前言

2016年，由六部门联合发布的《关于加强网络安全学科建设和人才培养的意见》指出：“网络空间的竞争，归根结底是人才竞争。从总体上看，我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题，与维护国家网络安全、建设网络强国的要求不相适应”。

网络安全人才的培养是一项十分艰巨的任务，主要原因一是网络安全的涉及面非常广，包括密码学、数学、计算机、通信工程、信息工程等多门学科，因此，其知识体系庞杂，难以梳理；二是网络安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。

奇安信科技集团股份有限公司（以下简称奇安信）凭借多年网络安全人才培养的经验，以及对行业发展的理解，基于国家的网络空间安全战略，围绕企业用户的网络安全人才需求，设计和建设了网络安全人才的培训、注册和能力评估体系—“奇安信网络安全工程师认证体系”（见下图）。

奇安信网络安全工程师认证体系包括三个方向和三个层级，其中三个方向分别是基于安全产品解决方案的产品支持方向、基于客户安全运营人才需求的安全运营方向和基于攻防体系的安全攻防方向。三个层级分别是奇安信认证网络安全助理工程师（Qianxin Certified Cybersecurity Associate，QCCA）、奇安信认证网络安全工程师（Qianxin Certified Cybersecurity Professional，QCCP）和奇安信认证网络安全专家（Qianxin Certified Cybersecurity Expert，QCCE）。该体系覆盖网络空间安全的各个技术领域，务求实现对应用型网络安全人才能力的全面培养。

基于“奇安信网络安全工程师认证体系”，奇安信组织专家团队编写了“奇安信认证网络安全工程师系列丛书”。本书是该系列丛书之一，主要分为3篇介绍网络安全的应急响应技术，其结构安排如下。

第0章　网络安全应急响应概引。

通过还原三个真实事件的应急响应案例，带大家感受网络安全应急响应的重要性。第一个是某金融机构由于外包开发人员的计算机感染了病毒，导致病毒迅速在内网传播，在相关部门的配合下，最终予以解决的案例。第二个是某政府单位网站被入侵，由网络安全公司联系该政府单位进行应急响应处置的案例。第三个是某税务机构门户网站被篡改，同时在某论坛进行舆论传播，在多个部门的相互配合下，最终予以解决的案例。

第1篇　网络安全应急响应概述。

第1章网络安全应急响应的基本概念，介绍了国家级应急响应和网络安全应急响应的区别。第2章网络安全事件的分类和分级，通过参考GB/T 20986—2007《信息安全事件分类分级指南》，对安全事件的分类和分级进行了概要汇总。第3章网络安全应急响应实施的流程，简述了PDCERF模型。

第2篇　网络安全应急响应技术。

第4章安全攻防技术，梳理了Web安全和网络渗透的知识技能树，可作为应急响应前置技术的知识储备。第5章日志分析技术，介绍了Web日志、操作系统日志、网络及安全设备日志的分析技术。第6章网络流量分析技术，介绍了Netflow流量分析和全流量分析的方法。第7章恶意代码分析技术，介绍了恶意代码的相关概念、Windows恶意代码的排查和Linux恶意代码的排查，以及Webshell恶意代码的排查。第8章终端检测与响应技术，介绍了终端检测与EDR，并补充了在Windows终端和Linux终端检测的其他内容。第9章电子数据取证技术，介绍了电子数据取证和应急响应的关系、易失性信息提取技术、内存镜像技术和磁盘复制技术。

第3篇　网络安全应急响应实战。

第10章Web安全应急响应案例实战分析，介绍了网站页面篡改、搜索引擎劫持篡改、OS劫持篡改、运营商劫持篡改的案例分析。第11章Windows应急响应案例实战分析，介绍了Lib32wati蠕虫病毒、勒索病毒的应急处置案例分析。第12章Linux应急响应案例实战分析，介绍了Linux中恶意样本取证、服务器入侵、Rootkit内核级后门、挖矿木马的应急处置案例分析。第13章网络攻击应急响应案例实战分析，介绍了网络ARP攻击、僵尸网络和网络故障应急事件处置的案例分析。

本书的内容大多是作者在日常工作中的经验总结和案例分享，水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。微信号：xxfocus；邮件地址：16678308@qq.com。

李江涛
2020年6月