事實(shí)證明�,事先制定一個(gè)行之有效的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃(在本文后續(xù)描述中簡(jiǎn)稱事件響應(yīng)計(jì)劃),能夠在出現(xiàn)實(shí)際的安全事件之后���,幫助你及你的安全處理團(tuán)隊(duì)正確識(shí)別事件類型��,及時(shí)保護(hù)日志等證據(jù)文件����,并從中找出受到攻擊的原因,在妥善修復(fù)后再將系統(tǒng)投入正常運(yùn)行���。有時(shí)��,甚至還可以通過(guò)分析保存的日志文件�,通過(guò)其中的任何有關(guān)攻擊的蛛絲馬跡找到具體的攻擊者���,并將他(她)繩之以法��。
一���、制定事件響應(yīng)計(jì)劃的前期準(zhǔn)備
制定事件響應(yīng)計(jì)劃是一件要求嚴(yán)格的工作,在制定之前�,先為它做一些準(zhǔn)備工作是非常有必要的��,它將會(huì)使其后的具體制定過(guò)程變得相對(duì)輕松和高效��。這些準(zhǔn)備工作包括建立事件響應(yīng)小姐并確定成員���、明確事件響應(yīng)的目標(biāo),以及準(zhǔn)備好制定事件響應(yīng)計(jì)劃及響應(yīng)事件時(shí)所需的工具軟件�。
1、建立事件響應(yīng)小組和明確小組成員
任何一種安全措施����,都是由人來(lái)制定,并由人來(lái)執(zhí)行實(shí)施的��,人是安全處理過(guò)程中最重要的因素����,它會(huì)一直影響安全處理的整個(gè)過(guò)程��,同樣���,制定和實(shí)施事件響應(yīng)計(jì)劃也是由有著這方面知識(shí)的各種成員來(lái)完成的�。既然如此�����,那么在制定事件響應(yīng)計(jì)劃之前,我們就應(yīng)當(dāng)先組建一個(gè)事件響應(yīng)小組�����,并確定小組成員和組織結(jié)構(gòu)��。
至于如何選擇響應(yīng)小組的成員及組織結(jié)構(gòu)�����,你可以根據(jù)你所處的實(shí)際組織結(jié)構(gòu)來(lái)決定���,但你應(yīng)當(dāng)考慮小組成員本身的技術(shù)水平及配合能達(dá)到的默契程度����,同時(shí)��,你還應(yīng)該明白如何保證小組成員內(nèi)部的安全����。一般來(lái)說(shuō),你所在組織結(jié)構(gòu)中的領(lǐng)導(dǎo)者也可以作為小組的最高領(lǐng)導(dǎo)者,每一個(gè)部門中的領(lǐng)導(dǎo)者可以作為小組的下一級(jí)領(lǐng)導(dǎo)���,每個(gè)部門的優(yōu)秀的IT管理人員可以成為小組成員��,再加上你所在的IT部門中的一些優(yōu)秀成員��,就可以組建一個(gè)事件響應(yīng)小組了�。響應(yīng)小組應(yīng)該有一個(gè)嚴(yán)密的組織結(jié)構(gòu)和上報(bào)制度���,其中���,IT人員應(yīng)當(dāng)是最終的事件應(yīng)對(duì)人員,負(fù)責(zé)事件監(jiān)控識(shí)別處理的工作���,并向上級(jí)報(bào)告;小組中的部門領(lǐng)導(dǎo)可作為小組響應(yīng)人員的上一級(jí)領(lǐng)導(dǎo)��,直接負(fù)責(zé)督促各小組成員完成工作�,并且接受下一級(jí)的報(bào)告并將事件響應(yīng)過(guò)程建檔上報(bào);小組最高領(lǐng)導(dǎo)者負(fù)責(zé)協(xié)調(diào)整個(gè)事件響應(yīng)小組的工作�����,對(duì)事件處理方法做出明確決定����,并監(jiān)督小組每一次事件響應(yīng)過(guò)程。
在確定了事件響應(yīng)小組成員及組織結(jié)構(gòu)后�,你就可以將他們組織起來(lái),參與制定事件響應(yīng)計(jì)劃的每一個(gè)步驟�。
2、明確事件響應(yīng)目標(biāo)
