什么是应急响应？

应急响应对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件发生前所做的准备, 以及在意外事件发生后所采取的措施。

网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对、妥善处理。

作用和意义

未雨绸缪：即在事件发生前事先做好准备，比如安全合规、风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施。

亡羊补牢：即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、取证等一系列操作。

相关单位

领导组：中国网络安全和信息化领导小组

网信办：国家互联网信息办公室

公安部：网警、技侦、网安、刑侦、国安….

国家网络安全应急办公室

国家互联网应急中心

法律法规

2016年 国家网络空间安全战略

2017年 网络安全法

2019年 网络安全等级保护2.0

国家网络安全事件应急预案

……

事件级别

1、特别重大事件

红色预警、一级响应

2、重大事件

橙色预警、二级响应

3、较大事件

黄色预警、三级响应

4、一般事件

蓝色预警、四级响应

事件类型

1、应用安全

Webshell、网页篡改、网页挂马…

2、系统安全

勒索病毒、挖矿木马、远控后门…

3、网络安全

DDOS攻击、ARP攻击、流量劫持…

4、数据安全

数据泄露、损坏、加密…

应急响应模型(PDCERF)

1.准备阶段（Preparation）

2.检测阶段（Detection）

3.抑制阶段（Containment）

4.根除阶段（Eradication）

5.恢复阶段（Recovery）

6.总结阶段（Follow-up）

01 准备阶段

应急团队建设

应急方案制定

渗透测试评估

安全基线检查

02 检测阶段

判断事件类型

判断事件级别

确定应急方案

03 抑制阶段

限制攻击/破坏波及的范围，同时也是在降低潜在的损失：

阻断：IP地址、网络连接、危险主机….

关闭：可疑进程、可疑服务…..

删除：违规账号、危险文件….

04 根除阶段

通过事件分析找出根源并彻底根除，以避免被再次利用：

增强：安全策略、全网监控….

修复：应用漏洞、系统漏洞、补丁更新…..

还原：操作系统、业务系统…..

05 恢复阶段

把被破环的信息彻底还原到正常运作的状态：

恢复业务系统

恢复用户数据

恢复网络通信

06 总结阶段

回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、 政策、程序，并进行训练，以防止入侵的再次发生：

事件会议总结

响应报告输出

响应工作优化

团队组建

内部团队：

监控组：利用各类系统监控、查看监控系统日志、对应用/系统/网络/数据安全检测

响应组：应用组、系统组、设备组

研判组：溯源分析、专家组

文档组：应急响应方案制定、事件报告输出、经验总结输出

外部团队：

合作单位：安全厂商、安全服务团队

监管单位：网信办、公安部

安全产品

美国将信息安全设备分为9类：

鉴别、访问控制、入侵监测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、 取证、介质清理或擦除

中国公安部将信息安全设备分为7类：

操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别

中国军用标准分为6类：

物理安全产品、平台安全产品、网络安全产品、数据安全产品、用户安全产品、管理安 全产品

安全产品用途分类

安全网关类：

防火墙、UTM、网闸、抗DDoS墙、负载均衡、VPN、上网行为管理

评估工具类：

漏洞扫描系统、网络分析系统

威胁管理类：

入侵监测系统（IDS）、入侵防御系统（IPS）、WEB应用防火墙（WAF）、网络防毒墙、杀毒软件

应用监管类：

堡垒机、审计系统、DB防火墙、终端安全管理系统、Mail防火墙、安全运维平台（SOC）、IT运维管理平台

安全加密类：

加密机、三合一、身份认证系统、文件加密系统

防火墙（Firewall）

防火墙(Firewall )，也称防护墙，是由Check Point创立者发明

它是一个信息安全的防护系统，依照特定的规则，允许或限制传输的数据通过，主要是网络层的安全防护设备防火墙是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间构造的保护屏障

