企業(yè)網(wǎng)絡安全應急響應專項方案

企業(yè)網(wǎng)絡安全應急響應方案事實證實，事先制訂一個行之有效網(wǎng)絡安全事件響應計劃(在本文后續(xù)描述中簡稱事件響應計劃)，能夠在出現(xiàn)實際安全事件以后，幫助你及你安全處理團體正確識別事件類型，立即保護日志等證據(jù)文件，并從中找出受到攻擊原因，在妥善修復后再將系統(tǒng)投入正常運行。有時，甚至還能夠經(jīng)過分析保留日志文件，經(jīng)過其中任何相關攻擊蛛絲馬跡找到具體攻擊者，并將她(她)繩之以法。

一、制訂事件響應計劃前期準備

制訂事件響應計劃是一件要求嚴格工作，在制訂之前，先為它做部分準備工作是很有必需，它將會使其后具體制訂過程變得相對輕松和高效。這些準備工作包含建立事件響應小姐并確定組員、明確事件響應目標，和準備好制訂事件響應計劃及響應事件時所需工具軟件。

1、建立事件響應小組和明確小組組員

任何一個安全方法，全部是由人來制訂，并由人來實施實施，人是安全處理過程中最關鍵原因，它會一直影響安全處理整個過程，一樣，制訂和實施事件響應計劃也是由有著這方面知識多種組員來完成。既然如此，那么在制訂事件響應計劃之前，我們就應該先組建一個事件響應小組，并確定小組組員和組織結構。

至于怎樣選擇響應小組組員及組織結構，你能夠依據(jù)你所處實際組織結構來決定，但你應該考慮小組組員本身技術水平及配合能達成默契程度，同時，你還應該明白怎樣確保小組組員內(nèi)部安全。通常來說，你所在組織結構中領導者也能夠作為小組最高領導者，每一個部門中領導者能夠作為小組下一級領導，每個部門優(yōu)異IT管理人員能夠成為小組組員，再加上你所在IT部門中部分優(yōu)異組員，就能夠組建一個事件響應小組了。響應小組應該有一個嚴密組織結構和上報制度，其中，IT人員應該是最終事件應對人員，負責事件監(jiān)控識別處理工作，并向上級匯報;小組中部門領導可作為小組響應人員上一級領導，直接負責督促各小組組員完成工作，而且接收下一級匯報并將事件響應過程建檔上報;小組最高領導者負責協(xié)調整個事件響應小組工作，對事件處理方法做出明確決定，并監(jiān)督小組每一次事件響應過程。

在確定了事件響應小組組員及組織結構后，你就能夠將她們組織起來，參與制訂事件響應計劃每一個步驟。

2、明確事件響應目標

在制訂事件響應計劃前，我們應該明白事件響應目標是什么?是為了阻止攻擊，減小損失，立即恢復網(wǎng)絡訪問正常，還是為了追蹤攻擊者，這應該從你要具體保護網(wǎng)絡資源來確定。

在確定事件響應目標時，應該明白，確定了事件響應目標，也就基礎上確定了事件響應計劃具體方向，全部將要展開計劃制訂工作也將圍繞它來進行，也直接關系到要保護網(wǎng)絡資源。所以，先明確一個事件響應目標，并在實施時嚴格圍繞它來進行，果斷杜絕違反響應目標處理方法出現(xiàn)，是關系到事件響應最終效果關鍵問題之一。

應該注意是，事件響應計劃目標，不是一成不變，你應該在制訂和實施過程中不停地修正它，讓它真正適應你網(wǎng)絡保護需要，而且，也不是說，你只能確定一個響應目標，你能夠依據(jù)你本身處理能力，和投入成本多少，來確定一個或多個你所需要響應目標，比如，有時在做到立即恢復網(wǎng)絡正常訪問同時，盡可能地搜集證據(jù)，分析并找到攻擊者，并將她(她)繩之以法。

