安全事件应急处理是指安全技术人员在遇到突发事件后采取的措施和行动,是对已经发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。这里的突发事件则是指影响一个系统正常运行的情况,包括业务系统或服务器出现异常登录、数据被窃取或被篡改、被植入病毒/木马/后门、网络流量异常、遭受拒绝服务攻击等。
应急响应的特点是高度的压力,短暂的时间和有限的资源,是一项需要充分的准备并严密组织的工作,它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。
应急响应服务的目的是最快速度恢复系统的保密性、完整性、和可用性,阻止和减小安全事件带来的影响。通过采取紧急措施和行动,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全时间再次发生;在需要司法机关介入时,提供法律认可的数字证据等。