文章導航綠軟下載站軟件下載安卓資源蘋果資源專題

您當前所在位置:首頁網絡安全安全防護 → 企業網絡安全事件應急響應方案

企業網絡安全事件應急響應方案

時間:2015/6/28來源:IT貓撲網作者:網管聯盟我要評論(0)

  事實證明,事先制定一個行之有效的網絡安全事件響應計劃(在本文后續描述中簡稱事件響應計劃),能夠在出現實際的安全事件之后,幫助你及你的安全處理團隊正確識別事件類型,及時保護日志等證據文件,并從中找出受到攻擊的原因,在妥善修復后再將系統投入正常運行。有時,甚至還可以通過分析保存的日志文件,通過其中的任何有關攻擊的蛛絲馬跡找到具體的攻擊者,并將他(她)繩之以法。

  一、制定事件響應計劃的前期準備

  制定事件響應計劃是一件要求嚴格的工作,在制定之前,先為它做一些準備工作是非常有必要的,它將會使其后的具體制定過程變得相對輕松和高效。這些準備工作包括建立事件響應小姐并確定成員、明確事件響應的目標,以及準備好制定事件響應計劃及響應事件時所需的工具軟件。

  1、建立事件響應小組和明確小組成員

  任何一種安全措施,都是由人來制定,并由人來執行實施的,人是安全處理過程中最重要的因素,它會一直影響安全處理的整個過程,同樣,制定和實施事件響應計劃也是由有著這方面知識的各種成員來完成的。既然如此,那么在制定事件響應計劃之前,我們就應當先組建一個事件響應小組,并確定小組成員和組織結構。

  至于如何選擇響應小組的成員及組織結構,你可以根據你所處的實際組織結構來決定,但你應當考慮小組成員本身的技術水平及配合能達到的默契程度,同時,你還應該明白如何保證小組成員內部的安全。一般來說,你所在組織結構中的領導者也可以作為小組的最高領導者,每一個部門中的領導者可以作為小組的下一級領導,每個部門的優秀的IT管理人員可以成為小組成員,再加上你所在的IT部門中的一些優秀成員,就可以組建一個事件響應小組了。響應小組應該有一個嚴密的組織結構和上報制度,其中,IT人員應當是最終的事件應對人員,負責事件監控識別處理的工作,并向上級報告;小組中的部門領導可作為小組響應人員的上一級領導,直接負責督促各小組成員完成工作,并且接受下一級的報告并將事件響應過程建檔上報;小組最高領導者負責協調整個事件響應小組的工作,對事件處理方法做出明確決定,并監督小組每一次事件響應過程。

  在確定了事件響應小組成員及組織結構后,你就可以將他們組織起來,參與制定事件響應計劃的每一個步驟。

  2、明確事件響應目標

  在制定事件響應計劃前,我們應當明白事件響應的目標是什么?是為了阻止攻擊,減小損失,盡快恢復網絡訪問正常,還是為了追蹤攻擊者,這應當從你要具體保護的網絡資源來確定。

  在確定事件響應目標時,應當明白,確定了事件響應目標,也就基本上確定了事件響應計劃的具體方向,所有將要展開的計劃制定工作也將圍繞它來進行,也直接關系到要保護的網絡資源。因此,先明確一個事件響應的目標,并在執行時嚴格圍繞它來進行,堅決杜絕違背響應目標的處理方式出現,是關系到事件響應最終效果的關鍵問題之一。

  應當注意的是,事件響應計劃的目標,不是一成不變的,你應當在制定和實施的過程中不斷地修正它,讓它真正適應你的網絡保護需要,并且,也不是說,你只能確定一個響應目標,你可以根據你自身的處理能力,以及投入成本的多少,來確定一個或幾個你所需要的響應目標,例如,有時在做到盡快恢復網絡正常訪問的同時,盡可能地收集證據,分析并找到攻擊者,并將他(她)繩之以法。

  3、準備事件響應過程中所需要的工具軟件

  對于計算機安全技術人員來說,有時會出現三分技術七分工具情況。不論你的技術再好,如果需要時沒有相應的工具,有時也只能望洋興嘆。同樣的道理,當我們在響應事件的過程當中,將會用到一些工具軟件來應對相應的攻擊方法,我們不可能等到出現了實際的安全事件時,才想到要使用什么工具軟件來進行應對,然后再去尋找或購買這些軟件。這樣一來,就有可能會因為某一個工具軟件沒有準備好而耽誤處理事件的及時性,引起事件影響范圍的擴大。因此,事先考慮當我們應對安全事件之時,所能夠用得到的工具軟件,將它們全部準備好,不管你通過什么方法得到,然后用可靠的存儲媒介來保存這些工具軟件,是非常有必要的。

  我們所要準備的工具軟件主要包括數據備份恢復、網絡及應用軟件漏洞掃描、網絡及應用軟件攻擊防范,以及日志分析和追蹤等軟件。這些軟件的種類很多,在準備時,得從你的實際情況出發,針對各種網絡攻擊方法,以及你的使用習慣和你能夠承受的成本投入來決定。

  下面列出需要準備哪些方面的工具軟件:

