企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案(共10頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)方案事實證明，事先制定一個行之有效的網(wǎng)絡(luò)安全事件響應(yīng)計劃(在本文后續(xù)描述中簡稱事件響應(yīng)計劃)，能夠在出現(xiàn)實際的安全事件之后，幫助你及你的安全處理團隊正確識別事件類型，及時保護日志等證據(jù)文件，并從中找出受到攻擊的原因，在妥善修復(fù)后再將系統(tǒng)投入正常運行。有時，甚至還可以通過分析保存的日志文件，通過其中的任何有關(guān)攻擊的蛛絲馬跡找到具體的攻擊者，并將他(她)繩之以法。一、制定事件響應(yīng)計劃的前期準備制定事件響應(yīng)計劃是一件要求嚴格的工作，在制定之前，先為它做一些準備工作是非常有必要的，它將會使其后的具體制定過程變得相對輕松和高效。這些準備工作包括建立事件響應(yīng)小

2、姐并確定成員、明確事件響應(yīng)的目標，以及準備好制定事件響應(yīng)計劃及響應(yīng)事件時所需的工具軟件。1、建立事件響應(yīng)小組和明確小組成員任何一種安全措施，都是由人來制定，并由人來執(zhí)行實施的，人是安全處理過程中最重要的因素，它會一直影響安全處理的整個過程，同樣，制定和實施事件響應(yīng)計劃也是由有著這方面知識的各種成員來完成的。既然如此，那么在制定事件響應(yīng)計劃之前，我們就應(yīng)當先組建一個事件響應(yīng)小組，并確定小組成員和組織結(jié)構(gòu)。至于如何選擇響應(yīng)小組的成員及組織結(jié)構(gòu)，你可以根據(jù)你所處的實際組織結(jié)構(gòu)來決定，但你應(yīng)當考慮小組成員本身的技術(shù)水平及配合能達到的默契程度，同時，你還應(yīng)該明白如何保證小組成員內(nèi)部的安全。一般來說，你所

3、在組織結(jié)構(gòu)中的領(lǐng)導者也可以作為小組的最高領(lǐng)導者，每一個部門中的領(lǐng)導者可以作為小組的下一級領(lǐng)導，每個部門的優(yōu)秀的IT管理人員可以成為小組成員，再加上你所在的IT部門中的一些優(yōu)秀成員，就可以組建一個事件響應(yīng)小組了。響應(yīng)小組應(yīng)該有一個嚴密的組織結(jié)構(gòu)和上報制度，其中，IT人員應(yīng)當是最終的事件應(yīng)對人員，負責事件監(jiān)控識別處理的工作，并向上級報告;小組中的部門領(lǐng)導可作為小組響應(yīng)人員的上一級領(lǐng)導，直接負責督促各小組成員完成工作，并且接受下一級的報告并將事件響應(yīng)過程建檔上報;小組最高領(lǐng)導者負責協(xié)調(diào)整個事件響應(yīng)小組的工作，對事件處理方法做出明確決定，并監(jiān)督小組每一次事件響應(yīng)過程。在確定了事件響應(yīng)小組成員及組織結(jié)構(gòu)

4、后，你就可以將他們組織起來，參與制定事件響應(yīng)計劃的每一個步驟。2、明確事件響應(yīng)目標在制定事件響應(yīng)計劃前，我們應(yīng)當明白事件響應(yīng)的目標是什么?是為了阻止攻擊，減小損失，盡快恢復(fù)網(wǎng)絡(luò)訪問正常，還是為了追蹤攻擊者，這應(yīng)當從你要具體保護的網(wǎng)絡(luò)資源來確定。在確定事件響應(yīng)目標時，應(yīng)當明白，確定了事件響應(yīng)目標，也就基本上確定了事件響應(yīng)計劃的具體方向，所有將要展開的計劃制定工作也將圍繞它來進行，也直接關(guān)系到要保護的網(wǎng)絡(luò)資源。因此，先明確一個事件響應(yīng)的目標，并在執(zhí)行時嚴格圍繞它來進行，堅決杜絕違背響應(yīng)目標的處理方式出現(xiàn)，是關(guān)系到事件響應(yīng)最終效果的關(guān)鍵問題之一。應(yīng)當注意的是，事件響應(yīng)計劃的目標，不是一成不變的，你應(yīng)

