【文章內(nèi)容簡(jiǎn)介】 中，而該文件普通用戶也可讀取。一旦口令文件被入侵者通過(guò)簡(jiǎn)單拷貝的方式得到，他們就可以對(duì)口令進(jìn)行解密，然后用它來(lái)獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)。 b、 易被監(jiān)視的系統(tǒng) 用戶使用 Tel 或 FTP 連接他在遠(yuǎn)程主機(jī) 上的賬戶，在網(wǎng)上傳輸?shù)目诹钍菦](méi)有加密的。入侵者可以通過(guò)監(jiān)視攜帶用戶名和密碼的 IP包獲取他們，廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 8/48 然后使用這些用戶名和密碼登錄到系統(tǒng)。假如被截獲的是管理員的用戶名和密碼，那么，獲取該系統(tǒng)的超級(jí)用戶訪問(wèn)就輕而易舉了。 c、 有欺騙性的主機(jī)地址 TCP 或 UDP 服務(wù)相信主機(jī)的地址。如果使用“ IP Source Routing”，那么攻擊者的主機(jī)就可以冒充一個(gè)被信任的主機(jī)或客戶。以下具體步驟展示了怎樣冒充被信任的客戶： ? 攻擊者要使用那個(gè)被信任的客戶的 IP 地址取代自己的地址； ? 攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑 ，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)； ? 攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)； ? 服務(wù)器接受客戶申請(qǐng)，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)； ? 可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。 d、 有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī) 主機(jī)的安全管理既困難又費(fèi)時(shí)。為了降低管理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如 NIS（ Network Information Services 網(wǎng)絡(luò)信息服務(wù)）和 NFS（ Network Files System 網(wǎng)絡(luò)文件系統(tǒng)）之類的服務(wù)。這些服務(wù)通過(guò) 允許一些數(shù)據(jù)庫(kù)（如口令文件）以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過(guò)多的管理工作量。但這些服務(wù)帶來(lái)了不安全因素，可以被有經(jīng)驗(yàn)闖入者利用以獲得訪問(wèn)權(quán)。 一些系統(tǒng)處于方便用戶并加強(qiáng)系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們相互“信任”。如果一個(gè)系統(tǒng)被侵入或欺騙，那么對(duì)于入侵者來(lái)說(shuō)，獲取那些信任該系統(tǒng)的其他系統(tǒng)的訪問(wèn)權(quán)就很簡(jiǎn)單了。 e、 復(fù)雜的設(shè)置和控制 主機(jī)系統(tǒng)的訪問(wèn)控制配置復(fù)雜且難于驗(yàn)證。因此偶然的配置錯(cuò)誤會(huì)使闖入者獲取訪問(wèn)權(quán)。一些主要的 Unix 經(jīng)銷商仍然把 Unix 配置成具有最大訪問(wèn)權(quán)的系統(tǒng)，這將 導(dǎo)致未經(jīng)許可的訪問(wèn)。許多網(wǎng)上的安全事故是由于入侵者發(fā)現(xiàn)了設(shè)置中的弱點(diǎn)而造成。 f、 無(wú)法估計(jì)主機(jī)的安全性 廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 9/48 主機(jī)系統(tǒng)的安全性無(wú)法很好地估計(jì)：隨著一個(gè)站點(diǎn)的主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)的安全性都處在高水平的能力卻在下降。只用管理一臺(tái)系統(tǒng)的能力來(lái)管理如此多的系統(tǒng)就容易犯錯(cuò)誤。另一因素是某些系統(tǒng)管理的作用經(jīng)常變換并行動(dòng)遲緩。這導(dǎo)致這些系統(tǒng)的安全性比另一些要低。這些系統(tǒng)將成為網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，最終將破壞這個(gè)安全鏈。 （ 2）來(lái)自內(nèi)部的安全威脅分析 食藥監(jiān) 的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上千 個(gè)信息點(diǎn)為整個(gè) 食藥監(jiān) 各部門 辦公 提供了一個(gè)快速、方便的信息交流平臺(tái)。不僅如此，通過(guò)專線與 Inter 的連接，打通了一扇通向外部世界的窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過(guò)公開(kāi)服務(wù)器， 食藥監(jiān) 可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn)。