在制定事件響應(yīng)計(jì)劃前���,我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么?是為了阻止攻擊���,減小損失,盡快恢復(fù)網(wǎng)絡(luò)訪問(wèn)正常���,還是為了追蹤攻擊者���,這應(yīng)當(dāng)從你要具體保護(hù)的網(wǎng)絡(luò)資源來(lái)確定。
在確定事件響應(yīng)目標(biāo)時(shí)����,應(yīng)當(dāng)明白,確定了事件響應(yīng)目標(biāo)�����,也就基本上確定了事件響應(yīng)計(jì)劃的具體方向,所有將要展開的計(jì)劃制定工作也將圍繞它來(lái)進(jìn)行���,也直接關(guān)系到要保護(hù)的網(wǎng)絡(luò)資源���。因此,先明確一個(gè)事件響應(yīng)的目標(biāo)���,并在執(zhí)行時(shí)嚴(yán)格圍繞它來(lái)進(jìn)行����,堅(jiān)決杜絕違背響應(yīng)目標(biāo)的處理方式出現(xiàn)�,是關(guān)系到事件響應(yīng)最終效果的關(guān)鍵問(wèn)題之一。
應(yīng)當(dāng)注意的是����,事件響應(yīng)計(jì)劃的目標(biāo),不是一成不變的��,你應(yīng)當(dāng)在制定和實(shí)施的過(guò)程中不斷地修正它�����,讓它真正適應(yīng)你的網(wǎng)絡(luò)保護(hù)需要����,并且,也不是說(shuō)�,你只能確定一個(gè)響應(yīng)目標(biāo),你可以根據(jù)你自身的處理能力��,以及投入成本的多少�,來(lái)確定一個(gè)或幾個(gè)你所需要的響應(yīng)目標(biāo),例如����,有時(shí)在做到盡快恢復(fù)網(wǎng)絡(luò)正常訪問(wèn)的同時(shí),盡可能地收集證據(jù)��,分析并找到攻擊者�����,并將他(她)繩之以法��。
3�、準(zhǔn)備事件響應(yīng)過(guò)程中所需要的工具軟件
對(duì)于計(jì)算機(jī)安全技術(shù)人員來(lái)說(shuō),有時(shí)會(huì)出現(xiàn)三分技術(shù)七分工具情況�����。不論你的技術(shù)再好,如果需要時(shí)沒有相應(yīng)的工具�����,有時(shí)也只能望洋興嘆��。同樣的道理�����,當(dāng)我們?cè)陧憫?yīng)事件的過(guò)程當(dāng)中���,將會(huì)用到一些工具軟件來(lái)應(yīng)對(duì)相應(yīng)的攻擊方法����,我們不可能等到出現(xiàn)了實(shí)際的安全事件時(shí)��,才想到要使用什么工具軟件來(lái)進(jìn)行應(yīng)對(duì)����,然后再去尋找或購(gòu)買這些軟件。這樣一來(lái)�,就有可能會(huì)因?yàn)槟骋粋€(gè)工具軟件沒有準(zhǔn)備好而耽誤處理事件的及時(shí)性,引起事件影響范圍的擴(kuò)大���。因此����,事先考慮當(dāng)我們應(yīng)對(duì)安全事件之時(shí)��,所能夠用得到的工具軟件����,將它們?nèi)繙?zhǔn)備好,不管你通過(guò)什么方法得到�����,然后用可靠的存儲(chǔ)媒介來(lái)保存這些工具軟件�����,是非常有必要的�。
我們所要準(zhǔn)備的工具軟件主要包括數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描�����、網(wǎng)絡(luò)及應(yīng)用軟件攻擊防范�,以及日志分析和追蹤等軟件��。這些軟件的種類很多�����,在準(zhǔn)備時(shí)����,得從你的實(shí)際情況出發(fā)��,針對(duì)各種網(wǎng)絡(luò)攻擊方法��,以及你的使用習(xí)慣和你能夠承受的成本投入來(lái)決定���。
下面列出需要準(zhǔn)備哪些方面的工具軟件:
(1)����、系統(tǒng)及數(shù)據(jù)的備份和恢復(fù)軟件�。
(2)、系統(tǒng)鏡像軟件�。
(3)、文件監(jiān)控及比較軟件����。
(4)��、各類日志文件分析軟件�����。
(5)��、網(wǎng)絡(luò)分析及嗅探軟件。
(6)�、網(wǎng)絡(luò)掃描工具軟件。
(7)��、網(wǎng)絡(luò)追捕軟件��。
