網(wǎng)絡(luò)安全應(yīng)急響應(yīng)具體實施

1、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是在特定網(wǎng)絡(luò)和系統(tǒng)面臨或已經(jīng)遭受突然攻擊行為時， 進行快速應(yīng)急反應(yīng)，提出并實施應(yīng)急方案。作為一項綜合性工作，網(wǎng)絡(luò)安 全應(yīng)急響應(yīng)不僅涉及入侵檢測、事件診斷、攻 擊隔離、快 速恢復(fù)、網(wǎng)絡(luò)追 蹤、計算機取證、自動響應(yīng)等關(guān)鍵技術(shù)，對安全管理也提出更高的要求。根據(jù)應(yīng)急事件處理的PDCERF方法學(xué)，將應(yīng)急響應(yīng)分為準(zhǔn)備、檢測、抑制、 根除、恢復(fù)、跟進6個階段的工作，本文按照各個階段主要應(yīng)用的關(guān)鍵技 術(shù)進行介紹。準(zhǔn)備(Preparation )階段是網(wǎng)絡(luò)安全事件響應(yīng)的第一個階段，也屬于一個過 渡階段，即橫跨在網(wǎng)絡(luò)安全事件真正發(fā)生前和有跡象將要發(fā)生的時間段上，大 部分工作需要在應(yīng)急響應(yīng)之前就已做

2、好準(zhǔn)備。這一階段極為重要，因為事件發(fā) 生時可能需要在短時間內(nèi)處理較多事務(wù)，如果沒有足夠的準(zhǔn)備，將無法準(zhǔn)確地 完成及時響應(yīng)，導(dǎo)致難以意料的損失。(一)準(zhǔn)備階段工作內(nèi)容準(zhǔn)備階段的工作內(nèi)容主要有2個，一是對信息網(wǎng)絡(luò)系統(tǒng)進行初始化快照。二是準(zhǔn)備應(yīng)急響應(yīng)工具包。系統(tǒng)快照是指常規(guī)情況下，信息系統(tǒng)進程、賬 號、服務(wù)端口和關(guān)鍵文件簽名等狀態(tài)信息的記錄。通過在系統(tǒng)初始化或發(fā) 生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下，立即制作并保存系統(tǒng) 快照，并在檢測的時候?qū)⒈４娴目煺张c信息系統(tǒng)當(dāng)前狀態(tài)進行對比，是后 續(xù)“檢測”又全事件的一種重要途徑。1、系統(tǒng)快照系統(tǒng)快照是系統(tǒng)正常狀態(tài)下的精簡化描述，因此須在確保系統(tǒng)未被入侵

3、的 前提下，由系統(tǒng)維護人員完成系統(tǒng)快照的生成和保存工作，注意執(zhí)行系統(tǒng) 快照留存的時間點有以下幾種。(1)系統(tǒng)初始化安裝完成后。(2)系統(tǒng)重要配置文件發(fā)生更改后。(3)系統(tǒng)進行軟件升級后。(4)系統(tǒng)發(fā)生過安全入侵事件并恢復(fù)后。在進行安全檢測時，通過將最近保存的系統(tǒng)快照與當(dāng)前系統(tǒng)快照進行仔細 的核對，能夠快速、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)的改變或異常。準(zhǔn)備階段還應(yīng)包括建立安全保障措施、對系統(tǒng)進行安全加固，制定安全事 件應(yīng)急預(yù)案規(guī)范，進行應(yīng)急演練等內(nèi)容。主機系統(tǒng)快照，應(yīng)包括但并不限于以下內(nèi)容。(1)系統(tǒng)進程快照。(2)關(guān)鍵文件簽名快照。(3)開放的對外服務(wù)端口快照。(4)系統(tǒng)資源利用率的快照。(5)注冊表快照。(

