企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案

1、企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案事實(shí)證明，事先制定一個(gè)行之有效的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃 （ 在本文后續(xù)描述中簡稱事件響應(yīng)計(jì) 劃） ，能夠在出現(xiàn)實(shí)際的安全事件之后，幫助你及你的安全處理團(tuán)隊(duì)正確識(shí)別事件類型，及時(shí)保護(hù)日志 等證據(jù)文件，并從中找出受到攻擊的原因，在妥善修復(fù)后再將系統(tǒng)投入正常運(yùn)行。有時(shí)，甚至還可以 通過分析保存的日志文件，通過其中的任何有關(guān)攻擊的蛛絲馬跡找到具體的攻擊者，并將他 （ 她） 繩之 以法。一、制定事件響應(yīng)計(jì)劃的前期準(zhǔn)備 制定事件響應(yīng)計(jì)劃是一件要求嚴(yán)格的工作，在制定之前，先為它做一些準(zhǔn)備工作是非常有必要 的，它將會(huì)使其后的具體制定過程變得相對輕松和高效。這些準(zhǔn)備工作包括建立事件響應(yīng)小姐

2、并確定 成員、明確事件響應(yīng)的目標(biāo)，以及準(zhǔn)備好制定事件響應(yīng)計(jì)劃及響應(yīng)事件時(shí)所需的工具軟件。1、建立事件響應(yīng)小組和明確小組成員 任何一種安全措施，都是由人來制定，并由人來執(zhí)行實(shí)施的，人是安全處理過程中最重要的因 素，它會(huì)一直影響安全處理的整個(gè)過程，同樣，制定和實(shí)施事件響應(yīng)計(jì)劃也是由有著這方面知識(shí)的各 種成員來完成的。既然如此，那么在制定事件響應(yīng)計(jì)劃之前，我們就應(yīng)當(dāng)先組建一個(gè)事件響應(yīng)小組， 并確定小組成員和組織結(jié)構(gòu)。至于如何選擇響應(yīng)小組的成員及組織結(jié)構(gòu)，你可以根據(jù)你所處的實(shí)際組織結(jié)構(gòu)來決定，但你應(yīng)當(dāng) 考慮小組成員本身的技術(shù)水平及配合能達(dá)到的默契程度，同時(shí)，你還應(yīng)該明白如何保證小組成員內(nèi)部 的安全。一

3、般來說，你所在組織結(jié)構(gòu)中的領(lǐng)導(dǎo)者也可以作為小組的最高領(lǐng)導(dǎo)者，每一個(gè)部門中的領(lǐng)導(dǎo) 者可以作為小組的下一級領(lǐng)導(dǎo)，每個(gè)部門的優(yōu)秀的 IT 管理人員可以成為小組成員，再加上你所在的 IT 部門中的一些優(yōu)秀成員，就可以組建一個(gè)事件響應(yīng)小組了。響應(yīng)小組應(yīng)該有一個(gè)嚴(yán)密的組織結(jié)構(gòu)和上 報(bào)制度，其中， IT 人員應(yīng)當(dāng)是最終的事件應(yīng)對人員，負(fù)責(zé)事件監(jiān)控識(shí)別處理的工作，并向上級報(bào)告 ; 小 組中的部門領(lǐng)導(dǎo)可作為小組響應(yīng)人員的上一級領(lǐng)導(dǎo)，直接負(fù)責(zé)督促各小組成員完成工作，并且接受下 一級的報(bào)告并將事件響應(yīng)過程建檔上報(bào) ; 小組最高領(lǐng)導(dǎo)者負(fù)責(zé)協(xié)調(diào)整個(gè)事件響應(yīng)小組的工作，對事件處 理方法做出明確決定，并監(jiān)督小組每一次事件響

4、應(yīng)過程。在確定了事件響應(yīng)小組成員及組織結(jié)構(gòu)后，你就可以將他們組織起來，參與制定事件響應(yīng)計(jì)劃的 每一個(gè)步驟。2、明確事件響應(yīng)目標(biāo) 在制定事件響應(yīng)計(jì)劃前，我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么?是為了阻止攻擊，減小損失，盡快恢復(fù)網(wǎng)絡(luò)訪問正常，還是為了追蹤攻擊者，這應(yīng)當(dāng)從你要具體保護(hù)的網(wǎng)絡(luò)資源來確定。在確定事件響應(yīng)目標(biāo)時(shí)，應(yīng)當(dāng)明白，確定了事件響應(yīng)目標(biāo)，也就基本上確定了事件響應(yīng)計(jì)劃的具 體方向，所有將要展開的計(jì)劃制定工作也將圍繞它來進(jìn)行，也直接關(guān)系到要保護(hù)的網(wǎng)絡(luò)資源。因此， 先明確一個(gè)事件響應(yīng)的目標(biāo)，并在執(zhí)行時(shí)嚴(yán)格圍繞它來進(jìn)行，堅(jiān)決杜絕違背響應(yīng)目標(biāo)的處理方式出 現(xiàn)，是關(guān)系到事件響應(yīng)最終效果的關(guān)鍵問題之一。應(yīng)

