常见网络安全应急事件场景与处理流程

一、常见网络安全应急处理场景 
 

1、恶意程序事件 

恶意程序事件通常会导致计算机系统响应缓慢、网络流量异常，主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。对恶意程序破坏性蔓延的，由应急响应组织进行处置，可以协调外部组织进行技术协助，分析有害程序，保护现场，必要时切断相关网络连接。 
 

2、网络攻击事件 

• 安全扫描器攻击：黑客利用扫描器对目标系统进行漏洞探测。 

• 暴力破解攻击：对目标系统账号密码进行暴力破解，获取后台管理员权限。 

• 系统漏洞攻击：利用操作系统／应用系统中存在的漏洞进行攻击。
 

3、网站及Web应用安全事件 

• 网页篡改：网站页面内容非授权篡改或错误操作。 

• 网页挂马：利用网站漏洞，制作网页木马。 

• 非法页面：存在赌博、色情、钓鱼等不良网页。 

• Web漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种Web 漏洞进行攻击。 

• 网站域名服务劫持：网站域名服务信息遭受破坏，使得网站域名服务解析指向恶意的网站。 
 

4、拒绝服务事件 

• DDoS:攻击者利用TCP/IP协议漏洞及服务器网络带宽资源的有限性，发起分布式拒绝服务攻击。 

• DoS:服务器存在安全漏洞，导致网站和服务器无法访问，业务中断，用户无法访问。
 

二、网络安全应急处理流程 

应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。 
 

第一步，安全事件报警。发生紧急情况时，由值班工作人员及时报告。报警人员要准确描述安全事件，并做书面记录。根据安全事件的类型，各安全事件按呈报条例依次报告1-值班人 员、2-应急工作组长、3-应急领导小组。 
 

第二步，安全事件确认。应急工作组长和应急领导小组接到安全报警之后，首先应当判断安全事件的类型，然后确定是否启动应急预案。 
 

第三步，启动应急预案。应急预案是充分考虑各种安全事件后，制定的应急处理措施， 以便在紧急情况下，及时有效地应付各类安全事件。必须避免在紧急情况下，找不到应急预案，或无法启动应急预案的情况。 
 

第四步，安全事件处理。安全事件处理是一件复杂的工作，要求至少两人参加，所处理的工作主要包括如下内容： 

• 准备工作：通知相关人员，交换必要的信息。 

• 检测工作：对现场做快照，保护一切可能作为证据的记录（包括系统事件、事故处理者所采取的行动、与外界沟通的情况等）。

• 抑制工作：采取围堵措施，尽量限制攻击涉及的范围。 

• 根除工作：解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取补救措施。需要注意的是，在清理现场时，一定要采集保存所有必要的原始信息，对事故进行存档。

• 恢复工作：恢复系统，使系统正常运行。 

• 总结工作：提交事故处理报告。 
 

第五步，撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。安全事件报告包括如下内容： 

• 安全事件发生的日期； 

• 参加人员； 

• 事件发现的途径； 

• 事件类型； 

• 事件涉及的范围； 

• 现场记录； 

• 事件导致的损失和影响； 

• 事件处理的过程； 

• 从本次事故中应该吸取的经验与教训。 
 

第六步，应急工作总结。召开应急工作总结会议，回顾应急工作过程中所遇到的问题，分析问题引起的原因，并找出相应的解决方法。
 

三、网络安全事件应急演练 

网络安全事件应急演练是对假定的网络安全事件出现情况进行模拟响应，以确认应急响应工作机制及网络安全事件预案的有效性。 网络安全事件应急演练的类型按组织形式划分，可分为桌面应急演练和实战应急演练；按内容划分，可分为单项应急演练和综合应急演练；按目的与作用划分，可分为检验性应急演练、示范性应急演练和研究性应急演练。具体情况参见下图。
 

网络安全事件应急演练的一般流程是制定应急演练工作计划，编写应急演练具体方案，组织实施应急演练方案，最后评估和总结应急演练工作，优化改进应急响应机制及应急预案。

来源：技进之路