應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備工作，以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)在各個(gè)領(lǐng)域均屬于一個(gè)重要的研究方向，并且具有行業(yè)領(lǐng)域的獨(dú)特性。本文介紹的是信息安全領(lǐng)域的應(yīng)急響應(yīng)，是指應(yīng)急響應(yīng)組織根據(jù)事先對(duì)各種可能出現(xiàn)突發(fā)狀況的準(zhǔn)備，在信息安全事件發(fā)生后，進(jìn)行響應(yīng)、處理、恢復(fù)、跟蹤的方法及過程。下面將闡述信息安全應(yīng)急響應(yīng)的對(duì)象、作用、行為和必要性。

應(yīng)急響應(yīng)的對(duì)象

本文信息安全事件應(yīng)急響應(yīng)的對(duì)象泛指針對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)所處理信息的所有安全事件，事件的主體可能是自然災(zāi)害、人為操作、故障或者病毒與木馬等。除了傳統(tǒng)的針對(duì)保密性、完整性和可用性的分類外，應(yīng)急響應(yīng)的對(duì)象廣義上還包括掃描、滲透等所有違反安全政策的事件，它們也稱為應(yīng)急響應(yīng)的客體。

一般的應(yīng)急響應(yīng)流程中會(huì)出現(xiàn)至少三種角色，包括事件發(fā)起者、事件受害者和進(jìn)行應(yīng)急響應(yīng)的人員，簡(jiǎn)稱為“入侵者”、“受害者”和“響應(yīng)者”。入侵者泛指一切造成事件發(fā)生的角色。受害者是承受事件的一方，在事件中也是受保護(hù)的對(duì)象。響應(yīng)者有可能是與受害者同屬一個(gè)實(shí)體，但更多情況下，響應(yīng)者來自專業(yè)的響應(yīng)組織，比如網(wǎng)絡(luò)管理人員、安全廠商等。

應(yīng)急響應(yīng)的作用和行為

應(yīng)急響應(yīng)的作用主要體現(xiàn)在事前的充分準(zhǔn)備和安全事件發(fā)生后所采取的措施這兩個(gè)方面。

首先是事前的充分準(zhǔn)備，這方面在管理上包括安全培訓(xùn)、制定安全政策和應(yīng)急預(yù)案以及風(fēng)險(xiǎn)分析等，在技術(shù)上則需要增加系統(tǒng)安全性，如數(shù)據(jù)備份、打補(bǔ)丁、升級(jí)系統(tǒng)和軟件等，有條件的還應(yīng)該部署防火墻、防毒墻、入侵防御系統(tǒng)（IPS）和殺毒軟件等。

其次是安全事件發(fā)生后所采取的抑制、根除和恢復(fù)等措施，其目的在于盡可能減少損失或者盡快恢復(fù)系統(tǒng)的正常運(yùn)行。一般的措施包括收集系統(tǒng)特征，檢測(cè)病毒、木馬等惡意代碼，隔離、限制或關(guān)閉網(wǎng)絡(luò)服務(wù)，系統(tǒng)恢復(fù)，反擊，跟蹤總結(jié)等。

事前準(zhǔn)備和事后措施這兩個(gè)方面是互為補(bǔ)充的關(guān)系。事前的準(zhǔn)備為事件發(fā)生后的響應(yīng)動(dòng)作提供了指導(dǎo)框架，否則，事后的響應(yīng)措施將會(huì)陷入混亂，而這些毫無章法的響應(yīng)措施很可能造成比事件本身更大的損失。其次，事后的響應(yīng)可以發(fā)現(xiàn)事前計(jì)劃的不足，吸取經(jīng)驗(yàn)教訓(xùn)，從而進(jìn)一步完善信息安全防護(hù)計(jì)劃，避免以后類似的安全事件發(fā)生。

應(yīng)急響應(yīng)的必要性

實(shí)施應(yīng)急響應(yīng)機(jī)制的目的就是盡可能地減少和控制信息安全事件的損失，并努力防止安全事件的再度發(fā)生。但是，應(yīng)急響應(yīng)本質(zhì)上是一種被動(dòng)性的安全體系，它是持續(xù)運(yùn)行并需要由一定條件觸發(fā)的體系。與此相反，加密、認(rèn)證等行為則具備更多的主動(dòng)性，那么為什么業(yè)界要對(duì)這種被動(dòng)性的體系投入越來越多的精力呢？

