網絡入侵應急響應策略研究

田力勇

中國人民解放軍66389部隊，河北 石家莊 050000

網絡入侵應急響應策略研究

田力勇

中國人民解放軍66389部隊，河北 石家莊 050000

針對當前網絡入侵的主要形式，詳細論述了網絡入侵應急響應各個階段的具體任務、目標和實施過程，對提升網絡安全事件發生后的應急預警和響應能力具有積極借鑒意義。

網絡入侵；應急響應；網絡安全

引言

為避免網絡入侵，多數網絡系統均加裝了入侵監測系統，但大多數入侵監測系統僅有簡單的報警和記錄功能，在入侵事件發生后難以形成有效的抵抗措施，這就需要加強應急響應體系建設，完善網絡安全防護體系，迅速準確地采取處置措施，盡可能地減少甚至避免損失。

1 網絡入侵的主要形式

網絡入侵是指未經授權而對計算機和網絡資源進行惡意使用，破壞網絡信息的保密性、完整性以及網絡服務的可用性和網絡運行的可控性的行為。根據入侵事件發生的特點和對系統造成的影響，可以分為以下4類：

1.1 服務拒絕類

服務拒絕攻擊通過高消耗請求和發送畸形報文的手段耗盡系統資源，使服務計算機崩潰，不能為合法用戶提供正常服務。高消耗請求攻擊通過大量合法和偽造的請求占用大量網絡以及器材資源，如CPU、內存、入口帶寬等，使合法用戶難以連接服務，達到拒絕服務目的。畸形報文攻擊是指通過向目標系統發送具有缺陷的IP報文，使目標系統在處理這樣的IP包時會出現崩潰，達到無法提供服務的目的[1]。

1.2 掃描窺探類

掃描窺探攻擊主要包括網絡嗅探、系統特征掃描和利用漏洞探測等類型。入侵者通過地址掃描、端口掃描、IP站選路、IP路由記錄、Tracert報文和業務模擬的方式獲得網絡系統信息，如系統用戶名和密碼、網絡結構、目標存活、端口信息和系統漏洞等。

1.3 惡意代碼注入類

惡意代碼注入攻擊主要包括各種計算機病毒、蠕蟲、木馬、跨站腳本攻擊、僵尸軟件和其他惡意代碼類安全事件。入侵者利用計算機和網絡系統漏洞信息和存在的設計缺陷，構造惡意代碼并注入目標系統，達到癱瘓系統、竊取信息、控制權限等非法目的。

1.4 欺騙與篡改類

信息欺騙和篡改攻擊主要通過IP欺騙、電子郵件欺騙、Web欺騙、數據篡改以及其他手段破壞網絡系統的保密性、完整性以及可用性等安全屬性，對信息系統進行攻擊。

2 網絡入侵應急響應策略

網絡入侵應急響應是網絡系統受到攻擊后采取的應急措施和行動，目的是最大限度阻止和減少網絡攻擊帶來的影響，盡快恢復網絡系統的正常運行。構建網絡入侵應急響應機制，應按照積極預防、及時發現、快速響應、確保恢復的目標要求，認真做好應急準備、響應處置和事后評估3個階段的工作。

2.1 應急準備

在網絡入侵事件發生之前，根據網絡系統的安全需求進行應急準備，主要做好4個方面工作。

2.1.1 制定防入侵網絡安全策略

對不同網絡系統和用戶面臨的安全風險進行評估。風險評估主要對以下3個要素進行分析：脆弱程度、威脅程度、重要程度。在風險分析的基礎上，計算系統和用戶的安全需求，進而制定技術防御的安全策略。

2.1.2 建立防入侵網絡安全環境

根據不同安全需求，建立以下網絡安全措施：①建立備份電源系統；②建立重要數據備份，提升系統容災能力；③安裝有效防病毒軟件，及時更新病毒庫；④采用數字加密技術，增強數據保密性；⑤安裝入侵檢測系統，監測惡意攻擊；⑥安裝防火墻，建立網關控制、內容過濾等控制手段；⑦采用訪問控制技術，避免非法接入和虛假路由信息；⑧利用偽裝技術和沙盒技術構建網絡陷阱，抵御入侵攻擊；⑨建立計算機網絡追蹤取證能力，鎖定入侵者；⑩對系統管理員和用戶進行網絡安全技術培訓。

