网络安全应急响应

本书是中国网络安全审查技术及认证中心的工程师培训系列教材之一，《网络安全应急响应》。网络安全应急响应是网络安全保障工作体系的最后一个环节，是在安全事件发生后有效止损 和完善组织安全防护体系建设的关键业务环节。本书以网络安全应急技术体系和实践技能为主线， 兼顾应急响应的流程、组织和先进理念，理论联系实践，从应急响应的技术基础、安全事件处置流程涉及的技术基础到系统和网络级应急实战，循序渐进，使读者能够全方面了解应急响应技术体系和发展，理解安全事件的分类、成因、现象和处置理念，的方法，具备网络安全应急响应工作技能。

主要作者：曹雅斌，毕业于清华大学机械工程系，长期从事认证认可和质量安全领域的政策法规、制度体系的研究制定和组织实施工作，现就职于中国网络安全审查技术与认证中心，负责网络信息安全人员培训与认证工作。苗春雨，博士，硕士生导师，杭州安恒信息技术股份有限公司副总裁、网络空间安全学院院长，长期从事网络安全技术研究和人才培养工作，具备CISI注册信息安全讲师、CISP注册信息安全专家和CCSSP注册云安全专家等资质，曾任浙江某高校网络空间安全**学科和特色专业执行负责人，近5年发表学术论文和教学研究论文20余篇，专著1部，多次获得浙江省计算机教育及应用学会年会优秀论文奖，参与多个网络安全人才联盟或产业联盟工作。

本书以网络安全应急响应技术的演变为切入点，引入网络安全响应基础知识、流程与方法，结合应急响应技术实战，对网络安全应急响应知识体系进行了整体介绍。

杭州安恒信息技术股份有限公司多年的应急响应工作经验也凝练成为本书的重要组成部分。

序一

随着网络信息时代的来临，新一轮科技革命和产业变革加速推进，人工智能、大数据、物联网等新技术、新应用、新业态方兴未艾。

伴随着网络经济和信息技术的快速发展，互联网正加速步入“万物互联”的新时代，而网络作为信息收集、传输、存储和应用的载体，其“空间”特性也越来越明显。现如今，网络空间已成为人类活动的第五空间，涵盖了软硬件资源、数据和虚拟而又真实的用户角色，以及三者之间的交互活动。安全伴随着发展，在网络信息化的时代背景下，我国的网络空间安全在硬件、系统、数据、信息等多个层面均面临着严峻的挑战，保障我国网络空间的安全已成为提升国家网络空间核心竞争力的重中之重，更是维护国家安全的战略性任务。

《中华人民共和国网络安全法》对网络安全的监测预警与应急处置机制做了明确规定。面对安全问题复杂性、隐蔽性与日俱增的网络空间，组织通过建立健全网络安全应急体系及时预防和响应突发网络安全事件、降低网络风险已成为保障组织正常运行的重要途径。归根结底，网络安全保障工作的顺利开展最终要由网络安全专业人员来落实，建立一支高素质的网络安全应急响应和处置人才队伍已成为维护网络安全的核心需求。

为切实做好网络安全保障和应急响应工作，培养具备专业知识的人才队伍，作为我国专业的网络安全认证和培训机构，中国网络安全审查技术与认证中心（CCRC） 以保障国家网络与信息安全为己任，面向IT 从业人员、在校学生，特别是与网络与信息安全密切相关的管理人员和专业技术人员，推出了网络安全应急响应工程师培训认证。为确保网络安全人才专业素质，提升网络安全应急响应和事件处置能力，编写高质量的教材尤为重要。为此，中国网络安全审查技术与认证中心组织国内网络安全领域的专家，依据国家有关政策和国内外相关标准，编写了《网络安全应急响应》一书。

本书以网络安全应急响应技术的演变为切入点，引入网络安全响应基础知识、流程与方法，结合应急响应技术实战，对网络安全应急响应知识体系进行了整体介绍。杭州安恒信息技术股份有限公司多年的应急响应工作经验也凝练成为本书的重要组成部分。

本书可以作为网络安全应急响应工程师考试的指导用书，也可供所有从事网络安全相关工作的技术人员和管理人员、以及期望了解相关知识的人员参考。

是为序。

魏昊

中国网络安全审查技术与认证中心

序二

网络安全已经成为国家安全战略的重要组成部分，面对经济全球化和信息化发展，互联网已成为社会运行的信息基础设施，网络空间的安全运行对各类社会经济活动起到重要的支撑作用。网络空间本身的复杂性和动态性导致网络安全是一个相对过程，没有百分之百的绝对安全，当网络安全事件发生时，完备高效的应急响应机制、事件处置流程和技术能力，是降低安全事件影响，减少业务损失的有效保障。

