首先从三个方面讨论了应急响应的概念，然后给出了应急响应在网络安全的生命周期模型中的位置以及和其他各种安全措施的关系及其意义。

　　1.1应急响应概念

　　应急响应的开始是因为有“事件”发生。所谓“事件”或“安全事件”指的是那些影响计算机系统和网络安全的不当行为。网络安全事件造成的损失往往是巨大的，而且往往是在很短的时间内造成的。因此，应对网络事件的关键是速度与效率。应急响应技术在“事件”方面的内容包括事件分类、事件描述和事件报告等。

　　所谓应急响应即通常指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。在本文中，网络安全事件的应急响应指的是应急响应组织根据事先对各种可能情况的准备，在网络安全事件发生后，尽响应、处理、恢复、跟踪的方法及过程。下面依次简述应急响应的对象、作用、行为和必要性。

　　1.1.1应急响应的对象

　　本文中网络安全事件应急响应的对象泛指针对计算机和网络所处理的信息的所有安全事件，事件的主体可能来自自然界，人、故障或病毒与蠕虫等。除了传统的针对保密性、完整性和可用性的分类外，应急响应的对象广义上还包括扫描等所有违反安全政策的事件，它们也称为应急响应的客体。一般的应急响应过程中会出现至少三种角色：事件发起者、事件受害者和进行应急响应的人员。我们将他们简称为“入侵者”、“受害者‘和”响应者“。入侵者泛指一切造成事件发生的角色。受害者是承受事件的一方，在事件中也是保护的对象。响应者有可能是与受害者同属一个实体晚；但更多情况下，响应者来自专业的响应组织。

　　1.1.2应急响应的作用和行为

　　应急响应的作用主要表现在事先的充分准备和事件发生后采取的措施两个方面的作用。

　　一方面是事先的充分准备。这方面在管理上包括安全培训、制订安全政策和应急预案以及风险分析等，技术上则要增加系统安全性，如备份、打补丁了，升级系统与软件，有条件的可以安装防火墙，入侵检测工具（IDS）和杀毒工具等。

　　另一方面事件发生后的采取的抑制、根除和恢复等措施。其目的在于尽可能的减少损失或尽快恢复正常运行。如收集系统特征，检测病毒、后门等恶意代码，隔离、限制或关闭网络服务，系统恢复，反击，跟踪总结等活动。

　　以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失。其次，事后的响应可能发现事前计划的不足，吸取教训。从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

　　1.1.3应急响应的必要性

　　应该注意到，应急响应是一种被动性的安全体系。它是持续运行井由一定条件触发的体系。与此相反，加密、认证等行为则具有更多的卞动性。那么为什么业界要对这种被动性的体系投入越来越多的精力呢？

　　首先，发生过的安全事件已经造成惊人的损失井显示出巨大的危害性。而且随着系统和软件的功能越来越强大，它们也变得越来越复杂，再加上软件行业的不规范与整体的发展滞后，这些遗憾造成了目前软件系统漏洞百出的现状。同时，网络发展日新月异，带宽迅速增加。这为恶意代码的传播和肆虐创造了便利条件，人们可以随意下载攻击工具，蠕虫的影响也可以更快的显现。但与此对应的是，人们一直所期待的”入侵检侧系统“（IDS）还远没有设想的成功。虽然现在的IDS工具已经在网络安全实践中发挥着重要的作用，然而到目前为止，IDS的实现与运行原理中仍然存在着若干不现实性，这限制了IDS从设想到实现的脚步，漏报、误报一直是IDS所无法克服的问题，从某种意义上讲”今夭的入侵检测工具离完善还很大的距离“。而且在安全管理的角度上考虑，井非所有的实体都有足够的实力进行安全的网络管理。因此，作为补救性的应急响应是必不可少的。另外，从法律上讲，应急响应是将安全事件诉诸法律的必要途径。

　　1.2应急晌应与安全生命周期

　　有学者认为，计算机信息安全实践中必须包括应急响应。我们把计算机信息系统的安全系统看作一个动态的过程，它包括制定风险评估，实施事前的预防措施，实施事中的检测措施，以及事后的响应。这四个阶段形成了一个周期。其中，风险分析产生安全政策，安全政策决定预防、检测、和响应措施。应急响应在这个模型中，不仅仅是预防和检测措施的必要补充，而且可以发现安全政策的漏洞，重新进行风险评估、修订安全政策、加强或调整预防、检测和响应措施。

