2023網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)2023目錄TOC\o"1-2"\h\u10283第1章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)概念 第1章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)概念網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)含義“未雨綢繆”“亡羊補(bǔ)牢”“吃一塹，長(zhǎng)一智”，這三個(gè)成語(yǔ)很好地反映了應(yīng)急響應(yīng)的主要思網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）安全方面的應(yīng)急響應(yīng)形成了國(guó)家、省級(jí)、行業(yè)、組織“統(tǒng)一領(lǐng)導(dǎo)、多級(jí)管理、自主負(fù)責(zé)”的平臺(tái)的應(yīng)用逐步完備。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)就是在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)、組織的網(wǎng)絡(luò)系統(tǒng)運(yùn)行情況和面臨的威脅有清楚的認(rèn)識(shí)的情況下，在管理、技術(shù)和人員方面進(jìn)行計(jì)劃和準(zhǔn)備，以便網(wǎng)絡(luò)安全事件突發(fā)時(shí)，能夠做到有序應(yīng)對(duì)和妥善處理，降低組織的損失，并能夠根據(jù)這些經(jīng)驗(yàn)改進(jìn)組織應(yīng)對(duì)網(wǎng)絡(luò)安全突發(fā)事件的對(duì)策和計(jì)劃。網(wǎng)絡(luò)安全具有整體性、動(dòng)態(tài)性、開(kāi)放性、相對(duì)性的特點(diǎn)。對(duì)于組織來(lái)講，整體性是指網(wǎng)絡(luò)安全保障與組織的業(yè)務(wù)形態(tài)、其他合作利益相關(guān)方的聯(lián)結(jié)、組織的整體安全均有密切關(guān)系；動(dòng)態(tài)性是指組織采用的信息技術(shù)和組織的業(yè)務(wù)系統(tǒng)本身均處于不斷發(fā)展之中，網(wǎng)絡(luò)安全的威脅來(lái)源和攻擊手段不斷變化；開(kāi)放性是指互聯(lián)網(wǎng)本身就是沒(méi)有物理邊界的，而且隨著信息化的推進(jìn)，以往隔離的網(wǎng)絡(luò)也逐步在物理上或邏輯上與互聯(lián)網(wǎng)聯(lián)結(jié)；相對(duì)性是指由于計(jì)算機(jī)和信息系統(tǒng)本身的基因決定了沒(méi)有絕對(duì)的安全，威脅源所能調(diào)動(dòng)的資源和開(kāi)展攻擊的動(dòng)機(jī)，組織能夠接受的安全成本決定了安全的上限。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作正是在組織樹(shù)立了這些正確的網(wǎng)絡(luò)安全觀后，采取合適的應(yīng)對(duì)策略和措施，保障自身業(yè)務(wù)信息系統(tǒng)連續(xù)性的重要支撐?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)就是組織為了應(yīng)對(duì)網(wǎng)絡(luò)安全事件（威脅），事前采取的準(zhǔn)安全事件，事前應(yīng)該準(zhǔn)備什么，需要哪些資源，網(wǎng)絡(luò)安全事件發(fā)生時(shí)如何快速發(fā)現(xiàn)和定完善的總結(jié)機(jī)制（包括對(duì)總結(jié)活動(dòng)本身），急演練則避免了紙上談兵[1]，演練的目的和范圍（驗(yàn)證新技術(shù)或檢驗(yàn)整體工作）、所采用的形式（采用的是桌面推演[2]方式還是紅藍(lán)軍對(duì)抗[3]）決定了演練的效果。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)在很多國(guó)家被稱為安全事件應(yīng)急響應(yīng)，因?yàn)樗型{利用客體系統(tǒng)的脆弱點(diǎn)（漏洞）造成的損害均以安全事件的形式發(fā)生。本書(shū)所指的網(wǎng)絡(luò)與《網(wǎng)絡(luò)安全法》中的概念一致，并不是由連接設(shè)備和線路組成的數(shù)據(jù)傳輸系統(tǒng)，而是表示所有設(shè)備和數(shù)據(jù)、人員及這三者的交互關(guān)系整體域，即“網(wǎng)絡(luò)空間”。而應(yīng)急響應(yīng)本身也有廣義和狹義兩種內(nèi)涵，從廣義上來(lái)講，從風(fēng)險(xiǎn)分析、安全檢查到安全體系的構(gòu)建、災(zāi)難備份等都包含在事前工作中，安全事件的處置和事后的災(zāi)難恢復(fù)等所有工作均包含在應(yīng)急響應(yīng)概念中；從狹義上來(lái)講，應(yīng)急響應(yīng)只是為應(yīng)對(duì)網(wǎng)絡(luò)安全事件所做的具體的準(zhǔn)備，比如數(shù)據(jù)、工具、人力和計(jì)劃方面的準(zhǔn)備，以及事件發(fā)生時(shí)的處置和事后針對(duì)性的總結(jié)。本書(shū)默認(rèn)只討論狹義上的應(yīng)急響應(yīng)技術(shù)范疇。但也會(huì)在第1章對(duì)廣義的應(yīng)急響應(yīng)概念所涉及的技術(shù)進(jìn)行簡(jiǎn)介。另外，網(wǎng)絡(luò)安全保障工作發(fā)展到今天，可以用三種不同的視角來(lái)看待網(wǎng)絡(luò)安全應(yīng)急響應(yīng)：國(guó)家和政府的視角重點(diǎn)關(guān)注應(yīng)急響應(yīng)的體系和相應(yīng)的標(biāo)準(zhǔn)建立，指導(dǎo)各組織開(kāi)展應(yīng)急工作，對(duì)重大的安全事件和隱患進(jìn)行通報(bào)。業(yè)務(wù)單位的視角重點(diǎn)關(guān)系自身應(yīng)急組織和流程的建立，部署相關(guān)技術(shù)系統(tǒng)和構(gòu)建完善的管理體系，保障業(yè)務(wù)的正常運(yùn)行。安全服務(wù)提供者的視角為組織提供安全預(yù)警和監(jiān)測(cè)服務(wù)，重點(diǎn)在于安全事件發(fā)生時(shí)的處置和報(bào)告工作，并為組織提供安全建議。目前，各類重大活動(dòng)的網(wǎng)絡(luò)安全保障工作，可以看作將業(yè)務(wù)單位和安全服務(wù)者的視角進(jìn)行融合，在特定的時(shí)間和地點(diǎn)，為特定的系統(tǒng)提供廣義概念上的應(yīng)急響應(yīng)服務(wù)?！皼](méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”“安全保發(fā)展，發(fā)展促安全”，隨著《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》的發(fā)布，加之近年來(lái)勒索病毒、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件頻發(fā)，對(duì)組織帶來(lái)的損害越發(fā)嚴(yán)重，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作得到國(guó)家層面、行業(yè)層面和組織層面越來(lái)越多的重視。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)法律法規(guī)與標(biāo)準(zhǔn)2003年7月，國(guó)家信息化領(lǐng)導(dǎo)小組根據(jù)國(guó)家信息化發(fā)展的客觀需求和網(wǎng)絡(luò)與信息安全工作的現(xiàn)實(shí)需要，制定出臺(tái)了《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)27號(hào)文件），文件明確了“積極防御、綜合防范”的國(guó)家安全保障工作方針。該意見(jiàn)指出“國(guó)家和社會(huì)各方面都要充分重視信息安全應(yīng)急處理工作。要進(jìn)一步完善國(guó)家信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，建立健全指揮調(diào)度機(jī)制和信息安全通報(bào)制度，加強(qiáng)信息安全事件的應(yīng)急處置工作。”2016年12月，經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn)，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，該戰(zhàn)略指出“堅(jiān)持技術(shù)和管理并重、保護(hù)和震懾并舉，著眼識(shí)別、防護(hù)、檢測(cè)、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度，從管理、技術(shù)、人才、資金等方面加大投入，依法綜合施策，切實(shí)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)”，明確了“做好等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、漏洞發(fā)現(xiàn)等基礎(chǔ)性工作，完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和網(wǎng)絡(luò)安全重大事件應(yīng)急處置機(jī)制?！钡闹攸c(diǎn)任務(wù)。2017年6月1日開(kāi)始施行的《網(wǎng)絡(luò)安全法》第五章對(duì)監(jiān)測(cè)預(yù)警與應(yīng)急處置方面的組織機(jī)構(gòu)、主體責(zé)任和工作機(jī)制做出了明確的法律規(guī)定。中央網(wǎng)信辦隨即下發(fā)了《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的組織機(jī)構(gòu)與職責(zé)、監(jiān)測(cè)與預(yù)警、應(yīng)急處置、調(diào)查與評(píng)估及準(zhǔn)備工作和保障措施均做了詳細(xì)的規(guī)定。上述法律和規(guī)定體現(xiàn)了國(guó)家層面在網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方面的國(guó)家意志。為了構(gòu)建國(guó)家網(wǎng)絡(luò)安全應(yīng)急體系和指導(dǎo)組織建立和完善網(wǎng)絡(luò)安全應(yīng)急機(jī)制，國(guó)家陸續(xù)出臺(tái)了一系列標(biāo)準(zhǔn)。目前，與網(wǎng)絡(luò)安全應(yīng)急響應(yīng)有直接關(guān)聯(lián)的指南和國(guó)家標(biāo)準(zhǔn)主要包括：·GB/Z20985—2007關(guān)術(shù)語(yǔ)、信息安全事件管理的目標(biāo)和過(guò)程及關(guān)鍵問(wèn)題進(jìn)行了定義?！B/Z20986—2007件分類依據(jù)和方法、分級(jí)依據(jù)和具體級(jí)別給出了明確的指導(dǎo)?！B/T20988—2007的理論依據(jù)。·GB/T24363—2009急響應(yīng)計(jì)劃的編制、計(jì)劃中對(duì)組織機(jī)構(gòu)、工作流程和保障措施提出了明確的要求。·GB/T28517—2012實(shí)例。2017年國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)對(duì)200727035系列標(biāo)準(zhǔn)，對(duì)相關(guān)術(shù)語(yǔ)、流程和活動(dòng)重新定義和調(diào)整，做到標(biāo)準(zhǔn)化的與時(shí)俱進(jìn)。該第2、3兩部分的標(biāo)準(zhǔn)計(jì)劃將于2020年左右發(fā)布（截至本書(shū)定稿時(shí)，第2、3兩部分已發(fā)布征求意見(jiàn)稿）。其他與信息安全事件相關(guān)的標(biāo)準(zhǔn)（如信息安全事件調(diào)查方面）完善之中。GB/T20984—2007GB/T30276—2013網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)演變應(yīng)急響應(yīng)技術(shù)是伴隨網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展而不斷演變的，另外，業(yè)務(wù)系統(tǒng)的信息化程度不斷提高，也促使國(guó)家和組織的應(yīng)急響應(yīng)理念發(fā)生變化。1988年的莫里斯蠕蟲(chóng)事件之后的一個(gè)星期內(nèi)，美國(guó)國(guó)防部資助卡內(nèi)基梅隆大學(xué)（CarnegieMellonUniversity，CMU）的軟件工程研究所成立了計(jì)算機(jī)應(yīng)急響應(yīng)組協(xié)調(diào)中心（ComputerEmergencyResponseTeam/CoordinationCenter，CERT/CC），通常被認(rèn)為是第一個(gè)應(yīng)急響應(yīng)組，這時(shí)的應(yīng)急響應(yīng)技術(shù)主要是解決病毒和蠕蟲(chóng)這類惡意程序事件，基于主機(jī)的毒病檢測(cè)、隔離和清除是這一時(shí)期最主要的應(yīng)急技術(shù)。CERT/CC成立后，世界各地應(yīng)急響應(yīng)組織如雨后春筍般地出現(xiàn)在世界各地。