“應急回響”對應的英文是“Incident Response”或“Emergency Response”等,通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生後所採取的措施。
基本介紹
對象,主要意義,
對象
計算機網路安全事件應急回響的對象是指針對計算機或網路所存儲、傳輸、處理的信息的安全事件,事件的主體可能來自自然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。按照計算機信息系統安全的三個目標,可以把安全事件定義為破壞信息或信息處理系統CIA的行為。比如:
3.破壞可用性(戰時最可能出現的網路攻擊)的安全事件:比如系統故障、拒絕服務攻擊、計算機蠕蟲(以消耗系統資源或網路頻寬為目的)等。但是越來越多的人意識到,CIA界定的範圍太小了,比如以下事件通常也是應急回響的對象:
4.掃描:包括地址掃描和連線埠掃描等,為了侵入系統尋找系統漏洞。
5.抵賴:指一個實體否認自己曾經執行過的某種操作,比如在電子商務中交易方之一否認自己曾經定購過某種商品,或者商家否認自己曾經接受過訂單。
6.垃圾郵件騷擾:垃圾郵件是指接收者沒有訂閱卻被強行塞入信箱的廣告、政治宣傳等郵件,不僅耗費大量的網路與存儲資源,也浪費了接收者的時間。
7.傳播色情內容:儘管不同的地區和國家政策不同,但是多數國家對於色情信息的傳播是限制的,特別是對於青少年兒童的不良影響是各國都極力反對的。
8.愚弄和欺詐:是指散發虛假信息造成的事件,比如曾經發生過幾個組織發布應急通告,聲稱出現了一種可怕的病毒“Virtual Card for You”,導致大量驚惶失措的用戶刪除了硬碟中很重要的數據,導致系統無法啟動。
主要意義
應急回響的活動應該主要包括兩個方面:
第一、未雨綢繆,即在事件發生前事先做好準備,比如風險評估、制定安全計畫、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施;
第二、亡羊補牢,即在事件發生後採取的措施,其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人,也可能來自系統,不如發現事件發生後,系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先,事前的計畫和準備為事件發生後的回響動作提供了指導框架,否則,回響動作將陷入混亂,而這些毫無章法的回響動作有可能造成比事件本身更大的損失;其次,事後的回響可能發現事前計畫的不足,吸取教訓,從而進一步完善安全計畫。因此,這兩個方面應該形成一種正反饋的機制,逐步強化組織的安全防範體系。