5、當(dāng)注意的是，事件響應(yīng)計(jì)劃的目標(biāo)，不是一成不變的，你應(yīng)當(dāng)在制定和實(shí)施的過程中不斷地修 正它，讓它真正適應(yīng)你的網(wǎng)絡(luò)保護(hù)需要，并且，也不是說，你只能確定一個(gè)響應(yīng)目標(biāo)，你可以根據(jù)你 自身的處理能力，以及投入成本的多少，來確定一個(gè)或幾個(gè)你所需要的響應(yīng)目標(biāo)，例如，有時(shí)在做到 盡快恢復(fù)網(wǎng)絡(luò)正常訪問的同時(shí)，盡可能地收集證據(jù)，分析并找到攻擊者，并將他（ 她） 繩之以法。3、準(zhǔn)備事件響應(yīng)過程中所需要的工具軟件 對于計(jì)算機(jī)安全技術(shù)人員來說，有時(shí)會(huì)出現(xiàn)三分技術(shù)七分工具情況。不論你的技術(shù)再好，如果需 要時(shí)沒有相應(yīng)的工具，有時(shí)也只能望洋興嘆。同樣的道理，當(dāng)我們在響應(yīng)事件的過程當(dāng)中，將會(huì)用到 一些工具軟件來應(yīng)對相應(yīng)的攻擊方

6、法，我們不可能等到出現(xiàn)了實(shí)際的安全事件時(shí)，才想到要使用什么 工具軟件來進(jìn)行應(yīng)對，然后再去尋找或購買這些軟件。這樣一來，就有可能會(huì)因?yàn)槟骋粋€(gè)工具軟件沒 有準(zhǔn)備好而耽誤處理事件的及時(shí)性，引起事件影響范圍的擴(kuò)大。因此，事先考慮當(dāng)我們應(yīng)對安全事件 之時(shí)，所能夠用得到的工具軟件，將它們?nèi)繙?zhǔn)備好，不管你通過什么方法得到，然后用可靠的存儲(chǔ) 媒介來保存這些工具軟件，是非常有必要的。我們所要準(zhǔn)備的工具軟件主要包括數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描、網(wǎng)絡(luò)及應(yīng)用軟件攻 擊防范，以及日志分析和追蹤等軟件。這些軟件的種類很多，在準(zhǔn)備時(shí)，得從你的實(shí)際情況出發(fā)，針 對各種網(wǎng)絡(luò)攻擊方法，以及你的使用習(xí)慣和你能夠承受的成本

7、投入來決定。下面列出需要準(zhǔn)備哪些方面的工具軟件：(1) 、系統(tǒng)及數(shù)據(jù)的備份和恢復(fù)軟件。(2) 、系統(tǒng)鏡像軟件。(3) 、文件監(jiān)控及比較軟件。(4) 、各類日志文件分析軟件。(5) 、網(wǎng)絡(luò)分析及嗅探軟件。(6) 、網(wǎng)絡(luò)掃描工具軟件。(7) 、網(wǎng)絡(luò)追捕軟件。(8) 、文件捆綁分析及分離軟件，二進(jìn)制文件分析軟件，進(jìn)程監(jiān)控軟件。(9) 、如有可能，還可以準(zhǔn)備一些反彈木馬軟件。 由于涉及到的軟件很多，而且又有應(yīng)用范圍及應(yīng)用平臺(tái)之分，你不可能全部將它們下載或購買回 來，這肯定是不夠現(xiàn)實(shí)的。因而在此筆者也不好一一將這些軟件全部羅列出來，但有幾個(gè)軟件，在事 件響應(yīng)當(dāng)中是經(jīng)常用到的，例如，Securebacke

8、r備份恢復(fù)軟件，Nikto網(wǎng)頁漏洞掃描軟件，Namp網(wǎng)絡(luò)掃描軟件，Tcpdump(WinDump)網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測軟件，Ntop網(wǎng)絡(luò)通信監(jiān)視軟件，RootKitRevealer(Windows 下)文件完整性檢查軟件，ArpwatchARP檢測軟件， OSSECHIDSV侵檢測和各種日志分析工具軟件，微軟的BASE分析軟件，SNOR基于網(wǎng)絡(luò)入侵檢測軟件，SpikeProxy網(wǎng)站漏洞檢測軟件， Sara 安全評審助手， NetStumbler 是協(xié)議的嗅探工具，以及 Wireshark 嗅探軟件等都是應(yīng)該擁 有的。還有一些好用的軟件是操作系統(tǒng)本身帶有的，例如Nbtstat 、Pi