比如美國(guó)的空軍計(jì)算機(jī)應(yīng)急響應(yīng)小組（AirForceComputerEmergencyResponseTeam，AFCERT）、澳大利亞的計(jì)算機(jī)故障快速反應(yīng)小組（AustralianComputerEmergencyResponseTeam，AusCERT）、德國(guó)網(wǎng)絡(luò)研究應(yīng)急響應(yīng)小組（DeutscheForschungsnetz-ComputerEmergencyResponseTeam，DFN-CERT）、Cisco公司的產(chǎn)品安全事件響應(yīng)小組（CiscoProductSecurityIncidentResponseTeam，CiscoPSIRT）等。為了各響應(yīng)組之間的信息交互與協(xié)調(diào)，1990年多國(guó)聯(lián)合成立了一個(gè)應(yīng)急響應(yīng)與安全組論壇（ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST），發(fā)起時(shí)有11個(gè)成員，截至2002年年初已經(jīng)發(fā)展成一個(gè)超過(guò)100個(gè)成員的國(guó)際性組織。在中國(guó)，1999年在清華大學(xué)成立了中國(guó)教育和科研網(wǎng)緊急響應(yīng)組（CERNETComputerEmergencyResponseTeam，CCERT），是中國(guó)大陸第一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組織，目前已經(jīng)在全國(guó)各地成立了華東（北）地區(qū)網(wǎng)—（NanjingComputerEmergencyResponsesTeam，NJCERT）、華北地區(qū)網(wǎng)北京大學(xué)網(wǎng)絡(luò)緊急響應(yīng)組（PekingUniversityComputerEmergencyResponseTeam，PKUCERT）、成都信息網(wǎng)絡(luò)安全協(xié)會(huì)（ChengduInformationNetworkSecurityAssociation，CDINSA）等多個(gè)應(yīng)急響應(yīng)組。2000年在美國(guó)召開(kāi)的事件響應(yīng)與安全組織論壇（ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST）年會(huì)上，CCERT第一次在國(guó)際舞臺(tái)上介紹了中國(guó)應(yīng)急響應(yīng)的發(fā)展。CCERT由中國(guó)教育和科研計(jì)算機(jī)網(wǎng)資助，以中國(guó)教育和科研網(wǎng)的用戶為客戶群，同時(shí)也為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（ChinaEducationandResearchNetwork，CERNET）以外社會(huì)用戶提供盡力而為的服務(wù)。國(guó)家際計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心（NationalInternetEmergencyCenter，CNCERT/CC）是在國(guó)家互聯(lián)網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下，協(xié)調(diào)全國(guó)范圍內(nèi)各類計(jì)算機(jī)/網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組（ComputerSecurityIncidentResponseTeam，CSIRT）的工作，以及與國(guó)際計(jì)算機(jī)安全組織的交流。CNCERT/CC的主要職責(zé)是：按照“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、力?；謴?fù)”的方針，開(kāi)展互聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件的預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護(hù)公共互聯(lián)網(wǎng)安全，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全運(yùn)行。還負(fù)責(zé)為國(guó)家重要部門和國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理體系的成員提供計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理服務(wù)和技術(shù)支持的組織。目前，CNCERT/CC已經(jīng)成為FIRST的正式會(huì)員。隨著各國(guó)逐漸認(rèn)識(shí)到網(wǎng)絡(luò)安全監(jiān)測(cè)和應(yīng)急響應(yīng)的重要性，分別成立了相應(yīng)的應(yīng)急中心，并將應(yīng)急技術(shù)范疇從惡意代碼事件響應(yīng)擴(kuò)展到了針對(duì)網(wǎng)絡(luò)（系統(tǒng)）整體，且面向全方位的事件管理和響應(yīng)體系，技術(shù)上能夠通過(guò)部署訪問(wèn)控制系統(tǒng)和加固技術(shù)降低系統(tǒng)面臨的風(fēng)險(xiǎn)，通過(guò)入侵檢測(cè)和審計(jì)技術(shù)快速發(fā)現(xiàn)入侵事件，采用標(biāo)準(zhǔn)響應(yīng)流程處置事件。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)的發(fā)展趨勢(shì)“未知攻，焉知防”。正如上一小節(jié)所討論的，廣義上的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)將網(wǎng)絡(luò)防護(hù)和救治融合在一起，而狹義上的應(yīng)急響應(yīng)只考慮事件發(fā)生后的救治工作，但無(wú)論是哪個(gè)層面的概念，我們需要應(yīng)急響應(yīng)是因?yàn)榫W(wǎng)絡(luò)安全的相對(duì)性和動(dòng)態(tài)性，即我們必須承認(rèn)沒(méi)有絕對(duì)安全的系統(tǒng)，沒(méi)有一直安全的系統(tǒng)。討論應(yīng)急響應(yīng)的技術(shù)發(fā)展，首先需要認(rèn)識(shí)應(yīng)急響應(yīng)面臨的技術(shù)現(xiàn)狀。攻防兩端信息不對(duì)稱系統(tǒng)的安全風(fēng)險(xiǎn)來(lái)自于內(nèi)部和外部，無(wú)論是主動(dòng)的網(wǎng)絡(luò)攻擊，還是操作失誤，導(dǎo)致安全事件發(fā)生的攻擊過(guò)程往往是超出組織的預(yù)料之外的，雖然說(shuō)作為防御方擁有系統(tǒng)內(nèi)部資源方面的優(yōu)勢(shì)，但在安全事件發(fā)生時(shí)，肯定是處在預(yù)先的防護(hù)體系部分失效的情況下，即使能夠完整識(shí)別事件及其影響，并快速完成處置過(guò)程，也只是降低組織損失，因此，這種資源優(yōu)勢(shì)很難發(fā)揮作用。攻擊動(dòng)機(jī)的變化少是黑客個(gè)體的惡作劇或炫技，大部分是經(jīng)濟(jì)利益驅(qū)動(dòng)，或是帶有政治和宗教目的，因此，其所掌握的技術(shù)資源更豐富、更先進(jìn)。攻擊方法與時(shí)俱進(jìn)社會(huì)工程學(xué)、0day漏洞的攻擊層出不窮，即使傳統(tǒng)的攻擊技術(shù)，如針對(duì)Web應(yīng)用的攻擊，也出現(xiàn)大量新的方法（可參見(jiàn)OWASPTOPTEN2017），一種新技術(shù)或新框架的技術(shù)漏洞，或針對(duì)新的應(yīng)用場(chǎng)景的攻擊和破壞（例如，針對(duì)工業(yè)物聯(lián)網(wǎng)的攻擊和破壞），防御本身的滯后性。攻擊技術(shù)體系化有組織有目地的攻擊呈現(xiàn)出分工明確、團(tuán)隊(duì)作業(yè)的特點(diǎn)，攻擊過(guò)程從工具化轉(zhuǎn)變?yōu)槠脚_(tái)化，例如APT-TOCS（利用CS平臺(tái)的高級(jí)可持續(xù)威脅攻擊，AdvancedPersistentThreat-ThreatonCobaltStrike）這種高度的“模式化”的攻擊不但降低攻擊成本，也降低了被發(fā)現(xiàn)和被追溯的可能性，使得應(yīng)急工作更加難以有效執(zhí)行。重防護(hù)、輕應(yīng)急，重建設(shè)、輕演練網(wǎng)絡(luò)安全防護(hù)工作雖然不是銀彈，但對(duì)于大多數(shù)組織而言，預(yù)防工作的落實(shí)周期短、見(jiàn)效快，因此得到廣泛關(guān)注。應(yīng)急技術(shù)本身難以模式化和設(shè)備化，而且對(duì)組織內(nèi)部技術(shù)人員要求較高，普遍沒(méi)有得到真正的重視，人員和技術(shù)平臺(tái)支撐性的缺失，導(dǎo)致組織無(wú)法實(shí)施切實(shí)有效的應(yīng)急演練過(guò)程。2010年美國(guó)的電子商務(wù)協(xié)會(huì)，針對(duì)電商行業(yè)網(wǎng)絡(luò)安全事件處置中的問(wèn)題進(jìn)行了總結(jié)，發(fā)表了TenDeadlySinsofIncidentHandling（《網(wǎng)絡(luò)安全事件處置十大原罪》）白皮書(shū)，列舉了網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過(guò)程中容易出現(xiàn)的問(wèn)題。·事件檢測(cè)失敗，導(dǎo)致無(wú)法做出及時(shí)的響應(yīng)?！と鄙偈录幹脙?yōu)先級(jí)的定義，導(dǎo)致恢復(fù)時(shí)間目標(biāo)（RecoveryTimeObject，RTO）無(wú)法保證?！と鄙贉贤C(jī)制，導(dǎo)致無(wú)法有效協(xié)同，安全事件影響擴(kuò)大?！け粣阂獯a感染或被黑客攻擊的系統(tǒng)沒(méi)有進(jìn)行隔離，導(dǎo)致影響面擴(kuò)大。·無(wú)法實(shí)施充分的日志審計(jì)，導(dǎo)致不能查找安全事件根本原因，無(wú)法有效清除新型的病毒和網(wǎng)絡(luò)攻擊。·漏洞未完全修復(fù)的情況下進(jìn)行系統(tǒng)恢復(fù)，導(dǎo)致事件二次發(fā)生?！び捎谂嘤?xùn)不足，缺少合格的人力資源，無(wú)法有效應(yīng)對(duì)突發(fā)事件。·總結(jié)和改進(jìn)階段工作不充分，無(wú)法有效提升組織應(yīng)急能力?！ず拖嚓P(guān)組織的協(xié)同與合作不充分，易造成用戶恐慌等連鎖反應(yīng)?！?yīng)急響應(yīng)文檔化不完善，無(wú)法執(zhí)行標(biāo)準(zhǔn)流程。分析上述十大問(wèn)題，充分體現(xiàn)了網(wǎng)絡(luò)安全的整體性，即管理、技術(shù)、人員缺一不可，而技術(shù)作為基礎(chǔ)要素，對(duì)管理過(guò)程的支撐和流程的平臺(tái)化、體系化建設(shè)至關(guān)重要。近年來(lái)，隨著各行信息化的不斷深入，網(wǎng)絡(luò)安全事件對(duì)組織造成的影響越發(fā)嚴(yán)重，加之國(guó)家相關(guān)法律法規(guī)的要求和組織對(duì)安全的認(rèn)識(shí)不斷提高，促使安全需求成為內(nèi)生性需求，為了滿足這種需求，應(yīng)急技術(shù)也得到針對(duì)性發(fā)展。應(yīng)急響應(yīng)技術(shù)向工具化、平臺(tái)化發(fā)展為了快速對(duì)網(wǎng)絡(luò)安全事件做出快速反應(yīng)和完善的處置，無(wú)論是防護(hù)階段還是應(yīng)急處置階段，沒(méi)有適當(dāng)?shù)墓ぞ咧?，就無(wú)法提高處置效率。例如，應(yīng)對(duì)Web攻擊事件的Shell掃描查享、協(xié)同應(yīng)急。由被動(dòng)響應(yīng)向主動(dòng)發(fā)現(xiàn)演進(jìn)所謂應(yīng)急，就是事后采取的行動(dòng)，但是，在重大活動(dòng)的網(wǎng)絡(luò)安全保障工作中，應(yīng)急服務(wù)更應(yīng)該理解為避免和預(yù)防突發(fā)的安全事件為主的服務(wù)，擴(kuò)展了準(zhǔn)備階段的工作內(nèi)容，通過(guò)威脅情報(bào)共享，網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)，盡早識(shí)別已知風(fēng)險(xiǎn)，縮短檢測(cè)周期，提高安全事件的檢出率成為目前網(wǎng)絡(luò)安全保障和應(yīng)急的技術(shù)趨勢(shì)之一，再加上業(yè)界近年來(lái)提出的威脅狩獵理念、技術(shù)和相應(yīng)的工具，希望能夠做到快速發(fā)現(xiàn)安全事件，根據(jù)Verizon公司發(fā)布的數(shù)據(jù)泄露報(bào)告（DataBreachInvestigationsReport，DBIR），如圖1-1和圖1-2所示（縱坐標(biāo)為行為密度，橫坐標(biāo)為操作完成時(shí)間），2013—2018年的5年間，網(wǎng)絡(luò)安全事件發(fā)生到成功入侵系統(tǒng)、盜取數(shù)據(jù)的攻擊周期越來(lái)越短，應(yīng)急和恢復(fù)的工作周期隨著各組織安全防護(hù)和應(yīng)急的意識(shí)與能力的提升，也有明顯的縮短，只有事件的發(fā)現(xiàn)時(shí)間無(wú)明顯變化，仍然是以“月”為單位（根據(jù)DBIR2018，安全事件的發(fā)現(xiàn)時(shí)間平均為92天，3個(gè)月）。因此，通過(guò)上述的監(jiān)測(cè)預(yù)警和檢測(cè)發(fā)現(xiàn)技術(shù)，縮短安全事件的檢出周期是組織應(yīng)急響應(yīng)的當(dāng)務(wù)之急。