得授权测试应急处理方案图3抑制和根除阶段工作流程此阶段工作中应注意以下两点。1、第三方安全事件应急服务人员仅在必要时参加。2、测试工作根据实际情况可以选择口头演练、试验室测试、 现网局部测试3种方式进行。（三）抑制和根除阶段操作说明 第一，应急处理方案由相关人员和第三方安全事件应急服务人员共同制定， 根据流程需进行严格和充分的测试，但是由于抑制和根除操作需要对系统 作相关设置，加上一些系统实际情况较为特殊和复杂，必须根据系统实际 情况制定实施应急处理方案失败的应变和回退措施。第二，抑制和根除阶段操作的复杂度为“复杂”

14、。第三，具体执行操作人员包括系统维护人员、安全技术人员、第三方安全 事件应急服务人员。四、恢复阶段恢复阶段是指通过采取一系列的措施将系统恢复到正常业务状态。下面所 阐述的内容未包含恢复阶段的全部技术内容，尤其是与各个业务系统实际 情况相结合的部分，有关此部分的内容应在各业务系统的应急预案和业务 连续性计划中体现。介绍的恢复方式包含2种。一是在应急处理方案中列明所有系统变化的情 况下，直接删除并恢复所有变化；二是在应急处理方案中未列明所有系统 变化的情况下，重装系统。（一）恢复阶段工作内容主要内容是将系统恢复到正常的任务状态。在系统遭到入侵后，攻击者一 定会对入侵的系统进行更改。同时，攻击者还会

15、想尽各种办法使这种修改 不被系统维护人员发现。从而达到隐藏自己的目的。在根除阶段能彻底恢复配置和清除系统上的恶意文件，并且能够确定系统 在所有变化完全根除的情况下，通过直接恢复业务系统的方式来恢复系统 这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对 业务的影响较小。在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统 是否经过根除后已达干净时，就一定要彻底地重装系统。简单地说，系统 重装往往是系统最可靠的系统恢复手段。（二）恢复阶段工作流程第一步：如果应急处理方案中列明所有系统变化，删除并恢复所有变化， 实施安全加固。第二步：如果存在应急处理方案中未列明所有的系统变

16、化，备份重要数据， 低级格式化磁盘。抑制和根除阶段系统安全加固备份数据，低格磁盘系统初始化火 .计算初与网络安全:一箕二险二隆=程图4恢复阶段工作流程（三）恢复阶段操作说明应急处理方案 是否列明所有 一系统变化一第抑制和根除阶段系统安全加固备份数据，低格磁盘系统初始化火 .计算初与网络安全:一箕二险二隆=程图4恢复阶段工作流程（三）恢复阶段操作说明应急处理方案 是否列明所有 一系统变化一第|恢复所有变化具体过程如图4所示。对系统再次快照，审计合格后方可上线运行。第一，恢复阶段操作对系统的影响较大，操作系统需要停止，安全加固后,操作的复杂度为“普通”，但必须严格按照操作步骤执行。第三步：严格按照

17、系统的初始化安全策略安装和加固。第三，操作人员一般仅为企业内部系统维护人员。(四)重装系统由于恢复阶段可以采取重装系统这一简单有效的办法达到初始运行状态， 因此再介绍一下重装系统的步骤和需要注意的事项。1、重装系统时应采取的步骤(1)重新安装操作系统之前要确定所有资料已经备份。备份的资料要保证 是没有被攻击者改变的干净的资料。(2)低级格式化硬盘，确保所有磁盘分区为系统的安全分区。(3)操作系统、Web主目录、日志分别安装在不同的分区，注意权限配 置。(4)不要安装不需要的软件、协议和服务，尽量最小化安装。(5)安全加固请参阅安全配制文档并打上所有的补丁。(6)安装应用软件如IIS ,应参照安

18、全配置文档进行配置。(7)安装操作系统和应用软件的最新补丁(8)恢复备份的资料(9)恢复业务系统2、重装系统时的注意事项(1)为了彻底消除攻击者可能留下的安全隐患，一定进行低级格式化。这样做将删除所有的资料并且没有办法再恢复，所以一定要做好备份工作。(2)在重新安装系统的时候要严格遵守系统安装的各项规定(3)系统在安装和安全配置没有全部做好之前，严禁连接网络(4)恢复系统的应用和数据的时候，要对应用和数据进行检查。以免其中存在的漏洞随着数据恢复被安装在系统上。(五)安全加固及系统初始化在系统重装完毕后，正式上线以前，必须做好以下两件事情1、安全加固进行系统的安全加固工作；尤其要注意对引发安全事

19、件的漏洞的修复和加 固的处理，如果手册上没有，要及时对手册进行更新。2、安全快照在进行安全加固后，按照第一阶段介绍的方法做好系统的安全快照。五、跟进阶段跟进(Follow-up )阶段的目的是通过对系统的审计(进行完整的检测流程),确认系统有没有被再入侵。在检测过程中特别应该注意的是检查抑制和根除阶段的工作效果。同时回顾、总结并整合发生应急响应事件过程中的相关信息。提高事件处理人员技能，以应付将来发生的类似场景。提高安全事件应急响应的处理能力。跟进的意义在于：(1 )基于吸取的教训重新评估和修改安全事件应急响应相关措施；(2)调整组织的安全技术策略；(3)调整组织的安全管理策略和资源配置；(4

20、)促进安全事件应急响应能力和组织机构的建设。跟进阶段对抑制或根除的效果进行审计，从而为确认系统没有被再次入侵 提供了帮助。(一)跟进阶段工作内容跟进阶段是应急响应的最后一个阶段，主要是对抑制或根除的效果进行审 计，确认系统没有被再次入侵。下面将详细说明跟进阶段的工作要如何进 行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需 要报告的内容。跟进阶段的主要任务是确认系统有没有被再入侵，确认系 统有没有被再入侵是通过对抑制或根除的效果进行审计完成的。这种审计 是一个需要定期进行的过程。通常，第一次审计应该在一定期限之内进行， 以后再进行复查，并输出跟进阶段的报告内容，包括安全事件的类

21、型、时 间、检测方法、抑制方法、根除方法、事件影响范围等。要在跟进阶段报 告中详细记录这些内容。跟进阶段还需对事件处理情况进行总结，吸取经验教训I,对 已有安全防护 措施和安全事件应急响应预案进行改进。跟进阶段是安全事件应急响应6 个阶段方法论的最后一个阶段。跟进阶段是6个阶段中最可能被忽略的阶 段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点。1、有助于从安全事件中吸取经验教训，提高技能。2、有助于评判应急响应组织的事件响应能力。3、如果可能的话，可以在更大范围推广介绍事件处理经验。（二）跟进阶段工作流程第一步：执行完整的检测阶段流程。第二步：确认系统是否再次被入侵，如果有，请回到抑制和根除阶段。第三步：总结安全事件的处理过程和技能，调整安全策略，输出总结文档第四步：输出跟进阶段的报告内容。第五步：安排再次审计，内容同以上4个步骤。跟进阶段的工作实施流程如图5所示。（三）跟进阶段操作说明1、对系统的影响：不会对系统造成影响，在系统正常运行情况下执行各个步骤。2、操作的复杂度（容易 /普通/复杂/）:普通。3、操作效果：确定系统状态，总结应急响应流程和技术。4、操作人员：系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员。（四）跟进阶段的报告格式及模板跟进阶段最重要的任务就是要记录下整个应急响