計(jì)算機(jī)安全事件處理指南

計(jì)算機(jī)安全事件處理指南

計(jì)算機(jī)安全事件處理指南（一）：準(zhǔn)備和預(yù)防

安全事件響應(yīng)過程從啟動(dòng)準(zhǔn)備工作到事件后分析可以分為幾個(gè)階段。啟動(dòng)階段包括建立和培訓(xùn)安

全事件響應(yīng)小組并獲得必要的工具和資源。在準(zhǔn)備工作中，組織也要以風(fēng)險(xiǎn)評估的結(jié)果為基礎(chǔ)，

通過選擇和實(shí)施一套控制措施來限制安全事件的發(fā)生次數(shù)。但是即使在實(shí)施了安全控制措施后，

殘存風(fēng)險(xiǎn)依然不可避免，而同沒有哪種控制措施是絕對安全的，所以對破壞網(wǎng)絡(luò)安全的行為要進(jìn)

行檢測，一旦安全事件發(fā)生要對組織發(fā)出報(bào)警。針對安全事件的嚴(yán)重程度，組織可以采取行動(dòng)，

通過對安全事件進(jìn)行限制并最終從中恢復(fù)來減緩安全事件所造成的即響。在安全事件得到適當(dāng)處

理后，組織要提交一份報(bào)告，詳細(xì)描述安全事件的起因、造成的損失以及以后對這種安全事件所

應(yīng)采取的防范措施和步驟。圖1描述了安全事件響應(yīng)的生命周期。

圖1:安全事件響應(yīng)生命周期

1、準(zhǔn)備

安全事件響應(yīng)方法學(xué)通常都要強(qiáng)調(diào)準(zhǔn)備工作，不僅要建立一個(gè)安全事件響應(yīng)能力，使組

織能夠從容響應(yīng)安全事件，而且要通過確保系統(tǒng)、網(wǎng)絡(luò)及應(yīng)用足夠安全來預(yù)防安全事件。雖然預(yù)

防安全事件普通不屬于安全事件響放小組的職貢，但是因?yàn)樗匾耍灾劣诂F(xiàn)在它已經(jīng)被認(rèn)

為是安全事件響應(yīng)小組的基礎(chǔ)組件工作。在提出系統(tǒng)安全保護(hù)建議時(shí)，安全事件響應(yīng)小組的專長

是非常有價(jià)值的。本節(jié)將針對安全事件處理及預(yù)防的準(zhǔn)備工作提供指導(dǎo)。

1.1準(zhǔn)備處理安全事件

表1列出了在安全事件處理過程中一些有價(jià)值的工具和資源。可以看到對安全事件分析

實(shí)用的具體軟件信息以及一些包含對安全事件響應(yīng)有匡助的信息的網(wǎng)站清單。

表1安全事件處理人員所需工具和資源

工具/資源

安全事件處理人員通信及設(shè)施

聯(lián)系信息用于小組成員及組織內(nèi)部和外部的其它人員（包括主要聯(lián)系人和后備

人員），比如執(zhí)法機(jī)構(gòu)和其它安全事件響應(yīng)小組：這些信息可能包括電話號(hào)碼、

電子郵件地址、公鑰（按照下面將要提到的加密軟件）、以及驗(yàn)證聯(lián)系人身份

的指令

待命信息用于組織內(nèi)其它小組，包括問題升級信息

安全事件報(bào)告機(jī)制比如電話號(hào)碼、郵件地址和是網(wǎng)上表格，用戶可以用它們來

報(bào)告可以事件：至少要有一種方法允許用戶可以用匿名方式報(bào)告事件

傳呼機(jī)或者挪移電話小組成員要隨身攜帶的通信工具，保證成員在非工作時(shí)間

也能聯(lián)系得到。

加密軟件被用于小組成員之間在組織內(nèi)部、以及和外部機(jī)構(gòu)之間的通信，必緞

采用經(jīng)過FIPS1452驗(yàn)證過的加密算法

作戰(zhàn)指揮室用于集中式通信和協(xié)調(diào)；如果不需要永久性的作戰(zhàn)指揮室，安全事

件響應(yīng)小組應(yīng)亥制定一個(gè)流程用來在需要時(shí)獲得一個(gè)暫時(shí)的作戰(zhàn)指揮室。

委全存儲(chǔ)設(shè)施用于保護(hù)證據(jù)和其它敏感信息________________________________

安全事件分析硬件和軟件

計(jì)算機(jī)取證工作站m和/或者備份設(shè)備用于創(chuàng)建磁盤映象、保存日志文件、保

存安全事件其它相關(guān)數(shù)據(jù)

筆記本計(jì)算機(jī)由于這種計(jì)算機(jī)便于攜帶，可用于數(shù)據(jù)分析、監(jiān)聽數(shù)據(jù)包及編寫

報(bào)告

備用工作站、服務(wù)器及網(wǎng)絡(luò)設(shè)備這些設(shè)備可應(yīng)用于許多用途，比如用備份來

恢復(fù)系統(tǒng)、測試惡意代碼；如果小組難以判斷額外設(shè)備的費(fèi)用，可以使用現(xiàn)有

的實(shí)驗(yàn)設(shè)備，或者用操作系統(tǒng)仿真軟件來建立虛擬實(shí)驗(yàn)室

空白介質(zhì)比如軟盤、只讀CD和只讀DVD

便攜式打印機(jī)旃從非網(wǎng)絡(luò)連接系統(tǒng)中打印日志文件和其它證據(jù)副本。

數(shù)據(jù)包監(jiān)聽和協(xié)議分析器捕獲并分析可能包含有事件證據(jù)的網(wǎng)絡(luò)流量一

計(jì)算機(jī)取證軟件用于分析磁盤映象，查找安全事件證據(jù)

軟盤和光盤存放有程序可靠版本的軟盤和光盤，可用它們從系統(tǒng)中采集證據(jù)

證據(jù)采集輔助設(shè)備通過包括筆記本計(jì)算機(jī)、數(shù)字像機(jī)、錄音機(jī)、證據(jù)存放袋和

標(biāo)簽、證據(jù)磁帶等來保護(hù)證據(jù)，以備可能發(fā)生.的法律行動(dòng)

安全事件分析資源

端口列表包拈常用端口和特洛伊木馬端口

文檔包括操作系統(tǒng)、應(yīng)用、協(xié)議、入侵檢測特征碼、病毒特征碼的文檔。

網(wǎng)絡(luò)拓?fù)鋱D和關(guān)鍵資產(chǎn)清單比如WEB服務(wù)淵、郵件服務(wù)器、FTP服務(wù)器—

工具/資源

基線預(yù)期網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的行為的基線。一

關(guān)鍵文件的加密hash提高安全事件的分析、3僉證和消除速度

安全事件減緩軟件

介質(zhì)包括操作系統(tǒng)引導(dǎo)盤和CD、。作系統(tǒng)介質(zhì)及應(yīng)用介質(zhì)