9、ng 等等，由于真的太多，就不再在此列出了，其實(shí)上述提到的每個(gè)軟件以及所有需要準(zhǔn)備的軟件，都可以在一些安全類網(wǎng)站上下載免 費(fèi)或試用版本。準(zhǔn)備好這些軟件后，應(yīng)當(dāng)將它們?nèi)客咨票４?。你可以將它們刻錄到光盤當(dāng)中，也可以將它們存 入移動(dòng)媒體當(dāng)中，并隨身攜帶，這樣，當(dāng)要使用它們時(shí)隨手拿來就可以了。由于有些軟件是在不斷的 更新當(dāng)中的，而且只有不斷升級它們才能保證應(yīng)對最新的攻擊方法，因此，對于這些工具軟件，還應(yīng) 當(dāng)及時(shí)更新。二、制定事件響應(yīng)計(jì)劃 當(dāng)上述準(zhǔn)備工作完成后，我們就可以開始著手制定具體的事件響應(yīng)計(jì)劃。在制定時(shí)，要根據(jù)在準(zhǔn) 備階段所確立的響應(yīng)目標(biāo)來進(jìn)行。并且要將制定好的事件響應(yīng)計(jì)劃按一定的格式裝訂成冊

10、，分發(fā)到每 一個(gè)事件響應(yīng)小組成員手中。由于每個(gè)網(wǎng)絡(luò)用戶具體的響應(yīng)目標(biāo)是不相同的，因而就不可能存在任何一個(gè)完全相同的事件響應(yīng) 計(jì)劃。但是，一個(gè)完整的事件響應(yīng)計(jì)劃，下面所列出的內(nèi)容是不可缺少的：(1) 、需要保護(hù)的資產(chǎn) ;(2) 、所保護(hù)資產(chǎn)的優(yōu)先級 ;(3) 、事件響應(yīng)的目標(biāo) ;(4) 、事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時(shí)與它方的合作方式;(5) 、事件處理的具體步驟及注意事項(xiàng) ;(6) 、事件處理完成后文檔編寫存檔及上報(bào)方式 ;(7) 、事件響應(yīng)計(jì)劃的后期維護(hù)方式 ;(8) 、事件響應(yīng)計(jì)劃的模擬演練計(jì)劃。 上述列出項(xiàng)中的第一項(xiàng)和第二項(xiàng)所要說明的內(nèi)容應(yīng)該很容易理解，這些在制定安全策略時(shí)就

11、會(huì)考 慮到的，應(yīng)該很容易就能夠完成，還用上述列出項(xiàng)中的第三項(xiàng)和第四項(xiàng)，也已經(jīng)在本文的制定事件響 應(yīng)計(jì)劃準(zhǔn)備節(jié)時(shí)說明了，就不再在本文中再做詳細(xì)說明。至于上述列出項(xiàng)中的第五、第六、第七和第 八項(xiàng)，筆者只在此將它們的大概意思列出來，因?yàn)橐谙旅娣謩e用一個(gè)單獨(dú)的小節(jié)，給它們做詳細(xì)的 說明。在制定事件響應(yīng)計(jì)劃過程當(dāng)中，還應(yīng)當(dāng)特別注意的是：事件響應(yīng)計(jì)劃要做到盡量詳細(xì)和條理清 晰，以便事件響應(yīng)小組成員能夠很好地明白。這要求，在制定過程當(dāng)中，應(yīng)當(dāng)從自身的實(shí)際情況出 發(fā)，認(rèn)真仔細(xì)地調(diào)查和分析實(shí)際會(huì)出現(xiàn)的各種攻擊事件，組合各種資源，利用頭腦風(fēng)暴的方法，不斷 細(xì)化事件響應(yīng)計(jì)劃中的每一個(gè)具體應(yīng)對方法，不斷修訂事件響應(yīng)

12、的目標(biāo)，以此來加強(qiáng)事件響應(yīng)計(jì)劃的 可擴(kuò)展性和持續(xù)性，使事件響應(yīng)計(jì)劃真正適應(yīng)實(shí)際的需求 ; 同時(shí)，不僅每個(gè)事件響應(yīng)小組的成員都應(yīng)當(dāng) 參加進(jìn)來，而且，包括安全產(chǎn)品提供商，各個(gè)合作伙伴，以及當(dāng)?shù)氐恼块T和法律機(jī)構(gòu)都應(yīng)當(dāng)考慮 進(jìn)來。總之，一定要將事件響應(yīng)計(jì)劃盡可能地做到與你實(shí)際響應(yīng)目標(biāo)相對應(yīng)。三、事件響應(yīng)的具體實(shí)施在進(jìn)行事件響應(yīng)之前，你應(yīng)該非常明白一個(gè)道理，就是事件處理時(shí)不能違背你制定的響應(yīng)目標(biāo)， 不能在處理過程中避重就輕。例如，本來是要盡快恢復(fù)系統(tǒng)運(yùn)行的，你卻只想著如何去追蹤攻擊者在 何方，那么，就算你最終追查到了攻擊者，但此次攻擊所帶來的影響卻會(huì)因此而變得更加嚴(yán)重，這樣 一來，不僅不能給帶來什么

