【愚公系列】《网络安全应急管理与技术实践》 029-网络安全应急技术与实践（应急响应体系建立）

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

应急响应体系建立是指为应对突发事件或紧急情况，组织内部或外部协作单位建立一个完善的管理体系和机制。这个体系包括了一系列的措施和步骤，旨在能够在突发事件发生时，及时、有效地应对、处理和控制，以减少损失，并保障生命安全和财产安全。

通过以上措施，能够建立一个完善的应急响应体系，使组织能够在突发事件发生时能够快速、有序地应对和处置，最大限度地减少损失，保障人民群众的生命安全和财产安全。

🚀一、应急响应体系建立

各单位的应急管理现状千差万别，各种行业的发展阶段也不一样。很多单位呈现这样一种状况：应急工作没有体系化，没有统筹规划，单位的IT人员都成了“消防员”，天天到处救火，每天忙得不可开交，筋疲力尽，正常的工作计划无法完成，没有业绩，没有提升，部分单位的应急体系现状如图

企业究竟应该如何开展应急工作呢?应急工作需要用体系化建设与管理的思路来开展，这里不只是技术问题，也不是几个渗透工程师就可以完成的。

管理人员需要统筹规划，需要在资源有限的情况下达到最优的防御效果；技术人员需要深度掌握黑客入侵路线，不断学习和强化攻防技术知识；管理人员与技术人员需要团队协作，制定可落地的应急预案。这就需要用体系化建设的思维来进行应急响应管理。

🔎1.体系设计原则

"应急响应体系的目的并不是要建立一个固若金汤的系统（这也是在现实中不可能实现的），而是要建立一个能在遭受攻击和发生意外事件时关键系统依然能够正常运转的机制。

1. 顶层设计的整体性：应急响应应采取顶层设计的思维，对方针、策略、预案、措施、实施、培训、演练、维护等各方面进行整体设计，应综合防范、整体联动，任何一个环节的短板都可能造成应急响应体系的脆弱性。这也是“木桶原理”的体现。
2. 信息和情报的快速传递和可控共享：安全事件不是孤立发生的，事件信息和威胁情报的快速传递是快速响应、及时处置的条件。同时，信息的共享还需要受到规则的控制，避免不必要的信息泄露。
3. 技术与管理并重：应急响应体系是一个技术与管理并重的综合体系，而由于管理问题引起的安全事件的后果往往更加严重。在构建应急响应体系的过程中，制定策略时要考虑技术能实现的程度；在实施应急响应技术措施时，要从管理要求出发。
4. 遵循 PDCA 的持续改进：应急响应是复杂的、动态的体系，不可能一蹴而就达到完善的状态，不断变化的安全形势和新技术应用会带来新的问题和机会，遵循质量管理中 PDCA 的持续改进方法，是应急响应体系保持生命力的必要条件。"

🔎2.体系建设设施

应急响应体系的建立是指在发生信息安全事件前、发生事件过程中以及发生事件后，对包括计算机、信息系统和网络等的正常运行进行维护或恢复的相关技术、管理策略和规程。其建设过程主要包括责任体系建立，业务风险评估，业务影响分析，确定应急响应恢复目标，预警体系建设，应急预案制定，应急预案测试，应急预案培训与演练以及应急预案维护等方面

🦋2.1 责任体系构建

"有人把网络安全责任体系形象地比喻成一口大锅和多个碗。这口锅高悬在单位“一把手”的头顶，这口“锅”下面有多个“碗”支撑，这些“碗”就是各个信息安全组织和岗位。锅下面的哪个“碗”如果没有撑好“锅”，锅就会掉下来砸碎“碗”。这个机制很形象地映射了网络安全责任体系的设计思想，即把网络安全责任落实到每一个人，同时关联每一位相关岗位人员的绩效考核，从而让安全责任真正落实到位，达到一种“网络安全，人人有责”的状态。

实际上，这个网络安全应急管理责任体系有三大核心内容。其一是清晰的责任矩阵，其二是分级分权管理，其三是有效的量化考核体系。"

