章网络安全应急响应技术概念
1.1网络安全应急响应技术概述2
1.1.1网络安全应急响应含义2
1.1.2网络安全应急响应法律法规与标准4
1.2网络安全应急响应技术演变6
1.2.1网络安全应急响应技术的发展趋势7
1.3网络安全应急响应技术框架12
1.3.1应急响应预案15
1.3.2组织架构15
1.3.3应急工作流程19
1.3.4应急演练规划25
1.4网络安全应急响应新发展26
1.4.1云计算的网络安全应急响应26
1.4.2基于大数据平台的应急支撑27
第2章网络安全应急响应技术基础知识
2.1应急响应工作的起点：风险评估32
2.1.1风险评估相关概念32
2.1.2风险评估流程33
2.1.3风险评估与应急响应的关系34
2.2安全事件分级分类34
2.2.1网络安全应急响应技术应急事件类型34
2.2.2网络安全事件等级36
2.2.3网络攻击37
2.2.4系统入侵46
2.2.5信息破坏50
2.2.6安全隐患56
2.2.7其他事件61
第3章网络安全应急响应技术流程与方法
3.1应急响应准备阶段66
3.1.1应急响应预案66
3.1.2应急响应前的准备工作67
3.2抑制阶段67
3.3保护阶段68
3.4事件检测阶段72
3.4.1数据分析72
3.4.2确定攻击时间97
3.4.3查找攻击线索97
3.4.4梳理攻击过程97
3.4.5定位攻击者97
3.5取证阶段98
3.6根除阶段103
3.7恢复阶段103
3.8总结报告104
第4章应急演练
4.1应急演练总则106
4.1.1应急演练定义106
4.1.2应急演练目的106
4.1.3应急演练原则107
4.2应急演练分类及方法107
4.2.1应急演练分类107
4.2.2应急演练方法109
4.2.3按目的与作用划分110
4.2.4按组织范围划分110
4.3应急演练组织机构111
4.3.1应急演练领导小组111
4.3.2应急演练管理小组111
4.3.3应急演练技术小组111
4.3.4应急演练评估小组112
4.3.5应急响应实施组112
4.4应急演练流程112
4.5应急演练规划113
4.5.1应急演练规划定义113
4.6应急演练实施116
4.7应急演练总结117
第5章网络安全事件应急处置实战
5.1常见Web攻击应急处置实战120
5.1.1主流Web攻击目的及现象120
5.1.2常见Web攻击入侵方式124
5.1.3常见Web后门125
5.1.4Web入侵分析检测方法127
5.1.5Web攻击实验与事件入侵案例分析131
5.2信息泄露类攻击应急处置实战140
5.2.1常见的信息泄露事件140
5.2.2数据库拖库141
5.2.3流量异常分析142
5.2.4流量异常分析实验143
5.3主机类攻击应急处置实战149
5.3.1系统入侵的目的及现象149
5.3.2常见系统漏洞149
5.3.3检测及分析150
5.3.4主机入侵处置实验170
5.4有害事件应急处置实战174
5.4.1DDoS僵尸网络事件（Windows/Linux版本）174
5.4.2勒索病毒加密事件（Windows为主）175
5.4.3蠕虫病毒感染事件（Windows为主）176
5.4.4供应链木马攻击事件（Windows为主）176
5.4.5应急响应任务解析（Windows沙箱技术）177
5.4.6有害事件处置实践指南181
附录Windows/Linux分析排查
附录AWindows分析排查186
A.1文件分析186
A.2进程命令187
A.3系统信息188
A.4后门排查188
A.5Webshell排查190
A.6日志分析191
附录BLinux分析排查195
B.1文件分析195
B.2进程命令196
B.3系统信息198
B.4后门排查200
B.5日志分析203
参考文献207

本书是中国网络安全审查技术及认证中心的工程师培训系列教材之一，《网络安全应急响应》。网络安全应急响应是网络安全保障工作体系的很后一个环节，是在安全事件发生后有效止损 和完善组织安全防护体系建设的关键业务环节。本书以网络安全应急技术体系和实践技能为主线， 兼顾应急响应的流程、组织和优选理念，理论联系实践，从应急响应的技术基础、安全事件处置流程涉及的技术基础到系统和网络级应急实战，循序渐进，使读者能够全方面了解应急响应技术体系和发展，理解安全事件的分类、成因、现象和处置理念，的方法，具备网络安全应急响应工作技能。