5、當在制定和實施的過程中不斷地修正它，讓它真正適應(yīng)你的網(wǎng)絡(luò)保護需要，并且，也不是說，你只能確定一個響應(yīng)目標，你可以根據(jù)你自身的處理能力，以及投入成本的多少，來確定一個或幾個你所需要的響應(yīng)目標，例如，有時在做到盡快恢復(fù)網(wǎng)絡(luò)正常訪問的同時，盡可能地收集證據(jù)，分析并找到攻擊者，并將他(她)繩之以法。3、準備事件響應(yīng)過程中所需要的工具軟件對于計算機安全技術(shù)人員來說，有時會出現(xiàn)三分技術(shù)七分工具情況。不論你的技術(shù)再好，如果需要時沒有相應(yīng)的工具，有時也只能望洋興嘆。同樣的道理，當我們在響應(yīng)事件的過程當中，將會用到一些工具軟件來應(yīng)對相應(yīng)的攻擊方法，我們不可能等到出現(xiàn)了實際的安全事件時，才想到要使用什么工具軟件來

6、進行應(yīng)對，然后再去尋找或購買這些軟件。這樣一來，就有可能會因為某一個工具軟件沒有準備好而耽誤處理事件的及時性，引起事件影響范圍的擴大。因此，事先考慮當我們應(yīng)對安全事件之時，所能夠用得到的工具軟件，將它們?nèi)繙蕚浜茫还苣阃ㄟ^什么方法得到，然后用可靠的存儲媒介來保存這些工具軟件，是非常有必要的。我們所要準備的工具軟件主要包括數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描、網(wǎng)絡(luò)及應(yīng)用軟件攻擊防范，以及日志分析和追蹤等軟件。這些軟件的種類很多，在準備時，得從你的實際情況出發(fā)，針對各種網(wǎng)絡(luò)攻擊方法，以及你的使用習慣和你能夠承受的成本投入來決定。下面列出需要準備哪些方面的工具軟件：(1)、系統(tǒng)及數(shù)據(jù)的備份和恢復(fù)軟

7、件。(2)、系統(tǒng)鏡像軟件。(3)、文件監(jiān)控及比較軟件。(4)、各類日志文件分析軟件。(5)、網(wǎng)絡(luò)分析及嗅探軟件。(6)、網(wǎng)絡(luò)掃描工具軟件。(7)、網(wǎng)絡(luò)追捕軟件。(8)、文件捆綁分析及分離軟件，二進制文件分析軟件，進程監(jiān)控軟件。(9)、如有可能，還可以準備一些反彈木馬軟件。由于涉及到的軟件很多，而且又有應(yīng)用范圍及應(yīng)用平臺之分，你不可能全部將它們下載或購買回來，這肯定是不夠現(xiàn)實的。因而在此筆者也不好一一將這些軟件全部羅列出來，但有幾個軟件，在事件響應(yīng)當中是經(jīng)常用到的，例如，Securebacker備份恢復(fù)軟件，Nikto網(wǎng)頁漏洞掃描軟件，Namp網(wǎng)絡(luò)掃描軟件，Tcpdump(WinDump)網(wǎng)絡(luò)監(jiān)

8、控軟件,Fport端口監(jiān)測軟件，Ntop網(wǎng)絡(luò)通信監(jiān)視軟件，RootKitRevealer(Windows下)文件完整性檢查軟件，ArpwatchARP檢測軟件，OSSECHIDS入侵檢測和各種日志分析工具軟件，微軟的BASE分析軟件，SNORT基于網(wǎng)絡(luò)入侵檢測軟件，SpikeProxy網(wǎng)站漏洞檢測軟件，Sara安全評審助手，NetStumbler是802.11協(xié)議的嗅探工具，以及Wireshark嗅探軟件等都是應(yīng)該擁有的。還有一些好用的軟件是操作系統(tǒng)本身帶有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其實上述提到的每個軟件以及所有需要準備的軟件，都可以在一些安全類網(wǎng)站

