企业网络安全应急响应方案

企业网络安全应急响应方案

事实证明，事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划)，能够在出现实际的安全事件之后，帮助你及你的安全处理团队正确识别事件类型，及时保护日志等证据文件，并从中找出受到攻击的原因，在妥善修复后再将系统投入正常运行。有时，甚至还可以通过分析保存的日志文件，通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者，并将他(她)绳之以法。

一、制定事件响应计划的前期准备

制定事件响应计划是一件要求严格的工作，在制定之前，先为它做一些准备工作是非常有必要的，它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标，以及准备好制定事件响应计划及响应事件时所需的工具软件。

1、建立事件响应小组和明确小组成员

任何一种安全措施，都是由人来制定，并由人来执行实施的，人是安全处理过程中最重要的因素，它会一直影响安全处理的整个过程，同样，制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。既然如此，那么在制定事件响应计划之前，我们就应当先组建一个事件响应小组，并确定小组成员和组织结构。

至于如何选择响应小组的成员及组织结构，你可以根据你所处的实际组织结构来决定，但你应当考虑小组成员本身的技术水平及配合能达到的默契程度，同时，你还应该明白如何保证小组成员内部的安全。一般来说，你所在组织结构中的领导者也可以作为小组的最高领导者，每一个部门中的领导者可以作为小组的下一级领导，每个部门的优秀的IT管理人员可以成为小组成员，再加上你所在的IT部门中的一些优秀成员，就可以组建一个事件响应小组了。响应小组应该有一个严密的组织结构和上报制度，其中，IT人员应当是最终的事件应对人员，负责事件监控识别处理的工作，并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导，直接负责督促各小组成员完成工作，并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事件响应小组的工作，对事件处理方法做出明确决定，并监督小组每一次事件响应过程。

在确定了事件响应小组成员及组织结构后，你就可以将他们组织起来，参与制定事件响应计划的每一个步骤。

2、明确事件响应目标

在制定事件响应计划前，我们应当明白事件响应的目标是什么?是为了阻止攻击，减小损失，尽快恢复网络访问正常，还是为了追踪攻击者，这应当从你要具体保护的网络资源来确定。

在确定事件响应目标时，应当明白，确定了事件响应目标，也就基本上确定了事件响应计划的具体方向，所有将要展开的计划制定工作也将围绕它来进行，也直接关系到要保护的网络资源。因此，先明确一个事件响应的目标，并在执行时严格围绕它来进行，坚决杜绝违背响应目标的处理方式出现，是关系到事件响应最终效果的关键问题之一。

应当注意的是，事件响应计划的目标，不是一成不变的，你应当在制定和实施的过程中不断地修正它，让它真正适应你的网络保护需要，并且，也不是说，你只能确定一个响应目标，你可以根据你自身的处理能力，以及投入成本的多少，来确定一个或几个你所需要的响应目标，例如，有时在做到尽快恢复网络正常访问的同时，尽可能地收集证据，分析并找到攻击者，并将他(她)绳之以法。

3、准备事件响应过程中所需要的工具软件

对于计算机安全技术人员来说，有时会出现三分技术七分工具情况。不论你的技术再好，

如果需要时没有相应的工具，有时也只能望洋兴叹。同样的道理，当我们在响应事件的过程当中，将会用到一些工具软件来应对相应的攻击方法，我们不可能等到出现了实际的安全事件时，才想到要使用什么工具软件来进行应对，然后再去寻找或购买这些软件。这样一来，就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性，引起事件影响范围的扩大。因此，事先考虑当我们应对安全事件之时，所能够用得到的工具软件，将它们全部准备好，不管你通过什么方法得到，然后用可靠的存储媒介来保存这些工具软件，是非常有必要的。

我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范，以及日志分析和追踪等软件。这些软件的种类很多，在准备时，得从你的实际情况出发，针对各种网络攻击方法，以及你的使用习惯和你能够承受的成本投入来决定。

下面列出需要准备哪些方面的工具软件：

(1)、系统及数据的备份和恢复软件。

(2)、系统镜像软件。

(3)、文件监控及比较软件。

(4)、各类日志文件分析软件。

(5)、网络分析及嗅探软件。

(6)、网络扫描工具软件。

(7)、网络追捕软件。

(8)、文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。

(9)、如有可能，还可以准备一些反弹木马软件。

由于涉及到的软件很多，而且又有应用范围及应用平台之分，你不可能全部将它们下载或购买回来，这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来，但有几个软件，在事件响应当中是经常用到的，例如，Securebacker备份恢复软件，Nikto网页漏洞扫描软件，Namp网络扫描软件，Tcpdump(WinDump)网络监控软件,Fport端口监测软件，Ntop网络通信监视软件，RootKitRevealer(Windows下)文件完整性检查软件，ArpwatchARP 检测软件，OSSECHIDS入侵检测和各种日志分析工具软件，微软的BASE分析软件，SNORT基于网络入侵检测软件，SpikeProxy网站漏洞检测软件，Sara安全评审助手，NetStumbler是802.11协议的嗅探工具，以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其实上述提到的每个软件以及所有需要准备的软件，都可以在一些安全类网站上下载免费或试用版本。

准备好这些软件后，应当将它们全部妥善保存。你可以将它们刻录到光盘当中，也可以将它们存入移动媒体当中，并随身携带，这样，当要使用它们时随手拿来就可以了。由于有些软件是在不断的更新当中的，而且只有不断升级它们才能保证应对最新的攻击方法，因此，对于这些工具软件，还应当及时更新。

二、制定事件响应计划

当上述准备工作完成后，我们就可以开始着手制定具体的事件响应计划。在制定时，要根据在准备阶段所确立的响应目标来进行。并且要将制定好的事件响应计划按一定的格式装订成册，分发到每一个事件响应小组成员手中。

由于每个网络用户具体的响应目标是不相同的，因而就不可能存在任何一个完全相同的事件响应计划。但是，一个完整的事件响应计划，下面所列出的内容是不可缺少的：

(1)、需要保护的资产;