(8)��、文件捆綁分析及分離軟件���,二進(jìn)制文件分析軟件����,進(jìn)程監(jiān)控軟件����。
(9)�����、如有可能����,還可以準(zhǔn)備一些反彈木馬軟件�����。
由于涉及到的軟件很多��,而且又有應(yīng)用范圍及應(yīng)用平臺(tái)之分��,你不可能全部將它們下載或購(gòu)買回來(lái)�����,這肯定是不夠現(xiàn)實(shí)的����。因而在此筆者也不好一一將這些軟件全部羅列出來(lái),但有幾個(gè)軟件��,在事件響應(yīng)當(dāng)中是經(jīng)常用到的,例如�,Securebacker備份恢復(fù)軟件,Nikto網(wǎng)頁(yè)漏洞掃描軟件����,Namp網(wǎng)絡(luò)掃描軟件,Tcpdump(WinDump)網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測(cè)軟件����,Ntop網(wǎng)絡(luò)通信監(jiān)視軟件,RootKitRevealer(Windows下)文件完整性檢查軟件����,ArpwatchARP檢測(cè)軟件�,OSSECHIDS入侵檢測(cè)和各種日志分析工具軟件,微軟的BASE分析軟件��,SNORT基于網(wǎng)絡(luò)入侵檢測(cè)軟件����,SpikeProxy網(wǎng)站漏洞檢測(cè)軟件,Sara安全評(píng)審助手��,NetStumbler是802.11協(xié)議的嗅探工具���,以及Wireshark嗅探軟件等都是應(yīng)該擁有的���。還有一些好用的軟件是操作系統(tǒng)本身帶有的�����,例如Nbtstat�、Ping等等����,由于真的太多,就不再在此列出了����,其實(shí)上述提到的每個(gè)軟件以及所有需要準(zhǔn)備的軟件,都可以在一些安全類網(wǎng)站上下載免費(fèi)或試用版本���,例如�����,www.xfocus.net和www.insecure.org這兩個(gè)網(wǎng)站���。
準(zhǔn)備好這些軟件后����,應(yīng)當(dāng)將它們?nèi)客咨票4?��。你可以將它們刻錄到光盤當(dāng)中��,也可以將它們存入移動(dòng)媒體當(dāng)中�����,并隨身攜帶�,這樣�,當(dāng)要使用它們時(shí)隨手拿來(lái)就可以了。由于有些軟件是在不斷的更新當(dāng)中的�����,而且只有不斷升級(jí)它們才能保證應(yīng)對(duì)最新的攻擊方法�����,因此��,對(duì)于這些工具軟件�����,還應(yīng)當(dāng)及時(shí)更新���。
? 二��、制定事件響應(yīng)計(jì)劃
當(dāng)上述準(zhǔn)備工作完成后��,我們就可以開始著手制定具體的事件響應(yīng)計(jì)劃�。在制定時(shí)�����,要根據(jù)在準(zhǔn)備階段所確立的響應(yīng)目標(biāo)來(lái)進(jìn)行���。并且要將制定好的事件響應(yīng)計(jì)劃按一定的格式裝訂成冊(cè)�,分發(fā)到每一個(gè)事件響應(yīng)小組成員手中����。
由于每個(gè)網(wǎng)絡(luò)用戶具體的響應(yīng)目標(biāo)是不相同的,因而就不可能存在任何一個(gè)完全相同的事件響應(yīng)計(jì)劃�。但是,一個(gè)完整的事件響應(yīng)計(jì)劃�,下面所列出的內(nèi)容是不可缺少的:
(1)�、需要保護(hù)的資產(chǎn);
(2)����、所保護(hù)資產(chǎn)的優(yōu)先級(jí);
(3)、事件響應(yīng)的目標(biāo);
(4)���、事件處理小組成員及組成結(jié)構(gòu)�����,以及事件處理時(shí)與它方的合作方式;
(5)�、事件處理的具體步驟及注意事項(xiàng);
(6)��、事件處理完成后文檔編寫存檔及上報(bào)方式;
(7)���、事件響應(yīng)計(jì)劃的后期維護(hù)方式;
(8)�、事件響應(yīng)計(jì)劃的模擬演練計(jì)劃�����。
#p#副標(biāo)題#e#
