3.4 網絡安全事件處置和災難恢復

由網絡安全意識定義可知，網絡安全意識還應該表現為如何處置已經發生的網絡安全事件和災難恢復等。工欲善其事，必先利其器，作為網絡用戶，掌握必要的網絡安全處理辦法和技術是網絡空間生活的生存本能，想要處置網絡攻擊，就必須先了解基本的網絡攻擊，才能有針對性地做好防護的處置工作。所以，本節主要闡述作為網絡安全意識的最終表現結果，即如何處置和防范網絡安全事件，主要包括網絡攻擊的基本概念、網絡安全事件分類與分級、網絡安全應急處理關鍵過程。

3.4.1 網絡攻擊的基本概念

了解網絡攻擊的步驟，有助于我們更好地制定防范策略。網絡攻擊主要是指利用網絡和系統存在的漏洞和安全缺陷，使用各種技術手段和工具，對網絡和系統的軟、硬件及其中的數據進行破壞、竊取等行為。網絡攻擊的種類、方法、技術手段雖然多種多樣，但攻擊過程一般可以歸納為以下步驟。

1．確定目標

實施安全攻擊的第一步是確定目標主機或系統，就像盜賊在企圖搶劫之前會“實地考察”珠寶店那樣。然后，攻擊者進行數據收集與分析，如確定主機的位置、操作系統的類型及其提供的服務等。通常攻擊者會通過社會工程學、釣魚軟件、假冒網站、惡意軟件等手段，利用掃描器等工具獲得攻擊目標的相關信息，為下一步攻擊做好充分準備。

2．獲取控制權

攻擊者首先要獲取目標主機的一個賬號和密碼，進行登錄，獲得控制權，以便進行后續的攻擊行為。攻擊者有時通過盜竊賬號文件進行破解，從中獲取某用戶的賬號和密碼，再尋覓合適的時機以此身份進入主機。利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法，如利用FTP、Telnet等工具突破系統漏洞進入目標主機系統。

3．權限升級與保持

攻擊者獲得了某個系統的訪問權限后，會對權限進行升級，進而訪問可能受到限制的部分網絡和執行攻擊行為。攻擊者一般會通過更改某些系統設置、在系統中植入特洛伊木馬或其他遠程控制程序等手段，以便日后不被察覺地再次進入系統。

4．實施攻擊

攻擊者在獲取相應的權限后，開始實施竊取或破壞敏感信息、癱瘓網絡、修改系統數據和程序等攻擊行為。

5．消除痕跡

完成網絡攻擊后，攻擊者通常會通過清除日志、刪除復制的文件等各種手段來隱藏自己的痕跡，并為今后可能的訪問留下控制權限。

3.4.2 網絡攻擊分類

人們對于各種網絡攻擊的理解、把握程度往往相差很大，對網絡攻擊和所造成的危害和潛在的威脅認識不統一，這為安全防護和安全事件的有效處置帶來了很大困難。一般而言，網絡攻擊可以依據系統中的安全漏洞、攻擊的效果、攻擊的技術特點、攻擊的位置、攻擊的檢測、攻擊所造成的后果等分類，因此存在多種不同的分類方法和結果。本節介紹的是集中分類方法。

1．根據攻擊的效果分類

1）主動攻擊

主動攻擊會對某些數據流進行篡改，或偽造虛假數據流，制造拒絕服務后果。

（1）篡改。篡改是對系統的完整性進行攻擊，通常是指修改、刪除、增加一個合法消息的全部或部分內容，或使消息被延遲或改變順序。例如，修改文件中的數據，替換某一程序使其執行不同的功能，修改網絡中傳輸的消息內容等。

（2）偽造。偽造是對系統的真實性進行攻擊，通常指某個實體（人或系統）假扮成其他實體，發出含有其他實體身份信息的數據信息，從而以欺騙方式獲取一些合法用戶的權利和特權。例如，在網絡中插入偽造的信息或在文件中插入偽造的記錄。

