网络安全应急响应流程图

一、网络安全应急响应建设的背景和现状

当前，许多地区和单位已经初步建立了网络安全预警机制，实现了对一般网络安全事件的预警和处置。但是，由于网络与信息安全技术起步相对较晚，发展时间较短，与其他行业领域相比，其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构、企业也根据自身情况，设计了服务于自身的网络与信息安全应急预案，建立有相应的制度流程和保障队伍，但相关的应急流程和保障措施普遍存在有自动化程度低、与实践脱节等共性问题。在面对重大网络与信息安全事件时，现有机制还是凸显出一定的不足：机制尚显薄弱，难以有效整合资源，或是难以实现从预警到评判再到应急处置的快速反应处置机制。

基于现实困境，在充分运用既有研究、建设成果的基础上，应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程，确保一旦发生重大信息安全事件，能够迅速研判，形成预案，迅速指挥调度相关部门执行应急预案，做好应对措施，避免给国家和社会造成重大影响和损失，防止威胁国家安全的情况发生。

二、网络安全应急响应体系的要素

建立良好的网络安全应急保障体系，使其能够真正有效地服务于网络安全保障工作，应该重点加强以下几方面的能力。

（一）综合分析与汇聚能力

网络安全领域的应急保障，有其自身较为明显的特点，其对象灵活多变、信息复杂海量，难以完全靠人力进行综合分析决策，需要依靠自动化的现代分析工具，实现对不同来源海量信息的自动采集、识别和关联分析，形成态势分析结果，为指挥机构和专家提供决策依据。完整、高效、智能化，是满足现实需求的必然选择。因此，应有效建立以信息汇聚（采集、接入、过滤、范化、归并）、管理（存储、利用、管理）、分析（基础分析、统计分析、业务关联性分析、技术关联性分析）、发布（多维展现）等为核心的完整能力体系，在重大信息安全事件发生时，能够迅速汇集各类最新信息，形成易于辨识的态势分析结果，最大限度地为应急指挥机构提供决策参考依据。

（二）综合管理能力

伴随着互联网的飞速发展，网络安全领域相关的技术手段不断翻新，对应急指挥的能力、效率、准确程度要求更高。在实现网络与信息安全应急指挥业务的过程中，应注重用信息化手段建立完整的业务流程，注重建立集网络安全综合管理、动态监测、预警、应急响应为一体的网络安全综合管理能力。

要切实认识到数据资源管理的重要性，结合日常应急演练和管理工作，做好应急资源库、专家库、案例库、预案库等重要数据资源的整合、管理工作，在应急处理流程中，能够依托自动化手段，针对具体事件的研判处置推送关联性信息，不断丰富数据资源。

（三）处理网络安全日常管理与应急响应关系的能力

网络安全日常管理与应急响应有较为明显的区别，其主要体现在以下3个方面。

1、业务类型不同。日常管理工作主要包括对较小的信息安全事件进行处置，组织开展应急演练工作等，而应急响应工作一般面对较严重的信息安全事件，需要根据国家政策要求，进行必要的上报，并开展或配合开展专家联合研判、协同处置、资源保障、应急队伍管理等工作。

2、响应流程不同。日常管理工作中，对较小事件的处理在流程上要求简单快速，研判、处置等工作由少量专业人员完成即可。而应急响应工作，需要有信息上报、联合审批、分类下发等重要环节，响应流程较为复杂。

3、涉及范围不同。应急响应工作状态下，严重的网络安全事件波及范围广，需要较多的涉事单位、技术支撑机构和个人进行有效协同，也需要调集更多的应急资源进行保障，其涉及范围远大于日常工作状态。

然而，网络安全日常管理与应急工作不可简单割裂。例如，两者都需要建立在对快速变化的信息进行综合分析、研判、辅助决策的基础之上，拥有很多相同的信息来源和自动化汇聚、分析手段。同时，日常工作中的应急演练管理、预案管理等工作，本身也是应急响应能力建设的一部分。因此，在流程机制设计、自动化平台支撑等方面，应充分考虑2种工作状态的联系，除对重大突发网络安全事件应急响应业务进行能力设计实现外，还应注重强化对日常业务的支撑能力，以能够最大限度地发挥管理机构能力和效力。

（四）协同作战能力

研判、处置重大网络信息安全事件，需要多个单位、部门和应急队伍进行支撑和协调，需要建设良好的通信保障基础设施，建立顺畅的信息沟通机制，并通过经常开展应急演练工作，使各单位、个人能够在面对不同类型的事件时，熟悉所承担的应急响应角色，熟练开展协同保障工作。

