[0001] 本发明涉及网络信息安全领域，尤其涉及一种远程应急响应系统及其响应方法。

[0002] 网络应急响应是在网络和系统出现紧急情况时的行动，通常需要安全专家通过现场或远程方式针对网络、设备或系统进行检查分析，在分析出安全问题后进行相应处理(如配置安全策略、优化注册表、删除进程等)，对企业内网设备和系统来说，在远程方式下还需要先通过VPN等方式接入内网。

[0003] 在上述传统应急响应方式下，通过安全专家人工检查与分析判断，自动化处理能力不足，效率较低，时效性难以保证；现场方式还存在成本较高的问题。

[0034] 下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0035] 如图1所示，本发明实施例提供了一种远程应急响应系统，包括客户端1、应急代理2和云端应急中心3。其中：

[0036] 客户端1包括终端管理单元102和应急服务单元101。应急代理2包括信息收集单元201。云端应急中心3包括应急响应单元301、安全分析单元302和专家分析单元303。

[0037] 客户端1安装在有应急服务需求的网络中，对网络中的所有终端进行统一管理。具体来说，客户端1可以是安装于内网中，对内网中的所有终端进行管理，内网中的各终端均有自己的内网地址，在安装客户端1的服务器上应设置双网卡，其中一个网卡接内网地址，另一个网卡接公网地址，其中公网地址可被云端应急中心3访问到。

[0038] 终端管理单元102用于对客户端1所管理的所有终端进行扫描，以发现存在安全问题的终端。

[0039] 应急服务单元101用于向存在安全问题的终端推送应急代理2，以将应急代理2自动安装到存在安全问题的终端中，同时，接收该应急代理2的信息收集单元201收集的存在安全问题的终端的信息，并在接收到存在安全问题的终端的信息后向云端应急中心3发送应急服务请求。应急服务请求中包含存在安全问题的终端的信息以及所需的应急服务，应急服务包括应急分析，应急服务请求中还设定了应急分析结果的发送方式。

[0040] 信息收集单元201收集的信息包括终端的资源(CPU、内存、硬盘等)利用率、进程情况、开放端口、注册表信息、日志信息等。应急服务请求中还可包括应急服务请求号、客户端1相关信息(包括但不限于客户账号、IP地址等)等。

[0041] 应急响应单元301用于接收应急服务请求，并将应急服务请求中包含的存在安全问题的终端的信息发送给安全分析单元302与专家分析单元303。

[0042] 安全分析单元302用于对存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将分析结果发送到应急响应单元301。

[0043] 专家分析单元303用于提供界面以显示存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将人工输入的分析结果发送到应急响应单元301。

[0044] 应急响应单元301将从安全分析单元302和专家分析单元303接收到的分析结果以发送方式发送出去。

[0045] 应急服务还包括应急处理，应急代理2还包括应急处理单元202。此时，应急响应单元301还用于通过应急服务单元101连接应急处理单元202，并通过应急处理单元202对该应急处理单元202所属的应急代理2所安装于的终端进行应急处理。应急响应单元301与应急处理单元202之间的连接方式为远程桌面连接或SSH(Secure Shell，安全外壳协议)连接，也可以是其他连接方式。应急响应单元301可先向客户端1发出连接指令，客户端1中的应急服务单元101收到连接指令后，建立与应急响应单元301的连接，然后应急服务单元101与应急处理单元202建立连接，从而应急响应单元301通过应急服务单元101与应急处理单元202建立起连接。或者客户端1可通过其应急服务单元101建立应急代理2所在终端的端口映射，然后应急响应单元301通过客户端1建立的端口映射建立与应急处理单元202之间的连接，从而建立起与应急代理2所在终端的连接。云端应急中心3利用其应急响应单元301，应急响应单元301基于建立的连接通过应急处理单元202对应急代理2所在的终端进行应急处理。应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项等。应急处理完成后，应急服务单元101断开前述连接，即断开应急响应单元301与应急处理单元202之间的连接。应急服务单元101可先断开与应急处理单元202的连接，然后再断开与应急响应单元301的连接。如果是通过前述端口映射方式建立的连接，应急服务单元101断开应急响应单元301与应急处理单元202之间的连接后，还要删除相应端口映射。

[0046] 应急代理2还可包括代理控制单元103，代理控制单元103用于对应急代理2进行管理，包括应急代理2的状态监测、应急代理2信息维护等，应急代理2信息包括但不限于应急代理2所在终端的IP地址、终端名称、终端类型、存在时间等。