4、6)計劃任務(wù)快照。(7)系統(tǒng)賬號快照。(8)日志及審核策略快照。以上內(nèi)容中的系統(tǒng)進程快照、關(guān)鍵文件簽名和系統(tǒng)賬號快照尤為重要, 般入侵事件均可通過此3項快照的關(guān)聯(lián)分析查找獲得重要信息。網(wǎng)絡(luò)設(shè)備快照應(yīng)包括但并不限于以下內(nèi)容。(1 )路由快照。(2)設(shè)備賬號快照。(3)系統(tǒng)資源利用率快照。數(shù)據(jù)庫系統(tǒng)快照照應(yīng)包括但并不限于以下內(nèi)容。(1 )開啟的服務(wù)。(2)所有用戶及所具有的角色及權(quán)限。(3)概要文件。(4)數(shù)據(jù)庫參數(shù)。(5)所有初始化參數(shù)。2、應(yīng)急響應(yīng)工具包應(yīng)急響應(yīng)工具包是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中使用工具的集合。該工具包應(yīng)由安全技術(shù)人員及時建立，并定時更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)

5、生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中的可信基礎(chǔ)。本規(guī)范結(jié)合實際工作情況，具體說明了Windows 應(yīng)急響應(yīng)工具包和Unix/Linux 應(yīng)急響應(yīng)工具包。工具包應(yīng)盡量放置在不可更改的介質(zhì)上，如只讀光盤。(二)準(zhǔn)備階段工作流程第一步：系統(tǒng)維護人員按照系統(tǒng)的初始化策略對系統(tǒng)進行安裝和配置加固第二步：系統(tǒng)維護人員對安裝和配置加固后的系統(tǒng)進行自我檢查，確認是 否加固完成。第三步：系統(tǒng)維護人員建立系統(tǒng)狀態(tài)快照。第四步：系統(tǒng)維護人員對快照信息進行完整性簽名，以防止快照被非法篡 改。第五步：系統(tǒng)維護人員將快照保存在與系統(tǒng)分離的存儲介質(zhì)上準(zhǔn)備階段的具體流程如圖1所示建立和保存系統(tǒng)狀態(tài)快照對快照進行完整性

6、簽名快照保存尋1在至的度流程圖1準(zhǔn)備階段流程（三）準(zhǔn)備階段操作說明1、對系統(tǒng)的影響：操作不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟。2、操作的復(fù)雜度（容易 /普通/復(fù)雜）：容易。3、操作效果：對執(zhí)行后的結(jié)果必須保存到不可更改的存儲介質(zhì)。4、操作人員：各操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護人員。二、檢測階段講述檢測階段的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實施。結(jié)合準(zhǔn)備階段生成的系統(tǒng)初始化 狀態(tài)快照，這里概要介紹檢測安全事件（系統(tǒng)安全事件、網(wǎng)絡(luò)安全事件、 數(shù)據(jù)庫安全事件）相關(guān)內(nèi)容和技術(shù)。除對比系統(tǒng)初始化快照外，安全事件檢測手段還包括部署入侵檢測設(shè)備、 流量監(jiān)控和防病毒系統(tǒng)集中監(jiān)控等。其中，入侵檢測系統(tǒng)通過

7、偵聽網(wǎng)絡(luò)流 量并與事先存在的攻擊特征匹配，實現(xiàn)對入侵事件的實時和自動發(fā)現(xiàn)。入 侵檢測系統(tǒng)往往存在較高的誤報率。實際應(yīng)用入侵檢測系統(tǒng)時，需要結(jié)合 部署環(huán)境的實際情況定制檢測策略，以保證檢測的準(zhǔn)確性。流量監(jiān)控的檢 測方式對于發(fā)現(xiàn)有明顯流量特征的安全事件，如網(wǎng)絡(luò)蠕蟲十分有效。在事 件檢測階段做到“及時發(fā)現(xiàn)”，必須合理利用各種已有的檢測手段，綜合分 析發(fā)現(xiàn)安全事件的真實原因。（一）檢測階段工作內(nèi)容 檢測階段是應(yīng)急響應(yīng)執(zhí)行過程中的關(guān)鍵一環(huán)，在這個階段需要系統(tǒng)維護人 員使用初級檢測技術(shù)進行檢測，確定系統(tǒng)是否出現(xiàn)異常。在發(fā)現(xiàn)異常情況 后，形成安全事件報告，由安全技術(shù)人員和安全專業(yè)技術(shù)人員介入進行高 級檢測來