3、準備事件響應過程中所需要工具軟件

對于計算機安全技術人員來說，有時會出現(xiàn)三分技術七分工具情況。不管你技術再好，假如需要時沒有對應工具，有時也只能望洋興嘆。一樣道理，當我們在響應事件過程當中，將會用到部分工具軟件來應對對應攻擊方法，我們不可能等到出現(xiàn)了實際安全事件時，才想到要使用什么工具軟件來進行應對，然后再去尋求或購置這些軟件。這么一來，就有可能會因為某一個工具軟件沒有準備好而耽擱處理事件立即性，引發(fā)事件影響范圍擴大。所以，事先考慮當我們應對安全事件之時，所能夠用得到工具軟件，將它們?nèi)繙蕚浜?，不管你?jīng)過什么方法得到，然后用可靠存放媒介來保留這些工具軟件，是很有必需。

我們所要準備工具軟件關鍵包含數(shù)據(jù)備份恢復、網(wǎng)絡及應用軟件漏洞掃描、網(wǎng)絡及應用軟件攻擊防范，和日志分析和追蹤等軟件。這些軟件種類很多，在準備時，得從你實際情況出發(fā)，針對多種網(wǎng)絡攻擊方法，和你使用習慣和你能夠承受成本投入來決定。

下面列出需要準備哪些方面工具軟件：

(1)、系統(tǒng)及數(shù)據(jù)備份和恢復軟件。

(2)、系統(tǒng)鏡像軟件。

(3)、文件監(jiān)控及比較軟件。

(4)、各類日志文件分析軟件。

(5)、網(wǎng)絡分析及嗅探軟件。

(6)、網(wǎng)絡掃描工具軟件。

(7)、網(wǎng)絡追捕軟件。

(8)、文件捆綁分析及分離軟件，二進制文件分析軟件，進程監(jiān)控軟件。

(9)、如有可能，還能夠準備部分反彈木馬軟件。

因為包含到軟件很多，而且又有應用范圍及應用平臺之分，你不可能全部將它們下載或購置回來，這肯定是不夠現(xiàn)實。所以在此筆者也不好一一將這些軟件全部羅列出來，但有多個軟件，在事件響應該中是常常見到，比如，Securebacker備份恢復軟件，Nikto網(wǎng)頁漏洞掃描軟件，Namp網(wǎng)絡掃描軟件，Tcpdump(WinDump)網(wǎng)絡監(jiān)控軟件,Fport端口監(jiān)測軟件，Ntop網(wǎng)絡通信監(jiān)視軟件，RootKitRevealer(Windows下)文件完整性檢驗軟件，ArpwatchARP檢測軟件，OSSECHIDS入侵檢測和多種日志分析工具軟件，微軟BASE分析軟件，SNORT基于網(wǎng)絡入侵檢測軟件，SpikeProxy網(wǎng)站漏洞檢測軟件，Sara安全評審助手，NetStumbler是802.11協(xié)議嗅探工具，和Wireshark嗅探軟件等全部是應該擁有。還有部分好用軟件是操作系統(tǒng)本身帶有，比如Nbtstat、Ping等等，因為真太多，就不再在此列出了，其實上述提到每個軟件和全部需要準備軟件，全部能夠在部分安全類網(wǎng)站上下載無償或試用版本。

準備好這些軟件后，應該將它們?nèi)客咨票Ａ?。你能夠將它們刻錄到光盤當中，也能夠將它們存入移動媒體當中，并隨身攜帶，這么，當要使用它們時隨手拿來就能夠了。因為有些軟件是在不停更新當中，而且只有不停升級它們才能確保應對最新攻擊方法，所以，對于這些工具軟件，還應該立即更新。二、制訂事件響應計劃

當上述準備工作完成后，我們就能夠開始著手制訂具體事件響應計劃。在制訂時，要依據(jù)在準備階段所確立響應目標來進行。而且要將制訂好事件響應計劃按一定格式裝訂成冊，分發(fā)到每一個事件響應小組組員手中。

因為每個網(wǎng)絡用戶具體響應目標是不相同，所以就不可能存在任何一個完全相同事件響應計劃。不過，一個完整事件響應計劃，下面所列出內(nèi)容是不可缺乏：

(1)、需要保護資產(chǎn);

(2)、所保護資產(chǎn)優(yōu)先級;

(3)、事件響應目標;

(4)、事件處理小組組員及組成結構，和事件處理時和它方合作方法;

(5)、事件處理具體步驟及注意事項;

