第3章
网络安全应急响应实施的流程

根据应急响应的PDCERF模型可分为6个阶段来处理，分别是准备（Preparation）、检测（Detection）、遏制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）。

1. 准备

这个阶段以预防为主。主要工作涉及识别公司的风险，建立安全政策、协作体系和应急制度；按照安全政策配置安全设备和软件，为应急响应与恢复准备主机；通过网络安全措施为网络进行一些准备工作，如扫描、风险分析、打补丁，在有条件且得到许可时，建立监控设施、数据汇总分析体系的能力；制定能够实现应急响应目标的策略和规程，建立信息沟通渠道和通报机制；创建能够使用的响应工作包；建立能够集合起来处理突发事件的应急响应小组。

2. 检测

检测事件是已经发生还是在进行中，以及事件产生的原因和性质。确定事件的性质和影响的严重程度，预计采用什么样的专用资源来修复。选择检测工具，分析异常现象，提高系统或网络行为的监控级别，估计安全事件的范围。通过汇总确定是否发生了全网的大规模事件；确定应急等级，以决定启动哪一级应急方案。

3. 遏制

及时采取行动遏制事件发展。通过初步分析，重点确定遏制的方法，如隔离网络，修改所有防火墙和路由器的过滤规则，删除攻击者的登录账号，关闭被利用的服务器或关闭主机等；咨询安全政策；确定进一步操作的风险，以控制损失；列出若干选项，并说明各自的风险，由服务对象来做决定。确保封锁方法对各网业务影响最小；通过协调争取各网的一致行动，实施隔离；汇总数据估算损失和隔离效果。

4. 根除

彻底解决问题隐患。分析原因和漏洞；进行安全加固；改进安全策略，公布危害性和解决办法，呼吁用户解决终端问题；加强检测工作，发现和清理行业与重点部门的问题。

5. 恢复

用备份恢复被攻击的系统。做一个新的备份，对所有安全上的变更做备份；服务重新上线并持续监控进行汇总分析，了解各网的运行情况；根据各网的运行情况判断隔离措施的有效性；通过汇总分析的结果判断仍然受影响的终端规模；发现重要用户及时通报解决；在适当的时候解除封锁措施。

6. 跟踪

关注系统恢复后的安全状况，特别是曾经出现问题的地方；建立跟踪文档，规范记录跟踪结果；对响应效果给出评估；对进入司法程序的事件做进一步调查，以打击违法犯罪的活动。