應急響應概述及重要性

應急響應通常是指一個組織為了應對各種意外事件的發生所做的準備工作，以及在事件發生后所采取的措施。應急響應在各個領域均屬于一個重要的研究方向，并且具有行業領域的獨特性。本文介紹的是信息安全領域的應急響應，是指應急響應組織根據事先對各種可能出現突發狀況的準備，在信息安全事件發生后，進行響應、處理、恢復、跟蹤的方法及過程。下面將闡述信息安全應急響應的對象、作用、行為和必要性。

應急響應的對象

本文信息安全事件應急響應的對象泛指針對計算機和網絡所處理信息的所有安全事件，事件的主體可能是自然災害、人為操作、故障或者病毒與木馬等。除了傳統的針對保密性、完整性和可用性的分類外，應急響應的對象廣義上還包括掃描、滲透等所有違反安全政策的事件，它們也稱為應急響應的客體。

一般的應急響應流程中會出現至少三種角色，包括事件發起者、事件受害者和進行應急響應的人員，簡稱為“入侵者”、“受害者”和“響應者”。入侵者泛指一切造成事件發生的角色。受害者是承受事件的一方，在事件中也是受保護的對象。響應者有可能是與受害者同屬一個實體，但更多情況下，響應者來自專業的響應組織，比如網絡管理人員、安全廠商等。

應急響應的作用和行為

應急響應的作用主要體現在事前的充分準備和安全事件發生后所采取的措施這兩個方面。

首先是事前的充分準備，這方面在管理上包括安全培訓、制定安全政策和應急預案以及風險分析等，在技術上則需要增加系統安全性，如數據備份、打補丁、升級系統和軟件等，有條件的還應該部署防火墻、防毒墻、入侵防御系統（IPS）和殺毒軟件等。

其次是安全事件發生后所采取的抑制、根除和恢復等措施，其目的在于盡可能減少損失或者盡快恢復系統的正常運行。一般的措施包括收集系統特征，檢測病毒、木馬等惡意代碼，隔離、限制或關閉網絡服務，系統恢復，反擊，跟蹤總結等。

事前準備和事后措施這兩個方面是互為補充的關系。事前的準備為事件發生后的響應動作提供了指導框架，否則，事后的響應措施將會陷入混亂，而這些毫無章法的響應措施很可能造成比事件本身更大的損失。其次，事后的響應可以發現事前計劃的不足，吸取經驗教訓，從而進一步完善信息安全防護計劃，避免以后類似的安全事件發生。

應急響應的必要性

實施應急響應機制的目的就是盡可能地減少和控制信息安全事件的損失，并努力防止安全事件的再度發生。但是，應急響應本質上是一種被動性的安全體系，它是持續運行并需要由一定條件觸發的體系。與此相反，加密、認證等行為則具備更多的主動性，那么為什么業界要對這種被動性的體系投入越來越多的精力呢？

首先，歷史經驗證明，絕大多數發生過的信息安全事件都容易造成驚人的損失并顯示出巨大的危害性，而且隨著系統和軟件功能的多樣化發展，軟件架構變得越來越復雜，再加上軟件行業的不規范以及整體的發展滯后，這些問題造就了目前軟件系統漏洞百出的現狀。同時，網絡發展日新月異，網絡架構愈發復雜，邊界愈發模糊，帶寬迅速增加，這都為惡意代碼的傳播創造了便利條件，人們可以隨意下載攻擊工具，而使用這些攻擊工具并不需要專業的計算機知識，“小白”用戶即可輕松使用，比如網上隨意可以下載的端口掃描軟件，這樣就放大了來自網絡的非法入侵的效應。

但與此對應的是，入侵防御系統（IPS）還遠沒有設想的成功，雖然現在的IPS系統已經在企業網絡安全體系中發揮著重要作用，但是截至到目前為止，IPS的實現與運行原理仍然存在若干不現實性，這就限制了IPS從設想到實現的腳步，漏報、誤報一直是IPS所無法克服的問題。

其實安全是相對的，沒有絕對的安全，所有的安全產品，包括殺毒軟件、防火墻、防毒墻、Web防護等，都達不到能夠完全保證目標安全的效果。而且從安全管理的角度上考慮，并非所有的企業都有足夠的實力進行安全的網絡管理，因此，作為補救性的應急響應是必不可少的，可以說，應急響應是信息安全防護的最后一道防線。另外，從法律角度講，應急響應也是將安全事件訴諸法律的必要途徑。

與應急響應相關的關鍵技術

應急響應涉及到信息安全學科內幾乎所有的技術，下面介紹一些與應急響應密切相關的關鍵技術。

1.入侵檢測

應急響應是由信息安全事件所觸發，而事件的觸發主要依靠檢測手段，入侵檢測技術則是目前最主要的檢測手段。當前應急響應領域研究的熱點之一就是自動入侵響應，目標就是使入侵檢測系統（IDS）具備自動響應的能力。

2.事件隔離與快速恢復

對于安全性和保密性要求高的環境，在檢測和收集信息的基礎上，尤其是確定了事件類型和攻擊源之后，應該及時隔離攻擊源，這是制止事件影響進一步惡化的有效措施。另一方面，對于對外提供不可中斷服務的環境，如門戶網站等，應急響應過程就應該側重考慮盡快恢復系統的正常運行，或是最小限度的正常運行，這其中也可能涉及到事件優先級認定、完整性檢測和域名切換等技術。

3.網絡追蹤和定位

在發現網絡攻擊后，就需要確定攻擊者的網絡地址以及攻擊的路徑。由于攻擊發起者可能通過抓取肉雞的方式進行跳板式攻擊，因此在現在的TCP/IP網絡基礎設備之上進行網絡追蹤和定位是相當困難的。

4.取證技術

取證是一門針對不同情況要求靈活處理的技術，它要求實施者全面、詳細地了解系統、網絡和應用軟件的使用與運行狀態，對人的要求非常高（這一點與應急響應本身的情況類似）。目前主要的取證對象是各種日志的審計，但并不是絕對的，取證可能來自任何一點蛛絲馬跡。