淺談網絡安全應急預案

TT最近狀态不錯，工作投入，熱情滿滿。并且學會了提問。這是個很好的迹象。

不能總是誇她，她也會有點點小不順心就和老舅搞點事情，讓老舅不開心，結果還要哄老舅，關鍵是老舅沒有底線，一哄就好。。。主要是還是不想不開心吧，但是有時真的想生氣，但是，哎，欠她的，欠她的，而且很可能要還一輩子。。。或者說我願意還她一輩子。。。

已經有計劃了，但是沒有完成，要一篇WAF，一篇殺傷鍊，今天呢，說說網絡安全中的應急響應。

凡事預則立，不預則廢。網絡安全應急響應就是要對網絡安全有清晰認識，有所預估和準備，進而在一旦發生突發網絡安全事件時，有序應對、妥善處理。

中央網絡安全和資訊化上司小組辦公室，2017年1月10日，印發了《國家網絡安全事件應急預案》，裡面有編制目的，依據，适用範圍，事件分級等。有必要可以網上搜尋。我就簡單粗暴的講大白話了。

應急響應或者應急預案是用來處理系統運作中的突發事件，進而降低危害和影響，整個可以了解為一套規範的操作流程或指南。

事件分類：應急預案是針對一些特定的資訊事件，這些事件可分為網絡攻擊事件、資訊破壞事件、惡意軟體攻擊事件、網絡故障事件、軟體系統故障事件、災難性事情、其他事件等八類事件。（這個是一般分法）。是以應急響應的預案一般也是有針對的制定和進行，比如針對網絡攻擊事件是一套預案，針對軟體系統故障事件是一套預案，等等。

事件分級：按照造成資訊系統的中斷運作時間和影響，将資訊系統突發事件級别劃分為特别重大（I級）、重大（II級）、較大（III級）、一般（IV級）。是以呢，也可以想到的就是，不同等級的事件處理的流程會有不同，就像大風有藍色，橙色，黃色預警一樣。

一般呢，對于應急響應工作，會有專門的組織機構和工作職責，負責處理相關工作和流程。

接下來呢，最重要的工作就是應急響應的流程。就是按照什麼樣的流程做什麼事情。看下下面的流程圖，這個各行業，各家機關都會有些差異，大同小異，有些的流程寫的更細緻一些。最後一個是應急響應總結。

不同的事件，處理預案是不同的，是以如果做應急響應演練，内容和方式也會有不同，我們就舉2個例子吧。

（1）網絡攻擊事件應急預案：

1.當發現網絡被非法入侵、網頁内容被篡改，應用伺服器的資料被非法拷貝、修改、删除，或有黑客正在進行攻擊等現象時，使用者或管理者應斷開網絡，并立即報告應急工作小組。

2.應急工作小組立即切斷相關伺服器網絡或關閉伺服器，封鎖或删除被攻破的登陸賬号，阻斷可疑使用者進入網絡的通道，并及時清理系統、恢複資料和程式，盡快将系統和網絡恢複正常。

（2）惡意軟體攻擊事件應急預案：

1.當發現網絡病毒或蠕蟲攻擊時，系統使用人員立即斷開網線，終止網絡病毒或蠕蟲傳播，并報告應急工作小組。

2.應急工作小組根據情況通告區域網路内所有計算機使用者，隔離網絡，指導各計算機操作人員進行殺毒處理、清除惡意軟體及受感染檔案，直至網絡處于安全狀态。

這是兩種預案，可以看出内容或者說側重點還是不同的，是以一般發生資訊系統相關事件，先要進行斷網處理，評定事件類型和影響，就是事件是哪個嚴重級别，上報相關上司，同僚積極處理善後工作，一般要保留相關痕迹，事後溯源，最終要寫總結報告。

看一個完整的演練方案吧。一般按照如下架構來充實内容。

XXX網絡安全應急演練方案

一、指導思想

二、組織機構

1，演練指揮部

2，演練工作組

三、演練方案

1、演練時間

2、演練内容

（1），網絡通信故障及排除

（2），計算機病毒排除

（3），網站篡改處理

（4），網絡輿情處理與報送

3，演練目的

    加強協助，防範事故，統一指揮，協調有序。。。通過演練，是員工。。。，明确分工職責，提高意識能力，，，。

四、演練的準備階段

1，學習教育

2，印發《。。。。應急演練實施方案》

3，演練組與相關機關做好準備。。。

五、應急演練階段

1，講解參與人員注意事項

2，按照時間表逐項通知

3，參與人員認真對待

4，演練程式

（3），網站篡改處理

故障情節： XX月X日，WHO發現了機關網站篡改。

處理程式：從業人員報告管理網絡安全管理人員。管理者檢視，驗證，分析，查找原因。對相關資訊删除，更改密碼。工作組人員對其他站點進行排查，追溯源頭。上報指揮部。指揮部上報上級。故障排除後，管理者想指揮部彙報故障原因及處理結果，做好記錄。。。。

六、演練要求

1，加強上司，確定達到目的。

2，認真組織，確定人員到位。

七、總結彙報

演練結束後，對演練工作反思，整改，吸取教訓，總結經驗，完善預案。。。

TT同學，關于應急預案，是不是大概了解了，總體來說，就是要有個腳本，就是方案，然後按照這個腳本來進行演習。是以這個腳本的好壞很重要哈。