圖1-1 DBIR2013攻防操作時(shí)間分布圖圖1-2 DBIR2018攻防操作時(shí)間分布圖應(yīng)急協(xié)同支撐技術(shù)的發(fā)展因?yàn)榫W(wǎng)絡(luò)空間的無(wú)邊界性、信息化導(dǎo)致業(yè)務(wù)的互聯(lián)跨域性，使得業(yè)界逐漸認(rèn)識(shí)到成功的安全應(yīng)急響應(yīng)應(yīng)該是由多種不同職責(zé)、不同技能的團(tuán)隊(duì)依托多種系統(tǒng)和情報(bào)密切協(xié)同，將本地資源、網(wǎng)絡(luò)情報(bào)、云基礎(chǔ)設(shè)施、各類設(shè)備和人緊密地聯(lián)結(jié)在一起，采用協(xié)同、閉環(huán)的應(yīng)急體系和流程才能有效完成網(wǎng)絡(luò)安全事件的響應(yīng)，構(gòu)建“互聯(lián)網(wǎng)+”應(yīng)急響應(yīng)支撐平臺(tái)可能會(huì)成為層次化、跨行業(yè)的應(yīng)急體系新方向。另外，近年來(lái)，以結(jié)構(gòu)化威脅信息表達(dá)式（StructuredThreatInformationeXpression，STIX）為代表的機(jī)器可讀威脅情報(bào)交換技術(shù)在美國(guó)獲得了迅速發(fā)展，表征著美國(guó)政府和工業(yè)界在大規(guī)模安全應(yīng)急響應(yīng)能力方面的快速提升，也代表了應(yīng)急響應(yīng)技術(shù)發(fā)展方向之一。追溯和取證技術(shù)得到重視一方面，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行復(fù)盤和溯源，對(duì)提高網(wǎng)絡(luò)安全保障工作的有效性至關(guān)重要；另一方面，隨著《網(wǎng)絡(luò)安全法》的施行及其與《中華人民共和國(guó)刑法》等其他法律的連接性和執(zhí)法強(qiáng)度的加大。網(wǎng)絡(luò)安全事件的追溯和取證技術(shù)得到更多的重視，在云計(jì)算的虛擬化環(huán)境中，因損失的嚴(yán)重性和證據(jù)的易失性，導(dǎo)致取證的優(yōu)先級(jí)往往高于恢復(fù)服務(wù)。大數(shù)據(jù)和AI驅(qū)動(dòng)的綜合日志審計(jì)、電子取證等技術(shù)和產(chǎn)品得到廣泛的應(yīng)用。應(yīng)急人員技術(shù)能力不斷進(jìn)步隨著國(guó)內(nèi)外網(wǎng)絡(luò)空間安全相關(guān)專業(yè)的應(yīng)用型人才培養(yǎng)模式的創(chuàng)新，人才培養(yǎng)質(zhì)量進(jìn)一步提高，從業(yè)人員的基礎(chǔ)逐年進(jìn)步，加之行業(yè)對(duì)網(wǎng)絡(luò)安全人才的需求不斷增加，國(guó)內(nèi)外各類組織和機(jī)構(gòu)分別推出了相關(guān)的培養(yǎng)和認(rèn)證服務(wù)。應(yīng)急響應(yīng)方面，國(guó)際上比如網(wǎng)絡(luò)空間安全知識(shí)學(xué)習(xí)平臺(tái)Cybrary推出的IncidentResponse&AdvancedForensicsCertificationCourse，卡內(nèi)基梅隆大學(xué)推出的CERT-CertifiedComputerSecurityIncidentHandler、美國(guó)SANS學(xué)院（SANS指SystemAdministration，Networking，andSecurity）[4]的GIACCertifiedIncidentHandler等課程認(rèn)證；國(guó)內(nèi)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心推出的CISAW系列的應(yīng)急從業(yè)人員認(rèn)證，工程師系列的CSERE認(rèn)證等，均為從業(yè)人員在應(yīng)急響應(yīng)領(lǐng)域的理念、知識(shí)、技術(shù)和能力提供了較豐富的資源，使得應(yīng)急人員的技術(shù)能力得到相應(yīng)的提高。但由于網(wǎng)絡(luò)安全知識(shí)發(fā)展的快速性，對(duì)于從業(yè)人員來(lái)講，持續(xù)學(xué)習(xí)以保持知識(shí)更新，通過(guò)有效的演練達(dá)成知行合一，這兩點(diǎn)至關(guān)重要。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)框架在應(yīng)急響應(yīng)過(guò)程中，能夠用到的技術(shù)如圖1-3所示，為了方便歸類，將網(wǎng)絡(luò)安全應(yīng)急響應(yīng)暫時(shí)分為4個(gè)階段（采用廣義的應(yīng)急響應(yīng)概念描述）：準(zhǔn)備階段（防御階段）、檢測(cè)（發(fā)現(xiàn)）階段、遏制和根除階段（處置階段）、恢復(fù)和總結(jié)階段，某些安全技術(shù)能夠在不同階段均發(fā)揮效用，且所有技術(shù)均以一個(gè)安全產(chǎn)品或一組安全產(chǎn)品的形態(tài)工作，部署在網(wǎng)絡(luò)邊界、基礎(chǔ)設(shè)施和計(jì)算環(huán)境之中，技術(shù)能效的發(fā)揮依靠管理體系的建立和技術(shù)人員的能力驅(qū)動(dòng)。圖1-3 應(yīng)急響應(yīng)技術(shù)框架準(zhǔn)備階段（防御階段）這一階段用到的安全技術(shù)主要是以加固系統(tǒng)安全性為主，并通過(guò)部署各種情報(bào)和行為檢測(cè)技術(shù)從而發(fā)現(xiàn)安全事件。包括：支撐性安全技術(shù)支撐性安全技術(shù)包括密碼學(xué)、搜索引擎、數(shù)據(jù)保護(hù)（脫敏）技術(shù)等普適性的安全技術(shù)，主要為其他技術(shù)的實(shí)現(xiàn)提供基礎(chǔ)支撐。安全審查技術(shù)安全審查技術(shù)包括漏洞發(fā)現(xiàn)和驗(yàn)證、基線核查等技術(shù)，用于主動(dòng)發(fā)現(xiàn)系統(tǒng)安全隱患，加固系統(tǒng)。系統(tǒng)備份技術(shù)系統(tǒng)備份技術(shù)是對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行離線鏡像、在線冗余等技術(shù)的統(tǒng)稱，主要用于提高系統(tǒng)和數(shù)據(jù)的可用性。檢測(cè)（發(fā)現(xiàn)）階段這一階段的技術(shù)主要是以提前感知威脅變化和發(fā)現(xiàn)網(wǎng)絡(luò)安全事件為主。包括：威脅情報(bào)技術(shù)威脅情報(bào)技術(shù)是通過(guò)獲取海量的與網(wǎng)絡(luò)安全關(guān)聯(lián)的信息（包括弱關(guān)聯(lián)信息），采用分級(jí)進(jìn)行處理或通報(bào)，使得組織能夠快速了解針對(duì)特定網(wǎng)絡(luò)的威脅情況，廣義上威脅狩獵也被納入其中，將在1.4.2小節(jié)進(jìn)行更詳細(xì)的描述。態(tài)勢(shì)感知技術(shù)態(tài)勢(shì)感知技術(shù)是指在綜合分析外部情報(bào)和網(wǎng)絡(luò)系統(tǒng)內(nèi)部情況的基礎(chǔ)上，獲取目前網(wǎng)絡(luò)的運(yùn)行態(tài)勢(shì)，廣義上將入侵檢測(cè)也納入其中，也將在1.4.2小節(jié)進(jìn)行更詳細(xì)的描述。入侵防護(hù)技術(shù)常見(jiàn)的如Web應(yīng)用防火墻（WebApplicationFirewall，WAF）等攻擊和惡意代碼檢測(cè)與防護(hù)技術(shù)，但此類設(shè)備的日志可被用于態(tài)勢(shì)感知系統(tǒng)進(jìn)行高級(jí)可持續(xù)威脅攻擊（AdvancedPersistentThreat，APT）攻擊的綜合檢測(cè)。訪問(wèn)控制技術(shù)訪問(wèn)控制技術(shù)是實(shí)現(xiàn)在操作系統(tǒng)、防火墻、路由器等設(shè)備上對(duì)資源的訪問(wèn)進(jìn)行鑒別、授權(quán)和記錄的技術(shù)總稱。協(xié)同支撐技術(shù)協(xié)同支撐技術(shù)是用來(lái)實(shí)現(xiàn)各合作方的安全事件上報(bào)，通報(bào)和披露，以及應(yīng)急響應(yīng)流程支撐。遏制和根除階段（處置階段）這一階段除包含的技術(shù)主要用于減少安全事件對(duì)系統(tǒng)的影響，并將系統(tǒng)的不良態(tài)勢(shì)清除，這一階段的特點(diǎn)是針對(duì)不同類型的攻擊或惡意代碼感染，需要在工具和設(shè)備的支持下，采用大量的人工操作。這類技術(shù)包括：入侵防御技術(shù)入侵防御技術(shù)是指能夠根據(jù)檢測(cè)系統(tǒng)發(fā)現(xiàn)的異常情況，對(duì)惡意行為進(jìn)行阻斷的技術(shù)，或能夠快速進(jìn)行網(wǎng)絡(luò)隔離的技術(shù)。取證技術(shù)取證技術(shù)是指發(fā)現(xiàn)安全事件線索，取得數(shù)字證據(jù)的技術(shù)，用以發(fā)現(xiàn)安全事件產(chǎn)生的根本原因和證據(jù)。審計(jì)技術(shù)審計(jì)技術(shù)是對(duì)各類日志進(jìn)行審計(jì)，也是獲取安全事件產(chǎn)生的根本原因和對(duì)系統(tǒng)的影響的技術(shù)之一。恢復(fù)和總結(jié)階段這一階段涉及的技術(shù)是盡可能地將系統(tǒng)恢復(fù)至網(wǎng)絡(luò)安全事件發(fā)生前的狀態(tài)，重新提供服務(wù)。主要包括：實(shí)時(shí)容災(zāi)技術(shù)實(shí)時(shí)容災(zāi)技術(shù)是指采用熱站或分布式系統(tǒng)，對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行實(shí)時(shí)備份與恢復(fù)的技術(shù)，嚴(yán)格來(lái)講，屬于災(zāi)難備份與恢復(fù)技術(shù)中的一種，比如支付寶的容災(zāi)技術(shù)，采用了3地5中心的異地多活架構(gòu)，可以做到雙光纖切斷下26秒自動(dòng)恢復(fù)業(yè)務(wù)。備份恢復(fù)技術(shù)備份恢復(fù)技術(shù)指的是備份分發(fā)技術(shù)，能夠幫助組織快速將準(zhǔn)備階段的系統(tǒng)鏡像下發(fā)，恢復(fù)系統(tǒng)狀態(tài)和數(shù)據(jù)。系統(tǒng)驗(yàn)證技術(shù)系統(tǒng)驗(yàn)證技術(shù)是指驗(yàn)證系統(tǒng)是否恢復(fù)完全的技術(shù)。其中主機(jī)防護(hù)技術(shù)基本上涵蓋了上述4個(gè)階段，目前業(yè)界推出的各類終端探測(cè)響應(yīng)系統(tǒng)（EndDetectionandResponse，EDR）和擴(kuò)展探測(cè)響應(yīng)系統(tǒng)（eXtendedDetectionandResponse，XDR）等產(chǎn)品，均是針對(duì)主機(jī)的計(jì)算環(huán)境，提供了防護(hù)、檢測(cè)、遏制和根除，乃至恢復(fù)的功能，XDR核心理念是通過(guò)各類情報(bào)和安全數(shù)據(jù)分析，為主機(jī)安全事件的響應(yīng)和處置提供更有力的決策支持，值得注意的是在某些工業(yè)互聯(lián)網(wǎng)場(chǎng)景，部署XDR時(shí)應(yīng)該考慮業(yè)務(wù)的分區(qū)分域需求和XDR網(wǎng)絡(luò)連通需求之間的矛盾。應(yīng)急響應(yīng)預(yù)案凡事預(yù)則立，編制應(yīng)急響應(yīng)預(yù)案雖然不只是技術(shù)工作，但應(yīng)急響應(yīng)預(yù)案（劃）到指導(dǎo)性作用，使應(yīng)急工作能夠有據(jù)可依，快速反應(yīng)，流程標(biāo)準(zhǔn)。根據(jù)國(guó)家標(biāo)準(zhǔn)GB/T24363—2009·總則：包括編制目的、編制依據(jù)、適用范圍和工作原則?！そ巧奥氊?zé)：包括角色的劃分，各功能小組的組成和職責(zé)以及內(nèi)外部協(xié)調(diào)和協(xié)作機(jī)制?！ゎA(yù)防和預(yù)警機(jī)制：主要是采用何種機(jī)制進(jìn)行預(yù)防和監(jiān)測(cè)，以及明確安全事件上報(bào)、通報(bào)和披露制度。·應(yīng)急響應(yīng)流程：明確事件分類分級(jí)機(jī)制，信息通報(bào)、信息上報(bào)的時(shí)間、順序、形式等要求，以及應(yīng)急響應(yīng)計(jì)劃的啟動(dòng)、處置、恢復(fù)順序、恢復(fù)規(guī)程、系統(tǒng)重建和總結(jié)等后期處置流程?！けＵ洗胧好鞔_人力、物力、技術(shù)等方面的保障要求?！じ郊喝鐐浞荽嫒朦c(diǎn)，工具設(shè)備清單和計(jì)劃的演練等其他應(yīng)急響應(yīng)預(yù)案主體不包含的內(nèi)容。某些組織將應(yīng)急預(yù)案做得非常詳細(xì)，除了上述內(nèi)容，還包括應(yīng)急響應(yīng)每個(gè)階段的工作內(nèi)容、流程、方法和細(xì)節(jié)說(shuō)明以及對(duì)工具的定義。組織架構(gòu)2017年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室（以下簡(jiǎn)稱“中央網(wǎng)信辦”）印發(fā)了《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，明確了針對(duì)國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的組織機(jī)構(gòu)與職責(zé)，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，中央網(wǎng)信辦統(tǒng)籌協(xié)調(diào)組織國(guó)家網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作，工業(yè)和信息化部、公安部、國(guó)家保密局等相關(guān)部門按照職責(zé)分工負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全事件應(yīng)對(duì)工作。