应急响应部署与策略.pdf

一、网络安全应急响应小组的工作目标

网络安全应急响应活动主要包括2个方面：“未雨绸缪”和“亡羊补牢”。前

者是为了最大程度减少不确定性，避免应对的无序；后者是在面对网络安

全事故时及时控制局面，最大程度减少损失。在网络安全应急响应过程中，

可根据所要保护的网络资源，确定应急响应小组的目标。网络安全应急响

应通常要实现以下工作目标。

1、判断突发事件是否发生。

2、促进可靠信息的收集和积累。

3、保护法律和法规规定的隐私。

4、最小化组织业务和网络操作受到的损害，止损是应急响应工作的核

心目的。

5、针对犯罪分子提出刑事或民事诉讼。

6、给出事件报告和提出合理化的建议。

为实现上述目标，需要尽早谋划建立网络安全应急响应小组，遵循网络安

全应急响应内在规律，找到应急响应的方法，部署实施之后，还要依照制

定的网络安全应急响应规范，撰写应急响应报告。

二、建立网络安全应急响应小组

网络安全应急响应最重要的主体是应急响应组织，其作为应急响应的主要决策

者和执行者，也是各个阶段的指导者。作为专门处理安全事件的组织，其常用

的名称为CERT（ComputerEmergencyResponseTeam）或CSIRT

（ComputerSecurityIncidentResponseTeam）。网络安全应急响应小组

也可以定义为一种服务性的组织，主要负责接收、检查并响应计算机安全事件

的报告和活动。它通常为一个确定的集合体，该集合体可能是一个归属实体，

比如某个国家、地区、政府、公司、网络或教育机构等，也可能是某个付费客

户。一般来说，如果在网络安全突发事件发生后再去组建应急响应小组来处理

突发事件，通常已经太迟了，所以，网络安全应急响应小组需要提前建立。网

络安全应急响应小组人员需要在协调能力和专业知识2个方面达到一定的水

平，做到注意细节、控制局面、有条不紊地处理重要的事件，并且将自身所做

的工作记录成文档资料。

（一）网络安全应急响应小组的任务

网络安全应急响应小组应完成以下任务，共五类、14项内容。

1、排查试探

（1）利用有组织的、正式的调查流程来响应安全突发事件或可疑突发事

件。

（2）进行一次客观公正、彻底的调查。

（3）迅速地确认或排除是否真正发生了入侵或安全突发事件。

2、发力抑制

（1）评估突发事件的损失与范围。

（2）在调查期间，建立一条每天24h、每周7天的全天候客服热线。

（3）控制并牵制突发事件。

3、证据保全

（1）收集并归档所有与突发事件有关的证据。

（2）维护一个保管链（以便在收集完证据后保护证据）。

（3）在需要技术支持时选择额外的人力、物力支持。

（4）保护法律或公司策略所确立的隐私权。

4、司法介入

（1）与相应的司法部门和法律当局进行联络。

（2）保护突发事件的机密性，避免不必要的信息外露。

（3）提供专家证词。

5、管理建议

为管理部门提供强大的以事实为依据的突发事件处理建议。

（二）网络安全应急响应小组的组建

网络安全突发事件发生后，应急响应的主体应根据应急响应预案，快速组

建网络安全应急响应小组。组建应急响应小组且的执行责任主体应当是预

先选定的应急响应负责人、应急响应小组或应急响应办公室（以下统一简

称为负责人）。

应急响应负责人一般需要具备以下基本能力才能有效、快速地组建应急响

应小组。

（1）负责人应当具有一定的行政级别，否则往往难以有效地调动各个部门

的相关资源和人力。

（2）负责人应当非常熟悉应急响应的流程、体系和技术方法，确保应急响

应小组的组建全面有效，确保能够在第一时间找到正确的人处理正确的事。

（3）负责人应当非常熟悉所在机构或企业的业务体系和业务影响范围，有

能力在第一时间对网络安全突发事件的影响做出基本评估。

（4）负责人应当熟悉各个业务团队和技术团队，以确保能够在第一时间联

系相关人员，快速组建应急响应小组。

（5）负责人应当至少能够在短时间内专注于处理应急响应事件，肩负其他

重大紧急任务的人员不适合做应急响应负责人——应急响应负责人通常

都是兼