（3）拒絕服務。拒絕服務是對系統的可用性進行攻擊，即常說的DoS （Deny of Service），它會導致對系統的正常使用或管理被無條件地中斷。這種攻擊通常是對整個網絡實施破壞，以達到降低性能、中斷服務的目的。常見的攻擊方式有死亡之Ping（Ping of Death）、淚滴（Teardrop）、UDP洪水（UDP Flood）、SYN洪水（SYN Flood）、Land攻擊、Smurf攻擊、Fraggle攻擊、電子郵件炸彈、畸形消息攻擊等。這種攻擊也有可能有特定的目標，例如使某類數據包（如安全審計服務）被阻止。

2）被動攻擊

被動攻擊中，攻擊者不對數據信息做任何修改，通常采用竊聽、流量分析、破解弱加密的數據流等攻擊方式。

（1）竊聽。竊聽是最常用的網絡攻擊手段之一。廣播是目前局域網上應用最廣泛的數據傳輸方式，這就使一臺主機有可能收到子網上傳送的所有消息。如果沒有采取加密措施，通過協議分析，可以掌握通信的全部內容。竊聽還可以通過無線截獲方式獲得信息，如通過高靈敏接收裝置接收網絡站點輻射的電磁波或網絡連接設備輻射的電磁波，通過對電磁信號的分析，恢復原數據信號，從而獲得網絡信息。

（2）流量分析。流量分析攻擊方式適用于一些特殊場合，例如，敏感信息都是保密的，攻擊者截獲的消息雖然無法得到真實內容，但可以通過觀察這些數據報的模式，分析確定消息的格式、通信雙方的位置和身份、通信的次數及消息的長度，從而獲知相關的敏感信息。例如，公司間的合作關系通常是保密的，除通信的內容外，電子郵件用戶不想讓他人知道自己正在和誰通信；電子現金的支付者不想讓別人知道自己正在消費；Web瀏覽器用戶也不愿意讓別人知道自己正在瀏覽哪一個站點。

由于被動攻擊不會對被攻擊的信息做任何修改，留下痕跡少，或者根本不留痕跡，因而難以檢測，而且常常是主動攻擊的前奏。

2．根據攻擊的技術特點分類

根據攻擊的技術特點可分為基于網絡協議的攻擊和基于系統安全漏洞的攻擊兩類。

1）基于網絡協議的攻擊

互聯網的核心就是一系列協議，所有連接到互聯網的設備，以及所有的互聯網行為，都要遵循互聯網協議。典型的互聯網協議參考模型是OSI模型，它把互聯網通信功能劃分為七層，即物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。基于網絡協議的攻擊分為以下4類。

（1）針對數據鏈路層的攻擊，如ARP欺騙。

（2）針對網絡層的攻擊，如Smurf攻擊、ICMP路由欺騙。

（3）針對傳輸層的攻擊，如SYN洪水攻擊、會話劫持。

（4）針對應用層的攻擊，如DNS欺騙和竊取。

2）基于系統安全漏洞的攻擊

基于系統安全漏洞的攻擊包括針對操作系統漏洞的攻擊、針對IE漏洞的攻擊、針對IIS漏洞的攻擊、針對Web應用漏洞的攻擊，后文有詳述。

3．根據攻擊的位置分類

根據攻擊的位置可分為遠程攻擊、本地攻擊和偽遠程攻擊三類。

（1）遠程攻擊。遠程攻擊是指外部攻擊者通過各種手段，從該子網以外的地方向該子網或者該子網內的系統發動攻擊。

（2）本地攻擊。本地攻擊是指本組織的內部人員，通過所在的局域網，向本組織的其他系統發動攻擊，在本級上進行非法越權訪問。

（3）偽遠程攻擊。偽遠程攻擊是指內部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息后，然后從遠程發起攻擊，造成外部入侵的現象。

