网络安全应急响应具体实施.pdfVIP

网络安全应急响应是在特定网络和系统面临或已经遭受突然攻击行为时，

进行快速应急反应，提出并实施应急方案。作为一项综合性工作，网络安

全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追

踪、计算机取证、自动响应等关键技术，对安全管理也提出更高的要求。

根据应急事件处理的PDCERF方法学，将应急响应分为准备、检测、抑制、

根除、恢复、跟进6个阶段的工作，本文按照各个阶段主要应用的关键技

术进行介绍。

一、准备阶段

准备（Preparation）阶段是网络安全事件响应的第一个阶段，也属于一个过

渡阶段，即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上，大

部分工作需要在应急响应之前就已做好准备。这一阶段极为重要，因为事件发

生时可能需要在短时间内处理较多事务，如果没有足够的准备，将无法准确地

完成及时响应，导致难以意料的损失。

（一）准备阶段工作内容

准备阶段的工作内容主要有2个，一是对信息网络系统进行初始化快照。

二是准备应急响应工具包。系统快照是指常规情况下，信息系统进程、账

号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发

生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统

快照，并在检测的时候将保存的快照与信息系统当前状态进行对比，是后

续“检测”安全事件的一种重要途径。

1、系统快照

系统快照是系统正常状态下的精简化描述，因此须在确保系统未被入侵的

前提下，由系统维护人员完成系统快照的生成和保存工作，注意执行系统

快照留存的时间点有以下几种。

（1）系统初始化安装完成后。

（2）系统重要配置文件发生更改后。

（3）系统进行软件升级后。

（4）系统发生过安全入侵事件并恢复后。

在进行安全检测时，通过将最近保存的系统快照与当前系统快照进行仔细

的核对，能够快速、准确地发现系统的改变或异常。

准备阶段还应包括建立安全保障措施、对系统进行安全加固，制定安全事

件应急预案规范，进行应急演练等内容。

主机系统快照，应包括但并不限于以下内容。

（1）系统进程快照。

（2）关键文件签名快照。

（3）开放的对外服务端口快照。

（4）系统资源利用率的快照。

（5）注册表快照。

（6）计划任务快照。

（7）系统账号快照。

（8）日志及审核策略快照。

以上内容中的系统进程快照、关键文件签名和系统账号快照尤为重要，一

般入侵事件均可通过此3项快照的关联分析查找获得重要信息。

网络设备快照应包括但并不限于以下内容。

（1）路由快照。

（2）设备账号快照。

（3）系统资源利用率快照。

数据库系统快照照应包括但并不限于以下内容。

（1）开启的服务。

（2）所有用户及所具有的角色及权限。

（3）概要文件。

（4）数据库参数。

（5）所有初始化参数。

2、应急响应工具包

应急响应工具包是指网络与信息安全应急事件处理过程中使用工具的集合。该

工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工

具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。本规范

结合实际工作情况，具体说明了Windows应急响应工具包和Unix/Linux应

急响应工具包。工具包应尽量放置在不可更改的介质上，如只读光盘。

（二）准备阶段工作流程

第一步：系统维护人员按照系统的初始化策略对系统进行安装和配置加固。

第二步：系统维护人员对安装和配置加固后的系统进行自我检查，确认是

否加固完成。

第三步：系统维护人员建立系统状态快照。

第四步：系统维护人员对快照信息进行完整性签名，以防止快照被非法篡

改。

第五步：系统维护人员将快照保存在与系统分离的存储介质上。

准备阶段的具体流程如图1所示。

图1准备阶段流程

（三）准备阶段操作说明

1、对系统的影响：操作不会对系统造成影响，在系统正常运行情况下

执行各个步骤。

2、操