必要時(shí)成立國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急指揮部（以下簡(jiǎn)稱“指揮部”），負(fù)責(zé)特別重大網(wǎng)絡(luò)安全事件處置的組織指揮和協(xié)調(diào)。中央和國(guó)家機(jī)關(guān)各部門按照職責(zé)和權(quán)限，負(fù)責(zé)本部門、本行業(yè)網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全事件的預(yù)防、監(jiān)測(cè)、報(bào)告和應(yīng)急處置。各?。▍^(qū)、市）網(wǎng)信部門在本地區(qū)黨委網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下，統(tǒng)籌協(xié)調(diào)組織本地區(qū)網(wǎng)絡(luò)和信息系統(tǒng)網(wǎng)絡(luò)安全事件的預(yù)防、監(jiān)測(cè)、報(bào)告和應(yīng)急處置工作。對(duì)于企事業(yè)單位等具體組織而言，也應(yīng)該成立本單位的應(yīng)急響應(yīng)工作組織，明確各小組或團(tuán)隊(duì)的分工和職責(zé)，保持協(xié)調(diào)聯(lián)動(dòng)，一般來(lái)講，單位級(jí)別的應(yīng)急響應(yīng)組織應(yīng)涵蓋領(lǐng)導(dǎo)、管理、執(zhí)行和保障四個(gè)層面，可參考GB/T24363組建本單位的應(yīng)急組織。團(tuán)隊(duì)組成在網(wǎng)絡(luò)安全保障工作中，技術(shù)是基礎(chǔ)，管理是關(guān)鍵，組織是核心，業(yè)務(wù)是導(dǎo)向，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作亦如此，完善的組織架構(gòu)是保證應(yīng)急工作得以落實(shí)的前提。從理論上來(lái)講，一個(gè)組織的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)架構(gòu)如圖1-4所示，應(yīng)急響應(yīng)的工作機(jī)構(gòu)由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組成，實(shí)際上，可以不必專門成立對(duì)應(yīng)的功能小組，組織可以根據(jù)自身情況由具體的某個(gè)或某幾個(gè)部門或部門中的某幾個(gè)人擔(dān)當(dāng)其中的一個(gè)或幾個(gè)角色。圖1-4 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織架構(gòu)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜。應(yīng)急響應(yīng)專家小組應(yīng)急響應(yīng)專家小組主要對(duì)重大信息安全事件進(jìn)行評(píng)估，提出啟動(dòng)應(yīng)急響應(yīng)級(jí)別的建議，研究分析信息安全事件的相關(guān)情況及發(fā)展趨勢(shì)，為應(yīng)急響應(yīng)提供咨詢或提出建議，分析信息安全事件原因及造成的危害，為應(yīng)急響應(yīng)提供技術(shù)支持。應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)技術(shù)保障小組的主要任務(wù)是制定信息安全事件技術(shù)應(yīng)對(duì)表、具體角色和職責(zé)分工細(xì)則、應(yīng)急響應(yīng)協(xié)同調(diào)度方案，并負(fù)責(zé)考察和管理相關(guān)技術(shù)基礎(chǔ)。應(yīng)急響應(yīng)實(shí)施小組應(yīng)急響應(yīng)實(shí)施小組主要分析應(yīng)急響應(yīng)需求（如風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析等），編制和實(shí)施應(yīng)急響應(yīng)計(jì)劃文檔，組織應(yīng)急響應(yīng)計(jì)劃的測(cè)試、培訓(xùn)和演練，合理部署和使用應(yīng)急響應(yīng)資源，總結(jié)應(yīng)急響應(yīng)工作，提交應(yīng)急響應(yīng)總結(jié)報(bào)告，執(zhí)行應(yīng)急響應(yīng)計(jì)劃的評(píng)審、修訂任務(wù)。應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)急響應(yīng)日常運(yùn)行小組的主要任務(wù)是協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施，備份中心日常管理，備份系統(tǒng)的運(yùn)行和維護(hù)，應(yīng)急監(jiān)控系統(tǒng)的運(yùn)作和維護(hù)，參與和協(xié)助應(yīng)急響應(yīng)計(jì)劃的測(cè)試、培訓(xùn)和演練，維護(hù)和管理應(yīng)急響應(yīng)計(jì)劃文檔，信息安全事件發(fā)生時(shí)的損失控制和損害評(píng)估。協(xié)作機(jī)制組人來(lái)實(shí)施的。應(yīng)急響應(yīng)小組的角色也沒(méi)有理論上的細(xì)分，通常只設(shè)置領(lǐng)導(dǎo)小組，IT技術(shù)支撐小組和應(yīng)急響應(yīng)小組，如圖1-5所示，領(lǐng)導(dǎo)小組包含了專家和顧問(wèn)組，以及市場(chǎng)公關(guān)導(dǎo)小組對(duì)網(wǎng)絡(luò)安全應(yīng)急工作進(jìn)行統(tǒng)一指揮，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)辦公室具體負(fù)責(zé)執(zhí)行。例發(fā)布，以及應(yīng)急處置情況的公開(kāi)溝通與回應(yīng)。圖1-5 應(yīng)急響應(yīng)內(nèi)外部協(xié)調(diào)體系架構(gòu)在外部協(xié)調(diào)上，應(yīng)急辦公室需要和政府機(jī)構(gòu)，如網(wǎng)信部門、公安部門、工信部門、CNCERT/CC等及時(shí)通報(bào)情況，并溝通應(yīng)急處置事宜；業(yè)務(wù)關(guān)聯(lián)方、供應(yīng)商也是外部協(xié)調(diào)對(duì)象。通常來(lái)說(shuō)，安全服務(wù)專業(yè)廠商也是供應(yīng)商的一種，但是從近年網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)踐來(lái)看，專業(yè)安全服務(wù)廠商的作用越來(lái)越大，也受到各方的重視，因此在一般模型中單獨(dú)列出。足夠的協(xié)調(diào)能力的同時(shí)，加上足夠的權(quán)力，才能調(diào)動(dòng)內(nèi)部部門、主營(yíng)業(yè)務(wù)領(lǐng)域的協(xié)同力保持密切配合。案例展示組織架構(gòu)包括應(yīng)急協(xié)同工作領(lǐng)導(dǎo)小組、應(yīng)急預(yù)案制定小組、應(yīng)急執(zhí)行小組、技術(shù)保障小組、支持保障小組，職責(zé)分工如下：應(yīng)急協(xié)同工作領(lǐng)導(dǎo)小組·負(fù)責(zé)突發(fā)事件的應(yīng)急指揮、組織協(xié)調(diào)和過(guò)程控制?！っ鞔_新聞發(fā)布人，授權(quán)其在應(yīng)急過(guò)程中統(tǒng)一對(duì)外信息發(fā)布口徑?！ば贾卮髴?yīng)急響應(yīng)狀態(tài)的降級(jí)或解除?！は驀?guó)家上級(jí)部門報(bào)告應(yīng)急處置進(jìn)展情況和總結(jié)報(bào)告。應(yīng)急預(yù)案制定小組·評(píng)估各類突發(fā)事件的等級(jí)，確定應(yīng)急預(yù)案制定計(jì)劃與方案?！そM織編寫(xiě)官網(wǎng)突發(fā)事件應(yīng)急預(yù)案?！へ?fù)責(zé)官網(wǎng)突發(fā)事件應(yīng)急預(yù)案的維護(hù)與修訂。應(yīng)急執(zhí)行小組·實(shí)施突發(fā)事件的具體應(yīng)急處置工作?！?duì)突發(fā)事件業(yè)務(wù)影響情況進(jìn)行分析和評(píng)估?！な占治鐾话l(fā)事件應(yīng)急處置過(guò)程中的數(shù)據(jù)信息和日志?！は驊?yīng)急領(lǐng)導(dǎo)小組報(bào)告應(yīng)急處置進(jìn)展情況和事態(tài)發(fā)展情況。技術(shù)保障小組·為突發(fā)事件的具體應(yīng)急處置提供全面的技術(shù)支持與保障?！そ⑴c軟硬件技術(shù)廠商的應(yīng)急聯(lián)動(dòng)機(jī)制，制定具體角色與職責(zé)分工。支持保障小組·提供應(yīng)急所需人力和物力等資源保障。·做好秩序維護(hù)、安全保障、法律咨詢和支援等工作?！そ⑴c電力、通信、公安和消防等相關(guān)外部機(jī)構(gòu)的應(yīng)急協(xié)調(diào)機(jī)制和應(yīng)急聯(lián)動(dòng)機(jī)制。·其他為降低事件負(fù)面影響或損失提供的應(yīng)急支持保障等。應(yīng)急工作流程事件通告應(yīng)急響應(yīng)流程中，需要大量的內(nèi)外部協(xié)調(diào)工作，各工作小組之間需要信息通報(bào)和上報(bào)，如圖1-6所示，某突發(fā)事件應(yīng)急通報(bào)流程，當(dāng)安全事件發(fā)生時(shí)，業(yè)務(wù)人員需要立即通報(bào)技術(shù)保障小組副組長(zhǎng)，進(jìn)行初步應(yīng)急，同時(shí)通報(bào)應(yīng)急執(zhí)行小組副組長(zhǎng)，由其向應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)，并通報(bào)技術(shù)保障小組組長(zhǎng)。整個(gè)應(yīng)急響應(yīng)從事件發(fā)現(xiàn)到總結(jié)匯報(bào)，涉及多次信息通報(bào)和上報(bào)，應(yīng)急處置后還需要按既定預(yù)案進(jìn)行信息披露，我們將信息通報(bào)、信息上報(bào)和信息披露統(tǒng)稱為信息通告。圖1-6 應(yīng)急響應(yīng)過(guò)程中的通告流程信息通報(bào)信息通報(bào)又分為組織內(nèi)部通報(bào)和外部通報(bào)，內(nèi)部通報(bào)是協(xié)同工作的基礎(chǔ)，外部通報(bào)是將相關(guān)信息及時(shí)通報(bào)給受到負(fù)面影響的外部機(jī)構(gòu)、互聯(lián)的單位系統(tǒng)以及重要客戶，一是協(xié)同應(yīng)急的需要，二是獲得相應(yīng)的支持。信息上報(bào)信息上報(bào)是指信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時(shí)將情況上報(bào)相關(guān)單位或部門。信息披露信息披露是指信息安全事件發(fā)生后，根據(jù)信息安全事件的嚴(yán)重程度，組織指定特定的小組及時(shí)向新聞媒體發(fā)布相關(guān)信息，指定小組應(yīng)嚴(yán)格按照組織相關(guān)規(guī)定和要求對(duì)外發(fā)布信息，同時(shí)組織內(nèi)其他部門或者個(gè)人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。事件分類和定級(jí)網(wǎng)絡(luò)安全事件的分級(jí)分類是快速有效處置信息安全事件的基礎(chǔ)之一，事件分類有助于確定事件的處置方法，事件定級(jí)有助于明確信息通報(bào)、上報(bào)等處置要求，以及明確是否需要立案啟動(dòng)法律程序等合規(guī)性要求。確定網(wǎng)絡(luò)安全事件發(fā)生后對(duì)系統(tǒng)損壞性質(zhì)和損壞程度的評(píng)估，是啟動(dòng)和實(shí)施應(yīng)急響應(yīng)預(yù)案的前提。這個(gè)損害評(píng)估應(yīng)該在確保人員安全優(yōu)先任務(wù)的前提下盡快完成，所以應(yīng)急響應(yīng)日常運(yùn)行小組或?qū)＜医M應(yīng)該是第一個(gè)得到事件通知的小組，以便盡快得出評(píng)論結(jié)果。損害評(píng)估的側(cè)重點(diǎn)“因系統(tǒng)而異”，但是總的來(lái)說(shuō)，應(yīng)該從以下幾個(gè)角度進(jìn)行分析。受到緊急情況影響的業(yè)務(wù)系統(tǒng)或區(qū)域無(wú)論在何種情況下，保證組織的業(yè)務(wù)連續(xù)性和重要性始終都是應(yīng)急響應(yīng)的首要目標(biāo)。所定級(jí)的主要依據(jù)。潛在的附加影響或損失（即次生災(zāi)害）由于信息系統(tǒng)將組織的業(yè)務(wù)與其他組織的業(yè)務(wù)越來(lái)越密切地聯(lián)系在一起，所以，對(duì)網(wǎng)絡(luò)安全事件的滯后影響和次生災(zāi)害也應(yīng)當(dāng)予以評(píng)估。造成緊急情況或系統(tǒng)中斷的原因在評(píng)估業(yè)務(wù)影響的同時(shí)，也積極組織技術(shù)力量分析造成安全事件的原因。需要指出的是，對(duì)于許多組織而言，特別是那些業(yè)務(wù)連續(xù)性非常重要的組織，應(yīng)當(dāng)“先解決后問(wèn)責(zé)”，如立即啟動(dòng)備份系統(tǒng)確保業(yè)務(wù)盡快恢復(fù)到正常狀態(tài)，隨后再分析事故起因。對(duì)于那些業(yè)務(wù)聯(lián)系連續(xù)性要求不高的組織（如企業(yè)門戶網(wǎng)站等）則可先分析事故起因，再按照應(yīng)急響應(yīng)預(yù)案確定解決辦法。物理環(huán)境（如中心機(jī)房結(jié)構(gòu)的完整性、電源、通信及制熱、通風(fēng)和空調(diào)的情況）狀況要注意網(wǎng)絡(luò)安全事件并不總是等于“黑客攻擊事件”，在很多情況下是由于設(shè)備故障或物理環(huán)境改變甚至僅僅是通信線路接口松脫引起的。