網(wǎng)絡(luò)安全應(yīng)急響應(yīng)具體實(shí)施

1、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是在特定網(wǎng)絡(luò)和系統(tǒng)面臨或已經(jīng)遭受突然攻擊行為時(shí)， 進(jìn)行快速應(yīng)急反應(yīng)，提出并實(shí)施應(yīng)急方案。作為一項(xiàng)綜合性工作，網(wǎng)絡(luò)安 全應(yīng)急響應(yīng)不僅涉及入侵檢測(cè)、事件診斷、攻 擊隔離、快 速恢復(fù)、網(wǎng)絡(luò)追 蹤、計(jì)算機(jī)取證、自動(dòng)響應(yīng)等關(guān)鍵技術(shù)，對(duì)安全管理也提出更高的要求。根據(jù)應(yīng)急事件處理的PDCERF方法學(xué)，將應(yīng)急響應(yīng)分為準(zhǔn)備、檢測(cè)、抑制、 根除、恢復(fù)、跟進(jìn)6個(gè)階段的工作，本文按照各個(gè)階段主要應(yīng)用的關(guān)鍵技 術(shù)進(jìn)行介紹。準(zhǔn)備(Preparation )階段是網(wǎng)絡(luò)安全事件響應(yīng)的第一個(gè)階段，也屬于一個(gè)過 渡階段，即橫跨在網(wǎng)絡(luò)安全事件真正發(fā)生前和有跡象將要發(fā)生的時(shí)間段上，大 部分工作需要在應(yīng)急響應(yīng)之前就已做

2、好準(zhǔn)備。這一階段極為重要，因?yàn)槭录l(fā) 生時(shí)可能需要在短時(shí)間內(nèi)處理較多事務(wù)，如果沒有足夠的準(zhǔn)備，將無法準(zhǔn)確地 完成及時(shí)響應(yīng)，導(dǎo)致難以意料的損失。(一)準(zhǔn)備階段工作內(nèi)容準(zhǔn)備階段的工作內(nèi)容主要有2個(gè)，一是對(duì)信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行初始化快照。二是準(zhǔn)備應(yīng)急響應(yīng)工具包。系統(tǒng)快照是指常規(guī)情況下，信息系統(tǒng)進(jìn)程、賬 號(hào)、服務(wù)端口和關(guān)鍵文件簽名等狀態(tài)信息的記錄。通過在系統(tǒng)初始化或發(fā) 生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下，立即制作并保存系統(tǒng) 快照，并在檢測(cè)的時(shí)候?qū)⒈４娴目煺张c信息系統(tǒng)當(dāng)前狀態(tài)進(jìn)行對(duì)比，是后 續(xù)“檢測(cè)”又全事件的一種重要途徑。1、系統(tǒng)快照系統(tǒng)快照是系統(tǒng)正常狀態(tài)下的精簡化描述，因此須在確保系統(tǒng)未被入侵

3、的 前提下，由系統(tǒng)維護(hù)人員完成系統(tǒng)快照的生成和保存工作，注意執(zhí)行系統(tǒng) 快照留存的時(shí)間點(diǎn)有以下幾種。(1)系統(tǒng)初始化安裝完成后。(2)系統(tǒng)重要配置文件發(fā)生更改后。(3)系統(tǒng)進(jìn)行軟件升級(jí)后。(4)系統(tǒng)發(fā)生過安全入侵事件并恢復(fù)后。在進(jìn)行安全檢測(cè)時(shí)，通過將最近保存的系統(tǒng)快照與當(dāng)前系統(tǒng)快照進(jìn)行仔細(xì) 的核對(duì)，能夠快速、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)的改變或異常。準(zhǔn)備階段還應(yīng)包括建立安全保障措施、對(duì)系統(tǒng)進(jìn)行安全加固，制定安全事 件應(yīng)急預(yù)案規(guī)范，進(jìn)行應(yīng)急演練等內(nèi)容。主機(jī)系統(tǒng)快照，應(yīng)包括但并不限于以下內(nèi)容。(1)系統(tǒng)進(jìn)程快照。(2)關(guān)鍵文件簽名快照。(3)開放的對(duì)外服務(wù)端口快照。(4)系統(tǒng)資源利用率的快照。(5)注冊(cè)表快照。(

