企業(yè)網(wǎng)絡安全應急響應方案

1、企業(yè)網(wǎng)絡安全應急響應方案事實證明，事先制定一個行之有效的網(wǎng)絡安全事件響應計劃 （ 在本文后續(xù)描述中簡稱事件響應計 劃） ，能夠在出現(xiàn)實際的安全事件之后，幫助你及你的安全處理團隊正確識別事件類型，及時保護日志 等證據(jù)文件，并從中找出受到攻擊的原因，在妥善修復后再將系統(tǒng)投入正常運行。有時，甚至還可以 通過分析保存的日志文件，通過其中的任何有關(guān)攻擊的蛛絲馬跡找到具體的攻擊者，并將他 （ 她） 繩之 以法。一、制定事件響應計劃的前期準備 制定事件響應計劃是一件要求嚴格的工作，在制定之前，先為它做一些準備工作是非常有必要 的，它將會使其后的具體制定過程變得相對輕松和高效。這些準備工作包括建立事件響應小姐

2、并確定 成員、明確事件響應的目標，以及準備好制定事件響應計劃及響應事件時所需的工具軟件。1、建立事件響應小組和明確小組成員 任何一種安全措施，都是由人來制定，并由人來執(zhí)行實施的，人是安全處理過程中最重要的因 素，它會一直影響安全處理的整個過程，同樣，制定和實施事件響應計劃也是由有著這方面知識的各 種成員來完成的。既然如此，那么在制定事件響應計劃之前，我們就應當先組建一個事件響應小組， 并確定小組成員和組織結(jié)構(gòu)。至于如何選擇響應小組的成員及組織結(jié)構(gòu)，你可以根據(jù)你所處的實際組織結(jié)構(gòu)來決定，但你應當 考慮小組成員本身的技術(shù)水平及配合能達到的默契程度，同時，你還應該明白如何保證小組成員內(nèi)部 的安全。一

3、般來說，你所在組織結(jié)構(gòu)中的領導者也可以作為小組的最高領導者，每一個部門中的領導 者可以作為小組的下一級領導，每個部門的優(yōu)秀的 IT 管理人員可以成為小組成員，再加上你所在的 IT 部門中的一些優(yōu)秀成員，就可以組建一個事件響應小組了。響應小組應該有一個嚴密的組織結(jié)構(gòu)和上 報制度，其中， IT 人員應當是最終的事件應對人員，負責事件監(jiān)控識別處理的工作，并向上級報告 ; 小 組中的部門領導可作為小組響應人員的上一級領導，直接負責督促各小組成員完成工作，并且接受下 一級的報告并將事件響應過程建檔上報 ; 小組最高領導者負責協(xié)調(diào)整個事件響應小組的工作，對事件處 理方法做出明確決定，并監(jiān)督小組每一次事件響

4、應過程。在確定了事件響應小組成員及組織結(jié)構(gòu)后，你就可以將他們組織起來，參與制定事件響應計劃的 每一個步驟。2、明確事件響應目標 在制定事件響應計劃前，我們應當明白事件響應的目標是什么?是為了阻止攻擊，減小損失，盡快恢復網(wǎng)絡訪問正常，還是為了追蹤攻擊者，這應當從你要具體保護的網(wǎng)絡資源來確定。在確定事件響應目標時，應當明白，確定了事件響應目標，也就基本上確定了事件響應計劃的具 體方向，所有將要展開的計劃制定工作也將圍繞它來進行，也直接關(guān)系到要保護的網(wǎng)絡資源。因此， 先明確一個事件響應的目標，并在執(zhí)行時嚴格圍繞它來進行，堅決杜絕違背響應目標的處理方式出 現(xiàn)，是關(guān)系到事件響應最終效果的關(guān)鍵問題之一。應

5、當注意的是，事件響應計劃的目標，不是一成不變的，你應當在制定和實施的過程中不斷地修 正它，讓它真正適應你的網(wǎng)絡保護需要，并且，也不是說，你只能確定一個響應目標，你可以根據(jù)你 自身的處理能力，以及投入成本的多少，來確定一個或幾個你所需要的響應目標，例如，有時在做到 盡快恢復網(wǎng)絡正常訪問的同時，盡可能地收集證據(jù)，分析并找到攻擊者，并將他（ 她） 繩之以法。3、準備事件響應過程中所需要的工具軟件 對于計算機安全技術(shù)人員來說，有時會出現(xiàn)三分技術(shù)七分工具情況。不論你的技術(shù)再好，如果需 要時沒有相應的工具，有時也只能望洋興嘆。同樣的道理，當我們在響應事件的過程當中，將會用到 一些工具軟件來應對相應的攻擊方