13、樣成就感，反而是得不償失的。但如果你事件響應(yīng)的目標(biāo)本身就是為了追 查攻擊者，例如網(wǎng)絡(luò)警察，那么對如何追蹤攻擊者就應(yīng)當(dāng)是首要目標(biāo)了。事實(shí)證明，按照事先制定的處理步驟來對事件進(jìn)行響應(yīng)，能減少處理過程當(dāng)中的雜亂無章，減少 操作及判斷失誤而引起的處理不及時(shí)，因此，所有事件響應(yīng)小組的成員，不僅要熟習(xí)整個(gè)事件響應(yīng)計(jì) 劃，而且要特別熟練事件處理時(shí)的步驟?？傮w來說，一個(gè)具體的事件響應(yīng)步驟，應(yīng)當(dāng)包括五個(gè)部分：事件識(shí)別，事件分類，事件證據(jù)收 集，網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)，以及事件處理完成后建檔上報(bào)和保存。現(xiàn)將它們詳細(xì)說明如 下：1、事件識(shí)別在整個(gè)事件處理過程當(dāng)中，這一步是非常重要的，你必需從眾多的信息中，識(shí)別

14、哪些是真正的攻 擊事件，哪些是正常的網(wǎng)絡(luò)訪問。事件識(shí)別，不僅要依賴安全軟件及系統(tǒng)所產(chǎn)生的各種日志中的異常記錄項(xiàng)來做出判斷，而且也與 事件識(shí)別者的技術(shù)水平及經(jīng)驗(yàn)有很大的關(guān)系。這是因?yàn)椋粌H安全軟件有誤報(bào)和漏報(bào)的現(xiàn)象，而且， 攻擊者往往會(huì)在成功入侵后，會(huì)用一切手段來修改這些日志，以掩蓋他的行蹤，讓你無法從日志中得 到某些重要的信息。這時(shí)，一個(gè)有著豐富經(jīng)驗(yàn)的事件識(shí)別者，就可以通過對網(wǎng)絡(luò)及系統(tǒng)中某種現(xiàn)象的 判斷，來決定是否已經(jīng)受到了攻擊。有了可靠的日志，再加上在受到了攻擊時(shí)會(huì)出現(xiàn)各種異常現(xiàn)象，我們就可以通過分析這些日志文 件中的記錄項(xiàng)，以及對各種現(xiàn)象的判斷來確定是否受到了真正的攻擊。因此，如果日志中出

15、現(xiàn)了下面列出項(xiàng)中的記錄，或網(wǎng)絡(luò)和主機(jī)系統(tǒng)出現(xiàn)了下面列出項(xiàng)中的現(xiàn)象，就一定表明你所監(jiān)控的網(wǎng)絡(luò)或主機(jī) 已經(jīng)或正在面臨著某種類別的攻擊：(1) 、日志文件中記錄有異常的沒有登錄成功的審計(jì)事件;(2) 、日志文件中有成功登錄的不明賬號記錄 ;(3) 、日志文件中存在有異常的修改某些特殊文件的記錄;(4) 、日志文件中存在有某段時(shí)間來自網(wǎng)絡(luò)的不正常掃描記錄 ;(5) 、日志文件中存在有在某段時(shí)間啟動(dòng)的不明服務(wù)進(jìn)程的記錄 ;(6) 、日志文件中存在有特殊用戶權(quán)限被修改或添加了不明用戶賬號的記錄 ;(7) 、日志文件中存在有添加了某種不明文件的記錄 ;(8) 、日志文件中存在有不明軟件主動(dòng)向外連接的記錄 ;

16、(9) 、查看日志文件屬性時(shí)，時(shí)間戳不對，或者日志文件大小與你的記錄不相符 ;(10) 、查看日志文件內(nèi)容時(shí)，發(fā)現(xiàn)日志文件中的某個(gè)時(shí)間段不存在或被修改 ;(11) 、發(fā)現(xiàn)系統(tǒng)反應(yīng)速度變慢，或在某個(gè)時(shí)間段突然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響的原 因;(12) 、發(fā)現(xiàn)系統(tǒng)中安全軟件被停止，正常服務(wù)被停止 ;(13) 、發(fā)現(xiàn)網(wǎng)站網(wǎng)頁被篡改或被刪除替換 ;(14) 、發(fā)現(xiàn)系統(tǒng)變得不穩(wěn)定，突然死機(jī)，系統(tǒng)資源占用過大，不斷重啟 ;(15) 、發(fā)現(xiàn)網(wǎng)絡(luò)流量突然增大，查看發(fā)現(xiàn)對外打開了不明端口 ;(16) 、發(fā)現(xiàn)網(wǎng)卡被設(shè)為混雜模式 ;(17) 、某些正常服務(wù)不能夠被訪問等等。能夠用來做出判斷異常記錄和異?，F(xiàn)