8、查找安全事件的真正原因，明確安全事件的特征、影響范圍并標(biāo) 識安全事件對受影響的系統(tǒng)所帶來的改變，最終形成安全事件的應(yīng)急處理 方案。（二）檢測階段工作流程第一步：系統(tǒng)維護人員或安全技術(shù)人員在執(zhí)行日常任務(wù)和檢測中發(fā)現(xiàn)系統(tǒng) 異常。第二步：發(fā)現(xiàn)異常情況后，形成安全事件報告。第三步：安全技術(shù)人員、系統(tǒng)維護人員和第三方安全事件應(yīng)急服務(wù)人員查 找安全事件的原因。第四步：安全技術(shù)人員、系統(tǒng)維護人員和第三方安全事件應(yīng)急服務(wù)人員確 定安全事件的原因、性質(zhì)和影響范圍第五步：安全技術(shù)人員、系統(tǒng)維護人員和第三方安全事件應(yīng)急服務(wù)人員確定安全事件的應(yīng)急處理方案。檢測階段工作流程如圖2所示。啟動檢測，發(fā)現(xiàn)系統(tǒng)異常形成安全事件

9、報告杳找安全事件的原因確定安全事件的原因、性質(zhì)和影響范圍口確定安全事件的應(yīng)急處理方案:J圻邦護百徘奇曜32檢鞭段的流程圖2檢測階段的流程此階段工作中應(yīng)注意，第三方安全事件應(yīng)急服務(wù)人員應(yīng)在必要時參加；制定應(yīng)急處理方案應(yīng)包含實施方案失敗的應(yīng)變和回退措施。（三）操作說明第一，檢測階段操作不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各 個步驟，但在事件驅(qū)動檢測方式中，確定有安全事件發(fā)生的情況下必須根 據(jù)流程采取相應(yīng)的措施，防止中斷系統(tǒng)或網(wǎng)絡(luò)的正常運行。第二，初級檢測操作的復(fù)雜度為“普通”，高級檢測操作的復(fù)雜度為“復(fù)雜”。第三，例行檢測是一種積極的方式，能預(yù)先發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)存在的漏洞， 可根據(jù)流程采取補

10、救措施；事件驅(qū)動方式的檢測方法對安全事件能迅速響 應(yīng)，不會讓安全事件擴大。第四，檢測階段的操作人員主要有：系統(tǒng)維護人員、安全技術(shù)人員、第三 方安全事件應(yīng)急服務(wù)人員、安全評估人員。三、抑制和根除階段介紹各類安全事件（拒絕服務(wù)類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫 SQL注入類攻擊）相應(yīng)的抑制（Containment ）或根除（Eradication ）方法和技術(shù)。（一）抑制和根除階段工作內(nèi)容首先，網(wǎng)絡(luò)安全攻擊事件的進行可以分為拒絕服務(wù)類攻擊、系統(tǒng)漏洞及惡 意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽類攻擊、數(shù)據(jù)庫SQL注入類攻 擊，針對每一類攻擊事件都需提供抑制方法，

11、以及可操作性的技術(shù)規(guī)范和 指導(dǎo)。抑制是對攻擊所影響的范圍、程度進行扼制，通過采取各種方法，控制、 阻斷、轉(zhuǎn)移安全攻擊。抑制階段主要是針對前面檢測階段發(fā)現(xiàn)的攻擊特征， 比如攻擊利用的端口、服務(wù)、攻擊源、攻擊利用系統(tǒng)漏洞等，采取有針對 性的安全補救工作，以防止攻擊進一步加深和擴大。抑制階段的風(fēng)險是可能對正常業(yè)務(wù)造成影響，如系統(tǒng)中了蠕蟲病毒后要拔 掉網(wǎng)線，遭到DDoS 攻擊時會在網(wǎng)絡(luò)設(shè)備上做一些安全配置，由于簡單口 令遭到入侵后要更改口令會對系統(tǒng)的業(yè)務(wù)造成中斷或延遲，所以在采取抑 制措施時，必須充分考慮其風(fēng)險。根除階段是在抑制的基礎(chǔ)上，對引起該類安全問題的最終技術(shù)原因在技術(shù) 上進行完全的杜絕，并對這

