1.2　网络安全应急响应基本概念

网络安全和信息化是一体之两翼、驱动之双轮。网络安全已上升为国家战略，并且成为网络强国建设的核心。习近平总书记在2014年曾指出：没有网络安全就没有国家安全，没有信息化就没有现代化。在 2018年全国网络安全和信息化工作会议上，再次强调：没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。网络安全问题不再是简单的互联网技术领域的安全问题，而是与经济安全、社会安全息息相关，甚至关乎军事、外交等国计民生的国家战略问题。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，保证系统连续、可靠、正常运行，网络服务不中断。面对各种新奇怪异的病毒和不计其数的安全漏洞，建立有效的网络安全应急体系并使之不断完善，已成为信息化社会发展的必然需要。

网络安全应急响应（以下简称“应急响应”，本书后续章节提到的“应急响应”均指“网络安全应急响应”）是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备，以便在遇到突发网络安全事件时做到有序应对、妥善处理。

在发生确切的网络安全事件时，应急响应实施人员应及时采取行动，限制事件扩散和影响的范围，防范潜在的损失与破坏。实施人员应协助用户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件的整体解决方案，排除系统安全风险，并协助追查事件来源，协助后续处置。

国家对网络安全高度重视，且机构、企业面临越来越多、越来越复杂的网络安全问题，使得应急响应工作举足轻重。应急响应工作主要包括以下两方面。

第一，未雨绸缪，即在事件发生前先做好准备。例如，开展风险评估，制订安全计划，进行安全意识的培训，以发布安全通告的方法进行预警，以及各种其他防范措施。

第二，亡羊补牢，即在事件发生后采取的响应措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自人，也可能来自系统。例如，在发现事件后，采取紧急措施，进行系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵取证等一系统操作。

以上两方面的工作是相互补充的。首先，事前的计划和准备可为事件发生后的响应动作提供指导框架，否则，响应动作很可能陷入混乱，毫无章法的响应动作有可能引起更大的损失；其次，事后的响应可能会发现事前计划的不足，从而使我们吸取教训，进一步完善安全计划。因此，这两方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。网络安全的应急响应需要机构、企业在实践中从技术、管理、法律等多角度考虑，保证突发网络安全事件应急处理有序、有效、有力，确保将涉事机构、企业的损失降到最低，同时威慑肇事者。网络安全应急响应就是要求应急响应实施人员对网络安全有清晰的认识，有所预估和准备，从而在发生突发网络安全事件时，有序应对、妥善处理。