企业网络安全应急响应方案
网络安全应急响应方案
网络安全应急响应方案一、应急响应团队的建立与组织在公司内部建立网络安全应急响应团队,由经验丰富的安全专家组成,以负责应急响应工作。
1. 确定应急响应团队的角色和责任,明确团队成员的职责和权限。
2. 建立良好的团队沟通机制,确保团队成员之间的有效合作与信息共享。
3. 针对每个团队成员进行专业培训,使其具备较高的技术水平和应急响应能力。
二、建立全面的应急预案制定详细的网络安全应急预案,并定期进行演练和评估,确保预案的有效性和可执行性。
1. 确定应急响应的流程和步骤,并将其纳入预案中。
2. 制定各类网络安全事件的紧急应对方案,包括但不限于恶意代码攻击、数据泄露、网络入侵等。
3. 确定应急响应团队的组织结构和协作机制,在事件发生时能够迅速响应和处理。
三、实施安全保护措施采取有效的安全措施,预防网络安全事件的发生,以减少应急响应的工作量和风险。
1. 加强网络边界安全,包括网络防火墙、入侵检测系统等。
2. 部署实时监控和日志管理系统,及时发现异常活动并采取相应措施。
3. 定期进行网络漏洞扫描和安全评估,及时修补系统漏洞。
四、做好应急事件的收集和分析对于发生的网络安全事件,必须进行及时收集和分析,以便更好地了解事件的性质和影响,采取相应措施。
1. 配备专业的事件收集与分析工具,确保事件信息的及时准确性。
2. 建立事件信息的归档和存储机制,便于后续的分析和追溯。
3. 将应急响应过程中的经验和教训进行总结和反馈,为今后的应急响应提供借鉴。
五、持续改进与提升网络安全应急响应是一个系统工程,需要不断地进行改进和提升,以应对新的网络安全威胁。
1. 定期评估和修订网络安全应急预案,确保其与实际情况相符合。
2. 加强安全知识和技能的培训,提升团队成员的水平和能力。
3. 与外部安全机构和行业合作,共同研究和分享网络安全应急的最佳实践。
企业网络安全事件应急预案模板
一、总则1.1 编制目的为有效预防和应对企业网络安全事件,确保企业信息资产安全,保障业务连续性,提高网络安全应急响应能力,特制定本预案。
1.2 编制依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)等相关法律法规。
1.3 适用范围本预案适用于企业内部网络、信息系统、数据等网络安全事件的应急响应工作。
二、组织架构与职责2.1 应急组织架构成立企业网络安全应急指挥部,负责网络安全事件的应急响应工作。
2.2 应急指挥部职责(1)组织、协调、指挥网络安全事件的应急响应;(2)制定网络安全事件应急预案,并进行修订和完善;(3)对网络安全事件进行分类、评估和分级;(4)组织应急演练,提高企业网络安全应急响应能力;(5)负责与相关部门、上级单位及外部单位的沟通协调。
2.3 应急指挥部下设以下工作组:(1)应急指挥中心;(2)技术支持组;(3)信息通报组;(4)现场处置组;(5)后勤保障组。
三、事件分类与分级3.1 事件分类根据网络安全事件的性质和影响范围,将事件分为以下五类:(1)网络攻击事件;(2)恶意软件事件;(3)数据泄露事件;(4)信息系统故障事件;(5)其他网络安全事件。
3.2 事件分级根据网络安全事件的影响程度,将事件分为以下四级:(1)一级事件:可能导致企业重要信息系统瘫痪,造成重大经济损失或严重影响企业声誉的事件;(2)二级事件:可能导致企业信息系统部分功能受损,造成一定经济损失或影响企业正常运行的事件;(3)三级事件:可能导致企业信息系统局部故障,造成轻微经济损失或影响企业正常工作的事件;(4)四级事件:可能导致企业信息系统出现一般性故障,不影响企业正常工作的事件。
四、应急响应流程4.1 信息收集发现网络安全事件后,应急指挥部应及时收集相关信息,包括事件发生时间、地点、涉及系统、数据等。
4.2 事件评估根据收集到的信息,对事件进行评估,确定事件级别和影响范围。
