【網路安全】組織為什麼需要應急響應?應急響應需要做什麼?

　　應急響應，英文全稱：Incident Response，簡稱IR，是一種處理安全事件、漏洞和網路威脅的結構化方法。通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生後所採取的措施。那麼應急響應需要做什麼?組織為什麼需要應急響應?具體請看下文：

　　組織為什麼需要應急響應?

　　儘可能在突發資訊保安事件來臨時，保證內部IT資產的安全，減少因網路攻擊而受到的損失。

　　組織應具備基本的應急響應能力，平時可以對流量進行監控、對異常流量及時攔截、溯源分析流量來源等基本工作。為了在不同程度的突發事件面前能夠有效應對，組織內部應制定應急預案以及開展相關培訓，有效避免和防禦資訊保安事件，以及事後採取解決措施。

　　應急響應需要做什麼?

　　1、事前準備

　　事先為應急響應工作做好計劃，包括確定應急響應成員、制定應急預案以及應急響應過程中所需工具，提前做好準備會使得處理過程更加高效和及時。

　　2、設立應急響應小組

　　應急響應的處置需要相關人員來協調配合，設立應急響應小組，確定小組成員和組織結構，或僱傭網路安全專家對突發安全事件的處置。

　　是否需要僱傭第三方幫助處置，要根據企業所處的實際情況來決定，應當考慮企業內部成員是否具備網路安全應急處置技能以及配合默契程度。若發生重大安全事件，事情緊急且內部不能自行解決時，應僱傭網路安全專家提供幫助，以免錯過最佳的處理時機。此外，需要提前尋找合作的網路安全專家，為突發重大事件做好準備，最大程度降低損失。

　　3、明確應急響應目標

　　做應急響應是為了阻止網路攻擊事態發展，恢復網路訪問正常，減小損失，還是為了追蹤網路攻擊者等，應該明確響應目標，目標不同制定計劃不同，開展的工作方向也會有所不同。

　　4、事件響應計劃後期維護及演練

　　應急響應計劃制定出來後，還應對其進行維護更新，新的網路攻擊一直在變化，應急響應計劃也要有新的方法來應對，定期將新的響應方法新增到已有的事件響應計劃當中去。