因此，實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。 在分析 食藥監(jiān)網(wǎng)絡(luò) 的安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)： 網(wǎng)絡(luò)與 Inter 直接連結(jié)。因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Inter 連結(jié)的有關(guān)風(fēng)險(xiǎn)，包括可能通過(guò) Inter 傳播進(jìn)來(lái)病毒，黑客攻擊，來(lái)自 Inter 的非授權(quán)訪問(wèn)等。 網(wǎng)絡(luò)中存在公開(kāi)服務(wù)器。由于公開(kāi)服務(wù)器對(duì)外必須開(kāi)放部分業(yè)務(wù)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開(kāi)服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。 內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)。不同的子網(wǎng)有不同的安全性，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分割開(kāi)，這可以通過(guò)交換機(jī)劃分 VLAN 來(lái)實(shí)現(xiàn)。 網(wǎng)絡(luò)中有多臺(tái)應(yīng)用服務(wù)器。在應(yīng)用程序 開(kāi)發(fā)時(shí)就應(yīng)考慮加強(qiáng)用戶登錄驗(yàn)證，防止非授權(quán)的訪問(wèn)，可以采用 LDAP（輕型目錄服務(wù)）集中管理用戶并實(shí)現(xiàn)單點(diǎn)登錄。 網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析。網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 10/48 a、 公開(kāi)服務(wù)器面臨的威脅 食藥監(jiān) 局域網(wǎng)內(nèi)公開(kāi)服務(wù)器區(qū)（ WWW、 EMAIL 等服 務(wù)器）作為 食 藥監(jiān) 的信息發(fā)布平臺(tái)，一旦不能運(yùn)行，或者受到攻擊，對(duì) 食 藥監(jiān) 的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界服務(wù)，必須開(kāi)放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入 Inter 節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道， 甚至?xí)蔀楹诳腿肭制渌军c(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對(duì) Inter 安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開(kāi)服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 b、 應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的：應(yīng)用的 安全涉及面很廣，以目前 Inter 上應(yīng)用最為廣泛的 Email 系統(tǒng)來(lái)說(shuō)，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的 BUG 是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測(cè)試軟件是相當(dāng)必須的。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來(lái)越深。因此，保證應(yīng)用系統(tǒng)的安全也是一個(gè)隨網(wǎng)絡(luò)發(fā)展不斷完善的過(guò)程。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性，信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密 的（比如領(lǐng)導(dǎo)子網(wǎng)、財(cái)務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí)進(jìn)行加密。 c、 管理的安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)中安全最重要的部分之一。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 11/48 入機(jī)房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應(yīng)制度來(lái)約束。 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān) 控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。 d、 黑客攻擊 黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的，而且會(huì)利用系統(tǒng)和管理上的一切可能利用的漏洞。