企业网络安全事故应急预案
一、编制目的为保障企业网络安全,预防和应对网络安全事故,降低事故造成的损失,确保企业业务正常开展,特制定本预案。
二、适用范围本预案适用于企业内部所有网络安全事故的应急响应和处理。
三、工作原则1. 预防为主,防治结合,确保企业网络安全。
2. 快速响应,及时处置,降低事故损失。
3. 协同配合,信息共享,形成合力。
4. 依法依规,科学应对,确保企业合法权益。
四、应急预案1. 网络安全事故报告(1)发现网络安全事故时,立即向网络安全管理部门报告。
(2)报告内容包括:事故发生时间、地点、涉及系统、事故类型、初步判断、影响范围等。
2. 应急响应(1)网络安全管理部门接到报告后,立即启动应急预案。
(2)根据事故严重程度,分为四个等级:一般、较大、重大、特别重大。
(3)根据事故等级,启动相应级别的应急响应。
3. 应急处置(1)初步判断事故原因,采取针对性措施。
(2)隔离受影响系统,防止事故蔓延。
(3)修复受损系统,恢复业务。
(4)加强网络安全防护,防止类似事故再次发生。
4. 应急恢复(1)评估事故损失,制定恢复计划。
(2)恢复受损系统,逐步恢复正常业务。
(3)总结经验教训,完善应急预案。
五、组织机构及职责1. 网络安全管理部门(1)负责网络安全事故的应急响应和处理。
(2)组织制定、修订应急预案。
(3)负责网络安全培训和宣传教育。
2. 应急指挥部(1)负责统筹协调网络安全事故应急工作。
(2)决定应急响应级别。
(3)指挥各部门开展应急响应和处置工作。
3. 技术支持小组(1)负责网络安全事故的技术分析、处置和恢复。
(2)提供技术支持,协助其他部门开展应急工作。
4. 信息发布小组(1)负责网络安全事故的信息收集、整理和发布。
(2)及时向内部员工、客户、合作伙伴等通报事故情况。
六、应急演练1. 定期开展网络安全事故应急演练,检验预案有效性。
2. 演练内容包括:应急响应、事故处置、信息发布等。
3. 演练结束后,及时总结经验教训,完善应急预案。
企业网络安全事故的常见应急响应流程是什么
企业网络安全事故的常见应急响应流程是什么在当今数字化的商业世界中,企业越来越依赖网络来开展业务、存储数据和进行通信。
然而,随着网络的普及和复杂性的增加,网络安全事故的风险也日益增大。
当企业遭遇网络安全事故时,迅速而有效的应急响应流程至关重要,它可以帮助企业最大限度地减少损失、保护业务运营,并恢复正常的网络环境。
那么,企业网络安全事故的常见应急响应流程究竟是什么呢?一、准备阶段在网络安全事故发生之前,企业应该做好充分的准备工作,这是应急响应流程的基础。
1、制定应急响应计划企业需要制定详细的应急响应计划,明确在发生网络安全事故时的应对策略、责任分工、流程步骤和资源调配等。
这个计划应该经过充分的测试和演练,以确保其有效性。
2、建立应急响应团队组建专门的应急响应团队,包括技术专家、安全分析师、法律专家、公关人员等。
明确每个成员的职责和权限,确保在事故发生时能够迅速协调行动。
3、数据备份和恢复定期对重要的数据进行备份,并确保备份数据的完整性和可恢复性。
同时,建立数据恢复的流程和测试机制。
4、安全监测和预警部署安全监测工具,实时监控网络活动,及时发现潜在的安全威胁和异常行为,并设置有效的预警机制,以便在事故发生的早期能够及时响应。
二、检测与评估阶段当网络安全事故发生时,第一步是及时检测和评估事故的性质和影响范围。
1、事故发现与报告通过安全监测工具、用户报告或其他渠道发现网络安全事故的迹象。
相关人员应立即向上级报告,并启动应急响应流程。
2、初步评估应急响应团队迅速对事故进行初步评估,了解事故的类型(如病毒感染、数据泄露、网络攻击等)、可能的影响范围(涉及的系统、数据、用户等)以及初步的损失情况。
3、深入检测利用安全工具和技术进行深入的检测,分析网络流量、系统日志、用户活动等,以确定事故的根源和传播途径。