[0047] 结合图1、图2所示，本发明另一实施例还提供了一种远程应急响应系统的响应方法，远程应急响应系统包括客户端1、应急代理2和云端应急中心3。客户端1包括终端管理单元102和应急服务单元101，应急代理2包括信息收集单元201，云端应急中心3包括应急响应单元301、安全分析单元302和专家分析单元303。客户端1安装在有应急服务需求的网络中，对网络中的所有终端进行统一管理。具体来说，客户端1可以是安装于内网中，对内网中的所有终端进行管理，内网中的各终端均有自己的内网地址，在安装客户端1的服务器上应设置双网卡，其中一个网卡接内网地址，另一个网卡接公网地址，其中公网地址可被云端应急中心3访问到。

[0048] 响应方法包括如下步骤：

[0049] 步骤A：终端管理单元102对客户端1所管理的所有终端进行扫描，以发现存在安全问题的终端。

[0050] 步骤B：应急服务单元101向存在安全问题的终端推送应急代理2，以将应急代理2自动安装到存在安全问题的终端中。

[0051] 步骤C：应急代理2的信息收集单元201收集存在安全问题的终端的信息，并将存在安全问题的终端的信息发送给应急服务单元101。信息收集单元201收集的信息包括终端的资源(CPU、内存、硬盘等)利用率、进程情况、开放端口、注册表信息、日志信息等。

[0052] 步骤D：应急服务单元101在接收到存在安全问题的终端的信息后向云端应急中心3发送应急服务请求。应急服务请求中包含存在安全问题的终端的信息以及所需的应急服务，应急服务包括应急分析，应急服务请求中还设定了应急分析结果的发送方式。应急服务请求中还可包括应急服务请求号、客户端1相关信息(包括但不限于客户账号、IP地址等)等。

[0053] 步骤E：应急响应单元301接收应急服务请求，并将应急服务请求中包含的存在安全问题的终端的信息发送给安全分析单元302与专家分析单元303。

[0054] 步骤F：安全分析单元302对存在安全问题的终端的信息进行安全问题分析，并生成分析结果，并将分析结果发送到应急响应单元301。同时，专家分析单元303提供界面以显示存在安全问题的终端的信息供人工分析和录入人工输入的分析结果，并将人工输入的分析结果发送到应急响应单元301。

[0055] 步骤G：应急响应单元301将从安全分析单元302和专家分析单元303接收到的分析结果以发送方式发送出去。

[0056] 应急服务还包括应急处理，应急代理2还包括应急处理单元202。此时，应急响应单元301还用于通过应急服务单元101连接应急处理单元202，并通过应急处理单元202对该应急处理单元202所属的应急代理2所安装于的终端进行应急处理。应急响应单元301与应急处理单元202之间的连接方式为远程桌面连接或SSH连接，也可以是其他连接方式。应急响应单元301可先向客户端1发出连接指令，客户端1中的应急服务单元101收到连接指令后，建立与应急响应单元301的连接，然后应急服务单元101与应急处理单元202建立连接，从而应急响应单元301通过应急服务单元101与应急处理单元202建立起连接。或者客户端1可通过其应急服务单元101建立应急代理2所在终端的端口映射，然后应急响应单元301通过客户端1建立的端口映射建立与应急处理单元202之间的连接，从而建立起与应急代理2所在终端的连接。云端应急中心3利用其应急响应单元301，应急响应单元301基于建立的连接通过应急处理单元202对应急代理2所在的终端进行应急处理。应急处理包括关闭可疑端口、删除可疑用户、关闭可疑进程、修改可疑注册表项等。应急处理完成后，应急服务单元101断开前述连接，即断开应急响应单元301与应急处理单元202之间的连接。应急服务单元101可先断开与应急处理单元202的连接，然后再断开与应急响应单元301的连接。如果是通过前述端口映射方式建立的连接，应急服务单元101断开应急响应单元301与应急处理单元202之间的连接后，还要删除相应端口映射。

[0057] 应急代理2还可包括代理控制单元103，代理控制单元103用于对应急代理2进行管理，包括应急代理2的状态监测、应急代理2信息维护等，应急代理2信息包括但不限于应急代理2所在终端的IP地址、终端名称、终端类型、存在时间等。

[0058] 本领域技术人员可以理解，可能以许多方式来实现本发明的方法以及系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及系统。用于上述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

[0059] 虽然已经通过示例对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本发明的范围。尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或全部技术特征进行等同替换。而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。