6、法，我們不可能等到出現(xiàn)了實際的安全事件時，才想到要使用什么 工具軟件來進行應對，然后再去尋找或購買這些軟件。這樣一來，就有可能會因為某一個工具軟件沒 有準備好而耽誤處理事件的及時性，引起事件影響范圍的擴大。因此，事先考慮當我們應對安全事件 之時，所能夠用得到的工具軟件，將它們?nèi)繙蕚浜?，不管你通過什么方法得到，然后用可靠的存儲 媒介來保存這些工具軟件，是非常有必要的。我們所要準備的工具軟件主要包括數(shù)據(jù)備份恢復、網(wǎng)絡及應用軟件漏洞掃描、網(wǎng)絡及應用軟件攻 擊防范，以及日志分析和追蹤等軟件。這些軟件的種類很多，在準備時，得從你的實際情況出發(fā)，針 對各種網(wǎng)絡攻擊方法，以及你的使用習慣和你能夠承受的成本

7、投入來決定。下面列出需要準備哪些方面的工具軟件：(1) 、系統(tǒng)及數(shù)據(jù)的備份和恢復軟件。(2) 、系統(tǒng)鏡像軟件。(3) 、文件監(jiān)控及比較軟件。(4) 、各類日志文件分析軟件。(5) 、網(wǎng)絡分析及嗅探軟件。(6) 、網(wǎng)絡掃描工具軟件。(7) 、網(wǎng)絡追捕軟件。(8) 、文件捆綁分析及分離軟件，二進制文件分析軟件，進程監(jiān)控軟件。(9) 、如有可能，還可以準備一些反彈木馬軟件。 由于涉及到的軟件很多，而且又有應用范圍及應用平臺之分，你不可能全部將它們下載或購買回 來，這肯定是不夠現(xiàn)實的。因而在此筆者也不好一一將這些軟件全部羅列出來，但有幾個軟件，在事 件響應當中是經(jīng)常用到的，例如，Securebacke

8、r備份恢復軟件，Nikto網(wǎng)頁漏洞掃描軟件，Namp網(wǎng)絡掃描軟件，Tcpdump(WinDump)網(wǎng)絡監(jiān)控軟件,Fport端口監(jiān)測軟件，Ntop網(wǎng)絡通信監(jiān)視軟件，RootKitRevealer(Windows 下)文件完整性檢查軟件，ArpwatchARP檢測軟件， OSSECHIDSV侵檢測和各種日志分析工具軟件，微軟的BASE分析軟件，SNOR基于網(wǎng)絡入侵檢測軟件，SpikeProxy網(wǎng)站漏洞檢測軟件， Sara 安全評審助手， NetStumbler 是協(xié)議的嗅探工具，以及 Wireshark 嗅探軟件等都是應該擁 有的。還有一些好用的軟件是操作系統(tǒng)本身帶有的，例如Nbtstat 、Pi

9、ng 等等，由于真的太多，就不再在此列出了，其實上述提到的每個軟件以及所有需要準備的軟件，都可以在一些安全類網(wǎng)站上下載免 費或試用版本。準備好這些軟件后，應當將它們?nèi)客咨票４?。你可以將它們刻錄到光盤當中，也可以將它們存 入移動媒體當中，并隨身攜帶，這樣，當要使用它們時隨手拿來就可以了。由于有些軟件是在不斷的 更新當中的，而且只有不斷升級它們才能保證應對最新的攻擊方法，因此，對于這些工具軟件，還應 當及時更新。二、制定事件響應計劃 當上述準備工作完成后，我們就可以開始著手制定具體的事件響應計劃。在制定時，要根據(jù)在準 備階段所確立的響應目標來進行。并且要將制定好的事件響應計劃按一定的格式裝訂成冊

