一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的安全应急保障措施。应急响应的开始是由于“事件的发生。所谓“事件”或“安全事件”在信息安全领域特指那些影响计算机系统和网络安全的不当行为安全事件造成的损失往往是巨大的,而且多在较短的时间内发生,故应对事件的关键是速度与效率。

应急响应过程主要涵盖三种角色:①事件发起者,简称为“入侵者”,泛指切造成事件发生的角色。②事件受害者,简称为“受害者”,是承受事件的在事件中也是保护的对象。③进行应急响应的人员,简称为“响应者”,有可能是受害者同属一个实体的,但更多情况下,响应者来自专业的响应组织。

1988年11月,莫里斯蠕虫( Morris worm)事件后一周,美国成立了全球最早的信息安全应急响应组织——计算机应急响应工作组( Computer Emergency Response team,CERT),对计算机安全方面的事件做出反应、采取行动,并为国际应急响应的骨干组织成立了计算机事件响应与安全工作组论坛( Forum of Incident Response and Security Teams, FIRST),积极开展相关培训工作。自此,不仅美国各有关部门纷纷成立自己的计算机信息安全事件处理组织,世界上其他国家和地区也纷纷成立应急组织。199年9月,中国国家计算机网络应急技术处理协调中心( CNCERT/CC)成立,2002年8月成为计算机事件响应与安全工作组坛正式会员,逐步形个涵盖全国的网络安全监测中心、预警中心和应急中心。

应急响应的作用主要表现在未雨绸缪和亡羊补牢两个方面:一方面是充分准备。这方面在管理上包括安全培训、制定安全政策和应急预案以及风险析等,技术上则要增加系统安全性,如备份、打补丁( Patch)、升级系统与件,有条件的可以安装防火墙( firewalls侵检测系统(IDS)和杀毒工具等。另一方面是事件发生后釆取的抑制、根除和恢复等措施。其目的在于尽可能地减少损失或尽快恢复正常运行。如收集系统特征,检测病毒、后门等恶意代码,隔离、限制或关闭网络服务,系统恢复,反击,跟踪总结等活动。

应急响应的重要性不仅体现在它是整个信息安全防御体系中一个不可或缺的环节,更重要的是一个有效的应急响应机制对于事件发生后稳定局势往往起到至关重要的作用,是发生事件后使局面避免陷入失控状态的有力保证。

更多内容您可前往信创致远http://www.dengbao110.com/查看。