网络安全事件应急响应实战一_安全运营

1、应急响应流程

应急响应分为六个阶段，分别是：

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

这种划分方法也称PDCERF方法。

实际上，应急响应并不是严格遵从这个方法的，大多数情况都要具体问题具体分析：

1. 准备阶段

以预防为主，主要是要进行风险评估等工作，包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。

2. 检测阶段

这个阶段是在安全事件发生后的，主要是判断安全事件是否还在发生，安全事件产生的原因，对业务的危害程度以及预计如何处理。

常见的安全事件有：

• 中病毒（勒索、挖矿等）
• 信息泄露（账号信息、敏感资料）
• 业务服务被破坏（网页篡改、破坏，数据被删等）
• 系统崩溃、网络瘫痪（ddos、批量请求）

3. 抑制阶段

抑制阶段主要是尽可能降低安全事件带来的损失，限制安全事件发生的范围和时长