10、，分發(fā)到每 一個事件響應小組成員手中。由于每個網(wǎng)絡用戶具體的響應目標是不相同的，因而就不可能存在任何一個完全相同的事件響應 計劃。但是，一個完整的事件響應計劃，下面所列出的內(nèi)容是不可缺少的：(1) 、需要保護的資產(chǎn) ;(2) 、所保護資產(chǎn)的優(yōu)先級 ;(3) 、事件響應的目標 ;(4) 、事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時與它方的合作方式;(5) 、事件處理的具體步驟及注意事項 ;(6) 、事件處理完成后文檔編寫存檔及上報方式 ;(7) 、事件響應計劃的后期維護方式 ;(8) 、事件響應計劃的模擬演練計劃。 上述列出項中的第一項和第二項所要說明的內(nèi)容應該很容易理解，這些在制定安全策略時就

11、會考 慮到的，應該很容易就能夠完成，還用上述列出項中的第三項和第四項，也已經(jīng)在本文的制定事件響 應計劃準備節(jié)時說明了，就不再在本文中再做詳細說明。至于上述列出項中的第五、第六、第七和第 八項，筆者只在此將它們的大概意思列出來，因為要在下面分別用一個單獨的小節(jié)，給它們做詳細的 說明。在制定事件響應計劃過程當中，還應當特別注意的是：事件響應計劃要做到盡量詳細和條理清 晰，以便事件響應小組成員能夠很好地明白。這要求，在制定過程當中，應當從自身的實際情況出 發(fā)，認真仔細地調(diào)查和分析實際會出現(xiàn)的各種攻擊事件，組合各種資源，利用頭腦風暴的方法，不斷 細化事件響應計劃中的每一個具體應對方法，不斷修訂事件響應

12、的目標，以此來加強事件響應計劃的 可擴展性和持續(xù)性，使事件響應計劃真正適應實際的需求 ; 同時，不僅每個事件響應小組的成員都應當 參加進來，而且，包括安全產(chǎn)品提供商，各個合作伙伴，以及當?shù)氐恼块T和法律機構(gòu)都應當考慮 進來。總之，一定要將事件響應計劃盡可能地做到與你實際響應目標相對應。三、事件響應的具體實施在進行事件響應之前，你應該非常明白一個道理，就是事件處理時不能違背你制定的響應目標， 不能在處理過程中避重就輕。例如，本來是要盡快恢復系統(tǒng)運行的，你卻只想著如何去追蹤攻擊者在 何方，那么，就算你最終追查到了攻擊者，但此次攻擊所帶來的影響卻會因此而變得更加嚴重，這樣 一來，不僅不能給帶來什么

13、樣成就感，反而是得不償失的。但如果你事件響應的目標本身就是為了追 查攻擊者，例如網(wǎng)絡警察，那么對如何追蹤攻擊者就應當是首要目標了。事實證明，按照事先制定的處理步驟來對事件進行響應，能減少處理過程當中的雜亂無章，減少 操作及判斷失誤而引起的處理不及時，因此，所有事件響應小組的成員，不僅要熟習整個事件響應計 劃，而且要特別熟練事件處理時的步驟?？傮w來說，一個具體的事件響應步驟，應當包括五個部分：事件識別，事件分類，事件證據(jù)收 集，網(wǎng)絡、系統(tǒng)及應用程序數(shù)據(jù)恢復，以及事件處理完成后建檔上報和保存。現(xiàn)將它們詳細說明如 下：1、事件識別在整個事件處理過程當中，這一步是非常重要的，你必需從眾多的信息中，識別

14、哪些是真正的攻 擊事件，哪些是正常的網(wǎng)絡訪問。事件識別，不僅要依賴安全軟件及系統(tǒng)所產(chǎn)生的各種日志中的異常記錄項來做出判斷，而且也與 事件識別者的技術(shù)水平及經(jīng)驗有很大的關(guān)系。這是因為，不僅安全軟件有誤報和漏報的現(xiàn)象，而且， 攻擊者往往會在成功入侵后，會用一切手段來修改這些日志，以掩蓋他的行蹤，讓你無法從日志中得 到某些重要的信息。這時，一個有著豐富經(jīng)驗的事件識別者，就可以通過對網(wǎng)絡及系統(tǒng)中某種現(xiàn)象的 判斷，來決定是否已經(jīng)受到了攻擊。有了可靠的日志，再加上在受到了攻擊時會出現(xiàn)各種異?，F(xiàn)象，我們就可以通過分析這些日志文 件中的記錄項，以及對各種現(xiàn)象的判斷來確定是否受到了真正的攻擊。因此，如果日志中出

