應急響應介紹（一）

什麼是應急響應？

應急響應對應的英文是“Incident Response”或“Emergency Response”等，通常是指一個組織為了應對各種意外事件發生前所做的準備, 以及在意外事件發生後所采取的措施。

網絡安全應急響應是指針對已經發生或可能發生的安全事件進行監控、分析、協調、處理、保護資産安全。網絡安全應急響應主要是為了人們對網絡安全有所認識、有所準備，以便在遇到突發網絡安全事件時做到有序應對、妥善處理。

作用和意義

未雨綢缪：即在事件發生前事先做好準備，比如安全合規、風險評估、制定安全計劃、安全意識的教育訓練、以釋出安全通告的方式進行的預警、以及各種防範措施。

亡羊補牢：即在事件發生後采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統，如發現事件發生後，系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢複、調查與追蹤、驗證等一系列操作。

相關機關

上司組：中國網絡安全和資訊化上司小組

網信辦：國家網際網路資訊辦公室

公安部：網警、技偵、網安、刑偵、國安….

國家網絡安全應急辦公室

國家網際網路應急中心

法律法規

2016年 國家網絡空間安全戰略

2017年 網絡安全法

2019年 網絡安全等級保護2.0

國家網絡安全事件應急預案

……

事件級别

1、特别重大事件

紅色預警、一級響應

2、重大事件

橙色預警、二級響應

3、較大事件

黃色預警、三級響應

4、一般事件

藍色預警、四級響應

事件類型

1、應用安全

Webshell、網頁篡改、網頁挂馬…

2、系統安全

勒索病毒、挖礦木馬、遠控後門…

3、網絡安全

DDOS攻擊、ARP攻擊、流量劫持…

4、資料安全

資料洩露、損壞、加密…

應急響應模型(PDCERF)

1.準備階段（Preparation）

2.檢測階段（Detection）

3.抑制階段（Containment）

4.根除階段（Eradication）

5.恢複階段（Recovery）

6.總結階段（Follow-up）

01 準備階段

應急團隊建設

應急方案制定

滲透測試評估

安全基線檢查

02 檢測階段

判斷事件類型

判斷事件級别

确定應急方案

03 抑制階段

限制攻擊/破壞波及的範圍，同時也是在降低潛在的損失：

阻斷：IP位址、網絡連接配接、危險主機….

關閉：可疑程序、可疑服務…..

删除：違規賬号、危險檔案….

04 根除階段

通過事件分析找出根源并徹底根除，以避免被再次利用：

增強：安全政策、全網監控….

修複：應用漏洞、系統漏洞、更新檔更新…..

還原：作業系統、業務系統…..

05 恢複階段

把被破環的資訊徹底還原到正常運作的狀态：

恢複業務系統

恢複使用者資料

恢複網絡通信

06 總結階段

回顧并整合應急響應過程的相關資訊，進行事後分析總結和修訂安全計劃、 政策、程式，并進行訓練，以防止入侵的再次發生：

事件會議總結

響應報告輸出

響應工作優化

團隊組建

内部團隊：

監控組：利用各類系統監控、檢視監控系統日志、對應用/系統/網絡/資料安全檢測

響應組：應用組、系統組、裝置組

研判組：溯源分析、專家組

文檔組：應急響應方案制定、事件報告輸出、經驗總結輸出

外部團隊：

合作機關：安全廠商、安全服務團隊

監管機關：網信辦、公安部

安全産品

美國将資訊安全裝置分為9類：

鑒别、通路控制、入侵監測、防火牆、公鑰基礎設施、惡意程式代碼防護、漏洞掃描、 驗證、媒體清理或擦除

中國公安部将資訊安全裝置分為7類：

作業系統安全、資料庫安全、網絡安全、病毒防護、通路控制、加密、鑒别

中國軍用标準分為6類：

實體安全産品、平台安全産品、網絡安全産品、資料安全産品、使用者安全産品、管理安 全産品

安全産品用途分類

安全網關類：

防火牆、UTM、網閘、抗DDoS牆、負載均衡、VPN、上網行為管理

評估工具類：

漏洞掃描系統、網絡分析系統

威脅管理類：

入侵監測系統（IDS）、入侵防禦系統（IPS）、WEB應用防火牆（WAF）、網絡防毒牆、防毒軟體

應用監管類：

堡壘機、審計系統、DB防火牆、終端安全管理系統、Mail防火牆、安全運維平台（SOC）、IT運維管理平台

安全加密類：

加密機、三合一、身份認證系統、檔案加密系統

防火牆（Firewall）

防火牆(Firewall )，也稱防護牆，是由Check Point創立者發明

• 它是一個資訊安全的防護系統，依照特定的規則，允許或限制傳輸的資料通過，主要是網絡層的安全防護裝置
• 防火牆是一個由軟體和硬體裝置組合而成，在内部網和外部網之間、專用網與公共網之間構造的保護屏障

下一代防火牆，即Next Generation Firewall

• 簡稱NG Firewall，是一款可以全面應對應用層威脅的高性能防火牆，提供網絡層應用層一體化安全防護，防火牆主要用于邊界安全防護的權限控制和安全域的劃分。

在網絡中，所謂“防火牆”，是指一種将内部網和公衆通路網（如Internet)分開的方法，它實際上是一種隔離技術。

防火牆是在兩個網絡通訊時執行的一種通路控制尺度，它能允許你“同意”的人和資料進入你的網絡，同時将你“不同意”的人和資料拒之門外，最大限度地阻止網絡中的黑客來通路你的網絡。