17、象還有很多，筆者就不在這里全部列出了。這要求事件響應(yīng) 人員應(yīng)當(dāng)不斷學(xué)習(xí)，努力提高自身的技術(shù)水平，不斷增加識(shí)別異?，F(xiàn)象的經(jīng)驗(yàn)，然后形成一種適合自 己的判斷方法后，再加上日志分析工具以及安全監(jiān)控軟件的幫助，就不難在這些日志記錄項(xiàng)和現(xiàn)象中 找出真正的攻擊事件來。到目前為止，通過分析各種日志文件來識(shí)別事件性質(zhì)，依然是最主要的方法之一。你可以重新設(shè) 置這些安全軟件的日志輸出格式，使它們?nèi)菀妆焕斫?; 你也可以重新詳細(xì)設(shè)置安全軟件的過濾規(guī)則，減 少它們的誤報(bào)和漏報(bào)，增加可識(shí)別強(qiáng)度 ; 你還可以使用一些專業(yè)的日志文件分析工具，例如 OSSECHID，S 來加快分析大體積日志文件的速度，提高識(shí)別率，同時(shí)也會(huì)減

18、輕你的負(fù)擔(dān)。至于擔(dān)心日志 會(huì)被攻擊者刪除或修改，你可以將所有的日志文件都保存到受防火墻保護(hù)的存儲(chǔ)系統(tǒng)之中，來減少這 種風(fēng)險(xiǎn)?？傊?，為了能從日志文件中得到我們想要的信息，就應(yīng)該想法使日志文件以我們需要的方式 來工作。所有這些，都得要求事件響應(yīng)人員在平時(shí)經(jīng)常檢查網(wǎng)絡(luò)及系統(tǒng)的運(yùn)行情況，不斷分析日志文件中 的記錄，查看各種網(wǎng)絡(luò)或系統(tǒng)異?，F(xiàn)象，以便能及時(shí)真正的攻擊事件做出正確的判斷。另外，你應(yīng)當(dāng) 在平時(shí)在對網(wǎng)絡(luò)系統(tǒng)中的某些對象進(jìn)行操作時(shí)，應(yīng)當(dāng)詳細(xì)記錄下你所操作過的所有對象的內(nèi)容及操作 時(shí)間，以便在識(shí)別時(shí)有一個(gè)判斷的依據(jù)。在工作當(dāng)中，經(jīng)常用筆記錄下這些操作是一個(gè)事件響應(yīng)人員 應(yīng)當(dāng)養(yǎng)成的好習(xí)慣。當(dāng)發(fā)現(xiàn)了上述

19、出現(xiàn)的異常記錄或異?，F(xiàn)象，就說明攻擊事件已經(jīng)發(fā)生了，因而就可以立即進(jìn)入到 下一個(gè)環(huán)節(jié)當(dāng)中，即對出現(xiàn)的攻擊事件的嚴(yán)重程度進(jìn)行分類。2、事件分類當(dāng)確認(rèn)已經(jīng)發(fā)現(xiàn)攻擊事件后，就應(yīng)當(dāng)立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴(yán)重程度的判斷，以明確 攻擊事件到達(dá)了什么地步，以便決定下一步采取什么樣的應(yīng)對措施。例如，如果攻擊事件是涉及到服 務(wù)器中的一些機(jī)密數(shù)據(jù)，這肯定是非常嚴(yán)重的攻擊事件，就應(yīng)當(dāng)立即斷開受到攻擊的服務(wù)器的網(wǎng)絡(luò)連 接，并將其隔離，以防止事態(tài)進(jìn)一步的惡化及影響網(wǎng)絡(luò)中其它重要主機(jī)。對攻擊事件進(jìn)行分類，一直以來，都是沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)的，各安全廠商都有他自己的一套分 類方法，因此，你也可以自行對攻擊事件的嚴(yán)重程

20、度進(jìn)行分類。一般來說，可以通過確認(rèn)攻擊事件發(fā) 展到了什么地步，以及造成了什么樣的后果來進(jìn)行分類，這樣就可以將攻擊事件分為以下幾個(gè)類別：(1) 、試探性事件 ;(2) 、一般性事件 ;(3) 、控制系統(tǒng)事件 ;(4) 、拒絕服務(wù)事件 ;(5) 、得到機(jī)密數(shù)據(jù)事件。對網(wǎng)絡(luò)中的主機(jī)進(jìn)行試探性掃描，都可以認(rèn)為是試探性質(zhì)的事件，這些都是攻擊者為了確認(rèn)網(wǎng)絡(luò) 中是否有可以被攻擊的主機(jī)，而進(jìn)行的最基本的工作。當(dāng)攻擊者確認(rèn)了要攻擊的目標(biāo)后，他就會(huì)進(jìn)一 步地對攻擊目標(biāo)進(jìn)行更加詳細(xì)，更加有目的的掃描，這時(shí)，所使用的掃描方式就會(huì)更加先進(jìn)和不可識(shí) 別性，例如半連接式掃描及 FIN 方式掃描等，這種掃描完成后，就可以找到