15、現(xiàn)了下面列出項中的記錄，或網(wǎng)絡和主機系統(tǒng)出現(xiàn)了下面列出項中的現(xiàn)象，就一定表明你所監(jiān)控的網(wǎng)絡或主機 已經(jīng)或正在面臨著某種類別的攻擊：(1) 、日志文件中記錄有異常的沒有登錄成功的審計事件;(2) 、日志文件中有成功登錄的不明賬號記錄 ;(3) 、日志文件中存在有異常的修改某些特殊文件的記錄;(4) 、日志文件中存在有某段時間來自網(wǎng)絡的不正常掃描記錄 ;(5) 、日志文件中存在有在某段時間啟動的不明服務進程的記錄 ;(6) 、日志文件中存在有特殊用戶權(quán)限被修改或添加了不明用戶賬號的記錄 ;(7) 、日志文件中存在有添加了某種不明文件的記錄 ;(8) 、日志文件中存在有不明軟件主動向外連接的記錄 ;

16、(9) 、查看日志文件屬性時，時間戳不對，或者日志文件大小與你的記錄不相符 ;(10) 、查看日志文件內(nèi)容時，發(fā)現(xiàn)日志文件中的某個時間段不存在或被修改 ;(11) 、發(fā)現(xiàn)系統(tǒng)反應速度變慢，或在某個時間段突然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響的原 因;(12) 、發(fā)現(xiàn)系統(tǒng)中安全軟件被停止，正常服務被停止 ;(13) 、發(fā)現(xiàn)網(wǎng)站網(wǎng)頁被篡改或被刪除替換 ;(14) 、發(fā)現(xiàn)系統(tǒng)變得不穩(wěn)定，突然死機，系統(tǒng)資源占用過大，不斷重啟 ;(15) 、發(fā)現(xiàn)網(wǎng)絡流量突然增大，查看發(fā)現(xiàn)對外打開了不明端口 ;(16) 、發(fā)現(xiàn)網(wǎng)卡被設為混雜模式 ;(17) 、某些正常服務不能夠被訪問等等。能夠用來做出判斷異常記錄和異?，F(xiàn)

17、象還有很多，筆者就不在這里全部列出了。這要求事件響應 人員應當不斷學習，努力提高自身的技術(shù)水平，不斷增加識別異?，F(xiàn)象的經(jīng)驗，然后形成一種適合自 己的判斷方法后，再加上日志分析工具以及安全監(jiān)控軟件的幫助，就不難在這些日志記錄項和現(xiàn)象中 找出真正的攻擊事件來。到目前為止，通過分析各種日志文件來識別事件性質(zhì)，依然是最主要的方法之一。你可以重新設 置這些安全軟件的日志輸出格式，使它們?nèi)菀妆焕斫?; 你也可以重新詳細設置安全軟件的過濾規(guī)則，減 少它們的誤報和漏報，增加可識別強度 ; 你還可以使用一些專業(yè)的日志文件分析工具，例如 OSSECHID，S 來加快分析大體積日志文件的速度，提高識別率，同時也會減

18、輕你的負擔。至于擔心日志 會被攻擊者刪除或修改，你可以將所有的日志文件都保存到受防火墻保護的存儲系統(tǒng)之中，來減少這 種風險?？傊?，為了能從日志文件中得到我們想要的信息，就應該想法使日志文件以我們需要的方式 來工作。所有這些，都得要求事件響應人員在平時經(jīng)常檢查網(wǎng)絡及系統(tǒng)的運行情況，不斷分析日志文件中 的記錄，查看各種網(wǎng)絡或系統(tǒng)異?，F(xiàn)象，以便能及時真正的攻擊事件做出正確的判斷。另外，你應當 在平時在對網(wǎng)絡系統(tǒng)中的某些對象進行操作時，應當詳細記錄下你所操作過的所有對象的內(nèi)容及操作 時間，以便在識別時有一個判斷的依據(jù)。在工作當中，經(jīng)常用筆記錄下這些操作是一個事件響應人員 應當養(yǎng)成的好習慣。當發(fā)現(xiàn)了上述

