4.7　分场景的事件响应指南编写案例

随着组织的运营，CSO可以将一些组织经常遇到的网络安全事件，编写为事件响应指南或标准操作手册，让原本需要反馈到高层才能做出的决策，下放到基层，只要评判事件特征是否符合标准就可以快速反应。这样一来，就可以大大缩短事件处置所需的时间。常见的常规事件响应指南包括病毒传播事件、网站页面被篡改、常用系统故障或宕机、外部网络入侵告警、机房或物理设备故障等。

4.7.1　病毒传播事件

设备中毒是组织中最常见的网络安全事件，针对设备中毒导致的安全事件，可以制定通用的事件响应指南，以指导处理常规中毒事件。

表4-3是某企业病毒事件的响应指南，该指南设计的场景是“部分计算机感染病毒，造成局域网运行缓慢或堵塞，导致办公无法正常进行”，基于此设计了120分钟内恢复网络的各部门协调操作指南。

4.7.2　网站页面被篡改

网站网页被篡改也是常见的网络安全事件，此类事件可能导致企业名誉、品牌的损失，同样可以通过制定网站事故的响应指南，来加速对此类事件的处置。

表4-4是某企业网站事故响应指南，该指南设计的场景是“网站被恶意攻击，出现非法内容或出现技术故障等”，基于此设计了30分钟内隔断网站网络的操作指南。

4.7.3　常用系统故障或宕机

企业内部信息系统发生故障或宕机也是典型的网络安全事件，对于可用性要求不高的系统，同样可以制定事故的响应指南，以规范具体的操作流程，实现快速恢复。而对可用性要求极高的信息系统则需要考虑建立应急预案，通过应急预案来实现高可用备份系统的切换。

表4-5是某企业OA系统的故障响应指南，该指南设计的场景是“由于OA系统主机硬件，如主板、硬盘、内存、CPU、网卡等损坏，致使系统无法正常使用”，基于此设计了备份恢复的操作机制。

4.7.4　外部网络入侵告警

黑客入侵、入侵检测系统报警也是常见的网络安全事件，可以建立响应指南来规范相关事件的处理。

表4-6是某企业防火墙遭入侵时的响应指南，该指南设计的场景是“防火墙实时监控系统侦测到外网地址主机对内网地址主机进行高危行为入侵”，基于此设计了快速发现和阻断的操作指南。

4.7.5　机房设备故障

机房设备故障导致系统故障是常见的网络安全事件情况，表4-7是某企业机房UPS故障的响应指南，该指南设计的场景是“机房因大楼UPS交流输入故障导致中断”，基于此设计了如何处理的操作指南。

以上场景示例详细说明了故障场景、处置方式、人员责任、时间要求等要素，通过明确这些要求，可以将原来需要三线网络安全事件领导小组决策的内容，转由二线或一线负责人直接判断和启动，节省了事件处置的时间。

除了以上场景，CSO还可以对硬件与软件的盗取、系统管理员口令被窃取、在PC上发现间谍软件和木马软件、来自媒体的虚假消息和诽谤消息、信息泄密、司法取证调查等场景设计网络安全事件响应指南。