網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

　　“應(yīng)急響應(yīng)”對應(yīng)的英文是“Incident Response”或“Emergency Response”等，通常是指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。

　　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的對象:

　　計算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的對象是指針對計算機(jī)或網(wǎng)絡(luò)所存儲、傳輸、處理的信息的安全事件，事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計算機(jī)病毒或蠕蟲等。按照計算機(jī)信息系統(tǒng)安全的三個目標(biāo)，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為。比如：

　　1.破壞保密性的安全事件：比如入侵系統(tǒng)并讀取信息、搭線竊聽、遠(yuǎn)程探測網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和計算機(jī)系統(tǒng)配置等;

　　2.破壞完整性的安全事件：比如入侵系統(tǒng)并篡改數(shù)據(jù)、劫持網(wǎng)絡(luò)連接并篡改或插入數(shù)據(jù)、安裝特洛伊木馬(如BackOrifice2K)、計算機(jī)病毒(修改文件或引導(dǎo)區(qū))等;

　　3.破壞可用性(戰(zhàn)時最可能出現(xiàn)的網(wǎng)絡(luò)攻擊)的安全事件：比如系統(tǒng)故障、拒絕服務(wù)攻擊、計算機(jī)蠕蟲(以消耗系統(tǒng)資源或網(wǎng)絡(luò)帶寬為目的)等。但是越來越多的人意識到，CIA界定的范圍太小了，比如以下事件通常也是應(yīng)急響應(yīng)的對象：

　　4.掃描：包括地址掃描和端口掃描等，為了侵入系統(tǒng)尋找系統(tǒng)漏洞。

　　5.抵賴：指一個實(shí)體否認(rèn)自己曾經(jīng)執(zhí)行過的某種操作，比如在電子商務(wù)中交易方之一否認(rèn)自己曾經(jīng)定購過某種商品，或者商家否認(rèn)自己曾經(jīng)接受過訂單。

　　6.垃圾郵件騷擾：垃圾郵件是指接收者沒有訂閱卻被強(qiáng)行塞入信箱的廣告、政治宣傳等郵件，不僅耗費(fèi)大量的網(wǎng)絡(luò)與存儲資源，也浪費(fèi)了接收者的時間。

　　7.傳播色情內(nèi)容：盡管不同的地區(qū)和國家政策不同，但是多數(shù)國家對于色情信息的傳播是限制的，特別是對于青少年兒童的不良影響是各國都極力反對的。

　　8.愚弄和欺詐：是指散發(fā)虛假信息造成的事件，比如曾經(jīng)發(fā)生過幾個組織發(fā)布應(yīng)急通告，聲稱出現(xiàn)了一種可怕的病毒“Virtual Card for You”，導(dǎo)致大量驚惶失措的用戶刪除了硬盤中很重要的數(shù)據(jù)，導(dǎo)致系統(tǒng)無法啟動。

　　應(yīng)急響應(yīng)的活動應(yīng)該主要包括兩個方面：

　　第一、未雨綢繆，即在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險評估、制定安全計劃、安全意識的培訓(xùn)、以發(fā)布安全通告的方式進(jìn)行的預(yù)警、以及各種防范措施;

　　第二、亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統(tǒng)，不如發(fā)現(xiàn)事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

　　以上兩個方面的工作是相互補(bǔ)充的。首先，事前的計劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動作提供了指導(dǎo)框架，否則，響應(yīng)動作將陷入混亂，而這些毫無章法的響應(yīng)動作有可能造成比事件本身更大的損失;其次，事后的響應(yīng)可能發(fā)現(xiàn)事前計劃的不足，吸取教訓(xùn)，從而進(jìn)一步完善安全計劃。因此，這兩個方面應(yīng)該形成一種正反饋的機(jī)制，逐步強(qiáng)化組織的安全防范體系。