19、出現(xiàn)的異常記錄或異?，F(xiàn)象，就說明攻擊事件已經(jīng)發(fā)生了，因而就可以立即進入到 下一個環(huán)節(jié)當中，即對出現(xiàn)的攻擊事件的嚴重程度進行分類。2、事件分類當確認已經(jīng)發(fā)現(xiàn)攻擊事件后，就應當立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴重程度的判斷，以明確 攻擊事件到達了什么地步，以便決定下一步采取什么樣的應對措施。例如，如果攻擊事件是涉及到服 務器中的一些機密數(shù)據(jù)，這肯定是非常嚴重的攻擊事件，就應當立即斷開受到攻擊的服務器的網(wǎng)絡連 接，并將其隔離，以防止事態(tài)進一步的惡化及影響網(wǎng)絡中其它重要主機。對攻擊事件進行分類，一直以來，都是沒有一個統(tǒng)一的標準的，各安全廠商都有他自己的一套分 類方法，因此，你也可以自行對攻擊事件的嚴重程

20、度進行分類。一般來說，可以通過確認攻擊事件發(fā) 展到了什么地步，以及造成了什么樣的后果來進行分類，這樣就可以將攻擊事件分為以下幾個類別：(1) 、試探性事件 ;(2) 、一般性事件 ;(3) 、控制系統(tǒng)事件 ;(4) 、拒絕服務事件 ;(5) 、得到機密數(shù)據(jù)事件。對網(wǎng)絡中的主機進行試探性掃描，都可以認為是試探性質(zhì)的事件，這些都是攻擊者為了確認網(wǎng)絡 中是否有可以被攻擊的主機，而進行的最基本的工作。當攻擊者確認了要攻擊的目標后，他就會進一 步地對攻擊目標進行更加詳細，更加有目的的掃描，這時，所使用的掃描方式就會更加先進和不可識 別性，例如半連接式掃描及 FIN 方式掃描等，這種掃描完成后，就可以找到

21、一些是否可以利用的漏洞信 息，由于現(xiàn)在的一些整合性防火墻和 IDS 也能夠識別這些方式的掃描，因此，如果在日志文件中找到了 與此相應的記錄，就表明攻擊已經(jīng)發(fā)展到了一般性事件的地步了。當攻擊者得到可以利用的漏洞信息后，他就會利用各種手段對攻擊目標進行滲透，這時，如果你沒有及時發(fā)現(xiàn)，滲透的成功性是非常大 的，網(wǎng)絡中已經(jīng)存在有太多的這類滲透工具，使用這些工具進行滲透工作是輕而易舉的事，在滲透成 功后，攻擊者就會想法提高自己在攻擊目標系統(tǒng)中的權(quán)限，并安裝后門，以便能隨心所欲地控制已經(jīng) 滲透了的目標，此時，就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里，如果你還沒有發(fā)現(xiàn)攻擊行為，那 么，你所保護的機密資料將有可能

22、被攻擊者完全得到，事態(tài)的嚴重性就可想而知了。攻擊者在控制了 攻擊目標后，有時也不一定能夠得到機密數(shù)據(jù)，由此而產(chǎn)生一些報復性行為，例如進行一些DDO敦擊等，讓其他正常用戶也不能夠訪問，或者，攻擊者控制系統(tǒng)的目的，就是為了對其它系統(tǒng)進 行 DOS或 DDOS攻擊。此時的你，就應該從日志文件的記錄項中，迅速對攻擊事件發(fā)展到了哪種地步做出明確的判斷， 并及時上報小組領導，以及通報給其他小組成員，以便整個小組中的所有成員能夠明確此次攻擊事件 的嚴重程度，然后決定采取什么樣的應對方法來進行響應，以防止事態(tài)向更加嚴重的程度發(fā)展，或者 盡量減小損失，及時修補漏洞，恢復網(wǎng)絡系統(tǒng)正常運行，并盡快收集好所有的證據(jù)，

23、以此來找到攻擊 者。3、攻擊事件證據(jù)收集為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據(jù)，就應該在恢復已被攻擊的系統(tǒng)正常之前，將這些能提供證據(jù)的數(shù)據(jù)全部收集起來，妥善保存。至于如何收集，這要視你所要收集的證據(jù)的多少及大小，以及收集的速度要求來定。如果只收集 少量的數(shù)據(jù)，你可以通過簡單的復制方法將這些數(shù)據(jù)保存到另外一些安全的存儲媒介當中 的數(shù)據(jù)數(shù)量多且體積大，而且要求在極少的時間來完成，你就可以通過一些專業(yè)的軟件來進行收集。 對于這些收集的數(shù)據(jù)保存到什么樣的存儲媒介之中，也得根據(jù)所要收集的數(shù)據(jù)要求來定的，還得看你 現(xiàn)在所擁有的存儲媒介有哪些，一般保存到光盤

