網絡安全應急響應各國應該深化務實合作，以共進為動力，以共贏為目標，走出一條互信共治之路，讓網絡空間命運共同體更具生機活力。文字學習5G這張網改變了什么？拓展主題愛國主義、科技強國、技能強國物聯網、移動互聯網、云計算、大數據正蓬勃發展，新興技術正顛覆傳統，帶來源源不斷的變化。但是網絡安全事件層出不窮，讓人們對網絡安全的更加關注。2017年，以WannaCry勒索病毒為代表的全球網絡攻擊任處于高發態勢，突發性事件面前，各國監控預警失效，攻防實力懸殊，應急響應被動。對此，如何調整了應急思路。通過本節的介紹給出參考。學完本課程后，您將能夠：了解網絡安全應急響應的產生背景描述網絡安全應急響應的處理流程了解網絡安全應急響應的新趨勢網絡安全應急響應概述網絡安全應急響應的產生網絡安全應急響應概述網絡安全應急響應處理介紹信息安全應急響應產生背景1988年11月發生的莫里斯蠕蟲病毒事件（MorrisWormIncident）致使當時的互聯網絡超過10%的系統不能工作。該案件轟動了全世界，并且在計算機科學界引起了強烈的反響。為此，1989年，美國國防部高級研究計劃署資助卡內基·梅隆大學建立了世界上第一個計算機緊急響應小組（ComputerEmergencyResponseTeam，簡稱CERT）及協調中心（CERT/CC）。FIRST的產生背景由于各個國家應急響應組之間不僅存在語言、時區及性質上的差異，而且面向不同的用戶群體，屬于不同的國家的組織，他們之間的交流與合作存在很大的困難。這種情況下，1990年11個應急響應安全組織成立了事件響應與安全組論壇（ForumofIncidentResponseandSecurityTeams，FIRST）截止到2018年，FIRST已經包括全球400多個應急響應安全組織。應急響應組織在中國的發展121999年，教育與科研計算機網在清華大學成立CERNET應急響應組（CCERT），為中國教育和科研行業用戶提供應急響應服務。32000年10月，國家計算機網絡應急技術處理協調中心（CNCERT/CC）成立，并于2002年8月成為國際應急響應權威組織（FIRST）”的正式成員。在CNCERT/CC的協調組織下，各大電信運營商都紛紛成立自己的應急響應隊伍。隨后解放軍軍隊應急組織、公安部計算機病毒防治中心、公安部計算機應急網站也先后建立。中國國家互聯網應急中心國家計算機網絡應急技術處理協調中心（簡稱“國家互聯網應急中心”，英文簡稱是CNCERT或CNCERT/CC），成立于2002年9月，為非政府非盈利的網絡安全技術中心，是我國網絡安全應急體系的核心協調機構。同時，CNCERT作為中國非政府層面開展網絡安全事件跨境處置協助的重要窗口，積極開展網絡安全國際合作，截至2017年，CNCERT已與72個國家和地區的211個組織建立了“CNCERT國際合作伙伴”關系。CNCERT國際合作伙伴ForumofIncidentResponseaddSecurityTeamsAsiaPacificComputerEmergencyResponseTeamAnti-PhishingWorkingGroupCymru網絡安全應急響應概述網絡安全應急響應的產生網絡安全應急響應概述網絡安全應急響應處理介紹我國網絡安全相關法規標準2016年11月全國人大常委會表決通過了《中華人民共和國網絡安全法》，于2017年6月1日起正式實施。《網絡安全法》是中國第一部有關網絡安全的基礎性，“大綱性”的法律。《網絡安全法》歷經三年的醞釀審議并最終發布，過程如下：2014年2月中央網絡安全和信息化領導小組成立，兩會上“網絡安全法”首次被寫入工作報告。2015年6月十二屆全國人大常委會審議《網絡安全法（草案）》。2015年7月面向社會公開征求意見，并根據人大常委會組和各方意見反饋，對草案進行修訂，形成了《網絡安全法（草案二次審議稿）》。2016年6月十二屆全國人大常委會對《網絡安全法（草案）》進行二次審議。2016年7月《網絡安全法（草案）》二次審議稿正式在人大網公布，并向社會公開征求意見。2016年11月十二屆人大常委會第24次會議上，以154票贊成、1票棄權表決通過《中華人民共和國網絡安全法》。2017年6月《中華人民共和國網絡安全法》，于2017年6月1日起正式生效。網絡安全事件分類《國家網絡安全事件應急預案》中對網絡安全事件進行了分類，如下：信息破壞事件有害程序事件網絡攻擊事件災害性事件設備設施故障信息內容安全事件國家網絡安全事件等級分類《國家網絡安全事件應急預案》明確了《網絡安全法》第五章“檢測預警和應急預案”的具體實踐方案。并將網絡安全事件分為四級，應對四級預警等級和四級應急響應。網絡安全事件等級預警等級應急響應等級特別重大網絡安全事件重大網絡安全事件較大網絡安全事件一般網絡安全事件紅色預警橙色預警黃色預警藍色預警Ⅰ級響應Ⅱ級響應Ⅲ級響應Ⅳ級響應應急響應概念應急響應（IncidentResponse/EmergencyResponse）通常是指一個組織為了應對突發、重大信息安全事件的發生所做的準備，以及在事件發生后所采取的措施

