「作者簡介」：冬奧會網絡安全中國代表隊，CSDN Top100，就職奇安信多年，以實戰工作為基礎著作 《網絡安全自學教程》，適合基礎薄弱的同學系統化的學習網絡安全，用最短的時間掌握最核心的技術。

這一章節我們需要知道應急響應流程是什么，安全事件分類分級的概念，以及災備的RPO和RTO標準。

應急響應是為了應對信息安全事件所做的準備，以及事件發生后采 取的措施。

1、安全事件分類分級

無論自然原因還是人為原因，故意還是非故意，只要影響了資產的安全屬性CIA，都算安全事件。

不同的事件類型需要制定不同的應急預案，所以我們需要先知道安全事件分為哪幾類。

GB-Z 20986-2007將安全事件分為7類：

1. 有害程序事件：比如病毒、蠕蟲、木馬、僵尸網絡、網頁被插入惡意代碼。
2. 網絡攻擊事件：比如拒絕服務、后門、漏洞攻擊、掃描嗅探、釣魚、干擾網絡。
3. 信息破壞事件：比如信息篡改、假冒、泄露、竊取、丟失。
4. 信息內容安全事件：比如煽動游行、炒作輿論熱點到一定規模。
5. 設備實施故障。
6. 災害性事件。
7. 其他安全事件。

GB-Z 20986-2007按照信息系統的重要程度、系統損失、社會影響，將安全事件分為4個級別：

1. 特別重大事件（Ⅰ級）：信息系統中斷2小時以上、影響人數100萬人以上；或10億以上經濟損失；或對國家造成特別嚴重威脅。
2. 重大事件（Ⅱ級）：信息系統中斷30分鐘以上，影響人數10萬人以上；或1億以上經濟損失；或對國家造成嚴重影響。
3. 較大事件（Ⅲ級）：信息系統中斷；或1000萬以上經濟損失；或對國家造成較嚴重影響。
4. 一般事件（Ⅳ級）

擴展：每個事件級別的三個條件，不需要同時滿足所有條件，滿足其中一個條件就行。實際執行時，可以根據企業情況修改事件分級的標準。

2、應急響應組織架構

如果企業沒有單獨的應急響應組織，那么應急響應就由安全人員承擔，就比如安服兼任應急。

應急響應組織架構應包含以下5個部分：

1. 應急響應領導組：協調資源，最終決策。
2. 應急響應技術保障組：制定角色職責分工、協同調度方案、事件技術對應表并提供相應的技術支撐。
3. 應急響應專家組：評估安全事件，提出建議。
4. 應急響應實施組：分析并確定應急等級和策略，進場應急、總結并提交報告，組織應急演練。
5. 應急響應日常運行組：系統日常運維、災備，評估并控制事件損害，維護應急文檔，參與應急演練。

3、應急響應流程

應急響應的流程分為準備、檢測、遏制、根除、恢復、跟蹤總結6個階段：

1. 準備：制定應急響應計劃并演練，準備好相關人力物力資源。
2. 檢測：實時檢測并報告，確定事件級別、類別并通告事件。
3. 遏制：協調用戶按照應急響應計劃，限制事件影響的范圍。
4. 根除：分析、確定、消除原因，避免事件再次發生。
5. 恢復：還原備份或直接恢復業務，將系統恢復到正常狀態。
6. 跟蹤：分析、總結、完善應急響應計劃，提交應急響應報告。

應急響應排查思路和具體知識點可以參考我的另一篇文章

Windows應急響應排查思路

Linux應急響應排查思路

4、災備

災備用來保證業務經歷災難后，仍然能夠最大限度的提供服務。

災備有兩個標準：RPO 和 RTO。

1. RPO是恢復點目標，是指災難發生后，數據恢復到哪個時間點，也就是丟失了多少時間的數據。
2. RTO是恢復時間目標，是指災難發生后，恢復業務所需要的時間，也就是業務停頓了多少時間。

RPO和RTO從邏輯上可以為零，但實際項目中很完全實現。

災備需要定時備份業務數據，用磁帶或硬盤存儲多個時間點的備份數據，備份方式有完整備份、增量備份、差異備份三種：

1. 完整備份每次都備份全部的數據，備份速度最慢，但恢復速度最快，會清除備份標記。
2. 增量備份只備份上次備份后改動的數據，備份速度最快，但恢復速度最慢，會清除備份標記。
3. 差異備份只備份上一次完整備份后改動的數據，備份和恢復速度居中，不清除備份標記。

備份數據的存儲，有DAS、NAS、SAN三種存儲方式：

1. DAS是直接附加存儲，直連存儲設備，可以理解為給服務器加硬盤，性能高、存儲量大但占用服務器資源，不方便管理。
2. NAS是網絡附加存儲，通過網絡連接存儲設備，不占用服務器資源，但會占用帶寬，網絡傳輸可能會泄露數據。
3. SAN是存儲區域網絡，搭建專用網絡存數據，效率高但成本也高。

存儲數據的磁盤通常會做RAID（Redundant Arrays of Independent Disks），也就是冗余磁盤陣列，簡單來說就是相同的數據存儲在多個磁盤的不同位置。常用的有RAID 0、1、5這三種模式：

• RAID 0：把多塊磁盤串聯成一個整體，多個磁盤可以同時讀寫數據，性能高但沒有冗余能力，一塊磁盤故障數據就被破壞。至少需要兩塊硬盤。
• RAID 1：一個磁盤上寫數據時，另一個磁盤上會生成鏡像文件，磁盤利用率低，但有冗余能力，一塊磁盤故障了數據也不會破壞。至少需要兩塊硬盤。
• RAID 5：兩塊以上磁盤讀寫數據，第三塊盤存奇偶校驗信息，性能高并且有冗余能力，至少需要三塊硬盤。

擴展：多塊磁盤不做RAID時，寫入數據會寫入到同一塊磁盤中，比如寫入abcd，就直接在一塊磁盤上一次寫入a、b、c、d，讀取的時候也只在一塊磁盤上讀，因為磁盤之間是獨立存在的，即使我讀取大量數據，這塊磁盤全力運轉快冒煙了，其他硬盤也會空閑，利用率就低。做了RAID 0,時，寫入數據會同時寫入到多個磁盤中，比如寫入abcd，會在一盤寫入a的時候，同時在二盤寫入b，在一盤寫入c的時候，同時在二盤寫入d，讀取的時候，會同時在一盤二盤讀取，大家一起忙，誰都別想閑下來。