4、6)計(jì)劃任務(wù)快照。(7)系統(tǒng)賬號(hào)快照。(8)日志及審核策略快照。以上內(nèi)容中的系統(tǒng)進(jìn)程快照、關(guān)鍵文件簽名和系統(tǒng)賬號(hào)快照尤為重要, 般入侵事件均可通過此3項(xiàng)快照的關(guān)聯(lián)分析查找獲得重要信息。網(wǎng)絡(luò)設(shè)備快照應(yīng)包括但并不限于以下內(nèi)容。(1 )路由快照。(2)設(shè)備賬號(hào)快照。(3)系統(tǒng)資源利用率快照。數(shù)據(jù)庫系統(tǒng)快照照應(yīng)包括但并不限于以下內(nèi)容。(1 )開啟的服務(wù)。(2)所有用戶及所具有的角色及權(quán)限。(3)概要文件。(4)數(shù)據(jù)庫參數(shù)。(5)所有初始化參數(shù)。2、應(yīng)急響應(yīng)工具包應(yīng)急響應(yīng)工具包是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中使用工具的集合。該工具包應(yīng)由安全技術(shù)人員及時(shí)建立，并定時(shí)更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)

5、生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中的可信基礎(chǔ)。本規(guī)范結(jié)合實(shí)際工作情況，具體說明了Windows 應(yīng)急響應(yīng)工具包和Unix/Linux 應(yīng)急響應(yīng)工具包。工具包應(yīng)盡量放置在不可更改的介質(zhì)上，如只讀光盤。(二)準(zhǔn)備階段工作流程第一步：系統(tǒng)維護(hù)人員按照系統(tǒng)的初始化策略對(duì)系統(tǒng)進(jìn)行安裝和配置加固第二步：系統(tǒng)維護(hù)人員對(duì)安裝和配置加固后的系統(tǒng)進(jìn)行自我檢查，確認(rèn)是 否加固完成。第三步：系統(tǒng)維護(hù)人員建立系統(tǒng)狀態(tài)快照。第四步：系統(tǒng)維護(hù)人員對(duì)快照信息進(jìn)行完整性簽名，以防止快照被非法篡 改。第五步：系統(tǒng)維護(hù)人員將快照保存在與系統(tǒng)分離的存儲(chǔ)介質(zhì)上準(zhǔn)備階段的具體流程如圖1所示建立和保存系統(tǒng)狀態(tài)快照對(duì)快照進(jìn)行完整性

6、簽名快照保存尋1在至的度流程圖1準(zhǔn)備階段流程（三）準(zhǔn)備階段操作說明1、對(duì)系統(tǒng)的影響：操作不會(huì)對(duì)系統(tǒng)造成影響，在系統(tǒng)正常運(yùn)行情況下執(zhí)行各個(gè)步驟。2、操作的復(fù)雜度（容易 /普通/復(fù)雜）：容易。3、操作效果：對(duì)執(zhí)行后的結(jié)果必須保存到不可更改的存儲(chǔ)介質(zhì)。4、操作人員：各操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護(hù)人員。二、檢測(cè)階段講述檢測(cè)階段的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)施。結(jié)合準(zhǔn)備階段生成的系統(tǒng)初始化 狀態(tài)快照，這里概要介紹檢測(cè)安全事件（系統(tǒng)安全事件、網(wǎng)絡(luò)安全事件、 數(shù)據(jù)庫安全事件）相關(guān)內(nèi)容和技術(shù)。除對(duì)比系統(tǒng)初始化快照外，安全事件檢測(cè)手段還包括部署入侵檢測(cè)設(shè)備、 流量監(jiān)控和防病毒系統(tǒng)集中監(jiān)控等。其中，入侵檢測(cè)系統(tǒng)通過

