網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

　　“應(yīng)急響應(yīng)”對(duì)應(yīng)的英文是“Incident Response”或“Emergency Response”等，通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。

　　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的對(duì)象:

　　計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)所存儲(chǔ)、傳輸、處理的信息的安全事件，事件的主體可能來(lái)自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計(jì)算機(jī)病毒或蠕蟲(chóng)等。按照計(jì)算機(jī)信息系統(tǒng)安全的三個(gè)目標(biāo)，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為。比如：

　　1.破壞保密性的安全事件：比如入侵系統(tǒng)并讀取信息、搭線竊聽(tīng)、遠(yuǎn)程探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和計(jì)算機(jī)系統(tǒng)配置等;

　　2.破壞完整性的安全事件：比如入侵系統(tǒng)并篡改數(shù)據(jù)、劫持網(wǎng)絡(luò)連接并篡改或插入數(shù)據(jù)、安裝特洛伊木馬(如BackOrifice2K)、計(jì)算機(jī)病毒(修改文件或引導(dǎo)區(qū))等;

　　3.破壞可用性(戰(zhàn)時(shí)最可能出現(xiàn)的網(wǎng)絡(luò)攻擊)的安全事件：比如系統(tǒng)故障、拒絕服務(wù)攻擊、計(jì)算機(jī)蠕蟲(chóng)(以消耗系統(tǒng)資源或網(wǎng)絡(luò)帶寬為目的)等。但是越來(lái)越多的人意識(shí)到，CIA界定的范圍太小了，比如以下事件通常也是應(yīng)急響應(yīng)的對(duì)象：

　　4.掃描：包括地址掃描和端口掃描等，為了侵入系統(tǒng)尋找系統(tǒng)漏洞。

　　5.抵賴(lài)：指一個(gè)實(shí)體否認(rèn)自己曾經(jīng)執(zhí)行過(guò)的某種操作，比如在電子商務(wù)中交易方之一否認(rèn)自己曾經(jīng)定購(gòu)過(guò)某種商品，或者商家否認(rèn)自己曾經(jīng)接受過(guò)訂單。

　　6.垃圾郵件騷擾：垃圾郵件是指接收者沒(méi)有訂閱卻被強(qiáng)行塞入信箱的廣告、政治宣傳等郵件，不僅耗費(fèi)大量的網(wǎng)絡(luò)與存儲(chǔ)資源，也浪費(fèi)了接收者的時(shí)間。

　　7.傳播色情內(nèi)容：盡管不同的地區(qū)和國(guó)家政策不同，但是多數(shù)國(guó)家對(duì)于色情信息的傳播是限制的，特別是對(duì)于青少年兒童的不良影響是各國(guó)都極力反對(duì)的。

　　8.愚弄和欺詐：是指散發(fā)虛假信息造成的事件，比如曾經(jīng)發(fā)生過(guò)幾個(gè)組織發(fā)布應(yīng)急通告，聲稱(chēng)出現(xiàn)了一種可怕的病毒“Virtual Card for You”，導(dǎo)致大量驚惶失措的用戶刪除了硬盤(pán)中很重要的數(shù)據(jù)，導(dǎo)致系統(tǒng)無(wú)法啟動(dòng)。

　　應(yīng)急響應(yīng)的活動(dòng)應(yīng)該主要包括兩個(gè)方面：

　　第一、未雨綢繆，即在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險(xiǎn)評(píng)估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn)、以發(fā)布安全通告的方式進(jìn)行的預(yù)警、以及各種防范措施;

　　第二、亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最小。這些行動(dòng)措施可能來(lái)自于人，也可能來(lái)自系統(tǒng)，不如發(fā)現(xiàn)事件發(fā)生后，系統(tǒng)備份、病毒檢測(cè)、后門(mén)檢測(cè)、清除病毒或后門(mén)、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

　　以上兩個(gè)方面的工作是相互補(bǔ)充的。首先，事前的計(jì)劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動(dòng)作提供了指導(dǎo)框架，否則，響應(yīng)動(dòng)作將陷入混亂，而這些毫無(wú)章法的響應(yīng)動(dòng)作有可能造成比事件本身更大的損失;其次，事后的響應(yīng)可能發(fā)現(xiàn)事前計(jì)劃的不足，吸取教訓(xùn)，從而進(jìn)一步完善安全計(jì)劃。因此，這兩個(gè)方面應(yīng)該形成一種正反饋的機(jī)制，逐步強(qiáng)化組織的安全防范體系。