9、上下載免費或試用版本。準備好這些軟件后，應(yīng)當將它們?nèi)客咨票４妗Ｄ憧梢詫⑺鼈兛啼浀焦獗P當中，也可以將它們存入移動媒體當中，并隨身攜帶，這樣，當要使用它們時隨手拿來就可以了。由于有些軟件是在不斷的更新當中的，而且只有不斷升級它們才能保證應(yīng)對最新的攻擊方法，因此，對于這些工具軟件，還應(yīng)當及時更新。二、制定事件響應(yīng)計劃當上述準備工作完成后，我們就可以開始著手制定具體的事件響應(yīng)計劃。在制定時，要根據(jù)在準備階段所確立的響應(yīng)目標來進行。并且要將制定好的事件響應(yīng)計劃按一定的格式裝訂成冊，分發(fā)到每一個事件響應(yīng)小組成員手中。由于每個網(wǎng)絡(luò)用戶具體的響應(yīng)目標是不相同的，因而就不可能存在任何一個完全相同的事件響應(yīng)計劃

10、。但是，一個完整的事件響應(yīng)計劃，下面所列出的內(nèi)容是不可缺少的：(1)、需要保護的資產(chǎn);(2)、所保護資產(chǎn)的優(yōu)先級;(3)、事件響應(yīng)的目標;(4)、事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時與它方的合作方式;(5)、事件處理的具體步驟及注意事項;(6)、事件處理完成后文檔編寫存檔及上報方式;(7)、事件響應(yīng)計劃的后期維護方式;(8)、事件響應(yīng)計劃的模擬演練計劃。上述列出項中的第一項和第二項所要說明的內(nèi)容應(yīng)該很容易理解，這些在制定安全策略時就會考慮到的，應(yīng)該很容易就能夠完成，還用上述列出項中的第三項和第四項，也已經(jīng)在本文的制定事件響應(yīng)計劃準備節(jié)時說明了，就不再在本文中再做詳細說明。至于上述列出項中

11、的第五、第六、第七和第八項，筆者只在此將它們的大概意思列出來，因為要在下面分別用一個單獨的小節(jié)，給它們做詳細的說明。在制定事件響應(yīng)計劃過程當中，還應(yīng)當特別注意的是：事件響應(yīng)計劃要做到盡量詳細和條理清晰，以便事件響應(yīng)小組成員能夠很好地明白。這要求，在制定過程當中，應(yīng)當從自身的實際情況出發(fā)，認真仔細地調(diào)查和分析實際會出現(xiàn)的各種攻擊事件，組合各種資源，利用頭腦風暴的方法，不斷細化事件響應(yīng)計劃中的每一個具體應(yīng)對方法，不斷修訂事件響應(yīng)的目標，以此來加強事件響應(yīng)計劃的可擴展性和持續(xù)性，使事件響應(yīng)計劃真正適應(yīng)實際的需求;同時，不僅每個事件響應(yīng)小組的成員都應(yīng)當參加進來，而且，包括安全產(chǎn)品提供商，各個合作伙伴，

12、以及當?shù)氐恼块T和法律機構(gòu)都應(yīng)當考慮進來?？傊?，一定要將事件響應(yīng)計劃盡可能地做到與你實際響應(yīng)目標相對應(yīng)。三、事件響應(yīng)的具體實施在進行事件響應(yīng)之前，你應(yīng)該非常明白一個道理，就是事件處理時不能違背你制定的響應(yīng)目標，不能在處理過程中避重就輕。例如，本來是要盡快恢復(fù)系統(tǒng)運行的，你卻只想著如何去追蹤攻擊者在何方，那么，就算你最終追查到了攻擊者，但此次攻擊所帶來的影響卻會因此而變得更加嚴重，這樣一來，不僅不能給帶來什么樣成就感，反而是得不償失的。但如果你事件響應(yīng)的目標本身就是為了追查攻擊者，例如網(wǎng)絡(luò)警察，那么對如何追蹤攻擊者就應(yīng)當是首要目標了。事實證明，按照事先制定的處理步驟來對事件進行響應(yīng)，能減少處理

