網(wǎng)絡(luò)安全應急預案模板

網(wǎng)絡(luò)安全應急預案包括哪些呢？不知道的小伙伴來看看小編今天的分享吧!

網(wǎng)絡(luò)安全應急預案是在特定網(wǎng)絡(luò)和系統(tǒng)面臨或已經(jīng)遭突然攻擊行為時，進行快速應急反應，提出并實施應急方案。作為一項綜合性工作，網(wǎng)絡(luò)安全應急預案不僅涉及入侵檢測、事件診斷、攻擊隔離、快速恢復、網(wǎng)絡(luò)追蹤、計算機取證、自動響應等關(guān)鍵技術(shù)，對安全管理也提出更高的要求。應急預案分為準備、檢測、抑制、根除、恢復、跟進6個階段的工作。

一、準備階段

準備（Preparation）階段是網(wǎng)絡(luò)安全事件響應的第一個階段，也屬于一個過渡階段，即橫跨在網(wǎng)絡(luò)安全事件真正發(fā)生前和有跡象將要發(fā)生的時間段上，大部分工作需要在應急響應之前就已做好準備。這一階段極為重要，因為事件發(fā)生時可能需要在短時間內(nèi)處理較多事務，如果沒有足夠的準備，將無法準確地完成及時響應，導致難以意料的損失

準備階段的工作內(nèi)容主要有2個，一是對信息網(wǎng)絡(luò)系統(tǒng)進行初始化快照。二是準備應急響應工具包。系統(tǒng)快照是指常規(guī)情況下，信息系統(tǒng)進程、賬號、服務端口和關(guān)鍵文件簽名等狀態(tài)信息的記錄。通過在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下，立即制作并保存系統(tǒng)快照，并在檢測的時候?qū)⒈４娴目煺张c信息系統(tǒng)當前狀態(tài)進行對比，是后續(xù)“檢測”安全事件的一種重要途徑。

準備階段工作流程分：系統(tǒng)維護人員按照系統(tǒng)的初始化策略對系統(tǒng)進行安裝和配置加固。系統(tǒng)維護人員對安裝和配置加固后的系統(tǒng)進行自我檢查，確認是否加固完成。系統(tǒng)維護人員建立系統(tǒng)狀態(tài)快照。系統(tǒng)維護人員對快照信息進行完整性簽名，以防止快照被非法篡改。系統(tǒng)維護人員將快照保存在與系統(tǒng)分離的存儲介質(zhì)上。

準備階段操作說明：

1、對系統(tǒng)的影響：操作不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟。

2、操作的復雜度（容易/普通/復雜）：容易。

3、操作效果：對執(zhí)行后的結(jié)果必須保存到不可更改的存儲介質(zhì)。

4、操作人員：各操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護人員。

二、檢測階段

講述檢測階段的網(wǎng)絡(luò)安全應急響應實施。結(jié)合準備階段生成的系統(tǒng)初始化狀態(tài)快照，這里概要介紹檢測安全事件（系統(tǒng)安全事件、網(wǎng)絡(luò)安全事件、數(shù)據(jù)庫安全事件）相關(guān)內(nèi)容和技術(shù)。除對比系統(tǒng)初始化快照外，安全事件檢測手段還包括部署入侵檢測設(shè)備、流量監(jiān)控和防病毒系統(tǒng)集中監(jiān)控等。其中，入侵檢測系統(tǒng)通過偵聽網(wǎng)絡(luò)流量并與事先存在的攻擊特征匹配，實現(xiàn)對入侵事件的實時和自動發(fā)現(xiàn)。入侵檢測系統(tǒng)往往存在較高的誤報率。實際應用入侵檢測系統(tǒng)時，需要結(jié)合部署環(huán)境的實際情況定制檢測策略，以保證檢測的準確性。流量監(jiān)控的檢測方式對于發(fā)現(xiàn)有明顯流量特征的安全事件，如網(wǎng)絡(luò)蠕蟲十分有效。在事件檢測階段做到“及時發(fā)現(xiàn)”，必須合理利用各種已有的檢測手段，綜合分析發(fā)現(xiàn)安全事件的真實原因。

檢測階段工作內(nèi)容：檢測階段是應急響應執(zhí)行過程中的關(guān)鍵一環(huán)，在這個階段需要系統(tǒng)維護人員使用初級檢測技術(shù)進行檢測，確定系統(tǒng)是否出現(xiàn)異常。在發(fā)現(xiàn)異常情況后，形成安全事件報告，由安全技術(shù)人員和安全專業(yè)技術(shù)人員介入進行高級檢測來查找安全事件的真正原因，明確安全事件的特征、影響范圍并標識安全事件對受影響的系統(tǒng)所帶來的改變，最終形成安全事件的應急處理方案。