杭州安恒信息技术股份有限公司作为国家级网络安全应急服务支撑单位，曾先后为北京奥运会、国庆60 周年庆典、G20 杭州峰会等国家及国际重要活动提供核心网络安全保障，创造了重要活动网络安全保障网络安全零事故的佳绩，多年来，历练出一套独树一帜且行之有效的网络安全保障战略和战术。安恒信息作为全球网络安全创新500 强企业，在为各类政府和企事业单位提供网络安全应急响应服务过程中，积累了大量的安全事件处置经验，得到各类客户的高度认可。

在网络安全保障工作体系中，管理是关键，技术是基础，人员是核心，组建一支素质过硬的安全服务团队是保证服务质量，为用户解决网络安全后顾之忧的首要前提， 而网络安全应急响应和事件处置能力则是网络安全服务人员的重要能力素质之一。

网络安全应急响应工程师是杭州安恒信息技术股份有限公司配合中国网络安全审查技术与认证中心开发的工程师系列认证的第一个认证项目，这个项目旨在将网络安全应急响应理念、理论、技术、实践和演练融合，是网络安全应急响应工程师培训体系和人才评价标准。本书是网络安全应急响应工程师认证的配套教材，经中国网络安全审查技术与认证中心授权，由中国网络安全审查技术与认证中心主编，由杭州安恒信息技术股份有限公司的多位网络安全专家合作编写。苗春雨博士为安恒网络空间安全学院院长，在产教融合、协同育人模式设计和软件工程方面有着长期工作经验， 曾担任浙江省网络空间安全一流学科/ 特色专业执行负责人，负责《应急响应工程师认证》课程体系和《渗透测试》《安全取证》《网络空间安全导论》《软件安全》等课程开

发；钟晓骏则在渗透测试、应急响应、项目管理、安全培训等领域有着丰富的工作经验，曾参与国家级网络安保工作和安恒浙江区域安全服务工作。

一直在一线工作的网络安全专家们将他们多年应急响应工作经验凝练成本书，所以，这本书既是网络安全应急响应工程师认证的配套教材，同时也适合各类网络安全保障技术人员学习，或作为工具书查阅。

我相信，这本书的出版，对于培养网络安全工程师来说，非常及时，可谓雪中送炭。同时，我也期待着我们的安全专家团队的技术人才、网络安全专家，在未来合作开发和编写出更多高质量的网络安全工程师认证教材，能够为国家网络安全人才培养贡献更大的力量。安恒信息愿意为构建国家网络安全人才认证体系助力，这是安恒的骄傲，国家网络空间安全战略的需要，也是网络安全从业人员的期待。

从长远来看，人工智能驱动的，以数据分析为中心的安全事件发现、溯源和自动化应急响应将成为网络安全保障和应急响应的核心能力，我们将不断更新本书的内容，力求技术体系、实践内容与时俱进，为国家完善网络安全应急响应体系的战略任务而努力。

范渊

杭州安恒信息技术股份有限公司

前言

近年来，针对政府、企业等大型组织的网络攻击事件频发，利用系统漏洞传播的各种勒索软件及变种多达上百种，网络安全形势日益严峻。物联网、云计算和“互联网+”等新技术、新场景不断发展的同时，也衍生出新的安全挑战，而网络安全的后伴生性和安全攻防的非对称性决定了没有绝对的网络安全。网络安全应急响应成为构筑网络安全保障体系的重要环节，这一环节的有效性成为降低安全事件的影响和减少业务损失的关键因素。

2017 年，国家互联网信息办公室（简称国家网信办）下发《国家网络安全事件应急预案》，对健全国家网络安全事件应急工作机制，提高应对网络安全事件能力提出了明确的要求，各地区和行业积极响应，组织相关人员进行学习和发布了区域级和行业级的网络安全事件应急预案，网络安全应急响应工作得到了前所未有的高度重视。网络安全应急响应是管理和技术有机融合的过程，各类组织机构均建立了相对完善的网络安全应急响应预案和相关的管理机制，但技术人员的事件处置能力提升却不是一朝一夕能够解决的问题。