安全補(bǔ)丁來自操作系統(tǒng)和應(yīng)用廠商

備份映像存儲(chǔ)在二級介質(zhì)上的操作系統(tǒng)、區(qū)用和數(shù)據(jù)廠

許多安全事件響應(yīng)小組都創(chuàng)建了一個(gè)簡便工具箱(jumpkit),普通是個(gè)輕便的袋了?或者箱子,

里面裝有安全事件處理人員在異地調(diào)查時(shí)可能需要的東西。這種工具箱隨時(shí)可用，這樣在發(fā)生嚴(yán)

術(shù)事件時(shí)，安全事件處理人員可以拿起來就走，工具箱中配備了不少表1中所列出的東西。比如

每一個(gè)工具箱中普通都有一臺(tái)筆記本計(jì)算機(jī)并安裝了適當(dāng)?shù)能浖?如包監(jiān)聽和計(jì)算機(jī)取證等)。

其它重要材料包括備份設(shè)備、空白介質(zhì)、基本網(wǎng)絡(luò)設(shè)備和線纜以及操作系統(tǒng)和應(yīng)用介質(zhì)和補(bǔ)丁。

因?yàn)檫@種工具箱主要是為了工作方便，所以工具箱中的東西普通不要外借，還要注意保證工具

箱中

工具得到不斷升級和史新（比如筆記本計(jì)算機(jī)要時(shí)常安裝新的安全補(bǔ)J,更新操作系統(tǒng)介質(zhì)）。

組織要在創(chuàng)建和維護(hù)一個(gè)工具箱的費(fèi)用和因?yàn)楦行Ш透咝У叵拗瓢踩录氖找嬷g取得平

衡。

1.2預(yù)防安全事件

將安全事件發(fā)生次數(shù)保持在一個(gè)合理的數(shù)量之下是非常重要的。如果安全控制措施不充分，

就可能發(fā)生大量安全事件，超出安全事件響應(yīng)小組的能力，這將使安全事件響應(yīng)遲緩和響應(yīng)不完

全，從而對組織造成更大的負(fù)面業(yè)務(wù)影響（比如導(dǎo)致更大的破壞、或者導(dǎo)致更長期的服務(wù)或者數(shù)

據(jù)中斷）。一個(gè)改善組織的安全生態(tài)并預(yù)防安全事件的合埋方法是定期對系統(tǒng)和應(yīng)用進(jìn)行風(fēng)險(xiǎn)評

估。這些評估應(yīng)該確定威脅和弱點(diǎn)合在一起會(huì)帶來什么樣的風(fēng)險(xiǎn)。應(yīng)該將風(fēng)險(xiǎn)進(jìn)行優(yōu)先級排序，

風(fēng)險(xiǎn)可以被減緩、轉(zhuǎn)移或者直到達(dá)到一個(gè)合理的總體風(fēng)險(xiǎn)級別時(shí)接受它。采用或者至少檢查相

同組織（認(rèn)真負(fù)責(zé)的）的控制策略可以提供合理的信心保證，即別人的哪些工作應(yīng)該用在本組

織里。

時(shí)常性地進(jìn)行風(fēng)險(xiǎn)評估此外一個(gè)好處就是確定關(guān)鍵資源，使人們可以重點(diǎn)對其進(jìn)行監(jiān)視和

響應(yīng)。組織不能以認(rèn)為某些資源不重要為借口來忽視其安全性，因?yàn)榻M織安全水平和其最薄弱環(huán)

節(jié)一樣。需要注意是，無論風(fēng)險(xiǎn)評估多么有效，它反映的也只是當(dāng)前的風(fēng)險(xiǎn)而已。由于新的威脅

和弱點(diǎn)層出不窮，所以計(jì)算機(jī)安全是一個(gè)持續(xù)的、要求工作有效的過程。

就保護(hù)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用提出具體建議超出了本文檔的討論范圍。盡管安全事件響應(yīng)小組

普通不負(fù)責(zé)保護(hù)資源，但它可以提出合理的安全實(shí)踐。其它一些文檔中在總體安全概念中、操作

系統(tǒng)和具體應(yīng)用指南方面給出了一些建議。下面對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用方面的一些主要建議實(shí)踐進(jìn)

行簡要介紹：

補(bǔ)丁管理許多信息安全專家都允許很大部份安全事件是因?yàn)槔昧讼到y(tǒng)和應(yīng)用口數(shù)

量相對較少的弱點(diǎn)所致。大型組織應(yīng)該落實(shí)補(bǔ)丁管理項(xiàng)目來辦助系統(tǒng)管理員確定、獲得、測試并

采用補(bǔ)丁。

主機(jī)安全所有主機(jī)都應(yīng)該被適當(dāng)加固。除了保證對主機(jī)打上正確的補(bǔ)丁外，還應(yīng)該對

主機(jī)進(jìn)行配置，只允許對適當(dāng)?shù)挠脩艉椭鳈C(jī)開放盡可能少的服務(wù)，即最小特權(quán)原則。對于那些不

安全的缺省配置（比如缺省口令、不安全的共享）進(jìn)行重置。當(dāng)用戶試圖通過訪問受保護(hù)資源時(shí)，

要顯示一個(gè)警告橫幅。主機(jī)應(yīng)該打開審計(jì)功能，并記錄與安全相關(guān)的聿大事件。不少組織使用操

作系統(tǒng)和應(yīng)用配置指南來匡助管理員一致且有效地保護(hù)主機(jī)。

網(wǎng)絡(luò)安全應(yīng)該對網(wǎng)絡(luò)邊界進(jìn)行配置，對那些不是明確允許的流量加以拒絕。惟獨(dú)那些

正確功能所必須的活動(dòng)，被允許。這包括保護(hù)所有的連接點(diǎn)，比如調(diào)制解調(diào)器、VPN及到其它組

織的專線連接。

惡意代碼預(yù)防應(yīng)該在整個(gè)組織內(nèi)采用能檢測和阻撓惡意代碼（如病毒、蠕蟲和特洛伊

木馬）的軟件。應(yīng)該在主機(jī)級（如服務(wù)器和工作站操作系統(tǒng)）、應(yīng)用服務(wù)器級（如郵件服務(wù)器、

WEB代理）和應(yīng)用客戶級（如郵件客戶端和即時(shí)通信客戶端）落實(shí)惡意代碼保護(hù)。

用戶意識(shí)和培訓(xùn)用戶應(yīng)該了解正常使用網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的政策和流程，從以前安全

事件中吸收的經(jīng)驗(yàn)教訓(xùn)應(yīng)該和用戶共享，這樣他們可以看到他們的行為是如何對組織產(chǎn)生影響

的。提高用戶對安全事件的意識(shí)應(yīng)該可以減少安全事件的頻率，特別是那些惡意代碼和違反安全

政策的事件。應(yīng)該培訓(xùn)IT人員，使他們能夠根據(jù)本組織的安全標(biāo)準(zhǔn)來維護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用。

計(jì)算機(jī)安全事件處理指南（二）：檢測和分析

制

限

除

消

恢

和事件后活動(dòng)

準(zhǔn)備復(fù)

