网络安全应急响应6个步骤(新手必看)
网络安全事件是企业和个人必须面对的威胁,网络安全事件的发生越来越频繁且事件本身越来越复杂。
为了有效应对这些威胁,建立完善的网络安全应急响应流程变得尤为重要。现在主流的网络安全应急响应流程都是参照 PDCERF 模型设计的,PDCERF 模型最早于 1987 年提出,该模型将网络安全应急响应流程分成准备、检测、抑制、根除、恢复和总结六大阶段,如下图所示。

图 1 网络安全应急响应PDCERF模型
在整个流程中,每个阶段都有其特定的目标和任务,且这些任务必须按照特定的先后顺序由专业的团队负责执行。通过合理利用 PDCERF 模型,应急响应人员可以快速、高效地响应并处置网络安全事件,从而降低风险和减少损失。但是,PDCERF 模型不是安全事件应急响应流程的唯一参照。
下面我们详细介绍 PDCERF 模型。在实际网络安全应急响应流程中,这 6 个阶段不一定严格存在,也不一定严格按照图 1 所示的顺序进行,但这的确是目前适用性较强的网络安全应急响应流程。
在该阶段需要按照安全政策配置安全设备和软件,为应急响应与恢复准备主机;依照网络安全措施,进行一些准备工作,例如扫描、风险分析、修复漏洞等。如有条件且得到许可,可建立监控设施,建立数据汇总分析体系,制定能够实现应急响应目标的策略和规程,并建立信息沟通渠道,以形成能够集中处理突发事件的体系。
在该阶段需要选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件影响的范围;通过汇总,判断是否存在影响范围覆盖全网的大规模事件,从而确定应急级别并选定对应的应急方案。
根据《信息安全技术 网络安全事件分类分级指南》(GB/T 20986—2023),信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件这 7 个基本分类,每个基本分类分别包括若干个子类,具体如下:
1) 有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入信息系统中的一段危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行的程序。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件等7个子类。
2) 网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件、其他网络攻击事件等7个子类。
3) 信息破坏事件(IDI)是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类。
4) 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串联、煽动集会游行的信息安全事件;其他信息内容安全事件等4个子类。
5) 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及由人为使用非技术手段有意或无意造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等4个子类。
6) 灾害性事件是指由不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
7) 其他事件是指不能归为以上 6 个基本分类的其他信息安全事件。
所有的抑制活动都是建立在能正确检测事件的基础上的,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
抑制策略通常包含以下内容:
在该阶段需要加强宣传,公布网络安全事件的危害性和处置办法,解决共性问题;同时加强监测工作,及时发现和清理同类问题。
根除阶段常用的手段有以下几类:
在该阶段需要确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,重启系统和应用服务,恢复系统网络连接,验证恢复后的系统,观察其他的扫描结果,探测可能表示攻击者再次入侵的信号。
一般来说,要想成功地恢复被破坏的系统,需要准备干净的备份系统,编制并维护系统恢复的操作手册,而且在系统恢复后需要对系统进行全面的安全加固,以防未来可能的攻击。
在该阶段需要基于网络安全事件的严重程度和影响程度,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这个阶段的工作对于准备阶段工作的开展具有重要的支持作用。
总结阶段的工作主要包括以下三方面的内容:
为了有效应对这些威胁,建立完善的网络安全应急响应流程变得尤为重要。现在主流的网络安全应急响应流程都是参照 PDCERF 模型设计的,PDCERF 模型最早于 1987 年提出,该模型将网络安全应急响应流程分成准备、检测、抑制、根除、恢复和总结六大阶段,如下图所示。

图 1 网络安全应急响应PDCERF模型
在整个流程中,每个阶段都有其特定的目标和任务,且这些任务必须按照特定的先后顺序由专业的团队负责执行。通过合理利用 PDCERF 模型,应急响应人员可以快速、高效地响应并处置网络安全事件,从而降低风险和减少损失。但是,PDCERF 模型不是安全事件应急响应流程的唯一参照。