  (1)、系統及數據的備份和恢復軟件。

  (2)、系統鏡像軟件

  (3)、文件監控及比較軟件。

  (4)、各類日志文件分析軟件。

  (5)、網絡分析及嗅探軟件。

  (6)、網絡掃描工具軟件。

  (7)、網絡追捕軟件。

  (8)、文件捆綁分析及分離軟件,二進制文件分析軟件,進程監控軟件。

  (9)、如有可能,還可以準備一些反彈木馬軟件。

  由于涉及到的軟件很多,而且又有應用范圍及應用平臺之分,你不可能全部將它們下載或購買回來,這肯定是不夠現實的。因而在此筆者也不好一一將這些軟件全部羅列出來,但有幾個軟件,在事件響應當中是經常用到的,例如,Securebacker備份恢復軟件,Nikto網頁漏洞掃描軟件,Namp網絡掃描軟件,Tcpdump(WinDump)網絡監控軟件,Fport端口監測軟件,Ntop網絡通信監視軟件,RootKitRevealer(Windows下)文件完整性檢查軟件,ArpwatchARP檢測軟件,OSSECHIDS入侵檢測和各種日志分析工具軟件,微軟的BASE分析軟件,SNORT基于網絡入侵檢測軟件,SpikeProxy網站漏洞檢測軟件,Sara安全評審助手,NetStumbler是802.11協議的嗅探工具,以及Wireshark嗅探軟件等都是應該擁有的。還有一些好用的軟件是操作系統本身帶有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其實上述提到的每個軟件以及所有需要準備的軟件,都可以在一些安全類網站上下載免費或試用版本,例如,www.xfocus.net和www.insecure.org這兩個網站。

  準備好這些軟件后,應當將它們全部妥善保存。你可以將它們刻錄到光盤當中,也可以將它們存入移動媒體當中,并隨身攜帶,這樣,當要使用它們時隨手拿來就可以了。由于有些軟件是在不斷的更新當中的,而且只有不斷升級它們才能保證應對最新的攻擊方法,因此,對于這些工具軟件,還應當及時更新。

   二、制定事件響應計劃

  當上述準備工作完成后,我們就可以開始著手制定具體的事件響應計劃。在制定時,要根據在準備階段所確立的響應目標來進行。并且要將制定好的事件響應計劃按一定的格式裝訂成冊,分發到每一個事件響應小組成員手中。

  由于每個網絡用戶具體的響應目標是不相同的,因而就不可能存在任何一個完全相同的事件響應計劃。但是,一個完整的事件響應計劃,下面所列出的內容是不可缺少的:

  (1)、需要保護的資產;

  (2)、所保護資產的優先級;

  (3)、事件響應的目標;

  (4)、事件處理小組成員及組成結構,以及事件處理時與它方的合作方式;

  (5)、事件處理的具體步驟及注意事項;

  (6)、事件處理完成后文檔編寫存檔及上報方式;

  (7)、事件響應計劃的后期維護方式;

  (8)、事件響應計劃的模擬演練計劃。

#p#副標題#e#

  上述列出項中的第一項和第二項所要說明的內容應該很容易理解,這些在制定安全策略時就會考慮到的,應該很容易就能夠完成,還用上述列出項中的第三項和第四項,也已經在本文的制定事件響應計劃準備節時說明了,就不再在本文中再做詳細說明。至于上述列出項中的第五、第六、第七和第八項,筆者只在此將它們的大概意思列出來,因為要在下面分別用一個單獨的小節,給它們做詳細的說明。

  在制定事件響應計劃過程當中,還應當特別注意的是:事件響應計劃要做到盡量詳細和條理清晰,以便事件響應小組成員能夠很好地明白。這要求,在制定過程當中,應當從自身的實際情況出發,認真仔細地調查和分析實際會出現的各種攻擊事件,組合各種資源,利用頭腦風暴的方法,不斷細化事件響應計劃中的每一個具體應對方法,不斷修訂事件響應的目標,以此來加強事件響應計劃的可擴展性和持續性,使事件響應計劃真正適應實際的需求;同時,不僅每個事件響應小組的成員都應當參加進來,而且,包括安全產品提供商,各個合作伙伴,以及當地的政府部門和法律機構都應當考慮進來。

  總之,一定要將事件響應計劃盡可能地做到與你實際響應目標相對應。

  三、事件響應的具體實施

  在進行事件響應之前,你應該非常明白一個道理,就是事件處理時不能違背你制定的響應目標,不能在處理過程中避重就輕。例如,本來是要盡快恢復系統運行的,你卻只想著如何去追蹤攻擊者在何方,那么,就算你最終追查到了攻擊者,但此次攻擊所帶來的影響卻會因此而變得更加嚴重,這樣一來,不僅不能給帶來什么樣成就感,反而是得不償失的。但如果你事件響應的目標本身就是為了追查攻擊者,例如網絡警察,那么對如何追蹤攻擊者就應當是首要目標了。

  事實證明,按照事先制定的處理步驟來對事件進行響應,能減少處理過程當中的雜亂無章,減少操作及判斷失誤而引起的處理不及時,因此,所有事件響應小組的成員,不僅要熟習整個事件響應計劃,而且要特別熟練事件處理時的步驟。

  總體來說,一個具體的事件響應步驟,應當包括五個部分:事件識別,事件分類,事件證據收集,網絡、系統及應用程序數據恢復,以及事件處理完成后建檔上報和保存。現將它們詳細說明如下:

關鍵詞標簽:企業網絡安全

相關閱讀

文章評論
發表評論

熱門文章 自己動手打造高性能入侵檢測防御系統(一)自己動手打造高性能入侵檢測防御系統(一)安全技巧:利用軟件限制策略阻止網馬侵襲安全技巧:利用軟件限制策略阻止網馬侵襲巧設瑞星推薦規則 拒絕創建劫持項行為巧設瑞星推薦規則 拒絕創建劫持項行為局域網防監聽局域網防監聽

相關軟件

人氣排行 企業網絡安全事件應急響應方案xp系統關閉445端口方法_ 教你如何關閉xp系統445端口什么是IPS(入侵防御系統)linux iptables如何封IP段隱藏ip地址增加網絡信息的安全性Windows Server 2008利用組策略的安全設置如何保障Server 2008服務器的遠程桌面安全ARP協議的反向和代理

王琳羽毛球