21、一些是否可以利用的漏洞信 息，由于現(xiàn)在的一些整合性防火墻和 IDS 也能夠識(shí)別這些方式的掃描，因此，如果在日志文件中找到了 與此相應(yīng)的記錄，就表明攻擊已經(jīng)發(fā)展到了一般性事件的地步了。當(dāng)攻擊者得到可以利用的漏洞信息后，他就會(huì)利用各種手段對攻擊目標(biāo)進(jìn)行滲透，這時(shí)，如果你沒有及時(shí)發(fā)現(xiàn)，滲透的成功性是非常大 的，網(wǎng)絡(luò)中已經(jīng)存在有太多的這類滲透工具，使用這些工具進(jìn)行滲透工作是輕而易舉的事，在滲透成 功后，攻擊者就會(huì)想法提高自己在攻擊目標(biāo)系統(tǒng)中的權(quán)限，并安裝后門，以便能隨心所欲地控制已經(jīng) 滲透了的目標(biāo)，此時(shí)，就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里，如果你還沒有發(fā)現(xiàn)攻擊行為，那 么，你所保護(hù)的機(jī)密資料將有可能

22、被攻擊者完全得到，事態(tài)的嚴(yán)重性就可想而知了。攻擊者在控制了 攻擊目標(biāo)后，有時(shí)也不一定能夠得到機(jī)密數(shù)據(jù)，由此而產(chǎn)生一些報(bào)復(fù)性行為，例如進(jìn)行一些DDO敦?fù)舻?，讓其他正常用戶也不能夠訪問，或者，攻擊者控制系統(tǒng)的目的，就是為了對其它系統(tǒng)進(jìn) 行 DOS或 DDOS攻擊。此時(shí)的你，就應(yīng)該從日志文件的記錄項(xiàng)中，迅速對攻擊事件發(fā)展到了哪種地步做出明確的判斷， 并及時(shí)上報(bào)小組領(lǐng)導(dǎo)，以及通報(bào)給其他小組成員，以便整個(gè)小組中的所有成員能夠明確此次攻擊事件 的嚴(yán)重程度，然后決定采取什么樣的應(yīng)對方法來進(jìn)行響應(yīng)，以防止事態(tài)向更加嚴(yán)重的程度發(fā)展，或者 盡量減小損失，及時(shí)修補(bǔ)漏洞，恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，并盡快收集好所有的證據(jù)，

23、以此來找到攻擊 者。3、攻擊事件證據(jù)收集為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據(jù)，就應(yīng)該在恢復(fù)已被攻擊的系統(tǒng)正常之前，將這些能提供證據(jù)的數(shù)據(jù)全部收集起來，妥善保存。至于如何收集，這要視你所要收集的證據(jù)的多少及大小，以及收集的速度要求來定。如果只收集 少量的數(shù)據(jù)，你可以通過簡單的復(fù)制方法將這些數(shù)據(jù)保存到另外一些安全的存儲(chǔ)媒介當(dāng)中 的數(shù)據(jù)數(shù)量多且體積大，而且要求在極少的時(shí)間來完成，你就可以通過一些專業(yè)的軟件來進(jìn)行收集。 對于這些收集的數(shù)據(jù)保存到什么樣的存儲(chǔ)媒介之中，也得根據(jù)所要收集的數(shù)據(jù)要求來定的，還得看你 現(xiàn)在所擁有的存儲(chǔ)媒介有哪些，一般保存到光盤

24、或磁帶當(dāng)中為好。具體收集哪些數(shù)據(jù)，你可以將你認(rèn)為能夠?yàn)楣羰录峁┳C據(jù)的數(shù)據(jù)全部都收集起來，也可以只 收集其中最重要的部分，下面是一些應(yīng)該收集的數(shù)據(jù)列表：(1) 、操作系統(tǒng)事件日志 ;(2) 、操作系統(tǒng)審計(jì)日志 ;(3) 、網(wǎng)絡(luò)應(yīng)用程序日志 ;(4) 、防火墻日志 ;(5) 、入侵檢測日志 ;(6) 、受損系統(tǒng)及軟件鏡像。DOS或如果要收集在進(jìn)行這一步之前，如果你的首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常，為了防止在恢復(fù)系統(tǒng)備份時(shí)將 這些證據(jù)文件丟失，或者你只是想為這些攻擊留個(gè)紀(jì)念，你應(yīng)當(dāng)先使用一些系統(tǒng)鏡像軟件將整個(gè)系統(tǒng) 做一個(gè)鏡像保存后，再進(jìn)行恢復(fù)工作。收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù)，而且，在事