下一代防火墙，即Next Generation Firewall

简称NG Firewall，是一款可以全面应对应用层威胁的高性能防火墙，提供网络层应用层一体化安全防护，防火墙主要用于边界安全防护的权限控制和安全域的划分。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet)分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

部署于内、外网边界和各个区域之间，用于权限访问控制和安全域划分

抗DDoS防火墙

DDoS全名是Distribution Denial of service (分布式拒绝服务攻击)Dos的攻击方式有很多种，最基本的Dos攻击就是利用合理的服务请求来占用过多的服务 资源，从而使服务器无法处理合法用户的指令DDoS防火墙的独特抗攻击算法，高效的主动防御系统可有效防御Dos/DDoS、 SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击，传奇假人攻击、论坛假人攻击、 非TCP/IP协议层攻击、等多种未知攻击部署于外网边界前端，或将数据引流至过滤引擎，最终回流

网闸（GAP）

网闸（GAP）全称安全隔离网闸安全隔离网闸是一种带有多种控制功能专用硬件在电路上切断网络之间的链路层连接 ，并能够在网络间进行安全适度的应用数据交换的网络安全设备相比于防火墙，能够对应用数据进行过滤检查，防止泄密、进行病毒和木马检查特点：链路层设备，两个主板，之间用线连接，这个线不使用任何的协议，只进行数据的读和写；进行数据摆渡，传输速率低。常用于保密单位、科研单位等

虚拟专用网络（VPN）

VPN(virtual private network)虚拟专用网络，在公用网络上建立专用网络，进行加密通讯，VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问VPN的隧道协议主要有三种：PPTP、L2TP和IPSec，常用VPN类型有 SSL VPN(以 HTTPS为基础的VPN技术)和IPSec VPN(基于 IPSec 协议的 VPN 技术，由 IPSec 协议提 供隧道安全保障)部署在网络、应用、服务器前端，部署模式有单臂模式、路由模式、透明模式

入侵检测系统（IDS）

入侵检测系统(intrusion detection system，简称IDS) 是一种对网络传输进行即时监视， 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

依照一定的安全策略，通过软、硬件对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性 。

入侵检测系统部署模式为旁路模式部署，在核心交换设备上开放镜像端口，分析镜像流量中的数据，判别攻击行为。

一个入侵检测系统分为四个组件：

事件产生器（Event generators），它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件事件分析器（Event analyzers），它经过分析得到数据，并产生分析结果响应单元（Response units ），它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警事件数据库（Event databases ）事件数据库是存放各种中间和最终数据的地方的统称， 它可以是复杂的数据库，也可以是简单的文本文件

入侵防御系统（IPS）

入侵防御系统(Intrusion-prevention system，简称IPS) 位于防火墙和网络设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网 ）

能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、 调整或隔离一些不正常或是具有伤害性的网络资料传输行为

防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力，IPS是对防火墙的补充

分类：投入使用的入侵预防系统按其用途进一步可以划分为单机入侵防御系统(HIPS: Hostbased Intrusion Prevension System)和网络入侵防御系统(NIPS: Network Intrusion Prevension System）两种类型

网络入侵防御系统作为网络之间或网络组成部分之间的独立的硬体设备，切断交通，对过往包裹进行深层检查，然后确定是否放行。网络入侵防御系统借助病毒特征和协议异常， 阻止有害代码传播。有一些网络入侵防御系统还能够跟踪和标记对可疑代码的应答，然后看谁使用这些回答信息而请求连接，这样就能更好地确认发生了入侵事件

部署：服务器区域前端，部署模式通常为网桥模式、透明模式，也有部署为路由模式

WEB应用防火墙

Web应用防火墙(Web Application Firewall，简称WAF) 用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题， 与传统防火墙不同，WAF工作在应用层，因此对 Web应用防护具有先天的技术优势。

WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护

部署在服务器区域前端，专门针对web应用进行防， Web应用防火墙部署模式有网桥模 式、透明模式、代理模式，并支持双bypass（硬件+软件）