。——GB/T24363-2009信息安全應急響應計劃規范信息系統安全事件應急響應的對象是指對信息系統所存儲、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統自身故障、組織內/外部的人員人為攻擊等。

——GA/T708-2007信息系統等保體系框架MPDRR網絡安全應急響應模型MPDRR模型是一個最常見的具有縱深防御體系的網絡安全模型。MPDRR模型包含了管理（Management）、防護（Protection）、檢測（Detection）、響應（Reaction）和恢復（Recovery）5個環節。MPDRR模型是在PDRR模型基礎上發展而成，它繼承了PDRR模型的優點，并加入了安全管理這一環節，從而將技術和管理融為一體。恢復管理響應防護檢測防護檢測響應恢復網絡安全應急響應形式應急響應形式分為兩種：遠程應急響應：客戶通過電話、Email、傳真等方式請求安全事件應急響應，應急響應組通過相同的方式為客戶解決問題，應急響應一般先采取該方式。本地應急響應：應急響應組在第一時間趕往客戶網絡安全事件的事發地點，在現場為客戶查找原因并解決相應問題，最后出具詳細的應急響應報告。遠程應急響應本地應急響應網絡安全應急響應概述網絡安全應急響應介紹網絡安全應急響應流程網絡安全應急響應新趨勢網絡安全應急響應是很重要的，現在網絡安全事件層出不窮，網絡安全應急響應預案能夠在網絡安全事件發生后，快速、高效的跟蹤、處理與防范各類安全事件，確保網絡信息安全。就目前的網絡安全應急監測體系來說，其應急處理工作可分為以下幾個階段：網絡安全應急響應準備階段檢測階段抑制階段根除階段恢復階段總結階段網絡安全應急響應網絡安全應急響應處理流程網絡安全應急響應處理流程如下：開始是否發生安全事件對事件定級上報結束響應是否有應急響應預案否是啟動預案抑制事件擴散對事件進行根除恢復系統評估損失編寫總結報告否是準備階段準備階段：在網絡安全事件發生前，對可能發生的安全事件進行評估，制定相應策略和保障措施，來抑制安全事件的擴散并將其根除。包括以下內容：1.建立防御體系、控制措施2.兼顧安全管理和技術1.制定應急處理操作步驟2.制定應急處理報告3.制定信息系統恢復優先級順序4.明確配合人員信息1.組建管理團隊，技術團隊2.明確人員職責3.編制應急響應人員組織清單1.明確信息系統網絡與架構2.明確管理人員3.明確系統保護要求4.計算損失與影響1.繪制網絡拓撲2.整理系統、設備安裝配置文檔3.整理常見問題處理手冊1.申請應急響應專項資金2.采購應急響應軟硬件設備3.明確社會關系資源風險加固編制應急預案組建應急響應團隊保障資源儲備技術支持資源庫分析資產風險準備階段檢測階段檢測階段：進行日常監控，收集系統信息。當網絡安全事件發生時，判斷事件影響程度并根據信息安全事件等級進行上報。檢測階段的主要工作如下：日常運維監控收集故障信息確認系統運行狀況信息安全事件探測確認安全事件的影響范圍確認安全事件造成的損害程度判斷是否是信息安全應急事件安全事件判斷通知相關人員啟動應急響應預案確認安全事件類型確認安全事件等級安全事件上報抑制階段：限制攻擊的范圍，同時限制潛在的損失和破壞。