25、件響應(yīng)完成后，還應(yīng)將它們統(tǒng)計(jì)建檔，并 上報(bào)給相關(guān)領(lǐng)導(dǎo)及其它合作機(jī)構(gòu)，例如安全軟件提供商，合作伙伴，以及當(dāng)?shù)氐姆蓹C(jī)構(gòu)，同時(shí)也可 以作為事后分析學(xué)習(xí)之用。因此，這個(gè)事件響應(yīng)操作步驟也是必不可少的，收集到的數(shù)據(jù)也應(yīng)當(dāng)保存 完整。4、網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)在收集完所有的證據(jù)后，就可以將被攻擊影響到的對象全部恢復(fù)正常運(yùn)行，以便可以正常使用。 是否能夠及時(shí)的恢復(fù)系統(tǒng)到正常狀態(tài)，得依靠另一個(gè)安全手段，就是備份恢復(fù)計(jì)劃，對于一些大型企 業(yè)，有時(shí)也被稱為災(zāi)難恢復(fù)計(jì)劃，不管怎么說，事先對所保護(hù)的重要數(shù)據(jù)做一個(gè)安全的備份是一定需 要的，它直接影響到事件響應(yīng)過程中恢復(fù)的及時(shí)性和可能性。在恢復(fù)系統(tǒng)后，你應(yīng)當(dāng)確保

26、系統(tǒng)漏洞已經(jīng)被修補(bǔ)完成，系統(tǒng)已經(jīng)更新了最新的補(bǔ)丁包，并且已經(jīng) 重新對修補(bǔ)過的系統(tǒng)做了新的備份，這樣，才能讓這些受到攻擊恢復(fù)正常后的系統(tǒng)重新連入到網(wǎng)絡(luò)當(dāng) 中。如果當(dāng)時(shí)還沒有最新的安全補(bǔ)丁，而又必需馬上恢復(fù)系統(tǒng)運(yùn)行的話，你可以先實(shí)施一些針對性的 安全措施，然后再將系統(tǒng)連入到網(wǎng)絡(luò)當(dāng)中，但要時(shí)刻注意，并在有補(bǔ)丁時(shí)馬上更新它，并重新備份。恢復(fù)的方法及恢復(fù)內(nèi)容的多少，得看你的系統(tǒng)受損的情況來決定，例如，系統(tǒng)中只是開放了一些 不正常的端口，那就沒有必要恢復(fù)整個(gè)系統(tǒng)，只要將這些端口關(guān)閉，然后堵住產(chǎn)生攻擊的漏洞就可以 了。如果系統(tǒng)中的重要文件已經(jīng)被修改或刪除，系統(tǒng)不能正常運(yùn)行，而這些文件又不能夠被修復(fù)，就 只能

27、恢復(fù)整個(gè)系統(tǒng)了?；謴?fù)時(shí)，即可以通過手工操作方式來達(dá)到恢復(fù)目的，也可以通過一些專業(yè)的備 份恢復(fù)軟件來進(jìn)行恢復(fù)，甚至，在有些大中型企業(yè)，由于數(shù)據(jù)多，而且非常重要，對系統(tǒng)穩(wěn)定性和連 續(xù)性有很高的要求，例如一些網(wǎng)站類企業(yè)，就會(huì)使用一個(gè)備用系統(tǒng)，來提供冗余，當(dāng)一套系統(tǒng)遭到攻 擊停運(yùn)后，另一套系統(tǒng)就會(huì)自動(dòng)接替它運(yùn)行，這樣，就能讓事件響應(yīng)小組人員有足夠多的時(shí)間進(jìn)行各 項(xiàng)操作，而且不會(huì)影響到網(wǎng)絡(luò)系統(tǒng)的正常訪問?；謴?fù)在整個(gè)事件處理步驟當(dāng)中是比較獨(dú)特的，將它放在哪一步來執(zhí)行，你應(yīng)當(dāng)以你的保護(hù)目標(biāo)來 決定，例如，當(dāng)你保護(hù)的首要目標(biāo)是為了盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)或服務(wù)能夠正常訪問，如果有備用系統(tǒng) 的，因?yàn)閭溆孟到y(tǒng)已經(jīng)接替受攻

