PDCERF 方法包括哪六個階段

PDCERF方法將網絡安全應急響應流程分成準備階段、檢測階段、抑制階段、根除階段、恢復階段、總結階段6個階段的工作。并根據網絡安全應急響應總體策略對每個階段定義適當的目的，明確響應順序和過程。

• 準備階段

  準備階段以預防為主。主要工作涉及識別企業的風險、建立安全政策、建立協作體系和應急制度。按照安全政策配置安全設備和軟件，為網絡安全應急響應與恢復準備主機。通過網絡安全措施，進行一些準備工作，例如，掃描、風險分析、打補丁等。如有條件且得到許可，可建立監控設施，建立數據匯總分析的體系，制定能夠實現網絡安全應急響應目標的策略和規程，建立信息溝通渠道，建立能夠集合起來處理突發事件的體系。

• 檢測階段

  檢測階段主要檢測事件是已經發生還是正在進行中，以及事件產生的原因和性質。確定事件性質和影響的嚴重程度，預計采用什么樣的專用資源來修復。選擇檢測工具，分析異常現象，提高系統或網絡行為的監控級別，估計安全事件的范圍。通過匯總，確定是否發生了全網的大規模事件，確定應急等級，決定啟動哪一級應急方案。

  一般典型的事故現象包括：

    ① 賬號被盜用；
  
    ② 騷擾性的垃圾信息；
  
    ③ 業務服務功能失效；
  
    ④ 業務內容被明顯篡改；
  
    ⑤ 系統崩潰、資源不足。

• 抑制階段

  抑制階段的主要任務是限制攻擊/破壞波及的范圍，同時也是在降低潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上的，抑制活動必須結合檢測階段發現的安全事件的現象、性質、范圍等屬性，制定并實施正確的抑制策略。

  抑制策略通常包含以下內容：

    ① 完全關閉所有系統；
  
    ② 從網絡上斷開主機或斷開部分網絡；
  
    ③ 修改所有的防火墻和路由器的過濾規則；
  
    ④ 封鎖或刪除被攻擊的登錄賬號；
  
    ⑤ 加強對系統或網絡行為的監控；
  
    ⑥ 設置誘餌服務器，進一步獲取事件信息；
  
    ⑦ 關閉受攻擊的系統或其他相關系統的部分服務。

• 根除階段

  根除階段的主要任務是通過事件分析找出根源并徹底根除，以避免攻擊者再次使用相同的手段攻擊系統，引發安全事件。并加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端問題。加強監測工作，發現和清理行業與重點部門問題。

• 恢復階段

  恢復階段的主要任務是把被破壞的信息徹底還原到正常運作狀態。確定使系統恢復正常的需求和時間表，從可信的備份介質中恢復用戶數據，打開系統和應用服務，恢復系統網絡連接，驗證恢復系統，觀察其他的掃描，探測可能表示入侵者再次侵襲的信號。一般來說，要想成功地恢復被破壞的系統，需要有干凈的備份系統，編制并維護系統恢復的操作手冊，而且在系統重裝后需要對系統進行全面的安全加固。

• 總結階段

  總結階段的主要任務是回顧并整合網絡安全應急響應過程的相關信息，進行事后分析總結和完善安全計劃、政策、程序，并進行訓練，以防止入侵再次發生。基于入侵的嚴重性和影響，確定是否進行新的風險分析，給系統和網絡資產制作一個新的目錄清單。這一階段的工作對于準備階段工作的開展起到重要的支持作用。

  總結階段的工作主要包括以下3方面的內容：

    ① 形成事件處理的最終報告；
  
    ② 檢查網絡安全應急響應過程中存在的問題，重新評估和修改事件響應過程中存在的問題，重新評估和修改事件響應過程；
  
    ③ 評估網絡安全應急響應人員相互溝通在事件處理上存在的缺陷，以促進事后進行更有針對性的培訓。

回答所涉及的環境：聯想天逸510S、Windows 10。