应急处置服务案例     

项目背景

《中华人民共和国网络安全法》中对应急处置工作有明确规定，在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。
某市房管局主要负责该市单位公有住房和直管公有住房交易审批。对全市单位自管房进行政策指导、监督、管理、协调和服务职能，城镇建设安置动迁管理。负责全市城镇公有住房确权发证，办理产权产籍变更手续。贯彻落实国家、省、市关于房地产业的方针、政策和法律、法规、规章。
        该房管局接到公安机关通报，该局服务器遭到黑客木马攻击，通报中明确了被攻击IP、被攻击域名和攻击木马类型。为了及时控制和妥善处理该事件，降低因网络安全事件带来的影响，保障信息系统尽快恢复正常运行，该局立即启动网络安全应急处置预案。同时委托我公司第一时间提供技术支持，对该网络安全事件分析、检测、抑制、溯源、恢复等工作。通过该项目使受影响的网络信息系统在最短时间内恢复正常工作，进一步查找攻击来源，还原入侵过程，同时提出解决方案与防范措施，为企业及时止损。

解决思路

网络安全事件应急处置包含准备、检测、抑制、根除、恢复、总结（监测）6个阶段。
       在准备阶段，主要包括检测工具的准备、排查思路的梳理等前期准备工作。
       在检测阶段，我公司技术人员结合公安机关通报内容，利用检测技术和实践经验对被攻击系统进行初步检测，确定该事件为网络安全事件，同时判断事件的影响范围为当前服务器。为了防止攻击进一步加深和扩大，在抑制阶段，综合考虑用户及该系统业务情况，经与用户沟通，对该服务器采取断网措施，停止网站对外服务。
       在根除阶段，我公司技术人员采取系统异常行为分析、日志分析等技术手段，成功分析出攻击IP、攻击方法及入侵点，帮助用户彻底查杀木马文件，从根源上进行根除。
       在恢复阶段，我方配合用户重启应用服务，并且提供了7×24小时网站监测服务，防止攻击事件死灰复燃，确保信息系统恢复到正常的运行状态。
       在总结阶段，我公司对整个事件处理的全过程进行回溯，对事件类型、事件危害及影响范围、攻击溯源等进行梳理，形成了《某单位网络安全事件应急处置总结报告》。

用户收益

通过本次网络安全应急处置服务，我们帮助用户及时、快速做出应急响应，采取了有效的抑制措施，防止了事件危害和不良影响进一步扩散，及时止损；根据用户留存的安全设备防护日志、应用系统日志等有效信息，进行了日志分析，对事件溯源，准确分析出了攻击IP和攻击方法，从根源上进行根除和查杀；协助用户恢复受攻击的应用系统，并在系统恢复后进行了必要的安全监测服务，防止攻击事件死灰复燃，确保其到达安全、稳定运行的目标。