第一部分 基本概念 3
第1章 网络安全应急响应概述 3
1.1 应急响应概述 3
1.1.1 我国应急响应体系发展简介 3
1.1.2 突发公共事件应急响应分类与分级 5
1.1.3 我国应急响应管理体制、机制介绍 6
1.1.4 应急响应技术发展特点 8
1.1.5 现代应急响应技术分类 10
1.2 网络安全应急响应基本情况 12
1.2.1 本书对网络安全内涵界定 12
1.2.2 网络安全应急响应管理与相关法规 14
1.2.3 网络安全应急响应模型的探索与实践 16
1.3 网络安全应急响应分类与特点 17
1.3.1 网络安全事件分类和分级 17
1.3.2 网络安全应急响应的类型与特点 21
1.4 网络安全应急响应发展趋势 23
1.4.1 “互联网”时代的网络安全应急响应 23
1.4.2 获取“威胁情报”成为网络安全应急前沿趋势 24
1.5 本章小结 26
思考题 26
第2章 网络安全典型事件及响应实例介绍 27
2.1 突发网络安全重大事件举例 27
2.1.1 事件1“震网”病毒摧毁伊朗离心机 27
2.1.2 事件2沙特某石油企业遭遇“Shamoon”病毒攻击 27
2.1.3 事件3逾30省市社保系统信息或遭泄露 28
2.1.4 事件4携程漏洞事件 28
2.1.5 事件5“心脏出血”漏洞事件 29
2.1.6 事件6中铁总公司12306撞库事件 30
2.1.7 2012年后重大网络安全事件概览 31
2.2 网络安全应急响应实例 34
2.2.1 案例1某电信公司机房LSASS振荡波蠕虫事件 34
2.2.2 案例2某单位Web服务器黑客入侵事件 36
2.2.3 案例3某公司Web服务器公司遭拒绝服务攻击事件 37
2.3 本章小结 39
思考题 39
第3章 网络安全应急响应能力建设与流程 40
3.1 网络安全应急响应能力建设的背景和现状 40
3.2 网络安全应急响应体系的能力要素 40
3.3 网络安全事件的应急响应流程 41
3.4 本章小结 45
思考题 45
第二部分 主要内容与方法 49
第4章 网络安全应急响应组织体系与机制 49
4.1 网络安全应急响应组织体系的设计原则 49
4.2 网络安全应急响应组织体系模型与机制 50
4.2.1 网络安全应急响应组织体系一般模型 50
4.2.2 全国网络安全应急响应组织体系实例 54
4.2.3 网络安全应急响应内部组织架构与联动 55
4.2.4 网络安全应急响应关键运行机制介绍 56
4.3 本章小结 56
思考题 57
第5章 网络安全应急响应部署与策略 58
5.1 网络安全应急响应小组的工作目标 58
5.2 建立网络安全应急响应小组 58
5.2.1 网络安全应急响应小组的任务 59
5.2.2 网络安全应急响应小组的组建 59
5.2.3 网络安全应急响应组人员的能力要求 60
5.3 掌握网络安全应急响应方法 61
5.3.1 事前准备 61
5.3.2 事中发现 63
5.3.3 事后响应 64
5.4 制定应急响应报告规范 64
5.5 网络安全应急响应执行策略 65
5.6 本章小结 66
思考题 66
第6章 网络安全应急响应具体实施 67
6.1 准备阶段 67
6.2 检测阶段 69
6.3 抑制和根除阶段 71
6.4 恢复阶段 72
6.5 跟进阶段 74
6.6 本章小结 76
思考题 77
第三部分 发挥保障作用的重要环节 81
第7章 网络安全应急预案规范 81
7.1 相关规范性文件 81
7.2 风险评估与业务影响分析 82
7.2.1 预案工作的3个阶段 82
7.2.2 风险评估 82
7.2.3 业务影响分析 83
7.3 制订预案文档 84
7.3.1 预案说明 84
7.3.2 预案总则 84
7.3.3 分工及职责 85
7.3.4 预防和预警机制 87
7.3.5 制订应急响应流程 87
7.3.6 应急响应保障措施 94
7.3.7 预案附件 96
7.4 本章小结 97
思考题 97
第8章 事件调查与取证 98
8.1 网络安全调查概述 98
8.2 调查执行与访谈 99
8.3 网络安全事件证据收集与保全 100
8.3.1 网络安全现场勘查概述 101
8.3.2 相关证据收集与保全 102
8.4 取证分析方法及工具介绍 106
8.5 编写取证报告 108
8.5.1 现场勘验报告 108
8.5.2 证据分析报告 110
8.6 本章小结 111
思考题 112
第9章 应急演练 113
9.1 网络安全应急响应预案培训与演练 113
9.1.1 网络安全应急响应预案培训与演练目的 113
9.1.2 网络安全应急响应预案培训 114
9.1.3 网络安全应急响应预案演练 115
9.2 网络安全应急演练环境 115
9.2.1 网络安全应急演练文档 115
9.2.2 演练人员安排 116
9.2.3 演练设备安排 117
9.3 演练示例——以企业为例 117
9.3.1 演练准备 117
9.3.2 演练步骤 118
9.3.3 其他相关保障 120
9.4 本章小结 121
思考题 121
附录 125
附录1信息安全事件分类、分级标准——摘自国家标准 125
附录2信息安全风险评估指南——摘自国家标准 127
附录3中国信息安全测评中心负责实施的某国家部门网络安全应急响应实例 129
附录4 Internet CERT发展简介 131
附录5入侵检测(IDS)的原理、检测及防范 132
附录6会话劫持攻击原理与检测、防范 138
附录7网络安全应急响应执行步骤详述 146
7.1 准备阶段的执行操作 146
7.2 检测阶段的执行操作 165
7.3 抑制和根除阶段的执行操作 191