反應性網絡風險管理方法包括哪些階段

反應性網絡風險管理方法包括以下階段：

• 遏制損害階段：遏制攻擊造成的損害有助于遏制其他損害。快速保護重要的數據、軟件和硬件。最大程度地減少計算機應用資源的中斷是一個重要的考慮因素，但是在攻擊期間保持系統運行可能會導致比長期運行時更為廣泛傳播的問題。例如，如果環境感染了蠕蟲病毒，可以通過斷開服務器與網絡的連接來遏制損害。但是，有時斷開服務器可能導致更大損害而無益。請使用最好的判斷力及對自己網絡與系統的了解做出此決定。如果確定沒有副作用，或措施的正面效果超過了負面效果，在安全事件期間應通過從網絡斷開受影響的系統盡快開始實施遏制措施。如果不能通過隔離服務器來遏制損害，確保積極監視攻擊者的行動以便能夠盡可能快地消除損害。在任何事件中，確保在關閉任何服務器之前保存所有日志文件，以保留這些文件所含的信息，作為以后你（或你的律師）需要的證據。

• 評估損害階段：立即制作受到攻擊的任何服務器中硬盤的副本，并將這些副本另放他處以便以后鑒定時使用，然后評估損害。應在遏制情形并復制硬盤后盡快確定攻擊造成的損害程度，這樣便可以盡快恢復組織的運作，同時保留硬盤的副本以便進行調查。如果不能及時評估損害，應當實施應變計劃，以便可以維持正常的業務運營和工作效率。此時，組織可能想對事件實施法律行動。但是，應當在事件發生前與有權管轄組織業務的法律實施機構建立并維護工作關系，這樣便可在發生嚴重問題時知道向誰聯系及如何與他們協同工作。也應當立即通知相關的法律部門，這樣他們便可確定是否可以因損害而向肇事者提起民事訴訟。

• 確定損害原因階段：為了確定攻擊的起源，必須弄清此次攻擊瞄準的是哪些資源，以及它是通過什么安全漏洞來獲得訪問權或中斷服務的。在直接受影響的系統以及向系統傳輸數據流量的網絡設備上檢查系統配置、修補程序級別、系統日志和審核記錄。這些檢查通常有助于發現攻擊源于系統中的哪一位置以及還有其他哪些資源受到了影響。應在適當計算機系統上執行此操作，必須使那些驅動器保持為未經使用狀態以便進行鑒定，這樣執法部門或律師可用這些驅動器來跟蹤攻擊者并將其繩之以法。如果需要建立一個用于測試的備份以確定損害原因，請從原來的系統建立第二個備份。

• 修復損壞部分階段：在多數情況下，非常重要的是要盡快修復損壞部分，以便恢復正常的業務運營，并修復攻擊期間丟失的數據。組織的業務連續性計劃和步驟應包括此恢復策略。還應有事件響應小組來處理修復和恢復過程，或向負責小組提供恢復過程指導。在恢復期間，需要執行應急步驟以遏制損害的擴展并將損害隔離起來。將修復后的系統投入服務后，請通過確保已解決在事件發生期間被利用的任何漏洞，使系統不會立即被重新感染。

• 審查響應和更新策略階段：在文檔制作和恢復階段完成之后，應全面審查整個流程。與小組成員一起討論哪些步驟成功了，以及出現了哪些疏漏。在任何情況下，都會發現整個過程總是存在需要修改的地方。只有不斷完善，才能更好地應對將來可能發生的事件。將不可避免地發現事件響應計劃中存在弱點。這是這種事后方法的關鍵——正在尋求改善的機會。任何缺陷將推動另一輪事件響應規劃流程，這樣便可更加順暢地處理將來的事件。

回答所涉及的環境：聯想天逸510S、Windows 10。