李延峰

摘 要：針對網(wǎng)絡安全事件分類方法進行研究，在構(gòu)建應急相應體系的過程中是具有一定的現(xiàn)實意義的。筆者首先對相關(guān)的概念進行詳盡的敘述，然后在對安全事件相關(guān)的分類研究進行介紹的基礎(chǔ)之上，提出了一種嶄新的面對應急相應的網(wǎng)絡安全事件分類方法，希望能夠在今后相關(guān)的人員構(gòu)建應急相應體系的過程中起到一定程度的借鑒性作用，從而在我國實現(xiàn)網(wǎng)絡安全這一個目標的過程中起到一定程度的促進性作用。

關(guān)鍵詞：應急相應;網(wǎng)絡安全;安全時間;分類;應急相應體系

一、網(wǎng)絡安全事件的相關(guān)概念闡述

安全事件囊括的范圍是比較大的，將事件的起因或者用意作為出發(fā)點的話，計算機安全事件一般情況下是能夠被劃分為兩個類型的。假如說一個事件完全是處于意外或者是一種無意識的行為的話，比方說自然災害、電力中斷等事件致使系統(tǒng)受到一定程度的破壞，是能夠劃分到第一個類別當中的;假如說事件是處于有意識的、有目的的對系統(tǒng)的安全性造成破壞的一種行為，是可以被劃分到第二個類別當中的，上文中所提及到的這個類型的安全事件一般情況下也是能夠被稱為攻擊事件的。

應急相應：在安全事件發(fā)生了以后采取的與之相對應的補救措施或者行動，以便于能夠使得事件對系統(tǒng)安全性造成的影響變得相對來說比較的小。應急相應主要所針對的就是有目的的、有惡意的對網(wǎng)絡系統(tǒng)安全性造成破壞的攻擊性事件;對于和自然災害以及能源之間有著一定程度相互聯(lián)系的問題，一般情況下都是被叫做“可持續(xù)性”或者“可持續(xù)性計劃”的。

二、對應急相應過程進行分析

應急相應其實就是在網(wǎng)絡安全事件發(fā)生之后采用的與之相對應的補救措施及行動，以便于能夠使得各種類型的網(wǎng)絡安全事件對網(wǎng)絡系統(tǒng)安全性造成的影響變得相對來說比較的小。依據(jù)事件相應的六階段方法學，響應流程包含的是：準備，檢測，抑制，根除，恢復以及跟蹤六個階段。在這里面起到相對來說比較的重要的作用的相應步驟是抑制、根除以及恢復。

抑制是一種過渡性或者暫時性相對來說比較的強的措施，從根本的層面上進行分析，相應其實應當是根除和恢復，并且是需要將引起安全事件的系統(tǒng)漏洞找尋出來的，以免相似的事情再次發(fā)生。而系統(tǒng)恢復，則是需要站在事件產(chǎn)生的結(jié)果的層面之上對系統(tǒng)受到的影響的程度展開分析的，進而就能夠?qū)⑹艿接绊懞推茐牡南到y(tǒng)恢復到以往的運行狀態(tài)。

從上文中進行的相關(guān)分析，我們所能夠得知的是，從應急響應的過程中這個層面上進行分析，安全事件所涉及到的各個要素當中，系統(tǒng)漏洞以及事件結(jié)果這兩個層面的相關(guān)信息在做出響應決策的過程中起到的作用是相對來說比較的重要的。

三、面對相應的分類方法

時間。分類模型的第一個維度是依據(jù)時間發(fā)生的時間進行分類的，從時間的層面上進行分析的話，所需要達成的目標就是選擇出來正確的相應策略。依據(jù)相應的六階段方法，在事件發(fā)生之前實際上是應當進行預期性準備工作的，在事件進行的過程中主要使用到的就是抑制措施，使得攻擊的延續(xù)性變得相對來說比較的差，使得潛在的威脅受到限制，最大限度的減小系統(tǒng)受到的影響和破壞;在事件發(fā)生完畢之后，則是應當展開系統(tǒng)恢復和損失評估等相關(guān)的工作的。

事件主體。模型的第二個維度是站在事件主體的層面之上對安全事件進行分類的，在這個維度之上，安全事件又是能夠進一步的從事件源數(shù)量、事件源未知以及事件源性質(zhì)這三個層面上展開詳細的劃分工作的。將事件源數(shù)量作為出發(fā)點的話，事件是能夠劃分為單供給源事件和多供給源事件的;將事件源未知作為出發(fā)點的話，事件一般情況下是能夠劃分為內(nèi)部供給和外部供給這兩個類型的;將事件源的性質(zhì)作為出發(fā)點的話，其實也就是對攻擊者的性質(zhì)進行分析，以便于能夠確定事件是由普通的抱著惡作劇心態(tài)的人員發(fā)起的，還是由經(jīng)濟層面之上的對手或者軍方組織發(fā)起的。

攻擊技術(shù)。模型的第三個維度是站在攻擊技術(shù)的層面上對時間進行分類的。Lindqvist在對攻擊技術(shù)進行分類的過程中使用到的方法是可以在這里進行使用的。對發(fā)生的事件所使用到的攻擊技術(shù)進行分類，是能夠在選擇抑制措施的過程中提供依據(jù)的

四、結(jié)語

針對網(wǎng)絡安全事件進行分類層面上的研究，是能夠為后續(xù)的應急相應體系的構(gòu)建工作的順利開展奠定堅實的基礎(chǔ)的。本文提出了一種面對應急相應體系的網(wǎng)絡安全事件分類相關(guān)工作進行的過程中所能夠使用到的方法，但是這僅僅是工作的第一步。在此基礎(chǔ)之上，各種類型的相關(guān)工作是可能從以下幾個層面之上展開的：對各種類型的事件的報告格式做統(tǒng)一規(guī)范的處理，逐步的在實踐的過程中構(gòu)建出準確且及時的安全事件上報體系;在對網(wǎng)絡安全事件進行分類的基礎(chǔ)之上，找出適應性較強的各種類型的安全事件的應對方法，從而就能夠構(gòu)建出一個較為完善的應急相應決策數(shù)據(jù)庫;應當在實踐的過程中逐漸的構(gòu)建起網(wǎng)絡安全事件數(shù)據(jù)庫，這一項工作在事件相應流程當中的最后一個階段（跟蹤）所能夠起到的作用是相對來說比較的重要的。

參考文獻：

[1]梁穎.基于數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢定量感知方法研究[D].哈爾濱工程大學，2007.

[2]姚東.基于流的大規(guī)模網(wǎng)絡安全態(tài)勢感知關(guān)鍵技術(shù)研究[D].解放軍信息工程大學，2013.