网络应急响应概念

应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对、妥善处理。

网络应急响应  PDCERF(6阶段)

a.准备阶段：预防为主，例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程，建立信息沟通渠道，建立能够集合起来处理突发事件的体系。

b.检测阶段：检测事件是已经发生的还是正在进行中的，以及事件产生的原因。确定事件性质和影响的严重程度，以及预计采用什么样的专用资源来修复。

c.抑制阶段：限制攻击/破坏波及的范围，同时也是降低潜在的损失。抑制策略：完全关闭所有系统；从网络上断开主机或断开网络部分；修改所有防火墙和路由器过滤规则；封锁或删除被攻击的登录账号；加强对系统和网络行为的监控；设置诱饵服务器进一步获取事件信息；关闭受攻击的系统或其它相关系统的部分服务。

d.根除阶段:通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统。

e.恢复阶段：把被破坏的信息彻底换原到正常运作状态。

f.总结阶段：回顾并整合应急响应过程的相关信息，进行事后分析总结和修订安全计划、政策、程序，并进行训练，以防止入侵的再次发生。

思考点

探究网络应急响应与我们学习的课程之间的联系。