前言

当前，网络空间安全形势日益严峻，国内政府机构、大中型企业的门户网站和重要核心业务系统常成为攻击者的主要攻击目标。为妥善处置和应对政府机构、大中型企业关键信息基础设施可能发生的突发事件，确保关键信息基础设施的安全、稳定、持续运行，防止对相关部门造成重大声誉影响和经济损失，我们需进一步加强网络安全与信息化应急保障能力。网络安全应急响应服务是安全防护的最后一道防线，巩固应急防线对安全能力建设至关重要。

2019年，奇安信安服团队出版了《应急响应—网络安全的预防、发现、处置和恢复》科普图书，旨在提高机构、企业在网络安全应急响应方面的组织建设能力。2020年，我们撰写本书，旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验，帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。

本书共10章，第1～3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具。第1章主要介绍网络安全应急响应基本概念，机构、企业应具备的网络安全应急响应能力，网络安全应急响应现场处置流程等；第2章主要介绍网络安全应急响应工程师应具备的基础技能，如进程、服务、文件、日志、流量等的排查方法，通过大量的案例介绍及详细的步骤说明，使初学者也能基本掌握网络安全应急响应处置工作；第3章主要介绍网络安全应急响应工作中的常用工具，这些工具可以帮助网络安全应急响应工程师更加高效、全面地查找线索，确定攻击类型等。

第4～10章为当前网络安全应急响应常见的七大处置场景，分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。各章首先会介绍场景的攻击原理、技术手法等，使读者初步了解攻击背景；然后介绍常规处置方法，为网络安全应急响应工作提供一个整体思路；之后再介绍常用工具和详细技术操作方法，包括确定攻击类型、重点排查内容、排查方法等；最后通过一些典型处置案例还原处置过程，以便让读者从真实案例中理解、巩固所学。

在实际的网络安全应急响应处置工作中，我们常会遇到各种各样的问题，上述的处置方法可以解决绝大多数问题，但也需要具体场景具体分析。例如，在存在多个攻击团伙、多种攻击形式的场景中，就需要我们综合应用各种方案进行应急响应。当然，即便是一个单一的安全事件，其处理的思路、排查的先后顺序也可能有所不同，都需要结合场景的具体业务系统、网络环境、安全设备部署、企业内部解决目标等多种因素进行处置。因此，一名优秀的网络安全应急响应工程师需要不断学习、实践、思考、总结，每次事件的处置都将是一次历练。我们希望通过本书，为广大读者提供一种思路、方法，也希望广大读者能够与我们交流，共同提高网络安全应急响应能力。

本书的出版要感谢奇安信安服团队张翀斌、张永印、刘洋、贾璐璐、裴智勇、苑博林、李明、赵依、宋伟、杨镇、程洋、方镇江、王晗潇、邹基亮、徐金燕、郭勇智、夏阳、李永杰、刘衡、钱昊、黄伟等，还要感谢电子工业出版社戴晨辰编辑的大力支持，以及其他工作人员的辛勤付出。由于作者水平所限，不妥之处在所难免，恳请广大网络安全专家、读者朋友批评指正。

作　者