為了防止黑客，需要設(shè)置公開(kāi)服務(wù)器，使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公 開(kāi)服務(wù)器的人訪問(wèn) WWW 頁(yè)面文件以外的東西。在 食藥監(jiān)內(nèi) 網(wǎng) 內(nèi)，我們可以綜合采用防火墻技術(shù)、 Web 頁(yè)面保護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。 安全建設(shè)原則 食藥監(jiān) 信息系統(tǒng)使用的網(wǎng)絡(luò)分為 辦公局域網(wǎng) 、 國(guó)家 食品藥品監(jiān)管總局專 網(wǎng) 、 自治區(qū) 人民政府 辦公業(yè)務(wù)資源網(wǎng)、自治區(qū)黨委機(jī)要網(wǎng) 和因特網(wǎng)。 辦公局域網(wǎng) 主要為 食藥監(jiān) 管理服務(wù)； 國(guó)家 食品藥品監(jiān)管總局專 網(wǎng) 負(fù)責(zé)與 國(guó)家總局 部署的內(nèi)部網(wǎng)站、電子公文流轉(zhuǎn)系統(tǒng)及其它業(yè)務(wù)系統(tǒng) 連接； 自治區(qū) 人民政府辦公業(yè)務(wù)資源網(wǎng)和自治區(qū)黨委機(jī)要網(wǎng)不與任何網(wǎng)絡(luò)有物理連接 ， 專網(wǎng)專用； 因特網(wǎng)接口負(fù)責(zé)與國(guó)際互聯(lián)網(wǎng)互聯(lián)，實(shí)現(xiàn)對(duì)外信息服務(wù)和內(nèi)外信息交換。 網(wǎng)絡(luò)安全目標(biāo)：建立 食藥監(jiān) 完整、安全、可靠、高效的現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)和相關(guān)基礎(chǔ)設(shè)施，保證 辦公局域網(wǎng)、國(guó)家 食品藥品監(jiān)管總局專 網(wǎng)、 自治區(qū) 人民政府 辦公業(yè)務(wù)資源網(wǎng)、自治區(qū)黨委機(jī)要網(wǎng) 和因特網(wǎng) 按照 相應(yīng) 的應(yīng)用安全要求連續(xù)、穩(wěn)定、可靠運(yùn)行，實(shí)現(xiàn)網(wǎng)絡(luò)傳輸、網(wǎng)絡(luò)接入、網(wǎng)絡(luò)訪問(wèn)的廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 12/48 可控性，保證網(wǎng)絡(luò)傳輸信息的保密性、完整性、可靠性、可控性，不斷提升網(wǎng)絡(luò)使用的質(zhì)量和價(jià)值。建立健全科學(xué)規(guī)范的管理制度，建立完善的網(wǎng)絡(luò)配置、性能、記帳、運(yùn)行等安全監(jiān)控手段，防止未授權(quán)的用戶進(jìn) 入、訪問(wèn)、攻擊信息系統(tǒng)網(wǎng)絡(luò)，確保網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行和使用。 信息管理部門必須設(shè)置信息安全管理員，參與網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)，確保網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的安全性；負(fù)責(zé)網(wǎng)絡(luò)安全設(shè)備（包括網(wǎng)絡(luò)用戶管理、防火墻、入侵檢測(cè)設(shè)備、網(wǎng)絡(luò)安全掃描等）的維護(hù)或策略檢查；負(fù)責(zé)網(wǎng)絡(luò)安全日志的收集和分析；負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全檢查工作；與相關(guān)部門共同保障網(wǎng)絡(luò)安全運(yùn)行。 辦公局域網(wǎng) 分兩級(jí)管理。 核心層是第一級(jí)網(wǎng)絡(luò)，核心層 基礎(chǔ)設(shè)施包括聯(lián)接所有二級(jí)單位及機(jī)關(guān)處室的主通道網(wǎng)絡(luò)設(shè)備。 匯聚層及接入層 網(wǎng)絡(luò)是第二級(jí)網(wǎng)絡(luò)。 信息中心 核心層 網(wǎng)絡(luò)的安全管理，并對(duì)二級(jí)網(wǎng)絡(luò)接入一級(jí) 網(wǎng)絡(luò)的節(jié)點(diǎn)安全進(jìn)行統(tǒng)一、集中管理，對(duì) 辦公局域 網(wǎng) 實(shí)施安全檢查、監(jiān)督、評(píng)估。二級(jí)單位 設(shè)立網(wǎng)絡(luò)管理專員 負(fù)責(zé)本單位 的網(wǎng)絡(luò)安全管理，并與信息中心協(xié)調(diào)一致，不僅保障本單位接入 辦公局域網(wǎng) 網(wǎng) 的安全，還必須根據(jù)信息中心的有關(guān)規(guī)定實(shí)施局域網(wǎng)的安全管理，保證 辦公局域網(wǎng) 整體安全。 設(shè)立 信息系統(tǒng)安全領(lǐng)導(dǎo)小組 并 指定網(wǎng)絡(luò)安全管理負(fù)責(zé)人，并按照有關(guān)規(guī)程召集有關(guān)人員對(duì)信息系統(tǒng)運(yùn)行的網(wǎng)絡(luò)安全進(jìn)行定期評(píng)估，不斷完善網(wǎng)絡(luò)安全策略，建立、健全網(wǎng)絡(luò)安全管理規(guī)章。