网络应急响应流程及工作内容

What is

应急响应对应的英文是 Incident response或emergency responcse，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是，急需第一时间进行处理，使企业的网络信息系统在最短的时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件

• web入侵：网页挂马、主页篡改、webshell
• 系统入侵：病毒木马、勒索软件、圆孔后门
• 网络攻击：DDoS攻击、DNS劫持、ARP攻击

网络信息安全应急处理服务原则

保密性原则

• 实施人员应对安全事件处理服务过程中获知的任何甲方的系统信息承担保密责任和义务，不得泄露给第三方单位或个人，不得利用这些信息进行任何侵害甲方的行为。

规范性原则

• 实施人员应提供专业的服务人员依照规范的操作流程进行安全事件处理服务，所有服务人员必须对各自的操作过程和结果进行详细记录，最终按照规范的报告格式提供完整的服务报告，重要操作需要获得甲方人员授权。
• 重要操作需要获得甲方人员授权。

最小影响原则

• 安全事件处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向甲方予以说明。

应急响应工作流程 6个阶段 17个重要控制点

阶段一：准备阶段

重要控制点

• 服务需求界定
• 服务合同或协议签订
• 服务方案制定
• 人员和工具准备

※ 服务实施阶段： 准备阶段

※ 输入： 合同及项目建议书或投标文件（可参见“售前部分”目录下“项目建议书.doc”或投标文件（根据实际情况定））

※ 交付成果文档： 合同、保密协议

• 《安全服务项目范围约定表》（可参见阶段一目录下“安全服务项目范围约定表.doc”）
• 《应急响应实施方案》（可参见阶段一目录下“应急响应实施方案.doc”）
• 《应急响应实施授权书》（可参见阶段一目录下“应急响应实施授权书.doc”）
• 《应急响应实施人员清单》（可参见阶段一目录下“应急值班制度及人员值班表.doc”）

1.1 阶段目标

• 在安全事件处理前为处理事件做好准备工作；
• 并让客户了解老男孩应急响应服务的实施方式及内容，向客户提交《应急响应实施方案》，同客户签订《应急响应实施授权书》。

1.2 阶段任务

• 1.2.1 服务需求界定

  • 1. 实施人员应明确甲方的应急需求，并填写《安全服务项目范围约定表》；
  • 1. 实施人员应根据甲方提供的网络拓扑图，以及业务系统主管及运维人员介绍，了解甲方的各项业务功能及各项业务功能之间的相关性，应确定支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和可用性要求；必要时利用《业务影响分析（BIA）（模板）》进行分析。

• 1.2.2 服务合同或协议签订

  • 1. 与甲方签订应急服务合同或协议；
  • 1. 应急服务合同或协议应明确双方的职责和责任；
  • 1. 实施方与甲方签订保密协议；
  • 1. 与甲方签订《应急响应实施授权书》。

• 1.2.3 服务方案制定

  • 1. 实施人员应在了解甲方应急需求的基础上制定服务方案；
  • 1. 服务方案应根据业务影响分析的结果，明确应急响应的恢复目标（可利用业务影响分析（BIA）（模板）》进行分析, （可参见：目录“阶段一”中的《附 录 B C业务影响分析（BIA）示例.doc），包括：
    • – 关键业务功能及恢复的优先顺序；
    • – 恢复时间目标和恢复点的范围；
  • 1. 服务方案应带有完善的检测技术规范，检测技术规范至少包含检测目的、工具、步骤等内容。常见的检测技术规范有，但不限于：
    • – Windows系统检测技术规范；
    • – UNIX系统检测技术规范；
    • – 数据库系统检测技术规范；
    • – 常用应用系统检测技术规范；
    • – 常见网络安全事件检测技术规范。

• 1.2.4 人员和工具准备

  • 1. 实施人员应根据甲方的需求准备处置网络安全事件的工具包，包括常用的系统命令、工具软件等；（可参见：目录“阶段一”下的目录“应急工具包”）
  • 1. 实施人员的工具包应保存在不可更改的移动介质上，如一次性可写光盘；
  • 1. 实施人员的工具包应定期更新，并有完善的版本控制；
  • 1. 实施人员应能随时调动一定数量的应急服务人员，并给出实施人员联系清单（可参见阶段一目录下“应急值班制度及人员值班表.doc”）。

阶段二：检测阶段

重要控制点

• 检测对象及范围确定
• 检测方案确定
• 检测实施

※ 服务实施阶段： 检测实施

※ 输入： 《安全服务项目范围约定表》（可参见阶段一目录下“安全服务项目范围约定表.doc”）

《应急响应实施方案》（可参见阶段一目录下“应急响应实施方案.doc”）

※ 输出成果文档： 《应急响应现场处置授权申请及检测方案》（可参见阶段二目录下“应急响应现场处置授权申请及检测方案.doc”）

2.1 阶段目标

• 对网络安全事件做出初步的动作和响应，根据获得的初步材料和分析结果，预估事件的范围和影响程度，制定进一步的响应策略，并且保留相关证据。

2.2 阶段任务

• 2.2.1 检测对象及范围确定

  • 1. 实施人员对发生异常的系统进行初步分析，判断是否真正发生了安全事件；
  • 1. 实施人员应与甲方共同确定检测对象及范围；
  • 1. 检测对象及范围应得到甲方的书面授权。