7、偵聽網(wǎng)絡(luò)流 量并與事先存在的攻擊特征匹配，實(shí)現(xiàn)對(duì)入侵事件的實(shí)時(shí)和自動(dòng)發(fā)現(xiàn)。入 侵檢測(cè)系統(tǒng)往往存在較高的誤報(bào)率。實(shí)際應(yīng)用入侵檢測(cè)系統(tǒng)時(shí)，需要結(jié)合 部署環(huán)境的實(shí)際情況定制檢測(cè)策略，以保證檢測(cè)的準(zhǔn)確性。流量監(jiān)控的檢 測(cè)方式對(duì)于發(fā)現(xiàn)有明顯流量特征的安全事件，如網(wǎng)絡(luò)蠕蟲十分有效。在事 件檢測(cè)階段做到“及時(shí)發(fā)現(xiàn)”，必須合理利用各種已有的檢測(cè)手段，綜合分 析發(fā)現(xiàn)安全事件的真實(shí)原因。（一）檢測(cè)階段工作內(nèi)容 檢測(cè)階段是應(yīng)急響應(yīng)執(zhí)行過程中的關(guān)鍵一環(huán)，在這個(gè)階段需要系統(tǒng)維護(hù)人 員使用初級(jí)檢測(cè)技術(shù)進(jìn)行檢測(cè)，確定系統(tǒng)是否出現(xiàn)異常。在發(fā)現(xiàn)異常情況 后，形成安全事件報(bào)告，由安全技術(shù)人員和安全專業(yè)技術(shù)人員介入進(jìn)行高 級(jí)檢測(cè)來

8、查找安全事件的真正原因，明確安全事件的特征、影響范圍并標(biāo) 識(shí)安全事件對(duì)受影響的系統(tǒng)所帶來的改變，最終形成安全事件的應(yīng)急處理 方案。（二）檢測(cè)階段工作流程第一步：系統(tǒng)維護(hù)人員或安全技術(shù)人員在執(zhí)行日常任務(wù)和檢測(cè)中發(fā)現(xiàn)系統(tǒng) 異常。第二步：發(fā)現(xiàn)異常情況后，形成安全事件報(bào)告。第三步：安全技術(shù)人員、系統(tǒng)維護(hù)人員和第三方安全事件應(yīng)急服務(wù)人員查 找安全事件的原因。第四步：安全技術(shù)人員、系統(tǒng)維護(hù)人員和第三方安全事件應(yīng)急服務(wù)人員確 定安全事件的原因、性質(zhì)和影響范圍第五步：安全技術(shù)人員、系統(tǒng)維護(hù)人員和第三方安全事件應(yīng)急服務(wù)人員確定安全事件的應(yīng)急處理方案。檢測(cè)階段工作流程如圖2所示。啟動(dòng)檢測(cè)，發(fā)現(xiàn)系統(tǒng)異常形成安全事件

9、報(bào)告杳找安全事件的原因確定安全事件的原因、性質(zhì)和影響范圍口確定安全事件的應(yīng)急處理方案:J圻邦護(hù)百徘奇曜32檢鞭段的流程圖2檢測(cè)階段的流程此階段工作中應(yīng)注意，第三方安全事件應(yīng)急服務(wù)人員應(yīng)在必要時(shí)參加；制定應(yīng)急處理方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和回退措施。（三）操作說明第一，檢測(cè)階段操作不會(huì)對(duì)系統(tǒng)造成影響，在系統(tǒng)正常運(yùn)行情況下執(zhí)行各 個(gè)步驟，但在事件驅(qū)動(dòng)檢測(cè)方式中，確定有安全事件發(fā)生的情況下必須根 據(jù)流程采取相應(yīng)的措施，防止中斷系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)行。第二，初級(jí)檢測(cè)操作的復(fù)雜度為“普通”，高級(jí)檢測(cè)操作的復(fù)雜度為“復(fù)雜”。第三，例行檢測(cè)是一種積極的方式，能預(yù)先發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)存在的漏洞， 可根據(jù)流程采取補(bǔ)