所以，在考慮事故定級(jí)的同時(shí)，也應(yīng)該快速檢測(cè)物理環(huán)境是否有所改變。系統(tǒng)設(shè)備的總量和功能狀態(tài)系統(tǒng)設(shè)備的總量和功能狀態(tài)，如具備主要功能、具備部分功能、喪失所有功能等。系統(tǒng)設(shè)備及其存貨的損失類型系統(tǒng)設(shè)備及其存貨的損失類型，如水害、水災(zāi)或熱能、物理及電涌影響。被更換的項(xiàng)目被更換的項(xiàng)目主要有硬件、軟件、固件或支持材料等。估計(jì)恢復(fù)正常服務(wù)所需的時(shí)間事件定級(jí)標(biāo)準(zhǔn)可遵照國(guó)家《信息安全技術(shù)信息安全事件分類分級(jí)指南》，詳細(xì)內(nèi)容請(qǐng)參見(jiàn)2.2小節(jié)。應(yīng)急啟動(dòng)應(yīng)急響應(yīng)預(yù)案的啟動(dòng)（激活）代表“作戰(zhàn)命令”的正式下達(dá)，組織的信息系統(tǒng)甚至整個(gè)組織就從“平時(shí)運(yùn)行維護(hù)狀態(tài)”轉(zhuǎn)入了“戰(zhàn)時(shí)應(yīng)急狀態(tài)”。預(yù)案的啟動(dòng)應(yīng)該注意以下三點(diǎn)。啟動(dòng)原則啟動(dòng)原則具有果斷、快速、有序的特點(diǎn)。“果斷”是指應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組基于安全事件的評(píng)估結(jié)論，定下響應(yīng)決心。因此事件評(píng)估是指揮決策的關(guān)鍵。“快速”與“有序”是指整個(gè)應(yīng)急響應(yīng)團(tuán)隊(duì)的協(xié)同要非常流暢，包括預(yù)案啟動(dòng)的通知、人員到位、事件處理、外協(xié)單位（如應(yīng)急設(shè)備供應(yīng)商等）進(jìn)場(chǎng)等應(yīng)按照響應(yīng)流程有條不紊地展開(kāi)。啟動(dòng)依據(jù)一般而言，對(duì)于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)網(wǎng)絡(luò)安全事件應(yīng)該立即啟動(dòng)應(yīng)急響應(yīng)預(yù)案。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同的組織對(duì)突發(fā)、重大網(wǎng)絡(luò)安全事件的定義可以不一樣，因此，各個(gè)組織的應(yīng)急響應(yīng)預(yù)案的激活條件可能各不相同。激活條件可以基于以下4個(gè)方面考慮：·人員的安全或數(shù)據(jù)、設(shè)施的損失程度。·系統(tǒng)損失的程度（如物理的、運(yùn)作的或成本的）?！は到y(tǒng)對(duì)于組織業(yè)務(wù)的影響程度（如保護(hù)資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）。·預(yù)期的中斷持續(xù)時(shí)間。當(dāng)對(duì)系統(tǒng)損害評(píng)估的結(jié)果顯示一個(gè)或多個(gè)條件被滿足時(shí)，就應(yīng)該立即啟動(dòng)相應(yīng)預(yù)案。啟動(dòng)方法一般情況下，總是由網(wǎng)絡(luò)安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動(dòng)令。但需要注意的是，在特殊情況下（如特別重大網(wǎng)絡(luò)安全事件的發(fā)生或特殊組織、特殊崗位等），事件發(fā)生現(xiàn)場(chǎng)人員應(yīng)該按照預(yù)先制定的響應(yīng)方案立即采取搶險(xiǎn)措施，同時(shí)請(qǐng)示網(wǎng)絡(luò)安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動(dòng)令，以獲取更大范圍的支持。一種有效方法是由網(wǎng)絡(luò)安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組事先授權(quán)給特殊崗位的人員，以便在特殊情況下第一線人員能夠果斷決定。但使用這種例外的方法時(shí)要慎重，在平時(shí)就應(yīng)該由網(wǎng)絡(luò)安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組進(jìn)行仔細(xì)研究和審批。應(yīng)急處置門、重要信息系統(tǒng)（等國(guó)家重要基礎(chǔ)設(shè)施的信息系統(tǒng)），自然災(zāi)害發(fā)生后的搶險(xiǎn)救災(zāi)與災(zāi)后重建是兩個(gè)不同（當(dāng)然也密切相關(guān)的）工作重心、恢復(fù)時(shí)間和恢復(fù)目標(biāo)。有興趣的讀者可參閱國(guó)家有關(guān)《信息系統(tǒng)災(zāi)難恢復(fù)指南》等標(biāo)準(zhǔn)和國(guó)外有關(guān)機(jī)構(gòu)的相關(guān)資料，以便在應(yīng)急響應(yīng)和災(zāi)后恢復(fù)工作中加以細(xì)化。在采取應(yīng)急措施有效控制了網(wǎng)絡(luò)安全事件影響后，就應(yīng)該開(kāi)始恢復(fù)操作，恢復(fù)階段的行動(dòng)集中于建立組織的臨時(shí)業(yè)務(wù)處理能力（如備份數(shù)據(jù)的導(dǎo)入等）、修復(fù)受損害的系統(tǒng)、在原系統(tǒng)或新設(shè)施中恢復(fù)業(yè)務(wù)運(yùn)行能力等應(yīng)急措施。下面分別對(duì)恢復(fù)順序、恢復(fù)任務(wù)和恢復(fù)流程等進(jìn)行說(shuō)明?；謴?fù)順序在進(jìn)行系統(tǒng)應(yīng)急恢復(fù)時(shí)，恢復(fù)順序就是業(yè)務(wù)影響分析（BusinessImpactAnalysis，BIA）中確定的系統(tǒng)恢復(fù)優(yōu)先順序，一般做法是評(píng)估組織各項(xiàng)業(yè)務(wù)的重要程度，確定支撐各種業(yè)務(wù)的信息系統(tǒng)，并結(jié)合各子系統(tǒng)的依賴關(guān)系確定恢復(fù)優(yōu)先級(jí)，因本身以網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)方面內(nèi)容為主，對(duì)業(yè)務(wù)的優(yōu)先級(jí)相關(guān)問(wèn)題不展開(kāi)討論?；謴?fù)任務(wù)為了有條不紊地進(jìn)行恢復(fù)操作，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案需要提供詳細(xì)的恢復(fù)任務(wù)，并事先將這些任務(wù)分配給適當(dāng)?shù)幕謴?fù)小組?；謴?fù)任務(wù)通常涉及以下行動(dòng)。·獲得訪問(wèn)受損設(shè)施和地理區(qū)域的授權(quán)。例如，在應(yīng)急響應(yīng)人員抵達(dá)現(xiàn)場(chǎng)時(shí)，由于受損設(shè)施在平時(shí)往往有相應(yīng)的安全防護(hù)手段（口令等），或者涉及組織敏感業(yè)務(wù)而需要授權(quán)進(jìn)入/使用，因此要保證必要的信息溝通以便搶險(xiǎn)人員“無(wú)障礙”地展開(kāi)工作。對(duì)于實(shí)行遠(yuǎn)程救援指導(dǎo)的專家，這些信息溝通顯得更為重要?！ねㄖ嚓P(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴，內(nèi)部人員和外部業(yè)務(wù)伙伴除了參與應(yīng)急響應(yīng)的人員之外，還包括組織的業(yè)務(wù)部門相關(guān)人員。例如，一個(gè)組織的財(cái)務(wù)軟件系統(tǒng)嚴(yán)重受損，原材料采購(gòu)部門和銷售部門的人員就應(yīng)該獲得通知，同時(shí)外部業(yè)務(wù)合作伙伴和銀行等相關(guān)人員也應(yīng)該獲得通知?！か@得所需的應(yīng)急用品和工作場(chǎng)所。應(yīng)急用品包括軟件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)、數(shù)據(jù)恢復(fù)軟件、組織業(yè)務(wù)系統(tǒng)所運(yùn)行的大型專用軟件等）、硬件（如替換雙機(jī)熱備中受損主系統(tǒng)的硬件、數(shù)據(jù)恢復(fù)專用設(shè)備、存儲(chǔ)設(shè)備、介質(zhì)和光纜等）和網(wǎng)絡(luò)檢測(cè)設(shè)備等；應(yīng)急工作場(chǎng)所一般情況下應(yīng)當(dāng)是在事故發(fā)生現(xiàn)場(chǎng)，但對(duì)于重大安全事件（如機(jī)房火災(zāi)、爆炸），則需要開(kāi)辟臨時(shí)工作場(chǎng)所。這些工作均需根據(jù)組織的實(shí)際情況，事先考慮在應(yīng)急預(yù)案之中。恢復(fù)流程針對(duì)恢復(fù)任務(wù)，需要整理出分解給各個(gè)應(yīng)急小組的恢復(fù)流程。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案的編寫(xiě)人員要將其逐一細(xì)化并落實(shí)在應(yīng)急響應(yīng)預(yù)案中?；謴?fù)流程應(yīng)按照直接和分步驟的方式書(shū)寫(xiě)。為了防止在網(wǎng)絡(luò)安全事件中產(chǎn)生誤解或混亂，不能假定或忽略規(guī)程和步驟，并且需要在應(yīng)急演練中不斷完善。后期處置通過(guò)應(yīng)急處理成功解決網(wǎng)絡(luò)安全事件后，應(yīng)急響應(yīng)工作并未結(jié)束，還需要盡快組織相關(guān)人員進(jìn)行信息系統(tǒng)重建，同時(shí)需要對(duì)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)進(jìn)行總結(jié)，如果有必要還需對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行完善。信息系統(tǒng)重建應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。具體的方法如下：·統(tǒng)計(jì)分析各種數(shù)據(jù)，查明原因。例如，收集和分析各種日志記錄和監(jiān)控設(shè)備錄像等。這個(gè)步驟在事后的責(zé)任追究甚至法律介入時(shí)將起到非常關(guān)鍵的作用。組織應(yīng)指定專人（或?qū)I(yè)機(jī)構(gòu)）妥善保管各種電子文檔?！?duì)網(wǎng)絡(luò)安全事件造成的損失和影響及恢復(fù)重建工作進(jìn)行分析評(píng)估。對(duì)照BIA所確定的各項(xiàng)指標(biāo)，評(píng)估現(xiàn)有的狀態(tài)與這些指標(biāo)之間的差距，進(jìn)而分析彌補(bǔ)這些差距所需要投入的各種資源（人力、物力、重建周期等）。·認(rèn)真制定恢復(fù)重建預(yù)案。在充分分析論證的基礎(chǔ)上，制定重建預(yù)案并組織實(shí)施信息系統(tǒng)重建工作。對(duì)已經(jīng)發(fā)生的安全事件要有足夠的應(yīng)對(duì)措施?！ぶ亟üぷ魍瓿珊?，對(duì)所采取的措施要進(jìn)行（簡(jiǎn)要的）風(fēng)險(xiǎn)評(píng)估，使組織的業(yè)務(wù)從“戰(zhàn)時(shí)狀態(tài)”恢復(fù)到“平時(shí)狀態(tài)”，并為下一次進(jìn)入“戰(zhàn)時(shí)狀態(tài)”做好準(zhǔn)備（所以說(shuō)，風(fēng)險(xiǎn)評(píng)估與應(yīng)急響應(yīng)是一個(gè)組織網(wǎng)絡(luò)安全的常態(tài)性工作）。應(yīng)急響應(yīng)/事件總結(jié)應(yīng)急響應(yīng)/事件總結(jié)是應(yīng)急處置之后應(yīng)進(jìn)行的工作，具體工作如下?！し治龊涂偨Y(jié)事件發(fā)生原因?！し治龊涂偨Y(jié)事件現(xiàn)象。·評(píng)估系統(tǒng)的損害程度。·評(píng)估事件導(dǎo)致的損失。·分析和總結(jié)應(yīng)急處置記錄?！ぴu(píng)審應(yīng)急響應(yīng)措施的效果和效率，并提出改進(jìn)建議?！ぴu(píng)審應(yīng)急響應(yīng)預(yù)案的效果和效率，并提出改進(jìn)建議。應(yīng)急演練規(guī)劃網(wǎng)絡(luò)安全應(yīng)急演練是應(yīng)急響應(yīng)工作中重要的環(huán)節(jié)，用以檢驗(yàn)組織的應(yīng)急響應(yīng)計(jì)劃（預(yù)案）合理性、應(yīng)急綜合能力和應(yīng)急流程把控能力，符合網(wǎng)絡(luò)安全保障PDCA方法論（Plan-Do-Check-Action）的思想，也是2017年中央網(wǎng)信辦發(fā)布的《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》通知要求。應(yīng)急演練方案是支撐應(yīng)急演練有效執(zhí)行的基礎(chǔ)文檔，一般來(lái)講，一份完整的應(yīng)急演練方案除了明確指導(dǎo)思想和原則，還應(yīng)包括以下部分?！そM織機(jī)構(gòu)：明確應(yīng)急演練指揮、協(xié)調(diào)、工作執(zhí)行等各工作組架構(gòu)職責(zé)等?！ぱ菥毞桨福好鞔_演練時(shí)間、演練主要內(nèi)容和目的等。·演練準(zhǔn)備：如何開(kāi)展演練培訓(xùn)和教育和各參與方的保障要求等?！ぱ菥毩鞒蹋憾x演練各個(gè)環(huán)節(jié)工作流程?！ぷ⒁馐马?xiàng)：針對(duì)演練的風(fēng)險(xiǎn)規(guī)避要求和計(jì)劃。·演練要求：演練過(guò)程記錄文檔化等要求?！た偨Y(jié)匯報(bào)：定義演練總結(jié)和匯報(bào)的機(jī)制。