3.4.3 網絡攻擊方法

網絡攻擊的手段和技術方法千差萬別，新的攻擊技術也層出不窮，很難逐一列全，而且攻擊大多是綜合利用了多種方法。下面介紹一些常見的攻擊方法僅供參考。

1．密碼猜解

密碼是目前保護系統安全的主要方法之一，因此，通過精測、竊取等方式獲取合法用戶的賬號和密碼已經成為網絡攻擊的一個主要手段。常見的密碼猜測攻擊包括以下3類。

（1）密碼猜測攻擊（字典攻擊）：攻擊者針對姓名拼音、常用短語或生日數字這類的弱密碼構造密碼字典，利用程序自動遍歷，直至找到正確的密碼或將字典的密碼試完，可在幾小時內試完10萬條記錄。

（2）暴力破解攻擊：利用用戶密碼長度過短的缺陷，通過計算工具嘗試所有可能的字母組合方式，碰撞出用戶密碼。由4位小寫字母組成的密碼可以在幾分鐘內被破解。

（3）網絡監聽攻擊：在Telnet、HTTP等沒有采用任何加密或身份認證技術的傳輸協議中，直接利用數據包截取工具，搜集明文傳輸的用戶賬戶和密碼信息。

2．特洛伊木馬

特洛伊木馬（簡稱木馬）攻擊是將惡意功能程序偽裝隱藏在另一合法程序中，吸引用戶執行并且做出惡意操作（如記錄用戶鍵入的密碼、遠程傳輸文件，甚至完全遠程控制計算機等）。目前木馬病毒植入的主要途徑有以下幾種。

（1）通過電子郵件。將木馬程序以附件的形式含在郵件中發送出去，收信人只要打開附件就會感染木馬病毒。

（2）通過軟件下載。一些非正規的網站以提供軟件下載為名，將木馬病毒捆綁在軟件安裝程序上，只要運行這些程序，木馬病毒就會自動安裝。

（3）通過誘騙用戶訪問“掛馬”網站。所謂“掛馬”，是指黑客通過各種手段，包括SQL注入、服務器漏洞等各種方法獲得網站管理員賬號，然后登錄網站后臺，通過數據庫備份/恢復或者上傳漏洞獲得Webshell。黑客利用獲得的Webshell修改網站頁面的內容，向頁面中加入惡意代碼。也可以直接通過弱密碼獲得服務器或者網站FTP，然后直接對網站頁面進行修改。當用戶訪問被加入惡意代碼的頁面時，就會自動下載木馬病毒。攻擊者在用戶系統中成功植入木馬病毒之后，木馬病毒通常會把入侵主機的信息，如IP地址、木馬病毒植入的端口等發送給攻擊者，攻擊者收到后可與木馬病毒里應外合控制攻擊主機。

3．拒絕服務攻擊

拒絕服務攻擊通常有兩種實施方式：一是利用系統漏洞或缺陷向目標系統發送非法數據包，使目標系統死機或重新啟動；二是利用拒絕服務攻擊工具向目標主機發送大量數據包，消耗網絡帶寬資源和主機資源，致使網絡或系統負荷過載而停止向用戶提供服務。目前影響最大、危害最深的是分布式DoS攻擊。它通過控制大量網絡主機同時向某個既定目標發動攻擊，很容易導致被攻擊主機系統癱瘓，且由于參與攻擊主機數量龐大，難以定位攻擊的來源。

4．漏洞攻擊

漏洞攻擊是指在未經授權的情況下，攻擊者利用系統安全漏洞非法訪問、讀取、刪改系統文件，達到破壞系統的目的。漏洞主要來源于系統設計缺陷、系統安全策略設置缺陷、編碼錯誤、業務邏輯設計不合理、業務運行流程缺陷等。漏洞導致計算機或網絡的整體安全出現缺口，使攻擊者利用針對性工具，在未授權的情況下訪問或破壞系統。近年來出現的零日漏洞黑客在漏洞被發現后立即進行惡意利用和攻擊。這種攻擊往往具有很大的突發性與破壞性。

