1.网络安全的特性

整体性：业务与利益相关

动态性：技术不断发展

开放性：没有物理边界

相对性：没有绝对的安全

2.网络应急响应：

定义：在对网络安全态势、组织的网络系统运行情况和面临安全威胁有清楚的认识下，在管理、技术和人员方面进行计划和准备，当网络安全事件突发时，能够有序应对并妥善处理，降低组织的损失，并能够改进网络安全突发事件的策略和计划

应急响应对网络安全事件所做的具体准备，如数据、工具、人力和计划方面，以及事件发生时的处置和事件后的针对分析。

3.方向分类：

红队：攻击方

蓝队：狩猎

青队： 网络安全问题初出现，能够及时响应反制保护企业安全

工作内容： 采取合适的应对策略和措施保障自身业务信息系统持续性。

3应急响应流程

1.应急响应准备

获取当前网络安全事件信息

事件发生前，做好日常运维检测，收集各类故障信息。（区别系统自身故障和人为破坏）

（区分一般事件和应急响应事件）

充分获取当前事件信息从而启动响应的预案（事件上报，确认应急响应事件类型和应急事件的等级）

通知相关人员，启用应急预案

2.启用网络安全应急响应预案

1.应急预案内容

1.1 总则

1.2组织体系和职责

1.3事件预警

1.4应急处置

1.5后期处置

1.6预防工作

1.7保障措施

1.8附则

2.应急小组划分

应急领导小组、应急预案制定小组、应急执行小组、应急保障小组、技术保障小组、支持保障小组

3.应急响应保护

1.抑制保护

应急响应事件发生，采用临时策略对目录机器进行止损。

措施:直接策略：断网，断网好处：防止删除日志和重要文件

方法：查清影响的机器和范围

进行网络隔离，关闭响应的端口

切换备份机器，保障业务正常

常规应急响应：修复系统，分析产生的原因，加固系统。

2.数据保护

2.1winows系统

1.保护物理设备（物理隔离，防止人为物理破坏机器）

事件严重的话，保护现场。

2.对内存和磁盘制作相关进行（取证数据）

（磁盘镜像(Disk Image) 将存储器的完整内容和结构都保存在一个文件）

windows系统 https://getdataforensics.com/product/fex-imager/

1.进入首页，是介绍它的版本，以及支持的系统。

点击下载windows版本。

开始安装

使用管理员模式运行

第一种是整个硬盘备份。

第二个是按分区模式进行备份。

开始备份

备份完成。

第二个工具：https://www.datanumen.com/disk-image/

进入首页，下载

然后双击，开始安装。

进行备份。

2.2Linux系统

lsblk 查看磁盘编号

开始备份sda5

sudo dd bs=512 if=/dev/sda5 | gzip -9 > image-os.gz

内存镜像制作

1.内存快照，病毒木马都是内存驻留，不会在硬盘留有痕迹。避免自我销毁，此时进行保留内存镜像，

利于多次分析。

Magnet RAM Capture

http://magnetfiles.com/free_tools/MagnetRAMCapture/

进程文件制作

procdump

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

进入首页下载

使用方法：

主要用法：procdump64.exe –ma <pid>

第一种用法：procdump64.exe + notepad进行制作。

第二种：找到notepad的pid值

使用procdump64.exe -ma 13260

对比之后，发现第二个保存的比较完整，值得推荐。

总结：本文主要从应急响应的流程，划分，应急响应各个阶段，人员划分，准备阶段及碰到应急响应的时候，如何将风险降低。还有对数据保护的一些方式。

转载自安全客：https://www.anquanke.com/post/id/260061