28、擊的系統(tǒng)運(yùn)行了，就可以按上述步驟中的順序來進(jìn)行操作，而對于只 有備份文件的，如果想要系統(tǒng)最快速度地恢復(fù)正常運(yùn)行，可以先將整個(gè)受損系統(tǒng)做一個(gè)鏡像，然后就 可以迅速恢復(fù)備份，投入運(yùn)行。其實(shí)，任何處理步驟，說白了，就只是讓你養(yǎng)成一種對某種事件處理過程的通用習(xí)慣性思維和工 作流程而已。5、事件處理過程的建檔保存在將所有事件都已調(diào)查清楚，系統(tǒng)也恢復(fù)正常運(yùn)行后，你就應(yīng)當(dāng)將所有與這次事件相關(guān)的所有種 種都做一個(gè)詳細(xì)的記錄存檔。建檔的目的有二點(diǎn)，一是用來向上級領(lǐng)導(dǎo)報(bào)告事件起因及處理方法，二 是用來做學(xué)習(xí)的例子，用來分析攻擊者的攻擊方法，以便以后更加有效地防止此類攻擊事件的發(fā)生。 具體要記錄保存的內(nèi)容涉及到整個(gè)

29、事件響應(yīng)過程，要記錄的內(nèi)容比較多，而且響應(yīng)過程有時(shí)比較長， 因此，這就要求安全事件響應(yīng)人員在事件處理過程當(dāng)中，應(yīng)當(dāng)隨時(shí)記錄下響應(yīng)過程中發(fā)現(xiàn)的點(diǎn)點(diǎn)滴滴 和所有的操作事件，以便建檔時(shí)能使用。建檔格式是可以由你自行來規(guī)定，沒有具體的標(biāo)準(zhǔn)的，只要能夠清楚地記錄下所有應(yīng)該記錄的內(nèi) 容就可以了。也可以將文檔做成一式三份，一份上報(bào)領(lǐng)導(dǎo)，一份保存，一份用來分析學(xué)習(xí)用。也可以 將這些文檔交給一些專業(yè)的安全公司和系統(tǒng)及應(yīng)用軟件提供商，以便它們能夠及時(shí)地了解這種攻擊方 法，并發(fā)布相應(yīng)的防范產(chǎn)品和安全補(bǔ)丁包，還可以向一些合作伙伴通報(bào)，讓它們也能夠加強(qiáng)這方面的 防范。具體要建檔的內(nèi)容如下所示：(1) 、攻擊發(fā)生在什么時(shí)

30、候，什么時(shí)候發(fā)現(xiàn)的，發(fā)現(xiàn)人是誰 ?(2) 、攻擊者利用的是什么漏洞來攻擊的，這種漏洞是已經(jīng)發(fā)現(xiàn)了的，還現(xiàn)在才出事的，漏洞的具 體類別及數(shù)量 ?(3) 、攻擊者在系統(tǒng)中進(jìn)行了哪些方面的操作，有哪些數(shù)據(jù)或文件被攻擊者攻擊了 ?(4) 、攻擊的大體發(fā)展順序是怎么進(jìn)行的 ?(5) 、造成此次事件的關(guān)鍵因素是什么?(6) 、解決此次事件的具體流程是什么?(7) 、攻擊造成了什么后果，嚴(yán)重程度如何，攻擊者得到了什么權(quán)限和數(shù)據(jù) ?(8) 、攻擊者是如何突破安全防線的 ?(9) 、用什么工具軟件解決的 ?(10) 、此次事件在發(fā)現(xiàn)及處理時(shí)有哪些人員參與，上報(bào)給了哪些部門及人員 ?(11) 、事件發(fā)生后，損失的

31、恢復(fù)情況如何 ?(12) 、此次攻擊有了什么新的改變，是否可以預(yù)防和應(yīng)對 ?(13) 、以后應(yīng)該如何應(yīng)對這種安全事件，給出一個(gè)具體的方案附后等等。以上所列出的，都是建檔時(shí)應(yīng)當(dāng)記錄的內(nèi)容。建檔人員可以自由安排記錄的順序，但是得和事件 處理的順序相對應(yīng)，以便讓其它人員更好地理解和學(xué)習(xí)。當(dāng)然，你還可以記錄其它沒有在上述項(xiàng)中提 到的內(nèi)容，只要你認(rèn)為有記錄下這些內(nèi)容的必要，或者是你的響應(yīng)小組領(lǐng)導(dǎo)要求記錄下這些內(nèi)容。四、事件響應(yīng)計(jì)劃后期維護(hù)及演練1、事件響應(yīng)計(jì)劃后期維護(hù)制定好一個(gè)事件響應(yīng)計(jì)劃后，就應(yīng)當(dāng)及時(shí)嚴(yán)格地組織實(shí)施，將事件響應(yīng)計(jì)劃束之高格，或者雖然 實(shí)施了但卻從來不對它進(jìn)行維護(hù)，這些都等同于沒有一樣，甚至比沒有時(shí)更壞。這是因?yàn)?，不斷有?的攻擊手段出現(xiàn)，如果你不對已經(jīng)制定的事件響應(yīng)計(jì)劃做出相應(yīng)調(diào)整的話，那么，你也就不會(huì)對這些 新的攻擊方法做出正確的響應(yīng)，事件響應(yīng)也就沒有了真正意