檢測階段工作流程：

第一步：系統(tǒng)維護人員或安全技術(shù)人員在執(zhí)行日常任務和檢測中發(fā)現(xiàn)系統(tǒng)異常。

第二步：發(fā)現(xiàn)異常情況后，形成安全事件報告。

第三步：安全技術(shù)人員、系統(tǒng)維護人員和第三方安全事件應急服務人員查找安全事件的原因。

第四步：安全技術(shù)人員、系統(tǒng)維護人員和第三方安全事件應急服務人員確定安全事件的原因、性質(zhì)和影響范圍。

第五步：安全技術(shù)人員、系統(tǒng)維護人員和第三方安全事件應急服務人員確定安全事件的應急處理方案。

操作說明：檢測階段操作不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟，但在事件驅(qū)動檢測方式中，確定有安全事件發(fā)生的情況下必須根據(jù)流程采取相應的措施，防止中斷系統(tǒng)或網(wǎng)絡(luò)的正常運行。初級檢測操作的復雜度為“普通”，高級檢測操作的復雜度為“復雜”。例行檢測是一種積極的方式，能預先發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)存在的漏洞，可根據(jù)流程采取補救措施；事件驅(qū)動方式的檢測方法對安全事件能迅速響應，不會讓安全事件擴大。檢測階段的操作人員主要有：系統(tǒng)維護人員、安全技術(shù)人員、第三方安全事件應急服務人員、安全評估人員。

三、抑制和根除階段

介紹各類安全事件（拒絕服務類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫 SQL 注入類攻擊）相應的抑制或根方法和技術(shù)。

抑制和根除階段的工作內(nèi)容：

首先，網(wǎng)絡(luò)安全攻擊事件的進行可以分為拒絕服務類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫SQL注入類攻擊，針對每一類攻擊事件都需提供抑制方法，以及可操作性的技術(shù)規(guī)范和指導。

抑制是對攻擊所影響的范圍、程度進行扼制，通過采取各種方法，控制、阻斷、轉(zhuǎn)移安全攻擊。抑制階段主要是針對前面檢測階段發(fā)現(xiàn)的攻擊特征，比如攻擊利用的端口、服務、攻擊源、攻擊利用系統(tǒng)漏洞等，采取有針對性的安全補救工作，以防止攻擊進一步加深和擴大。抑制階段的風險是可能對正常業(yè)務造成影響，如系統(tǒng)中了蠕蟲病毒后要拔掉網(wǎng)線，遭到DDoS 攻擊時會在網(wǎng)絡(luò)設(shè)備上做一些安全配置，由于簡單口令遭到入侵后要更改口令會對系統(tǒng)的業(yè)務造成中斷或延遲，所以在采取抑制措施時，必須充分考慮其風險。

根除階段是在抑制的基礎(chǔ)上，對引起該類安全問題的最終技術(shù)原因在技術(shù)上進行完全的杜絕，并對這類安全問題所造成的后果進行彌補和消除。在根除階段，采取措施最大的風險主要是在系統(tǒng)升級或補丁時可能造成系統(tǒng)故障，所以必須做好備份工作。在進入抑制和根除階段之前，應形成安全事件應急響應方案，并對方案的實施獲取必要的管理授權(quán)。

抑制和根除階段的工作流程：

第一步：應急處理方案獲得授權(quán)。

第二步：系統(tǒng)維護人員、安全技術(shù)人員和第三方安全事件應急服務人員共同測試應急處理方案驗證效果。

第三步：系統(tǒng)維護人員、安全技術(shù)人員和第三方安全事件應急服務人員共同測試應急處理方案是否影響系統(tǒng)運行，對系統(tǒng)的影響程度不可接受時返回檢測階段。

第四步：實施應急處理方案。

第五步：當實施應急處理方案失敗的情況下，采取應變和回退措施，并返回到檢測階段。

此階段工作中應注意以下兩點。

1、第三方安全事件應急服務人員僅在必要時參加。

2、測試工作根據(jù)實際情況可以選擇口頭演練、試驗室測試、現(xiàn)網(wǎng)局部測試3種方式進行。

 抑制和根除階段操作說明：應急處理方案由相關(guān)人員和第三方安全事件應急服務人員共同制定，根據(jù)流程需進行嚴格和充分的測試，但是由于抑制和根除操作需要對系統(tǒng)作相關(guān)設(shè)置，加上一些系統(tǒng)實際情況較為特殊和復雜，必須根據(jù)系統(tǒng)實際情況制定實施應急處理方案失敗的應變和回退措施。抑制和根除階段操作的復雜度為“復雜”。具體執(zhí)行操作人員包括系統(tǒng)維護人員、安全技術(shù)人員、第三方安全事件應急服務人員。