4、影响评估全面评估事故对企业业务运营、声誉、财务等方面的影响,为后续的决策提供依据。
三、遏制与消除阶段在确定了网络安全事故的情况后,接下来要采取措施遏制事故的进一步扩大,并消除安全威胁。
网络安全应急响应服务方案
网络安全应急响应服务方案一、服务目标网络安全应急响应服务的主要目标是在最短的时间内,有效地处理网络安全事件,遏制攻击的进一步扩散,恢复受影响的系统和数据,同时降低事件对业务运营的影响。
具体目标包括:1、快速检测和识别网络安全事件,确保及时响应。
2、采取紧急措施,遏制事件的蔓延,减少损失。
3、恢复受影响的系统和数据,恢复正常业务运营。
4、调查事件原因,总结经验教训,防止类似事件再次发生。
二、服务范围本应急响应服务方案适用于以下网络安全事件:1、网络攻击,如 DDoS 攻击、恶意软件感染、网络钓鱼等。
2、数据泄露,包括敏感信息的丢失或被盗取。
3、系统故障,如服务器崩溃、网络中断等。
4、其他影响企业网络安全和业务运营的事件。
三、服务流程1、事件监测与报告建立 24/7 的网络安全监测机制,实时监控企业网络系统的活动。
利用安全工具和技术,如入侵检测系统、防火墙日志分析等,发现潜在的安全事件。
一旦发现异常,立即向应急响应团队报告,并提供详细的事件信息,包括事件发生时间、影响范围、初步迹象等。
2、事件评估与分类应急响应团队在接到报告后,迅速对事件进行评估,确定事件的严重程度和影响范围。
根据评估结果,对事件进行分类,如高、中、低等级,以便采取相应的响应措施。
3、应急响应启动根据事件的分类,启动相应的应急响应计划。
组建应急响应小组,包括技术专家、安全分析师、业务部门代表等。
明确小组成员的职责和分工,确保高效协作。
4、事件遏制采取紧急措施,遏制事件的进一步扩散,如切断受感染的网络连接、隔离受影响的系统等。
对恶意软件进行清除或阻断,防止其继续传播和破坏。
5、事件调查与取证对事件进行深入调查,分析事件的起因、传播途径和造成的损失。
收集相关的证据,如系统日志、网络流量数据、恶意软件样本等,为后续的处理和法律诉讼提供支持。
6、系统恢复在确保安全的前提下,逐步恢复受影响的系统和数据。
进行系统的完整性检查和安全加固,防止类似事件再次发生。
公司内部网络安全应急预案
一、编制目的为保障公司网络安全,有效应对网络安全突发事件,降低网络安全风险,确保公司业务连续性和数据安全,特制定本预案。
二、编制依据1. 《中华人民共和国网络安全法》2. 《中华人民共和国数据安全法》3. 《中华人民共和国计算机信息系统安全保护条例》4. 《中华人民共和国电信条例》5. 公司相关规章制度三、适用范围本预案适用于公司所有员工、信息系统及网络设备。
四、工作原则1. 统一领导,分级负责2. 统一指挥,密切协同,快速反应3. 预防为主,防治结合五、组织架构1. 网络安全应急指挥部:负责网络安全事件的总体指挥和协调工作。
- 指挥长:由公司总经理担任。
- 副指挥长:由公司副总经理担任。
- 成员:由信息技术部门、人力资源部门、安全保卫部门等相关部门负责人组成。
2. 网络安全应急小组:负责网络安全事件的日常管理、应急响应和处置工作。
- 小组长:由信息技术部门负责人担任。
- 成员:由网络安全工程师、系统管理员、安全运维人员等组成。
六、应急响应流程1. 预警阶段:- 信息技术部门负责对网络安全进行日常监控,发现异常情况及时报告。
- 安全应急小组根据监控信息,分析潜在风险,发布预警信息。
2. 响应阶段:- 发现网络安全事件后,立即启动应急预案,通知相关人员进行处置。
- 安全应急小组对事件进行初步评估,确定事件等级和处置方案。
- 指挥部根据事件等级和处置方案,决定是否启动应急响应。
3. 处置阶段:- 根据处置方案,采取相应的技术措施,隔离、修复受损系统。
- 及时修复漏洞,防止事件蔓延。
- 对受损数据进行备份和恢复。
4. 恢复阶段:- 恢复受损系统,确保业务正常运行。