制定使用網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的策略。依據(jù)總體安全方針、策略制定允許提供的網(wǎng)絡(luò)服務(wù)、制定網(wǎng)絡(luò)訪問(wèn)許 可和授權(quán)管理制度、保證信息系統(tǒng)網(wǎng)絡(luò)連接和服務(wù)的安全技術(shù)正確實(shí)施，并達(dá)到網(wǎng)絡(luò)安全總體要求。 網(wǎng)絡(luò)安全模型 一個(gè)最常見(jiàn)的安全模型就是 PDRR 模型。 PDRR 模型就是 4 個(gè)英文單詞的頭字符： Protection(防護(hù) )， Detection(檢測(cè) )， Response(響應(yīng) )，Recovery(恢復(fù) )。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期。 安全策略的每一部分包括一組相應(yīng)的安全措施來(lái)實(shí)施一定的安全功廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 13/48 能。安全策略的第一部分就是防御，根據(jù)系統(tǒng)已知的所有安全問(wèn)題做出防御的措施，如打補(bǔ)丁，訪問(wèn)控制，數(shù)據(jù)加密等等，防御 作為安全策略的第一個(gè)戰(zhàn)線。安全策略的第二個(gè)戰(zhàn)線就是檢測(cè)。攻擊者如果穿過(guò)了防御系統(tǒng)，檢測(cè)系統(tǒng)就會(huì)檢測(cè)出來(lái)。這個(gè)安全戰(zhàn)線的功能就是檢測(cè)出入侵者的身份，包括攻擊源，系統(tǒng)損失等。一旦檢測(cè)出入侵，響應(yīng)系統(tǒng)開(kāi)始響應(yīng)包括事件處理和其他業(yè)務(wù)。安全策略的最后一個(gè)戰(zhàn)線就是系統(tǒng)恢復(fù)。在入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài)。每次發(fā)生入侵事件，防御系統(tǒng)都要更新，保證相同類型的入侵事件不能再發(fā)生，所以整個(gè)安全策略包括防御、檢測(cè)、響應(yīng)和恢復(fù)，這四個(gè)方面組成了一個(gè)信息安全周期。 防護(hù) 網(wǎng)絡(luò)安全策略 PDRR 模型的最重要的部分就是防護(hù) (P)。防護(hù)是預(yù)先阻止攻擊可以發(fā)生的條件產(chǎn)生，讓攻擊者無(wú)法順利地入侵，防護(hù)可以減少大多數(shù)的入侵事件。其主要技術(shù)有：缺陷掃描、訪問(wèn)控制及防火墻、防病毒軟件與個(gè)人防火墻、數(shù)據(jù)加密、鑒別技術(shù)等。 檢測(cè) PDRR 模型的第二個(gè)環(huán)節(jié)就是檢測(cè) (D)。上面提到防護(hù)系統(tǒng)除掉入侵事件發(fā)生的條件，可以阻止大多數(shù)的入侵事件的發(fā)生，但是它不能阻止所有的入侵，特別是那些利用新的系統(tǒng)缺陷、新的攻擊手段的入侵。因此安全策略的第二個(gè)安全屏障就是檢測(cè)，即如果入侵發(fā)生就檢測(cè)出來(lái)，這個(gè)工具是入侵檢測(cè)系統(tǒng) (IDS)。 防護(hù)主要修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)的缺陷 ，增加系統(tǒng)的安全性能，從而消除攻擊和入侵的條件。檢測(cè)并不是根據(jù)網(wǎng)絡(luò)和系統(tǒng)的缺陷，而是根據(jù)入侵事件的特征去檢測(cè)的。但是，黑客攻擊系統(tǒng)的時(shí)候往往是利用網(wǎng)絡(luò)和系統(tǒng)的缺陷進(jìn)行的，所以入侵事件的特征一般與系統(tǒng)缺陷的特征有關(guān)系。因此防護(hù)和檢測(cè)技術(shù)是有相關(guān)的理論背景的。 響應(yīng) PDRR 模型中的第三個(gè)環(huán)節(jié)就是響應(yīng) (R)。響應(yīng)就是已知一個(gè)攻擊 (入侵 )事件發(fā)生之后進(jìn)行處理。在一個(gè)大規(guī)模的網(wǎng)絡(luò)中，響應(yīng)這個(gè)工作都是有一個(gè)特殊部門負(fù)責(zé)，比如是計(jì)算機(jī)響應(yīng)小組。 入侵事件的報(bào)警可以是入侵檢廣西食品藥品監(jiān)管信息化頂層設(shè)計(jì) 網(wǎng)絡(luò)工程總體方案 14/48 測(cè)系統(tǒng)的報(bào)警，也可以是通過(guò)其他方式的匯報(bào)。響 應(yīng)的主要工作也可以分為兩種：第一種是緊急響應(yīng) 。第二種是其他事件處理。緊急響應(yīng)就是當(dāng)安全事件發(fā)生時(shí)采取應(yīng)對(duì)措施，其他事件主要包括咨詢、培訓(xùn)和技術(shù)支持。 恢復(fù) 恢復(fù)是 PDRR 模型中的最后一個(gè)環(huán)節(jié)?；謴?fù)是事件發(fā)生后，把系統(tǒng)恢復(fù)到原來(lái)的狀態(tài)，或者比原來(lái)更安全的狀態(tài)?；謴?fù)也可以分為兩個(gè)方面：系統(tǒng)恢復(fù)和信息恢復(fù)。系統(tǒng)恢復(fù)指的是修補(bǔ)該事件所利用的系統(tǒng)缺陷，不讓黑客再次利用這樣的缺陷入侵。