网络安全应急监测体系应急处理工作的过程

网络安全应急监测体系应急处理工作的过程

在网络安全事件层出不穷、损失巨大的时代，为了应对短期的网络安全事件，应急组织必须提前做好应对可能情况的准备和培训，并尽可能快速高效地跟踪网络安全事件。对于当前的网络安全应急监测系统，管理和预防可分为以下应急响应过程：

1、准备工作

这一阶段的重点是预防，在事件发生之前准备应急措施。主要内容是为应急响应业务流程制定文件计划，并根据威胁情况确定适当的防御措施。建立警报和警报方法和程序，并尽可能有效地执行事件处理程序。建立备份系统，并根据相关网络安全策略处理和配置安全设备和软件。建立支持事件响应的基础设施，购买解决问题所需的资源和人员，提供相关的安全培训，并为应急响应准备样本程序。

2、监控事件

识别和检测各种网络安全紧急情况。如果在入侵通知机制或其他可靠的网站警告中检测到入侵，则有必要确认系统和数据的渗透程度。入侵响应是终止损坏的系统并继续工作。为了决定是否继续收集入侵者的数据（包括保护这些活动的证据），需要获得管理层的批准。需要报告的数据和信息类型，以及需要通知的对象，主要包括以下处理方法：

1）建立入侵检测系统和全球预警系统，以检测网络异常。

2）估计事件的范围和严重程度，以制定适当的应急响应计划。

3）事件的风险和损害是什么，涉及多少网络，有多少主机受到影响，以及情况的严重程度。

4）确定事件负责人的任命，该负责人有全权处理事件并提供必要的资源。

3、处置

A 入侵检测系统检测和遏制安全事件的目的是限制攻击范围，限制潜在的损失和损害，然后继续进行系统修复和所有损坏的系统、应用程序、数据库等，以恢复正常运行。

B 收集所有与入侵有关的信息，收集和保护证据，确保证据的安全获取和保存。

C 确定从受信任的备份介质恢复用户数据和应用程序服务的要求和时间表，以确保正常的系统恢复。

D 分析恶意代码或行为的结果，确认事件原因，确定适当的补救措施，并彻底消除。

E 清理系统，恢复数据、程序和服务，并完全恢复所有损坏的系统和网络设备。

4、紧急情况

1）网络攻击

A 安全攻击：黑客使用扫描仪检测目标中的漏洞，发现它们，然后攻击它们；

B 暴力破解攻击：对目标系统账号进行暴力破解，获取后台管理员权限；

C 漏洞攻击：利用操作系统和应用程序中的漏洞进行攻击；

D WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、权限绕过等各种WEB漏洞进行攻击；

E 拒绝服务攻击：针对流量较高的DDOS或CC目标的攻击导致目标服务器无法正常提供服务。

2）删除信息事件：

A 系统配置已被篡改：异常服务、流程、启动项目、帐户等。系统中已发生此情况；

B 数据库内容篡改：业务数据被恶意篡改，造成业务异常和损失；

C 网站内容篡改：网站页面内容被黑客恶意篡改；

D 信息和数据美味事件：服务器数据和会员账户被盗泄露。