网络安全学习——应急响应

1.应急响应

应急响应（Emergency Response）,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后采取的措施。简单来说，就是遇到攻击者的攻击时，应对对方的攻击，你怎样去处理。

2.应急响应流程

准备阶段 ——>启动阶段 ——>抑制阶段 ——>根除阶段 ——>恢复阶段 ——>跟进阶段

准备阶段：一是对信息系统进行初始化的快照。二是准备应急响应工具包。

检测阶段：第一步；系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常(日志、进程、操作系统是否有病毒等)。第二步：发现异常情况后，形成安全事件报告。第三步：安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。第四步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。第五步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。此阶段工作中应注意：第三方安全事件应急服务人员仅应在必要时参加制定应急处理方案应包含实施方案失败的应变和回退措施抑制阶段抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断、转移安全攻击。

抑制阶段：主要是针对前面检测阶段发现的攻击特征，比如攻击利用的端口，服务，攻击源，攻击利用系统漏洞等，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。抑制阶段的风险是可能对正常业务造成影响，如在系统中了蠕虫后要拔掉网线，遭到DOS攻击时会在网络设备上做一些安全配置，由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟，所以在采取抑制措施时，必须充分考虑风险。根除阶段根除阶段是在抑制的基础上&#x