(6)、事件處理完成后文檔編寫存檔及上報方法;

(7)、事件響應計劃后期維護方法;

(8)、事件響應計劃模擬演練計劃。

上述列出項中第一項和第二項所要說明內(nèi)容應該很輕易了解，這些在制訂安全策略時就會考慮到，應該很輕易就能夠完成，還用上述列出項中第三項和第四項，也已經(jīng)在本文制訂事件響應計劃準備節(jié)時說明了，就不再在本文中再做具體說明。至于上述列出項中第五、第六、第七和第八項，筆者只在此將它們大約意思列出來，因為要在下面分別用一個單獨小節(jié)，給它們做具體說明。

在制訂事件響應計劃過程當中，還應該尤其注意是：事件響應計劃要做到盡可能具體和條理清楚，方便事件響應小組組員能夠很好地明白。這要求，在制訂過程當中，應該從本身實際情況出發(fā)，認真仔細地調查和分析實際會出現(xiàn)多種攻擊事件，組合多種資源，利用頭腦風暴方法，不停細化事件響應計劃中每一個具體應對方法，不停修訂事件響應目標，以此來加強事件響應計劃可擴展性和連續(xù)性，使事件響應計劃真正適應實際需求;同時，不僅每個事件響應小組組員全部應該參與進來，而且，包含安全產(chǎn)品提供商，各個合作伙伴，和當?shù)卣块T和法律機構全部應該考慮進來。

總而言之，一定要將事件響應計劃盡可能地做到和你實際響應目標相對應。三、事件響應具體實施

在進行事件響應之前，你應該很明白一個道理，就是事件處理時不能違反你制訂響應目標，不能在處理過程中避重就輕。比如，原來是要立即恢復系統(tǒng)運行，你卻只想著怎樣去追蹤攻擊者在何方，那么，就算你最終追查到了攻擊者，但此次攻擊所帶來影響卻會所以而變得愈加嚴重，這么一來，不僅不能給帶來什么樣成就感，反而是得不償失。但假如你事件響應目標本身就是為了追查攻擊者，比如網(wǎng)絡警察，那么對怎樣追蹤攻擊者就應該是首要目標了。

事實證實，根據(jù)事先制訂處理步驟來對事件進行響應，能降低處理過程當中雜亂無章，降低操作及判定失誤而引發(fā)處理不立即，所以，全部事件響應小組組員，不僅要熟習整個事件響應計劃，而且要尤其熟練事件處理時步驟。

總體來說，一個具體事件響應步驟，應該包含五個部分：事件識別，事件分類，事件證據(jù)搜集，網(wǎng)絡、系統(tǒng)及應用程序數(shù)據(jù)恢復，和事件處理完成后建檔上報和保留?，F(xiàn)將它們具體說明以下：

1、事件識別

在整個事件處理過程當中，這一步是很關鍵，你必需從眾多信息中，識別哪些是真正攻擊事件，哪些是正常網(wǎng)絡訪問。

事件識別，不僅要依靠安全軟件及系統(tǒng)所產(chǎn)生多種日志中異常統(tǒng)計項來做出判定，而且也和事件識別者技術水平及經(jīng)驗有很大關系。這是因為，不僅安全軟件有誤報和漏報現(xiàn)象，而且，攻擊者往往會在成功入侵后，會用一切手段來修改這些日志，以掩蓋她行蹤，讓你無法從日志中得到一些關鍵信息。這時，一個有著豐富經(jīng)驗事件識別者，就能夠經(jīng)過對網(wǎng)絡及系統(tǒng)中某種現(xiàn)象判定，來決定是否已經(jīng)受到了攻擊。

有了可靠日志，再加上在受到了攻擊時會出現(xiàn)多種異?，F(xiàn)象，我們就能夠經(jīng)過分析這些日志文件中統(tǒng)計項，和對多種現(xiàn)象判定來確定是否受到了真正攻擊。所以，假如日志中出現(xiàn)了下面列出項中統(tǒng)計，或網(wǎng)絡和主機系統(tǒng)出現(xiàn)了下面列出項中現(xiàn)象，就一定表明你所監(jiān)控網(wǎng)絡或主機已經(jīng)或正在面臨著某種類別攻擊：

