应急响应：应急响应流程，常见应急事件及处置思路

「作者简介」：冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础著作 《网络安全自学教程》，适合基础薄弱的同学系统化的学习网络安全，用最短的时间掌握最核心的技术。

这一章节我们需要知道应急响应流程是什么，安全事件分类分级的概念，以及灾备的RPO和RTO标准。

应急响应是为了应对信息安全事件所做的准备，以及事件发生后采 取的措施。

1、安全事件分类分级

无论自然原因还是人为原因，故意还是非故意，只要影响了资产的安全属性CIA，都算安全事件。

不同的事件类型需要制定不同的应急预案，所以我们需要先知道安全事件分为哪几类。

GB-Z 20986-2007将安全事件分为7类：

1. 有害程序事件：比如病毒、蠕虫、木马、僵尸网络、网页被插入恶意代码。
2. 网络攻击事件：比如拒绝服务、后门、漏洞攻击、扫描嗅探、钓鱼、干扰网络。
3. 信息破坏事件：比如信息篡改、假冒、泄露、窃取、丢失。
4. 信息内容安全事件：比如煽动游行、炒作舆论热点到一定规模。
5. 设备实施故障。
6. 灾害性事件。
7. 其他安全事件。

GB-Z 20986-2007按照信息系统的重要程度、系统损失、社会影响，将安全事件分为4个级别：

1. 特别重大事件（Ⅰ级）：信息系统中断2小时以上、影响人数100万人以上；或10亿以上经济损失；或对国家造成特别严重威胁。
2. 重大事件（Ⅱ级）：信息系统中断30分钟以上，影响人数10万人以上；或1亿以上经济损失；或对国家造成严重影响。
3. 较大事件（Ⅲ级）：信息系统中断；或1000万以上经济损失；或对国家造成较严重影响。
4. 一般事件（Ⅳ级）

扩展：每个事件级别的三个条件，不需要同时满足所有条件，满足其中一个条件就行。实际执行时，可以根据企业情况修改事件分级的标准。

2、应急响应组织架构

如果企业没有单独的应急响应组织，那么应急响应就由安全人员承担，就比如安服兼任应急。

应急响应组织架构应包含以下5个部分：

1. 应急响应领导组：协调资源，最终决策。
2. 应急响应技术保障组：制定角色职责分工、协同调度方案、事件技术对应表并提供相应的技术支撑。
3. 应急响应专家组：评估安全事件，提出建议。
4. 应急响应实施组：分析并确定应急等级和策略，进场应急、总结并提交报告，组织应急演练。
5. 应急响应日常运行组：系统日常运维、灾备，评估并控制事件损害，维护应急文档，参与应急演练。

3、应急响应流程

应急响应的流程分为准备、检测、遏制、根除、恢复、跟踪总结6个阶段：

1. 准备：制定应急响应计划并演练，准备好相关人力物力资源。
2. 检测：实时检测并报告，确定事件级别、类别并通告事件。
3. 遏制：协调用户按照应急响应计划，限制事件影响的范围。
4. 根除：分析、确定、消除原因，避免事件再次发生。
5. 恢复：还原备份或直接恢复业务，将系统恢复到正常状态。
6. 跟踪：分析、总结、完善应急响应计划，提交应急响应报告。

应急响应排查思路和具体知识点可以参考我的另一篇文章

Windows应急响应排查思路

Linux应急响应排查思路

4、灾备

灾备用来保证业务经历灾难后，仍然能够最大限度的提供服务。

灾备有两个标准：RPO 和 RTO。

1. RPO是恢复点目标，是指灾难发生后，数据恢复到哪个时间点，也就是丢失了多少时间的数据。
2. RTO是恢复时间目标，是指灾难发生后，恢复业务所需要的时间，也就是业务停顿了多少时间。

RPO和RTO从逻辑上可以为零，但实际项目中很完全实现。

灾备需要定时备份业务数据，用磁带或硬盘存储多个时间点的备份数据，备份方式有完整备份、增量备份、差异备份三种：

1. 完整备份每次都备份全部的数据，备份速度最慢，但恢复速度最快，会清除备份标记。
2. 增量备份只备份上次备份后改动的数据，备份速度最快，但恢复速度最慢，会清除备份标记。
3. 差异备份只备份上一次完整备份后改动的数据，备份和恢复速度居中，不清除备份标记。

备份数据的存储，有DAS、NAS、SAN三种存储方式：

1. DAS是直接附加存储，直连存储设备，可以理解为给服务器加硬盘，性能高、存储量大但占用服务器资源，不方便管理。
2. NAS是网络附加存储，通过网络连接存储设备，不占用服务器资源，但会占用带宽，网络传输可能会泄露数据。
3. SAN是存储区域网络，搭建专用网络存数据，效率高但成本也高。

存储数据的磁盘通常会做RAID（Redundant Arrays of Independent Disks），也就是冗余磁盘阵列，简单来说就是相同的数据存储在多个磁盘的不同位置。常用的有RAID 0、1、5这三种模式：

• RAID 0：把多块磁盘串联成一个整体，多个磁盘可以同时读写数据，性能高但没有冗余能力，一块磁盘故障数据就被破坏。至少需要两块硬盘。
• RAID 1：一个磁盘上写数据时，另一个磁盘上会生成镜像文件，磁盘利用率低，但有冗余能力，一块磁盘故障了数据也不会破坏。至少需要两块硬盘。
• RAID 5：两块以上磁盘读写数据，第三块盘存奇偶校验信息，性能高并且有冗余能力，至少需要三块硬盘。

扩展：多块磁盘不做RAID时，写入数据会写入到同一块磁盘中，比如写入abcd，就直接在一块磁盘上一次写入a、b、c、d，读取的时候也只在一块磁盘上读，因为磁盘之间是独立存在的，即使我读取大量数据，这块磁盘全力运转快冒烟了，其他硬盘也会空闲，利用率就低。做了RAID 0,时，写入数据会同时写入到多个磁盘中，比如写入abcd，会在一盘写入a的时候，同时在二盘写入b，在一盘写入c的时候，同时在二盘写入d，读取的时候，会同时在一盘二盘读取，大家一起忙，谁都别想闲下来。