1.3 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程

網(wǎng)絡(luò)安全事件是企業(yè)和個(gè)人必須面對(duì)的威脅，網(wǎng)絡(luò)安全事件的發(fā)生越來(lái)越頻繁且事件本身越來(lái)越復(fù)雜。為了有效應(yīng)對(duì)這些威脅，建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程變得尤為重要。現(xiàn)在主流的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程都是參照PDCERF模型設(shè)計(jì)的，PDCERF模型最早于1987年提出，該模型將網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程分成準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和總結(jié)六大階段，如圖1.1所示。

在整個(gè)流程中，每個(gè)階段都有其特定的目標(biāo)和任務(wù)，且這些任務(wù)必須按照特定的先后順序由專業(yè)的團(tuán)隊(duì)負(fù)責(zé)執(zhí)行。通過(guò)合理利用PDCERF模型，應(yīng)急響應(yīng)人員可以快速、高效地響應(yīng)并處置網(wǎng)絡(luò)安全事件，從而降低風(fēng)險(xiǎn)和減少損失。但是，PDCERF模型不是安全事件應(yīng)急響應(yīng)流程的唯一參照。下面我們?cè)敿?xì)介紹PDCERF模型。

在實(shí)際網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程中，這6個(gè)階段不一定嚴(yán)格存在，也不一定嚴(yán)格按照?qǐng)D1.1所示的順序進(jìn)行，但這的確是目前適用性較強(qiáng)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程。

1．準(zhǔn)備階段

準(zhǔn)備階段以預(yù)防為主，主要工作涉及識(shí)別機(jī)構(gòu)、企業(yè)的風(fēng)險(xiǎn)，制定安全政策，構(gòu)建協(xié)作體系和應(yīng)急制度。在該階段需要按照安全政策配置安全設(shè)備和軟件，為應(yīng)急響應(yīng)與恢復(fù)準(zhǔn)備主機(jī)；依照網(wǎng)絡(luò)安全措施，進(jìn)行一些準(zhǔn)備工作，例如掃描、風(fēng)險(xiǎn)分析、修復(fù)漏洞等。如有條件且得到許可，可建立監(jiān)控設(shè)施，建立數(shù)據(jù)匯總分析體系，制定能夠?qū)崿F(xiàn)應(yīng)急響應(yīng)目標(biāo)的策略和規(guī)程，并建立信息溝通渠道，以形成能夠集中處理突發(fā)事件的體系。

2．檢測(cè)階段

檢測(cè)階段主要檢測(cè)并判斷事件是處于已經(jīng)發(fā)生狀態(tài)還是正在進(jìn)行中狀態(tài)、分析事件產(chǎn)生的原因、確定事件性質(zhì)和影響的嚴(yán)重程度，并規(guī)劃采用怎樣的專用資源進(jìn)行修復(fù)。在該階段需要選擇檢測(cè)工具，分析異常現(xiàn)象，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別，估計(jì)安全事件影響的范圍；通過(guò)匯總，判斷是否存在影響范圍覆蓋全網(wǎng)的大規(guī)模事件，從而確定應(yīng)急級(jí)別并選定對(duì)應(yīng)的應(yīng)急方案。

根據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類分級(jí)指南》（GB/T 20986—2023），信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他事件這7個(gè)基本分類，每個(gè)基本分類分別包括若干個(gè)子類，具體如下。

● 有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入信息系統(tǒng)中的一段危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行的程序。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件、其他有害程序事件等7個(gè)子類。

● 網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件、其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類。

● 信息破壞事件（IDI）是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件等6個(gè)子類。

● 信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括違反憲法和法律、行政法規(guī)的信息安全事件；針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串聯(lián)、煽動(dòng)集會(huì)游行的信息安全事件；其他信息內(nèi)容安全事件等4個(gè)子類。

● 設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及由人為使用非技術(shù)手段有意或無(wú)意造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障等4個(gè)子類。

● 災(zāi)害性事件是指由不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。

● 其他事件是指不能歸為以上 6 個(gè)基本分類的其他信息安全事件。

注意，本書(shū)主要涉及前3個(gè)基本分類。

3．抑制階段

抑制階段的主要任務(wù)是限制攻擊或破壞波及的范圍，同時(shí)也減少潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測(cè)事件的基礎(chǔ)上的，抑制活動(dòng)必須結(jié)合檢測(cè)階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。