在檢測階段階段確認緊急事件發生的情況下，進入應急響應流程。應急響應系統本身將根據預先制定的規則，采取相應的措施，把緊急事件的影響降低到最小。這些措施主要包括：抑制階段A控制事件擴散、蔓延1.初步分析，重點確定適當的遏制方法；2.阻斷正在發起攻擊的行為，降低影響范圍。抑制響應1.根據預案采取響應的技術手段處理安全事件；2.設置隔離區域，匯總數據，估計損失。抑制監控1.確認抑制手段是否起作用；2.分析事件發生的原因，提供解決方案依據。根除階段根除階段：在安全事件被抑制后，找出事件根源并徹底根除才能真正的解決問題。采取的措施如下：查找原因修補加固總結宣傳查找病毒、木馬；查找非法入侵行為；查找非法授權訪問；查找系統漏洞等。升級系統補丁、軟件；修訂安全策略；啟用安全審計。分析原因，提供改善依據；加強公共宣傳。恢復階段把所有受侵害或被破壞的系統、應用、數據庫、網絡設備等徹底地還原到它們正常的任務狀態。具體工作如下：對破壞的網絡設備進行配置恢復；恢復被破壞的數據或系統；對所有的變更作備份；對重新上線的設備持續監控，了解各其運行情況。判斷隔離措施的有效性。根據具體情況適當的解除封鎖措施，或去掉短期抑制措施中的防御措施。總結階段從已發生的安全事件出發、吸取安全事件響應過程中的教訓，回顧并總結發生安全事件的相關信息。主要內容如下：應急響應總結應急響應情況報告安全事件調查由應急響應實施組報告安全事件處理情況；由應急響應領導小組下達應急響應結束指令。01調查事件發生原因；評估對信息系統造成的損失；評估對單位、組織的影響。02對風險點加固整改；評價應急預案的執行情況，提出后續改進計劃；對應急響應組織成員進行評價。03網絡安全應急響應概述網絡安全應急響應介紹網絡安全應急響應流程網絡安全應急響應新趨勢全球重大安全事件物聯網、移動互聯網、云計算、大數據正蓬勃發展，新興技術正顛覆傳統，帶來源源不斷的變化。但是網絡安全事件層出不窮，讓人們對網絡安全的更加關注。2016年11月，美國大選前夕，總統候選人個人郵箱數千封郵件被黑客公之于眾。事后美國國會參議院情報委員會認定，俄羅斯干預了美國總統選舉。2017年11月8日，美國拉斯維加斯無人駕駛巴士獲準上路，駕駛過程中巴士探測到了前方有障礙，但是沒有倒車躲避。造成與卡車“剮蹭”事件。2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發。至少150個國家、30萬名用戶中招，造成損失達80億美元。2018年3月，爆出劍橋分析在未經用戶同意的情況下，利用Facebook上5000萬個人資料數據創建檔案，并在2016美國大選時進行定向宣傳。針對網絡安全法律法規形勢2017年，各國網絡安全法律法規圍繞關鍵基礎設施、個人數據安全、網絡應急響應等核心制度展開試點，部分國家在以自動駕駛安全保障的領域出臺了嘗試性規定。

