网络安全应急响应现场处置流程是什么

先要确定事件类型与时间范围，针对不同的事件类型，对事件相关人员进行访谈，了解事件发生的大致情况及涉及的网络、主机等基本信息，制定相关的应急方案和策略对相关的主机进行排查整合相关信息最后给出事件结论。

在日常工作中遇到更多的是在事件发生后进行的问题排查及溯源。常见网络安全应急响应场景有勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露、流量劫持，如图所示。

在现场处置过程中，先要确定事件类型与时间范围，针对不同的事件类型，对事件相关人员进行访谈，了解事件发生的大致情况及涉及的网络、主机等基本信息，制定相关的应急方案和策略。随后对相关的主机进行排查，一般会从系统排查、进程排查、服务排查、文件痕迹排查、日志分析等方面进行，整合相关信息，进行关联推理，最后给出事件结论。网络安全应急响应分析流程如图所示。

网络安全应急响应现场处置流程分成以下六个阶段：

• 准备阶段：准备阶段以预防为主。主要工作涉及识别机构、企业的风险，建立安全政策，建立协作体系和应急制度。按照安全政策配置安全设备和软件，为应急响应与恢复准备主机。依照网络安全措施，进行一些准备工作，例如，扫描、风险分析、打补丁等。如有条件且得到许可，可建立监控设施，建立数据汇总分析体系，制定能够实现应急响应目标的策略和规程，建立信息沟通渠道，建立能够集合起来处理突发事件的体系。

• 检测阶段：检测阶段主要检测事件是已经发生的还是正在进行中的，以及事件产生的原因。确定事件性质和影响的严重程度，以及预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总，查看是否发生了全网的大规模事件，从而确定应急等级及其对应的应急方案。

• 抑制阶段：抑制阶段的主要任务是限制攻击/破坏波及的范围，同时也是在降低潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。

• 根除阶段：根除阶段的主要任务是通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统，引发安全事件。并加强宣传，公布危害性和解决办法，呼吁用户解决终端问题。加强监测工作，发现和清理行业与重点部门问题。

• 恢复阶段：恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表，从可信的备份介质中恢复用户数据，打开系统和应用服务，恢复系统网络连接，验证恢复系统，观察其他的扫描，探测可能表示入侵者再次侵袭的信号。一般来说，要想成功地恢复被破坏的系统，需要干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。

• 总结阶段：总结阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练，以防止入侵的再次发生。基于入侵的严重性和影响，确定是否进行新的风险分析，给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。