四、恢復階段

恢復階段是指通過采取一系列的措施將系統(tǒng)恢復到正常業(yè)務狀態(tài)。下面所闡述的內(nèi)容未包含恢復階段的全部技術(shù)內(nèi)容，尤其是與各個業(yè)務系統(tǒng)實際情況相結(jié)合的部分，有關(guān)此部分的內(nèi)容應在各業(yè)務系統(tǒng)的應急預案和業(yè)務連續(xù)性計劃中體現(xiàn)。介紹的恢復方式包含2種。一是在應急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢復所有變化；二是在應急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。

恢復階段工作內(nèi)容：

主要內(nèi)容是將系統(tǒng)恢復到正常的任務狀態(tài)。在系統(tǒng)遭到入侵后，攻擊者一定會對入侵的系統(tǒng)進行更改。同時，攻擊者還會想盡各種辦法使這種修改不被系統(tǒng)維護人員發(fā)現(xiàn)。從而達到隱藏自己的目的。在根除階段能徹底恢復配置和清除系統(tǒng)上的惡意文件，并且能夠確定系統(tǒng)在所有變化完全根除的情況下，通過直接恢復業(yè)務系統(tǒng)的方式來恢復系統(tǒng)。這種恢復方式的優(yōu)點是時間短、系統(tǒng)恢復快、系統(tǒng)維護人員工作量小和對業(yè)務的影響較小。在根除階段不能徹底恢復配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng)是否經(jīng)過根除后已達干凈時，就一定要徹底地重裝系統(tǒng)。簡單地說，系統(tǒng)重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復手段。

恢復階段工作流程:如果應急處理方案中列明所有系統(tǒng)變化，刪除并恢復所有變化，實施安全加固。如果存在應急處理方案中未列明所有的系統(tǒng)變化，備份重要數(shù)據(jù)，低級格式化磁盤。嚴格按照系統(tǒng)的初始化安全策略安裝和加固.

恢復階段操作說明:恢復階段操作對系統(tǒng)的影響較大，操作系統(tǒng)需要停止，安全加固后對系統(tǒng)再次快照，審計合格后方可上線運行。操作的復雜度為“普通”，但必須嚴格按照操作步驟執(zhí)行。操作人員一般僅為企業(yè)內(nèi)部系統(tǒng)維護人員。

重裝系統(tǒng):

由于恢復階段可以采取重裝系統(tǒng)這一簡單有效的辦法達到初始運行狀態(tài)，因此再介紹一下重裝系統(tǒng)的步驟和需要注意的事項。

1、重裝系統(tǒng)時應采取的步驟

（1）重新安裝操作系統(tǒng)之前要確定所有資料已經(jīng)備份。備份的資料要保證是沒有被攻擊者改變的干凈的資料。

（2）低級格式化硬盤，確保所有磁盤分區(qū)為系統(tǒng)的安全分區(qū)。

（3）操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)，注意權(quán)限配置。

（4）不要安裝不需要的軟件、協(xié)議和服務，盡量最小化安裝。

（5）安全加固請參閱安全配制文檔并打上所有的補丁。

（6）安裝應用軟件如IIS，應參照安全配置文檔進行配置。

（7）安裝操作系統(tǒng)和應用軟件的最新補丁。

（8）恢復備份的資料。

（9）恢復業(yè)務系統(tǒng)。

2、重裝系統(tǒng)時的注意事項

（1）為了徹底消除攻擊者可能留下的安全隱患，一定進行低級格式化。這樣做將刪除所有的資料并且沒有辦法再恢復，所以一定要做好備份工作。

（2）在重新安裝系統(tǒng)的時候要嚴格遵守系統(tǒng)安裝的各項規(guī)定。

（3）系統(tǒng)在安裝和安全配置沒有全部做好之前，嚴禁連接網(wǎng)絡(luò)。

（4）恢復系統(tǒng)的應用和數(shù)據(jù)的時候，要對應用和數(shù)據(jù)進行檢查。以免其中存在的漏洞隨著數(shù)據(jù)恢復被安裝在系統(tǒng)上。

