网络入侵应急响应策略研究

田力勇

中国人民解放军66389部队，河北 石家庄 050000

网络入侵应急响应策略研究

田力勇

中国人民解放军66389部队，河北 石家庄 050000

针对当前网络入侵的主要形式，详细论述了网络入侵应急响应各个阶段的具体任务、目标和实施过程，对提升网络安全事件发生后的应急预警和响应能力具有积极借鉴意义。

网络入侵；应急响应；网络安全

引言

为避免网络入侵，多数网络系统均加装了入侵监测系统，但大多数入侵监测系统仅有简单的报警和记录功能，在入侵事件发生后难以形成有效的抵抗措施，这就需要加强应急响应体系建设，完善网络安全防护体系，迅速准确地采取处置措施，尽可能地减少甚至避免损失。

1 网络入侵的主要形式

网络入侵是指未经授权而对计算机和网络资源进行恶意使用，破坏网络信息的保密性、完整性以及网络服务的可用性和网络运行的可控性的行为。根据入侵事件发生的特点和对系统造成的影响，可以分为以下4类：

1.1 服务拒绝类

服务拒绝攻击通过高消耗请求和发送畸形报文的手段耗尽系统资源，使服务计算机崩溃，不能为合法用户提供正常服务。高消耗请求攻击通过大量合法和伪造的请求占用大量网络以及器材资源，如CPU、内存、入口带宽等，使合法用户难以连接服务，达到拒绝服务目的。畸形报文攻击是指通过向目标系统发送具有缺陷的IP报文，使目标系统在处理这样的IP包时会出现崩溃，达到无法提供服务的目的[1]。

1.2 扫描窥探类

扫描窥探攻击主要包括网络嗅探、系统特征扫描和利用漏洞探测等类型。入侵者通过地址扫描、端口扫描、IP站选路、IP路由记录、Tracert报文和业务模拟的方式获得网络系统信息，如系统用户名和密码、网络结构、目标存活、端口信息和系统漏洞等。

1.3 恶意代码注入类

恶意代码注入攻击主要包括各种计算机病毒、蠕虫、木马、跨站脚本攻击、僵尸软件和其他恶意代码类安全事件。入侵者利用计算机和网络系统漏洞信息和存在的设计缺陷，构造恶意代码并注入目标系统，达到瘫痪系统、窃取信息、控制权限等非法目的。

1.4 欺骗与篡改类

信息欺骗和篡改攻击主要通过IP欺骗、电子邮件欺骗、Web欺骗、数据篡改以及其他手段破坏网络系统的保密性、完整性以及可用性等安全属性，对信息系统进行攻击。

2 网络入侵应急响应策略

网络入侵应急响应是网络系统受到攻击后采取的应急措施和行动，目的是最大限度阻止和减少网络攻击带来的影响，尽快恢复网络系统的正常运行。构建网络入侵应急响应机制，应按照积极预防、及时发现、快速响应、确保恢复的目标要求，认真做好应急准备、响应处置和事后评估3个阶段的工作。

2.1 应急准备

在网络入侵事件发生之前，根据网络系统的安全需求进行应急准备，主要做好4个方面工作。

2.1.1 制定防入侵网络安全策略

对不同网络系统和用户面临的安全风险进行评估。风险评估主要对以下3个要素进行分析：脆弱程度、威胁程度、重要程度。在风险分析的基础上，计算系统和用户的安全需求，进而制定技术防御的安全策略。

2.1.2 建立防入侵网络安全环境

根据不同安全需求，建立以下网络安全措施：①建立备份电源系统；②建立重要数据备份，提升系统容灾能力；③安装有效防病毒软件，及时更新病毒库；④采用数字加密技术，增强数据保密性；⑤安装入侵检测系统，监测恶意攻击；⑥安装防火墙，建立网关控制、内容过滤等控制手段；⑦采用访问控制技术，避免非法接入和虚假路由信息；⑧利用伪装技术和沙盒技术构建网络陷阱，抵御入侵攻击；⑨建立计算机网络追踪取证能力，锁定入侵者；⑩对系统管理员和用户进行网络安全技术培训。