• 2.2.2 检测方案确定

  • 1. 实施人员应和甲方共同确定检测方案；
  • 1. 实施人员制定的检测方案应明确实施人员所使用的检测规范；
  • 1. 实施人员制定的检测方案应明确实施人员的检测范围，其检测范围应仅限于甲方已授权的与安全事件相关的数据，对甲方的机密性数据信息未经授权不得访问；
  • 1. 实施人员制定的检测方案应包含实施方案失败的应变和回退措施；
  • 1. 实施人员应与甲方充分沟通，并预测应急处理方案可能造成的影响。

• 2.2.3 检测实施

  • 1. 实施人员应按照检测方案实施检测；
  • 1. 检测宜包含但不限于以下几个方面，注意及时截屏：
    • i. 收集并记录系统信息，特别是在执行备份的过程中可能遗失或无法捕获的信息，如所有当前网络连接；所有当前进程；当前登陆的活动用户；所有打开了的文件，在断开网络连接时可能有些文件会被删除；其他所有容易丢失的数据，如内存和缓存中的数据（具体操作可参考《网络与信息安全应急响应技术指南规范》）；
    • ii. 备份被入侵的系统，至少应备份已确认被攻击了的系统及系统上的用户数据；
    • iii. 隔离被入侵的系统。把备份的文件传到与生产系统相隔离的测试系统，并在测试系统上恢复被入侵系统， 或者断开被破坏的系统并且直接在这系统上进行分析；
    • iv. 查找其他系统上的入侵痕迹。其他系统包括同一IP地址段或同一网段的系统、处于同一域的其他系统、具有相同网络服务的系统、具有同一操作系统的系统等；
    • v. 检查防火墙、IDS和路由器等设备的日志，分析哪些日志信息源于以前从未注意到的系统连接或事件，并且确定哪些系统已经被攻击；
    • vi. 确定攻击者的入侵路径和方法。分析系统的日志或通过使用工具，判断攻击者的入侵路径和方法；
    • vii. 确定入侵者进入系统后的行为。分析各种日志文件或借用一些检测工具和分析工具，确定入侵者如何实施攻击并获得系统的访问权限；
  • 1. 实施人员的检测工作应在甲方的监督与配合下完成，并及时记录操作过程；
  • 1. 实施人员应配合甲方，将所检测到的安全事件向有关部门和人员通报或报告。

阶段三：抑制阶段

重要控制点

• 抑制方法确定
• 抑制方法认可
• 抑制实施

※ 服务实施阶段： 抑制实施

※ 输入： 《应急响应现场处置授权申请及检测方案》（可参见阶段二目录下“应急响应现场处置授权申请及检测方案.doc”

※ 输出成果文档： 《应急响应事件检测分析及处置报告》（可参见阶段三目录下“应急响应事件检测分析及处置报告.doc”）

3.1 阶段目标

• 限制攻击的范围，抑制潜在的或进一步的攻击和破坏。

3.2 阶段任务

• 3.2.1 抑制方法确定

  • 1. 实施人员应在检测分析的基础上确定与安全事件相应的抑制方法；
  • 1. 在确定抑制方法时，需要考虑：
    • – 全面评估入侵范围, 入侵带来的影响和损失；
    • – 通过分析得到的其它结论，例如入侵者的来源；
    • – 甲方的业务连续性；
    • – 甲方的业务和重点决策过程；

• 3.2.2 抑制方法认可

  • 1. 实施人员应告知甲方所面临的首要问题；
  • 1. 实施人员所确定的抑制方法和相应的措施应得到甲方的认可；
  • 1. 在采取抑制措施之前，实施人员应与甲方充分沟通，告知可能存在的风险，制定应变和回退措施，并与甲方达成协议。

• 3.2.3 抑制实施

  • 1. 实施人员应严格按照相关约定实施抑制，不得随意更改抑制措施和范围，如有必要更改，须获得甲方的授权；
  • 1. 抑制措施宜包含但不限于以下几个方面，注意及时截屏：
    • – 提高系统或网络行为的监控级别；
    • – 修改防火墙、路由器等设备的过滤规则；
    • – 尽可能停用系统服务；
    • – 停止文件共享；
    • – 监视系统和网络活动；
    • – 改变口令；
    • – 停用或删除被攻破的登录账号；
    • – 将被攻陷系统从网络断开；
    • – 暂时关闭被攻陷系统；
    • – 设置陷阱,如蜜罐系统；
    • – 反击攻击者的系统；
  • 1. 实施人员应使用可信的工具进行安全事件的抑制处理，不得使用受害系统已有的不可信文件。