抑制策略通常包含以下內(nèi)容。

● 從網(wǎng)絡(luò)上斷開(kāi)主機(jī)或斷開(kāi)部分網(wǎng)絡(luò)，隔離受影響的網(wǎng)絡(luò)。

● 修改所有的防火墻和路由器的過(guò)濾規(guī)則。

● 封鎖或刪除被攻擊的登錄賬號(hào)。

● 加強(qiáng)對(duì)系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控。

● 設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息。

● 關(guān)閉受攻擊的系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù)。

● 根據(jù)攻擊特征，對(duì)其進(jìn)行攔截，修改服務(wù)端口，轉(zhuǎn)移流量指向等。

4．根除階段

根除階段的主要任務(wù)是通過(guò)事件分析找出事件發(fā)生的根源并將其根除，避免攻擊者再次使用相同的手段攻擊系統(tǒng)，引發(fā)安全事件。在該階段需要加強(qiáng)宣傳，公布網(wǎng)絡(luò)安全事件的危害性和處置辦法，解決共性問(wèn)題；同時(shí)加強(qiáng)監(jiān)測(cè)工作，及時(shí)發(fā)現(xiàn)和清理同類問(wèn)題。

根除階段常用的手段有以下幾類。

● 清除主機(jī)、網(wǎng)頁(yè)上存在的有害程序。

● 安裝與漏洞對(duì)應(yīng)的補(bǔ)丁。

● 修改存在漏洞的代碼。

● 重置被入侵的系統(tǒng)。

● 修改受到攻擊的口令。

● 調(diào)整網(wǎng)絡(luò)策略配置，避免預(yù)期外的暴露。

● 刪除被泄露的文件，并對(duì)文件包含的敏感信息進(jìn)行修改及監(jiān)控。

● 采購(gòu)對(duì)應(yīng)的安全設(shè)備及服務(wù)。

5．恢復(fù)階段

恢復(fù)階段的主要任務(wù)是把被破壞的信息全面還原到正常運(yùn)作狀態(tài)。在該階段需要確定使系統(tǒng)恢復(fù)正常的需求內(nèi)容和時(shí)間表，從可信的備份介質(zhì)中恢復(fù)用戶數(shù)據(jù)，重啟系統(tǒng)和應(yīng)用服務(wù)，恢復(fù)系統(tǒng)網(wǎng)絡(luò)連接，驗(yàn)證恢復(fù)后的系統(tǒng)，觀察其他的掃描結(jié)果，探測(cè)可能表示攻擊者再次入侵的信號(hào)。一般來(lái)說(shuō)，要想成功地恢復(fù)被破壞的系統(tǒng)，需要準(zhǔn)備干凈的備份系統(tǒng)，編制并維護(hù)系統(tǒng)恢復(fù)的操作手冊(cè)，而且在系統(tǒng)恢復(fù)后需要對(duì)系統(tǒng)進(jìn)行全面的安全加固，以防未來(lái)可能的攻擊。

6．總結(jié)階段

總結(jié)階段的主要任務(wù)是回顧并整合網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程的相關(guān)信息，進(jìn)行事后分析總結(jié)和修訂安全計(jì)劃、政策、程序，并進(jìn)行訓(xùn)練，以防再次發(fā)生網(wǎng)絡(luò)安全事件。在該階段需要基于網(wǎng)絡(luò)安全事件的嚴(yán)重程度和影響程度，確定是否進(jìn)行新的風(fēng)險(xiǎn)分析，給系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)制作一個(gè)新的目錄清單。這個(gè)階段的工作對(duì)于準(zhǔn)備階段工作的開(kāi)展具有重要的支持作用。

總結(jié)階段的工作主要包括以下三方面的內(nèi)容。

● 形成事件處理的最終報(bào)告。

● 檢查網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程中存在的問(wèn)題，重新評(píng)估和修改該流程。

● 評(píng)估應(yīng)急響應(yīng)人員在針對(duì)事件處置進(jìn)行相互溝通時(shí)存在的缺陷，以促進(jìn)事后進(jìn)行更有針對(duì)性的培訓(xùn)。