24、或磁帶當中為好。具體收集哪些數(shù)據(jù)，你可以將你認為能夠為攻擊事件提供證據(jù)的數(shù)據(jù)全部都收集起來，也可以只 收集其中最重要的部分，下面是一些應該收集的數(shù)據(jù)列表：(1) 、操作系統(tǒng)事件日志 ;(2) 、操作系統(tǒng)審計日志 ;(3) 、網(wǎng)絡應用程序日志 ;(4) 、防火墻日志 ;(5) 、入侵檢測日志 ;(6) 、受損系統(tǒng)及軟件鏡像。DOS或如果要收集在進行這一步之前，如果你的首要任務是將網(wǎng)絡或系統(tǒng)恢復正常，為了防止在恢復系統(tǒng)備份時將 這些證據(jù)文件丟失，或者你只是想為這些攻擊留個紀念，你應當先使用一些系統(tǒng)鏡像軟件將整個系統(tǒng) 做一個鏡像保存后，再進行恢復工作。收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù)，而且，在事

25、件響應完成后，還應將它們統(tǒng)計建檔，并 上報給相關(guān)領導及其它合作機構(gòu)，例如安全軟件提供商，合作伙伴，以及當?shù)氐姆蓹C構(gòu)，同時也可 以作為事后分析學習之用。因此，這個事件響應操作步驟也是必不可少的，收集到的數(shù)據(jù)也應當保存 完整。4、網(wǎng)絡、系統(tǒng)及應用程序數(shù)據(jù)恢復在收集完所有的證據(jù)后，就可以將被攻擊影響到的對象全部恢復正常運行，以便可以正常使用。 是否能夠及時的恢復系統(tǒng)到正常狀態(tài)，得依靠另一個安全手段，就是備份恢復計劃，對于一些大型企 業(yè)，有時也被稱為災難恢復計劃，不管怎么說，事先對所保護的重要數(shù)據(jù)做一個安全的備份是一定需 要的，它直接影響到事件響應過程中恢復的及時性和可能性。在恢復系統(tǒng)后，你應當確保

26、系統(tǒng)漏洞已經(jīng)被修補完成，系統(tǒng)已經(jīng)更新了最新的補丁包，并且已經(jīng) 重新對修補過的系統(tǒng)做了新的備份，這樣，才能讓這些受到攻擊恢復正常后的系統(tǒng)重新連入到網(wǎng)絡當 中。如果當時還沒有最新的安全補丁，而又必需馬上恢復系統(tǒng)運行的話，你可以先實施一些針對性的 安全措施，然后再將系統(tǒng)連入到網(wǎng)絡當中，但要時刻注意，并在有補丁時馬上更新它，并重新備份?；謴偷姆椒盎謴蛢?nèi)容的多少，得看你的系統(tǒng)受損的情況來決定，例如，系統(tǒng)中只是開放了一些 不正常的端口，那就沒有必要恢復整個系統(tǒng)，只要將這些端口關(guān)閉，然后堵住產(chǎn)生攻擊的漏洞就可以 了。如果系統(tǒng)中的重要文件已經(jīng)被修改或刪除，系統(tǒng)不能正常運行，而這些文件又不能夠被修復，就 只能

27、恢復整個系統(tǒng)了。恢復時，即可以通過手工操作方式來達到恢復目的，也可以通過一些專業(yè)的備 份恢復軟件來進行恢復，甚至，在有些大中型企業(yè)，由于數(shù)據(jù)多，而且非常重要，對系統(tǒng)穩(wěn)定性和連 續(xù)性有很高的要求，例如一些網(wǎng)站類企業(yè)，就會使用一個備用系統(tǒng)，來提供冗余，當一套系統(tǒng)遭到攻 擊停運后，另一套系統(tǒng)就會自動接替它運行，這樣，就能讓事件響應小組人員有足夠多的時間進行各 項操作，而且不會影響到網(wǎng)絡系統(tǒng)的正常訪問?；謴驮谡麄€事件處理步驟當中是比較獨特的，將它放在哪一步來執(zhí)行，你應當以你的保護目標來 決定，例如，當你保護的首要目標是為了盡快恢復網(wǎng)絡系統(tǒng)或服務能夠正常訪問，如果有備用系統(tǒng) 的，因為備用系統(tǒng)已經(jīng)接替受攻

