网络安全应急响应

应急响应

应急响应是运维管理服务中的一个内容，它主要包含了以下两个方面
未雨绸缪和亡羊补牢
它们分别是指在事件发生前所做的准备，以及在事件发生后所采取的措施，这两个方面的工作是相互补充的，事前的计划为事件发生后的响应动作提供了指导框架，以至于事件发生后能够有条不紊的进行，而不会造成更大的损失；
事后的响应可能也会发现事前计划的不足，吸取教训，从而进一步完善安全计划。
这两个方面形成了一种正反馈的机制，逐步强化组织的安全防范体系。

应急响应步骤

应急响应分为了六个阶段分别是：
准备阶段–>检测阶段–>抑制阶段–>根除阶段–>恢复阶段–>总结阶段

首先是准备阶段，这个阶段分为三个部分，第一个部分人力资源应急准备，这一部分是组建管理人员团队和技术人员团队，之后明确各个人员的职责，并制作出相应的应急规划；第二个部分是工具设备应急准备，准备可能用到的软硬件工具、进行应急响应的专项资金与社会关系资源；第三个部分是安全资料应急准备，通常需要准备网络拓扑图、信息系统以及设备安全配置文档与常见问题处理手册。准备阶段是应急响应最为重要的一个阶段，为后面的阶段进行了一个有效的分工，确保了应急工作能够有条不紊而又迅速的进行。

第二个阶段是检测阶段，这个阶段的的目的是，确认入侵事件是否发生，如果真的发生了入侵事件评估造成的危害、范围以及发展的速度，然后判读是一般事件还是应急事件，如果是一般事件就通过准备阶段的常见问题手册进行处理，如果是应急事件则判断事件会不会进一步升级，然后根据评估结果通知相关的人员进入应急的流程，也就是启动应急预案。检测阶段也是分为三个部分，日常运维监控，事件判断以及事件上报。

第三个阶段是抑制阶段，这一个阶段也有三个部分，首先是控制事件蔓延，采取有效的措施防止事件进一步扩大、尽可能减少负面影响，然后是抑制响应，主要是采取常规的技术手段处理应急事件，尝试快速修复系统，消除应急事件带来的影响，抑制监测，主要是确认当前的抑制手段是否有效，分析应急事件发生的原因，为根除阶段提供解决方案。

第四个阶段就是根除阶段，同样是分为三个部分，首先通过抑制阶段提供的解决方案，明确根除方案和补救措施，根据实施方案进行安全事件根除，然后根据事件根除部分的执行情况，确认方案的实施是否有效，然后试着恢复信息系统的正常运行，最后当应急处置成功后对应急事件持续监测，确认应急事件已经根除，最后信息系统运行恢复到正常状态。

第五个阶段就是恢复阶段，将受影响的对象还原到它们正常的工作状态。

第六个阶段是总结阶段，需要整理一份详细的事件总结报告，包括事件发生各个部门介入处理的时间，事件可能造成的损失，再根据经验教训进一步优化安全策略。