　　这个生命周期全面、实际地概括了网络安全体系。可以看出，应急响应是不能独立于其他技术之外地。相反，它对整个网络安全体系地依赖性很强。因此，应急响应必须放在这个网络安全体系中研究，作为其中重要的一环。

　　1.3应急响应的关健技术

　　应急响应技术是一门综合性的技术，几乎与网络安全学科内所有的技术有关。

　　以下仅简单提出一些公认的与应急响应密切相关的关键技术。

　　1.3.1入侵检测

　　应急响应由事件触发，而事件的发现主要依靠检测手段，入侵检测技米则是目前最主要的检测手段。由系统自动完成的检测则称为入侵检测系统（IDS）。目前比较热的焦点之一是自动入侵响应，它赋与IDS系统自动响应的能力。但也有学者认为，”由于检测技术并不成熟，在实际环境中使用这些自动响应技术是相当危险的“。

　　1.3.2事件隔离与快速恢复

　　对于安全性、保密性要求特别高的环境，在检侧与收集信息的基础上，尤其是确定了事件类型和攻击源之后，一般应该及时隔离攻击源，这是制止事件影响进一步恶化的有效措施。

　　另一方面，对于对外提供不可中断服务的环境，如移动运营商的运营平台、门户网站等，应急响应过程就应该侧重考虑尽快恢复系统的正常运行，或是最小限度的正常的运行。这其中可能涉及事件优先级认定、完整性检测和域名切换等技术。

　　1.3.3网络追踪和定位

　　即确定攻击者的网络地址以及辗转攻击的路径，由于攻击发起者可能经过了多台主机才对受害者发起间接的攻击，因此在现在的TCP/IP网络基础设备之上网络迫踪和定位是相当困难的。

　　1.3.4取证技术

　　取证是一门针对不同情况要求灵活处理的技术，它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行伏态，对人的要求十分的高（这一点与应急响应本身的情况类似）。目前主要的取证对象是各种日志的审计，但并不是绝对的，取证可能来自任何一点蛛丝马迹。

　　但是在目前的情况下，海量的日志信息为取证造成的麻烦越来越大。

　　上述四个关键技术也是应急响应技术中的难点，尤其是在目前网络芯片处理水平、软件复杂度和高速网络日新月异的情况下，它们的难度不断的在加大，也越来越有挑战性。

　　2应急响应规程

　　为了能够合理、有序地处理安全事件，笔者采用最经典即被广为接受的PDCERF方法学，将应急响应分成准备、检测，抑制、根除、恢复、总结等六个阶段的工作。并根据响应政策对每个阶段定义适当的目的，明确响应顺序和过怪。在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源井彻底根除；然后就该着手系统恢复，恢复的目的是把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。其中主要的响应步骤是：抑制、根除和恢复。抑制是一种过渡或者暂时性的措施，实质性的响应应该是根除和恢复。根除事件的根源，需要分析并找出导致安全事件的系统漏洞，从而杜绝类似事件的再次发生。而系统恢复，则需要从事件结果的角度对系统受影响的程度进行分析，进而将系统恢复到正常状态。通过对攻击技术进行分类将有利于在响应过程中采取有效的抑制措施。通过发现和分析导致安全事件发生的系统漏洞，可以有效地执行系统响应过程中根除阶段的措施。应急响应规程中的这六个阶段是循环的，每一个阶段都是在为下一个阶段做准备。

　　3应急响应组的创建与管理

　　对于保障信息系统的安全来说，不存在单一的解决方案，而需要一种多层次的安全策略。在这些安全层次当中，现在正被很多组织纳入其安全策略的就是建立计算机安全事件应急响应小组。