28、擊的系統(tǒng)運行了，就可以按上述步驟中的順序來進行操作，而對于只 有備份文件的，如果想要系統(tǒng)最快速度地恢復正常運行，可以先將整個受損系統(tǒng)做一個鏡像，然后就 可以迅速恢復備份，投入運行。其實，任何處理步驟，說白了，就只是讓你養(yǎng)成一種對某種事件處理過程的通用習慣性思維和工 作流程而已。5、事件處理過程的建檔保存在將所有事件都已調(diào)查清楚，系統(tǒng)也恢復正常運行后，你就應當將所有與這次事件相關(guān)的所有種 種都做一個詳細的記錄存檔。建檔的目的有二點，一是用來向上級領導報告事件起因及處理方法，二 是用來做學習的例子，用來分析攻擊者的攻擊方法，以便以后更加有效地防止此類攻擊事件的發(fā)生。 具體要記錄保存的內(nèi)容涉及到整個

29、事件響應過程，要記錄的內(nèi)容比較多，而且響應過程有時比較長， 因此，這就要求安全事件響應人員在事件處理過程當中，應當隨時記錄下響應過程中發(fā)現(xiàn)的點點滴滴 和所有的操作事件，以便建檔時能使用。建檔格式是可以由你自行來規(guī)定，沒有具體的標準的，只要能夠清楚地記錄下所有應該記錄的內(nèi) 容就可以了。也可以將文檔做成一式三份，一份上報領導，一份保存，一份用來分析學習用。也可以 將這些文檔交給一些專業(yè)的安全公司和系統(tǒng)及應用軟件提供商，以便它們能夠及時地了解這種攻擊方 法，并發(fā)布相應的防范產(chǎn)品和安全補丁包，還可以向一些合作伙伴通報，讓它們也能夠加強這方面的 防范。具體要建檔的內(nèi)容如下所示：(1) 、攻擊發(fā)生在什么時

30、候，什么時候發(fā)現(xiàn)的，發(fā)現(xiàn)人是誰 ?(2) 、攻擊者利用的是什么漏洞來攻擊的，這種漏洞是已經(jīng)發(fā)現(xiàn)了的，還現(xiàn)在才出事的，漏洞的具 體類別及數(shù)量 ?(3) 、攻擊者在系統(tǒng)中進行了哪些方面的操作，有哪些數(shù)據(jù)或文件被攻擊者攻擊了 ?(4) 、攻擊的大體發(fā)展順序是怎么進行的 ?(5) 、造成此次事件的關(guān)鍵因素是什么?(6) 、解決此次事件的具體流程是什么?(7) 、攻擊造成了什么后果，嚴重程度如何，攻擊者得到了什么權(quán)限和數(shù)據(jù) ?(8) 、攻擊者是如何突破安全防線的 ?(9) 、用什么工具軟件解決的 ?(10) 、此次事件在發(fā)現(xiàn)及處理時有哪些人員參與，上報給了哪些部門及人員 ?(11) 、事件發(fā)生后，損失的

31、恢復情況如何 ?(12) 、此次攻擊有了什么新的改變，是否可以預防和應對 ?(13) 、以后應該如何應對這種安全事件，給出一個具體的方案附后等等。以上所列出的，都是建檔時應當記錄的內(nèi)容。建檔人員可以自由安排記錄的順序，但是得和事件 處理的順序相對應，以便讓其它人員更好地理解和學習。當然，你還可以記錄其它沒有在上述項中提 到的內(nèi)容，只要你認為有記錄下這些內(nèi)容的必要，或者是你的響應小組領導要求記錄下這些內(nèi)容。四、事件響應計劃后期維護及演練1、事件響應計劃后期維護制定好一個事件響應計劃后，就應當及時嚴格地組織實施，將事件響應計劃束之高格，或者雖然 實施了但卻從來不對它進行維護，這些都等同于沒有一樣，甚至比沒有時更壞。這是因為，不斷有新 的攻擊手段出現(xiàn)，如果你不對已經(jīng)制定的事件響應計劃做出相應調(diào)整的話，那么，你也就不會對這些 新的攻擊方法做出正確的響應，事件響應也就沒有了真正意