應(yīng)急演練規(guī)劃過(guò)程應(yīng)該將測(cè)試、培訓(xùn)和演練的整個(gè)過(guò)程進(jìn)行詳細(xì)的記錄，并形成報(bào)告，演練過(guò)程不能打斷信息系統(tǒng)正常的業(yè)務(wù)運(yùn)轉(zhuǎn)，演練過(guò)程應(yīng)該與應(yīng)急響應(yīng)計(jì)劃的更新維護(hù)工作形成閉環(huán)。其他關(guān)于應(yīng)急演練的詳細(xì)介紹，參見(jiàn)第4章內(nèi)容。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)新發(fā)展云計(jì)算的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)計(jì)算與傳統(tǒng)計(jì)算環(huán)境在技術(shù)實(shí)現(xiàn)上發(fā)生了本質(zhì)的變化，因此，勢(shì)必對(duì)運(yùn)維管理方式造成一些顛覆性的影響。這些變化集中體現(xiàn)在云計(jì)算的五大基本特征，其中彈性快速部署、按需自服務(wù)、資源池三個(gè)特征對(duì)安全運(yùn)維特別是應(yīng)急響應(yīng)產(chǎn)生重要影響。只有充分利用這三個(gè)特性帶來(lái)的優(yōu)勢(shì)，才能真正做好云計(jì)算環(huán)境中的應(yīng)急響應(yīng)工作。云計(jì)算應(yīng)急響應(yīng)的新變化可以表現(xiàn)在理念（指導(dǎo)思想）和措施（技術(shù)實(shí)現(xiàn)）兩個(gè)層面。云計(jì)算中的應(yīng)急響應(yīng)新理念——“以毒攻毒，誘敵深入”傳統(tǒng)計(jì)算環(huán)境的安全事件應(yīng)急目標(biāo)是盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行，并且達(dá)到服務(wù)級(jí)別協(xié)議（Service-LevelAgreement，SLA）中規(guī)定的服務(wù)水平。在具體操作中通常是盡快清除被植入的惡意程序，修補(bǔ)系統(tǒng)漏洞。但是在云計(jì)算環(huán)境中，這樣的操作是否高明，是值得商榷的。際環(huán)境保留信息豐富。在攻防雙方信息嚴(yán)重不對(duì)稱的情況下，保留真實(shí)活動(dòng)狀態(tài)入侵現(xiàn)發(fā)動(dòng)入侵時(shí)，一貫采用“欺騙”的方法，如假冒身份、偽造源IP地址等。如果我們也采用“欺騙”的手法對(duì)付攻擊者，就像他們發(fā)動(dòng)攻擊時(shí)慣用的手法一樣，就有機(jī)會(huì)觀察到攻擊者的下一步行動(dòng)，同時(shí)有更多的時(shí)間分析攻擊是如何發(fā)生的，攻擊者利用了什么漏洞，都攻陷了哪些主機(jī)，竊取了什么數(shù)據(jù)等。因此，我們?cè)趹?yīng)急響應(yīng)中，應(yīng)該采用“以其人之道還治其人之身”或者稱為“以毒攻毒，誘敵深入”的理念來(lái)指導(dǎo)應(yīng)急響應(yīng)工作。云計(jì)算中的應(yīng)急響應(yīng)新措施——誘騙設(shè)備實(shí)現(xiàn)及恢復(fù)過(guò)程的自動(dòng)化如果以上述指導(dǎo)思想來(lái)開(kāi)展應(yīng)急響應(yīng)工作，還要兼顧傳統(tǒng)的應(yīng)急響應(yīng)目標(biāo)，唯一的方法就是創(chuàng)建一個(gè)新主機(jī)，替代被入侵的主機(jī)，同時(shí)將被入侵的主機(jī)控制起來(lái)，這樣既保證了被入侵主機(jī)處于正常的活動(dòng)狀態(tài)，讓攻擊者誤以為其入侵行為尚未暴露，還會(huì)繼續(xù)實(shí)施攻擊行為，又保證了其攻擊影響不會(huì)被擴(kuò)大。中，由于存在相對(duì)充足的冗余資源（即資源池），是虛擬機(jī)，而且可以彈性部署，建立新服務(wù)器主機(jī)的成本會(huì)非常低。當(dāng)應(yīng)急響應(yīng)工作結(jié)多的成本。蜜罐是一種典型的誘騙攻擊的設(shè)備，蜜罐的應(yīng)用，就體現(xiàn)了“以毒攻毒”的原則理念。但是由于蜜罐設(shè)備的數(shù)量稀少，蜜罐主機(jī)被入侵者發(fā)現(xiàn)并嘗試入侵的概率則非常低。將被攻陷主機(jī)控制起來(lái)，相當(dāng)于部署了一個(gè)已經(jīng)發(fā)揮作用的（捕獲到惡意程序）蜜罐。應(yīng)急響應(yīng)工作中，我們需要做的就是將該主機(jī)巧妙地控制起來(lái)，防止入侵者繼續(xù)擴(kuò)大戰(zhàn)果，進(jìn)一步搜索新的可以入侵的資源，同時(shí)又不能打草驚蛇，讓攻擊者察覺(jué)處于被監(jiān)控狀態(tài)。在云計(jì)算環(huán)境中，通過(guò)安全控制策略，對(duì)一個(gè)主機(jī)進(jìn)行有效控制是很容易實(shí)現(xiàn)的。在應(yīng)急響應(yīng)工作中，應(yīng)將訪問(wèn)控制策略提前準(zhǔn)備好，一旦需要可以快速啟動(dòng)生效。這些控制策略應(yīng)該在使用前進(jìn)行有效性驗(yàn)證。對(duì)于新的服務(wù)器和系統(tǒng)，應(yīng)該及時(shí)建立相應(yīng)的備份虛擬機(jī)和預(yù)定義訪問(wèn)控制策略?？傊?，在云計(jì)算環(huán)境中，做好安全事件應(yīng)急響應(yīng)工作首先需要更新理念，并在“以毒攻毒，誘敵深入”并定期驗(yàn)證應(yīng)急預(yù)案的有效性?；诖髷?shù)據(jù)平臺(tái)的應(yīng)急支撐應(yīng)急響應(yīng)的框架內(nèi)，主要包括威脅情報(bào)和態(tài)勢(shì)感知兩類技術(shù)體系，從數(shù)據(jù)來(lái)源的角度區(qū)蜜罐系統(tǒng)，也可以作為情報(bào)采集方式之一。威脅情報(bào)情報(bào)就是一種信息，通常表達(dá)一種知識(shí)或事實(shí)，是生產(chǎn)、生活和軍事中的決策依據(jù)；而網(wǎng)絡(luò)安全中的威脅情報(bào)，是指那些對(duì)網(wǎng)絡(luò)安全不利的情報(bào)總稱，包括環(huán)境、機(jī)制和技術(shù)上的安全隱患、威脅和事件信息，即收集、評(píng)估和應(yīng)用關(guān)于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標(biāo)的數(shù)據(jù)集合。威脅情報(bào)系統(tǒng)包括情報(bào)收集、情報(bào)加工、情報(bào)分析和安全決策4個(gè)部分。其中后兩個(gè)部分往往結(jié)合人工完成，信息技術(shù)只是輔助進(jìn)行安全決策。越來(lái)越多的用戶從關(guān)注已知威脅過(guò)渡到針對(duì)未知威脅的預(yù)警及防御，而這一能力也需要基于威脅情報(bào)的不斷積累，并結(jié)合大數(shù)據(jù)分析、多組織協(xié)作等方式方法，進(jìn)而將之變得穩(wěn)定可用，才有可能從已知向未知跨越。比如，通過(guò)收集情報(bào)，某網(wǎng)絡(luò)游戲服務(wù)提供組織獲取到如下信息。①特定版本的內(nèi)存緩存（以下簡(jiǎn)稱Memcached）內(nèi)數(shù)據(jù)緩存庫(kù)出現(xiàn)漏洞，允許遠(yuǎn)程設(shè)置鍵值對(duì)。②某黑客論壇出現(xiàn)了利用該觀點(diǎn)驗(yàn)證程序（ProofofConcept，POC）和權(quán)限受限的利用程序（Exploit，EXP）下載鏈接。③國(guó)際上出現(xiàn)了利用Memcached反射放大的分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）攻擊域名服務(wù)器（DomainNameServer，DNS）的通報(bào)。④參與過(guò)某大型DDoS攻擊的IP地址發(fā)起了針對(duì)國(guó)內(nèi)某些服務(wù)器的11211端口掃描。⑤這個(gè)IP地址隸屬于某特定國(guó)家，有同類型的游戲服務(wù)提供商。綜合利用上述情報(bào)，游戲服務(wù)提供組織能夠得出結(jié)論：有可能因同行競(jìng)爭(zhēng)而導(dǎo)致國(guó)外組織利用Memcached漏洞對(duì)其發(fā)動(dòng)DDoS攻擊。態(tài)勢(shì)感知態(tài)勢(shì)感知（SituationAwareness）這一概念源于航天飛行的人因（HumanFactors）研究，此后在軍事戰(zhàn)場(chǎng)、核反應(yīng)控制、空中交通監(jiān)管（AirTrafficControl，ATC）以及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛地研究。態(tài)勢(shì)感知之所以越來(lái)越成為一項(xiàng)熱門研究課題，是因?yàn)樵趧?dòng)態(tài)復(fù)雜的環(huán)境中，決策者需要借助態(tài)勢(shì)感知工具顯示當(dāng)前環(huán)境的連續(xù)變化狀況，從而準(zhǔn)確地做出決策。理解、回溯、顯示能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)及發(fā)展趨主要是解決以下問(wèn)題。傳統(tǒng)安全防御手段的局限性一，無(wú)法實(shí)現(xiàn)對(duì)告警信息的二次驗(yàn)證，無(wú)法聯(lián)動(dòng)不同網(wǎng)絡(luò)位置的設(shè)備，無(wú)法進(jìn)行聯(lián)動(dòng)分析，難以區(qū)分有效攻擊。傳統(tǒng)安全防護(hù)手段所采用的設(shè)備和產(chǎn)品都是基于已知規(guī)則檢測(cè)，這些規(guī)則都是基于已知的安全事件或者威脅、漏洞等分析和歸類生成的檢測(cè)規(guī)則，無(wú)法應(yīng)對(duì)未知漏洞（0day）、未知惡意代碼攻擊、低頻行為攻擊等未知威脅事件的檢測(cè)。傳統(tǒng)安全設(shè)備和產(chǎn)品由于數(shù)據(jù)來(lái)源單一且無(wú)法提供安全事件持續(xù)跟蹤計(jì)算所需的資源等，無(wú)法對(duì)異常行為自學(xué)習(xí)、無(wú)法預(yù)知攻擊特征等，因此對(duì)APT攻擊就表現(xiàn)得束手無(wú)策。對(duì)攻擊行為的準(zhǔn)確溯源通常攻擊者在發(fā)起一次攻擊行為前會(huì)精心策劃，經(jīng)過(guò)多次的嘗試攻擊才會(huì)發(fā)起一次真正的攻擊。例如，通過(guò)有針對(duì)性的掃描探測(cè)弱點(diǎn)、編寫(xiě)針對(duì)性攻擊繞過(guò)殺毒軟件和其他攔截設(shè)備的工具或腳本、本地突防的利用、通信信道的建立等，保證每次發(fā)起攻擊都非常精準(zhǔn)、隱蔽，使得安全人員難以獲取攻擊線索，無(wú)法跟蹤分析，不能做到對(duì)安全事件追蹤溯源。海量異構(gòu)數(shù)據(jù)的存儲(chǔ)和檢索對(duì)安全事件的運(yùn)維處置，特別是針對(duì)持續(xù)性的高級(jí)攻擊行為的處理需要從本地收集的海量數(shù)據(jù)中進(jìn)行快速檢索，要求本地設(shè)備需要支持海量的數(shù)據(jù)存儲(chǔ)、檢索和多維關(guān)聯(lián)能力。通常需要檢索網(wǎng)絡(luò)全流量數(shù)據(jù)、主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、應(yīng)用系統(tǒng)日志等大量結(jié)構(gòu)化、非結(jié)構(gòu)化以及半結(jié)構(gòu)化數(shù)據(jù)，無(wú)法進(jìn)行直接檢索，導(dǎo)致安全人員無(wú)法在海量數(shù)據(jù)中檢索出想要的關(guān)鍵信息。對(duì)安全問(wèn)題的深度挖掘通常持續(xù)性安全攻擊行為和未知威脅的檢測(cè)發(fā)現(xiàn)需要信息安全監(jiān)測(cè)、分析和威脅發(fā)現(xiàn)能數(shù)據(jù)技術(shù)提供的超大規(guī)模計(jì)算和分析能力。形成快速告警和響應(yīng)機(jī)制迫切需要的。當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，應(yīng)急處理機(jī)制不僅提供有效的業(yè)務(wù)指導(dǎo)和技術(shù)支撐，還提供快速有效的應(yīng)急防護(hù)體系，并在事后提供日志分析、數(shù)據(jù)恢復(fù)（后刪除痕跡）、攻擊驗(yàn)證等系列技術(shù)手段。案對(duì)事先編制的場(chǎng)景而進(jìn)行交互式討論和推演應(yīng)急決策及現(xiàn)場(chǎng)處置的過(guò)程。桌面推演：以紙上談兵的方式，對(duì)應(yīng)急流程各環(huán)節(jié)進(jìn)行闡述和討論。以實(shí)戰(zhàn)演練的方式，由攻擊方（紅隊(duì)）對(duì)特定的系統(tǒng)進(jìn)行手段受限的攻擊，防守方（藍(lán)隊(duì)）依據(jù)應(yīng)急預(yù)案對(duì)攻擊事件進(jìn)行響應(yīng)和處置。美國(guó)知名的信息安全培訓(xùn)機(jī)構(gòu)，業(yè)務(wù)包括多種能力培訓(xùn)和認(rèn)證培訓(xùn)。第2章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)基礎(chǔ)知識(shí)應(yīng)急響應(yīng)工作的起點(diǎn)：風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估相關(guān)概念風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程，包括風(fēng)險(xiǎn)發(fā)現(xiàn)、識(shí)別和描述風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)本質(zhì)、確定風(fēng)險(xiǎn)等級(jí)，將風(fēng)險(xiǎn)分析的結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則比較以確定風(fēng)險(xiǎn)和（或）其大小是否可接受或可容忍的過(guò)程。