阶段四：根除阶段

重要控制点

• 根除方法确定
• 根除方法认可
• 根除实施

※ 服务实施阶段： 根除阶段

※ 输入： 《应急响应事件检测分析及处置报告》（可参见阶段三目录下“应急响应事件检测分析及处置报告.doc”）

※ 交付成果文档： 《应急响应事件根除及恢复报告》（可参见阶段五目录下“应急响应事件根除及恢复报告.doc”）

4.1 阶段目标

• 在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出导致网络安全事件发生的根源，并予以彻底消除。

4.2 阶段任务

• 4.2.1 根除方法确定

  • 1. 实施人员应协助甲方检查所有受影响的系统，在准确判断网络安全事件原因的基础上，提出根除的方案建议；
  • 1. 由于入侵者一般都会安装后门或使用其他的方法以便于在将来有来有机会侵入该被攻陷的系统，因此在确定根除方法时，需要了解攻击者是如何入侵，以及这种入侵方法相同和所有类似的各种方法。

• 4.2.2 根除方法认可

  • 1. 实施人员应明确告知甲方所采取的根除措施可能带来的风险，制定应变和回退措施，并获得甲方的书面授权；
  • 1. 实施人员应协助甲方进行根除方法的具体实施。

• 4.2.3 根除实施

  • 1. 实施人员应使用可信的工具进行安全事件的根除处理，不得使用受害系统已有的不可信文件；
  • 1. 根除措施宜包含但不限于以下几个方面，注意及时截屏：
    • – 改变全部可能受到攻击的系统的口令；
    • – 去除所有的入侵通路和入侵者做的修改；
    • – 修补系统和网络漏洞；
    • – 增强防护功能，复查所有防护措施(如防火墙)的配置，并依照不同的入侵行为进行调整，对未受防护或者防护不够的系统增加新的防护措施；
    • – 提高检测能力，及时更新诸如IDS和其他入侵报告工具等的检测策略，以保证将来对类似的入侵进行检测；
    • – 重新安装系统，并对系统进行调整，包括打补丁、修改系统错误等，以保证系统不会出现新的漏洞。

阶段五：恢复阶段

重要控制点

• 恢复方法确定
• 恢复系统

※ 服务实施阶段： 恢复阶段

※ 输入：维护手册、安装手册（根据客户实际情况定）

※ 交付成果文档： 《应急响应事件根除及恢复报告》（可参见阶段五目录下“应急响应事件根除及恢复报告.doc”）

5.1 阶段目标

• 恢复网络安全事件所涉及到的系统，并还原到正常状态。恢复工作应十分小心，避免出现误操作导致数据的丢失。

5.2 阶段任务

• 5.2.1 恢复方法确定

  • 1. 实施人员应告知甲方一个或多个能从网络安全事件中恢复系统的方法，以及每种方法可能存在的风险；
  • 1. 实施人员应与甲方共同制定系统恢复的方案，根据抑制与根除的情况，协助甲方选择合理的恢复方法。恢复方案涉及到以下方面：
    • – 如何获得访问受损设施或地理区域的授权；
    • – 如何通知相关系统的内部和外部业务伙伴；
    • – 如何获得安装所需的硬件部件；
    • – 如何获得装载备份介质；
    • – 如何恢复关键操作系统和应用软件；
    • – 如何恢复系统数据；
    • – 如何成功运行备用设备；
  • 1. 如果涉及到涉密数据，确定恢复方法时应遵守相关的保密要求。

• 5.2.2 恢复系统

  • 1. 实施人员配合甲方维护人员按照系统的初始化安全策略恢复系统；
  • 1. 恢复系统时，应根据系统中各子系统的重要性，确定系统恢复的顺序；
  • 1. 系统恢复过程宜包含但不限于：
    • – 利用正确的备份恢复用户数据和配置信息；
    • – 开启系统和应用服务，将受到入侵或者怀疑存在漏洞而关闭的服务，修改后重新开放；
    • – 将恢复后的系统连接到网络；
  • 1. 对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统经过根除处理后是否已恢复正常时，实施人员应建议甲方维护人员选择彻底重建系统；
  • 1. 实施人员协助甲方维护人员验证恢复后的系统是否运行正常；
  • 1. 实施人员宜帮助甲方对重建后的系统进行安全加固。

阶段六：总结阶段

重要控制点

• 总结
• 报告

※ 服务实施阶段： 总结阶段

※ 输入：实施过程记录

※ 交付成果文档： 《应急响应报告》（可参见“阶段六”目录下“XXX应急响应报告(模板).doc”）

6.1 阶段目标

• 回顾网络安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能地把所有情况记录到文档中。

6.2 阶段任务

• 6.2.1 总结

  • 1. 实施人员应及时检查网络安全事件处理记录是否齐全，是否具备可追溯性，并对事件处理过程进行总结和分析；
  • 1. 应急处理总结的具体工作包括但不限于：
    • – 事件发生原因分析；
    • – 事件现象总结；
    • – 系统的损害程度评估；
    • – 事件损失估计；
    • – 形成总结报告；
    • – 相关工具和文档（如记录、方案、报告等）归档。

• 6.2.2 报告

  • 1. 实施人员应向甲方提供完备的网络安全事件处理报告；
  • 1. 实施人员应向甲方提供网络安全方面的建议和意见，必要时指导和协助甲方实施；
  • 1. 实施人员宜告知甲方可能涉及法律诉讼方面的要求或影响。