- 分析事件原因,制定改进措施,防止类似事件再次发生。
七、应急保障措施1. 技术保障:- 定期更新网络安全防护设备,确保其正常运行。
- 加强网络设备安全管理,定期进行安全检查和漏洞扫描。
- 建立完善的安全防护体系,包括防火墙、入侵检测系统、病毒防护系统等。
国企网络安全事件应急预案
一、前言为保障我国国有企业网络安全,提高应对网络安全事件的能力,确保企业信息系统的稳定运行,特制定本应急预案。
本预案适用于国有企业内部网络安全事件的处理,包括但不限于病毒感染、网络攻击、数据泄露等。
二、组织机构与职责1. 应急领导小组成立网络安全事件应急领导小组,负责网络安全事件的应急处置工作。
领导小组由企业主要负责人担任组长,相关部门负责人担任成员。
2. 应急处置小组应急处置小组负责网络安全事件的现场处置、调查取证、应急响应等工作。
小组下设以下子小组:(1)技术支持小组:负责网络安全事件的检测、分析、修复等技术支持工作。
(2)信息联络小组:负责网络安全事件的报告、通报、信息收集与发布等工作。
(3)法律事务小组:负责网络安全事件的法律咨询、应对等工作。
三、应急响应流程1. 信息报告(1)发现网络安全事件后,立即向应急领导小组报告。
(2)应急领导小组接到报告后,迅速启动应急预案,通知应急处置小组开展应急处置工作。
2. 现场处置(1)技术支持小组对事件现场进行初步检测,分析事件原因。
(2)根据事件原因,采取相应的处置措施,如隔离受影响设备、关闭相关服务、修复漏洞等。
3. 调查取证(1)信息联络小组对事件进行调查取证,收集相关证据。
(2)法律事务小组对事件进行法律咨询,协助处理相关法律事务。
4. 信息通报(1)应急领导小组根据事件严重程度,决定是否对外通报。
(2)信息联络小组负责对外通报事件进展,确保信息透明。
5. 应急恢复(1)技术支持小组对受影响系统进行修复,确保系统恢复正常运行。
(2)应急领导小组对事件进行总结,提出改进措施。
四、应急保障措施1. 加强网络安全意识教育,提高员工网络安全防范意识。
2. 定期开展网络安全演练,提高应急处置能力。
3. 配备充足的网络安全设备,确保应急处置工作顺利开展。
4. 建立网络安全信息共享机制,及时获取国内外网络安全动态。
5. 加强与政府部门、行业组织、专业机构的沟通与合作,共同应对网络安全事件。
企业网络应急预案范本
一、总则1. 编制目的为提高企业应对网络突发事件的能力,确保企业网络系统安全稳定运行,根据《中华人民共和国网络安全法》等相关法律法规,结合企业实际情况,制定本预案。
2. 适用范围本预案适用于企业内部网络系统、外部网络系统及云计算平台等网络设施发生的安全事件,包括但不限于以下情况:(1)网络入侵、攻击、病毒、木马等恶意软件感染事件;(2)网络设备故障、网络带宽不足、网络拥堵等网络性能问题;(3)网络数据泄露、篡改、丢失等数据安全事件;(4)网络服务中断、系统崩溃等网络故障事件;(5)其他可能影响企业网络系统安全稳定运行的事件。
3. 工作原则(1)预防为主,防治结合;(2)统一领导,分级负责;(3)快速响应,协同处置;(4)信息共享,公开透明。
二、组织体系1. 成立网络应急指挥部(1)指挥长:企业主要负责人;(2)副指挥长:企业分管网络安全负责人;(3)成员:企业相关部门负责人。
2. 设立网络应急办公室(1)主任:企业分管网络安全负责人;(2)副主任:企业信息管理部门负责人;(3)成员:企业相关部门人员。
3. 建立网络应急队伍(1)技术支持组:负责网络故障排查、系统修复、安全防护等;(2)宣传报道组:负责网络事件信息发布、舆论引导等;(3)后勤保障组:负责应急物资保障、人员调配等。
三、预防预警1. 信息监测与报告(1)建立网络信息监测系统,实时监测企业网络系统运行状态;(2)定期对企业网络系统进行安全检查,发现安全隐患及时整改;(3)发现网络异常情况,立即报告网络应急指挥部。