13、過程當中的雜亂無章，減少操作及判斷失誤而引起的處理不及時，因此，所有事件響應(yīng)小組的成員，不僅要熟習整個事件響應(yīng)計劃，而且要特別熟練事件處理時的步驟。總體來說，一個具體的事件響應(yīng)步驟，應(yīng)當包括五個部分：事件識別，事件分類，事件證據(jù)收集，網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)，以及事件處理完成后建檔上報和保存。現(xiàn)將它們詳細說明如下：1、事件識別在整個事件處理過程當中，這一步是非常重要的，你必需從眾多的信息中，識別哪些是真正的攻擊事件，哪些是正常的網(wǎng)絡(luò)訪問。事件識別，不僅要依賴安全軟件及系統(tǒng)所產(chǎn)生的各種日志中的異常記錄項來做出判斷，而且也與事件識別者的技術(shù)水平及經(jīng)驗有很大的關(guān)系。這是因為，不僅安全軟件有誤報和

14、漏報的現(xiàn)象，而且，攻擊者往往會在成功入侵后，會用一切手段來修改這些日志，以掩蓋他的行蹤，讓你無法從日志中得到某些重要的信息。這時，一個有著豐富經(jīng)驗的事件識別者，就可以通過對網(wǎng)絡(luò)及系統(tǒng)中某種現(xiàn)象的判斷，來決定是否已經(jīng)受到了攻擊。有了可靠的日志，再加上在受到了攻擊時會出現(xiàn)各種異常現(xiàn)象，我們就可以通過分析這些日志文件中的記錄項，以及對各種現(xiàn)象的判斷來確定是否受到了真正的攻擊。因此，如果日志中出現(xiàn)了下面列出項中的記錄，或網(wǎng)絡(luò)和主機系統(tǒng)出現(xiàn)了下面列出項中的現(xiàn)象，就一定表明你所監(jiān)控的網(wǎng)絡(luò)或主機已經(jīng)或正在面臨著某種類別的攻擊：(1)、日志文件中記錄有異常的沒有登錄成功的審計事件;(2)、日志文件中有成功登錄

15、的不明賬號記錄;(3)、日志文件中存在有異常的修改某些特殊文件的記錄;(4)、日志文件中存在有某段時間來自網(wǎng)絡(luò)的不正常掃描記錄;(5)、日志文件中存在有在某段時間啟動的不明服務(wù)進程的記錄;(6)、日志文件中存在有特殊用戶權(quán)限被修改或添加了不明用戶賬號的記錄;(7)、日志文件中存在有添加了某種不明文件的記錄;(8)、日志文件中存在有不明軟件主動向外連接的記錄;(9)、查看日志文件屬性時，時間戳不對，或者日志文件大小與你的記錄不相符;(10)、查看日志文件內(nèi)容時，發(fā)現(xiàn)日志文件中的某個時間段不存在或被修改;(11)、發(fā)現(xiàn)系統(tǒng)反應(yīng)速度變慢，或在某個時間段突然變慢，但已經(jīng)排除了系統(tǒng)硬件性能影響的原因;(