12、類安全問題所造成的后果進行彌補和消除。在 根除階段，采取措施最大的風(fēng)險主要是在系統(tǒng)升級或補丁時可能造成系統(tǒng) 故障，所以必須做好備份工作。在進入抑制和根除階段之前，應(yīng)形成安全事件應(yīng)急響應(yīng)方案，并對方案的 實施獲取必要的管理授權(quán)。（二）抑制和根除階段工作流程第一步：應(yīng)急處理方案獲得授權(quán)。第二步：系統(tǒng)維護人員、安全技術(shù)人員和第三方安全事件應(yīng)急服務(wù)人員共 同測試應(yīng)急處理方案驗證效果。第三步：系統(tǒng)維護人員、安全技術(shù)人員和第三方安全事件應(yīng)急服務(wù)人員共 同測試應(yīng)急處理方案是否影響系統(tǒng)運行，對系統(tǒng)的影響程度不可接受時返 回檢測階段。第四步：實施應(yīng)急處理方案。第五步：當(dāng)實施應(yīng)急處理方案失敗的情況下，采 取應(yīng)變和

13、回退措施，并返 回到檢測階段。抑制和根除階段工作流程如圖3所示。應(yīng)急處理方案獲得授權(quán)測試應(yīng)急處理方案圖3抑制和根除階段工作流程此階段工作中應(yīng)注意以下兩點。1、第三方安全事件應(yīng)急服務(wù)人員僅在必要時參加。2、測試工作根據(jù)實際情況可以選擇口頭演練、試驗室測試、 現(xiàn)網(wǎng)局部測試3種方式進行。（三）抑制和根除階段操作說明 第一，應(yīng)急處理方案由相關(guān)人員和第三方安全事件應(yīng)急服務(wù)人員共同制定， 根據(jù)流程需進行嚴格和充分的測試，但是由于抑制和根除操作需要對系統(tǒng) 作相關(guān)設(shè)置，加上一些系統(tǒng)實際情況較為特殊和復(fù)雜，必須根據(jù)系統(tǒng)實際 情況制定實施應(yīng)急處理方案失敗的應(yīng)變和回退措施。第二，抑制和根除階段操作的復(fù)雜度為“復(fù)雜”

14、。第三，具體執(zhí)行操作人員包括系統(tǒng)維護人員、安全技術(shù)人員、第三方安全 事件應(yīng)急服務(wù)人員。四、恢復(fù)階段恢復(fù)階段是指通過采取一系列的措施將系統(tǒng)恢復(fù)到正常業(yè)務(wù)狀態(tài)。下面所 闡述的內(nèi)容未包含恢復(fù)階段的全部技術(shù)內(nèi)容，尤其是與各個業(yè)務(wù)系統(tǒng)實際 情況相結(jié)合的部分，有關(guān)此部分的內(nèi)容應(yīng)在各業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案和業(yè)務(wù) 連續(xù)性計劃中體現(xiàn)。介紹的恢復(fù)方式包含2種。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情 況下，直接刪除并恢復(fù)所有變化；二是在應(yīng)急處理方案中未列明所有系統(tǒng) 變化的情況下，重裝系統(tǒng)。（一）恢復(fù)階段工作內(nèi)容主要內(nèi)容是將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)。在系統(tǒng)遭到入侵后，攻擊者一 定會對入侵的系統(tǒng)進行更改。同時，攻擊者還會

