网络安全预警网络安全应急响应现状如何？

网络安全应急响应现状如何？

当发生网络入侵、病毒爆发、现有网络安全防御体系（如防火墙、入侵检测、入侵防御等）被突破或当机或无异常显示、防毒软件或被病毒所劫杀或对病毒不作为时，如何阻击入侵、查杀病毒、恢复系统？事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或简单备机切换，大多公司网络安全应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技术和手段完全处于非对等的劣势地位。

能否改变现状，有何解决方案？ 网络安全体系从技术手段上由两大部分构成：安全防御与应急救治，其两者的关系如同医学上疾病防疫与疾病救治的关系一样，两者的差别在于时间和顺序上的不同。

防御在前，黑客或病毒攻击在后，使系统免受破坏称之为安全防御；黑客或病毒攻击在前，救治在后，使系统重新恢复正常称之为应急救治。

目前网络安全产品以安全防御为主，如防火墙、入侵检测、入侵防御、防毒软件，以及网络细分、流量监视、流量控制等等，但网络安全应急救治的产品却处于稀缺或空白的状态。

其表现为基于网络安全防御体系的技术水平现状，系统漏洞随着时间推移陆续显露，新病毒总量每年以超几何级数增长，黑客及病毒的技术含量不断提高和攻击手段不断翻新，黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生，事前制定的网络安全应急响应预案总难以有效应对尚且未知的病毒及网络攻击，网络安全应急响应尚还处于赶赴现场，断网恢复，备机切换的简单低级层次，究其根本原因，缺乏阻断黑客进攻和查杀病毒的有效工具和能力即时实施网络连接对黑客病毒完成外科手术般的精确打击、定点清除，造成网络部分或全局瘫痪，特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共安全事件也时有发生。

未雨绸缪，亡羊补牢，事前风险评估、组织机构建立，安全意识培训，安全策略制定，各种措施防范，事后总结提高，安全访问策略修正增补，更加严格措施防范，这些都是合理和必要的，但网络安全应急响应目前状况“重防轻治，以防代治”却是明显的事实。

各公司安全防御产品琳琅满目，个个价格不菲，当真正遭受网络入侵、病毒爆发，请求应急帮助时，得到的回复往往可能是，需对贵公司网络状况进行一个安全评估，制定一套安全策略，采用本公司的产品，可以保证下次免遭此类黑客病毒侵袭。

“救人于水火，须臾不可待”。

可否先救人出水火，再说那事前事后防水防火之事？另一方面，没有哪家公司产品可说是万能的，若此次采用此公司此产品，预防此类黑客病毒侵袭，他日遇彼类黑客病毒侵袭，是否需要采用彼公司彼产品呢？这是用户常遇到的尴尬决择，颇有一番“上船易，下船难”的意境。

喊一声“孙大圣”，只听“大圣来也”，孙悟空即到眼前，这是小说《西游记》常描述的情景。

若将此描述的情景视为网络安全应急响应模式，或许是再恰当不过的了，“召之即来，挥之即去，来之能战，战之能胜”。

“预防为主，防治结合”，这句话是如此耳濡目染，以至于很少有人考究其正确性和合理性。

疾病成千上万，各种病毒也在不断变异进化，在目前医学技术条件下能以接种疫苗方式进行免疫的传染病不过十几种。

从这十几种传染病免疫表现出两个特征：1.可预防的；2.预防成本小于救治成本，这正是“预防为主，防治结合”正确性和合理性成立的前提条件。

以流感为例，少有人愿意花费上万元去预防花费百把元即可治愈的流感，就是这个道理，一则流感病毒种类繁多，且自身不断变异进化，防不胜防；二则办同样的事花销更少费用是人们普遍的理性决择。

防御系统和防毒软件不可能防住所有的黑客病毒的入侵和攻击。

基于特征码识别的防毒软件通过特征码比对可识别具有已知特征码的未知病毒，基于行为模式识别的防毒软件通过行为模式比对可识别具有已知行为模式的未知病毒，但前者需要从已知病毒提取特征码，后者需要从已知病毒学习行为模式，所以，基于特征码识别的防毒软件不可能识别具有未知特征码的未知病毒，基于行为模式识别的防毒软件不可能识别具有未知行为模式的未知病毒。

假设有朝一日遭遇网络战，遇到的都是已知特征码或已知行为模式的病毒吗？对于穿透防御系统和防毒软件的少量病毒，本应通过应急响应远程或本地即时网络连接，实施精确打击，定点清除的方式给予解决，但如缺少这种应急救治能力，或被迫提高防御级别，或增加备机，或添加人手赶赴现场，如此造成安全防御成本不可避免急剧增长，且效果并不如意。

综上所述，针对网络安全应急响应目前状况及存在的问题，开发一款网络安全应急响应工具，用于发生网络入侵、病毒爆发、现有网络安全防御体系被突破、防毒软件被病毒所劫杀或对病毒不作为时，即时实施远程或本地网络连接，阻击入侵、查杀病毒、恢复系统的工作，这将改变网络安全应急响应“重防轻治，有防无治”的现状，填补缺失了的网络安全应急救治环节，与现有的网络安全防御形成互补，构成防治结合完整的网络安全体系，提升了网络安全应急响应能力，特别是对企业、国防、公安、银行、交通、政府等集团用户具有十分重要的意义；另一方面，通过远程响应缩短应急响应时间，可避免安全事态恶化和大幅减少运行维护成本。