圖1：安全事件響應(yīng)生命周期（檢測和分析）

1、安全事件分類

安全事件的發(fā)生的方式多種多樣，所以想要制定一個(gè)具體的綜合流程來處理每一件安全

事件是不切實(shí)際的。組織能做的最好程度就是從總體上準(zhǔn)備處理任何類型的安全事件，對常見安

全事件類型的處理則更具體一些。下面所列出的安全事件分類既不是包羅一切的，也不打算為安

全事件給出明確的分類，相反，它只給出了一個(gè)基本指南又指導(dǎo)如何根據(jù)其主要分類來處理安全

事件。

卜面的事件分類列表并不全面，因?yàn)檫@并非為了對所有的安全事件進(jìn)行定義和分類，

而僅是為了給大家一個(gè)初步的概念來指導(dǎo)大家如何根據(jù)事件的不同類型去處理事件：

拒絕服務(wù)攻擊：一種攻擊，通過消耗資源的方式來阻撓和破壞對網(wǎng)絡(luò)、系統(tǒng)或者應(yīng)用經(jīng)

過授權(quán)的使用。

惡意代碼：能夠感染主機(jī)的病毒、蠕蟲、特洛伊木馬或者其它基于代碼的惡意實(shí)體。

未經(jīng)授權(quán)訪問：一個(gè)人在未經(jīng)允許的情況下通過邏輯的或者物理的方式訪問網(wǎng)絡(luò)、系統(tǒng)、

應(yīng)用、數(shù)據(jù)或者、其它資源。

不當(dāng)使用：用戶違反可接受計(jì)算費(fèi)源使用政策。

復(fù)合型安全事件：一個(gè)單一安全事件中包含兩種或者是兩種以上的安全事件。

此外，有些安全事件可以對應(yīng)以上多個(gè)分類。安全事件響應(yīng)小組可以根據(jù)其傳送機(jī)制對安全事件

進(jìn)行分類，比如：

一個(gè)病毒在系統(tǒng)中創(chuàng)建了一個(gè)后門，那我們應(yīng)該把它當(dāng)做惡意代碼安全事件來處理，而不是未

經(jīng)授權(quán)訪問安全事件，因?yàn)閻阂獯a是惟一用到的傳送機(jī)制。"

如果一個(gè)病毒創(chuàng)建的后門已經(jīng)被用于未經(jīng)授權(quán)訪問，那末這個(gè)事件應(yīng)該被當(dāng)做復(fù)合型安全事件

來處理，因?yàn)樗玫搅藘蓚€(gè)傳送機(jī)制。”

本節(jié)主要是針對各種安全事件提出建議實(shí)踐，后文基于安全事件分類給出了更為具體的建議。

2、事件征兆

對于不少組織來說，安全事件響應(yīng)過程中最艱難的?步是準(zhǔn)確檢測并評估可能的安全事

件，即確定一個(gè)安全事件是否會(huì)發(fā)生，如果發(fā)生，那它屬于什么類型、影響程度如何以及問題的

范圍。造成這一點(diǎn)很艱難主要有以下3個(gè)因素：

?安全事件可以通過不少不同的方法來檢測，并獲得不同程度的細(xì)節(jié)和真實(shí)性自動(dòng)化檢

測能力有基于網(wǎng)絡(luò)的和基于主機(jī)的入侵檢測系統(tǒng)、反病毒軟件以及日志分析工具。也可以通過人

工方法來檢測安全事件，比如用戶報(bào)告的問題。有些安全事件有隱含的征兆，可以很容易被檢測

到，而有些如果沒有自動(dòng)工具幾乎無法檢測到。

，，

?安全事件的潛在征兆數(shù)量普通都很高，比如組織每天受到上千甚至百萬條入侵檢測傳

感器報(bào)過來的告警信息并不少見。

，，

?對與安全事件相關(guān)的數(shù)據(jù)進(jìn)行正確而有效的分析往往需要高水平的專業(yè)知識(shí)和豐富的

實(shí)踐經(jīng)驗(yàn)。多數(shù)組織內(nèi)，具備這些條件的人很少，并且普通都可能分配到其它工作中去了。

安全事件的征兆可以分為兩類：跡象(indication)和前兆(precursor)。前兆是指未來可

能發(fā)生的安全事件的征兆，而跡象是指已經(jīng)發(fā)生或者正在發(fā)生的安全事件的征兆。跡象的種類太多,

以至于無法一一介紹，以下是其中一些例子：

?某臺(tái)FTP服務(wù)器發(fā)生緩沖區(qū)溢出時(shí)網(wǎng)絡(luò)入侵檢測傳感器報(bào)警：”

?反病毒軟件發(fā)現(xiàn)某臺(tái)主機(jī)被蠕蟲感染時(shí)發(fā)出告警："

?WEB服務(wù)器崩潰：”

?用戶抱怨上網(wǎng)太慢；”

?系統(tǒng)管理員發(fā)現(xiàn)文件名有不尋常字符；"

?用戶想求助臺(tái)報(bào)告收到嚇唬郵件?；”

?某主機(jī)記錄其日志中的審計(jì)配置發(fā)生變化：”

?某應(yīng)用程序的日志記教了來自未知遠(yuǎn)程系統(tǒng)的多次失敗登錄嘗試；”

?郵件管理員發(fā)現(xiàn)有大量可疑內(nèi)容郵件流入。"

?網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)流量發(fā)生不尋常變化。"

不要認(rèn)為安全事件檢測只是一種反應(yīng)式的，有時(shí)候組織也可能在安全事件發(fā)生之前就檢測

到有關(guān)行為。比如網(wǎng)絡(luò)入侵檢測傳感器發(fā)現(xiàn)針對一組主機(jī)的不尋常端口掃描活動(dòng)，這很可能就是

對某臺(tái)主機(jī)發(fā)起拒絕服務(wù)攻擊的前兆。以卜是其它一些有前兆的例子：

?WEB服務(wù)器日志顯示，有人使用WEB服務(wù)器弱點(diǎn)掃描工具：”

?公開針對組織郵件服務(wù)器弱點(diǎn)的一種新黑客攻擊:

?某黑客組織聲稱要攻擊該組織?！?/p>

不是所有的攻擊都可以通過前兆檢測到，有的攻擊沒有前兆，有的攻擊前兆則很難被組

織發(fā)現(xiàn)的。如果在攻擊之前發(fā)現(xiàn)前兆，那末該組織還有機(jī)會(huì)通過采用自動(dòng)或者人工方法來改變其

安全生態(tài)來預(yù)防安全事件發(fā)生。但是大多數(shù)嚴(yán)重情況下，組織可能要確定采取行動(dòng)，就像已經(jīng)

發(fā)生了安全事件，從而盡快減緩風(fēng)險(xiǎn)。很少情況下，組織可以密切監(jiān)視某些活動(dòng)，可能是針對

特定主機(jī)的連接企圖或者某些網(wǎng)絡(luò)流量類型。

3、前兆和跡象的來源

可以通過許多不同的來源來檢測前兆和跡象，最常用的有計(jì)算機(jī)安全軟件的告警、日志、

公共渠道獲取的信息及人。表2列出了每種分類常見的前兆和跡象來源。

表2前兆和跡象的常見來源

前兆和跡象

描述

來源

計(jì)算機(jī)軟件告警

基于網(wǎng)絡(luò)和主機(jī)的入侵檢測系統(tǒng)就是設(shè)計(jì)來識(shí)別可疑事件并記錄相關(guān)數(shù)據(jù)，包括攻擊被檢測到