5．網絡釣魚

網絡釣魚（Phishing，又稱釣魚法或釣魚式攻擊），是通過欺騙性的電子郵件和網站，偽裝成可信網站或網頁，騙取用戶個人敏感信息，獲取不正當利益的攻擊方法。攻擊者通常將自己偽裝成網絡銀行、大型在線零售商等可信的品牌，通過欺騙性郵件將收信人引誘到經過精心設計，與收信人的目標網站非常相似的釣魚網站上（如將ICBC修改為1CBC），并獲取收信人在此網站上輸入的個人敏感信息。網絡釣魚所使用的常見伎倆有使用易混淆網址、子網域、含有特殊符號的欺騙鏈接，架設假基站、假Wi-Fi熱點等。

6．社會工程攻擊

社會工程攻擊是一種利用社會工程學原理來實施的網絡攻擊行為，它利用人的弱點（如好奇、貪便宜等），通過欺詐、誘騙、威脅等方式入侵目標計算機系統。攻擊者利用社會工程的概念，在獲取攻擊目標的背景信息的基礎上，通過多種社交手段與受害人建立信任，向受害人索要關鍵信息，并以此為基礎欺騙其他或更高層人員，不斷重復，最終獲取目標的敏感信息。對企業來說，與主要業務無直接關系的員工往往對于信息保密的警覺性較低，常會成為社會工程攻擊首要鎖定的目標。例如，攻擊者掌握大量的背景信息后，冒充企業的總經理，要求財務人員進行轉賬。

7．后門攻擊

后門是指軟件開發者或情報機關出于商業、政治動機預留在目標產品、系統、算法內，便于隱秘進入或控制系統的非預期代碼。后門攻擊，即攻擊者通過利用軟件后門繞過安全認證機制，直接獲取對程序或者系統的訪問權。即使管理者通過改變所有密碼之類的方法來提高安全性，攻擊者仍然能夠再次入侵，且由于后門通常會設法躲過日志，在大多數情況下，即使入侵者正在使用系統，也無法被檢測到。

8．高級持續攻擊

高級持續攻擊（Advanced Persistent Threat，APT），是利用先進的攻擊手段對特定目標進行長期、持續性網絡攻擊的攻擊形式。通常是出于商業或政治動機，針對特定組織或國家進行長時間、高隱蔽性的持續攻擊。高級持續攻擊包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞；長期暗指某個外部力量會持續監控特定目標，并從中獲取數據；威脅則指人為參與策劃的攻擊。潛伏性、持續性高的APT攻擊威脅最大，其主要特征包括以下幾個方面。

（1）潛伏性。攻擊和威脅可能在用戶環境中存在一年以上或更久，不斷搜集各種信息，直到獲取了重要情報。黑客發動APT攻擊的目的往往不是在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到徹底掌握所針對的目標（人、事和物）。

（2）持續性。由于APT攻擊具有持續性，甚至可長達數年的特征，這讓被攻擊單位的管理人員無從察覺。在此期間，這種“持續性”體現在攻擊者不斷嘗試各種攻擊手段，并在滲透到網絡內部后長期蟄伏。

（3）鎖定特定目標。即針對特定政府部門或企業，長期進行有計劃、有組織的竊取情報行為，如針對被鎖定對象寄送可以假亂真的社會工程惡意郵件、冒充客戶來信等，以取得在計算機植入惡意軟件的機會。

3.4.4 網絡攻擊防范和處置策略

網絡攻擊無孔不入，對其防范應該從技術和管理等方面進行考慮。綜合使用各種安全技術，才能形成一個高效、安全的信息系統。與此同時，網絡安全還是一個復雜的社會問題，應當鼓勵支持產業發展，逐步攻克并掌握核心、高端技術，同時也要健全法律法規，構建應對網絡攻擊的銅墻鐵壁。