10、救措施；事件驅(qū)動(dòng)方式的檢測(cè)方法對(duì)安全事件能迅速響 應(yīng)，不會(huì)讓安全事件擴(kuò)大。第四，檢測(cè)階段的操作人員主要有：系統(tǒng)維護(hù)人員、安全技術(shù)人員、第三 方安全事件應(yīng)急服務(wù)人員、安全評(píng)估人員。三、抑制和根除階段介紹各類安全事件（拒絕服務(wù)類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫 SQL注入類攻擊）相應(yīng)的抑制（Containment ）或根除（Eradication ）方法和技術(shù)。（一）抑制和根除階段工作內(nèi)容首先，網(wǎng)絡(luò)安全攻擊事件的進(jìn)行可以分為拒絕服務(wù)類攻擊、系統(tǒng)漏洞及惡 意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫SQL注入類攻 擊，針對(duì)每一類攻擊事件都需提供抑制方法，

11、以及可操作性的技術(shù)規(guī)范和 指導(dǎo)。抑制是對(duì)攻擊所影響的范圍、程度進(jìn)行扼制，通過采取各種方法，控制、 阻斷、轉(zhuǎn)移安全攻擊。抑制階段主要是針對(duì)前面檢測(cè)階段發(fā)現(xiàn)的攻擊特征， 比如攻擊利用的端口、服務(wù)、攻擊源、攻擊利用系統(tǒng)漏洞等，采取有針對(duì) 性的安全補(bǔ)救工作，以防止攻擊進(jìn)一步加深和擴(kuò)大。抑制階段的風(fēng)險(xiǎn)是可能對(duì)正常業(yè)務(wù)造成影響，如系統(tǒng)中了蠕蟲病毒后要拔 掉網(wǎng)線，遭到DDoS 攻擊時(shí)會(huì)在網(wǎng)絡(luò)設(shè)備上做一些安全配置，由于簡單口 令遭到入侵后要更改口令會(huì)對(duì)系統(tǒng)的業(yè)務(wù)造成中斷或延遲，所以在采取抑 制措施時(shí)，必須充分考慮其風(fēng)險(xiǎn)。根除階段是在抑制的基礎(chǔ)上，對(duì)引起該類安全問題的最終技術(shù)原因在技術(shù) 上進(jìn)行完全的杜絕，并對(duì)這

12、類安全問題所造成的后果進(jìn)行彌補(bǔ)和消除。在 根除階段，采取措施最大的風(fēng)險(xiǎn)主要是在系統(tǒng)升級(jí)或補(bǔ)丁時(shí)可能造成系統(tǒng) 故障，所以必須做好備份工作。在進(jìn)入抑制和根除階段之前，應(yīng)形成安全事件應(yīng)急響應(yīng)方案，并對(duì)方案的 實(shí)施獲取必要的管理授權(quán)。（二）抑制和根除階段工作流程第一步：應(yīng)急處理方案獲得授權(quán)。第二步：系統(tǒng)維護(hù)人員、安全技術(shù)人員和第三方安全事件應(yīng)急服務(wù)人員共 同測(cè)試應(yīng)急處理方案驗(yàn)證效果。第三步：系統(tǒng)維護(hù)人員、安全技術(shù)人員和第三方安全事件應(yīng)急服務(wù)人員共 同測(cè)試應(yīng)急處理方案是否影響系統(tǒng)運(yùn)行，對(duì)系統(tǒng)的影響程度不可接受時(shí)返 回檢測(cè)階段。第四步：實(shí)施應(yīng)急處理方案。第五步：當(dāng)實(shí)施應(yīng)急處理方案失敗的情況下，采 取應(yīng)變和

