应急响应简单流程

# 应急响应相关流程

个人经验：**应急响应步骤：**

1.接到客户电话或者老板告诉你，得知，客户网站被攻击，网站存在异常，网站打不开。

2.在得知了安全事件发生之后，该如何处理呢？

A.第一时间就是如何保障客户的系统能尽快的恢复，而不会影响客户的业务，跟客户沟通最有效的解决方式。

这种解决方式有暂时性和永久性，暂时性指的是先检测网站存在哪些异常，分析日志，病毒扫描，找出木马，清除木马，保障客户的系统不会再一次出现打不开的情况。永久性指的就是重做系统，重新部署业务。

考虑客户的情况，选择不同的方式。

但无论哪种方式，能尽快解决客户的当前问题才是最重要的，毕竟分析攻击来源，不是一时半会就能分析出来的。

当然，这里所说的暂时性和永久性都是相对客户的环境来说的，有些系统重做起来会很麻烦，或者是生成系统，根本不能重装，只能找出系统存在的问题，并清理。

B.安全加固方面

利用客户现有的网络拓扑，把相应的安全设备利用起来，做好相应的安全策略，尽量不把服务器直接暴露在公网。而是通过防火墙进行映射，服务器配置内网地址。

关闭服务器上不需要的端口，如3389，如果要开远程的话，就通过连接到客户的内网pc，通过pc连接到服务器，这样是比较安全的。

在服务器前放置WAF进行防护，针对各种攻击进行拦截。

针对运维人员的运维操作，形成操作记录文档。

C.业务恢复后，网络加固了之后。

对应用在进行进一步的测试，对安全设备的瓶颈进行预估，而不会说由于安全设备的防护不足，导致服务器存在攻击的危险。

定期对服务器进行扫描。

D.所有的东西都完成之后，最后，如果在可能的情况下，对以前受攻击的环境进行模拟，从而分析出这次攻击的主要原因，攻击者如何连接到服务器的，分析受到攻击的原因，并形成相应的应急响应报告。

应急响应：

来源:piaca

为什么做应急响应

怎么做应急响应

为什么反渗透

总结：