(1)、日志文件中統(tǒng)計有異常沒有登錄成功審計事件;

(2)、日志文件中有成功登錄不明賬號統(tǒng)計;

(3)、日志文件中存在有異常修改一些特殊文件統(tǒng)計;

(4)、日志文件中存在有某段時間來自網(wǎng)絡不正常掃描統(tǒng)計;

(5)、日志文件中存在有在某段時間開啟不明服務進程統(tǒng)計;

(6)、日志文件中存在有特殊用戶權限被修改或添加了不明用戶賬號統(tǒng)計;

(7)、日志文件中存在有添加了某種不明文件統(tǒng)計;

(8)、日志文件中存在有不明軟件主動向外連接統(tǒng)計;

(9)、查看日志文件屬性時，時間戳不對，或日志文件大小和你統(tǒng)計不相符;

(10)、查看日志文件內(nèi)容時，發(fā)覺日志文件中某個時間段不存在或被修改;

(11)、發(fā)覺系統(tǒng)反應速度變慢，或在某個時間段忽然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響原因;

(12)、發(fā)覺系統(tǒng)中安全軟件被停止，正常服務被停止;

(13)、發(fā)覺網(wǎng)站網(wǎng)頁被篡改或被刪除替換;

(14)、發(fā)覺系統(tǒng)變得不穩(wěn)定，忽然死機，系統(tǒng)資源占用過大，不停重啟;

(15)、發(fā)覺網(wǎng)絡流量忽然增大，查看發(fā)覺對外打開了不明端口;

(16)、發(fā)覺網(wǎng)卡被設為混雜模式;

(17)、一些正常服務不能夠被訪問等等。

能夠用來做出判定異常統(tǒng)計和異?，F(xiàn)象還有很多，筆者就不在這里全部列出了。這要求事件響應人員應該不停學習，努力提升本身技術水平，不停增加識別異?，F(xiàn)象經(jīng)驗，然后形成一個適合自己判定方法后，再加上日志分析工具和安全監(jiān)控軟件幫助，就不難在這些日志統(tǒng)計項和現(xiàn)象中找出真正攻擊事件來。

到現(xiàn)在為止，經(jīng)過分析多種日志文件來識別事件性質，仍然是最關鍵方法之一。你能夠重新設置這些安全軟件日志輸出格式，使它們輕易被了解;你也能夠重新具體設置安全軟件過濾規(guī)則，降低它們誤報和漏報，增加可識別強度;你還能夠使用部分專業(yè)日志文件分析工具，比如OSSECHIDS，來加緊分析大致積日志文件速度，提升識別率，同時也會減輕你負擔。至于擔心日志會被攻擊者刪除或修改，你能夠將全部日志文件全部保留到受防火墻保護存放系統(tǒng)之中，來降低這種風險?？偠灾瑸榱四軓娜罩疚募械玫轿覀兿胍畔?，就應該想法使日志文件以我們需要方法來工作。

全部這些，全部得要求事件響應人員在平時常常檢驗網(wǎng)絡及系統(tǒng)運行情況，不停分析日志文件中統(tǒng)計，查看多種網(wǎng)絡或系統(tǒng)異?，F(xiàn)象，方便能立即真正攻擊事件做出正確判定。另外，你應該在平時在對網(wǎng)絡系統(tǒng)中一些對象進行操作時，應該具體統(tǒng)計下你所操作過全部對象內(nèi)容及操作時間，方便在識別時有一個判定依據(jù)。在工作當中，常常見筆統(tǒng)計下這些操作是一個事件響應人員應該養(yǎng)成好習慣。

當發(fā)覺了上述出現(xiàn)異常統(tǒng)計或異常現(xiàn)象，就說明攻擊事件已經(jīng)發(fā)生了，所以就能夠立即進入到下一個步驟當中，即對出現(xiàn)攻擊事件嚴重程度進行分類。

2、事件分類

當確定已經(jīng)發(fā)覺攻擊事件后，就應該立即對已經(jīng)出現(xiàn)了攻擊事件做出嚴重程度判定，以明確攻擊事件抵達了什么地步，方便決定下一步采取什么樣應對方法。比如，假如攻擊事件是包含到服務器中部分機密數(shù)據(jù)，這肯定是很嚴重攻擊事件，就應該立即斷開受到攻擊服務器網(wǎng)絡連接，并將其隔離，以預防事態(tài)深入惡化及影響網(wǎng)絡中其它關鍵主機。

