網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是十分重要的，在網(wǎng)絡(luò)安全事件層出不窮、事件危害損失巨大的時(shí)代，應(yīng)對(duì)短時(shí)間內(nèi)冒出的網(wǎng)絡(luò)安全事件，根據(jù)應(yīng)急響應(yīng)組織事先對(duì)各自可能情況的準(zhǔn)備演練，在網(wǎng)絡(luò)安全事件發(fā)生后，盡可能快速、高效的跟蹤、處置與防范，確保網(wǎng)絡(luò)信息安全。就目前的網(wǎng)絡(luò)安全應(yīng)急監(jiān)測(cè)體系來(lái)說(shuō)，其應(yīng)急處理工作可分為以下幾個(gè)流程：

1、準(zhǔn)備工作

此階段以預(yù)防為主，在事件真正發(fā)生前為應(yīng)急響應(yīng)做好準(zhǔn)備。主要包括以下幾項(xiàng)內(nèi)容：制定用于應(yīng)急響應(yīng)工作流程的文檔計(jì)劃，并建立一組基于威脅態(tài)勢(shì)的合理防御措施；制定預(yù)警與報(bào)警的方式流程，建立一組盡可能高效的事件處理程序；建立備份的體系和流程，按照相關(guān)網(wǎng)絡(luò)安全政策配置安全設(shè)備和軟件；建立一個(gè)支持事件響應(yīng)活動(dòng)的基礎(chǔ)設(shè)施，獲得處理問(wèn)題必備的資源和人員，進(jìn)行相關(guān)的安全培訓(xùn)，可以進(jìn)行應(yīng)急響應(yīng)事件處理的預(yù)演方案。

2、事件監(jiān)測(cè)

識(shí)別和發(fā)現(xiàn)各種網(wǎng)絡(luò)安全緊急事件。一旦被入侵檢測(cè)機(jī)制或另外可信的站點(diǎn)警告已經(jīng)檢測(cè)到了入侵，需要確定系統(tǒng)和數(shù)據(jù)被入侵到了什么程度。入侵響應(yīng)需要管理層批準(zhǔn)，需要決定是否關(guān)閉被破壞的系統(tǒng)及是否繼續(xù)業(yè)務(wù)，是否繼續(xù)收集入侵者活動(dòng)數(shù)據(jù)（包括保護(hù)這些活動(dòng)的相關(guān)證據(jù)）。通報(bào)信息的數(shù)據(jù)和類型，通知什么人。主要包括以下幾種處理方法：

布局入侵檢測(cè)設(shè)備、全局預(yù)警系統(tǒng)，確定網(wǎng)絡(luò)異常情況；

預(yù)估事件的范圍和影響的嚴(yán)重程度，來(lái)決定啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)的方案；

事件的風(fēng)險(xiǎn)危害有多大，涉及到多少網(wǎng)絡(luò)，影響了多少主機(jī)，情況危急程度；

確定事件責(zé)任人人選，即指定一個(gè)責(zé)任人全權(quán)處理此事件并給予必要資源；

攻擊者利用的漏洞傳播的范圍有多大，通過(guò)匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模入侵事件；

3、抑制處置

在入侵檢測(cè)系統(tǒng)檢測(cè)到有安全事件發(fā)生之后，抑制的目的在于限制攻擊范圍，限制潛在的損失與破壞，在事件被抑制以后，應(yīng)該找出事件根源并徹底根除；然后就該著手系統(tǒng)恢復(fù)，把所有受侵害的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等恢復(fù)到它們正常的任務(wù)狀態(tài)。

收集入侵相關(guān)的所有資料，收集并保護(hù)證據(jù)，保證安全地獲取并且保存證據(jù)；

確定使系統(tǒng)恢復(fù)正常的需求和時(shí)間表、從可信的備份介質(zhì)中恢復(fù)用戶數(shù)據(jù)和應(yīng)用服務(wù)；

通過(guò)對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源明確相應(yīng)的補(bǔ)救措施并徹底清除，并對(duì)攻擊源進(jìn)行準(zhǔn)確定位并采取措施將其中斷；

清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)，把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到正常的任務(wù)狀態(tài)。

4、應(yīng)急場(chǎng)景

網(wǎng)絡(luò)攻擊事件：

安全掃描攻擊：黑客利用掃描器對(duì)目標(biāo)進(jìn)行漏洞探測(cè)，并在發(fā)現(xiàn)漏洞后進(jìn)一步利用漏洞進(jìn)行攻擊；

暴力破解攻擊：對(duì)目標(biāo)系統(tǒng)賬號(hào)密碼進(jìn)行暴力破解，獲取后臺(tái)管理員權(quán)限；

系統(tǒng)漏洞攻擊：利用操作系統(tǒng)、應(yīng)用系統(tǒng)中存在漏洞進(jìn)行攻擊；

WEB漏洞攻擊：通過(guò)SQL注入漏洞、上傳漏洞、XSS漏洞、授權(quán)繞過(guò)等各種WEB漏洞進(jìn)行攻擊；

拒絕服務(wù)攻擊：通過(guò)大流量DDOS或者CC攻擊目標(biāo)，使目標(biāo)服務(wù)器無(wú)法提供正常服務(wù)；

信息破壞事件：

系統(tǒng)配置遭篡改：系統(tǒng)中出現(xiàn)異常的服務(wù)、進(jìn)程、啟動(dòng)項(xiàng)、賬號(hào)等等；

數(shù)據(jù)庫(kù)內(nèi)容篡改：業(yè)務(wù)數(shù)據(jù)遭到惡意篡改，引起業(yè)務(wù)異常和損失；

網(wǎng)站內(nèi)容篡改事件：網(wǎng)站頁(yè)面內(nèi)容被黑客惡意篡改；

信息數(shù)據(jù)泄露事件：服務(wù)器數(shù)據(jù)、會(huì)員賬號(hào)遭到竊取并泄露.