入侵檢測系統(tǒng)的日期和時(shí)間、攻擊類型、攻擊來源和目的的IP地址以及用戶名（如果可能

獲得的話）。多數(shù)入侵檢測系統(tǒng)使用攻擊特征庫來識(shí)別惡意活動(dòng)，必須要保

持更新特征庫，從而能檢測到最新的攻擊。入侵檢測系統(tǒng)時(shí)常產(chǎn)生誤報(bào)，即

報(bào)警有惡意活動(dòng)發(fā)生，但是實(shí)際上沒有。分析人員應(yīng)該通過子細(xì)檢查記錄數(shù)

據(jù)或者從其它來源獲得相關(guān)數(shù)據(jù)來對入侵檢測系統(tǒng)的告警進(jìn)行人工驗(yàn)證。

反病得軟件通常在檢測到惡意代碼后，反病毒軟件就會(huì)向被感染主機(jī)和中央反病毒控制

臺(tái)發(fā)送告警信息。只要保持病毒特征碼不斷更新升級，目前的反病毒產(chǎn)品能

非常有效地檢測、查殺或者是隔離惡意代碼。但是在大型組織中升級特征碼

是非常繁重的任務(wù)。一種解決辦法是配置集中式反病毒軟件，采用推的方

式將特征碼升級到各個(gè)主機(jī)上，而不是靠拉的方式讓各主機(jī)自己升級。由

于不同反病毒軟件的檢測效果各異，有的組織為了能夠提高反病毒的很蓋

面和精確度，通常都會(huì)使用多種反病毒軟件。至少應(yīng)該在兩個(gè)層次采用反

病毒軟件：網(wǎng)絡(luò)邊界（比如防火墻、郵件服務(wù)器）和主機(jī)層次（比如工作

站、文件服務(wù)

器、客戶端軟件）。

文件完整性檢測軟安全事件可能導(dǎo)致重要文件被修改：文曄完整性檢測軟件可以檢測到這些變

件化。它通過一種hash算法來獲取目標(biāo)文件的加密校驗(yàn)利。如果文件被修改或

者

校驗(yàn)和被重新計(jì)算過，新舊校驗(yàn)和很可德不會(huì)匹配，通過總樣就“J以檢惻到

文件被修改過。

第三方監(jiān)視服務(wù)目的組織花錢請即第二方監(jiān)視其公眾可訪問服務(wù)，比如WEB、DNS及FTP

服務(wù)器。這些第三方組織每隔幾分鐘就會(huì)自動(dòng)嘗試訪問這些服務(wù)。一旦無法

出告警，比如網(wǎng)站主頁。盡管從運(yùn)行的角度來看監(jiān)視服務(wù)非常實(shí)用，但是它

還可以被用來檢測拒絕服冬■攻擊和服務(wù)器破壞。

日志

操作系統(tǒng)，服務(wù)和在事件發(fā)生時(shí)，來自操作系統(tǒng)、服務(wù)以及應(yīng)用（特別是審計(jì)相關(guān)數(shù)據(jù)）的日

應(yīng)用軟件的日志志通常是非常有價(jià)值的。日志可以提供諸如哪些帳號(hào)曾經(jīng)登錄過、登錄之后

都做過什么事情等不少有價(jià)值的信息。但不幸的是，在大多數(shù)事件中，因?yàn)?/p>

被禁用或者錯(cuò)誤配置，日志并沒能提供出證據(jù)。為匡助事件處理組織應(yīng)該在

所有系統(tǒng)上要求一個(gè)日志基線級別，并且在關(guān)鍵系統(tǒng)上要求更高的日志基線

級另h所有系統(tǒng)都應(yīng)該打開審計(jì)功能并記錄審計(jì)事件?，特別是管理員級別的

事件。對所有系統(tǒng)都要定期檢查，以驗(yàn)證日忐的功能?切正常并符合旦志標(biāo)

網(wǎng)絡(luò)設(shè)備日志優(yōu)，

網(wǎng)絡(luò)設(shè)務(wù)（比如防火墻、路由器）的U志普通都不用作安全事件前兆和跡象

的首要來源。盡管這些設(shè)備通常都記錄了對連接請求的阻斷，但它們很少提

供有關(guān)活動(dòng)性質(zhì)方面的信息。即便如此，在確定趨勢（比如企圖訪問特定端

口的數(shù)量急劇增加）以及在和其它設(shè)備檢測到的事件進(jìn)行關(guān)聯(lián)時(shí)，它們還是

很實(shí)用的。

蜜罐日志（Honey；彳些組織1?分關(guān)心對安全事件的前兆進(jìn)行檢測，并采取欺騙性的方法，比如

potlog）蜜罐來采集更好的數(shù)據(jù).所謂蜜罐就是除了蜜罐管理員外沒有任何授權(quán)用戶

的主機(jī)，因?yàn)樗惶峁┤魏螛I(yè)務(wù)功能。所有針對它的活動(dòng)都可以行做是可以

活動(dòng)。攻擊者掃描并攻擊蜜罐，就會(huì)給管理員留卜有關(guān)攻擊工具和新趨勢，

特別是惡意代碼方面的數(shù)據(jù)。但是，蜜罐只是一種補(bǔ)充手段，并不能代替對

網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的保護(hù)。如果采用了蜜罐，應(yīng)該由有能力的安全事件處理

人員和入侵檢測分析人員來管理它。由于目前對使用蜜罐技術(shù)的合法性尚未

確定，所以各組織在采用蜜罐之前應(yīng)該先子細(xì)研究相關(guān)法律規(guī)定。

公眾可獲得信息

新弱點(diǎn)及利用信息及時(shí)了解最新的弱點(diǎn)及其被利用方法方面的相關(guān)信息可以防止某些安全事件

發(fā)生，并還可以用來協(xié)助對新攻擊進(jìn)行檢測和分析。一些專門組織，比如

FedCIRC、CERT?/CC、IAIP及CIAC等組織會(huì)定期通過簡報(bào)、論壇發(fā)帖以及

郵件列表的形式發(fā)布最新的安全信息。

其它組織的安全事其它組織所發(fā)生安全事件的報(bào)告會(huì)提供非常豐富的信息有?些WEB站點(diǎn)和

件信息郵件列表可以被安全事件響應(yīng)小組和安全專業(yè)人員利用來共享他們所遇安全

事件的相關(guān)信息。此外，也有一些組織會(huì)獲得、合并并分析來自其它組織的

日志和入侵檢測的告警信息。

人

組織內(nèi)部人員用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全技術(shù)人員及組織內(nèi)部其他人員可能報(bào)