16、12)、發(fā)現(xiàn)系統(tǒng)中安全軟件被停止，正常服務(wù)被停止;(13)、發(fā)現(xiàn)網(wǎng)站網(wǎng)頁被篡改或被刪除替換;(14)、發(fā)現(xiàn)系統(tǒng)變得不穩(wěn)定，突然死機，系統(tǒng)資源占用過大，不斷重啟;(15)、發(fā)現(xiàn)網(wǎng)絡(luò)流量突然增大，查看發(fā)現(xiàn)對外打開了不明端口;(16)、發(fā)現(xiàn)網(wǎng)卡被設(shè)為混雜模式;(17)、某些正常服務(wù)不能夠被訪問等等。能夠用來做出判斷異常記錄和異?，F(xiàn)象還有很多，筆者就不在這里全部列出了。這要求事件響應(yīng)人員應(yīng)當不斷學習，努力提高自身的技術(shù)水平，不斷增加識別異?，F(xiàn)象的經(jīng)驗，然后形成一種適合自己的判斷方法后，再加上日志分析工具以及安全監(jiān)控軟件的幫助，就不難在這些日志記錄項和現(xiàn)象中找出真正的攻擊事件來。到目前為止，通過分析各種

17、日志文件來識別事件性質(zhì)，依然是最主要的方法之一。你可以重新設(shè)置這些安全軟件的日志輸出格式，使它們?nèi)菀妆焕斫?你也可以重新詳細設(shè)置安全軟件的過濾規(guī)則，減少它們的誤報和漏報，增加可識別強度;你還可以使用一些專業(yè)的日志文件分析工具，例如OSSECHIDS，來加快分析大體積日志文件的速度，提高識別率，同時也會減輕你的負擔。至于擔心日志會被攻擊者刪除或修改，你可以將所有的日志文件都保存到受防火墻保護的存儲系統(tǒng)之中，來減少這種風險?？傊?，為了能從日志文件中得到我們想要的信息，就應(yīng)該想法使日志文件以我們需要的方式來工作。所有這些，都得要求事件響應(yīng)人員在平時經(jīng)常檢查網(wǎng)絡(luò)及系統(tǒng)的運行情況，不斷分析日志文件中的記

18、錄，查看各種網(wǎng)絡(luò)或系統(tǒng)異?，F(xiàn)象，以便能及時真正的攻擊事件做出正確的判斷。另外，你應(yīng)當在平時在對網(wǎng)絡(luò)系統(tǒng)中的某些對象進行操作時，應(yīng)當詳細記錄下你所操作過的所有對象的內(nèi)容及操作時間，以便在識別時有一個判斷的依據(jù)。在工作當中，經(jīng)常用筆記錄下這些操作是一個事件響應(yīng)人員應(yīng)當養(yǎng)成的好習慣。當發(fā)現(xiàn)了上述出現(xiàn)的異常記錄或異?，F(xiàn)象，就說明攻擊事件已經(jīng)發(fā)生了，因而就可以立即進入到下一個環(huán)節(jié)當中，即對出現(xiàn)的攻擊事件的嚴重程度進行分類。2、事件分類當確認已經(jīng)發(fā)現(xiàn)攻擊事件后，就應(yīng)當立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴重程度的判斷，以明確攻擊事件到達了什么地步，以便決定下一步采取什么樣的應(yīng)對措施。例如，如果攻擊事件是涉及到服

19、務(wù)器中的一些機密數(shù)據(jù)，這肯定是非常嚴重的攻擊事件，就應(yīng)當立即斷開受到攻擊的服務(wù)器的網(wǎng)絡(luò)連接，并將其隔離，以防止事態(tài)進一步的惡化及影響網(wǎng)絡(luò)中其它重要主機。對攻擊事件進行分類，一直以來，都是沒有一個統(tǒng)一的標準的，各安全廠商都有他自己的一套分類方法，因此，你也可以自行對攻擊事件的嚴重程度進行分類。一般來說，可以通過確認攻擊事件發(fā)展到了什么地步，以及造成了什么樣的后果來進行分類，這樣就可以將攻擊事件分為以下幾個類別：(1)、試探性事件;(2)、一般性事件;(3)、控制系統(tǒng)事件;(4)、拒絕服務(wù)事件;(5)、得到機密數(shù)據(jù)事件。對網(wǎng)絡(luò)中的主機進行試探性掃描，都可以認為是試探性質(zhì)的事件，這些都是攻擊者為了確