安全加固及系統(tǒng)初始化:在系統(tǒng)重裝完畢后，正式上線以前，必須做好以下兩件事情。

1、安全加固進行系統(tǒng)的安全加固工作；尤其要注意對引發(fā)安全事件的漏洞的修復和加固的處理，如果手冊上沒有，要及時對手冊進行更新。

2、安全快照在進行安全加固后，按照第一階段介紹的方法做好系統(tǒng)的安全快照。

五、跟進階段

跟進階段的目的是通過對系統(tǒng)的審計（進行完整的檢測流程），確認系統(tǒng)有沒有被再入侵。在檢測過程中特別應該注意的是檢查抑制和根除階段的工作效果。同時回顧、總結(jié)并整合發(fā)生應急響應事件過程中的相關(guān)信息。提高事件處理人員技能，以應付將來發(fā)生的類似場景。提高安全事件應急響應的處理能力。

跟進的意義在于：

（1）基于吸取的教訓重新評估和修改安全事件應急響應相關(guān)措施；

（2）調(diào)整組織的安全技術(shù)策略；

（3）調(diào)整組織的安全管理策略和資源配置；

（4）促進安全事件應急響應能力和組織機構(gòu)的建設(shè)。跟進階段對抑制或根除的效果進行審計，從而為確認系統(tǒng)沒有被再次入侵提供了幫助。

跟進階段工作內(nèi)容：

跟進階段是應急響應的最后一個階段，主要是對抑制或根除的效果進行審計，確認系統(tǒng)沒有被再次入侵。下面將詳細說明跟進階段的工作要如何進行、在何時進行比較合適、具體的工作流程、要思考和總結(jié)的問題以及需要報告的內(nèi)容。跟進階段的主要任務是確認系統(tǒng)有沒有被再入侵，確認系統(tǒng)有沒有被再入侵是通過對抑制或根除的效果進行審計完成的。這種審計是一個需要定期進行的過程。通常，第一次審計應該在一定期限之內(nèi)進行，以后再進行復查，并輸出跟進階段的報告內(nèi)容，包括安全事件的類型、時間、檢測方法、抑制方法、根除方法、事件影響范圍等。要在跟進階段報告中詳細記錄這些內(nèi)容。

跟進階段還需對事件處理情況進行總結(jié)，吸取經(jīng)驗教訓，對已有安全防護措施和安全事件應急響應預案進行改進。跟進階段是安全事件應急響應6個階段方法論的最后一個階段。跟進階段是6個階段中最可能被忽略的階段。但這一步也是非常關(guān)鍵的。該階段需要完成的原因有以下幾點。

1、有助于從安全事件中吸取經(jīng)驗教訓，提高技能。

2、有助于評判應急響應組織的事件響應能力。

3、如果可能的話，可以在更大范圍推廣介紹事件處理經(jīng)驗。

跟進階段工作流程：

第一步：執(zhí)行完整的檢測階段流程。

第二步：確認系統(tǒng)是否再次被入侵，如果有，請回到抑制和根除階段。

第三步：總結(jié)安全事件的處理過程和技能，調(diào)整安全策略，輸出總結(jié)文檔。

第四步：輸出跟進階段的報告內(nèi)容。

第五步：安排再次審計。

跟進階段操作說明：

1、對系統(tǒng)的影響：不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟。

2、操作的復雜度（容易/普通/復雜/）：普通。

3、操作效果：確定系統(tǒng)狀態(tài)，總結(jié)應急響應流程和技術(shù)。

4、操作人員：系統(tǒng)維護人員、安全技術(shù)人員、第三方安全事件應急服務人員、安全評估人員。

跟進階段的報告格式及模板：

跟進階段最重要的任務就是要記錄下整個應急響應的報告，要寫報告內(nèi)容、包括安全事件的類型、時間、檢測方法、抑制方法、根除方法、事件影響范圍等。詳細記錄下這些內(nèi)容備用。此處先介紹一下需要記錄的內(nèi)容條目，然后給出跟進報告的模板。

跟進階段報告里需要寫清楚的內(nèi)容條目如下。

1、事件類型：事件類型是對事件的定性，要包括的信息有攻擊的來源（內(nèi)部/外部，國內(nèi)/國外）、攻擊的方法、攻擊導致的后果等。

2、時間：不能簡單地記錄計算機的時間，還要記錄當前標準時間以及受攻擊的系統(tǒng)同標準時間的誤差。

3、檢測方法：記錄采用了什么檢測方法，檢測到了什么結(jié)果。

4、抑制方法：記錄采用了什么抑制方法，抑制的效果如何。

5、根除方法：記錄采用了什么根除方法，根除效果如何。

6、事件影響：估計和總結(jié)事件的影響范圍，總結(jié)在事件整個過程中的成功經(jīng)驗。

以上就是小編今天的分享了，希望可以幫助到大家。

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:0731-84117792 E-MAIL:11247931@qq.com