風(fēng)險(xiǎn)可以表達(dá)為一個(gè)二元組，R={P，C}，其中R表示風(fēng)險(xiǎn)，P指的是不良事件發(fā)生的概率，C表示這一事件所產(chǎn)生損失嚴(yán)重程度，從風(fēng)險(xiǎn)評(píng)估的角度來(lái)看，應(yīng)急響應(yīng)如圖2-1所示，表述成：內(nèi)外部威脅源在特定條件下會(huì)突破保護(hù)措施，利用組織信息系統(tǒng)安全漏洞（脆弱性，包括管理、技術(shù)等方面，也包括保護(hù)措施本身的漏洞），影響系統(tǒng)的正常運(yùn)的損失，從而保證其能夠提供正常的服務(wù)，完成組織的使命。圖2-1 風(fēng)險(xiǎn)要素關(guān)系圖風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)、業(yè)務(wù)、發(fā)展戰(zhàn)略關(guān)聯(lián)分析、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)計(jì)類、重要程度的定義等，以確定資產(chǎn)對(duì)業(yè)務(wù)系統(tǒng)的支撐重要性，為計(jì)算風(fēng)險(xiǎn)值提供基礎(chǔ)；威脅識(shí)別階段對(duì)內(nèi)部和外部的安全威脅分類，并對(duì)各類安全威脅賦值，也是計(jì)算風(fēng)險(xiǎn)的依據(jù)；脆弱性識(shí)別包括技術(shù)和管理上的脆弱性，根據(jù)被利用后對(duì)資產(chǎn)的損害進(jìn)行賦值（即嚴(yán)重程度），也是計(jì)算風(fēng)險(xiǎn)的參數(shù)之一；確認(rèn)已有的安全措施能夠避免重復(fù)投入，并使這些措施在一定程度上降低系統(tǒng)脆弱性，抵御威脅；最后通過(guò)計(jì)算安全事件發(fā)生的可能性、造成的損失來(lái)計(jì)算風(fēng)險(xiǎn)值，得到風(fēng)險(xiǎn)評(píng)估結(jié)果。風(fēng)險(xiǎn)評(píng)估既有定量計(jì)算方法，也有定性計(jì)算方法，二者也可融合使用，另外，按照評(píng)估方式可分為自評(píng)估和檢查評(píng)估，具體內(nèi)容可參見(jiàn)GB/T20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。對(duì)于安全風(fēng)險(xiǎn)可以采用風(fēng)險(xiǎn)降低，風(fēng)險(xiǎn)轉(zhuǎn)移，風(fēng)險(xiǎn)規(guī)避，風(fēng)險(xiǎn)承擔(dān)，風(fēng)險(xiǎn)接受方式進(jìn)行處置，如果抵御安全風(fēng)險(xiǎn)的投入大于風(fēng)險(xiǎn)損失，則可選擇接受風(fēng)險(xiǎn)，并關(guān)注風(fēng)險(xiǎn)的發(fā)展情況，及時(shí)進(jìn)行進(jìn)一步的處置，如圖2-2所示。圖2-2 風(fēng)險(xiǎn)評(píng)估過(guò)程示意圖風(fēng)險(xiǎn)評(píng)估與應(yīng)急響應(yīng)的關(guān)系風(fēng)險(xiǎn)評(píng)估是一切網(wǎng)絡(luò)安全保障工作的起點(diǎn)，對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)也不例外，風(fēng)險(xiǎn)識(shí)別和處理的過(guò)程是應(yīng)急響應(yīng)工作準(zhǔn)備階段的前序。“知己知彼，百戰(zhàn)不殆”，風(fēng)險(xiǎn)評(píng)估過(guò)程確保應(yīng)急準(zhǔn)備工作有的放矢，而應(yīng)急響應(yīng)又是風(fēng)險(xiǎn)評(píng)估工作的一種優(yōu)化反饋輸入，可以說(shuō)兩者之間是相互結(jié)合、互為補(bǔ)充的關(guān)系。響應(yīng)工作有重要的指導(dǎo)意義，且殘余風(fēng)險(xiǎn)的監(jiān)控和應(yīng)對(duì)也是應(yīng)急響應(yīng)工作的重要組成部安全事件的處置和反饋，是周期性地開(kāi)展風(fēng)險(xiǎn)研判風(fēng)險(xiǎn)評(píng)估工作的重要輸入。安全事件分級(jí)分類網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)應(yīng)急事件類型現(xiàn)、結(jié)果等，對(duì)信息安全事件進(jìn)行分類。信息安全事件分為信息安全風(fēng)險(xiǎn)、安全攻擊事件、設(shè)備設(shè)施故障、災(zāi)害性事件、其他5個(gè)基本分類，每個(gè)基本分類又包括若干子類。信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)是指安全管理制度的制定或執(zhí)行上存在的缺陷；系統(tǒng)在設(shè)計(jì)和建設(shè)時(shí)遺留下來(lái)的安全風(fēng)險(xiǎn)；系統(tǒng)硬件設(shè)施存在安全風(fēng)險(xiǎn)。安全管理制度的制定或執(zhí)行上存在的缺陷安全管理制度的制定或執(zhí)行上存在的缺陷，如未定期進(jìn)行應(yīng)急演練或未定期更新完善應(yīng)急預(yù)案等情況造成的安全風(fēng)險(xiǎn)。系統(tǒng)在設(shè)計(jì)和建設(shè)時(shí)遺留下來(lái)的安全風(fēng)險(xiǎn)系統(tǒng)在設(shè)計(jì)和建設(shè)時(shí)遺留下來(lái)的安全風(fēng)險(xiǎn)，如帶寬設(shè)計(jì)不足、系統(tǒng)存在漏洞等方面帶來(lái)的安全風(fēng)險(xiǎn)。系統(tǒng)硬件設(shè)施存在安全風(fēng)險(xiǎn)系統(tǒng)硬件設(shè)施存在安全風(fēng)險(xiǎn)，如部件老化或自帶有可被攻擊利用的功能模塊等各種形式的硬件設(shè)施安全風(fēng)險(xiǎn)。安全攻擊事件安全攻擊事件是指人為通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，或人為使用非技術(shù)手段對(duì)信息系統(tǒng)進(jìn)行破壞而造成信息系統(tǒng)異常的事件。安全攻擊事件可以分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件和物理破壞事件等。有害程序事件有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。信息破壞事件信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。物理破壞事件物理破壞事件是指蓄意地對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、破壞造成的信息安全事件。設(shè)施設(shè)備故障設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為使用非技術(shù)手段無(wú)意地造成信息系統(tǒng)設(shè)備設(shè)施損壞的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障和其他設(shè)備設(shè)施故障3個(gè)子類，說(shuō)明如下：軟硬件自身故障軟硬件自身故障是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件。外圍保障設(shè)施故障外圍保障設(shè)施故障是指由于保障信息系統(tǒng)正常運(yùn)行所必需的外部設(shè)施自身出現(xiàn)故障而導(dǎo)致的信息安全事件，如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事件。其他設(shè)備設(shè)施故障其他設(shè)備設(shè)施故障是指不能被包含在以上2個(gè)子類之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。災(zāi)害性事件災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。網(wǎng)絡(luò)安全事件等級(jí)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》根據(jù)網(wǎng)絡(luò)安全事件發(fā)生的網(wǎng)絡(luò)和信息系統(tǒng)重要程度、損失和社會(huì)影響三個(gè)分級(jí)要素，將信息安全事件劃分為四個(gè)級(jí)別：特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件、較大網(wǎng)絡(luò)安全事件和一般網(wǎng)絡(luò)安全事件。特別重大網(wǎng)絡(luò)安全事件符合下列情形之一且未達(dá)到特別重大網(wǎng)絡(luò)安全事件的，為重大網(wǎng)絡(luò)安全事件：①重要網(wǎng)絡(luò)和信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務(wù)處理能力。②國(guó)家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成特別嚴(yán)重威脅。③其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成特別嚴(yán)重威脅、造成特別嚴(yán)重影響的網(wǎng)絡(luò)安全事件。重大網(wǎng)絡(luò)安全事件符合下列情形之一且未達(dá)到特別重大網(wǎng)絡(luò)安全事件的，為重大網(wǎng)絡(luò)安全事件：①重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，造成系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，業(yè)務(wù)處理能力受到極大影響。②國(guó)家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成嚴(yán)重威脅。③其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)安全事件。較大網(wǎng)絡(luò)安全事件符合下列情形之一且未達(dá)到重大網(wǎng)絡(luò)安全事件的，為較大網(wǎng)絡(luò)安全事件：①重要網(wǎng)絡(luò)和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務(wù)處理能力受到影響。②國(guó)家秘密信息、重要敏感信息和關(guān)鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成較嚴(yán)重威脅。③其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)安全事件。一般網(wǎng)絡(luò)安全事件除上述情形外，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)安全事件，為一般網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊是指任何非授權(quán)而進(jìn)入或試圖進(jìn)入他人計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的行為。這種行為包括對(duì)整個(gè)網(wǎng)絡(luò)的攻擊，也包括對(duì)網(wǎng)絡(luò)中的服務(wù)器或單個(gè)計(jì)算機(jī)的攻擊。網(wǎng)絡(luò)攻擊是入侵者實(shí)現(xiàn)入侵目的所采取的技術(shù)手段和方法與流程的統(tǒng)稱。擊行為的“人”稱為攻擊者。網(wǎng)絡(luò)攻擊通常遵循一種行為模型，包含偵查、攻擊與侵入、退絕服務(wù)攻擊、DNS污染、Wi-Fi劫持、邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocol，BGP）劫持、廣播欺詐等。拒絕服務(wù)攻擊事件拒絕服務(wù)攻擊定義：拒絕服務(wù)攻擊（Denial-of-ServiceAttack，DoSattack）也稱洪水攻擊，它的目的在于使目標(biāo)計(jì)算機(jī)的網(wǎng)上或系統(tǒng)資源耗盡，使服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶無(wú)法訪問(wèn)。當(dāng)攻擊者使用網(wǎng)絡(luò)上兩個(gè)或以上被攻陷的計(jì)算機(jī)作為“僵尸機(jī)”向特定目標(biāo)機(jī)發(fā)動(dòng)“拒絕服務(wù)”式攻擊時(shí)，稱為分布式拒絕服務(wù)攻擊（DistributedDenial-of-ServiceAttack，DDoSattack）。拒絕服務(wù)攻擊分類：拒絕服務(wù)攻擊方式是多樣的，可以分為協(xié)議缺陷型攻擊、流量阻塞型攻擊、CC（ChallengeCollapsar）攻擊。協(xié)議缺陷型攻擊協(xié)議缺陷型攻擊包括SYN洪泛（以下簡(jiǎn)稱SYNFLOOD）攻擊、ACK洪泛（以下簡(jiǎn)稱ACKFLOOD）攻擊。SYNFLOOD攻擊是在TCP三次握手機(jī)制的基礎(chǔ)上實(shí)現(xiàn)的，它通過(guò)向目標(biāo)服務(wù)器發(fā)送大量偽造的帶有SYN標(biāo)志位的TCP報(bào)文使目標(biāo)服務(wù)器連接耗盡，達(dá)到拒絕服務(wù)的目的。在服務(wù)器中使用Wireshark獲取網(wǎng)絡(luò)流量對(duì)SYNFLOOD攻擊進(jìn)行分析，如圖2-3所示，可以看到服務(wù)器建立了很多虛假的半開(kāi)連接，這耗費(fèi)了服務(wù)器大量的連接資源。