市场上的网络安全应急响应技术体系类图书较少，且往往无法对安全事件进行环境复现，无法满足网络安全技术人员的事件处置能力训练的要求。中国网络安全审查技术与认证中心推出网络安全应急响应工程师认证，通过大量的实践教学和考核，积极构建网络安全应急响应技术人员的培训和认证体系。杭州安恒信息技术股份有限公司拥有为各类国家级和国际重大活动提供核心网络安全保障服务的经验，拥有为全国超过800 家政府机构、高校、金融机构提供网络安全应急响应服务的经验。结合我们的安全技术研究及实践，我们决定编写本书，一方面将本书作为网络安全应急响应工程师认证的配套教材，另一方面将工作中积累和凝练的实践经验与研究成果分享给广大需要的读者。

本书内容共分5 章，其中第1 章为网络安全应急响应技术概述，主要介绍网络安全应急响应技术体系和演变，帮助读者了解网络安全应急响应技术框架，形成整体认知；第2 章是网络安全应急响应技术基础知识，介绍网络安全事件的分类、原理、

现象和危害，为后续内容的学习打好理论基础；第3 章是网络安全应急技术流程与方法，以时间维度对应急响应各流程所需掌握的技术进行介绍，帮助读者逐步构建安全事件处置的知识体系；第4 章的应急演练介绍了各类应急演练的组织和开展流程，

为通过演练提供组织应急实战能力提供指导；第5 章是网络安全事件应急处置实战， 针对几类常见网络安全事件的应急处置方法进行详细讲解，帮助读者将前序学习内容应用于实战环节，切实提高其安全事件处置技术能力。附录A 和附录B 分别介绍了Windows 和Linux 的系统级网络安全应急处置的分析排查指南，方便技术人员查阅以提高工作效率。

本书以理论联系实践为指导原则，将网络安全应急响应和事件处置理念、技术与实战案例有机结合，除作为网络安全应急响应工程师的认证培训教材之外，也可作为高校的本科生教材，网络安全运维人员的应急响应技术读本和工具书。

