网络安全之应急响应

随着网络威胁形式的多样化和复杂化以及面临APT攻击的挑战，新一代威胁不仅传播速度更快，其所利用的攻击面也越来越宽广，可以覆盖移动、桌面、网络、Web和各种应用、社交网络等。

应急响应是网络安全工作中最重要的环节，因为安全不是一个静止的“状态”，而是一个动态的过程，应急响应就是为了应对这个动态的过程而做的一系列动作和措施。

《国家网络安全事件应急预案》中，将网络安全事件定义为“由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件”。而应急响应工作就是针对网络安全事件进行应急处置，保证相关业务的连续性和可用性，同时将攻击带来的破坏程度降到最低。

通常一个完善的应急响应流程包含如下三个阶段：

事前准备阶段——主要是评估风险、制定策略、拟定应急预案、演习并培训。降低安全事件发生的可能。

主要包括以下几项内容：

● 制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势的合理防御措施；

● 制定预警与报警的方式流程，建立一组尽可能高效的事件处理程序；

● 建立备份的体系和流程，按照相关网络安全政策配置安全设备和软件；

● 建立一个支持事件响应活动的基础设施，获得处理问题必备的资源和人员，进行相关的安全培训，可以进行应急反映事件处理的预演方案；

事中应急处置阶段——通过各种途径（安全监测、信息共享、第三方通报等）获知安全事件，并依照制定的预案对事件进行处理，降低事件带来的风险并尽快恢复正常业务。

主要包括以下几项内容：

● 收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据；

● 确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务；

● 通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中断；

● 清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

事后总结阶段——总结经验，调整安全策略，并对策略进行验证，以防止安全事件再次发生。持续监测评估攻击事件带来的后续风险。

最后是报告的撰写：

● 应急响应报告要客观描述存在的问题以及安全需求。

● 描述分析过程，确保结论有据可查，配以截图等形式来展示，提出有效的安全建议以便进行整改加固，预防再次发生安全事件。

应急响应分远程应急响应和本地应急响应两种形式：

应急响应服务方式可以是7*24小时远程支持或现场支持。远程支持可以采用电话、传真、E－MAIL，远程加密登录等手段。

第一时间一般会采取远程应急响应支持，查看具体情况（市内客户可选择本地应急响应支持），当远程支持无法解决问题时，将派遣专业的应急响应服务人员在第一时间到达客户所在地提供现场服务。

当入侵或者破坏发生时，对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作；然后再对入侵者进行追查。