2. 预警处理与发布(1)网络应急指挥部根据信息监测结果,对网络事件进行预警评估;(2)对可能影响企业网络系统安全稳定运行的事件,及时发布预警信息;(3)要求相关部门和人员按照预案要求,做好应对准备。
四、应急预案1. 应急响应(1)事件监测发现:网络应急办公室接到网络异常报告后,立即向网络应急指挥部报告;(2)预案启动:网络应急指挥部根据事件严重程度,启动相应级别的应急预案;(3)应急处置:网络应急队伍按照预案要求,迅速开展应急处置工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业网络安全应急响应方案企业网络安全应急响应方案事实证明,事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划),能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型,及时保护日志等证据文件,并从中找出受到攻击的原因,在妥善修复后再将系统投入正常运行。
有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者,并将他(她)绳之以法。
一、制定事件响应计划的前期准备制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常有必要的,它将会使其后的具体制定过程变得相对轻松和高效。
这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所需的工具软件。
1、建立事件响应小组和明确小组成员任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。
既然如此,那么在制定事件响应计划之前,我们就应当先组建一个事件响应小组,并确定小组成员和组织结构。
至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定,但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何保证小组成员内部的安全。
一般来说,你所在组织结构中的领导者也可以作为小组的最高领导者,每一个部门中的领导者可以作为小组的下一级领导,每个部门的优秀的IT管理人员可以成为小组成员,再加上你所在的IT部门中的一些优秀成员,就可以组建一个事件响应小组了。
响应小组应该有一个严密的组织结构和上报制度,其中,IT人员应当是最终的事件应对人员,负责事件监控识别处理的工作,并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次事件响应过程。
在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响应计划的每一个步骤。
2、明确事件响应目标在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止攻击,减小损失,尽快恢复网络访问正常,还是为了追踪攻击者,这应当从你要具体保护的网络资源来确定。
在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的网络资源。
因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违背响应目标的处理方式出现,是关系到事件响应最终效果的关键问题之一。
应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到攻击者,并将他(她)绳之以法。
3、准备事件响应过程中所需要的工具软件对于计算机安全技术人员来说,有时会出现三分技术七分工具情况。
不论你的技术再好,如果需要时没有相应的工具,有时也只能望洋兴叹。
