應急響應培訓概述我們要做什么目錄contents相關法律法規應急響應概述1應急響應流程23應急響應綜述計算機安全事件是指由于自然或者人為，以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或者在信息系統內發生對社會造成負面影響的事件。常見的一些計算機安全事件如：竊取商業機密垃圾郵件或郵件騷擾；對計算機系統的未授權訪問或非法入侵；盜用；擁有或分發非法內容（例如色情等）；拒絕服務（DoS、DDoS）攻擊；商業關系的侵權沖突；敲詐；不當使用；其證據可存儲在計算機介質中的任何非法行為（如欺騙、恐嚇）等。導致安全事件的原因大型企業的業務模式多，對外暴露的服務也多。由于對外暴露的服務多，導致被攻擊的面也會擴大。黑產團伙每天都會利用秒殺型漏洞批量掃描全網IP除了做黑產，還有可能會遇到APT……應急響應對應的英文是IncidentResponse或EmergencyResponse”等，通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生后所采取的措施。應急響應目標目錄contents應急響應概述我們要做什么相關法律法規121應急響應流程3法律法規、政策要求（一）國家網絡安全事件應急預案（二）GB/Z

20985-2007信息技術

安全技術

信息安全事件管理指南（三）GB/T

20986-2007

信息安全技術

信息安全事件分類分級指南（四）GB/T

20988-2007信息安全技術

信息系統災難恢復規范（五）GB/T

24363-2009

信息安全技術

信息安全應急響應計劃規范（六）GBT

28517-2012

網絡安全事件描述和交換格式……法律法規、政策要求應急事件分類計算機病毒事件：病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。蠕蟲事件：指網絡蠕蟲，其表現形式為，內外網主機遭受惡意代碼破壞或從外網發起對網絡的蠕蟲感染。木馬事件：是指通過特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執行程序：一個是控制端，另一個是被控制端。僵尸網絡事件：是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。域名劫持事件：是指通過攻擊域名解析服務器（DNS），或偽造域名解析服務器（DNS）的方法，把目標網站域名解析到錯誤的地址從而實現用戶無法訪問目標網站的目的。網絡仿冒事件：是指不法分子在互聯網上仿冒知名的電子交易站點（如銀行或拍賣網站）的網頁，誘使用戶訪問假站點，騙取用戶的賬號和密碼等信息，從而竊取錢財。網頁篡改事件：是指攻擊者已經獲取了網站的控制權限，將網頁篡改為非本網站的頁面。應急事件分類網頁掛馬事件：是指攻擊者已經獲取了網站的控制權限，在網站上插入惡意代碼，以實現針對所有訪問者進行木馬攻擊事件。拒絕服務攻擊事件：拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。后門漏洞事件：是指攻擊者已經獲取了網站或服務器權限，為實現長久控制的目的，在網站或服務器上留下可再次進入的后門程序。非授權訪問事件：是指沒有預先經過同意，就使用網絡或計算機資源，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。垃圾郵件事件：是指未經用戶許可（與用戶無關）就強行發送到用戶的郵箱中的任何電子郵件。其他網絡安全事件：其它未在上述定義的網絡安全事件。應急事件分級對信息安全事件的分級主要考慮三個要素：信息系統的重要程度、系統損失和社會影響。信息系統的重要程度主要考慮信息系統所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度，劃分為：特別重要信息系統重要信息系統一般信息系統應急事件分級分級要素-系統損失對信息安全事件的分級主要考慮三個要素：信息系統的重要程度、系統損失和社會影響。分級要素-社會影響對信息安全事件的分級主要考慮三個要素：信息系統的重要程度、系統損失和社會影響。應急事件分級目錄contents應急響應概述我們要做什么應急響應流程相關法律法規1231應急響應流程4、根除階段應急響應流程-準備階段應急響應的準備是整個應急響應過程有效性的保證。因此，在應急響應實施前，應該：進行調研分析；確定應急響應的目標；確定應急響應范圍；制定應急響應預案；制定應急服務方案；簽署應急響應服務承諾書；應急響應工具準備及更新維護；組建適當的管理與實施團隊；制定預防和預警機制；應急響應流程-檢測階段確定檢測對象及范圍判斷是否為安全事件確定應急處理方案明確檢測范圍與檢測行為規范預測應急處理方案可能造成的影響應急響應流程-抑制階段明確抑制處理的目的明確抑制處理帶來的風險抑制處理方案應急抑制的目的是限制安全事件對受保護信息系統造成影響的范圍和程度。應急抑制是信息安全應急響應工作中的重要環節。在信息安全事件發生的第一時間內對故障系統或區域實施有效的隔離和處理，或者根據所擁有的資源狀況和事件的等級，采用臨時切換到備份系統等措施降低事件損失、避免安全事件的擴散（例如蠕蟲的大規模傳播）和安全事件對受害系統的持續性破壞，有利于應急響應工作人員對安全事件做出迅速、準確的判斷并采取正確的應對策略。應急抑制過程中，重要的是確保業務連續性，應盡量保證在備份系統中完全運行原來的業務。如果出現資源緊張，應盡可能保證重要資產優先運行，維持最基本的業務能力。將檢測到的結果跟客戶進行充分溝通，告知客戶目前面臨的主要問題，及處理方法。應急響應流程-根除階段確定根除方案明確風險事件根除記錄應急響應流程-恢復階段明確風險重建系統數據備份安裝新操作系統配置基線及訪問控制數據恢復上線測試應急演練應急響應流程-跟進階