隨著電子商務(wù)和在線交易已經(jīng)成為當(dāng)今商業(yè)社會的一部分，越來越多的公司被發(fā)現(xiàn)網(wǎng)絡(luò)中存在安全隱患而遭受計算機罪犯勒索。當(dāng)企業(yè)的網(wǎng)絡(luò)中出現(xiàn)安全漏洞時，公司的核心商業(yè)信息和業(yè)務(wù)的機密信息會被盜竊。另外與在線銀行有關(guān)的詐騙也逐漸增加，零售商的后臺數(shù)據(jù)庫被攻擊，信用卡信息被盜竊。越來越多的公司因受到拒絕服務(wù)攻擊的不斷增加而丟失利潤和生產(chǎn)力。

計算機犯罪、蠕蟲病毒事件不斷發(fā)生，企業(yè)應(yīng)該怎樣做好計算機應(yīng)急響應(yīng)工作，以保證企業(yè)在受到攻擊時遭受最少的經(jīng)濟損失。葉子在下面的文章中談?wù)勛约旱目捶ā?/p>

在1988年的莫里斯蠕蟲事件后，美國就建立了全球最早的計算機應(yīng)急響應(yīng)組織（CERT）。我國自1999年成立第一個應(yīng)急響應(yīng)組織以來，在處理幾次大規(guī)模網(wǎng)絡(luò)安全事件中發(fā)揮出明顯的作用。那么企業(yè)應(yīng)該怎樣建立應(yīng)急響應(yīng)組織呢？我們還是先來了解一下什么是應(yīng)急響應(yīng)。

什么是應(yīng)急響應(yīng)呢？
通常來說，應(yīng)急響應(yīng)泛指安全技術(shù)人員在遇到突發(fā)事件后所采取的措施和行為。而突發(fā)事件則是指影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。

應(yīng)急處理的兩個根本性目標：確保恢復(fù)、追究責(zé)任。
除非是“事后”處理的事件，否則應(yīng)急處理人員首先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能。在確保恢復(fù)的工作中，應(yīng)急處理人員需要保存各種必要的證據(jù)，以供將來其他工作使用。追究責(zé)任涉及到法律問題，一般用戶單位或第三方支援的應(yīng)急處理人員主要起到配合分析的作用，因為展開這樣的調(diào)查通常需要得到司法許可。

多數(shù)企業(yè)都建立了應(yīng)急響應(yīng)的獨立團隊，通常稱為計算機安全應(yīng)急響應(yīng)小組（Computer Security Incident Response Team，CSIRT），以響應(yīng)計算機安全事件。應(yīng)急響應(yīng)涉及多門學(xué)科，要求多種能力：通常要求從公司的不同部分獲取資源。人力資源部人員、法律顧問、技術(shù)專家、安全專家、公共安全官員、商業(yè)管理人員、最終用戶、技術(shù)支持人員和其他涉及計算機安全應(yīng)急響應(yīng)的人員。當(dāng)然這些人員大部分是兼職的，需要在應(yīng)急響應(yīng)工作中進行配合。

企業(yè)有了獨立的應(yīng)急響應(yīng)小組后，應(yīng)該開始做哪些工作呢？
根據(jù)應(yīng)急響應(yīng)的PDCERF方法，我們分為六個階段來處理，分別是準備（Preparation）、檢測(Detection)、遏制(Containment)、根除(Eradication)、恢復(fù)(Recovery)、跟蹤(Follow-up)。如下所示：

第一階段：準備（Preparation）
此階段以預(yù)防為主。主要工作涉及識別公司的風(fēng)險，建立安全政策，建立協(xié)作體系和應(yīng)急制度；按照安全政策配置安全設(shè)備和軟件，為應(yīng)急響應(yīng)與恢復(fù)準備主機。通過網(wǎng)絡(luò)安全措施，為網(wǎng)絡(luò)進行一些準備工作，比如掃描、風(fēng)險分析、打補丁，如有條件且得到許可，建立監(jiān)控設(shè)施，建立數(shù)據(jù)匯總分析的體系和能力；制訂能夠?qū)崿F(xiàn)應(yīng)急響應(yīng)目標的策略和規(guī)程，建立信息溝通渠道和通報機制，有關(guān)法律法規(guī)的制定；創(chuàng)建能夠使用的響應(yīng)工作包；建立能夠集合起來處理突發(fā)事件的CSIRT。

第二階段：檢測(Detection)
檢測事件是已經(jīng)發(fā)生還是在進行中，以及事件產(chǎn)生的原因和性質(zhì)。確定事件性質(zhì)和影響的嚴重程度，預(yù)計采用什么樣的專用資源來修復(fù)。選擇檢測工具，分析異常現(xiàn)象，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別，估計安全事件的范圍。通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件；確定應(yīng)急等級，決定啟動哪一級應(yīng)急方案。

第三階段：遏制(Containment)
及時采取行動遏制事件發(fā)展。初步分析，重點確定適當(dāng)?shù)亩糁品椒ǎ绺綦x網(wǎng)絡(luò)，修改所有防火墻和路由器的過濾規(guī)則，刪除攻擊者的登錄賬號，關(guān)閉被利用的服務(wù)或者關(guān)閉主機等；咨詢安全政策；確定進一步操作的風(fēng)險，控制損失保持最小；列出若干選項，講明各自的風(fēng)險，應(yīng)該由服務(wù)對象來做決定。確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小；通過協(xié)調(diào)爭取各網(wǎng)一致行動，實施隔離；匯總數(shù)據(jù)，估算損失和隔離效果。

第四階段：根除(Eradication)
徹底解決問題隱患。分析原因和漏洞；進行安全加固；改進安全策略。加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端問題；加強檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點部門的問題。

第五階段：恢復(fù)(Recovery)
被攻擊的系統(tǒng)由備份來恢復(fù)；做一個新的備份；對所有安全上的變更作備份；服務(wù)重新上線并持續(xù)監(jiān)控。持續(xù)匯總分析，解各網(wǎng)的運行情況；根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性；通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模；發(fā)現(xiàn)重要用戶及時通報解決；適當(dāng)?shù)臅r候解除封鎖措施。

第六階段：跟蹤(Follow-up)
關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方；建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果；對響應(yīng)效果給出評估；對進入司法程序的事件，進行進一步的調(diào)查，打擊違法犯罪活動。

以上就是企業(yè)在發(fā)生應(yīng)急響應(yīng)時應(yīng)該參照的響應(yīng)方法，具體業(yè)務(wù)相關(guān)的，可以進一步細化響應(yīng)過程。另外企業(yè)發(fā)生重大安全事件，如果內(nèi)部應(yīng)急響應(yīng)小組無法處理，可上報國家計算機應(yīng)急響應(yīng)協(xié)調(diào)中心（CNCERT）來處理。