英國德國《自動化和互聯網車輛交通倫理準則》對飽受爭議的自動駕駛倫理進行了明確。如禁止對“兩難決策”進行事先編程；自動化系統所造成的損害遵從產品責任原則等。《聯網和自動駕駛汽車網絡安全核心原則》將網絡安全責任拓展到汽車供應鏈的每一方利益主體，要求將網絡安全貫穿到汽車整個生命周期。并設定了車輛網絡安全底線：即使遭到攻擊，也要保證車輛基本運行安全。網絡安全應急響應趨勢2017年，以WannaCry勒索病毒為代表的全球網絡攻擊任處于高發態勢，突發性事件面前，各國監控預警失效，攻防實力懸殊，應急響應被動。對此，美國、比利時等國調整了應急思路。美國新形勢比利時整體創新摒棄美國《國家網絡應急響應計劃》中預防保護、偵測、分析、反應和解決五個步驟的死板做法；重新將應急響應劃分為資產響應、威脅響應和情報支持三條主線，多條戰線同時啟動，各司其職，不分先后。抗壓能力評估在目前網絡環境之下，網絡攻擊不可避免，事故發生時盡可能地限制損害范圍，要求對可能受到損害的網絡基礎設施、互聯網信息服務應用等列出盤點清單。下列哪個選項不屬于PDRR網絡安全模型？（）防護檢測響應管理下列哪個選項不屬于網絡安全事件中劃分的等級？（）重大網絡安全事件特殊網絡安全事件一般網絡安全事件較大網絡安全事件網絡安全應急響應概述網絡安全應急響應的產生網絡安全應急響應概述網絡安全應急響應介紹網絡安全應急響應流程網絡安全應急響應新趨勢信息安全技術總復習網絡參考模型常見網絡設備NAT地址轉換防火墻雙機熱備加解密技術應用1.網絡參考模型OSI七層模型應用層表示層會話層傳輸層網絡層數據鏈路層物理層1234567提供應用程序間通信處理數據格式、數據加密等建立、維護和管理會話建立主機端到端連接尋址和路由選擇提供介質訪問、鏈路管理等比特流傳輸APDUPPDUSPDUSegmentPacketFrameBit上三層下四層TCP/IP參考模型提供應用程序網絡接口建立端到端連接尋址和路由選擇物理介質訪問HTTP,Telnet,FTP,TFTP,DNS網絡接口層網絡層傳輸層應用層Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARP2.常見網絡設備交換機交換機工作在數據鏈路層，轉發數據幀。SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交換機的轉發行為泛洪（Flooding）轉發（Forwarding）丟棄（Discarding）路由器功能：在不同的網絡之間轉發數據包。網絡層數據鏈路層物理層網絡層數據鏈路層物理層網絡層數據鏈路層物理層RouterARouterBRouterC應用層傳輸層網絡層數據鏈路層物理層HostAHostB應用層傳輸層網絡層數據鏈路層物理層RouterCRouterBRouterA路由選路路由器負責為數據包選擇一條最優路徑，并進行轉發。RTARTBRTCRTD防火墻防火墻主要用于保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行為。防火墻安全區域安全區域（SecurityZone），或者簡稱為區域（Zone）。Zone是本地邏輯安全區域的概念。Zone是一個或多個接口所連接的網絡。DMZ區域Trust區域Untrust區域防火墻安全區域與接口關系安全區域與接口關系防火墻是否存在兩個具有完全相同安全級別的安全區域？防火墻是否允許同一物理接口分屬于兩個不同的安全區域？防火墻的不同接口是否可以屬于同一個安全區域？G0/0/2