在此，所有参与本书编写和出版等工作的人员表示感谢。

由于作者水平有限，不妥之处在所难免，望广大网络安全专家、读者朋友批评指正，共同为我国网络安全技术人才培养和人才认证体系的建设努力。

本书编委会

第1章网络安全应急响应技术概念
1．1 网络安全应急响应技术概述 …………………………………………… 2
1．1．1 网络安全应急响应含义… ………………………………………………………………… 2
1．1．2 网络安全应急响应法律法规与标准… …………………………………………………… 4
1．2 网络安全应急响应技术演变 …………………………………………… 6
1．2．1 网络安全应急响应技术的发展趋势… …………………………………………………… 7
1．3 网络安全应急响应技术框架 …………………………………………… 12
1．3．1 应急响应预案… …………………………………………………………………………… 15
1．3．2 组织架构… ………………………………………………………………………………… 15
1．3．3 应急工作流程… …………………………………………………………………………… 19
1．3．4 应急演练规划… …………………………………………………………………………… 25
1．4 网络安全应急响应新发展 ……………………………………………… 26
1．4．1 云计算的网络安全应急响应… …………………………………………………………… 26
1．4．2 基于大数据平台的应急支撑… …………………………………………………………… 27
第2章 网络安全应急响应技术基础知识
2．1 应急响应工作的起点：风险评估 ……………………………………… 32
2．1．1 风险评估相关概念… ……………………………………………………………………… 32
2．1．2 风险评估流程… …………………………………………………………………………… 33
2．1．3 风险评估与应急响应的关系… …………………………………………………………… 34
2．2 安全事件分级分类 ……………………………………………………… 34
2．2．1 网络安全应急响应技术应急事件类型… ………………………………………………… 34
2．2．2 网络安全事件等级… ……………………………………………………………………… 36
2．2．3 网络攻击… ………………………………………………………………………………… 37
2．2．4 系统入侵… ………………………………………………………………………………… 46
2．2．5 信息破坏… ………………………………………………………………………………… 50
2．2．6 安全隐患… ………………………………………………………………………………… 56
2．2．7 其他事件… ………………………………………………………………………………… 61
第3章 网络安全应急响应技术流程与方法
3．1 应急响应准备阶段 ……………………………………………………… 66
3．1．1 应急响应预案… …………………………………………………………………………… 66
3．1．2 应急响应前的准备工作… ………………………………………………………………… 67
3．2 抑制阶段 ………………………………………………………………… 67
3．3 保护阶段 ………………………………………………………………… 68
3．4 事件检测阶段 …………………………………………………………… 72
3．4．1 数据分析… ………………………………………………………………………………… 72
3．4．2 确定攻击时间… …………………………………………………………………………… 97
3．4．3 查找攻击线索… …………………………………………………………………………… 97
3．4．4 梳理攻击过程… …………………………………………………………………………… 97
3．4．5 定位攻击者… ……………………………………………………………………………… 97
3．5 取证阶段 ………………………………………………………………… 98
3．6 根除阶段 ……………………………………………………………… 103
3．7 恢复阶段 ……………………………………………………………… 103
3．8 总结报告 ……………………………………………………………… 104
第4章 应急演练
4．1 应急演练总则 ………………………………………………………… 106
4．1．1 应急演练定义… ………………………………………………………………………… 106
4．1．2 应急演练目的… ………………………………………………………………………… 106
4．1．3 应急演练原则… ………………………………………………………………………… 107
4．2 应急演练分类及方法 ………………………………………………… 107
4．2．1 应急演练分类… ………………………………………………………………………… 107
4．2．2 应急演练方法… ………………………………………………………………………… 109
4．2．3 按目的与作用划分… …………………………………………………………………… 110
4．2．4 按组织范围划分… ……………………………………………………………………… 110
4．3 应急演练组织机构 …………………………………………………… 111
4．3．1 应急演练领导小组… ………………………………………………………………………111
4．3．2 应急演练管理小组… ………………………………………………………………………111
4．3．3 应急演练技术小组… ………………………………………………………………………111
4．3．4 应急演练评估小组… …………………………………………………………………… 112
4．3．5 应急响应实施组… ……………………………………………………………………… 112
4．4 应急演练流程 ………………………………………………………… 112
4．5 应急演练规划 ………………………………………………………… 113
4．5．1 应急演练规划定义… …………………………………………………………………… 113
4．6 应急演练实施 ………………………………………………………… 116
4．7 应急演练总结 ………………………………………………………… 117
第5章 网络安全事件应急处置实战
5．1 常见Web 攻击应急处置实战 ………………………………………… 120
5．1．1 主流Web 攻击目的及现象……………………………………………………………… 120
5．1．2 常见Web 攻击入侵方式………………………………………………………………… 124
5．1．3 常见Web 后门…………………………………………………………………………… 125
5．1．4 Web 入侵分析检测方法………………………………………………………………… 127
5．1．5 Web 攻击实验与事件入侵案例分析…………………………………………………… 131
5．2 信息泄露类攻击应急处置实战 ……………………………………… 140
5．2．1 常见的信息泄露事件… ………………………………………………………………… 140
5．2．2 数据库拖库… …………………………………………………………………………… 141
5．2．3 流量异常分析… ………………………………………………………………………… 142
5．2．4 流量异常分析实验… …………………………………………………………………… 143
5．3 主机类攻击应急处置实战 …………………………………………… 149
5．3．1 系统入侵的目的及现象… ……………………………………………………………… 149
5．3．2 常见系统漏洞… ………………………………………………………………………… 149
5．3．3 检测及分析… …………………………………………………………………………… 150
5．3．4 主机入侵处置实验… …………………………………………………………………… 170
5．4 有害事件应急处置实战 ……………………………………………… 174
5．4．1 DDoS 僵尸网络事件（Windows/Linux 版本）… …………………………………… 174
5．4．2 勒索病毒加密事件（Windows 为主）… ……………………………………………… 175
5．4．3 蠕虫病毒感染事件（Windows 为主）… ……………………………………………… 176
5．4．4 供应链木马攻击事件（Windows 为主）… …………………………………………… 176
5．4．5 应急响应任务解析（Windows 沙箱技术）… ………………………………………… 177
5．4．6 有害事件处置实践指南… ……………………………………………………………… 181
附录 Windows/Linux分析排查
附录A Windows 分析排查 ………………………………………………… 186
A．1 文件分析… ………………………………………………………………………………… 186
A．2 进程命令…………………………………………………………………………………… 187
A．3 系统信息…………………………………………………………………………………… 188
A．4 后门排查…………………………………………………………………………………… 188
A．5 Webshell排查… ………………………………………………………………………… 190
A．6 日志分析…………………………………………………………………………………… 191
附录B Linux 分析排查 …………………………………………………… 195
B．1 文件分析… ………………………………………………………………………………… 195
B．2 进程命令…………………………………………………………………………………… 196
B．3 系统信息…………………………………………………………………………………… 198
B．4 后门排查…………………………………………………………………………………… 200
B．5 日志分析…………………………………………………………………………………… 203
参考文献……………………………………………………………………… 207