国家网信办6月27日印发《国家网络安全事件应急预案》（下称《预案》），包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一，针对事件的监测预警、应急处置、调查评估均设置了具体机制。

据了解，《预案》肯定了在中央网信领导小组领导下，中央网信办、工信部、公安部、国家保密局等部门分工负责的领导机制，必要时成立国家网络安全事件应急指挥部。另外，《预案》还规定了中央和国家机关各部门、各省级网信部门的职责。

网络安全应急响应是十分重要的，在网络安全事件层见叠出、事件危害损失巨大的时期，应对短时间内冒出的网络安全事件，根据应急响应组织事前对各自可能情况的准备演练，在网络安全事件产生后，尽量快速、高效的跟踪、处置与防范，确保网络信息安全。就目前的网络安全应急监测体系来讲，其应急处理工作可分为以下几个流程：

01准备工作

此阶段以预防为主，在事件真正产生前为应急响应做好准备。主要包括以下几项内容：

制定用于应急响应工作流程的文档计划，并建立一组基于要挟态势的公道防御措施；

制定预警与报警的方式流程，建立一组尽量高效的事件处理程序；

建立备份的体系和流程，依照相关网络安全政策配置安全装备和软件；

建立一个支持事件响应活动的基础设施，取得处理问题必备的资源和人员，进行相关的安全培训，可以进行应急反应事件处理的预演方案；

02事件监测

辨认和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点正告已检侧到了入侵，需要肯定系统和数据被入侵到了甚么程度。入侵响应需要管理层批准，需要决定会不会关闭被破坏的系统及会不会继续业务，会不会继续搜集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数据和类型，通知甚么人。主要包括以下几种处理方法：

布局入侵检测装备、全局预警系统，肯定网络异常情况；

预估事件的范围和影响的严重程度，来决定启动相应的应急响应的方案；

事件的风险危害有多大，触及到多少网络，影响了多少主机，情况危急程度；

肯定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源；

攻击者利用的漏洞传播的范围有多大，通过汇总，肯定会不会产生了全网的大范围入侵事件；

03抑制处置

在入侵检测系统检测到有安全事件产生以后，抑制的目的在于限制攻击范围，限制潜伏的损失与破坏，在事件被抑制以后，应当找失事件本源并完全根除；然后就该着手系统恢复，把所有受侵害的系统、利用、数据库等恢复到它们正常的任务状态。

搜集入侵相关的所有资料，搜集并保护证据，保证安全地获得并且保存证据；

肯定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和利用服务；

通过对有关歹意代码或行动的分析结果，找失事件本源明确相应的补救措施并完全清除，并对攻击源进行准肯定位并采取措施将其中断；

清算系统、恢复数据、程序、服务，把所有被攻破的系统和网络装备完全还原到正常的任务状态。

04应急场景

网络攻击事件

安全扫描攻击：黑客利用扫描器对目标进行漏洞探测，并在发现漏洞落后一步利用漏洞进行攻击；

暴力破解攻击：对目标系统账号密码进行暴力破解，获得后台管理员权限；

系统漏洞攻击：利用操作系统、利用系统中存在漏洞进行攻击；

WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击；

谢绝服务攻击：通过大流量DDOS或CC攻击目标，使目标服务器没法提供正常服务；

其他网络攻击行动；

歹意程序事件

病毒、蠕虫：造成系统缓慢，数据破坏、运行异常；

远控木马：主机被黑客远程控制；

僵尸网络程序（肉鸡行动）：主机对外发动DDOS攻击、对外发起扫描攻击行动；

挖矿程序：造成系统资源大量消耗；

WEB歹意代码

Webshell后门：黑客通过Webshell控制主机；

网页挂马：页面被植入待病毒内容，影响访问者安全；

网页暗链：网站被植入博彩、色情、游戏等广告内容；

信息破坏事件

系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等等；

数据库内容篡改：业务数据遭到歹意篡改，引发业务异常和损失；

网站内容篡改事件：网站页面内容被黑客歹意篡改；

信息数据泄漏事件：服务器数据、会员账号遭到盗取并泄漏；

其他安全事件

账号被异常登录：系统账号在异地登录，可能出现账号密码泄漏；

异常网络连接：服务器发起对外的异常访问，连接到木马主控端、矿池、病毒服务器等行动；

总之，信息安全应急响应体系应当从以上因素有哪些来更加完善，统一规范事件报告格式，建立及时堆确的安全事件上报体系，在分类的基础上，进一步研究针对各类安全事件的响应对策，从而建立一个应急决策专家系统，建立网络安全事件数据库，这项工作对事件应急响应处置进程具有十分重要的意义