DMZ區域G0/0/3

Untrust區域G0/0/0

Trust區域G0/0/1

Trust區域防火墻安全策略定義安全策略是按一定規則控制設備對流量轉發以及對流量進行內容安全一體化檢測的策略。規則的本質是包過濾。主要應用對跨防火墻的網絡互訪進行控制。對設備本身的訪問進行控制。入數據流出數據流防火墻安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允許A后續操作Policy1：拒絕B后續操作防火墻安全策略防火墻安全策略作用：根據定義的規則對經過防火墻的流量進行篩選，并根據關鍵字確定篩選出的流量如何進行下一步操作。步驟1：入數據流經過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據安全策略定義規則對數據包進行處理默認策略操作3.NAT地址轉換NAT產生背景IPv4地址日漸枯竭；IPv6技術不能立即大面積替換；各種延長IPv4壽命的技術不斷出現，NAT就是其中之一。NAT的優點與缺點優點：實現IP地址復用，節約寶貴的地址資源。地址轉換過程對用戶透明。對內網用戶提供隱私保護。可實現對內部服務器的負載均衡。缺點：網絡監控難度加大。限制某些具體應用。NAT技術的基本原理NAT技術通過對IP報文頭中的源地址或目的地址進行轉換，可以使大量的私網IP地址通過共享少量的公網IP地址來訪問公網。內網用戶FTPServer將私網源地址替換為公網地址將公網目的地址替換為私網地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT分類源NAT地址池方式出接口地址方式（EasyIP）服務器映射靜態映射（NATserver）源NAT地址池方式(1)不帶端口轉換的地址池方式。此種方式為一對一的IP地址的轉換，端口不進行轉換。丟棄Untrust轉換Trust源

目的源1目的源NAT地址池方式(2)帶端口轉換的地址池方式。將不同的內部地址映射到同一公有地址的不同端口號上，實現多對一地址轉換。：7111：7112：7113Untrust轉換Trust源1源端口X

目的源源端口Y目的4.防火墻雙機熱備雙機熱備技術產生的原因傳統的組網方式如圖所示，內部用戶和外部用戶的交互報文全部通過FirewallA。如果FirewallA出現故障，內部網絡中所有以FirewallA作為默認網關的主機與外部網絡之間的通訊將中斷，通訊可靠性無法保證。FirewallA/24PC服務器內部網絡/24VRRP在多區域防火墻組網中的應用為防火墻上多個區域提供雙機備份功能時，需要在每一臺防火墻上配置多個VRRP備份組。DMZTrustUntrustUSGA/24MasterUSGBBackup/24備份組1VirtualIPAddress備份組2VirtualIPAddress備份組3VirtualIPAddressVRRP在防火墻應用中存在的缺陷傳統VRRP方式無法實現主、備用防火墻狀態的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實際連線報文流徑(9)VRRP用于防火墻多區域備份為了保證所有VRRP備份組切換的一致性，在VRRP的基礎上進行了擴展，推出了VGMP（VRRPGroupManagementProtocol）來彌補此局限。DMZTrustUntrustUSGA/24vUSGB/24備份組2備份組3備份組1VGMP管理組VGMP管理組helloackVGMP組管理狀態一致性管理VGMP管理組控制所有的VRRP備份組統一切換。搶占管理當原來出現故障的主設備故障恢復時，其優先級也會恢復，此時可以重新將自己的狀態搶占為主。HRP基本概念HRP（HuaweiRedundancyProtocol）協議，用來實現防火墻雙機之間動態狀態數據和關鍵配置命令的備份。VRRP組1VRRP組2VRRP組3①②③④⑤UntrustTrustDMZ會話表⑥FWAFWBHRP心跳接口兩臺FW之間備份的數據是通過心跳口發送和接收的，是通過心跳鏈路（備份通道）傳輸的。心跳口必須是狀態獨立且具有IP地址的接口，可以是一個物理接口（GE接口），也可以是為了增加帶寬，由多個物理接口捆綁而成的一個邏輯接口Eth-Trunk。VRRP備份組配置命令-CLI接口視圖下配置VRRP：執行此命令時，指定active或standby參數后，即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個普通物理接口（GigabitEthernet接口）下最多配置255個VRRP組。vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}HRP配置命令-CLI指定心跳口啟用HRP備份功能啟用允許配置備用設備的功能啟用命令與狀態信息的自動備份啟用會話快速備份hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]hrpenablehrpstandbyconfigenablehrpauto-sync[config|connection-status]hrpmirrorsessionenableVRRP配置舉例-CLIUSG_A關于VRRP組1配置：USG_B關于VRRP組1的配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress24[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress24[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandbyHRP配置舉例-CLIUSG_A關于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/6查看VRRP狀態-CLI查看處于VRRP備份組中的接口狀態信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup: