概述

        应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对。在发生确切的网络安全事件时，应急响应实施人员应及时采取行动，限制事件扩散和影响的范围，防范潜在的损失与破坏。实施人员应协助检查所有受影响的系统，提出基于安全事件的整体解决方案，并协助追查事件来源。

流程

        应急响应分为六个阶段：准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。

1、准备阶段

        以预防为主。建立企业安全政策及标准；建立安全加固方案；建立安全监控策略及设备；建立应急响应机制及所需的工具人员集群。

2、检测阶段

        检测事件发生状况，是否已经发生，为何发生，已经到达哪种程度、哪种范围，需要使用何种方法工具进行检测修复。确定应急响应的等级及方案。

3、抑制阶段

        限制攻击所波及的范围，降低潜在风险。抑制阶段的工作需以攻击检测的事件为基础实施抑制策略，所以正确检测分析攻击事件是重中之重。

4、根除阶段

        找出攻击根源，解决攻击事件并彻底根除，防止其他攻击者再次以相同方法对系统进行攻击。

5、恢复阶段

        把遭受攻击的系统、资源、信息等恢复至正常状态。

6、总结阶段

        分析回顾整个应急响应的过程，进行总结并指定相应的安全规范策略，防止或应对再次攻击行为。

客户收益

事前

        事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；

事后

        通过迅速响应安全事件，及时遏制攻击、隔离受影响系统，并采取有效的措施进行恢复，可以最大程度地减少潜在的损失。这包括数据泄露、服务中断、财务损失等方面。