《信息系统安全事件响应》是《信息安全国家重点实验室信息安全丛书》这一。本书主要介绍了与信息系统安全事件响应相关的关键技术和一些管理措施，以及在处理领先卢安全事件过程中的主要工作内容。书中主要内容包括：各种攻击技术介绍；如何进行日常安全管理，降低安全事件的发性；如何检测入侵事件，及时发现问题；如何组建应急响应小组，防患于未然；应急响应技术与工具介绍；事件响应过程中各个阶段所要完成的主要工作等。
    《信息系统安全事件响应》可作为计算机、信息安全、管理信息系统等专业的高年级本科生、研究生的教学参考书，也可供相关领域的科研和工程技术人员，尤其是安全管理人员和应急服务人员参考。

    能够得到最有效的利用，避免应急响应体系由于受到错误报警、虚假报警、恶意扰乱、恶作剧等行为的干扰而影响响应的效率，从而导致无法对真正的信息安全事件做出及时、有效的响应处理，应该对突发的信息安全事件或异常状况进行初步分析和可靠性确认，以保证报警信息的真实有效；确认报告安全事件或异常状况的责任人，以确保事件报告的可追究性和不可否认性。
    2.抑制
    在确认事件发生后，应采取措施抑制事件的进一步扩散。应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。应急抑制是信息安全应急响应工作中的重要环节。在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理，或者根据所拥有的资源状况和事件的等级，采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散（例如蠕虫的大规模传播）和安全事件对受害系统的持续性破坏，有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。
    应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制四个层次的工作内容。在发生信息安全事件时，应根据事件准备的分析结果，综合利用多个层次的抑制措施，保证抑制工作的及时、有效。
    3.根除
    在事件被抑制之后，通过对事件的分析结果，找出事件根源并彻底清除。对于单机上的事件，可以根据各种操作系统平台的具体检查和根除程序进行操作；针对大规模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码，则是十分艰巨的一项任务。很多案例的统计数据表明，众多的用户并没有真正关注他们的主机是否已经遭受入侵，有的甚至持续一年多，任由感染蠕虫的主机在网络中不断地搜索和攻击别的目标。造成这种现象的重要原因是各网络之间缺乏有效的协调和统一管理。
    应急根除分为物理根除、单机根除和网络根除三个层次。为了保证彻底从受保护网络系统中清除安全威胁，针对不同类型的安全事件，应综合采取不同层次的根除措施。
    ……

第1章 概述
1.1 为什么需要应急响应
1.2 如何理解应急响应
1.3 国内外主要组织机构
1.4 本书的内容安排

第2章 了解您的对手——黑客攻击技术
2.1 信息获取攻击
2.2 特权提升攻击
2.3 拒绝服务攻击
2.4 病毒和蠕虫攻击

第3章 日常安全管理制度
3.1 安全管理的一般内容
3.2 安全管理的实施
3.3 安全标准与安全政策
3.4 日常安全管理制度参考

第4章 检测人侵
4.1 检测技术
4.2 入侵检测系统

第5章 应急响应小组的组建
5.1 概述
5.2 组建应急响应小组
5.3 应急响应小组的管理

第6章 应急响应的相关技术与工具
6.1 系统方面
6.2 网络方面
6.3 日志工具
6.4 数据备份与恢复

第7章 前期响应
7.1 制定应急响应计划
7.2 资源准备
7.3 现场备份
7.4 业务连续性保障

第8章 中期响应
8.1 事件分析与处理
8.2 对入侵的追踪
8.3 取证

第9章 后期响应
9.1 提高系统安全性及进行系统安全性评估
9.2 总结
9.3 事件文档与证据的处理
附录A 应急响应报告表模板
附录B 一些相关参考资源和站点
主要参考文献