首先，歷史經(jīng)驗(yàn)證明，絕大多數(shù)發(fā)生過的信息安全事件都容易造成驚人的損失并顯示出巨大的危害性，而且隨著系統(tǒng)和軟件功能的多樣化發(fā)展，軟件架構(gòu)變得越來越復(fù)雜，再加上軟件行業(yè)的不規(guī)范以及整體的發(fā)展滯后，這些問題造就了目前軟件系統(tǒng)漏洞百出的現(xiàn)狀。同時(shí)，網(wǎng)絡(luò)發(fā)展日新月異，網(wǎng)絡(luò)架構(gòu)愈發(fā)復(fù)雜，邊界愈發(fā)模糊，帶寬迅速增加，這都為惡意代碼的傳播創(chuàng)造了便利條件，人們可以隨意下載攻擊工具，而使用這些攻擊工具并不需要專業(yè)的計(jì)算機(jī)知識(shí)，“小白”用戶即可輕松使用，比如網(wǎng)上隨意可以下載的端口掃描軟件，這樣就放大了來自網(wǎng)絡(luò)的非法入侵的效應(yīng)。

但與此對(duì)應(yīng)的是，入侵防御系統(tǒng)（IPS）還遠(yuǎn)沒有設(shè)想的成功，雖然現(xiàn)在的IPS系統(tǒng)已經(jīng)在企業(yè)網(wǎng)絡(luò)安全體系中發(fā)揮著重要作用，但是截至到目前為止，IPS的實(shí)現(xiàn)與運(yùn)行原理仍然存在若干不現(xiàn)實(shí)性，這就限制了IPS從設(shè)想到實(shí)現(xiàn)的腳步，漏報(bào)、誤報(bào)一直是IPS所無法克服的問題。

其實(shí)安全是相對(duì)的，沒有絕對(duì)的安全，所有的安全產(chǎn)品，包括殺毒軟件、防火墻、防毒墻、Web防護(hù)等，都達(dá)不到能夠完全保證目標(biāo)安全的效果。而且從安全管理的角度上考慮，并非所有的企業(yè)都有足夠的實(shí)力進(jìn)行安全的網(wǎng)絡(luò)管理，因此，作為補(bǔ)救性的應(yīng)急響應(yīng)是必不可少的，可以說，應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線。另外，從法律角度講，應(yīng)急響應(yīng)也是將安全事件訴諸法律的必要途徑。

與應(yīng)急響應(yīng)相關(guān)的關(guān)鍵技術(shù)

應(yīng)急響應(yīng)涉及到信息安全學(xué)科內(nèi)幾乎所有的技術(shù)，下面介紹一些與應(yīng)急響應(yīng)密切相關(guān)的關(guān)鍵技術(shù)。

1.入侵檢測(cè)

應(yīng)急響應(yīng)是由信息安全事件所觸發(fā)，而事件的觸發(fā)主要依靠檢測(cè)手段，入侵檢測(cè)技術(shù)則是目前最主要的檢測(cè)手段。當(dāng)前應(yīng)急響應(yīng)領(lǐng)域研究的熱點(diǎn)之一就是自動(dòng)入侵響應(yīng)，目標(biāo)就是使入侵檢測(cè)系統(tǒng)（IDS）具備自動(dòng)響應(yīng)的能力。

2.事件隔離與快速恢復(fù)

對(duì)于安全性和保密性要求高的環(huán)境，在檢測(cè)和收集信息的基礎(chǔ)上，尤其是確定了事件類型和攻擊源之后，應(yīng)該及時(shí)隔離攻擊源，這是制止事件影響進(jìn)一步惡化的有效措施。另一方面，對(duì)于對(duì)外提供不可中斷服務(wù)的環(huán)境，如門戶網(wǎng)站等，應(yīng)急響應(yīng)過程就應(yīng)該側(cè)重考慮盡快恢復(fù)系統(tǒng)的正常運(yùn)行，或是最小限度的正常運(yùn)行，這其中也可能涉及到事件優(yōu)先級(jí)認(rèn)定、完整性檢測(cè)和域名切換等技術(shù)。

3.網(wǎng)絡(luò)追蹤和定位

在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后，就需要確定攻擊者的網(wǎng)絡(luò)地址以及攻擊的路徑。由于攻擊發(fā)起者可能通過抓取肉雞的方式進(jìn)行跳板式攻擊，因此在現(xiàn)在的TCP/IP網(wǎng)絡(luò)基礎(chǔ)設(shè)備之上進(jìn)行網(wǎng)絡(luò)追蹤和定位是相當(dāng)困難的。

4.取證技術(shù)

取證是一門針對(duì)不同情況要求靈活處理的技術(shù)，它要求實(shí)施者全面、詳細(xì)地了解系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用軟件的使用與運(yùn)行狀態(tài)，對(duì)人的要求非常高（這一點(diǎn)與應(yīng)急響應(yīng)本身的情況類似）。目前主要的取證對(duì)象是各種日志的審計(jì)，但并不是絕對(duì)的，取證可能來自任何一點(diǎn)蛛絲馬跡。