20、認網(wǎng)絡(luò)中是否有可以被攻擊的主機，而進行的最基本的工作。當攻擊者確認了要攻擊的目標后，他就會進一步地對攻擊目標進行更加詳細，更加有目的的掃描，這時，所使用的掃描方式就會更加先進和不可識別性，例如半連接式掃描及FIN方式掃描等，這種掃描完成后，就可以找到一些是否可以利用的漏洞信息，由于現(xiàn)在的一些整合性防火墻和IDS也能夠識別這些方式的掃描，因此，如果在日志文件中找到了與此相應(yīng)的記錄，就表明攻擊已經(jīng)發(fā)展到了一般性事件的地步了。當攻擊者得到可以利用的漏洞信息后，他就會利用各種手段對攻擊目標進行滲透，這時，如果你沒有及時發(fā)現(xiàn)，滲透的成功性是非常大的，網(wǎng)絡(luò)中已經(jīng)存在有太多的這類滲透工具，使用這些工具進行滲

21、透工作是輕而易舉的事，在滲透成功后，攻擊者就會想法提高自己在攻擊目標系統(tǒng)中的權(quán)限，并安裝后門，以便能隨心所欲地控制已經(jīng)滲透了的目標，此時，就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里，如果你還沒有發(fā)現(xiàn)攻擊行為，那么，你所保護的機密資料將有可能被攻擊者完全得到，事態(tài)的嚴重性就可想而知了。攻擊者在控制了攻擊目標后，有時也不一定能夠得到機密數(shù)據(jù)，由此而產(chǎn)生一些報復(fù)性行為，例如進行一些DOS或DDOS攻擊等，讓其他正常用戶也不能夠訪問，或者，攻擊者控制系統(tǒng)的目的，就是為了對其它系統(tǒng)進行DOS或DDOS攻擊。此時的你，就應(yīng)該從日志文件的記錄項中，迅速對攻擊事件發(fā)展到了哪種地步做出明確的判斷，并及時上報小組領(lǐng)導，

22、以及通報給其他小組成員，以便整個小組中的所有成員能夠明確此次攻擊事件的嚴重程度，然后決定采取什么樣的應(yīng)對方法來進行響應(yīng)，以防止事態(tài)向更加嚴重的程度發(fā)展，或者盡量減小損失，及時修補漏洞，恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運行，并盡快收集好所有的證據(jù)，以此來找到攻擊者。3、攻擊事件證據(jù)收集為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據(jù)，就應(yīng)該在恢復(fù)已被攻擊的系統(tǒng)正常之前，將這些能提供證據(jù)的數(shù)據(jù)全部收集起來，妥善保存。至于如何收集，這要視你所要收集的證據(jù)的多少及大小，以及收集的速度要求來定。如果只收集少量的數(shù)據(jù)，你可以通過簡單的復(fù)制方法將這些數(shù)據(jù)保存到另外一些安全的存儲媒介當

23、中;如果要收集的數(shù)據(jù)數(shù)量多且體積大，而且要求在極少的時間來完成，你就可以通過一些專業(yè)的軟件來進行收集。對于這些收集的數(shù)據(jù)保存到什么樣的存儲媒介之中，也得根據(jù)所要收集的數(shù)據(jù)要求來定的，還得看你現(xiàn)在所擁有的存儲媒介有哪些，一般保存到光盤或磁帶當中為好。具體收集哪些數(shù)據(jù)，你可以將你認為能夠為攻擊事件提供證據(jù)的數(shù)據(jù)全部都收集起來，也可以只收集其中最重要的部分，下面是一些應(yīng)該收集的數(shù)據(jù)列表：(1)、操作系統(tǒng)事件日志;(2)、操作系統(tǒng)審計日志;(3)、網(wǎng)絡(luò)應(yīng)用程序日志;(4)、防火墻日志;(5)、入侵檢測日志;(6)、受損系統(tǒng)及軟件鏡像。在進行這一步之前，如果你的首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常，為了防止在