13、回退措施，并返 回到檢測(cè)階段。抑制和根除階段工作流程如圖3所示。應(yīng)急處理方案獲得授權(quán)測(cè)試應(yīng)急處理方案圖3抑制和根除階段工作流程此階段工作中應(yīng)注意以下兩點(diǎn)。1、第三方安全事件應(yīng)急服務(wù)人員僅在必要時(shí)參加。2、測(cè)試工作根據(jù)實(shí)際情況可以選擇口頭演練、試驗(yàn)室測(cè)試、 現(xiàn)網(wǎng)局部測(cè)試3種方式進(jìn)行。（三）抑制和根除階段操作說明 第一，應(yīng)急處理方案由相關(guān)人員和第三方安全事件應(yīng)急服務(wù)人員共同制定， 根據(jù)流程需進(jìn)行嚴(yán)格和充分的測(cè)試，但是由于抑制和根除操作需要對(duì)系統(tǒng) 作相關(guān)設(shè)置，加上一些系統(tǒng)實(shí)際情況較為特殊和復(fù)雜，必須根據(jù)系統(tǒng)實(shí)際 情況制定實(shí)施應(yīng)急處理方案失敗的應(yīng)變和回退措施。第二，抑制和根除階段操作的復(fù)雜度為“復(fù)雜”

14、。第三，具體執(zhí)行操作人員包括系統(tǒng)維護(hù)人員、安全技術(shù)人員、第三方安全 事件應(yīng)急服務(wù)人員。四、恢復(fù)階段恢復(fù)階段是指通過采取一系列的措施將系統(tǒng)恢復(fù)到正常業(yè)務(wù)狀態(tài)。下面所 闡述的內(nèi)容未包含恢復(fù)階段的全部技術(shù)內(nèi)容，尤其是與各個(gè)業(yè)務(wù)系統(tǒng)實(shí)際 情況相結(jié)合的部分，有關(guān)此部分的內(nèi)容應(yīng)在各業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案和業(yè)務(wù) 連續(xù)性計(jì)劃中體現(xiàn)。介紹的恢復(fù)方式包含2種。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情 況下，直接刪除并恢復(fù)所有變化；二是在應(yīng)急處理方案中未列明所有系統(tǒng) 變化的情況下，重裝系統(tǒng)。（一）恢復(fù)階段工作內(nèi)容主要內(nèi)容是將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)。在系統(tǒng)遭到入侵后，攻擊者一 定會(huì)對(duì)入侵的系統(tǒng)進(jìn)行更改。同時(shí)，攻擊者還會(huì)

15、想盡各種辦法使這種修改 不被系統(tǒng)維護(hù)人員發(fā)現(xiàn)。從而達(dá)到隱藏自己的目的。在根除階段能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，并且能夠確定系統(tǒng) 在所有變化完全根除的情況下，通過直接恢復(fù)業(yè)務(wù)系統(tǒng)的方式來恢復(fù)系統(tǒng) 這種恢復(fù)方式的優(yōu)點(diǎn)是時(shí)間短、系統(tǒng)恢復(fù)快、系統(tǒng)維護(hù)人員工作量小和對(duì) 業(yè)務(wù)的影響較小。在根除階段不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng) 是否經(jīng)過根除后已達(dá)干凈時(shí)，就一定要徹底地重裝系統(tǒng)。簡單地說，系統(tǒng) 重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復(fù)手段。（二）恢復(fù)階段工作流程第一步：如果應(yīng)急處理方案中列明所有系統(tǒng)變化，刪除并恢復(fù)所有變化， 實(shí)施安全加固。第二步：如果存在應(yīng)急處理方案中未列明所有的系統(tǒng)變

16、化，備份重要數(shù)據(jù)， 低級(jí)格式化磁盤。抑制和根除階段系統(tǒng)安全加固備份數(shù)據(jù)，低格磁盤系統(tǒng)初始化火 .計(jì)算初與網(wǎng)絡(luò)安全:一箕二險(xiǎn)二隆=程圖4恢復(fù)階段工作流程（三）恢復(fù)階段操作說明應(yīng)急處理方案 是否列明所有 一系統(tǒng)變化一第抑制和根除階段系統(tǒng)安全加固備份數(shù)據(jù)，低格磁盤系統(tǒng)初始化火 .計(jì)算初與網(wǎng)絡(luò)安全:一箕二險(xiǎn)二隆=程圖4恢復(fù)階段工作流程（三）恢復(fù)階段操作說明應(yīng)急處理方案 是否列明所有 一系統(tǒng)變化一第|恢復(fù)所有變化具體過程如圖4所示。對(duì)系統(tǒng)再次快照，審計(jì)合格后方可上線運(yùn)行。第一，恢復(fù)階段操作對(duì)系統(tǒng)的影響較大，操作系統(tǒng)需要停止，安全加固后,操作的復(fù)雜度為“普通”，但必須嚴(yán)格按照操作步驟執(zhí)行。第三步：嚴(yán)格按照