告事件征兆。對所有報(bào)告信息要進(jìn)行進(jìn)一步確認(rèn)。因?yàn)椴粌H普通用戶缺乏專

業(yè)知識(shí)來判斷是否發(fā)生了安全事件，就算是受過很好培訓(xùn)的專家也會(huì)犯錯(cuò)誤。

一種方法是要問清消息的來源以及消息的可靠性。將這些估計(jì)和所提供信息

一起加以記錄在事件分析中，特別是在發(fā)現(xiàn)沖突數(shù)據(jù)時(shí)非常有匡助。

其它組織人員雖然從其它組織人員得到的報(bào)告不多，但一定要認(rèn)真對待。?個(gè)經(jīng)典例子是

有一個(gè)黑客發(fā)現(xiàn)了某系統(tǒng)中的嚴(yán)重弱點(diǎn)后，要末是直接告知該組織，要末是

公開辟布了這個(gè)問題。另一種可能是組織可能被外部第三方告知該組織中

有人在攻擊它。外界用戶可能還報(bào)告一些其他跡象，比如網(wǎng)頁被篡改、服

務(wù)被

中斷。同時(shí)，也有可能收到來自其它安全響應(yīng)小組的事件報(bào)告。要建立一個(gè)

機(jī)制來接受來自外部的事件報(bào)告：這可能只需要設(shè)立一個(gè)電話號(hào)碼或者電子郵

件地址，并將這些信息轉(zhuǎn)發(fā)到求助臺(tái)。

4、安全事件分析

如果能夠保證上報(bào)來的每一個(gè)前兆和跡象的信息都是準(zhǔn)確的，那末安全事件的檢測和分

析將是非常容易的事。但不幸的是，目前這是不可能的。比如當(dāng)用戶抱怨說某臺(tái)服務(wù)器無法提供

服務(wù)通常就是不許確的，還有，眾所周知，目前的入侵檢測系統(tǒng)都會(huì)產(chǎn)生大量誤報(bào)，即不正確的

跡象。這些例子說明了是什么造成安全事件的檢測和分析如此艱難。應(yīng)該對每一個(gè)跡象加以評價(jià)

以確定它是否合理。更糟的是，人和自動(dòng)來源可能每天都會(huì)帶來大量的跡象報(bào)告。要從所有這

些跡象中找出那少數(shù)真正發(fā)生的安全事件是一件另人畏懼的任務(wù)。

即使跡象是準(zhǔn)確的，這也并不意味著一定發(fā)生了安全事件。有些跡象，比如一臺(tái)WEB服

務(wù)器崩潰，或者是某些核心文件被篡改，可能是因?yàn)椴簧僭蛟斐傻模ㄈ藶殄e(cuò)誤。然而假定

出現(xiàn)一個(gè)跡象，人們有理由懷疑可能發(fā)生了一個(gè)安全事件并采取相應(yīng)行動(dòng)。通常情況下，安全

事件處理人員在沒有確定事件是否屬實(shí)的時(shí)候都應(yīng)該先假定它是真的發(fā)生了。有的時(shí)候要想確

定某個(gè)特定事件是否真的是安全事件是一個(gè)判斷問題，可能有必要與其它技術(shù)和信息安全人員

合作出決定。不少情況下，情形的處理方式都一樣，不管它是否與安全相關(guān)。比如如果某個(gè)組

織每12個(gè)小時(shí)網(wǎng)絡(luò)就會(huì)矢去和因特網(wǎng)的連接，而且沒有人肯定原因，有關(guān)人員就會(huì)希翼盡快

解決問題，并使用同樣的資源來診斷問題，而不管它產(chǎn)生的原因。

有些事件很容易被檢測到，比如明顯地篡改網(wǎng)站主頁。但是不少安全事件并沒有如此明

顯的癥狀。水平高的攻擊者都會(huì)小心地隱藏自己的痕跡而不被發(fā)現(xiàn)，即使是那些水平不高的攻擊

者也因?yàn)樗麄兯褂玫墓ぞ叨脊δ芊窍鄰?qiáng)大并具有很好的障蔽性，所以也很難被發(fā)現(xiàn)。安全事件

發(fā)生的惟一跡象可能是像一個(gè)系統(tǒng)配置文件被作了一點(diǎn)點(diǎn)改動(dòng)這樣小的征兆。在安全事件處理過

程中，檢測可能是最艱難的一匚作。安全事件處理人員負(fù)責(zé)對那些含糊、矛盾和不完整的癥狀加以

分析，以確定到底發(fā)生了什么。盡管有些技術(shù)方案可以使檢測工作容易些，但是最好的彌補(bǔ)是建

立一支具備高水平技術(shù)、經(jīng)驗(yàn)豐富的員工的小組來有效并高效地對前兆和跡象加以分析并采取適

當(dāng)行動(dòng)。沒有經(jīng)過培訓(xùn)的合格人員，就不可能有效地展開安全事件檢測和分析工作，并且可能造

成成本高昂的錯(cuò)誤。

安全事件響應(yīng)小組應(yīng)該盡快對每一個(gè)安全事件進(jìn)行分析和驗(yàn)證，并對所采取每一步驟進(jìn)

行記錄。當(dāng)安全事件響應(yīng)小組認(rèn)為某個(gè)事件己經(jīng)發(fā)生時(shí)，他們應(yīng)該迅速展開最初的分析工作來確

定安全事件的范圍，比如哪些網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用受到影響；是誰或者什么發(fā)起了該安全事件：安

全事件的發(fā)生狀態(tài)如何（比如用到了什么樣的工具和攻擊方法、利用了什么弱點(diǎn)）。最初分析

應(yīng)該為小組提供足夠的信息來對后續(xù)活動(dòng)進(jìn)行優(yōu)先排序，比如安全事件的限制以及對安全事件

后果的深入分析等。如果仍有疑慮，安全事件處理人員應(yīng)該作好最壞的打算，直到其它分析顯示

有出入。

對安全事件進(jìn)行分析和驗(yàn)證是很艱難的。以下將提供一些建議，使安全事件的分析更簡便有效：

?描述網(wǎng)絡(luò)和系統(tǒng)的特征特征描述是安全事件分析的最好的技術(shù)輔助手段之一。所謂特

征描述就是對預(yù)期活動(dòng)的特點(diǎn)加以度量，從而更容易地識(shí)別其變更。比如在主機(jī)上運(yùn)行文件完整

性檢查軟件并對關(guān)鍵文件生成校驗(yàn)和、對網(wǎng)絡(luò)帶寬利用情況和主機(jī)資源使用情況進(jìn)行監(jiān)視以確定

在各個(gè)日期和時(shí)間的平均和高峰利用水平。如果描述過程是自動(dòng)化的，那末活動(dòng)變更可以被迅速

檢測并報(bào)告給管理員。實(shí)際工作中，使用大多數(shù)特征描述技術(shù)是很難準(zhǔn)確檢測安全事件的。組織

應(yīng)該將其作為檢測和分析技術(shù)之一。

?了解正常行為安全事件響應(yīng)小組應(yīng)該對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用加以研究，以深入了解其正

常行為，這樣就可以容易發(fā)現(xiàn)那些界常行為。許多入侵檢測分析人員在某點(diǎn)上被告知要去確定不

尋常的事件。但是如果對“尋?！睕]有深入的了解，也就很難定義什么是“不尋常”。沒有哪個(gè)