三、网络安全事件的应急响应流程

随着国家信息化建设进程的加速，计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多，网络边界不断扩大，网络安全管理的难度日趋增大，各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术也在快速发展，但实践证明，现实中再完备的安全保护也无法抵御所有危险。因此，完善的网络安全体系要求在保护体系之外必须建立相应的应急响应体系。

（一）网络安全应急响应六大阶段

为最大限度科学、合理、有序地处置网络安全事件，采纳了业内通常使用的PDCERF方法学（最早由 1987 年美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出），将应急响应分成准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）6个阶段的工作，并根据网络安全应急响应总体策略对每个阶段定义适当的目的，明确响应顺序和过程。应急响应PDCERF模型如图1所示。

图1 应急响应PDCERF模型

（二）网络安全事件分阶段响应流程

1、准备阶段

选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具，为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘（或CD−ROM）使机器以已知的预先设定的配置重新启动，这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

为了防止不可预期的变化，在试验机器上安装可信任版本的系统；为了避免有意或无意的破坏，所有的介质应该处于硬件写保护状态。

建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。建立资源工具包并准备相关硬件设备资源工具包，包含在响应过程中可能要使用的所有工具。确保测试系统正确配置且可用在任何分析或测试中，使用被入侵的系统都可能导致这些系统进一步地暴露和损害。已被入侵的系统产生的任何结果都是不可靠的。此外，采用这样的系统或许会由于恶意程序而暴露正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中，并且部署新安装的打过补丁的安全系统，以便继续运行。在完成分析后，清除所有的磁盘，这样可以确保任何残留文件或恶意程序不影响将来的分析，或任何正在测试系统上进行的工作，或无意中被传到其他运行系统中。这在测试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果，以备将来进一步分析。

2、检测阶段

检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作，分析所有可能得到的信息来确定入侵行为的特征。

一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵，需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹，进一步破坏准备拯救的系统。这会使分析无法进行下去。

备份并“隔离”被入侵的系统，进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志，确定攻击者的入侵路径和方法，以及入侵者进入系统后都做了什么。

在当前缺少安全预警机制的情况下，网络安全的应急响应活动主要还是立足于事中或事后的确认，而且，即使是在事中或事后，也不一定可以发现存在的安全问题，往往都是在已经造成了破坏之后，才发生了对系统可用性、完整性和保密性造成明显破坏的行为或者有了用户投诉后才会去了解发生的安全问题。

一般典型的事故现象包括：

（1）账号被盗用；

（2）骚扰性的垃圾信息；

（3）业务服务功能失效；

（4）业务内容被明显篡改；

（5）系统崩溃、资源不足。

3、抑制阶段

抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响，最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是，一般情况下攻击包都会伪造源IP地址，在Internet这样的大型网络环境中难以确定攻击流的真正来源，因此，要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。

抑制采用的方式可能有多种，常见的包括：

（1）关掉已受害的系统；

（2）断开网络；

（3）修改防火墙或路由器的过滤规则；

（4）封锁或删除被攻破的登录账号；

（5）关闭可被攻击利用的服务功能。

4、根除阶段

根除阶段的主要任务是通过事件分析查明事件危害的方式，并且给出清除危害的解决方案。

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。

主动方式是采用攻击诱骗技术，通过让攻击方去侵入一个受监视存在漏洞的系统，直接观察到攻击方所采用的攻击方法。

被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。

（1）系统异常行为分析：这是在维护系统及其环境特征白板的基础上，通过与正常情况做比较，找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码。

（2）日志审计：日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。

（3）入侵监测：对于还在进行的攻击行为，入侵监测方式通过捕获并检测进出系统的数据流，利用入侵监测工具所带的攻击特征数据库，可以在事件分析过程中帮助定位攻击的类型。

（4）安全风险评估：无论是利用系统漏洞进行的网络攻击还是感染病毒，都会对系统造成破坏，通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。

但是，在实际的事件分析过程中，往往会综合采用被动和主动的事件分析方法。特别是对于在网上自动传播的攻击行为，当采用被动方式难以分析出事件根本原因的时候，采用主动方式往往会很有效。

最后，改变全部可能受到攻击的系统的口令、重新设置被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序（包括应用服务）和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露程度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

5、恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说，要成功地恢复被破坏的系统，需要维护干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。