国家网信办6月27日印发《国家网络安全事件应急预案》（下称《预案》），包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一，针对事件的监测预警、应急处置、调查评估均设置了具体机制。

  据了解，《预案》确定了在中央网信领导小组领导下，中央网信办、工信部、公安部、国家保密局等部门分工负责的领导机制，必要时成立国家网络安全事件应急指挥部。此外，《预案》还规定了中央和国家机关各部门、各省级网信部门的职责。

  网络安全应急响应是十分重要的，在网络安全事件层出不穷、事件危害损失巨大的时代，应对短时间之内冒出的网络安全事件，根据应急响应组织事先对各自可能情况的准备演练，在网络安全事件发生后，尽可能快速、高效的跟踪、处置与防范，确保网络信息安全。就目前的网络安全应急监测体系来说，其应急处理工作可分为以下几个流程：

  此阶段以预防为主，在事件真正发生前为应急响应准备好。最重要的包含以下几项内容：

  制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势的合理防御措施；

  建立一个支持事件响应活动的基础设施，获得处理问题必备的资源和人员，进行有关的安全培训，能够直接进行应急反映事件处理的预演方案；

  识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵，需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准，需要决定是不是关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数据和类型，通知什么人。最重要的包含以下几种处理方法：

  攻击者利用的漏洞传播的范围有多大，通过汇总，确定是不是发生了全网的大规模入侵事件；

  在入侵检测系统检测到有安全事件发生之后，抑制的目的是限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源并彻底根除；然后就该着手系统恢复，把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

  确定使系统回到正常状态的需求和时间表、从可信的备份介质中恢复用户数据和应用服务；

  通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源做准确定位并采取一定的措施将其中断；

  清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

  安全扫描攻击：黑客利用扫描器对目标进行漏洞探测，并在发现漏洞后进一步利用漏洞进行攻击；

  WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击；

  拒绝服务攻击：通过大流量DDOS或者CC攻击目标，使目标服务器没办法提供正常服务；

  僵尸网络程序（肉鸡行为）：主机对外发动DDOS攻击、对外发起扫描攻击行为；

  异常网络连接：服务器发起对外的异常访问，连接到木马主控端、矿池、病毒服务器等行为；

  总之，信息安全应急响应体系应该从以上几个维度来更完善，统一规范事件报告格式，建立及时堆确的安全事件上报体系，在分类的基础上，进一步研究针对各类安全事件的响应对策，从而建立一个应急决策专家系统，建立网络安全事件数据库，这项工作对于事件应急响应处置过程具有十分重要的意义。（anbaikj，zhaoyuanyuan19940425）返回搜狐，查看更加多