24、恢復(fù)系統(tǒng)備份時將這些證據(jù)文件丟失，或者你只是想為這些攻擊留個紀念，你應(yīng)當先使用一些系統(tǒng)鏡像軟件將整個系統(tǒng)做一個鏡像保存后，再進行恢復(fù)工作。收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù)，而且，在事件響應(yīng)完成后，還應(yīng)將它們統(tǒng)計建檔，并上報給相關(guān)領(lǐng)導及其它合作機構(gòu)，例如安全軟件提供商，合作伙伴，以及當?shù)氐姆蓹C構(gòu)，同時也可以作為事后分析學習之用。因此，這個事件響應(yīng)操作步驟也是必不可少的，收集到的數(shù)據(jù)也應(yīng)當保存完整。4、網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)在收集完所有的證據(jù)后，就可以將被攻擊影響到的對象全部恢復(fù)正常運行，以便可以正常使用。是否能夠及時的恢復(fù)系統(tǒng)到正常狀態(tài)，得依靠另一個安全手段，就是備份恢復(fù)計劃，對于一

25、些大型企業(yè)，有時也被稱為災(zāi)難恢復(fù)計劃，不管怎么說，事先對所保護的重要數(shù)據(jù)做一個安全的備份是一定需要的，它直接影響到事件響應(yīng)過程中恢復(fù)的及時性和可能性。在恢復(fù)系統(tǒng)后，你應(yīng)當確保系統(tǒng)漏洞已經(jīng)被修補完成，系統(tǒng)已經(jīng)更新了最新的補丁包，并且已經(jīng)重新對修補過的系統(tǒng)做了新的備份，這樣，才能讓這些受到攻擊恢復(fù)正常后的系統(tǒng)重新連入到網(wǎng)絡(luò)當中。如果當時還沒有最新的安全補丁，而又必需馬上恢復(fù)系統(tǒng)運行的話，你可以先實施一些針對性的安全措施，然后再將系統(tǒng)連入到網(wǎng)絡(luò)當中，但要時刻注意，并在有補丁時馬上更新它，并重新備份。恢復(fù)的方法及恢復(fù)內(nèi)容的多少，得看你的系統(tǒng)受損的情況來決定，例如，系統(tǒng)中只是開放了一些不正常的端口，那就

26、沒有必要恢復(fù)整個系統(tǒng)，只要將這些端口關(guān)閉，然后堵住產(chǎn)生攻擊的漏洞就可以了。如果系統(tǒng)中的重要文件已經(jīng)被修改或刪除，系統(tǒng)不能正常運行，而這些文件又不能夠被修復(fù)，就只能恢復(fù)整個系統(tǒng)了?；謴?fù)時，即可以通過手工操作方式來達到恢復(fù)目的，也可以通過一些專業(yè)的備份恢復(fù)軟件來進行恢復(fù)，甚至，在有些大中型企業(yè)，由于數(shù)據(jù)多，而且非常重要，對系統(tǒng)穩(wěn)定性和連續(xù)性有很高的要求，例如一些網(wǎng)站類企業(yè)，就會使用一個備用系統(tǒng)，來提供冗余，當一套系統(tǒng)遭到攻擊停運后，另一套系統(tǒng)就會自動接替它運行，這樣，就能讓事件響應(yīng)小組人員有足夠多的時間進行各項操作，而且不會影響到網(wǎng)絡(luò)系統(tǒng)的正常訪問。恢復(fù)在整個事件處理步驟當中是比較獨特的，將它放在

27、哪一步來執(zhí)行，你應(yīng)當以你的保護目標來決定，例如，當你保護的首要目標是為了盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)或服務(wù)能夠正常訪問，如果有備用系統(tǒng)的，因為備用系統(tǒng)已經(jīng)接替受攻擊的系統(tǒng)運行了，就可以按上述步驟中的順序來進行操作，而對于只有備份文件的，如果想要系統(tǒng)最快速度地恢復(fù)正常運行，可以先將整個受損系統(tǒng)做一個鏡像，然后就可以迅速恢復(fù)備份，投入運行。其實，任何處理步驟，說白了，就只是讓你養(yǎng)成一種對某種事件處理過程的通用習慣性思維和工作流程而已。5、事件處理過程的建檔保存在將所有事件都已調(diào)查清楚，系統(tǒng)也恢復(fù)正常運行后，你就應(yīng)當將所有與這次事件相關(guān)的所有種種都做一個詳細的記錄存檔。建檔的目的有二點，一是用來向上級領(lǐng)導報告事

