網路安全應急響應工作流程是什麼?大致分為幾步？

　　在計算機和網路安全領域，應急響應是安全工作者為了應對各種意外事件的發生所做的準備以及在事件發生後所採取的措施。那麼網路安全中應急響應工作流程是什麼?具體內容請看下文：

　　第一步：準備工作

　　此階段以預防為主，在事件真正發生前為應急響應做好準備，主要包含以下幾項內容：

　　制定用於應急響應工作流程的文件計劃，並建立一組基於威脅態勢的合理防禦措施;

　　制定預警與報警的方式流程，建立一組儘可能高效的事件處理程式;

　　建立備份的體系和流程，按照相關網路安全政策配置安全裝置和軟體;

　　建立一個支援事件響應活動的基礎設施，獲得處理問題必備的資源和人員，進行相關的安全培訓，可以進行應急反映事件處理的預演方案。

　　第二步：事件檢測階段

　　識別和發現各種網路安全緊急事件。一旦被入侵檢測機制或另外可信的站點警告已經檢側到了入侵，需要確定系統和資料被入侵到了什麼程度。入侵響應需要管理層批准，需要決定是否關閉被破壞的系統及是否繼續業務，是否繼續收集入侵者活動資料。通報資訊的資料和型別，通知什麼人。主要包括以下幾種處理方法：

　　佈局入侵檢測裝置、全域性預警系統，確定網路異常情況;

　　預估事件的範圍和影響的嚴重程度，來決定啟動相應的應急響應的方案;

　　事件的風險危害有多大，涉及到多少網路，影響了多少主機，情況危機程度;

　　確定事件責任人人選，即指定一個責任人全權處理此事件並給予必要資源;

　　攻擊者利用的漏洞傳播的範圍有多大，透過彙總，確定是否發生了全網的大規模入侵事件;

　　一般典型的事故現象包括：賬號被盜用、騷擾性的垃圾資訊、業務服務功能失效、業務內容被明顯篡改、系統崩潰、資源不足。

　　第三步：抑制處置

　　在入侵檢測系統檢測到有安全事件發生之後，抑制的目的在於限制攻擊範圍，限制潛在的損失與破壞，在事件被抑制以後，應該找出事件根源並徹底根除;然後就該著手系統恢復，把所有受侵害的系統、應用、資料庫等恢復到它們正常的任務狀態。

　　收集入侵相關的所有資料，收集並保護證據，保證安全地獲取並且儲存證據;

　　確定使系統恢復正常的需求和時間表、從可信的裝置介質中恢復使用者資料和應用服務;

　　抑制採用的方式可能有多種，包括：關掉已受害的系統、斷開網路、修改防火牆或路由器的過濾規則、封鎖或刪除被攻破的登入賬號、關閉可被攻擊利用的服務功能。

　　第四步：根除階段

　　透過對有關惡意程式碼或行為的分析結果，找出事件根源明確相應的補救措施並徹底清除，並對攻擊源進行準確定位並採取措施將其中斷;清理系統、恢復資料、程式、服務，把所有被攻破的系統和網路裝置徹底還原到正常的任務狀態。

　　總之，資訊保安應急響應體系應該從以上幾個方面來更加完善，統一規範事件報告格式，建立及時堆確的安全事件上報體系，在分類的基礎上，進一步研究針對各類安全事件的響應對策，從而建立一個應急決策專家系統，建立網路安全事件資料庫，這項工作對於事件應急響應處置過程具有十分重要的意義。

　　對事件的確認僅是初步的事件分析過程。事件分析的目的是找出問題出現的根本原因。在事件分析的過程中主要有主動和被動2種方式。

　　第五步：恢復階段

　　讓系統恢復破壞之前的正常執行環境。恢復階段的主要任務是把被破壞的資訊徹底地還原到正常運作狀態。確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復使用者資料、開啟系統和應用服務、恢復系統網路連線、驗證恢復系統、觀察其他的掃描、探測等可能表示入侵者再次侵襲的訊號。一般來說，要成功地恢復被破壞的系統，需要維護乾淨的備份系統，編制並維護系統恢復的操作手冊，而且在系統重灌後需要對系統進行全面的安全加固。

　　第六步：跟進階段

　　跟進階段的主要任務是回顧並整合應急響應過程的相關資訊，進行事後分析總結、修訂安全計劃、政策、程式並進行訓練以防止再次入侵，基於入侵的嚴重性和影響，確定是否進行新的風險分析、給系統和網路資產製定一個新的目錄清單，如果需要，參與調查和起訴。這一階段的工作對於準備階段工作的開展起到重要的支援作用。

　　跟蹤階段的工作主要包括三個方面的內容：

　　形成事件處理的最終報告

　　檢查應急響應過程中存在的問題，重新評估和修改事件響應過程

　　評估應急響應人員相互溝通在事件處理上存在的缺陷，以促進事後進行有針對性的培訓。