對攻擊事件進行分類，一直以來，全部是沒有一個統(tǒng)一標準，各安全廠商全部有她自己一套分類方法，所以，你也能夠自行對攻擊事件嚴重程度進行分類。通常來說，能夠經(jīng)過確定攻擊事件發(fā)展到了什么地步，和造成了什么樣后果來進行分類，這么就能夠將攻擊事件分為以下多個類別：

(1)、試探性事件;

(2)、通常性事件;

(3)、控制系統(tǒng)事件;

(4)、拒絕服務事件;

(5)、得到機密數(shù)據(jù)事件。

對網(wǎng)絡中主機進行試探性掃描，全部能夠認為是試探性質事件，這些全部是攻擊者為了確定網(wǎng)絡中是否有能夠被攻擊主機，而進行最基礎工作。當攻擊者確定了要攻擊目標后，她就會深入地對攻擊目標進行愈加具體，愈加有目標掃描，這時，所使用掃描方法就會愈加優(yōu)異和不可識別性，比如半連接式掃描及FIN方法掃描等，這種掃描完成后，就能夠找到部分是否能夠利用漏洞信息，因為現(xiàn)在部分整合性防火墻和IDS也能夠識別這些方法掃描，所以，假如在日志文件中找到了和此對應統(tǒng)計，就表明攻擊已經(jīng)發(fā)展到了通常性事件地步了。當攻擊者得到能夠利用漏洞信息后，她就會利用多種手段對攻擊目標進行滲透，這時，假如你沒有立即發(fā)覺，滲透成功性是很大，網(wǎng)絡中已經(jīng)存在有太多這類滲透工具，使用這些工具進行滲透工作是輕而易舉事，在滲透成功后，攻擊者就會想法提升自己在攻擊目標系統(tǒng)中權限，并安裝后門，方便能隨心所欲地控制已經(jīng)滲透了目標，此時，就已經(jīng)發(fā)展到了控制系統(tǒng)地步。到這里，假如你還沒有發(fā)覺攻擊行為，那么，你所保護機密資料將有可能被攻擊者完全得到，事態(tài)嚴重性就可想而知了。攻擊者在控制了攻擊目標后，有時也不一定能夠得到機密數(shù)據(jù)，由此而產(chǎn)生部分報復性行為，比如進行部分DOS或DDOS攻擊等，讓其它正常見戶也不能夠訪問，或，攻擊者控制系統(tǒng)目標，就是為了對其它系統(tǒng)進行DOS或DDOS攻擊。

此時你，就應該從日志文件統(tǒng)計項中，快速對攻擊事件發(fā)展到了哪種地步做出明確判定，并立即上報小組領導，和通報給其它小組組員，方便整個小組中全部組員能夠明確此次攻擊事件嚴重程度，然后決定采取什么樣應對方法來進行響應，以預防事態(tài)向愈加嚴重程度發(fā)展，或盡可能減小損失，立即修補漏洞，恢復網(wǎng)絡系統(tǒng)正常運行，并立即搜集好全部證據(jù)，以此來找到攻擊者。

3、攻擊事件證據(jù)搜集

為了能為析攻擊產(chǎn)生原因及攻擊所產(chǎn)生破壞，也為了能找到攻擊者，并提供將她繩之以法證據(jù)，就應該在恢復已被攻擊系統(tǒng)正常之前，將這些能提供證據(jù)數(shù)據(jù)全部搜集起來，妥善保留。

至于怎樣搜集，這要視你所要搜集證據(jù)多少及大小，和搜集速度要求來定。假如只搜集少許數(shù)據(jù)，你能夠經(jīng)過簡單復制方法將這些數(shù)據(jù)保留到另外部分安全存放媒介當中;假如要搜集數(shù)據(jù)數(shù)量多且體積大，而且要求在極少時間來完成，你就能夠經(jīng)過部分專業(yè)軟件來進行搜集。對于這些搜集數(shù)據(jù)保留到什么樣存放媒介之中，也得依據(jù)所要搜集數(shù)據(jù)要求來定，還得看你現(xiàn)在所擁有存放媒介有哪些，通常保留到光盤或磁帶當中為好。