1．網絡攻擊防范策略

總體而言，在防范網絡攻擊時要做好以下工作。

一是有效使用各類安全技術，筑牢安全防線。信息系統要具備預警、保護、檢測、反應、恢復等功能。在預警中，首先要分析威脅到底來自什么地方，并評估系統的脆弱性，分析出信息系統的風險。所謂保護，就是采用一切手段保護信息系統的保密性、完整性、可用性等。所謂檢測，就是利用高技術工具來檢查信息系統中發生的黑客攻擊、病毒傳播等情況。因此，要求具備相應的技術工具，形成動態檢測制度，建立報告協調機制，盡量提高檢測的實時性，這個環節需要的是脆弱性掃描、入侵檢測、惡意代碼過濾等技術。所謂反應，就是對于危及安全的事件、行為、過程等及時做出響應處理，杜絕危害進一步擴大，使得信息系統能夠提供正常的服務。因此，要求通過綜合建立起來的反應機制，提高實時性，形成快速響應能力。這個環節需要的是報警、跟蹤、處理等技術，處理中還包括封堵、隔離、報告等手段。所謂恢復，是指系統一旦遭到破壞，盡快實施災難恢復工作，恢復系統的功能，使之盡早提供正常的服務。在這一環節中，要求信息系統具有應急和災難恢復計劃、措施，形成恢復能力。備份、容錯、冗余、替換、修復和一致性保證等都是需要開發的恢復技術。

二是提升安全意識，加強安全管理。要加強系統管理人員及使用人員的安全意識。例如不要隨意打開來歷不明的電子郵件及文件，不要隨意運行陌生人發來的程序，盡量避免從網上下載不知名的軟件，密碼設置避免使用弱密碼且要定期更換，還包括明確責任、落實資源、開展培訓等。

三是強化溯源取證和打擊能力，形成威懾。即查找攻擊者的犯罪線索和犯罪證據，依法偵查犯罪分子，處理犯罪案件。在這個環節中要形成取證能力和打擊手段，依法打擊犯罪分子和網絡恐怖主義分子。

2．網絡安全應急處理關鍵過程

網絡安全應急處理是指通過制訂應急計劃，使影響信息系統安全的安全事件能夠得到及時響應，并在安全事件發生后進行標識、記錄、分類和處理，直至受影響的業務恢復正常運行的過程。這里的安全事件是指有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件。

網絡安全應急處理是保障業務連續性的重要手段之一，是在處理網絡安全事件時提供緊急現場或遠程援助的一系列技術的和非技術的措施和行動，以降低安全事件給用戶造成的損失或影響，涵蓋了在安全事件發生后，為了維持和恢復關鍵的應用所進行的系列活動。

與應急處理服務容易發生混淆的是災難恢復服務，災難恢復服務是指將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行的狀態，并將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態的活動和流程。與應急處理服務相比，災難恢復服務的應用范圍較窄，通常應用于重大的特別是災難性的、造成長時間無法訪問正常設施的事件。

本節將從6個階段對網絡安全應急處理的過程進行說明。

1．準備階段

準備階段的目標是在安全事件真正發生之前為處理安全事件做好準備工作。準備階段的主要工作包括建立合理的防御/控制措施、建立適當的策略和程序、獲得必要的資源和組建響應隊伍等。該階段的控制點包括：應急響應需求界定、服務合同或協議簽訂、應急服務方案制定、人員和工具準備。

1）應急響應需求界定

在界定應急響應需求時，應首先了解各項業務功能及各項業務功能之間的相關性，確定支持各項業務功能的相應信息系統資源及其他資源，明確相關信息的保密性、完整性和可用性要求。

無論應急服務由組織自己提供還是由外部提供，均應對信息系統進行全面評估，確定信息系統所執行的關鍵功能，并確定執行這些功能所需的特定系統資源。此外，還應采用定量或定性的方法，對業務中斷、系統宕機、網絡癱瘓等突發網絡安全事件造成的影響進行評估。