　　应急响应组的创建和管理对事件响应工作是非常重要的，许多事件响应工作的失败就是因为在创建和管理应急响应组方面存在问题。有了事件响应组，响应组中的成员就更容易协调响应工作，因为他们通常向响应组领导报告，在领导的指挥下参与特定的响应活动。在事件响应过程中，事件响应的经验，策略的运用和应该遵循的过程等比纯粹的响应技术更重要，响应组更加适合进行经验的交流。一个响应组更有实力开发并遵循事件响应规程。而按照响应规程处理事件就可以提高响应的效率。应急响应组比个人更加适合于和别的组织联络和交流，事件响应组最根本的需求就是为所属的客户提供事件响应服务。因此，应急响应组必须明确自己的政策、功能与角色。明确服务的对象并与之保持联系，在此基础上制订适合的政策，建立事件报告渠道、应急响应流程和应急通信机制。应急响应组至少都有协调能力、专业知识、响应效率、先期主动防御能力、适应需求、联络能力和处理制度障碍能力上的优势。

　　4具体应急响应措施

　　4.1入侵事件晌应策略的建立

　　4.1.1响应行为的文档化

　　明确应急什划和响应策胳，应急什划中应包括了生异常事件（如系统瘫痪或涉密信息的失窃等）应急响应的基本步骤、基本处理方法和汇报流程。应制定能够确保应急计划和响应策略正确实施的规章制度。

　　4.1.2配置冗余策略的文档化

　　如果关键机器在入侵中被入侵。有备份设备就位就可以很快地恢复服务，同时，在被入侵的机器上保留所有证据以便子进行分析。审查事件的整个发生和处理过程，记录所有涉及执行此过程的员工的角色、责任和职权。

　　4.1.3日常培训应急响应人员

　　就响应策略和过程，创建井执行周期性的培训。在培训过程中，用户应该掌握需要采取什么行为来报告怀疑为入侵的事件，包括由谁来报告事件、如何报告事件以及需要报告的信息。基于他们的角色和责任。熟悉事件处理的各种工具的使用以及环境。

　　4.2事件晌应的准备工作

　　选择，安装和熟悉那些响应过程中的协助下具及有助于收集和维护与入侵相关数据。

　　为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始的可靠的启动盘（或CD-ROMs）使机器以己知的预先设定的配置重新启动，这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

　　为了防止不可预期的变化，在试验机器上安装可信任版本的系统，并比较文件（可信的同可能修改过的已经安装了的比较；为了避免有意或无意的破坏，所有的介质应该处于硬件写保护状态。

　　建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。

　　建立资源工具包并准备相关硬件设备资源工具包将包含在响应过程中可能要使用的所有工具。这类工具的例子包括那些进行备份和恢复备份，比较文件，建立和比较密码校验和，给系统”照快照“，审查系统配置，列出服务和过程，跟踪攻击站点的路径和它们的ISP等的工具。

　　确保测试系统正确配置且可用在任何分析或侧试中使用被入侵的系统都可能导致这些系统进一步的暴露和损害。已被入侵的系统产生的任何结果都是不可韶的。此外，采用这样的系统或许会由于恶意程序而暴露你正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中，并且部署新安装的打过补丁的安全的系统，以便继续运行。在完成分析后，清除所有的磁盘，这样可以确保任何残留文件或恶意程序不影响将来的分析，或任何正在测试系统上进行的工作，或是无意中被传到其他运行系统中。这在翻试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果，以备将来进一步的分析。

　　4.3分析所有可能得到的信息来确定入健行为的特征

　　一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵，需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹，进一步破坏你准备拯救的系统。这会使分析无法进行下去。

　　备份被入侵的系统，”隔离“被入侵的系统，进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志，确定攻击者的入侵路径和方法，确定入侵者进入系统后都做了什么。

　　4.4 向所有需要知道入住和入侵进展情况的信息化领导小组通报

　　适时通知并同入侵响应中的关键角色保持联系以便他们履行自己的职责。入侵响应需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数是和类型，通知什么人。

　　4.5收集和保护与入但相关的资料

　　收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据。

　　4.6消除入侵所有路径

　　改变全部可能受到攻击的系统的口令、重新设里被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序（包括应用服务）和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露捏度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

　　4.7恢复系统正常操作

　　确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者又回来的信号。

　　4.8跟踪总结

　　总之，信息安全应急响应体系应该从以下几个方面来更加完善，统一规范事件报告格式，建立及时堆确的安全事件上报体系，在分类的基础上，进一步研究针对各类安全事件的响应对策，从而建立一个应急决策专家系统，建立网络安全事件数据库，这项工作对于事件响应过程的最后一个阶段一总结阶段，具有重要意义。