安全事件處理人員可以全面了解整個(gè)環(huán)境中的所有行為，但是他們起碼要知道哪些專家可以解決

哪些問題。

〃

?使用集中式日志并建立日志保存政策與安全事件相關(guān)的信息通常在幾個(gè)地方有記錄，

比如防火墻、路由器、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、基于主機(jī)的入侵檢測系統(tǒng)以及應(yīng)用日志。組織

應(yīng)該采用一臺(tái)或者幾臺(tái)集中式日志服務(wù)器，并旦對組織內(nèi)所有日志設(shè)備進(jìn)行配置，將其日志副本

送到中央日志服務(wù)器上。安全事件處理人員通過獲取所有相關(guān)的日志項(xiàng)受益。同時(shí)這也為1志

提供r一個(gè)安全的存放地點(diǎn)，減少r攻擊者在他們要破壞的主機(jī)上關(guān)閉日志功能或者修改H志

所帶來的后果。此外，要建立并落實(shí)日志保存政策來規(guī)定日志信息應(yīng)該保存多久，這對于分析

極有匡助，因?yàn)槔系娜罩拘畔⒖梢越沂境鰝刹旎顒?dòng)或者以前的類似攻擊案例。保留日志的另一

個(gè)理由是安全事件可能會(huì)在兒天、幾周或者甚至幾個(gè)月后才被發(fā)現(xiàn)。日志保存時(shí)間的長短取決

于幾個(gè)因素，包括組織的數(shù)據(jù)保存政策以及數(shù)據(jù)量的大小。通常，日志數(shù)據(jù)都應(yīng)該保存至少幾

個(gè)星期，理想情況下應(yīng)該至少保留幾個(gè)月。

?開展安全事件關(guān)聯(lián)分析某個(gè)安全事件的證據(jù)可能在好幾個(gè)日志里被捕獲到。每一個(gè)日

忐里包含有關(guān)該安全事件的不同類型數(shù)據(jù)，防火墻日志可能包含所用到的源IP地址，而應(yīng)用

日志可能包含用戶名。網(wǎng)絡(luò)入侵檢測傳感器可能會(huì)檢測到針對特定主機(jī)的攻擊，但是它無法確

定攻擊是否成功，安全事件分析人員需要檢查主機(jī)的日志來確定這一信息。在多個(gè)跡象來源之

間進(jìn)行事件關(guān)聯(lián)在驗(yàn)證某個(gè)特定安全事件是否發(fā)生以及快速將各種信息拼在?起時(shí)是非常重要

的。使用集中式日志可以使事件關(guān)聯(lián)更加容易和快速，因?yàn)樗鼌R集了所有網(wǎng)絡(luò)、主機(jī)、服務(wù)、

應(yīng)用及安全設(shè)備的日志數(shù)據(jù)。

?保證所有主機(jī)時(shí)鐘同步像NTP這樣的協(xié)議可以在主機(jī)之間實(shí)現(xiàn)時(shí)鐘同步。這對于安全

事件響應(yīng)來說是非常重要的，因?yàn)槿绻麖母髟O(shè)備報(bào)告的事件如果時(shí)鐘配置不一致，那末事件關(guān)聯(lián)

就很艱難。從證據(jù)采集的角度來看;使口志中的時(shí)間戳保持一致也是非常重要的，比如本來一個(gè)

發(fā)生在12:07:01的事件，假設(shè)有3個(gè)設(shè)備日志對它進(jìn)行了記錄，如果3個(gè)設(shè)備的時(shí)鐘不一致，

導(dǎo)致3個(gè)日志記錄為12:070R12:10:35和11:07:06,那末后果是可想而知的。

，，

?維護(hù)和使用信息知識(shí)庫知識(shí)庫中應(yīng)該包括事件處理人員在安全事件分析中需要迅速

參考的信息。盡管可能建一個(gè)結(jié)構(gòu)復(fù)雜的知識(shí)庫，但是還是簡單的方法比較有效。文本文檔、電

子表格及相對簡單的數(shù)據(jù)庫可以為小組成員之間共享數(shù)據(jù)提供一個(gè)有效而且靈便的機(jī)制。知識(shí)庫

中還應(yīng)該包含許多其它信息，比如：

-1

?到惡意代碼和欺騙信息的鏈接；最完備和最新的來源普通是主要的反病毒軟

件廠商；

?到一個(gè)被列入垃圾郵件黑名單的域名列表的鏈接；

?前兆和跡象的重要性和真實(shí)性解釋，比如入侵檢測告警、操作系統(tǒng)日志及應(yīng)

用錯(cuò)誤碼。

?利用因特網(wǎng)搜索引擎進(jìn)行查找像Google和AltaVista這樣的綜合因特網(wǎng)搜索弓擎可

以匡助找到異?；顒?dòng)的相關(guān)信息，特別是掃描。比如分析人員可能會(huì)看到一些針對TCP22912

端口的異常掃描。根據(jù)“TCP”、“端口”、“22912”進(jìn)行搜索可能會(huì)返回類似活動(dòng)的日志，甚

至是關(guān)于該端口號(hào)意義的解釋。由于大多數(shù)與安全事件響應(yīng)和入侵檢測相關(guān)的公共郵件列表都有

基于網(wǎng)絡(luò)的文檔記錄，所以網(wǎng)絡(luò)搜索引擎也會(huì)把這些文檔包括在搜索范圍之內(nèi)。安全事件處理人

員也可以搜索他們可以訪問的非公共郵件列表和專業(yè)論壇，聯(lián)系其它CSIRT,問詢他們是否見過

類似活動(dòng)。

?使用數(shù)據(jù)包監(jiān)聽工具來獲取更多信息有的時(shí)候，事件記錄并沒能記錄足夠的具體信

息，使得安全事件處理人員無法確定到底發(fā)生了什么事情。在這種情況下，如果該事件是發(fā)生在

網(wǎng)絡(luò)間的，最快最有效的方法就是利用數(shù)據(jù)包監(jiān)聽工具來捕捉該網(wǎng)絡(luò)中的數(shù)據(jù)包，從而獲取更多

的信息。在捕捉之前，應(yīng)該先配置該工具，只讓它捕捉特定類型的數(shù)據(jù)包，這樣可以盡量減少無

用信息攙雜其中。同時(shí)，數(shù)據(jù)包監(jiān)聽工具還可以提供最精確，最完整的網(wǎng)絡(luò)攻擊的數(shù)據(jù)。在有些

情況下，如果不使用數(shù)據(jù)包監(jiān)聽工具將很難對事件進(jìn)行處理。

?考慮數(shù)據(jù)簡化在不少組織中，只是沒有足夠的時(shí)間來檢查和分析所有的跡象。當(dāng)數(shù)據(jù)

