一、应急响应的技术特点
网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生，且引起的损失巨大。应对网络事件关键是速度与效率。应急响应（即“Incident Response），指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备，在网络安全事件发生后，尽快作出正确反应，减少损失或尽快恢复正常运行，追踪攻击者，搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象，又称应急响应的客体，指：针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外，广义上应急响应的对象还包括：扫描等违反安全政策的事件。应急响应过程包含三种角色：事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现：1、事先的充分准备；2、事件发生后的采取的抑制、根除和恢复等措施。
（一）入侵检测
应急响应由事件引发，同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测，是目前最主要检测手段（IDS）。
（二）事件隔离与快速恢复
首先，在检测基础上，确定事件类型和攻击源后，对于安全性、保密性要求高的环境，应及时隔离攻击源，制止事件影响进一步恶化；其次，对外提供不可中断服务的环境，如运营平台、门户网站等，应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。
（三）网络追踪和定位
确定攻击者网络地址及辗转攻击路径，在现在的TCP/IP网络基础设备上网络追踪及定位很困难；新的源地址确认的路由器虽然能够解决问题，但它与现在网络隐私保护存在矛盾。
（四）取证技术
取证是一门针对不同情况要求灵活处理的技术，它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态，对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计，但并不是绝对的，取证可能来自任何一点蛛丝马迹。但是在目前的情况下，海量的日志信息为取证造成的麻烦越来越大。
二、网络安全事件应急响应联动系统模型
网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源，协同应对网络安全事件，属于应急响应组织发展后期的组织形式。联动含义：1、组织间的协作；2、功能上统一；3、网络安全策略上联合。
（一）联动系统的体系结构
图1  联动系统的体系结构
 
1、应急响应协调中心。是信息共享、交换与分析中心，负责协调体系正常运行，属于联动系统的核心。
2、应急响应组。应急响应组以应对网络安全事件为目标，根据技术力量与资源状况设置机构，甚至承担部分协调中心功能。
3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员，增强自身主动防御能力及采取合理措施能力。
（二）应急响应协调中心
应急响应组织具备四核心功能：分类、事件响应、公告与反馈；与此同时还具有非核心功能：分析、信息整理、研发、教育及推广。
图2 应急响应协调中心机构设置
 

1、研发。研发部门，也是实验部门，主要负责研究安全技术与安全工具，以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。
2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。
3、信息整理与事件跟踪。体系内的具备ISAC功能机构，该部门承担着公告、反馈和信息整理的功能，在研发机构协助下实现信息资源（包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等）共享，;还应提供网站资源链接，常见问题(FAQ)，常用工具，技术论坛与事件及漏洞的上报渠道等。
4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务，但是联动系统的响应人员在响应过程中可得到体系援助，使应急响应更及时有效。
5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力，并与该部门承担应急响应功能。
6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面，是保持体系键康发展，提高客户合作能力的机构。
7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系，以及与其他应急响应组织间的联络与合作;承担部分推广的功能。
8、管理机构。协调中心及联动系统运作。
（三）联动系统的功能
联动系统功能包括两方面:1、提供安全事件的应急响应服务；2、信息共享、交换与分析。两功能互相融合、取长补短，使应急响应更加高效、便捷。
1、协调应急响应。在事件响应过程中，响应人员通过网络或传真方式向组织报告事件详细信息，并取得帮助与建议，最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系，响应过程中响应人员得到的建议。事件响应结束后，响应人员要完成事件跟踪报告与总结，并由中心备案。
2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析，找出易发生的安全事件，并以预警信息结合预防建议的形式发布，遏制类似事件发生；中心在安全信息整理和共享等的贡献可大提高应急响应质量，对响应人员和客户方的在线帮助意义重大义。
三、模型其它重要内容
（一）应用应急专线与无线通信手段

在报告事件时,受害者的理想方式：通过网络，交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系，客户报告事件也应在网络或专用软件外拥有应急报告方式，比如传真、移动电话。
（二）事件并行处理的协调
协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。
（三）信息共享与隐私保护以及配套法律建设
    联动系统的本就是实现质信息共享。敏感信息应予以保护，比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享，而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善，联动系统也应根据实践建立起自身的规范约束。
（四）异地数据备份与同步和自身的健壮性
应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份，保证数据安全性。
参考文献
[1]蒋建春.黑客攻击机制与防范[J].计算机工程.2008.
[2]王晓明.电信基础网络应急处理协调流程[J].2009.