4.7　分場景的事件響應指南編寫案例

隨著組織的運營，CSO可以將一些組織經常遇到的網絡安全事件，編寫為事件響應指南或標準操作手冊，讓原本需要反饋到高層才能做出的決策，下放到基層，只要評判事件特征是否符合標準就可以快速反應。這樣一來，就可以大大縮短事件處置所需的時間。常見的常規事件響應指南包括病毒傳播事件、網站頁面被篡改、常用系統故障或宕機、外部網絡入侵告警、機房或物理設備故障等。

4.7.1　病毒傳播事件

設備中毒是組織中最常見的網絡安全事件，針對設備中毒導致的安全事件，可以制定通用的事件響應指南，以指導處理常規中毒事件。

表4-3是某企業病毒事件的響應指南，該指南設計的場景是“部分計算機感染病毒，造成局域網運行緩慢或堵塞，導致辦公無法正常進行”，基于此設計了120分鐘內恢復網絡的各部門協調操作指南。

4.7.2　網站頁面被篡改

網站網頁被篡改也是常見的網絡安全事件，此類事件可能導致企業名譽、品牌的損失，同樣可以通過制定網站事故的響應指南，來加速對此類事件的處置。

表4-4是某企業網站事故響應指南，該指南設計的場景是“網站被惡意攻擊，出現非法內容或出現技術故障等”，基于此設計了30分鐘內隔斷網站網絡的操作指南。

4.7.3　常用系統故障或宕機

企業內部信息系統發生故障或宕機也是典型的網絡安全事件，對于可用性要求不高的系統，同樣可以制定事故的響應指南，以規范具體的操作流程，實現快速恢復。而對可用性要求極高的信息系統則需要考慮建立應急預案，通過應急預案來實現高可用備份系統的切換。

表4-5是某企業OA系統的故障響應指南，該指南設計的場景是“由于OA系統主機硬件，如主板、硬盤、內存、CPU、網卡等損壞，致使系統無法正常使用”，基于此設計了備份恢復的操作機制。

4.7.4　外部網絡入侵告警

黑客入侵、入侵檢測系統報警也是常見的網絡安全事件，可以建立響應指南來規范相關事件的處理。

表4-6是某企業防火墻遭入侵時的響應指南，該指南設計的場景是“防火墻實時監控系統偵測到外網地址主機對內網地址主機進行高危行為入侵”，基于此設計了快速發現和阻斷的操作指南。

4.7.5　機房設備故障

機房設備故障導致系統故障是常見的網絡安全事件情況，表4-7是某企業機房UPS故障的響應指南，該指南設計的場景是“機房因大樓UPS交流輸入故障導致中斷”，基于此設計了如何處理的操作指南。

以上場景示例詳細說明了故障場景、處置方式、人員責任、時間要求等要素，通過明確這些要求，可以將原來需要三線網絡安全事件領導小組決策的內容，轉由二線或一線負責人直接判斷和啟動，節省了事件處置的時間。

除了以上場景，CSO還可以對硬件與軟件的盜取、系統管理員口令被竊取、在PC上發現間諜軟件和木馬軟件、來自媒體的虛假消息和誹謗消息、信息泄密、司法取證調查等場景設計網絡安全事件響應指南。