應急服務隊伍應協助系統主管部門或運營部門建立合理的網絡安全應急響應策略，該策略中應說明在業務中斷、系統宕機、網絡癱瘓等突發網絡安全事件發生后，快速有效地恢復信息系統運行的方法。

2）服務合同或協議簽訂

如果應急響應服務由外部提供（一般而言，雖然各組織的信息技術部門有一定的應急響應能力，但仍需與專業的網絡安全服務組織簽訂應急響應服務合同，對處理重大事件做好準備），應急服務提供者應與服務對象簽訂應急服務合同或協議。在應急服務合同或協議中，應明確雙方的職責，指明哪些類型安全事件的應急響應行為需要系統管理者批準。此外，應急服務合同或協議應明確服務提供者的保密責任。

3）應急服務方案制定

應急服務提供者應在服務對象應急需求上制定服務方案。服務方案應根據業務影響分析的結果，明確應急響應的恢復目標，包括：

① 關鍵業務功能及恢復的優先順序；

② 恢復時間范圍，即恢復時間目標和恢復點目標的范圍。

服務方應帶有完善的檢測技術規范。檢測技術規范至少應包含檢測目的、工具、步驟等內容。常見的檢測技術規范包括但不限于：

① Windows系統檢測技術規范；

② UNIX系統檢測技術規范；

③ 數據庫系統檢測技術規范；

④ 常用應用系統檢測技術規范；

⑤ 常見網絡安全事件檢測技術規范。

4）人員和工具準備

應急服務提供者應具有處理網絡安全事件的工具包，包括常用的系統命令、工具軟件等。這些工具包應保存在不可更改的移動介質上，如一次性可寫光盤，還應定期更新。

應急響應工作需要大量的人力參與，特別是對一些重大事件的處理。因此，服務提供者和信息系統運營單位應能隨時調動一定數量的應急技術人員和輔助人員。

2．檢測階段

檢測階段的目標是對網絡安全事件做出初步的動作和響應，根據獲得的初步材料和分析結果，預估事件的范圍和影響程度，制定進一步的響應策略，并且保留相關證據。

該階段的控制點包括檢測對象及范圍確定、檢測方案確定、檢測實施。

1）檢測對象及范圍確定

應急技術人員應對發生異常的系統進行初步分析，判斷是否真正發生了安全事件。

如果由外部組織提供應急響應服務，則外部的應急服務提供者應與信息系統運營者共同確定檢測對象及范圍（初步），且檢測對象及范圍應得到被服務對象的書面授權。

2）檢測方案確定

如果由外部組織提供應急響應服務，則外部的應急服務提供者應與信息系統運營者共同確定檢測方案。如果由組織自身提供應急響應服務，也應制定檢測方案并報經批準。

檢測方案中應明確應急時所使用的檢測規范，說明檢測范圍，并預測應急處理方案可能造成的影響。此外，檢測方案還應包含實施方案失敗的應變和回退措施。

發生網絡安全事件時，往往情況非常緊急，通常沒有時間制定完整、復雜的檢測方案并經層層審批。這種情況下，應急技術人員如果迫不得已以口頭形式確定檢測方案，應與業務人員、管理人員等各方相關人員做好溝通。

3）檢測實施

確定檢測方案后，應急技術人員應立即按照檢測方案實施檢測。

檢測內容包含但不限于以下幾個方面。

① 收集并記錄系統信息，特別是在執行備份的過程中可能遺失或無法捕獲的信息，如所有當前網絡連接、所有當前進程、所有當前登錄的活動用戶、所有打開文件（因為在斷開網絡連接時有些文件可能會被刪除）、其他所有容易丟失的數據（如內存和緩存中的數據）。

