應急響應主要有哪六個階段

應急響應主要有以下六個階段：

• 準備階段：在事件真正發生之前應該為事件響應做好準備，這一階段十分重要。準備階段的主要工作包括建立合理的防御/控制措施，建立適當的策略和程序，獲得必要的資源和組建應急響應隊伍等。

• 檢測階段：檢測階段要做出初步的動作和響應，根據獲得的初步材料和分析結果，估計事件的范圍，制訂進一步的響應策略，并且保留可能用于司法程序的證據。

• 抑制階段：抑制的目的是限制攻擊的范圍。抑制措施十分重要，因為太多的安全事件可能導致迅速失控。典型的例子就是具有蠕蟲特征的惡意代碼的感染。可能的抑制策略一般包括關閉所有的系統、從網絡上斷開相關系統、修改防火墻和路由器的過濾規則、封鎖或刪除被攻破的登錄賬號、提高系統或網絡行為的監控級別、設置陷阱、關閉服務以及反擊攻擊者的系統等。

• 根除階段：在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出事件根源并徹底清除。對于單機上的事件，可以根據各種操作系統平臺的具體檢查和根除程序進行操作；但對于大規模爆發的帶有蠕蟲性質的惡意程序，要根除各個主機上的惡意代碼，是一項十分艱巨的任務。很多案例表明，眾多用戶并沒有真正關注他們的主機是否已經遭受入侵，有的甚至持續一年多，任由其感染蠕蟲的主機在網絡中不斷地搜索和攻擊別的目標。造成這種現象的重要原因是各網絡之間缺乏有效的協調，或者是在一些商業網絡中，網絡管理員對接入到網絡中的子網和用戶沒有足夠的管理權限。

• 恢復階段：恢復階段的目標是把所有被攻破的系統和網絡設備徹底還原到它們正常的任務狀態。恢復工作應該十分小心，避免出現誤操作導致數據的丟失。另外，恢復工作中如果涉及機密數據，還需要額外遵照機密系統的恢復要求。對承擔不同恢復工作的單位，要有不同的擔保。如果攻擊者獲得了超級用戶的訪問權，一次完整的恢復就應該強制性地修改所有的口令。

• 報告和總結階段：這是最后一個階段，卻是絕對不能忽略的重要階段。這個階段的目標是回顧并整理發生事件的各種相關信息，盡可能地把所有情況都記錄到文檔中。這些記錄的內容，不僅對有關部門的其他處理工作具有重要意義，而且對將來應急工作的開展也是非常重要的積累。

回答所涉及的環境：聯想天逸510S、Windows 10。