下面我们详细介绍 PDCERF 模型。在实际网络安全应急响应流程中,这 6 个阶段不一定严格存在,也不一定严格按照图 1 所示的顺序进行,但这的确是目前适用性较强的网络安全应急响应流程。
准备阶段
准备阶段以预防为主,主要工作涉及识别机构、企业的风险,制定安全政策,构建协作体系和应急制度。在该阶段需要按照安全政策配置安全设备和软件,为应急响应与恢复准备主机;依照网络安全措施,进行一些准备工作,例如扫描、风险分析、修复漏洞等。如有条件且得到许可,可建立监控设施,建立数据汇总分析体系,制定能够实现应急响应目标的策略和规程,并建立信息沟通渠道,以形成能够集中处理突发事件的体系。
检测阶段
检测阶段主要检测并判断事件是处于已经发生状态还是正在进行中状态、分析事件产生的原因、确定事件性质和影响的严重程度,并规划采用怎样的专用资源进行修复。在该阶段需要选择检测工具,分析异常现象,提高系统或网络行为的监控级别,估计安全事件影响的范围;通过汇总,判断是否存在影响范围覆盖全网的大规模事件,从而确定应急级别并选定对应的应急方案。
根据《信息安全技术 网络安全事件分类分级指南》(GB/T 20986—2023),信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件这 7 个基本分类,每个基本分类分别包括若干个子类,具体如下:
1) 有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入信息系统中的一段危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行的程序。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件等7个子类。
2) 网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件、其他网络攻击事件等7个子类。
3) 信息破坏事件(IDI)是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子类。
4) 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串联、煽动集会游行的信息安全事件;其他信息内容安全事件等4个子类。
5) 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及由人为使用非技术手段有意或无意造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等4个子类。
6) 灾害性事件是指由不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
7) 其他事件是指不能归为以上 6 个基本分类的其他信息安全事件。
抑制阶段
抑制阶段的主要任务是限制攻击或破坏波及的范围,同时也减少潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
抑制策略通常包含以下内容:
- 从网络上断开主机或断开部分网络,隔离受影响的网络;
- 修改所有的防火墙和路由器的过滤规则;
- 封锁或删除被攻击的登录账号;
- 加强对系统或网络行为的监控;
- 设置诱饵服务器进一步获取事件信息;
- 关闭受攻击的系统或其他相关系统的部分服务;
- 根据攻击特征,对其进行拦截,修改服务端口,转移流量指向等。
根除阶段
根除阶段的主要任务是通过事件分析找出事件发生的根源并将其根除,避免攻击者再次使用相同的手段攻击系统,引发安全事件。在该阶段需要加强宣传,公布网络安全事件的危害性和处置办法,解决共性问题;同时加强监测工作,及时发现和清理同类问题。
根除阶段常用的手段有以下几类:
- 清除主机、网页上存在的有害程序;
- 安装与漏洞对应的补丁;
- 修改存在漏洞的代码;
- 重置被入侵的系统;
- 修改受到攻击的口令;
- 调整网络策略配置,避免预期外的暴露;
- 删除被泄露的文件,并对文件包含的敏感信息进行修改及监控;
- 采购对应的安全设备及服务。
恢复阶段
恢复阶段的主要任务是把被破坏的信息全面还原到正常运作状态。在该阶段需要确定使系统恢复正常的需求内容和时间表,从可信的备份介质中恢复用户数据,重启系统和应用服务,恢复系统网络连接,验证恢复后的系统,观察其他的扫描结果,探测可能表示攻击者再次入侵的信号。
一般来说,要想成功地恢复被破坏的系统,需要准备干净的备份系统,编制并维护系统恢复的操作手册,而且在系统恢复后需要对系统进行全面的安全加固,以防未来可能的攻击。
总结阶段
总结阶段的主要任务是回顾并整合网络安全应急响应流程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防再次发生网络安全事件。在该阶段需要基于网络安全事件的严重程度和影响程度,确定是否进行新的风险分析,给系统和网络资产制作一个新的目录清单。这个阶段的工作对于准备阶段工作的开展具有重要的支持作用。
总结阶段的工作主要包括以下三方面的内容:
- 形成事件处理的最终报告;
- 检查网络安全应急响应流程中存在的问题,重新评估和修改该流程;
- 评估应急响应人员在针对事件处置进行相互沟通时存在的缺陷,以促进事后进行更有针对性的培训。