量非常龐大時(shí)，人自然就被嚇倒并對這些數(shù)據(jù)不加理會(huì)。要推動(dòng)對安全事件進(jìn)行有效地檢測，人

們有必要克服上述反應(yīng)并確保至少要調(diào)查那些最讓人懷疑的活動(dòng)。?個(gè)有效的策略是對跡象加以

過濾，這樣那些不怎么重要的跡象類別就不會(huì)浮現(xiàn)在安全事件的分析中。一個(gè)有效的策略是對跡

象加以過濾，讓那些最重要的跡象類別浮現(xiàn)在安全事件的分析中。但是這種方法比較危（wei）險(xiǎn),

因?yàn)樾聬阂饣顒?dòng)可能不在所選擇的跡象類別中。但不管怎么說，這種方法比起根本不檢查跡象好

的多。

?經(jīng)驗(yàn)是不可代替的比如確定某個(gè)活動(dòng)的企圖是非常艱難的。你可以想象，當(dāng)一個(gè)安全

事件處理人員看到涉及到某臺(tái)DNS服務(wù)器的異常行為，而該行為并非攻擊，只是一些異常流量模

式或者端口號(hào)。這一偵察活動(dòng)會(huì)是針對該DNS服務(wù)器即將發(fā)起的攻擊嗎？或者是利用該DNS服務(wù)

器為媒介針時(shí)另?臺(tái)服務(wù)器的攻擊？或者這只是均衡負(fù)載所造成的正常情況？利?這?數(shù)據(jù)可能

的解釋有不少，而安全事件處理人員可能由于缺乏詳細(xì)的數(shù)據(jù)信息，無法最終確定哪個(gè)解擇是

正確的。確定可以活動(dòng)企圖的最好辦法是盡可能多地獲得安全事件處理經(jīng)驗(yàn)。安全事件分析是

一種技術(shù)性非常強(qiáng)的工作，但也是一種藝術(shù)。一個(gè)經(jīng)驗(yàn)豐富的安全事件處理人員可以對數(shù)據(jù)加

以檢查并迅速對安全事件的嚴(yán)重性產(chǎn)生直覺。

?為沒有經(jīng)驗(yàn)的成員編制一個(gè)診斷矩陣制作這樣一個(gè)矩陣可以有效地匡助求助臺(tái)、人

員、系統(tǒng)管理員及那些自己對前兆和跡象進(jìn)行分析的人員.它同樣對那些經(jīng)驗(yàn)不足的入侵檢測分

析人員和安全事件響應(yīng)小組成員有匡助。表3是從一個(gè)診斷矩陣范例中摘出來的，左邊列出了潛

在癥狀，其它每列是安全事件分類。矩陣中的每一個(gè)格子表明了哪些癥狀普通與每一個(gè)安全事件

分類有關(guān)聯(lián)及其關(guān)聯(lián)強(qiáng)度,“強(qiáng)度”可以用任何方式給出，從“有”或者“沒有”到一人百

分比。這個(gè)矩陣可以為那些經(jīng)驗(yàn)較少、雖然能夠發(fā)覺事件的癥狀卻無法確定是屬于哪種事件的

人提供很大的匡助，同時(shí)也可以被用于培訓(xùn)新成員。該矩陣如果有解釋性文字會(huì)更實(shí)用，比如

對每一個(gè)矩陣項(xiàng)加一個(gè)簡短的注解以及如何證實(shí)每類安全獸件。

表3診斷矩陣范例摘錄

癥狀拒絕服務(wù)惡意代碼未經(jīng)授權(quán)訪問不當(dāng)使用

文件、關(guān)鍵、訪問企圖低中高低

文件、不適當(dāng)?shù)膬?nèi)容低中低高

主機(jī)崩潰中低中低

端口掃描、輸入、異常高低中低

端口掃描、輸出、異常低高中低

利用率、帶寬、高高中低中

利用率、郵件、高低高中中

?向其它人尋求匡助有的情況下，安全事件響應(yīng)小組無法確定安全事件的全部原則和性

質(zhì)。如果小組缺少足夠的信息來對事件進(jìn)行限制和消除，那末他們就應(yīng)該咨詢內(nèi)部資源（如信息

安全人員）和外部資源（如FedCIRC.其他CSIRT、有安全事件響應(yīng)專長的承包商），來求得分

析、限制和消除安全事件方面的匡助。弄清晰每一個(gè)安全事件的原因是非常重要的，惟獨(dú)這洋，

我們才干有效地對安全事件進(jìn)行限制，并且正確地修補(bǔ)弱點(diǎn)，從而防止同樣事件的再次發(fā)生。

5、安全事件記錄

一旦安全事件響應(yīng)小組懷疑正在發(fā)生或者己經(jīng)發(fā)生了安全事件，要即將記錄有關(guān)該安全

事件的全部事實(shí)o日志薄是一個(gè)簡單有效的介質(zhì)方法，但目前個(gè)人數(shù)字助理（PDA）、筆記本

計(jì)算機(jī)、錄音機(jī)以及數(shù)碼相機(jī)也可以用于這種目的。把系統(tǒng)事件、電話交談?dòng)涗浵聛聿⒂^察其

中變化可以是問題處理更有效、更系統(tǒng)并且更少犯錯(cuò)誤。從安全事件被發(fā)現(xiàn)到處理完畢過程中

所采取的每一步驟都應(yīng)該加以記錄，并注明時(shí)間。與安全事件有關(guān)的每份文檔都應(yīng)該讓安全事

件處理人員注明日期并簽字。這種性質(zhì)的信息也可以作為法律訴訟相關(guān)證據(jù)。如果有可能，事

件處理應(yīng)該至少保持兩人一組的工作方式，一個(gè)人開展技術(shù)工作的同時(shí)，另一個(gè)人進(jìn)行日志記

錄。

安全事件響應(yīng)小組或該將安全事件狀態(tài)及其它相關(guān)信息一起加以保存記錄。為實(shí)現(xiàn)這一

目的，有必要使用一個(gè)應(yīng)用或者數(shù)據(jù)庫系統(tǒng)，以保證能夠及時(shí)地處理和解決安全事件。比如.安

全事件處理人員可能會(huì)接到與前一天所解決的安全事件相關(guān)的緊急電話，而當(dāng)時(shí)的安全事件處

理人

員已經(jīng)休假去了，通過訪國安全事件數(shù)據(jù)庫，事件處理人員可以快速了解安全事件。這種數(shù)據(jù)庫

系統(tǒng)應(yīng)該包括以下內(nèi)容：

?安全事件的當(dāng)前狀態(tài)

?安全事件總結(jié)

?所有安全事件處理人員在此安全事件中所采取的行動(dòng)