② 備份被入侵的系統，至少應備份已確認被攻擊了的系統及系統上的用戶數據。

③ 隔離被入侵的系統。把備份的文件傳到一個與生產系統相隔離的測試系統上，并在測試系統上恢復被入侵系統，或者斷開被破壞的系統并且直接在這些系統上進行分析。

④ 查找其他系統上的入侵痕跡。其他系統包括同一IP地址段或同一網段的系統、處于同一域的其他系統、具有相同網絡服務的系統、具有同一操作系統的系統。

⑤ 檢查防火墻、入侵檢測和路由器等設備的日志，分析哪些日志信息源于以前從未被注意到的系統安全事件，并且確定哪些系統已經被攻擊。

⑥ 確定攻擊者的入侵路徑和方法。分析系統的本地日志，特別是入侵者試圖猜測密碼時的拒絕訪問信息，與某些漏洞相關的信息，由專門工具所搜集的某些特定服務信息等，判斷攻擊者的入侵路徑和方法。

⑦ 確定入侵者進入系統后的行為。通過分析各種日志文件、將受攻擊機器上的完整性校驗和文件同已知的可信任的完整性校驗和文件進行比較、借用檢測工具和分析工具等方式，確定入侵者是如何實施攻擊并獲得系統的訪問權限的。

如果由外部組織實施檢測，則應急服務提供者的檢測工作應在系統運營者的監督與配合下完成。應急服務提供者應配合被服務對象，將所檢測到的安全事件向有關部門和人員通報或報告。

3．抑制階段

抑制階段的目標是限制攻擊的范圍，抑制潛在的或進一步的攻擊和破壞。抑制措施十分重要，因為安全事件很容易擴散和失控。攻擊抑制措施可以在以下幾個方面發揮作用，阻止入侵者訪問被攻陷系統、限制入侵的程度、防止入侵者進一步破壞等。

該階段的控制點包括抑制方法確定、抑制方法認可、抑制實施。

1）抑制方法確定

在檢測分析的基礎上，應急技術人員應迅速確定與安全事件相應的抑制方法。在確定抑制方法時，需要考慮：

① 全面評估入侵范圍及入侵帶來的影響和損失；

② 通過分析得到的其他結論，如入侵者的來源；

③ 服務對象的業務和重點決策過程；

④ 服務對象的業務連續性。

2）抑制方法認可

如果應急服務由外部組織提供，則外部應急服務提供者應迅速將所確定的抑制方法和相應的措施告知系統運營者，得到系統運營者的認可。

3）抑制實施

應急技術人員應嚴格按照已確定的技術方案實施抑制，不得隨意更改抑制措施和范圍，如有必要更改，必須獲得授權。

抑制措施應包含但不限于以下幾個方面：

① 監視系統和網絡活動；

② 提高系統或網絡行為的監控級別；

③ 修改防火墻和路由器的過濾規則；

④ 盡可能停用系統服務；

⑤ 停止文件共享；

⑥ 修改密碼；

⑦ 停用或刪除被攻破的登錄賬號；

⑧ 將被攻陷系統從網絡斷開；

⑨ 暫時關閉被攻陷系統；

⑩ 設置陷阱，如蜜罐系統；

? 反擊攻擊者的系統等。

應急技術人員使用的工具應當十分可信，不得使用受害系統已有的不可信文件。

4．根除階段

根除階段的目標是在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出導致網絡安全事件發生的根源，并予以徹底消除。對于單機上的事件，可以根據各種操作系統平臺的具體檢查和根除程序進行操作即可。但是大規模爆發的帶有蠕蟲性質的惡意程序，要根除各個主機上的惡意代碼，則需投入更多的人力和物力。

該階段的控制點包括根除方法確定、根除方法認可、根除實施。

1）根除方法確定

應急技術人員應檢查所有受影響的系統，在準確判斷網絡安全事件原因的基礎上，提出根除的方案建議。

由于入侵者一般都會安裝后門或使用其他方法以便在將來有機會侵入該被攻陷的系統，因此在確定根除方法時，需要了解攻擊者是如何入侵的，了解與這種入侵方法相同和類似的各種方法。