2.1.3 拟制入侵应急响应预案

在应急响应之前，掌握网络系统运行的安全状况，熟悉受保护的系统和网络环境，提前拟制防止网络入侵应急响应预案。主要程序如下：①当发现网络服务器不明原因宕机、无法访问、网页内容被篡改、应用服务器数据被非法拷贝或修改等检测系统被不明原因攻击时，网络管理员和用户断开网络，报告上级管理人员；②网络管理人员接到报告后，核实情况，判断是否为网络入侵，备份系统重要数据；③判断为网络入侵，采用不同措施进行抵御，主要有关闭服务器或系统、修改防火墙和路由器过滤规则、禁用被破解的账号、利用伪装技术和沙盒技术构建网络陷阱等；⑤采用计算机和网络追踪取证手段进行定位取证；⑥威胁解除后及时清理系统，恢复数据程序，恢复系统和网络运行；⑦进行复盘总结，确定损失情况，研究防范改进措施。

2.1.4 适时组织模拟应急演练

针对网络入侵事件发生发作的不固定性、突然性，在制定《网络入侵应急响应预案》的基础上，预想突发情况，适时组织各要素进行应急演练，提升管理员和用户对预案的熟知程度，对响应流程和措施进行进一步优化。

2.2 响应处置

响应处置包括入侵检测、指挥处置和系统恢复三个部分。

2.2.1 入侵检测

根据网络入侵应急响应预案，在入侵事件发生后，做出初步的判断和动作。根据获得的初步信息和分析结果，估计事件的严重程度、影响范围，进一步研究应急响应措施。

2.2.2 指挥处置

按照灵活、机动、快速的原则，根据响应预警的级别分别进行处置，组织应急响应分队人员确定入侵目标位置，采用预案手段抵御入侵，限制潜在的损失。抵御抑制策略主要包括以下内容：加强系统和网络行为的监控，提高应用权限；对重要系统数据进行备份；修改防火墙和路由器过滤规则；封锁删除被破解攻击的账号；从网络上断开主机或者部分网络；设置诱饵服务器进一步抵御攻击，获取事件信息；关闭受攻击的系统；完全关闭所有系统[2]。

2.2.3 系统恢复

在有效控制入侵事件后，找出漏洞隐患并采用有效手段防范，以免入侵者再次使用相同手段发起攻击，引发新的安全事件。在确定系统解除威胁后，及时清理系统，恢复数据程序，恢复系统和网络运行。

2.3 事后评估

总结应对入侵安全事件过程中的相关信息，包括入侵事件的类型、时间、攻击形式、影响范围、损失程度、应急处理的流程、工作人员的分析判断和操作技能等。对网络系统进行安全评估，确认系统再次被入侵的威胁度，解决安全隐患，整理追踪取证信息，找到攻击者并进行惩治，维护自身合法权益。

3 结束语

通过对网络入侵的主要形式进行分析，研究应对网络入侵事件的应急响应策略，对应急准备、响应处置和事后评估各个阶段的具体任务、目标和实施过程进行了详细论述。这对完善网络安全防护体系，提高网络安全事件发生后的应急预警和响应能力具有重要现实意义。

[1]刘龙龙，张建辉，杨梦.网络攻击及其分类技术研究[J].电子科技，2017，30（2）：169-172.

[2]刘欣然，李柏松，常安琪，等.当前网络安全形势与应急响应[J].中国工程科学，2016，18（6）：83-88.

Research on Emergency Response Strategy of Network Intrusion

Tian Liyong
PLA 66389 Unit, Hebei Shijiazhuang 050000

According to the main form of network intrusion, the paper discusses the network intrusion response of specific tasks and goals of each phase and the implementation process, which has positive significance to enhancing the capability of emergency warning and response after the network security incident.

network intrusion; emergency response; network security

TP393.08

A

1009-6434（2017）7-0097-02