網路安全應急響應

　　“應急響應”對應的英文是“Incident Response”或“Emergency Response”等，通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生後所採取的措施。

　　的物件:

　　計算機網路安全事件應急響應的物件是指標對計算機或網路所儲存、傳輸、處理的資訊的安全事件，事件的主體可能來自自然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。按照計算機資訊系統安全的三個目標，可以把安全事件定義為破壞資訊或資訊處理系統CIA的行為。比如：

　　1.破壞保密性的安全事件：比如入侵系統並讀取資訊、搭線竊聽、遠端探測網路拓撲結構和計算機系統配置等;

　　2.破壞完整性的安全事件：比如入侵系統並篡改資料、劫持網路連線並篡改或插入資料、安裝特洛伊木馬***如BackOrifice2K***、計算機病毒***修改檔案或引導區***等;

　　3.破壞可用性***戰時最可能出現的網路攻擊***的安全事件：比如系統故障、拒絕服務攻擊、計算機蠕蟲***以消耗系統資源或網路頻寬為目的***等。但是越來越多的人意識到，CIA界定的範圍太小了，比如以下事件通常也是應急響應的物件：

　　4.掃描：包括地址掃描和埠掃描等，為了侵入系統尋找系統漏洞。

　　5.抵賴：指一個實體否認自己曾經執行過的某種操作，比如在電子商務中交易方之一否認自己曾經定購過某種商品，或者商家否認自己曾經接受過訂單。

　　6.垃圾郵件騷擾：垃圾郵件是指接收者沒有訂閱卻被強行塞入信箱的廣告、政治宣傳等郵件，不僅耗費大量的網路與儲存資源，也浪費了接收者的時間。

　　7.傳播色情內容：儘管不同的地區和國家政策不同，但是多數國家對於色情資訊的傳播是限制的，特別是對於青少年兒童的不良影響是各國都極力反對的。

　　8.愚弄和欺詐：是指散發虛假資訊造成的事件，比如曾經發生過幾個組織釋出應急通告，聲稱出現了一種可怕的病毒“Virtual Card for You”，導致大量驚惶失措的使用者刪除了硬碟中很重要的資料，導致系統無法啟動。

　　應急響應的活動應該主要包括兩個方面：

　　第一、未雨綢繆，即在事件發生前事先做好準備，比如風險評估、制定安全計劃、安全意識的培訓、以釋出安全通告的方式進行的預警、以及各種防範措施;

　　第二、亡羊補牢，即在事件發生後採取的措施，其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人，也可能來自系統，不如發現事件發生後，系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。

　　以上兩個方面的工作是相互補充的。首先，事前的計劃和準備為事件發生後的響應動作提供了指導框架，否則，響應動作將陷入混亂，而這些毫無章法的響應動作有可能造成比事件本身更大的損失;其次，事後的響應可能發現事前計劃的不足，吸取教訓，從而進一步完善安全計劃。因此，這兩個方面應該形成一種正反饋的機制，逐步強化組織的安全防範體系。