同样的道理,当我们在响应事件的过程当中,将会用到一些工具软件来应对相应的攻击方法,我们不可能等到出现了实际的安全事件时,才想到要使用什么工具软件来进行应对,然后再去寻找或购买这些软件。
这样一来,就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性,引起事件影响范围的扩大。
因此,事先考虑当我们应对安全事件之时,所能够用得到的工具软件,将它们全部准备好,不管你通过什么方法得到,然后用可靠的存储媒介来保存这些工具软件,是非常有必要的。
我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范,以及日志分析和追踪等软件。
这些软件的种类很多,在准备时,得从你的实际情况出发,针对各种网络攻击方法,以及你的使用习惯和你能够承受的成本投入来决定。
下面列出需要准备哪些方面的工具软件:(1)、系统及数据的备份和恢复软件。
(2)、系统镜像软件。
(3)、文件监控及比较软件。
(4)、各类日志文件分析软件。
(5)、网络分析及嗅探软件。
(6)、网络扫描工具软件。
(7)、网络追捕软件。
(8)、文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。
(9)、如有可能,还可以准备一些反弹木马软件。
由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载或购买回来,这肯定是不够现实的。
因而在此笔者也不好一一将这些软件全部罗列出来,但有几个软件,在事件响应当中是经常用到的,例如,Securebacker备份恢复软件,Nikto网页漏洞扫描软件,Namp网络扫描软件,Tcpdump(WinDump)网络监控软件,Fport端口监测软件,Ntop网络通信监视软件,RootKitRevealer(Windows下)文件完整性检查软件,ArpwatchARP检测软件,OSSECHIDS入侵检测和各种日志分析工具软件,微软的BASE分析软件,SNORT基于网络入侵检测软件,SpikeProxy网站漏洞检测软件,Sara安全评审助手,NetStumbler是802.11协议的嗅探工具,以及Wireshark嗅探软件等都是应该拥有的。
还有一些好用的软件是操作系统本身带有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其实上述提到的每个软件以及所有需要准备的软件,都可以在一些安全类网站上下载免费或试用版本。
准备好这些软件后,应当将它们全部妥善保存。
你可以将它们刻录到光盘当中,也可以将它们存入移动媒体当中,并随身携带,这样,当要使用它们时随手拿来就可以了。
由于有些软件是在不断的更新当中的,而且只有不断升级它们才能保证应对最新的攻击方法,因此,对于这些工具软件,还应当及时更新。
二、制定事件响应计划当上述准备工作完成后,我们就可以开始着手制定具体的事件响应计划。
在制定时,要根据在准备阶段所确立的响应目标来进行。
并且要将制定好的事件响应计划按一定的格式装订成册,分发到每一个事件响应小组成员手中。
由于每个网络用户具体的响应目标是不相同的,因而就不可能存在任何一个完全相同的事件响应计划。
但是,一个完整的事件响应计划,下面所列出的内容是不可缺少的:(1)、需要保护的资产;(2)、所保护资产的优先级;(3)、事件响应的目标;(4)、事件处理小组成员及组成结构,以及事件处理时与它方的合作方式;(5)、事件处理的具体步骤及注意事项;(6)、事件处理完成后文档编写存档及上报方式;(7)、事件响应计划的后期维护方式;(8)、事件响应计划的模拟演练计划。
上述列出项中的第一项和第二项所要说明的内容应该很容易理解,这些在制定安全策略时就会考虑到的,应该很容易就能够完成,还用上述列出项中的第三项和第四项,也已经在本文的制定事件响应计划准备节时说明了,就不再在本文中再做详细说明。