具體搜集哪些數(shù)據(jù)，你能夠將你認為能夠為攻擊事件提供證據(jù)數(shù)據(jù)全部全部搜集起來，也能夠只搜集其中最關鍵部分，下面是部分應該搜集數(shù)據(jù)列表：

(1)、操作系統(tǒng)事件日志;

(2)、操作系統(tǒng)審計日志;

(3)、網(wǎng)絡應用程序日志;

(4)、防火墻日志;

(5)、入侵檢測日志;

(6)、受損系統(tǒng)及軟件鏡像。

在進行這一步之前，假如你首要任務是將網(wǎng)絡或系統(tǒng)恢復正常，為了預防在恢復系統(tǒng)備份時將這些證據(jù)文件丟失，或你只是想為這些攻擊留個紀念，你應該先使用部分系統(tǒng)鏡像軟件將整個系統(tǒng)做一個鏡像保留后，再進行恢復工作。

搜集數(shù)據(jù)不僅是作為指證攻擊者證據(jù)，而且，在事件響應完成后，還應將它們統(tǒng)計建檔，并上報給相關領導及其它合作機構，比如安全軟件提供商，合作伙伴，和當?shù)胤蓹C構，同時也能夠作為事后分析學習之用。所以，這個事件響應操作步驟也是必不可少，搜集到數(shù)據(jù)也應該保留完整。

4、網(wǎng)絡、系統(tǒng)及應用程序數(shù)據(jù)恢復

在搜集完全部證據(jù)后，就能夠將被攻擊影響到對象全部恢復正常運行，方便能夠正常使用。是否能夠立即恢復系統(tǒng)到正常狀態(tài)，得依靠另一個安全手段，就是備份恢復計劃，對于部分大型企業(yè)，有時也被稱為災難恢復計劃，不管怎么說，事先對所保護關鍵數(shù)據(jù)做一個安全備份是一定需要，它直接影響到事件響應過程中恢復立即性和可能性。

在恢復系統(tǒng)后，你應該確保系統(tǒng)漏洞已經(jīng)被修補完成，系統(tǒng)已經(jīng)更新了最新補丁包，而且已經(jīng)重新對修補過系統(tǒng)做了新備份，這么，才能讓這些受到攻擊恢復正常后系統(tǒng)重新連入到網(wǎng)絡當中。假如當初還沒有最新安全補丁，而又必需立即恢復系統(tǒng)運行話，你能夠先實施部分針對性安全方法，然后再將系統(tǒng)連入到網(wǎng)絡當中，但要時刻注意，并在有補丁時立即更新它，并重新備份。

恢復方法及恢復內(nèi)容多少，得看你系統(tǒng)受損情況來決定，比如，系統(tǒng)中只是開放了部分不正常端口，那就沒有必需恢復整個系統(tǒng)，只要將這些端口關閉，然后堵住產(chǎn)生攻擊漏洞就能夠了。假如系統(tǒng)中關鍵文件已經(jīng)被修改或刪除，系統(tǒng)不能正常運行，而這些文件又不能夠被修復，就只能恢復整個系統(tǒng)了?；謴蜁r，即能夠經(jīng)過手工操作方法來達成恢復目標，也能夠經(jīng)過部分專業(yè)備份恢復軟件來進行恢復，甚至，在有些大中型企業(yè)，因為數(shù)據(jù)多，而且很關鍵，對系統(tǒng)穩(wěn)定性和連續(xù)性有很高要求，比如部分網(wǎng)站類企業(yè)，就會使用一個備用系統(tǒng)，來提供冗余，當一套系統(tǒng)遭到攻擊停運后，另一套系統(tǒng)就會自動接替它運行，這么，就能讓事件響應小組人員有足夠多時間進行各項操作，而且不會影響到網(wǎng)絡系統(tǒng)正常訪問。

