网络安全应急响应与处置手册（执行版）.docxVIP

网络安全应急响应与处置手册（执行版）

第1章事件发现与初步研判

1.1告警识别与通知确认

系统管理员需在监控大屏或日志系统中第一时间捕捉到异常流量特征，例如检测到某IP地址在5分钟内发送了超过1000条TCP连接请求，且目标端口为445，这通常指示了潜在的暴力破解攻击。安全运营中心（SOC）的警报系统应自动触发声光报警，同时向负责该区域的值班人员发送包含时间戳、告警级别及初步描述的电话通知，确保信息在30秒内传达到一线处置人员手中。

值班人员需立即核对告警来源，确认是否为误报，通过检查防火墙拦截日志或交换机端口控制平面日志，验证是否存在因服务器重启或临时网络波动导致的误报现象。若确认为真实攻击，值班人员需迅速记录告警编号、发生时间、涉及主机IP及端口号，并将该告警作为核心情报输入到工单系统中，形成标准化的电子证据链。通知确认环节需遵循“双人复核”原则，由一名资深安全专家确认告警的真实性，另一名普通员工确认通知渠道的有效性，确保所有关键信息传递无遗漏、无偏差。

确认无误后，需立即更新事件台账，将“已确认”状态标记为黄色高亮，并通知相关业务部门准备配合调查，防止因信息不对称导致业务中断。

1.2信息收集与初步分析

初步分析阶段需利用网络流量分析工具（如Wireshark）抓取目标主机端口445的网络包，提取TCP握手包中的F