Skip to content

应急响应

处置流程

事件发生

运维监控人员、客服审核人员等发现问题,向上通报。

事件确认

收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等。

事件响应

各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。

事件关闭

处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。

事件分类

  • 病毒、木马、蠕虫事件

  • Web服务器入侵事件

  • 第三方服务入侵事件

    • 系统入侵事件

    利用Windows漏洞攻击操作系统

    • 网络攻击事件

    DDoS / ARP欺骗 / DNS劫持等

网络攻击事件

  • 安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
  • 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限
  • 系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击
  • Web漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种Web漏洞进行攻击
  • 拒绝服务攻击:通过大流量DDoS或者CC攻击目标,使目标服务器无法提供正常服务
  • 其他网络攻击行为

恶意程序事件

恶意程序主要类型及危害:

  • 病毒、蠕虫:造成系统缓慢,数据损坏、运行异常
  • 远控木马: 主机被黑客远程控制
  • 僵尸网络程序(肉鸡行为):主机对外发动DDoS攻击、对外发起扫描攻击行为
  • 挖矿程序:造成系统资源大量消耗

Web恶意代码

网站恶意代码常见类型及危害:

  • Webshell后门:黑客通过Webshell控制主机
  • 网页挂马:页面被植入待病毒内容,影响访问者安全
  • 网页暗链:网站被植入博彩、色情、游戏等广告内容

信息破坏事件

  • 系统配置遭篡改:系统中出现的异常的服务、进程、启动项、账号等等
  • 数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失
  • 网站内容篡改事件:网站页面内容被黑客恶意篡改
  • 信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露

其他安全事件

  • 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露
  • 异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为