应急响应流程

应急响应流程

不管我们事前做了多么周密的工作去评估风险和加固系统，攻击者可能还是会在某个凌晨偷偷潜入我们的系统更改掉我们的系统文件，面对攻击者的攻击早早的计划出对策是非常重要的，如果等到攻击者实施完攻击后我们才开始想应该如何应对的话，可能会手忙脚乱的把事情弄得一团糟糕。

为了有效应对相关安全事件，我们根据经典的应急事件处理流程PDCERF 制定了相应的应急响应流程。

PDCERF 是国际上对应急响应的一个标准流程，即准备（策略、防御、程序、人员、工具、基础设施、资金）、检测（检测、调查、评价、报告、决策）、抑制（安全域（地理/层次/人机/业务）、边界控制）、根除（定位、对症下药、副作用）、恢复（数据恢复、状态恢复、行为恢复、环境恢复）、跟踪（追究责任、改进）。

P 准备

1. 每个管理员所维护的网络系统都会由特定的软件和硬件组成，那么定期登陆这些软硬件设备的厂商站点去查看是否目前有新的安全漏洞补丁或者是安全警告非常必要，至少应该保证一个星期查看一次，也可以选择订阅厂家的更新邮件列表。

2. 每星期登陆一次国家计算机网络应急技术处理协调中心 查看安全公告内容，对于安全警告信息确认分析，如果所管理网络存在警报中安全问题，应及时安装从站点下载的补丁。

3. 在本组织内部制作一个信息安全相关的发布页面，亲自负责来维护信息发布，定期发布安全预警信息和安全维护文章，对于常用的杀毒软件等安全工具也应该提供下载，做到每一个新员工加入后可以通过这个站点获取到全部所需要的软件和安全规定和相关知识技巧。

4. 针对近三年来蠕虫病毒攻击分析后，内部网络大量的WINDOWS 平台个人计算机

是很大的安全隐患，管理员应该提供一篇WINDOWS 主机的安全配置方面文章，群发给普通用户进行安全配置，必要时提供一次统一的相关操作培训。

5. 每月定期采用扫描软件对服务器进行安全评估工作，认真分析安全风险报告，每当升级新的安全漏洞资料后，设置仅仅扫描新填风险对所管理网络进行全扫描，分析结果。

6. 在内部进行全面的IP 地址和员工姓名，所在地理位置，使用情况，员工邮件地址统计，建立标准电子档案，不推荐使用DHCP方式分配IP地址。如果设备支持可以在桌面交换机上进行IP、MAC 地址与物理端口限定的方法，防止IP 地址盗用。

7. 对于服务器群业务主机建立IP 地址，服务器名称，运行业务系统、网络维护人员、业务管理使用人员相关联名单。

8. 定期在组织内部举办网络安全相关的知识培训讲座，可以从本企业的安全承包商中邀请一些熟悉安全技术的人进行讲座。

9. 对于重要服务器系统进行必要的安全加固工作，在加固完成后进行系统快照保存相关数据以备日后分析。

10. 安全管理员准备应急工具包，内容是指网络与信息安全应急事件处理过程中将使用工具集合。该工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。

D 检测

1. 在系统中部署入侵检测设备到整个系统中，安全管理员保证定期登陆入侵检测系统查看相关的告警信息并进行必要的事件排查与处理。

2. 网络内部配置一台专门的日志收集服务器，将企业网络内部的安全产品和网络设

备的安全性相关告警信息统一发送给日志收集服务器进行报警显示。安全管理员每天上班或下班前定时查看该服务器的的安全报警信息。

3. 利用PING 命令或者SNMP、NETFLOW 协议监控网络设备端口工作状态、整体流量和连通性等健康状态，实时监控网络访问流量，当发现异常网络访问流量时，马上报警。对于外网防火墙到DMZ 区域交换机进行端口流量监控，当流量一旦超过了当前接入带宽上限流量的时候，需要及时发现情况。

4. 当流量出现异常的时候，需要借助各种分析工具例如前面章节所介绍的SNIFFER 等参与到事件的整体分析中。

5. 定期针对系统的各种日志进行分析，查看是否存在异常情况。

C 抑制和E根除阶段

1. 当攻击流量不大的时候，在防火墙，交换机、路由器上针对各种危险的访问行为进行访问控制列表或者黑洞路由方式进行设置。

2. 当攻击流量过大超过目前租用线路上限数值时，及时联系ISP 在上层路由器中进行封堵。

3. 对系统当前状态进行快照分析，对比以往系统快照结果分析查找问题。

4. 系统当前进程分析，查看相关开放端口。

5. 各种日志收集分析软件和方法。

6. 评估类的工具软件进行自我评估主动发现问题，查找攻击者可能利用的攻击弱点。

R 恢复

恢复阶段是指通过采取一系列的步骤将系统恢复到正常业务状态。尤其是与各个业务系统实际情况相结合的部分，恢复的方式包含两种。一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下，重装系统。

本部分的主要内容是将系统恢复到正常的任务状态。在系统遭到入侵后，攻击者一定会对入侵的系统进行更改。同时，攻击者还会想尽各种办法使这种修改不被系统维护人员发现。从而达到隐藏自己的目的。

在根除阶段能彻底恢复配置和清除系统上的恶意文件，并且能够确定系统经过根除已经完全将系统的所有变化根除的情况下，可以通过直接恢复业务系统的方式来恢复系统。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。

在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已干净时，那么就一定要彻底的重装系统。系统重装往往是系统最可靠的系统恢复手段。

F 跟踪

1. 从安全事件中吸取经验教训非常关键，不停的自我完善的防护体系和策略才是最好的安全设计思路。

2. 将每一次安全事故的表现和处理步骤发布在内部的信息安全发布站点上，方便以后内部出现同样攻击事件后处理。

3. 对于内部需要改善和作出调整的安全配置在内部网络中即使发布更新策略。

4. 如果可以确定攻击者的来源IP 地址，在网关防火墙上将来源IP 地址段及时封堵，