17、系統(tǒng)的初始化安全策略安裝和加固。第三，操作人員一般僅為企業(yè)內(nèi)部系統(tǒng)維護(hù)人員。(四)重裝系統(tǒng)由于恢復(fù)階段可以采取重裝系統(tǒng)這一簡單有效的辦法達(dá)到初始運(yùn)行狀態(tài)， 因此再介紹一下重裝系統(tǒng)的步驟和需要注意的事項(xiàng)。1、重裝系統(tǒng)時(shí)應(yīng)采取的步驟(1)重新安裝操作系統(tǒng)之前要確定所有資料已經(jīng)備份。備份的資料要保證 是沒有被攻擊者改變的干凈的資料。(2)低級(jí)格式化硬盤，確保所有磁盤分區(qū)為系統(tǒng)的安全分區(qū)。(3)操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)，注意權(quán)限配 置。(4)不要安裝不需要的軟件、協(xié)議和服務(wù)，盡量最小化安裝。(5)安全加固請(qǐng)參閱安全配制文檔并打上所有的補(bǔ)丁。(6)安裝應(yīng)用軟件如IIS ,應(yīng)參照安

18、全配置文檔進(jìn)行配置。(7)安裝操作系統(tǒng)和應(yīng)用軟件的最新補(bǔ)丁(8)恢復(fù)備份的資料(9)恢復(fù)業(yè)務(wù)系統(tǒng)2、重裝系統(tǒng)時(shí)的注意事項(xiàng)(1)為了徹底消除攻擊者可能留下的安全隱患，一定進(jìn)行低級(jí)格式化。這樣做將刪除所有的資料并且沒有辦法再恢復(fù)，所以一定要做好備份工作。(2)在重新安裝系統(tǒng)的時(shí)候要嚴(yán)格遵守系統(tǒng)安裝的各項(xiàng)規(guī)定(3)系統(tǒng)在安裝和安全配置沒有全部做好之前，嚴(yán)禁連接網(wǎng)絡(luò)(4)恢復(fù)系統(tǒng)的應(yīng)用和數(shù)據(jù)的時(shí)候，要對(duì)應(yīng)用和數(shù)據(jù)進(jìn)行檢查。以免其中存在的漏洞隨著數(shù)據(jù)恢復(fù)被安裝在系統(tǒng)上。(五)安全加固及系統(tǒng)初始化在系統(tǒng)重裝完畢后，正式上線以前，必須做好以下兩件事情1、安全加固進(jìn)行系統(tǒng)的安全加固工作；尤其要注意對(duì)引發(fā)安全事

19、件的漏洞的修復(fù)和加 固的處理，如果手冊(cè)上沒有，要及時(shí)對(duì)手冊(cè)進(jìn)行更新。2、安全快照在進(jìn)行安全加固后，按照第一階段介紹的方法做好系統(tǒng)的安全快照。五、跟進(jìn)階段跟進(jìn)(Follow-up )階段的目的是通過對(duì)系統(tǒng)的審計(jì)(進(jìn)行完整的檢測(cè)流程),確認(rèn)系統(tǒng)有沒有被再入侵。在檢測(cè)過程中特別應(yīng)該注意的是檢查抑制和根除階段的工作效果。同時(shí)回顧、總結(jié)并整合發(fā)生應(yīng)急響應(yīng)事件過程中的相關(guān)信息。提高事件處理人員技能，以應(yīng)付將來發(fā)生的類似場(chǎng)景。提高安全事件應(yīng)急響應(yīng)的處理能力。跟進(jìn)的意義在于：(1 )基于吸取的教訓(xùn)重新評(píng)估和修改安全事件應(yīng)急響應(yīng)相關(guān)措施；(2)調(diào)整組織的安全技術(shù)策略；(3)調(diào)整組織的安全管理策略和資源配置；(4