恢復在整個事件處理步驟當中是比較獨特，將它放在哪一步來實施，你應該以你保護目標來決定，比如，當你保護首要目標是為了立即恢復網(wǎng)絡系統(tǒng)或服務能夠正常訪問，假如有備用系統(tǒng)，因為備用系統(tǒng)已經(jīng)接替受攻擊系統(tǒng)運行了，就能夠按上述步驟中次序來進行操作，而對于只有備份文件，假如想要系統(tǒng)最快速度地恢復正常運行，能夠先將整個受損系統(tǒng)做一個鏡像，然后就能夠快速恢復備份，投入運行。

其實，任何處理步驟，說白了，就只是讓你養(yǎng)成一個對某種事件處理過程通用習慣性思維和工作步驟而已。

5、事件處理過程建檔保留

在將全部事件全部已調查清楚，系統(tǒng)也恢復正常運行后，你就應該將全部和這次事件相關全部種種全部做一個具體統(tǒng)計存檔。建檔目標有二點，一是用來向上級領導匯報事件起因及處理方法，二是用來做學習例子，用來分析攻擊者攻擊方法，方便以后愈加有效地預防這類攻擊事件發(fā)生。具體要統(tǒng)計保留內(nèi)容包含到整個事件響應過程，要統(tǒng)計內(nèi)容比較多，而且響應過程有時比較長，所以，這就要求安全事件響應人員在事件處理過程當中，應該隨時統(tǒng)計下響應過程中發(fā)覺點點滴滴和全部操作事件，方便建檔時能使用。

建檔格式是能夠由你自行來要求，沒有具體標準，只要能夠清楚地統(tǒng)計下全部應該統(tǒng)計內(nèi)容就能夠了。也能夠將文檔做成一式三份，一份上報領導，一份保留，一份用來分析學習用。也能夠將這些文檔交給部分專業(yè)安全企業(yè)和系統(tǒng)及應用軟件提供商，方便它們能夠立即地了解這種攻擊方法，并公布對應防范產(chǎn)品和安全補丁包，還能夠向部分合作伙伴通報，讓它們也能夠加強這方面防范。

具體要建檔內(nèi)容以下所表示：

(1)、攻擊發(fā)生在什么時候，什么時候發(fā)覺，發(fā)覺人是誰?

(2)、攻擊者利用是什么漏洞來攻擊，這種漏洞是已經(jīng)發(fā)覺了，還現(xiàn)在才出事，漏洞具體類別及數(shù)量?

(3)、攻擊者在系統(tǒng)中進行了哪些方面操作，有哪些數(shù)據(jù)或文件被攻擊者攻擊了?

(4)、攻擊大致發(fā)展次序是怎么進行?

(5)、造成此次事件關鍵原因是什么?

(6)、處理此次事件具體步驟是什么?

(7)、攻擊造成了什么后果，嚴重程度怎樣，攻擊者得到了什么權限和數(shù)據(jù)?

(8)、攻擊者是怎樣突破安全防線?

(9)、用什么工具軟件處理?

(10)、此次事件在發(fā)覺及處理時有哪些人員參與，上報給了哪些部門及人員?

(11)、事件發(fā)生后，損失恢復情況怎樣?

(12)、此次攻擊有了什么新改變，是否能夠預防和應對?

(13)、以后應該怎樣應對這種安全事件，給出一個具體方案附后等等。

以上所列出，全部是建檔時應該統(tǒng)計內(nèi)容。建檔人員能夠自由安排統(tǒng)計次序，不過得和事件處理次序相對應，方便讓其它人員愈加好地了解和學習。當然，你還能夠統(tǒng)計其它沒有在上述項中提到內(nèi)容，只要你認為有統(tǒng)計下這些內(nèi)容必需，或是你響應小組領導要求統(tǒng)計下這些內(nèi)容。

四、事件響應計劃后期維護及演練

1、事件響應計劃后期維護

制訂好一個事件響應計劃后，就應該立即嚴格地組織實施，將事件響應計劃束之高格，或即使實施了但卻歷來不對它進行維護，這些全部等同于沒有一樣，甚至比沒有時更壞。這是因為，不停有新攻擊手段出現(xiàn)，假如你不對已經(jīng)制訂事件響應計劃做出對應調整話，那么，你也就不會對這些新攻擊方法做出正確響應，事件響