1.4　網絡安全應急響應現場處置流程

在日常工作中遇到更多的是在事件發生后進行的問題排查及溯源。常見網絡安全應急響應場景有勒索病毒、挖礦木馬、Webshell、網頁篡改、DDoS攻擊、數據泄露、流量劫持，如圖1.4.1所示。

圖1.4.1　常見網絡安全應急響應場景

在現場處置過程中，先要確定事件類型與時間范圍，針對不同的事件類型，對事件相關人員進行訪談，了解事件發生的大致情況及涉及的網絡、主機等基本信息，制定相關的應急方案和策略。隨后對相關的主機進行排查，一般會從系統排查、進程排查、服務排查、文件痕跡排查、日志分析等方面進行，整合相關信息，進行關聯推理，最后給出事件結論。網絡安全應急響應分析流程如圖1.4.2所示。

圖1.4.2　網絡安全應急響應分析流程