网络安全工程师学习资料（软考-信息安全工程师学习笔记80）

1.恶意程序事件

恶意程序事件通常会导致计算机系统响应缓慢、网络流量异常，主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。对恶意程序破坏性蔓延的，由应急响应组织进行处置，可以协调外部组织进行技术协助，分析有害程序，保护现场，必要时切断相关网络连接。

2.网络攻击事件

• 安全扫描器攻击:黑客利用扫描器对目标系统进行漏洞探测。
• 暴力破解攻击:对目标系统账号密码进行暴力破解，获取后台管理员权限。
• 系统漏洞攻击:利用操作系统/应用系统中存在的漏洞进行攻击。

3.网站及Web应用安全事件

• 网页篡改: 网站页面内容非授权篡改或错误操作。
• 网页挂马:利用网站漏洞，制作网页木马。
• 非法页面:存在赌博、色情、钓鱼等不良网页。
• Web 漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、越权访问漏洞等各种Web漏洞进行攻击。
• 网站域名服务劫持:网站域名服务信息遭受破坏，使得网站域名服务解析指向恶意的网站。

4.拒绝服务事件

• DDoS:攻击者利用TCP/IP协议漏洞及服务器网络带宽资源的有限性，发起分布式拒绝服务攻击。
• DoS:服务器存在安全漏洞，导致网站和服务器无法访问，业务中断，用户无法访问。

应急事件处理一般包括

• 安全事件报警：发生紧急情况时，由值班工作人员及时报告。报警人员要准确描述安全事件，并做书面记录。根据安全事件的类型，各安全事件按呈报条例依次报告1-值班人员、2-应急工作组长、3-应急领导小组。
• 安全事件确认：应急工作组长和应急领导小组接到安全报警之后，首先应当判断安全事件的类型，然后确定是否启动应急预案。
• 启动应急预案：应急预案是充分考虑各种安全事件后，制定的应急处理措施，以便在紧急情况下，及时有效地应付各类安全事件。必须避免在紧急情况下，找不到应急预案，或无法启动应急预案的情况。
• 安全事件处理：安全事件处理是一件复杂的工作，要求至少两人参加，所处理的工作主要包括如下内容:

准备工作:通知相关人员，交换必要的信息。

检测工作:对现场做快照，保护一切可能作为证据的记录(包括系统事件、事故处理者所采取的行动、与外界沟通的情况等)。

抑制工作:采取围堵措施，尽量限制攻击涉及的范围。

根除工作:解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取补救措施。需要注意的是，在清理现场时，一定要采集保存所有必要的原始信息，对事故进行存档。

恢复工作:恢复系统，使系统正常运行。

总结工作:提交事故处理报告。

• 撰写安全事件报告：根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。安全事件报告包括如下内容:

安全事件发生的日期; .

参加人员;

事件发现的途径;

事件类型:

事件涉及的范围:

现场记录:

事件导致的损失和影响:

事件处理的过程;

从本次事故中应该吸取的经验与教训。

• 应急工作总结：召开应急工作总结会议，回顾应急工作过程中所遇到的问题，分析问题引起的原因，并找出相应的解决方法。

网络安全事件应急演练的类型

按组织形式划分

• 桌面应急演练:桌面应急演练是指参演人员利用地图、沙盘、流程图、计算机模拟、视频会议等辅助手段，针对事先假定的演练情景，讨论和推演应急决策及现场处置的过程，从而促进相关人员掌握应急预案中所规定的职责和程序，提高指挥决策和协同配合能力。桌面应急演练通常在室内完成.
• 实战应急演练:实战应急演练是指参演人员利用应急处置涉及的设备和物资，针对事先设置的突发网络安全事件情景及其后续的发展情景，通过实际决策、行动和操作，完成真实应急响应的过程，从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战应急演练通常要在特定场所完成

按内容划分

• 单项应急演练:单项应急演练是指只涉及应急预案中特定应急响应功能或现场处置方案中一系列应急响应功能的演练活动。注重针对演练单位(岗位)的特定环节和功能进行检验
• 综合应急演练:综合应急演练是指涉及应急预案中多项或全部应急响应功能的演练活动。注重对多个环节和功能进行检验，特别是对不同单位之间应急机制和联合应对能力的检验

按目的与作用划分

• 检验性应急演练:检验性应急演练是指为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练
• 示范性应急演练:示范性应急演练是指为向观摩人员展示应急能力或提供示范教学，严格按照应急预案规定开展的示范性演练
• 研究性应急演练:研究性应急演练是指为研究和解决突发事件应急处置的重点、难点问题，试验新方案、新技术、新装备而组织的演练

网络安全事件应急演练流程

• 制定应急演练工作计划
• 编写应急演练具体方案
• 组织实施应急演练方案
• 最后评估和总结应急演练工作
• 优化改进应急响应机制及应急预案

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