2）根除方法認可

與前一階段類似，應急服務提供者應明確告知系統運營者所采取的根除措施可能帶來的風險，制定應變和回退措施，并獲得系統運營者的書面授權。

3）根除實施

應急技術人員應使用可信的工具進行安全事件的根除處理，不得使用受害系統已有的不可信文件。

根除措施應包含但不限于以下幾個方面：

① 修改全部可能受到攻擊的系統的密碼；

② 去除所有的入侵通路和入侵者做的修改；

③ 修補系統和網絡漏洞；

④ 增強防護功能、復查所有防護措施（如防火墻）的配置，并依照不同的入侵行為進行調整，對未受防護或者防護不夠的網絡增加新的防護措施；

⑤ 提高檢測功能，對諸如入侵檢測系統和其他入侵報告工具等檢測功能進行及時更新，以保證將來對類似的入侵進行檢測；

⑥ 重新安裝系統，并對系統進行調整，包括打補丁、修改系統錯誤，以保證系統不會出現其他漏洞。

5．恢復階段

恢復階段的目標是將網絡安全事件所涉及的系統還原到正常狀態?；謴凸ぷ鲬撌中⌒模苊獬霈F誤操作，導致數據的丟失。恢復階段的行動集中于建立臨時業務處理能力、修復原系統損害、在原系統或新設施中恢復運行業務能力等應急措施。

該階段的控制點包括恢復方法確定和恢復系統。

1）恢復方法確定

應急技術人員應確定一種或多種能從網絡安全事件中恢復系統的方法，這些方法應全部告知系統運營者，包括每種方法可能存在的風險。

恢復方案涉及以下方面：

① 如何獲得訪問受損設施和/或地理區域的授權；

② 如何通知相關系統的內部和外部業務伙伴；

③ 如何獲得所需的辦公用品和工作空間；

④ 如何獲得安裝所需的硬件部件；

⑤ 如何獲得裝載備份介質；

⑥ 如何恢復關鍵操作系統和應用軟件；

⑦ 如何恢復系統數據；

⑧ 如何成功運行備用設備。

2）恢復系統

系統運營者應按照系統的初始化安全策略恢復系統。由于需要恢復的系統很多，應根據系統中各子系統的重要性，確定系統恢復的順序。

系統恢復過程包含但不限于以下幾個方面：

① 利用正確的備份恢復用戶數據和配置信息，要求使用最近的、可靠的備份來恢復；

② 開啟系統和應用服務，將由于受到入侵或者懷疑存在漏洞而關閉的服務程序經修改后重新開放；

③ 將恢復后的系統連接到網絡。

對于不能徹底恢復配置和清除系統上的惡意文件，或不能肯定系統經過根除處理后是否已恢復正常的情況，應選擇重建系統。

如果網絡安全事件是由于系統自身原因造成的，還應在恢復的同時對系統進行全面的安全加固。

6．總結階段

總結階段的目標是回顧網絡安全事件處理的全過程，整理與事件相關的各種信息，并盡可能地把所有情況記錄到文檔中。這些記錄的內容，不僅對有關部門的其他處理工作具有重要意義，而且對將來應急工作的開展也是非常重要的積累。

該階段的控制點包括總結和報告。

1）總結

應急技術人員應及時檢查網絡安全事件處理記錄是否齊全，是否具備可追溯性，并對安全事件處理過程進行全面總結和分析。

應急響應總結的具體工作包括：

① 安全事件發生原因分析；

② 安全事件現象總結；

③ 系統的損害程度評估；

④ 安全事件損失估計；

⑤ 應急處理記錄總結。

2）報告

這是應急處理工作的最后一項。應急技術人員應制定完備的網絡安全事件處理報告，并在報告中對網絡安全方面提出明確的建議和意見。