20、)促進(jìn)安全事件應(yīng)急響應(yīng)能力和組織機(jī)構(gòu)的建設(shè)。跟進(jìn)階段對(duì)抑制或根除的效果進(jìn)行審計(jì)，從而為確認(rèn)系統(tǒng)沒有被再次入侵 提供了幫助。(一)跟進(jìn)階段工作內(nèi)容跟進(jìn)階段是應(yīng)急響應(yīng)的最后一個(gè)階段，主要是對(duì)抑制或根除的效果進(jìn)行審 計(jì)，確認(rèn)系統(tǒng)沒有被再次入侵。下面將詳細(xì)說明跟進(jìn)階段的工作要如何進(jìn) 行、在何時(shí)進(jìn)行比較合適、具體的工作流程、要思考和總結(jié)的問題以及需 要報(bào)告的內(nèi)容。跟進(jìn)階段的主要任務(wù)是確認(rèn)系統(tǒng)有沒有被再入侵，確認(rèn)系 統(tǒng)有沒有被再入侵是通過對(duì)抑制或根除的效果進(jìn)行審計(jì)完成的。這種審計(jì) 是一個(gè)需要定期進(jìn)行的過程。通常，第一次審計(jì)應(yīng)該在一定期限之內(nèi)進(jìn)行， 以后再進(jìn)行復(fù)查，并輸出跟進(jìn)階段的報(bào)告內(nèi)容，包括安全事件的類

21、型、時(shí) 間、檢測(cè)方法、抑制方法、根除方法、事件影響范圍等。要在跟進(jìn)階段報(bào) 告中詳細(xì)記錄這些內(nèi)容。跟進(jìn)階段還需對(duì)事件處理情況進(jìn)行總結(jié)，吸取經(jīng)驗(yàn)教訓(xùn)I,對(duì) 已有安全防護(hù) 措施和安全事件應(yīng)急響應(yīng)預(yù)案進(jìn)行改進(jìn)。跟進(jìn)階段是安全事件應(yīng)急響應(yīng)6 個(gè)階段方法論的最后一個(gè)階段。跟進(jìn)階段是6個(gè)階段中最可能被忽略的階 段。但這一步也是非常關(guān)鍵的。該階段需要完成的原因有以下幾點(diǎn)。1、有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)，提高技能。2、有助于評(píng)判應(yīng)急響應(yīng)組織的事件響應(yīng)能力。3、如果可能的話，可以在更大范圍推廣介紹事件處理經(jīng)驗(yàn)。（二）跟進(jìn)階段工作流程第一步：執(zhí)行完整的檢測(cè)階段流程。第二步：確認(rèn)系統(tǒng)是否再次被入侵，如果有，請(qǐng)回到抑制和根除階段。第三步：總結(jié)安全事件的處理過程和技能，調(diào)整安全策略，輸出總結(jié)文檔第四步：輸出跟進(jìn)階段的報(bào)告內(nèi)容。第五步：安排再次審計(jì)，內(nèi)容同以上4個(gè)步驟。跟進(jìn)階段的工作實(shí)施流程如圖5所示。（三）跟進(jìn)階段操作說明1、對(duì)系統(tǒng)的影響：不會(huì)對(duì)系統(tǒng)造成影響，在系統(tǒng)正常運(yùn)行情況下執(zhí)行各個(gè)步驟。2、操作的復(fù)雜度（容易 /普通/復(fù)雜/）:普通。3、操作效果：確定系統(tǒng)狀態(tài)，總結(jié)應(yīng)急響應(yīng)流程和技術(shù)。4、操作人員：系統(tǒng)維護(hù)人員、安全技術(shù)人員、第三方安全事件應(yīng)急服務(wù)人員、安全評(píng)估人員。（四）跟進(jìn)階段的報(bào)告格式及模板跟進(jìn)階段最重要的任務(wù)就是要記錄下整個(gè)應(yīng)急響