随着互联网技术的快速发展,网络应用的不断增加,网络安全问题也日益严重。安全事件的发生不可避免,因此事件应急响应也是网络安全体系结构中不可或缺的重要环节。目前国内应急响应相关的研究正逐渐兴起,引起了政府、教育和企业等各界的密切关注。本文参考了华东(北)地区网络中心多年的响应实践工作,设计并实现了大型分布式应急响应管理系统CHAIRS (Cooperative Hybrid Aided Incidence Response System),并已部署在CERNET(The China Education and Research Network)各主节点,为CERNET各节点的安全管理人员提供事件响应管理功能,以提高安全事件响应的效率。应急事件响应管理系统涉及的首要问题是事件响应工作流。论文介绍了目前国际上权威的应急响应PDCERF六阶段事件响应方法和典型的应急响应管理系统,并参照CERNET实际响应的工作过程,整理并制订了一套适合CERNET的应急响应工作流。在此工作流的基础上,本文给出了CHAIRS的事件响应管理系统的设计,包括参考IDMEF确定CHAIRS的事件格式、确定系统结构和具体功能以及设计用户接口等。在实现事件响应管理系统的基础上,为给CERNET的运行管理和安全保障提供所需的IP地址信息,本文设计并实现了安全事件库。它接收来自所有CHAIRS子节点的安全事件数据,并对外提供事件查询功能,可以说安全事件库是一个开放的大型数据平台。由于事件信息是异构数据,安全事件库最终采用NOSQL数据库进行存储。另外,数据通信选择了平台独立的、低耦合的WebService技术。此外,CHAIRS为事件响应提供半自动化决策功能。当前响应系统的决策生成方案大都基于分类实现响应决策模型,区别仅在于分类依据不同。本文结合当前CERNET事件响应的实际情况,提出了基于分类的半自动化响应决策模型,并在对CHAIRS内事件进行分类的基础上,实现了该模型。本文同时介绍了CHAIRS的整体结构,对运行管理部分进行了改进,并进行了完整的系统测试。论文最后对将来的事件应急响应系统进行了展望,指明了对事件库进行数据挖掘将能够有效预防事件发生,并对事件响应有重大意义。