應急響應培訓概述我們要做什么目錄contents相關法律法規(guī)應急響應概述1應急響應流程23應急響應綜述計算機安全事件是指由于自然或者人為，以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或者在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響的事件。常見的一些計算機安全事件如：竊取商業(yè)機密垃圾郵件或郵件騷擾；對計算機系統(tǒng)的未授權(quán)訪問或非法入侵；盜用；擁有或分發(fā)非法內(nèi)容（例如色情等）；拒絕服務（DoS、DDoS）攻擊；商業(yè)關系的侵權(quán)沖突；敲詐；不當使用；其證據(jù)可存儲在計算機介質(zhì)中的任何非法行為（如欺騙、恐嚇）等。導致安全事件的原因大型企業(yè)的業(yè)務模式多，對外暴露的服務也多。由于對外暴露的服務多，導致被攻擊的面也會擴大。黑產(chǎn)團伙每天都會利用秒殺型漏洞批量掃描全網(wǎng)IP除了做黑產(chǎn)，還有可能會遇到APT……應急響應對應的英文是IncidentResponse或EmergencyResponse”等，通常是指一個組織為了應對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。應急響應目標目錄contents應急響應概述我們要做什么相關法律法規(guī)121應急響應流程3法律法規(guī)、政策要求（一）國家網(wǎng)絡安全事件應急預案（二）GB/Z

20985-2007信息技術(shù)

安全技術(shù)

信息安全事件管理指南（三）GB/T

20986-2007

信息安全技術(shù)

信息安全事件分類分級指南（四）GB/T

20988-2007信息安全技術(shù)

信息系統(tǒng)災難恢復規(guī)范（五）GB/T

24363-2009

信息安全技術(shù)

信息安全應急響應計劃規(guī)范（六）GBT

28517-2012

網(wǎng)絡安全事件描述和交換格式……法律法規(guī)、政策要求應急事件分類計算機病毒事件：病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。蠕蟲事件：指網(wǎng)絡蠕蟲，其表現(xiàn)形式為，內(nèi)外網(wǎng)主機遭受惡意代碼破壞或從外網(wǎng)發(fā)起對網(wǎng)絡的蠕蟲感染。木馬事件：是指通過特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是控制端，另一個是被控制端。僵尸網(wǎng)絡事件：是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡。域名劫持事件：是指通過攻擊域名解析服務器（DNS），或偽造域名解析服務器（DNS）的方法，把目標網(wǎng)站域名解析到錯誤的地址從而實現(xiàn)用戶無法訪問目標網(wǎng)站的目的。網(wǎng)絡仿冒事件：是指不法分子在互聯(lián)網(wǎng)上仿冒知名的電子交易站點（如銀行或拍賣網(wǎng)站）的網(wǎng)頁，誘使用戶訪問假站點，騙取用戶的賬號和密碼等信息，從而竊取錢財。網(wǎng)頁篡改事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，將網(wǎng)頁篡改為非本網(wǎng)站的頁面。應急事件分類網(wǎng)頁掛馬事件：是指攻擊者已經(jīng)獲取了網(wǎng)站的控制權(quán)限，在網(wǎng)站上插入惡意代碼，以實現(xiàn)針對所有訪問者進行木馬攻擊事件。拒絕服務攻擊事件：拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務，是黑客常用的攻擊手段之一。后門漏洞事件：是指攻擊者已經(jīng)獲取了網(wǎng)站或服務器權(quán)限，為實現(xiàn)長久控制的目的，在網(wǎng)站或服務器上留下可再次進入的后門程序。非授權(quán)訪問事件：是指沒有預先經(jīng)過同意，就使用網(wǎng)絡或計算機資源，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡設備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。垃圾郵件事件：是指未經(jīng)用戶許可（與用戶無關）就強行發(fā)送到用戶的郵箱中的任何電子郵件。其他網(wǎng)絡安全事件：其它未在上述定義的網(wǎng)絡安全事件。應急事件分級對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家安全、經(jīng)濟建設、社會生活的重要性以及業(yè)務對信息系統(tǒng)的依賴程度，劃分為：特別重要信息系統(tǒng)重要信息系統(tǒng)一般信息系統(tǒng)應急事件分級分級要素-系統(tǒng)損失對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。分級要素-社會影響對信息安全事件的分級主要考慮三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。應急事件分級目錄contents應急響應概述我們要做什么應急響應流程相關法律法規(guī)1231應急響應流程4、根除階段應急響應流程-準備階段應急響應的準備是整個應急響應過程有效性的保證。因此，在應急響應實施前，應該：進行調(diào)研分析；確定應急響應的目標；確定應急響應范圍；制定應急響應預案；制定應急服務方案；簽署應急響應服務承諾書；應急響應工具準備及更新維護；組建適當?shù)墓芾砼c實施團隊；制定預防和預警機制；應急響應流程-檢測階段確定檢測對象及范圍判斷是否為安全事件確定應急處理方案明確檢測范圍與檢測行為規(guī)范預測應急處理方案可能造成的影響應急響應流程-抑制階段明確抑制處理的目的明確抑制處理帶來的風險抑制處理方案應急抑制的目的是限制安全事件對受保護信息系統(tǒng)造成影響的范圍和程度。應急抑制是信息安全應急響應工作中的重要環(huán)節(jié)。在信息安全事件發(fā)生的第一時間內(nèi)對故障系統(tǒng)或區(qū)域?qū)嵤┯行У母綦x和處理，或者根據(jù)所擁有的資源狀況和事件的等級，采用臨時切換到備份系統(tǒng)等措施降低事件損失、避免安全事件的擴散（例如蠕蟲的大規(guī)模傳播）和安全事件對受害系統(tǒng)的持續(xù)性破壞，有利于應急響應工作人員對安全事件做出迅速、準確的判斷并采取正確的應對策略。應急抑制過程中，重要的是確保業(yè)務連續(xù)性，應盡量保證在備份系統(tǒng)中完全運行原來的業(yè)務。如果出現(xiàn)資源緊張，應盡可能保證重要資產(chǎn)優(yōu)先運行，維持最基本的業(yè)務能力。將檢測到的結(jié)果跟客戶進行充分溝通，告知客戶目前面臨的主要問題，及處理方法。應急響應流程-根除階段確定根除方案明確風險事件根除記錄應急響應流程-恢復階段明確風險重建系統(tǒng)數(shù)據(jù)備份安裝新操作系統(tǒng)配置基線及訪問控制數(shù)據(jù)恢復上線測試應急演練應急響應流程-跟進階