网络安全应急响应处置流程研究
摘要:网络安全应急响应处置流程是为了规范网络安全防护工作,保证网络正
常使用、应对各种意外事件发生的所做的准备以及在事后所采取的措施。本文在
分析常见网络安全事件防护技术的基础上,充分考虑各种安全事件可能对系统造
成的危害,综合运用“事前应急准备-事中应急防御-事后应急处置”的思想,合理
建立网络安全应急处置流程,强化组织流程化、规范化的安全防范意识。
关键词:网络安全;安全防护;防护策略
当前随着信息技术、网络技术的高速发展,使得互联网在各个领域中的作用日益凸显,
但其面临的安全威胁也更加多样,网络攻击事件和信息窃取常有发生,网络中经常遇到中断、
拥塞、瘫痪等问题,或是数据在传输、处理及存储过程中出现泄漏、丢失及被篡改,严重影
响社会经济发展和人们正常生活,因此如何合理制定网络安全应急响应处置流程,保证网络
安全,是当前网络安全研究的热点之一。
1 常见网络安全事件防护技术
常见网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃
听事件、网络钓鱼事件等,常见的攻击方式有 APT 攻击、口令攻击、拒绝服务攻击、IP 欺骗、
恶意代码、病毒、木马、缓冲区溢出等,当发生安全事件时,就要有针对性的制定事中应急
防御策略。下面列举几种典型的攻击事件的应急防御策略。
1.1 分布式拒绝服务攻击防护
分布式拒绝服务(DDOS)攻击是利用肉鸡发起的攻击。针对 DDOS 事件的发生可能会对
网络设备及正常服务造成影响,可采取如下应急防御策略:对系统进行例行检查,监控设备
的健康状况;严密监控核心网络以及汇聚节点流量,确保流量处于正常范围;定期察看 IDS
设备上的告警信息,及时采取断网等阻断措施;加强部署在网络中的 IDS 设备的日志分析等。
1.2 ARP 欺骗防护
ARP 欺骗原理是不具备认证机制。当有人请求某 IP 地址的 MAC 地址时,假 MAC 地址可
与之对应,同时 ARP 可接收假 ARP 应答,同时存储更新 ARP 缓存,所以实施 ARP 欺骗成为
可能。当网络中某台主机遭受 ARP 欺骗时,可采取如下防护策略:清空 ARP 缓存表 arp -a,
之后对目标主机进行 ping 操作;IP/MAC 地址绑定;ARP 监听:在入侵检测系统设备上设置,
当监听端口程序对目标地址为本机地址或子网广播地址时,对 ARP 数据包进行监听;根据攻
击目标不同,判定是否和防火墙联动,在防火墙上修改相应的安全策略,禁止带有攻击源的
数据包进入综合接入内网系统,从而使正常流量进入网络中;维护人员发现了受感染的主机
并清除了恶意程序等。
1.3 口令攻击防护
口令攻击是黑客最常采用的攻击方法之一,黑客通过获取系统管理员或其他特殊用户的
口令,获取系统管理权,窃取网络中信息、文件、敏感数据等,当网络遭受到口令攻击时,
可采取如下防护策略:对网络中的设备及系统按相关安全配置规范进行配置安全加固;定期
进行系统漏洞扫描,针对获取系统权限的高危漏洞及时修补,避免被利用;对网络中的设备、