第3章
網絡安全應急響應實施的流程

根據應急響應的PDCERF模型可分為6個階段來處理，分別是準備（Preparation）、檢測（Detection）、遏制（Containment）、根除（Eradication）、恢復（Recovery）、跟蹤（Follow-up）。

1. 準備

這個階段以預防為主。主要工作涉及識別公司的風險，建立安全政策、協作體系和應急制度；按照安全政策配置安全設備和軟件，為應急響應與恢復準備主機；通過網絡安全措施為網絡進行一些準備工作，如掃描、風險分析、打補丁，在有條件且得到許可時，建立監控設施、數據匯總分析體系的能力；制定能夠實現應急響應目標的策略和規程，建立信息溝通渠道和通報機制；創建能夠使用的響應工作包；建立能夠集合起來處理突發事件的應急響應小組。

2. 檢測

檢測事件是已經發生還是在進行中，以及事件產生的原因和性質。確定事件的性質和影響的嚴重程度，預計采用什么樣的專用資源來修復。選擇檢測工具，分析異?，F象，提高系統或網絡行為的監控級別，估計安全事件的范圍。通過匯總確定是否發生了全網的大規模事件；確定應急等級，以決定啟動哪一級應急方案。

3. 遏制

及時采取行動遏制事件發展。通過初步分析，重點確定遏制的方法，如隔離網絡，修改所有防火墻和路由器的過濾規則，刪除攻擊者的登錄賬號，關閉被利用的服務器或關閉主機等；咨詢安全政策；確定進一步操作的風險，以控制損失；列出若干選項，并說明各自的風險，由服務對象來做決定。確保封鎖方法對各網業務影響最??；通過協調爭取各網的一致行動，實施隔離；匯總數據估算損失和隔離效果。

4. 根除

徹底解決問題隱患。分析原因和漏洞；進行安全加固；改進安全策略，公布危害性和解決辦法，呼吁用戶解決終端問題；加強檢測工作，發現和清理行業與重點部門的問題。

5. 恢復

用備份恢復被攻擊的系統。做一個新的備份，對所有安全上的變更做備份；服務重新上線并持續監控進行匯總分析，了解各網的運行情況；根據各網的運行情況判斷隔離措施的有效性；通過匯總分析的結果判斷仍然受影響的終端規模；發現重要用戶及時通報解決；在適當的時候解除封鎖措施。

6. 跟蹤

關注系統恢復后的安全狀況，特別是曾經出現問題的地方；建立跟蹤文檔，規范記錄跟蹤結果；對響應效果給出評估；對進入司法程序的事件做進一步調查，以打擊違法犯罪的活動。