1.2　網絡安全應急響應基本概念

網絡安全和信息化是一體之兩翼、驅動之雙輪。網絡安全已上升為國家戰略，并且成為網絡強國建設的核心。習近平總書記在2014年曾指出：沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。在 2018年全國網絡安全和信息化工作會議上，再次強調：沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。網絡安全問題不再是簡單的互聯網技術領域的安全問題，而是與經濟安全、社會安全息息相關，甚至關乎軍事、外交等國計民生的國家戰略問題。

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保證系統連續、可靠、正常運行，網絡服務不中斷。面對各種新奇怪異的病毒和不計其數的安全漏洞，建立有效的網絡安全應急體系并使之不斷完善，已成為信息化社會發展的必然需要。

網絡安全應急響應（以下簡稱“應急響應”，本書后續章節提到的“應急響應”均指“網絡安全應急響應”）是指針對已經發生或可能發生的安全事件進行監控、分析、協調、處理、保護資產安全。網絡安全應急響應主要是為了人們對網絡安全有所認識、有所準備，以便在遇到突發網絡安全事件時做到有序應對、妥善處理。

在發生確切的網絡安全事件時，應急響應實施人員應及時采取行動，限制事件擴散和影響的范圍，防范潛在的損失與破壞。實施人員應協助用戶檢查所有受影響的系統，在準確判斷安全事件原因的基礎上，提出基于安全事件的整體解決方案，排除系統安全風險，并協助追查事件來源，協助后續處置。

國家對網絡安全高度重視，且機構、企業面臨越來越多、越來越復雜的網絡安全問題，使得應急響應工作舉足輕重。應急響應工作主要包括以下兩方面。

第一，未雨綢繆，即在事件發生前先做好準備。例如，開展風險評估，制訂安全計劃，進行安全意識的培訓，以發布安全通告的方法進行預警，以及各種其他防范措施。

第二，亡羊補牢，即在事件發生后采取的響應措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自人，也可能來自系統。例如，在發現事件后，采取緊急措施，進行系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統恢復、調查與追蹤、入侵取證等一系統操作。

以上兩方面的工作是相互補充的。首先，事前的計劃和準備可為事件發生后的響應動作提供指導框架，否則，響應動作很可能陷入混亂，毫無章法的響應動作有可能引起更大的損失；其次，事后的響應可能會發現事前計劃的不足，從而使我們吸取教訓，進一步完善安全計劃。因此，這兩方面應該形成一種正反饋的機制，逐步強化組織的安全防范體系。網絡安全的應急響應需要機構、企業在實踐中從技術、管理、法律等多角度考慮，保證突發網絡安全事件應急處理有序、有效、有力，確保將涉事機構、企業的損失降到最低，同時威懾肇事者。網絡安全應急響應就是要求應急響應實施人員對網絡安全有清晰的認識，有所預估和準備，從而在發生突發網絡安全事件時，有序應對、妥善處理。