28、件起因及處理方法，二是用來做學習的例子，用來分析攻擊者的攻擊方法，以便以后更加有效地防止此類攻擊事件的發(fā)生。具體要記錄保存的內(nèi)容涉及到整個事件響應(yīng)過程，要記錄的內(nèi)容比較多，而且響應(yīng)過程有時比較長，因此，這就要求安全事件響應(yīng)人員在事件處理過程當中，應(yīng)當隨時記錄下響應(yīng)過程中發(fā)現(xiàn)的點點滴滴和所有的操作事件，以便建檔時能使用。建檔格式是可以由你自行來規(guī)定，沒有具體的標準的，只要能夠清楚地記錄下所有應(yīng)該記錄的內(nèi)容就可以了。也可以將文檔做成一式三份，一份上報領(lǐng)導，一份保存，一份用來分析學習用。也可以將這些文檔交給一些專業(yè)的安全公司和系統(tǒng)及應(yīng)用軟件提供商，以便它們能夠及時地了解這種攻擊方法，并發(fā)布相應(yīng)的防范

29、產(chǎn)品和安全補丁包，還可以向一些合作伙伴通報，讓它們也能夠加強這方面的防范。具體要建檔的內(nèi)容如下所示：(1)、攻擊發(fā)生在什么時候，什么時候發(fā)現(xiàn)的，發(fā)現(xiàn)人是誰?(2)、攻擊者利用的是什么漏洞來攻擊的，這種漏洞是已經(jīng)發(fā)現(xiàn)了的，還現(xiàn)在才出事的，漏洞的具體類別及數(shù)量?(3)、攻擊者在系統(tǒng)中進行了哪些方面的操作，有哪些數(shù)據(jù)或文件被攻擊者攻擊了?(4)、攻擊的大體發(fā)展順序是怎么進行的?(5)、造成此次事件的關(guān)鍵因素是什么?(6)、解決此次事件的具體流程是什么?(7)、攻擊造成了什么后果，嚴重程度如何，攻擊者得到了什么權(quán)限和數(shù)據(jù)?(8)、攻擊者是如何突破安全防線的?(9)、用什么工具軟件解決的?(10)、此次

30、事件在發(fā)現(xiàn)及處理時有哪些人員參與，上報給了哪些部門及人員?(11)、事件發(fā)生后，損失的恢復(fù)情況如何?(12)、此次攻擊有了什么新的改變，是否可以預(yù)防和應(yīng)對?(13)、以后應(yīng)該如何應(yīng)對這種安全事件，給出一個具體的方案附后等等。以上所列出的，都是建檔時應(yīng)當記錄的內(nèi)容。建檔人員可以自由安排記錄的順序，但是得和事件處理的順序相對應(yīng)，以便讓其它人員更好地理解和學習。當然，你還可以記錄其它沒有在上述項中提到的內(nèi)容，只要你認為有記錄下這些內(nèi)容的必要，或者是你的響應(yīng)小組領(lǐng)導要求記錄下這些內(nèi)容。四、事件響應(yīng)計劃后期維護及演練1、事件響應(yīng)計劃后期維護制定好一個事件響應(yīng)計劃后，就應(yīng)當及時嚴格地組織實施，將事件響應(yīng)計劃束之高格，或者雖然實施了但卻從來不對它進行維護，這些都等同于沒有一樣，甚至比沒有時更壞。這是因為，不斷有新的攻擊手段出現(xiàn)，如果你不對已經(jīng)制定的事件響應(yīng)計劃做出相應(yīng)調(diào)整的話，那么，你也就不會對這些新的攻擊方法做出正確的響應(yīng)，事件響應(yīng)也就沒有了真正意義，甚至，如果你不加強事件響應(yīng)小