2应急响应规程

为了能够合理、有序地处理安全事件，笔者采用最经典即被广为接受的PDCERF方法学，将应急响应分成准备、检测，抑制、根除、恢复、总结等六个阶段的工作。并根据响应政策对每个阶段定义适当的目的，明确响应顺序和过怪。在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源井彻底根除;然后就该着手系统恢复，恢复的目的是把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。其中主要的响应步骤是：抑制、根除和恢复。抑制是一种过渡或者暂时性的措施，实质性的响应应该是根除和恢复。根除事件的根源，需要分析并找出导致安全事件的系统漏洞，从而杜绝类似事件的再次发生。而系统恢复，则需要从事件结果的角度对系统受影响的程度进行分析，进而将系统恢复到正常状态。通过对攻击技术进行分类将有利于在响应过程中采取有效的抑制措施。通过发现和分析导致安全事件发生的系统漏洞，可以有效地执行系统响应过程中根除阶段的措施。应急响应规程中的这六个阶段是循环的，每一个阶段都是在为下一个阶段做准备（图1）。

图1 应急响应PDCERF摸型

3应急响应组的创建与管理

对于保障信息系统的安全来说，不存在单一的解决方案，而需要一种多层次的安全策略。在这些安全层次当中，现在正被很多组织纳入其安全策略的就是建立计算机安全事件应急响应小组。

应急响应组的创建和管理对事件响应工作是非常重要的，许多事件响应工作的失败就是因为在创建和管理应急响应组方面存在问题。有了事件响应组，响应组中的成员就更容易协调响应工作，因为他们通常向响应组领导报告，在领导的指挥下参与特定的响应活动。在事件响应过程中，事件响应的经验，策略的运用和应该遵循的过程等比纯粹的响应技术更重要，响应组更加适合进行经验的交流。一个响应组更有实力开发并遵循事件响应规程。而按照响应规程处理事件就可以提高响应的效率。应急响应组比个人更加适合于和别的组织联络和交流，事件响应组最根本的需求就是为所属的客户提供事件响应服务。因此，应急响应组必须明确自己的政策、功能与角色。明确服务的对象并与之保持联系，在此基础上制订适合的政策，建立事件报告渠道、应急响应流程和应急通信机制。应急响应组至少都有协调能力、专业知识、响应效率、先期主动防御能力、适应需求、联络能力和处理制度障碍能力上的优势。

(责任编辑：闫小琪)