2.1.3 擬制入侵應急響應預案

在應急響應之前，掌握網絡系統運行的安全狀況，熟悉受保護的系統和網絡環境，提前擬制防止網絡入侵應急響應預案。主要程序如下：①當發現網絡服務器不明原因宕機、無法訪問、網頁內容被篡改、應用服務器數據被非法拷貝或修改等檢測系統被不明原因攻擊時，網絡管理員和用戶斷開網絡，報告上級管理人員；②網絡管理人員接到報告后，核實情況，判斷是否為網絡入侵，備份系統重要數據；③判斷為網絡入侵，采用不同措施進行抵御，主要有關閉服務器或系統、修改防火墻和路由器過濾規則、禁用被破解的賬號、利用偽裝技術和沙盒技術構建網絡陷阱等；⑤采用計算機和網絡追蹤取證手段進行定位取證；⑥威脅解除后及時清理系統，恢復數據程序，恢復系統和網絡運行；⑦進行復盤總結，確定損失情況，研究防范改進措施。

2.1.4 適時組織模擬應急演練

針對網絡入侵事件發生發作的不固定性、突然性，在制定《網絡入侵應急響應預案》的基礎上，預想突發情況，適時組織各要素進行應急演練，提升管理員和用戶對預案的熟知程度，對響應流程和措施進行進一步優化。

2.2 響應處置

響應處置包括入侵檢測、指揮處置和系統恢復三個部分。

2.2.1 入侵檢測

根據網絡入侵應急響應預案，在入侵事件發生后，做出初步的判斷和動作。根據獲得的初步信息和分析結果，估計事件的嚴重程度、影響范圍，進一步研究應急響應措施。

2.2.2 指揮處置

按照靈活、機動、快速的原則，根據響應預警的級別分別進行處置，組織應急響應分隊人員確定入侵目標位置，采用預案手段抵御入侵，限制潛在的損失。抵御抑制策略主要包括以下內容：加強系統和網絡行為的監控，提高應用權限；對重要系統數據進行備份；修改防火墻和路由器過濾規則；封鎖刪除被破解攻擊的賬號；從網絡上斷開主機或者部分網絡；設置誘餌服務器進一步抵御攻擊，獲取事件信息；關閉受攻擊的系統；完全關閉所有系統[2]。

2.2.3 系統恢復

在有效控制入侵事件后，找出漏洞隱患并采用有效手段防范，以免入侵者再次使用相同手段發起攻擊，引發新的安全事件。在確定系統解除威脅后，及時清理系統，恢復數據程序，恢復系統和網絡運行。

2.3 事后評估

總結應對入侵安全事件過程中的相關信息，包括入侵事件的類型、時間、攻擊形式、影響范圍、損失程度、應急處理的流程、工作人員的分析判斷和操作技能等。對網絡系統進行安全評估，確認系統再次被入侵的威脅度，解決安全隱患，整理追蹤取證信息，找到攻擊者并進行懲治，維護自身合法權益。

3 結束語

通過對網絡入侵的主要形式進行分析，研究應對網絡入侵事件的應急響應策略，對應急準備、響應處置和事后評估各個階段的具體任務、目標和實施過程進行了詳細論述。這對完善網絡安全防護體系，提高網絡安全事件發生后的應急預警和響應能力具有重要現實意義。

[1]劉龍龍，張建輝，楊夢.網絡攻擊及其分類技術研究[J].電子科技，2017，30（2）：169-172.

[2]劉欣然，李柏松，常安琪，等.當前網絡安全形勢與應急響應[J].中國工程科學，2016，18（6）：83-88.

Research on Emergency Response Strategy of Network Intrusion

Tian Liyong
PLA 66389 Unit, Hebei Shijiazhuang 050000

According to the main form of network intrusion, the paper discusses the network intrusion response of specific tasks and goals of each phase and the implementation process, which has positive significance to enhancing the capability of emergency warning and response after the network security incident.

network intrusion; emergency response; network security

TP393.08

A

1009-6434（2017）7-0097-02