SRC:对安全事件进行监测、预警、分析、响应、恢复
    国内:CNCERT/CNCERT/CC,它们的职责就是积极预防、及时发现、快速响应、力保恢复

    SRC组织由两部分构成:应急领导小组和应急技术支撑组
    人员组成:管理、业务技术、行政后勤等人员构成
    工作内容:
    1.威胁情报搜集
    2.事件监测与分析
    3.预警信息发布
    4.应急预案编写与修订
    5.应急知识库开发与管理
    6.应急响应演练
    7.事件响应与处置
    8.事件分析与总结
    9.教育和培训
    按资金来源、服务对象等多因素SRC分类:
    公益SRC、内部SRC、商业SRC、厂商SRC

    预案内容与类型:
    中信办把全网事件分
    7个基本类:恶意程序事件、网络攻击事件、信息破坏事件、信息内容事件、设备设施故障、灾害性事件、其 他信息安全事件
    4个等级:
    特别严重:设计国家秘密、特别严重威胁
    重大:严重威胁
    较大:较严重
    一般:一定威胁
    预案内容:预案是遇到安全事件时,制定处理方式的工作步骤。
    其基本内容如下:
    1.列出紧急情况类型与处理措施
    2.事件处理基本工作流程
    3.应急处理的具体步骤与操作顺序
    4.执行预案有关人员的姓名、住址、电话号码以及部门联系方法

    预案按实施覆盖范围分4类:
    1.国家级 2.区域级 3.行业级 4.部门级
    tips:管理层级高的预案偏向指导,层级低的预案偏向管理

    I级:核心业务系统或硬件设备故障
    1.找节点 2.替换线路、设备 3.导入备份配置 4.上级报告
    II级:门户网站及托管系统完整性破坏
    1.断网 2.隔离现场 3.恢复 4.追查并报警
    外网系统遭入侵
    1.断网 2.防火墙封墙 3.保存日志 4.报告或报警 5.强化安全措施后恢复使用
    外网系统遭DDOS
    1.防火墙封堵 2.改DNS解析,将DDOS分流 3.保存日志 4.无法解决时,断网并报告及报警 5.在互联网管理部门和公安部门的协助下解决此项应急工作
    外部电源中断
    1.切换备用电路 2.查明断电原因 3.线路故障则命其恢复供电 4.<1小时,用UPS 5.>1小时,关闭总开关 6.关闭所有设备

    常见应急场景及类型:
    1.恶意程序:病毒、蠕虫、木马、僵尸网络
    2.攻击事件:扫描器、暴力破解、系统漏洞
    3.网站及Web应用安全事件:网页篡改、网页改马、非法页面、Top10、域名劫持
    4.拒绝服务攻击:DDOS等

    网络安全应急处理流程:
    1.安全事件报警
    2.安全事件确认
    3.启动应急预案
    4.处理
    准备:通知相关人员(交换信息)
    检测工作:对现场做快照、保护一切
    抑制工作:采取围堵措施,限制涉及范围
    根除工作:解决问题,根除隐患,对事故存档
    恢复工作:恢复系统
    总结工作:提交报告
    安全事件报告的大概内容:日期、人员、发现途径、事件类型、涉及范围、记录、损失影响、处理过程、经验与教训
    应急演练分类:
    组织形式:桌面应急演练和实战应急演练
    内容:单项应急演练、综合应急演练
    目的与作用:检验性、示范性、研究性、应急性等
    网络取证与步骤:保护现场、识别、传输、保存、分析等