15、想盡各種辦法使這種修改 不被系統(tǒng)維護人員發(fā)現(xiàn)。從而達到隱藏自己的目的。在根除階段能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，并且能夠確定系統(tǒng) 在所有變化完全根除的情況下，通過直接恢復(fù)業(yè)務(wù)系統(tǒng)的方式來恢復(fù)系統(tǒng) 這種恢復(fù)方式的優(yōu)點是時間短、系統(tǒng)恢復(fù)快、系統(tǒng)維護人員工作量小和對 業(yè)務(wù)的影響較小。在根除階段不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng) 是否經(jīng)過根除后已達干凈時，就一定要徹底地重裝系統(tǒng)。簡單地說，系統(tǒng) 重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復(fù)手段。（二）恢復(fù)階段工作流程第一步：如果應(yīng)急處理方案中列明所有系統(tǒng)變化，刪除并恢復(fù)所有變化， 實施安全加固。第二步：如果存在應(yīng)急處理方案中未列明所有的系統(tǒng)變

16、化，備份重要數(shù)據(jù)， 低級格式化磁盤。抑制和根除階段系統(tǒng)安全加固備份數(shù)據(jù)，低格磁盤系統(tǒng)初始化火 .計算初與網(wǎng)絡(luò)安全:一箕二險二隆=程圖4恢復(fù)階段工作流程（三）恢復(fù)階段操作說明應(yīng)急處理方案 是否列明所有 一系統(tǒng)變化一第抑制和根除階段系統(tǒng)安全加固備份數(shù)據(jù)，低格磁盤系統(tǒng)初始化火 .計算初與網(wǎng)絡(luò)安全:一箕二險二隆=程圖4恢復(fù)階段工作流程（三）恢復(fù)階段操作說明應(yīng)急處理方案 是否列明所有 一系統(tǒng)變化一第|恢復(fù)所有變化具體過程如圖4所示。對系統(tǒng)再次快照，審計合格后方可上線運行。第一，恢復(fù)階段操作對系統(tǒng)的影響較大，操作系統(tǒng)需要停止，安全加固后,操作的復(fù)雜度為“普通”，但必須嚴格按照操作步驟執(zhí)行。第三步：嚴格按照

17、系統(tǒng)的初始化安全策略安裝和加固。第三，操作人員一般僅為企業(yè)內(nèi)部系統(tǒng)維護人員。(四)重裝系統(tǒng)由于恢復(fù)階段可以采取重裝系統(tǒng)這一簡單有效的辦法達到初始運行狀態(tài)， 因此再介紹一下重裝系統(tǒng)的步驟和需要注意的事項。1、重裝系統(tǒng)時應(yīng)采取的步驟(1)重新安裝操作系統(tǒng)之前要確定所有資料已經(jīng)備份。備份的資料要保證 是沒有被攻擊者改變的干凈的資料。(2)低級格式化硬盤，確保所有磁盤分區(qū)為系統(tǒng)的安全分區(qū)。(3)操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)，注意權(quán)限配 置。(4)不要安裝不需要的軟件、協(xié)議和服務(wù)，盡量最小化安裝。(5)安全加固請參閱安全配制文檔并打上所有的補丁。(6)安裝應(yīng)用軟件如IIS ,應(yīng)參照安

18、全配置文檔進行配置。(7)安裝操作系統(tǒng)和應(yīng)用軟件的最新補丁(8)恢復(fù)備份的資料(9)恢復(fù)業(yè)務(wù)系統(tǒng)2、重裝系統(tǒng)時的注意事項(1)為了徹底消除攻擊者可能留下的安全隱患，一定進行低級格式化。這樣做將刪除所有的資料并且沒有辦法再恢復(fù)，所以一定要做好備份工作。(2)在重新安裝系統(tǒng)的時候要嚴格遵守系統(tǒng)安裝的各項規(guī)定(3)系統(tǒng)在安裝和安全配置沒有全部做好之前，嚴禁連接網(wǎng)絡(luò)(4)恢復(fù)系統(tǒng)的應(yīng)用和數(shù)據(jù)的時候，要對應(yīng)用和數(shù)據(jù)進行檢查。以免其中存在的漏洞隨著數(shù)據(jù)恢復(fù)被安裝在系統(tǒng)上。(五)安全加固及系統(tǒng)初始化在系統(tǒng)重裝完畢后，正式上線以前，必須做好以下兩件事情1、安全加固進行系統(tǒng)的安全加固工作；尤其要注意對引發(fā)安全事

