应急响应处理阶段与策略-《计算机网络与信息安全》

2023-10-18 理论教育版权反馈

【摘要】：（三）应急响应策略响应策略是解决突发事件的规划。执行在线或离线响应响应的基本决策之一是该系统是否可以移出网络。同样，如果攻击者是一个职工或内部人员，则响应将有所不同。

（一）应急响应概念

“应急”源于英文“Response”，包含有响应、应对、应变等含义。它是指当社会出现突发事件时，政府必须采取有效措施进行快速应对，以使突发事件对社会经济的影响程度降到最低限度。所采取的措施包括：制定预案并有效监控、防御突发事件的扩散；准备、动员和整合社会资源，调集社会各方面力量共同处置突发事件；启动政府各部门的应急职能、组织指挥突发事件的处理；在危机处置过程中及时回应公众愿望、满足社会需求、维护公私利益和社会秩序；对突发事件进行评估，处理善后事宜，恢复正常秩序等。突发事件的应急需要相应的硬件和软件作支撑，前者主要指应急信息系统，后者主要指应急协调管理机制。

突发事件的应急处理机制是对突发事件进行科学有效管理的重要保证，它包括以下几个方面：

1.应急信息披露机制

在突发事件的处理过程中，建立有效的信息披露机制是很有必要的，因为突发事件牵涉到每个人的切身利益，政府有责任和义务向公民提供必要的知情权，及时、准确、公开、透明地向公众公布欲知、应知而未知的信息。

2.应急预警机制

应急预警机制是当突发事件刚刚萌芽，还没有大规模扩散的时候立即采取行动，将突发事件的影响降低到最低程度，避免产生更为严重的后果。

3.社会心理监控机制

公共突发事件的发生与社会公众的心理状态有很大的关系，因为当突发事件发生时，公众的心理会变得非常脆弱，容易被诱导和误解。为维护社会稳定，消除公众恐慌，建立社会心理监控体系，在突发事件发生时及时对公众社会心理进行疏导和减压，避免社会动荡和冲突的发生是非常有必要的。

4.应急法制机制

应急法制机制是指一国或地区针对突发事件及其引起的紧急情况制定或认可的各种法律规范和原则的总称。突发事件的处置常常需要“特事特办”，但必须保证在合法的原则下进行。

（二）应急处理的一般阶段

1.第一阶段——准备阶段，此阶段以预防为主

微观上的工作包括：帮助服务对象建立安全政策；帮助服务对象按照安全政策配置安全设备和软件；扫描、风险分析、打补丁；如有条件且得到许可，建立监控设施。

宏观上的工作包括：建立协作体系和应急制度；建立信息沟通渠道和通报机制；如有条件，可建立数据汇总分析的体系和能力；设定有关法律法规。

2.第二阶段——确认阶段，确定事件性质和处理人选

微观上的工作包括：确定事件责任人人选，即指定一个责任人全权处理此事件并分配必要资源；确定事件性质和影响的严重程度，预计采用什么样的专用资源来修复。

宏观上的工作包括：通过汇总，确定是否发生了全网的大规模事件；确定应急等级，决定启动哪一级应急方案。

3.第三阶段——遏制阶段，及时采取行动遏制事件发展

微观上的工作包括：初步分析，重点确定适当的遏制方法，如隔离；咨询安全政策；确定进一步操作的风险，控制损失保持最小；列出若干选项，讲明各自的风险，应该由服务对象来做决定。

宏观上的工作包括：确保封锁方法对各网业务影响最小；通过协调争取各网一致行动，实施隔离；汇总数据，估计损失和隔离效果。

4.第四阶段——根除阶段，彻底解决问题隐患

微观上的工作包括：分析原因和漏洞；进行安全加固；改进安全策略。

宏观上的工作包括：加强宣传，公布危害性和解决办法，呼吁用户解决终端问题；加强检测工作，发现和清理行业与重点部门的问题。

5.第五阶段——恢复阶段

微观上的工作包括：被攻击的系统由备份来恢复；做一个新的备份；对所有安全上的变更做备份；服务重新上线并持续监控。(www.chuimin.cn)

宏观上的工作包括：持续汇总分析，了解各网的运行情况；根据各网的运行情况判断隔离措施的有效性；通过汇总分析的结果判断仍然受影响的终端的规模；发现重要用户并及时通报解决；适当的时候解除封锁措施。

6.第六阶段——跟踪阶段

关注系统恢复以后的安全状况，特别是曾经出问题的地方；建立跟踪文档，规范记录跟踪结果；对响应效果给出评估；对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。

（三）应急响应策略

响应策略是解决突发事件的规划。

1.确定适当的响应类型

（1）恢复运行

最快最简单的响应以恢复正常运行为唯一目标。使被侵袭的系统恢复到正常运行的状态是Web外表损坏和拒绝服务突发事件的常见响应。

（2）执行在线或离线响应

响应的基本决策之一是该系统是否可以移出网络。如果该系统是某一种不具有备份的硬件解决方案，并且对于运行非常关键，那么需要在保持系统在线状态下执行响应。

（3）涉及的公共关系

公众是否知道该突发事件？公众对此是否可能有所察觉？如果两个问题的答案均为“是”，那么响应规划应该包括向新闻界适当地公开一些信息。

（4）识别攻击者

响应策略的最重要目标是否是识别攻击者？如果是，那么该响应需要仔细而且很可能冗长的调查。如果攻击者来自于内部，则无须使用外部法律力量即可实现该目标。如果攻击来自Internet，那么调查必须借助外部的法律力量。如果没有第三方对攻击源进行调查，那么永远无法最终确定攻击者身份，而只能确定攻击的最后一个中继站。

2.确定攻击类型

为确定最适当的响应策略，要首先考虑突发事件的性质。通过确定攻击类型，响应策略的选择就能变得更清楚。

3.对受害系统进行分类

接下来，考虑受害系统的功能和关键程度。该系统是面向公众的web服务器还是内部的测试系统？该系统上是否保存了重要的工资表数据？由于采取不同策略将影响受害系统的可用性，因此对系统进行这种方式的分类将有助于确定响应策略。

4.考虑其他影响

影响响应策略的其他问题包括攻击来源和响应态度。攻击来源可能影响到您是否愿意继续起诉攻击者或者识别攻击者身份。如果攻击来自与调查员从未合作过的另一个国家，则对于识别或起诉攻击者，我们几乎无计可施。同样，如果攻击者是一个职工或内部人员，则响应将有所不同。

响应态度也将影响响应策略。公司的策略是否是起诉所有攻击者？是否具备全面调查的技术能力？如果没有，是否具备资金以聘请能够全面调查的人？如果不采取迅速而果断的行动，业务是否会成为继续攻击的目标？

正如所看到的，有许多问题需要考虑。应该了解各种与响应策略有关的因素，以免做出超出自己能力的选择。

5.获得管理部门的批准

既然已经确定采取某种响应，那么只剩下了一个障碍。由于最终决策人通常是企业老板而非CIRT，所以现在是报请管理部门批准该响应策略的时候了。这里的关键问题是提交一份简洁明确的计划。由于您的行动可能具有副作用，特别是当突发事件影响到顾客或涉及起诉或惩戒行动时，因此，使法律顾问也参与其中是个不错的主意。

应急响应处理阶段与策略-《计算机网络与信息安全》

相关推荐