上述列出項(xiàng)中的第一項(xiàng)和第二項(xiàng)所要說(shuō)明的內(nèi)容應(yīng)該很容易理解����,這些在制定安全策略時(shí)就會(huì)考慮到的,應(yīng)該很容易就能夠完成�����,還用上述列出項(xiàng)中的第三項(xiàng)和第四項(xiàng)���,也已經(jīng)在本文的制定事件響應(yīng)計(jì)劃準(zhǔn)備節(jié)時(shí)說(shuō)明了��,就不再在本文中再做詳細(xì)說(shuō)明����。至于上述列出項(xiàng)中的第五����、第六、第七和第八項(xiàng)�����,筆者只在此將它們的大概意思列出來(lái)���,因?yàn)橐谙旅娣謩e用一個(gè)單獨(dú)的小節(jié)���,給它們做詳細(xì)的說(shuō)明����。
在制定事件響應(yīng)計(jì)劃過(guò)程當(dāng)中��,還應(yīng)當(dāng)特別注意的是:事件響應(yīng)計(jì)劃要做到盡量詳細(xì)和條理清晰�����,以便事件響應(yīng)小組成員能夠很好地明白���。這要求�����,在制定過(guò)程當(dāng)中��,應(yīng)當(dāng)從自身的實(shí)際情況出發(fā)�����,認(rèn)真仔細(xì)地調(diào)查和分析實(shí)際會(huì)出現(xiàn)的各種攻擊事件�,組合各種資源�,利用頭腦風(fēng)暴的方法,不斷細(xì)化事件響應(yīng)計(jì)劃中的每一個(gè)具體應(yīng)對(duì)方法,不斷修訂事件響應(yīng)的目標(biāo)�,以此來(lái)加強(qiáng)事件響應(yīng)計(jì)劃的可擴(kuò)展性和持續(xù)性�����,使事件響應(yīng)計(jì)劃真正適應(yīng)實(shí)際的需求;同時(shí)�����,不僅每個(gè)事件響應(yīng)小組的成員都應(yīng)當(dāng)參加進(jìn)來(lái)�,而且,包括安全產(chǎn)品提供商���,各個(gè)合作伙伴���,以及當(dāng)?shù)氐恼块T和法律機(jī)構(gòu)都應(yīng)當(dāng)考慮進(jìn)來(lái)。
總之�����,一定要將事件響應(yīng)計(jì)劃盡可能地做到與你實(shí)際響應(yīng)目標(biāo)相對(duì)應(yīng)����。
三、事件響應(yīng)的具體實(shí)施
在進(jìn)行事件響應(yīng)之前����,你應(yīng)該非常明白一個(gè)道理�����,就是事件處理時(shí)不能違背你制定的響應(yīng)目標(biāo)�,不能在處理過(guò)程中避重就輕����。例如,本來(lái)是要盡快恢復(fù)系統(tǒng)運(yùn)行的���,你卻只想著如何去追蹤攻擊者在何方����,那么�,就算你最終追查到了攻擊者,但此次攻擊所帶來(lái)的影響卻會(huì)因此而變得更加嚴(yán)重���,這樣一來(lái)���,不僅不能給帶來(lái)什么樣成就感,反而是得不償失的。但如果你事件響應(yīng)的目標(biāo)本身就是為了追查攻擊者����,例如網(wǎng)絡(luò)警察,那么對(duì)如何追蹤攻擊者就應(yīng)當(dāng)是首要目標(biāo)了�。
事實(shí)證明��,按照事先制定的處理步驟來(lái)對(duì)事件進(jìn)行響應(yīng)��,能減少處理過(guò)程當(dāng)中的雜亂無(wú)章����,減少操作及判斷失誤而引起的處理不及時(shí),因此��,所有事件響應(yīng)小組的成員�,不僅要熟習(xí)整個(gè)事件響應(yīng)計(jì)劃,而且要特別熟練事件處理時(shí)的步驟����。
總體來(lái)說(shuō),一個(gè)具體的事件響應(yīng)步驟����,應(yīng)當(dāng)包括五個(gè)部分:事件識(shí)別,事件分類,事件證據(jù)收集��,網(wǎng)絡(luò)���、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)���,以及事件處理完成后建檔上報(bào)和保存。現(xiàn)將它們?cè)敿?xì)說(shuō)明如下:
關(guān)鍵詞標(biāo)簽:企業(yè)網(wǎng)絡(luò)安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程