部署于内、外網邊界和各個區域之間，用于權限通路控制和安全域劃分

抗DDoS防火牆

• DDoS全名是Distribution Denial of service (分布式拒絕服務攻擊)
• Dos的攻擊方式有很多種，最基本的Dos攻擊就是利用合理的服務請求來占用過多的服務 資源，進而使伺服器無法處理合法使用者的指令
• DDoS防火牆的獨特抗攻擊算法，高效的主動防禦系統可有效防禦Dos/DDoS、 SuperDDoS、DrDoS、代理CC、變異CC、僵屍叢集CC、UDPFlood、變異UDP、随機UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻擊，傳奇假人攻擊、論壇假人攻擊、 非TCP/IP協定層攻擊、等多種未知攻擊
• 部署于外網邊界前端，或将資料引流至過濾引擎，最終回流

網閘（GAP）

• 網閘（GAP）全稱安全隔離網閘
• 安全隔離網閘是一種帶有多種控制功能專用硬體在電路上切斷網絡之間的鍊路層連接配接 ，并能夠在網絡間進行安全适度的應用資料交換的網絡安全裝置
• 相比于防火牆，能夠對應用資料進行過濾檢查，防止洩密、進行病毒和木馬檢查
• 特點：鍊路層裝置，兩個主機闆，之間用線連接配接，這個線不使用任何的協定，隻進行資料的讀和寫；進行資料擺渡，傳輸速率低。常用于保密機關、科研機關等

虛拟專用網絡（VPN）

• VPN(virtual private network)虛拟專用網絡，在公用網絡上建立專用網絡，進行加密通訊，VPN網關通過對資料包的加密和資料包目标位址的轉換實作遠端通路
• VPN的隧道協定主要有三種：PPTP、L2TP和IPSec，常用VPN類型有 SSL VPN(以 HTTPS為基礎的VPN技術)和IPSec VPN(基于 IPSec 協定的 VPN 技術，由 IPSec 協定提 供隧道安全保障)
• 部署在網絡、應用、伺服器前端，部署模式有單臂模式、路由模式、透明模式

入侵檢測系統（IDS）

入侵檢測系統(intrusion detection system，簡稱IDS) 是一種對網絡傳輸進行即時監視， 在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全裝置。它與其他網絡安全裝置的不同之處便在于，IDS是一種積極主動的安全防護技術。

依照一定的安全政策，通過軟、硬體對網絡、系統的運作狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性 。

入侵檢測系統部署模式為旁路模式部署，在核心交換裝置上開放鏡像端口，分析鏡像流量中的資料，判别攻擊行為。

一個入侵檢測系統分為四個元件：

• 事件産生器（Event generators），它的目的是從整個計算環境中獲得事件，并向系統的其他部分提供此事件
• 事件分析器（Event analyzers），它經過分析得到資料，并産生分析結果
• 響應單元（Response units ），它是對分析結果作出反應的功能單元，它可以作出切斷連接配接、改變檔案屬性等強烈反應，也可以隻是簡單的報警
• 事件資料庫（Event databases ）事件資料庫是存放各種中間和最終資料的地方的統稱， 它可以是複雜的資料庫，也可以是簡單的文本檔案

入侵防禦系統（IPS）

入侵防禦系統(Intrusion-prevention system，簡稱IPS) 位于防火牆和網絡裝置之間，依靠對資料包的檢測進行防禦（檢查入網的資料包，确定資料包的真正用途，然後決定是否允許其進入内網 ）

能夠監視網絡或網絡裝置的網絡資料傳輸行為的計算機網絡安全裝置，能夠即時的中斷、 調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為

防火牆可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力，IPS是對防火牆的補充

分類：投入使用的入侵預防系統按其用途進一步可以劃分為單機入侵防禦系統(HIPS: Hostbased Intrusion Prevension System)和網絡入侵防禦系統(NIPS: Network Intrusion Prevension System）兩種類型

網絡入侵防禦系統作為網絡之間或網絡組成部分之間的獨立的硬體裝置，切斷交通，對過往包裹進行深層檢查，然後确定是否放行。網絡入侵防禦系統借助病毒特征和協定異常， 阻止有害代碼傳播。有一些網絡入侵防禦系統還能夠跟蹤和标記對可疑代碼的應答，然後看誰使用這些回答資訊而請求連接配接，這樣就能更好地确認發生了入侵事件

部署：伺服器區域前端，部署模式通常為網橋模式、透明模式，也有部署為路由模式

WEB應用防火牆

Web應用防火牆(Web Application Firewall，簡稱WAF) 用以解決諸如防火牆一類傳統裝置束手無策的Web應用安全問題， 與傳統防火牆不同，WAF工作在應用層，是以對 Web應用防護具有先天的技術優勢。

WAF對來自Web應用程式用戶端的各類請求進行内容檢測和驗證，確定其安全性與合法性，對非法的請求予以實時阻斷，進而對各類網站站點進行有效防護

部署在伺服器區域前端，專門針對web應用進行防， Web應用防火牆部署模式有網橋模 式、透明模式、代理模式，并支援雙bypass（硬體+軟體）