?其它涉及各方的聯(lián)系信息（比如系統(tǒng)擁有者、系統(tǒng)管理員）

?在調(diào)查該安全事件中所搜集到的證據(jù)清單

?安全事件處理人員的建議

?下一步要采取的步驟（比如等待系統(tǒng)管理員給應(yīng)田打補(bǔ)?。?/p>

安全事件處理組還應(yīng)該小心保護(hù)與安全事件相關(guān)的，因?yàn)檫@些數(shù)據(jù)中時(shí)常會(huì)包拈一些敏

感信息，比如被利用弱點(diǎn)方面的數(shù)據(jù)、最近的安全違反活動(dòng)及那些可能采取不適當(dāng)行動(dòng)的用戶。

要減少敏感信息被不適當(dāng)外泄的風(fēng)險(xiǎn)，要小組應(yīng)該保證嚴(yán)格限制對安全事件數(shù)據(jù)的管理，比如只

有經(jīng)過授權(quán)的人員才干訪問安全事件數(shù)據(jù)庫。與安全事件相關(guān)的電子郵件以及像安全事件報(bào)告這

樣的文檔應(yīng)該加密，保證惟獨(dú)發(fā)送方和目標(biāo)收件人材干讀懂。

6、安全事件的優(yōu)先排序

對安全事件處理進(jìn)行優(yōu)先排序可能是安全事件處理過程中最關(guān)犍的一個(gè)決定點(diǎn)。由于資

源的限制，安全事件不此該按照先米先處埋的原則進(jìn)行處埋，而此該按照以下兩個(gè)因素來發(fā)安全

事件的處理進(jìn)行優(yōu)先排序：

?安全事件當(dāng)前和潛在的技術(shù)影響安全事件處理人員不僅應(yīng)該考慮安全事件目前的負(fù)

面技術(shù)影響（比如對數(shù)據(jù)的未經(jīng)授權(quán)的用戶級訪問），而且還要考慮在安全事件沒有被即符限制

時(shí)，它未來的可能技術(shù)影響（如根破壞）。比如，某個(gè)蠕蟲病毒正在組織的網(wǎng)絡(luò)中傳播，它當(dāng)前

的影響還非常小，但是可能在幾個(gè)小時(shí)內(nèi)蠕蟲流量可能導(dǎo)致網(wǎng)絡(luò)資源被耗盡。

?受影響資源的關(guān)犍程度受安全事件影響的費(fèi)源（比如防火墻、WEB服務(wù)器、因特網(wǎng)連

接、用戶工作站以及應(yīng)用）對組織的的關(guān)鍵程度各不相同。資源的關(guān)鍵程度取決于其數(shù)據(jù)或者服務(wù)、

用戶、與其它資源的信任關(guān)系和相互依賴程度以及可視性（比如一個(gè)公眾WEB服務(wù)器相對于一個(gè)

內(nèi)部部門的WEB服務(wù)器）。許多組織已經(jīng)通過業(yè)務(wù)連續(xù)性計(jì)劃工作或者他們的服務(wù)等級協(xié)定（SLA,

其中規(guī)定了恢復(fù)每一個(gè)關(guān)鍵資源最多用多長期）確定了資源的關(guān)鍵性。只要可能，安全事件響應(yīng)

小組就應(yīng)該獲取并重用有關(guān)資源關(guān)鍵性方面的現(xiàn)有有效數(shù)據(jù)。

結(jié)合受影響資源的關(guān)鍵性和安全事件當(dāng)前工作和潛在的技術(shù)影響，就可以確定安全事件

的業(yè)務(wù)影響，比如用戶工作站的根破壞可能導(dǎo)致生產(chǎn)率的輕微下降，而對公眾WEB服務(wù)器未經(jīng)授

權(quán)的用戶級訪問則可能在營收、生產(chǎn)率、服務(wù)訪問、名聲及保密數(shù)據(jù)的泄露（如信用上號(hào)、社會(huì)

安全號(hào)）等力血產(chǎn)生重大損失。小組應(yīng)該根據(jù)安全事件所產(chǎn)生的業(yè)務(wù)影響估計(jì)米優(yōu)先排序?qū)Ω鱾€(gè)

安全事件的響應(yīng)。比如，與安全無關(guān)的不當(dāng)使用安全事件普通不需要要比其它安全事件晚些處理，

因?yàn)槠錁I(yè)務(wù)影響相對較低（第7章將詳細(xì)介紹如何進(jìn)行優(yōu)先排序）。

組織應(yīng)該用像表4中的矩陣范例那樣的格式來記錄優(yōu)先排序指南。每列的開頭列出資源

的關(guān)鍵性，每行的開頭列出技術(shù)影響分類。矩陣中的每一個(gè)值規(guī)定了安全事件響應(yīng)小組要開始對

安全事件作出響應(yīng)的最長期。這可以被認(rèn)為是安全事件響應(yīng)的一個(gè)SLA。普通來說，SLA不規(guī)

定解決安全事件的最長期，因?yàn)樘幚戆踩录枰臅r(shí)間長度差異很大，往往不在安全事件

響應(yīng)小組的控制之中。組織應(yīng)該根據(jù)其自身需求及其資源關(guān)鍵性確定方法來定制這種矩陣。比

如組織可能有好幾個(gè)關(guān)鍵性分類，比如像不會(huì)帶來損失的病毒感染輕微安全事件最好交給當(dāng)?shù)?/p>

TT人員來處理，而無須找安全事件響應(yīng)小組。理想上最好有兩個(gè)版本的矩陣：一個(gè)用于標(biāo)準(zhǔn)

工作日發(fā)生的安全事件，另一種用于非工作日發(fā)生的安全事件。

表4安全事件響應(yīng)SLA矩陣

當(dāng)前受影響的資源，以及未來可能受事件影響的資源

安全事件的當(dāng)前影響可能

的未來影響高（如因特網(wǎng)連接、中（如系統(tǒng)管理員的工1E低（如用戶工作站）

公眾WEB服務(wù)器、站、文件和打印服務(wù)器、

防火墻、客戶數(shù)據(jù)）XYZ應(yīng)用數(shù)據(jù)）

根級訪問15分鐘30分鐘1小時(shí)

未經(jīng)授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時(shí)

對敏感數(shù)據(jù)的未經(jīng)授權(quán)訪15分鐘1小時(shí)1小時(shí)

問

未經(jīng)授權(quán)用用戶級訪問30分鐘2小時(shí)4小時(shí)

服務(wù)不可用30分鐘2小時(shí)4小時(shí)

煩人的事[1]30分鐘本地IT人員處理本地IT人員處理

如果一個(gè)安全事件影響多個(gè)資源（如系統(tǒng)、應(yīng)用和數(shù)據(jù)i,那末可能有多個(gè)矩陣項(xiàng)合用于該

事件。安全事件處理人員可以確定所有合用的矩陣項(xiàng)并首先采取最緊急的行動(dòng)。比如，如果惡意

代碼獲造成對高關(guān)鍵性資源（30分鐘響應(yīng)）的未經(jīng)授權(quán)用戶級訪問以及對低關(guān)鍵性資源（1小時(shí)

響應(yīng)）的系統(tǒng)破壞，處理人員應(yīng)該首先解決高關(guān)鍵性資源上的問題，然后解決低關(guān)鍵性資源上的

問題。事件處理人員可能希翼在指定的一個(gè)小時(shí)最大期限內(nèi)調(diào)查一下低關(guān)鍵性資源，特殊是如果

小組認(rèn)為其中可能含有對其它資源事件處理有匡助的信息時(shí)候。

矩陣方法鼓勵(lì)組織去子細(xì)考慮安全事件響應(yīng)小組在各種環(huán)境下應(yīng)該如何作出反應(yīng)。通過鳧供

一個(gè)安全事件處理決定框架