19、件的漏洞的修復(fù)和加 固的處理，如果手冊上沒有，要及時對手冊進行更新。2、安全快照在進行安全加固后，按照第一階段介紹的方法做好系統(tǒng)的安全快照。五、跟進階段跟進(Follow-up )階段的目的是通過對系統(tǒng)的審計(進行完整的檢測流程),確認系統(tǒng)有沒有被再入侵。在檢測過程中特別應(yīng)該注意的是檢查抑制和根除階段的工作效果。同時回顧、總結(jié)并整合發(fā)生應(yīng)急響應(yīng)事件過程中的相關(guān)信息。提高事件處理人員技能，以應(yīng)付將來發(fā)生的類似場景。提高安全事件應(yīng)急響應(yīng)的處理能力。跟進的意義在于：(1 )基于吸取的教訓(xùn)重新評估和修改安全事件應(yīng)急響應(yīng)相關(guān)措施；(2)調(diào)整組織的安全技術(shù)策略；(3)調(diào)整組織的安全管理策略和資源配置；(4

20、)促進安全事件應(yīng)急響應(yīng)能力和組織機構(gòu)的建設(shè)。跟進階段對抑制或根除的效果進行審計，從而為確認系統(tǒng)沒有被再次入侵 提供了幫助。(一)跟進階段工作內(nèi)容跟進階段是應(yīng)急響應(yīng)的最后一個階段，主要是對抑制或根除的效果進行審 計，確認系統(tǒng)沒有被再次入侵。下面將詳細說明跟進階段的工作要如何進 行、在何時進行比較合適、具體的工作流程、要思考和總結(jié)的問題以及需 要報告的內(nèi)容。跟進階段的主要任務(wù)是確認系統(tǒng)有沒有被再入侵，確認系 統(tǒng)有沒有被再入侵是通過對抑制或根除的效果進行審計完成的。這種審計 是一個需要定期進行的過程。通常，第一次審計應(yīng)該在一定期限之內(nèi)進行， 以后再進行復(fù)查，并輸出跟進階段的報告內(nèi)容，包括安全事件的類

21、型、時 間、檢測方法、抑制方法、根除方法、事件影響范圍等。要在跟進階段報 告中詳細記錄這些內(nèi)容。跟進階段還需對事件處理情況進行總結(jié)，吸取經(jīng)驗教訓(xùn)I,對 已有安全防護 措施和安全事件應(yīng)急響應(yīng)預(yù)案進行改進。跟進階段是安全事件應(yīng)急響應(yīng)6 個階段方法論的最后一個階段。跟進階段是6個階段中最可能被忽略的階 段。但這一步也是非常關(guān)鍵的。該階段需要完成的原因有以下幾點。1、有助于從安全事件中吸取經(jīng)驗教訓(xùn)，提高技能。2、有助于評判應(yīng)急響應(yīng)組織的事件響應(yīng)能力。3、如果可能的話，可以在更大范圍推廣介紹事件處理經(jīng)驗。（二）跟進階段工作流程第一步：執(zhí)行完整的檢測階段流程。第二步：確認系統(tǒng)是否再次被入侵，如果有，請回到抑制和根除階段。第三步：總結(jié)安全事件的處理過程和技能，調(diào)整安全策略，輸出總結(jié)文檔第四步：輸出跟進階段的報告內(nèi)容。第五步：安排再次審計，內(nèi)容同以上4個步驟。跟進階段的工作實施流程如圖5所示。（三）跟進階段操作說明1、對系統(tǒng)的影響：不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟。2、操作的復(fù)雜度（容易 /普通/復(fù)雜/）:普通。3、操作效果：確定系統(tǒng)狀態(tài)，總結(jié)應(yīng)急響應(yīng)流程和技術(shù)。4、操作人員：系統(tǒng)維護人員、安全技術(shù)人員、第三方安全事件應(yīng)急服務(wù)人員、安全評估人員。（四）跟進階段的報告格式及模板跟進階段最重要的任務(wù)就是要記錄下整個應(yīng)急響