应急响应

目录

概述

1）准备阶段

2）检测阶段

3）抑制阶段

4）根除阶段

5）恢复阶段

6）总结阶段

PDCERF方法最早于1987年提出，该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的，明确响应顺序和过程。但是，PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中，不一定严格存在这6个阶段，也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。

准备 —— 检测 —— 抑制 ——  根除 ——  恢复 —— 总结

准备阶段以预防为主。主要工作涉及识别机构、企业的风险，建立安全政策，建立协作体系和应急制度。按照安全政策配置安全设备和软件，为应急响应与恢复准备主机。依照网络安全措施，进行一些准备工作，例如，扫描、风险分析、打补丁等。如有条件且得到许可，可建立监控设施，建立数据汇总分析体系，制定能够实现应急响应目标的策略和规程，建立信息沟通渠道，建立能够集合起来处理突发事件的体系。

检测阶段主要检测事件是已经发生的还是正在进行中的，以及事件产生的原因。确定事件性质和影响的严重程度，以及预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总，查看是否发生了全网的大规模事件，从而确定应急等级及其对应的应急方案。

一般典型的事故现象包括：

（1）账号被盗用；

（2）骚扰性的垃圾信息；

（3）业务服务功能失效；

（4）业务内容被明显篡改；

（5）系统崩溃、资源不足。

抑制阶段的主要任务是限制攻击/破坏波及的范围，同时也是在降低潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上的，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。

抑制策略通常包含以下内容：

（1）完全关闭所有系统；

（2）从网络上断开主机或断开部分网络；

（3）修改所有的防火墙和路由器的过滤规则；

（4）封锁或删除被攻击的登录账号；

（5）加强对系统或网络行为的监控；

（6）设置诱饵服务器进一步获取事件信息；

（7）关闭受攻击的系统或其他相关系统的部分服务。

根除阶段的主要任务是通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统，引发安全事件。并加强宣传，公布危害性和解决办法，呼吁用户解决终端问题。加强监测工作，发现和清理行业与重点部门问题。

恢复阶段的主要任务是把被破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表，从可信的备份介质中恢复用户数据，打开系统和应用服务，恢复系统网络连接，验证恢复系统，观察其他的扫描，探测可能表示入侵者再次侵袭的信号。一般来说，要想成功地恢复被破坏的系统，需要干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。

总结阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练，以防止入侵的再次发生。基于入侵的严重性和影响，确定是否进行新的风险分析，给系统和网络资产制作一个新的目录清单。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

总结阶段的工作主要包括以下3方面的内容：

（1）形成事件处理的最终报告；

（2）检查应急响应过程中存在的问题，重新评估和修改事件响应过程；

（3）评估应急响应人员相互沟通在事件处理上存在的缺陷，以促进事后进行更有针对性的培训。