圖2-3 拒絕服務(wù)攻擊流量分析圖ACKFLOOD攻擊同樣是利用TCP三次握手的缺陷實(shí)現(xiàn)的攻擊，ACKFLOOD攻擊利用的是三次握手的第二段，攻擊主機(jī)偽造海量的虛假ACK包發(fā)送給目標(biāo)服務(wù)器，目標(biāo)服務(wù)器每收到一個(gè)帶有ACK標(biāo)志位的數(shù)據(jù)包時(shí)，都會(huì)去自己的TCP連接表中查看有沒(méi)有與ACK的發(fā)送者建立連接，如果有，則發(fā)送三次握手的第三段ACK+SEQ完成三次握手建立TCP連接；如果沒(méi)有，則發(fā)送ACK+RST斷開(kāi)連接。但是在這個(gè)過(guò)程中會(huì)消耗一定的CPU計(jì)算資源，如果服務(wù)器瞬間收到海量的SYN+ACK數(shù)據(jù)包將會(huì)消耗大量的CPU資源，使得正常的連接無(wú)法建立或者增加延遲，甚至造成服務(wù)器癱瘓、死機(jī)。在服務(wù)器中使用Wireshark獲取網(wǎng)絡(luò)流量對(duì)ACKFLOOD攻擊進(jìn)行分析，如圖2-4所示。圖2-4 ACKFLOOD流量分析流量阻塞型攻擊流量阻塞型攻擊包括UDP洪泛（以下簡(jiǎn)稱UDPFLOOD）攻擊、ICMP洪泛（以下簡(jiǎn)稱ICMPFLOOD）攻擊。UDPFLOOD攻擊是利用UDP協(xié)議進(jìn)行攻擊的，UDPFLOOD攻擊可以是小數(shù)據(jù)包沖擊設(shè)備，也可以是大數(shù)據(jù)包阻塞鏈路占盡帶寬。兩種方式的實(shí)現(xiàn)很相似，差別在于數(shù)據(jù)包中UDP的數(shù)據(jù)部分帶有多少數(shù)據(jù)。相比TCPFLOOD攻擊，UDPFLOOD攻擊形成一定規(guī)模之后更難防御，因?yàn)閁DP攻擊的特點(diǎn)就是打出很高的流量。在服務(wù)器中使用Wireshark獲取網(wǎng)絡(luò)流量對(duì)UDPFLOOD攻擊進(jìn)行分析，圖2-5為大數(shù)據(jù)包的UDPFLOOD攻擊，圖2-6為小數(shù)據(jù)包的攻擊。圖2-5 UDPFLOOD流量圖2-6 “小數(shù)據(jù)包”攻擊流量CC攻擊CC攻擊的原理是通過(guò)代理服務(wù)器或者大量“僵尸機(jī)”模擬多個(gè)用戶訪問(wèn)目標(biāo)網(wǎng)站的動(dòng)態(tài)頁(yè)面，制造大量的后臺(tái)數(shù)據(jù)庫(kù)查詢動(dòng)作，耗盡服務(wù)器CPU資源，造成拒絕服務(wù)的后果，如圖2-7所示。圖2-7 CC攻擊示意圖僵尸網(wǎng)絡(luò)的形成：無(wú)論是何種類型的僵尸網(wǎng)絡(luò)，“肉雞”都是執(zhí)行各種攻擊的基礎(chǔ)，所以拓展“肉雞”便是黑客要進(jìn)行的第一步，常見(jiàn)的“肉雞”拓展方法主要有以下幾種：·自動(dòng)化弱口令爆破，執(zhí)行遠(yuǎn)程命令植入木馬，如爆破3389端口?！ぷ詣?dòng)化漏洞利用，執(zhí)行遠(yuǎn)程命令拓展“肉雞”，如利用CVE-2017-17215攻擊路由設(shè)備?！だ壪螺d暗藏后門，如通過(guò)系統(tǒng)激活工具捆綁木馬?！と湎x(chóng)病毒傳播等。拒絕服務(wù)攻擊流程：①通過(guò)自動(dòng)化腳本爆破服務(wù)器，獲得服務(wù)器控制權(quán)。②2掃描器和僵尸主機(jī)分離（掃描器黑客控制、僵尸主機(jī)通過(guò)黑客的C2服務(wù)器控制，掃描器和C2服務(wù)器本身也是“肉雞”或黑客部署的Proxy服務(wù)器）。③掃描器通過(guò)弱口令字典掃描到存在弱口令的服務(wù)器植入木馬將服務(wù)器變成“肉雞”，木馬讀取內(nèi)置的C2服務(wù)器域名或IP，接受服務(wù)器攻擊指令。④“肉雞”接受攻擊指令（攻擊目標(biāo)服務(wù)器）后開(kāi)始發(fā)包攻擊，成為DDoS攻擊僵尸源之一，耗光網(wǎng)絡(luò)帶寬。DNS污染事件DNS污染的定義：DNS污染，又稱域名服務(wù)器緩存污染（DNScachepollution）或者域名服務(wù)器快照侵害（DNScachepoisoning），是指一些刻意制造或無(wú)意中制造出來(lái)的域名服務(wù)器數(shù)據(jù)包，把域名指往不正確的IP地址。一般來(lái)說(shuō)，在互聯(lián)網(wǎng)上都有可信賴的網(wǎng)絡(luò)域名網(wǎng)域名服務(wù)器的緩存受到污染，就會(huì)把網(wǎng)域內(nèi)的計(jì)算機(jī)導(dǎo)向錯(cuò)誤的服務(wù)器或服務(wù)器的網(wǎng)址。域名服務(wù)器緩存污染可能是因?yàn)橛蛎?wù)器軟件的設(shè)計(jì)錯(cuò)誤而產(chǎn)生，但亦可能由別有用心者透過(guò)研究開(kāi)放架構(gòu)的域名服務(wù)器系統(tǒng)來(lái)利用當(dāng)中的漏洞。為防止局域的域名服務(wù)器緩存污染，除了要定時(shí)更新服務(wù)器的軟件以外，可能還需要人手變更某些設(shè)置，以控制服務(wù)器對(duì)可疑的域名數(shù)據(jù)包做出篩選。DNS污染的案例：主機(jī)訪問(wèn)，主機(jī)向DNS服務(wù)器通過(guò)用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol，UDP）方式發(fā)送查詢請(qǐng)求，查詢內(nèi)容為host，這個(gè)數(shù)據(jù)包在前往DNS服務(wù)器時(shí)要經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)），然后繼續(xù)前往DNS服務(wù)器。然而在傳輸過(guò)程中，網(wǎng)絡(luò)設(shè)備針對(duì)這個(gè)數(shù)據(jù)包進(jìn)行特征分析，（DNS端口為53，進(jìn)行特定端口監(jiān)視掃描，對(duì)UDP明文傳輸?shù)腄NS查詢請(qǐng)求進(jìn)行特征和關(guān)鍵詞匹配分析，比如“”是關(guān)鍵詞，也或者是“host記錄”），從而立刻返回一個(gè)錯(cuò)誤的解析結(jié)果（比如返回了host百度的IP），如圖2-8所示。圖2-8 DNS污染示意圖Wi-Fi劫持事件Wi-Fi劫持的定義：Wi-Fi劫持是中間人攻擊中的一種類型，指攻擊者與通信兩端連接在同一個(gè)Wi-Fi中，攻擊者與通信的兩端分別創(chuàng)建獨(dú)立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通信的兩端認(rèn)為它們正在通過(guò)一個(gè)私密的連接與對(duì)方直接對(duì)話，但事實(shí)上整個(gè)會(huì)話都被攻擊者完全控制。在Wi-Fi劫持中，攻擊者可以利用惡意軟件、惡意腳本攔截通信雙方的通話并修改內(nèi)容，使得用戶訪問(wèn)的結(jié)果與原先的不一致。在圖2-9所示的項(xiàng)目中，攻擊者可以利用代碼在服務(wù)器返回給用戶的數(shù)據(jù)包中加了javascript代碼進(jìn)行挖礦，一個(gè)Wi-Fi劫持能成功的前提條件是攻擊者與通信兩端連接在同一個(gè)Wi-Fi中，并且攻擊者能將自己偽裝成每一個(gè)參與會(huì)話的終端，不被其他終端識(shí)破。圖2-9 Wi-Fi劫持項(xiàng)目Wi-Fi劫持的案例：A將手機(jī)接入鄰居B中的Wi-Fi并打開(kāi)劫持軟件，此時(shí)鄰居B的電腦也在連接同一個(gè)Wi-Fi，鄰居B在電腦上登錄C網(wǎng)站時(shí)，A先通過(guò)劫持軟件劫持電腦發(fā)給網(wǎng)站C的數(shù)據(jù)包，獲得鄰居B在C網(wǎng)站中使用的賬號(hào)密碼，然后再將這個(gè)數(shù)據(jù)包發(fā)給C網(wǎng)站，接著A先劫持C網(wǎng)站返回的數(shù)據(jù)包，數(shù)據(jù)包中包含了賬號(hào)中的所有信息，再將數(shù)據(jù)包由A發(fā)送給電腦。BGP劫持事件BGP劫持的定義：BGP協(xié)議用在不同的自治系統(tǒng)（AutonomousSystem，AS）之間交換路由信息。當(dāng)兩個(gè)AS需要交換路由信息時(shí)，每個(gè)AS都必須指定一個(gè)運(yùn)行BGP的節(jié)點(diǎn)，來(lái)代表AS與其他的AS交換路由信息。這個(gè)節(jié)點(diǎn)可以是一個(gè)主機(jī)，但通常是路由器來(lái)執(zhí)行BGP。由于可能與不同的AS相連，在一個(gè)AS內(nèi)部可能存在多個(gè)運(yùn)行BGP的邊界路由器。同一個(gè)AS中的兩個(gè)或多個(gè)對(duì)等實(shí)體之間運(yùn)行的BGP被稱為IBGP（Internal/InteriorBGP）。這些子網(wǎng)絡(luò)互相連接，通過(guò)BGP協(xié)議告訴對(duì)方自己子網(wǎng)絡(luò)里都包括哪些IP地址段，自己的AS編號(hào)（以下簡(jiǎn)稱ASNumber）以及一些其他信息?；ヂ?lián)網(wǎng)的IP地址分配是中心化的，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（TheInternetCorporationforAssignedNamesandNumbers，ICANN）把IP地址大段分給區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)（RegionalInternetRegistry，RIR）。RIR再把IP地址段細(xì)分后分給互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvider，ISP）們。大部分情況下，ASNumber和分給該AS哪個(gè)IP段是沒(méi)有任何關(guān)系的。BGP協(xié)議里雖然有一些簡(jiǎn)單的安全認(rèn)證的部分，但是對(duì)于兩個(gè)已經(jīng)成功建立BGP連接的AS，基本會(huì)無(wú)條件地相信對(duì)方AS所傳來(lái)的信息，包括對(duì)方聲稱所擁有的IP地址范圍。對(duì)于ISP分配給大公司客戶的地址段，ISP往往會(huì)對(duì)BGP做一些有限的過(guò)濾，但是對(duì)于大型ISP來(lái)說(shuō)，因?yàn)閷?duì)方所擁有的IP地址段可能過(guò)于分散，所以一般是按最大范圍設(shè)置BGP前綴（prefix）地址過(guò)濾。一般ISP分配到的IP地址段都是連續(xù)的，但是基本也都有可操作的空間，可以把數(shù)百到幾萬(wàn)個(gè)不屬于自己的IP合法加到自己的BGP信息里。BGP劫持的分類：BGP劫持分為兩類，分別是前綴劫持（PrefixHijacking，以下簡(jiǎn)稱Prefix劫持）和子前綴劫持（SubprefixHijacking，以下簡(jiǎn)稱Subprefix劫持）。Prefix劫持：在Prefix劫持中，當(dāng)受害者被正當(dāng)分配IP前綴（IPPrefix）時(shí)，劫持的AS申請(qǐng)同樣的前綴，假冒的BGP聲明來(lái)自劫持的AS，消息通過(guò)路由系統(tǒng)散播，其他的AS就用本地的策略選擇正當(dāng)AS路線還是假冒的BGP路線，如圖2-10所示。圖2-10 Prefix劫持示意圖Subprefix劫持：在Subprefix劫持中，攻擊者可以截獲受害IP的全部流量，劫持的AS創(chuàng)建一個(gè)受害IP前綴的子前綴，所以prefix就被受害者的IPprefix覆蓋了，如圖2-11所示。圖2-11 Subprefix劫持示意圖BGP劫持的案例：2017年8月，擁有AS號(hào)碼的Google錯(cuò)誤地廣播稱，在其網(wǎng)絡(luò)中發(fā)現(xiàn)日本ISP的IP地址段。其他ISP（例如Verizon）開(kāi)始將預(yù)先前往日本的流量發(fā)送至Google服務(wù)器，然而谷歌服務(wù)器卻不知道如何處理這些流量。這導(dǎo)致日本許多網(wǎng)絡(luò)服務(wù)癱瘓，用戶無(wú)法訪問(wèn)網(wǎng)上銀行門戶網(wǎng)站、訂票系統(tǒng)、政府門戶網(wǎng)站等。除此之外，日本以外的用戶無(wú)法連接到任天堂網(wǎng)絡(luò)或日本多個(gè)在線市場(chǎng)。廣播欺詐事件ARP欺騙的定義：ARP欺騙（ARPSpoofing）又稱ARP毒化（ARPPoisoning）或ARP攻擊，是針對(duì)以太網(wǎng)地址解析協(xié)議（以下簡(jiǎn)稱ARP）的一種攻擊技術(shù)。這種攻擊可讓攻擊者獲取局域網(wǎng)上的數(shù)據(jù)包甚至可篡改數(shù)據(jù)包，且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無(wú)法正常連線。ARP欺騙的原理：ARP欺騙的原理是由攻擊者主動(dòng)發(fā)送虛假的ARP數(shù)據(jù)包到網(wǎng)絡(luò)上，尤其是發(fā)送到網(wǎng)關(guān)上。其目的是讓送至特定的IP地址的流量被錯(cuò)誤地送到攻擊者所取代的地方。因此，攻擊者可將這些流量另行轉(zhuǎn)送到真正的網(wǎng)關(guān)（被動(dòng)式數(shù)據(jù)包嗅探，PassiveSniffing）或是篡改后再轉(zhuǎn)送（中間人攻擊，Man-in-the-middleAttack）。攻擊者亦可將ARP數(shù)據(jù)包引導(dǎo)至不存在的MAC地址以達(dá)到阻斷服務(wù)攻擊的效果。例如，某一臺(tái)主機(jī)的IP地址是54，其MAC地址為00-11-22-33-44-55，網(wǎng)絡(luò)上的計(jì)算機(jī)內(nèi)ARP表會(huì)有這一條ARP記錄。攻擊者發(fā)動(dòng)攻擊時(shí)，會(huì)大量發(fā)出已將54的MAC地址篡改為00-55-44-33-22-11的ARP數(shù)據(jù)包。那么網(wǎng)絡(luò)上的計(jì)算機(jī)若將此偽造的ARP寫(xiě)入自身的ARP表后，計(jì)算機(jī)若要透過(guò)網(wǎng)絡(luò)網(wǎng)關(guān)聯(lián)到其他計(jì)算機(jī)時(shí)，數(shù)據(jù)包將被導(dǎo)到00-55-44-33-22-11這個(gè)MAC地址，因此攻擊者可從此MAC地址截收到數(shù)據(jù)包，篡改后再送回真正的網(wǎng)關(guān)，或是什么也不做，讓網(wǎng)絡(luò)無(wú)法連線。Ethernet數(shù)據(jù)包，ARP欺騙會(huì)篡改數(shù)