清晰的责任矩阵强调具体工作由谁负责，并凸显每个人在整个项目中的角色定位。制定责任矩阵的主要目的是在工作分配给每个成员后，通过责任矩阵清晰展示每个成员在项目执行过程中承担的责任。另一个重要组成部分是分级分权管理，其中分级管理是处理上下级关系的重要原则，要求每个职务有专人负责，每人清楚自己的直接领导和下属。分级管理要求形成连续的等级链，从最高层到最基层，保持连续性，确保每个下属只有一个上级领导，避免多层领导制带来的混乱。同时，通过合理设计管理层次，以权责分离、权限最小化为基本原则，细分权限，实行分权管理，规避集权可能带来的问题。第三个核心内容是量化考核体系。绩效考核是人力资源管理的核心，许多单位实施各种形式的绩效考核，但少有单位将安全绩效纳入员工绩效考核指标，更少有单位制定量化考核指标。尽管制定可量化的绩效考核方案并非易事，但各单位至少可以朝这个方向努力，逐步实现。

🦋2.2 业务风险评估与影响分析

在很多情况下，业务影响分析和风险评估被混为一谈，主要是因为在实践中二者均在应急响应流程中的准备阶段，它们相辅相成、一起完成。然而，应该将这个阶段的工作描述清楚，详细分析如下。

首先，组织应对业务所面临的风险及其影响进行分析，可从经济损失、组织声誉、直接客户流失、潜在客户流失等方面进行。业务影响分析的目的是确定组织关键业务及支撑系统，识别关键资源，以及资源依赖关系，从而确定各种资源的恢复优先级。最终，根据业务可接受的影响程度确定应急响应的恢复目标，包括时间目标和数据恢复目标。这些恢复目标决定了后续应该制定怎样的应急响应流程，以及选择什么样的应急处置措施，以满足恢复目标。这些是准确定义安全事件级别及制定预案的前提，也是评估预案有效性的关键度量指标。

为了识别关键业务系统、关键资源所面临的风险，组织应对业务及支撑业务的重要信息系统实施全面的风险评估。风险评估包括对软硬件、人员、管理等各方面进行脆弱性和威胁的识别，梳理风险点，并对风险进行评价和管理。风险评估可通过访谈、问卷或资料收集方式开展，分为定性和定量分析两种。风险管理工作分为风险降低、风险转嫁、风险规避、风险承受。风险评估和管理的方法在此不再赘述。

这个阶段的工作是应急预案制定的关键阶段，也是应急管理中的“攻关”工作。它是应急体系建设过程中的难点，不是因为技术上有多难，而是由于业务的复杂性、组织的庞大架构等因素，导致在实际建设过程中经常存在各种问题难以协调和落实。业务风险评估与影响分析如图所示。

所以，具体实施中不要急于写预案，从整个项目的时间分配上来看，这一阶段就好比整个建筑工程的地基建设一样，是值得投入时间和精力去稳扎稳打的去做的。

🦋2.3 监测与预警体系建设

应急响应是一种被动的安全体系，是持续运行并由某种条件触发的体系。简单来说，应急响应由事件触发，而事件的发现依靠检测手段。有人可能会认为，这意味着依赖入侵检测系统（IDS）或入侵防御系统（IPS）进行响应。然而，本书认为，应急响应的前提和触发条件并不是依赖某一设备，而是一个完整、全面的基于风险分析的预警体系。如图所示，从风险评估到事前预防再到事中检测再到事后的应急响应构成一个闭环的动态过程。风险评估的结果形成安全政策，安全政策决定了事前预防和事中检测的内容，检测发现触发了应急响应流程。

☀️2.3.1 预警指标体系的设定

攻击者在渗透到网络内部后长期潜伏，持续收集各种信息，直至获取重要情报。对受害组织而言，由于安全设备种类繁多、管理工具和界面多样化，安全人员管理效率低下，人为操作失误增多。各类信息独立存在，无法关联共享，导致安全人员面对独立的安全报警或日志信息时难以发现隐匿问题。传统的单点、被动防护手段无法有效检测和应对持续、隐蔽攻击，难以防止泄露事件，反而泄露事件呈愈演愈烈趋势。因此，应建立全面的体系化预警指标体系，使企业全面掌握安全动态，事前检测、预警信息窃取和泄露事件，有效降低泄露频次。