至于上述列出项中的第五、第六、第七和第八项,笔者只在此将它们的大概意思列出来,因为要在下面分别用一个单独的小节,给它们做详细的说明。
在制定事件响应计划过程当中,还应当特别注意的是:事件响应计划要做到尽量详细和条理清晰,以便事件响应小组成员能够很好地明白。
这要求,在制定过程当中,应当从自身的实际情况出发,认真仔细地调查和分析实际会出现的各种攻击事件,组合各种资源,利用头脑风暴的方法,不断细化事件响应计划中的每一个具体应对方法,不断修订事件响应的目标,以此来加强事件响应计划的可扩展性和持续性,使事件响应计划真正适应实际的需求;同时,不仅每个事件响应小组的成员都应当参加进来,而且,包括安全产品提供商,各个合作伙伴,以及当地的政府部门和法律机构都应当考虑进来。
总之,一定要将事件响应计划尽可能地做到与你实际响应目标相对应。
三、事件响应的具体实施在进行事件响应之前,你应该非常明白一个道理,就是事件处理时不能违背你制定的响应目标,不能在处理过程中避重就轻。
例如,本来是要尽快恢复系统运行的,你却只想着如何去追踪攻击者在何方,那么,就算你最终追查到了攻击者,但此次攻击所带来的影响却会因此而变得更加严重,这样一来,不仅不能给带来什么样成就感,反而是得不偿失的。
但如果你事件响应的目标本身就是为了追查攻击者,例如网络警察,那么对如何追踪攻击者就应当是首要目标了。
事实证明,按照事先制定的处理步骤来对事件进行响应,能减少处理过程当中的杂乱无章,减少操作及判断失误而引起的处理不及时,因此,所有事件响应小组的成员,不仅要熟习整个事件响应计划,而且要特别熟练事件处理时的步骤。
总体来说,一个具体的事件响应步骤,应当包括五个部分:事件识别,事件分类,事件证据收集,网络、系统及应用程序数据恢复,以及事件处理完成后建档上报和保存。
现将它们详细说明如下:1、事件识别在整个事件处理过程当中,这一步是非常重要的,你必需从众多的信息中,识别哪些是真正的攻击事件,哪些是正常的网络访问。
事件识别,不仅要依赖安全软件及系统所产生的各种日志中的异常记录项来做出判断,而且也与事件识别者的技术水平及经验有很大的关系。
这是因为,不仅安全软件有误报和漏报的现象,而且,攻击者往往会在成功入侵后,会用一切手段来修改这些日志,以掩盖他的行踪,让你无法从日志中得到某些重要的信息。
这时,一个有着丰富经验的事件识别者,就可以通过对网络及系统中某种现象的判断,来决定是否已经受到了攻击。
有了可靠的日志,再加上在受到了攻击时会出现各种异常现象,我们就可以通过分析这些日志文件中的记录项,以及对各种现象的判断来确定是否受到了真正的攻击。
因此,如果日志中出现了下面列出项中的记录,或网络和主机系统出现了下面列出项中的现象,就一定表明你所监控的网络或主机已经或正在面临着某种类别的攻击:(1)、日志文件中记录有异常的没有登录成功的审计事件;(2)、日志文件中有成功登录的不明账号记录;(3)、日志文件中存在有异常的修改某些特殊文件的记录;(4)、日志文件中存在有某段时间来自网络的不正常扫描记录;(5)、日志文件中存在有在某段时间启动的不明服务进程的记录;(6)、日志文件中存在有特殊用户权限被修改或添加了不明用户账号的记录;(7)、日志文件中存在有添加了某种不明文件的记录;(8)、日志文件中存在有不明软件主动向外连接的记录;(9)、查看日志文件属性时,时间戳不对,或者日志文件大小与你的记录不相符;(10)、查看日志文件内容时,发现日志文件中的某个时间段不存在或被修改;(11)、发现系统反应速度变慢,或在某个时间段突然变慢,但已经排除了系统硬件性能影响的原因;(12)、发现系统中安全软件被停止,正常服务被停止;(13)、发现网站网页被篡改或被删除替换;(14)、发现系统变得不稳定,突然死机,系统资源占用过大,不断重启;(15)、发现网络流量突然增大,查看发现对外打开了不明端口;(16)、发现网卡被设为混杂模式;(17)、某些正常服务不能够被访问等等。