应急响应的产生及背景
应急响应服务的诞生—CERT/CC 1988年Morris蠕虫事件直接导致了CERT/CC的诞生。 美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前,CERT/CC是DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设三个部门:事件处理、脆弱性处理、计算机安全应急响应组(CSIRT)。 在CERT/CC 成立之后的14年里,共处理了28万多封Email,2万多个热线电话,其运行模式帮助了80多个CSIRT组织的建设。
什么是应急响应
应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式 应急响应服务是解决网络系统安全问题的有效安全服务手段之一 应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响 按照安全事件发生的可控性、严重程度和影响范围,应急响应可分为I、II、III、IV四个级别
应急响应需要具备的能力
应急响应服务的内容
拒绝服务攻击事件响应 恶意代码事件响应 非授权访问事件响应 不正确使用事件响应 恶意攻击事件响应
应急响应服务过程
1、准备阶段:服务需求界定;服务合同或协议签订;服务方案制定;人员和工具准备。
2、检测阶段:检测对象及范围确定;检测方案确定;检测实施。
3、抑制阶段:抑制方法确定;抑制方法认可;抑制实施。
4、根除阶段:根除方法确定;根除方法认可;根除实施。
5、恢复阶段:恢复方法确定;根恢复系统。
6、总结阶段:总结、报告。
