准备（Preparation）阶段是网络安全事件响应的第一个阶段，也属于一个过渡阶段，即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上，大部分工作需要在应急响应之前就已做好准备。

这一阶段极为重要，因为事件发生时可能需要在短时间内处理较多事务，如果没有足够的准备，将无法准确地完成及时响应，导致难以意料的损失

准备阶段的工作内容主要有2个，一是对信息网络系统进行初始化快照。

二是准备应急响应工具包。

系统快照是指常规情况下，信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。

通过在系统初始化或发生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统快照，并在检测的时候将保存的快照与信息系统当前状态进行对比，是后续“检测”安全事件的一种重要途径。

准备阶段工作流程分：系统维护人员按照系统的初始化策略对系统进行安装和配置加固。

系统维护人员对安装和配置加固后的系统进行自我检查，确认是否加固完成。

系统维护人员建立系统状态快照。

系统维护人员对快照信息进行完整性签名，以防止快照被非法篡改。

系统维护人员将快照保存在与系统分离的存储介质上。

准备阶段操作说明：

1、对系统的影响：操作不会对系统造成影响，在系统正常运行情况下执行各个步骤。

2、操作的复杂度（容易/普通/复杂）：容易。

3、操作效果：对执行后的结果必须保存到不可更改的存储介质。

4、操作人员：各操作系统、数据库、网络设备的系统维护人员

02检测阶段

讲述检测阶段的网络安全应急响应实施。

结合准备阶段生成的系统初始化状态快照，这里概要介绍检测安全事件（系统安全事件、网络安全事件、数据库安全事件）相关内容和技术。

除对比系统初始化快照外，安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。

其中，入侵检测系统通过侦听网络流量并与事先存在的攻击特征匹配，实现对入侵事件的实时和自动发现。

入侵检测系统往往存在较高的误报率。

实际应用入侵检测系统时，需要结合部署环境的实际情况定制检测策略，以保证检测的准确性。

流量监控的检测方式对于发现有明显流量特征的安全事件，如网络蠕虫十分有效。

在事件检测阶段做到“及时发现”，必须合理利用各种已有的检测手段，综合分析发现安全事件的真实原因。

检测阶段工作内容：检测阶段是应急响应执行过程中的关键一环，在这个阶段需要系统维护人员使用初级检测技术进行检测，确定系统是否出现异常。

在发现异常情况后，形成安全事件报告，由安全技术人员和安全专业技术人员介入进行高级检测来查找安全事件的真正原因，明确安全事件的特征、影响范围并标识安全事件对受影响的系统所带来的改变，最终形成安全事件的应急处理方案。

检测阶段工作流程：

第一步：系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常。

第二步：发现异常情况后，形成安全事件报告。

第三步：安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。

第四步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。

第五步：安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。

操作说明：检测阶段操作不会对系统造成影响，在系统正常运行情况下执行各个步骤，但在事件驱动检测方式中，确定有安全事件发生的情况下必须根据流程采取相应的措施，防止中断系统或网络的正常运行。

初级检测操作的复杂度为“普通”，高级检测操作的复杂度为“复杂”。

例行检测是一种积极的方式，能预先发现系统和网络存在的漏洞，可根据流程采取补救措施；事件驱动方式的检测方法对安全事件能迅速响应，不会让安全事件扩大。

检测阶段的操作人员主要有：系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员。

03抑制和根除阶段

介绍各类安全事件（拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击）相应的抑制（Containment）或根（Eradication）方法和技术。

抑制和根除阶段的工作内容：