不同组织因组织类型、规模、业务特点不同，面临不同风险暴露面，需针对不同攻击类型斟酌设计预警指标。例如，针对网络安全攻击事件，可从以下三个方面设定监测和预警指标：

1) 谁正进来：通过对外部访问流量检测，如入侵检测，监测Web访问、Email收发、FTP上传下载等流量，设定监测指标。

2) 谁已经进来：通过失陷主机通信流量检测，针对僵木马、特种木马等非法控制特征，检测网站后门控制、隐蔽信道利用、恶意代码远程控制等。

3) 如何进来：通过深度攻击关联分析，包括攻击实体关系、时间序列、攻击技术关联分析，基于全面检测指标体系。

针对业务安全事件，需量身定制预警指标。首先，进行业务异常规则分析，考虑业务开展过程中可能出现的违规、违法事件，业务安全事件特征，提炼异常规则库，并有效监控异常规则，如在应用系统中设置埋点。

☀️2.3.2 预警分级

组织应明确定义适用于本组织的网络安全事件预警等级，类似于气象灾害预警的蓝色、黄色、橙色、红色预警。根据网络安全事件可能造成的危害程度、波及范围、影响力大小、人员及财产损失等情况，划分预警级别。有的组织直接定义为I级、Ⅱ级、Ⅲ级、IV级，也可参考《GBT32924信息安全技术 网络安全预警指南》将预警级别划分为红色预警(I级)、橙色预警(Ⅱ级)、黄色预警(Ⅲ级)、蓝色预警(IV级)。关键在于确定这些级别与何种安全事件对应，并在应急响应小组内达成共识，以便有效应对应急情况。

☀️2.3.3 预警监测

根据“谁主管谁负责、谁运行谁负责”的要求，组织应对本组织建设运行的网络和信息系统进行网络安全监测。严格执行7x24小时监控和应急值班制度，确保安全技术人员及相关应急人员保持通信手段畅通。

☀️2.3.4 预警研判和发布

应急响应小组内的技术专家团队定期与监控人员配合，对监测到的异常信息进行分析、研判，及时发现安全事件的发展趋势和苗头。他们确定相关事件或威胁对自身网络安全保护对象可能造成的损害程度，以便确定预警级别、发布预警信息。预警信息应包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求，以及发布机构。

☀️2.3.5 预警的响应和变更

应急响应小组中负责网络与信息系统运营的部门接到网络安全预警后，应进行必要的上报及与相关方的沟通，并根据情况启动应急预案。

🦋2.4 应急预案的制定与维护

有效的应急预案能够显著提升组织对安全事件的综合应对能力，确保及时有效地控制、减轻和消除事件带来的危害和损失，保障业务持续稳定运行和数据安全。因此，应急预案的制定和维护工作至关重要，是整个应急响应体系的核心。制定应急预案通常包括以下三个阶段：

1) 根据安全风险评估和影响分析结果确定应急响应策略。

2) 编制应急响应预案文档。

3) 进行测试、培训、演练和维护。

完成这三个阶段标志着一个应急预案的生命周期，但并不意味着制定工作结束。随着组织内外部环境变化，面临的风险也会变化，预案可能因组织架构调整、人员变动等原因而失效。因此，需要定期（至少一年一次）进行风险再评估、预案评审和演练，以确保预案的有效性。本书将在后续章节详细介绍如何制定预案，并提供一些示例。

🦋2.5 应急处理流程的建立

一个明确的、标准化的应急处理流程可以为编写应急计划提供有效的指导，也是编写应急预案的前提。组织应建立文档化的应急处理流程，并明确应急处理过程中的操作要求。PDCERF是行业内通用的一个应急响应方法，图11-6便是一个参照该方法建立的可供组织参考的应急处理流程。

🦋2.6 应急工具的准备

在面对安全事件时，我们希望能够迅速做出反应，而完全依赖技术人员的人工检查和判断，或者事发后再去搜寻可用工具，显然无法及时有效地对抗攻击。因此，应急工作人员在平时就应该构建应急响应工具包。基本的应急工具包应包括以下类别：

1) 系统安全类工具，如Autoruns、Filemon、Regmon、ProcessHacker等。

2) 病毒专杀类工具，包括各种商用和免费的病毒查杀工具，以及Rootkit查杀工具。

3) 数据包抓取工具，如Sniffer、WireShark等。

4) 网站安全工具，包括恶意网址页面解密工具、webshell检测工具、网站恶意代码清除工具等。