网络信息系统应急响应

网络安全应急响应主要是提供一种机制，保证资产在遭受攻击时能够及时地取得专业人员、安全技术等资源的支持，并且保证在紧急的情况下能够按照既定的程序高效有序地开展工作，使网络业务免遭进一步的侵害，或者是在网络资产已经被破坏后还能够在尽可能短的时间内迅速恢复业务系统，减小业务的损失。

我国应急响应组织

CNCERT/CC成立于2001年8月，主页为http://www.cert.org.cn/，主要职责是协调我国各计算机网络安全事件应急小组，共同处理国家公共电信基础网络上的安全紧急事件，为国家公共电信基础网络、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威信息，组织国内计算机网络安全应急组织进行国际合作和交流。

其从事的工作内容如下：

1. 信息获取
2. 事件监测
3. 事件处理
4. 数据分析
5. 资源建设
6. 安全研究
7. 安全培训
8. 技术咨询
9. 国际交流

应急响应的阶段

1. 准备阶段

   准备阶段的主要工作包括建立合理的防御/控制措施，建立适当的策略和程序，获得必要的资源和组建应急响应队伍等。

2. 检测阶段

   检测阶段要做出初步的动作和响应，根据获得的初步材料和分析结果，估计事件的范围，制订进一步的响应策略，并且保留可能用于司法程序的证据。

3. 抑制阶段

   抑制的目的是限制攻击的范围。抑制措施十分重要，因为太多的安全事件可能导致迅速失控。

4. 根除阶段

   在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源并彻底清除。

5. 恢复阶段

   恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。

6. 报告和总结阶段

   这个阶段的目标是回顾并整理发生事件的各种相关信息，尽可能地把所有情况都记录到文档中。这些记录的内容，不仅对有关部门的其他处理工作具有重要意义，而且对将来应急工作的开展也是非常重要的积累。

Windows系统应急响应方法

1. 拔掉网线，关掉无线网络
2. 查看、对比进程，找到出问题的进程
3. 查看、对比端口，找出产生问题的端口
4. 查看开放端口所对应的程序
5. 查看、对比注册表
6. 查看其他安全工具的日志

计算机犯罪取证

1. 对比分析技术
2. 关键字查询技术
3. 数据恢复技术
4. 文件指纹特征分析技术
5. 残留数据分析技术
6. 磁盘存储空闲空间的数据分析技术
7. 磁盘备份文件、镜像文件、交换文件、临时文件分析技术
8. 记录文件的分析技术
9. 入侵检测分析技术
10. 陷阱技术