文档介绍:企业网络平安应急响应方案
企业网络平安应急响应方案
事实证明,事先制定一个行之有效的网络平安事件响应方案(在本文后续描述中简称事件响应方案),能够在出现实际的平安事件之后,帮助你及你的平安处理团队正确识别事件类型,及时保护及别离软件,二进制文件分析软件,进程监控软件。
(9)、如有可能,还可以准备一些反弹
木马软件。
由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载或购置回来,这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来,但有几个软件,在事件响应当中是经常用到的,例如,Securebacker备份恢复软件,Nikto网页***软件,Namp网络扫描软件,Tcpdump(WinDump)网络监控软件,Fport
端口监测软件,Ntop网络通信监视软件,RootKitRevealer(Windows下)文件完整性检查软件,ArpwatchARP检测软件,OSSECHIDS入侵检测和各种日志分析工具软件,微软的BASE分析软件,SNORT基于网络入侵检测软件,SpikeProxy网站漏洞检测软件,Sara平安评审助手,,以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其实上述提到的每个软件以及所有需要准备的软件,都可以在一些平安类网站上下载免费或试用版本。
准备好这些软件后,应当将它们全部妥善保存。你可以将它们刻录到光盘当中,也可以将它们存入移动媒体当中,并随身携带,这样,当要使用它们时随手拿来就可以了。由于有些软件是在不断的更新当中的,而且只有不断升级它们才能保证应对最新的攻击方法,因此,对于这些工具软件,还应当及时更新。
二、制定事件响应方案
当上述准备工作完成后,我们就可以开始着手制定具体的事件响应方案。在制定时,要根据在准备阶段所确立的响应目标来进行。并且要将制定好的事件响应方案按一定的格式装订成册,分发到每一个事件响应小组成员手中。
由于每个网络用户具体的响应目标是不相同的,因而就不可能存在任何一个完全相同的事件响应方案。但是,一个完整的事件响应方案,下面所列出的内容是不可缺少的:
(1)、需要保护的资产;
(2)、所保护资产的优先级;
(3)、事件响应的目标;
(4)、事件处理小组成员及组成结构,以及事件处理时与它方的合作方式;
(5)、事件处理的具体步骤及本卷须知;
(6)、事件处理完成后文档编写存档及上报方式;
(7)、事件响应方案的后期维护方式;
(8)、事件响应方案的模拟演练方案。
上述列出项中的第一项和第二项所要说明的内容应该很容易理解,这些在制定平安策略时就会考虑到的,应该很容易就能够完成,还用上述列出项中的第三项和第四项,也已经在本文的制定事件响应方案准备节时说明了,就不再在本文中再做详细说明。至于上述列出项中的第五、第六、第七和第八项,笔者只在此将它们的大概意思列出来,因为要在下面分别用一个单独的小节,给它们做详细的说明。
在制定事件响应方案过程当中,还应当特别注意的是:事件响应方案要做到尽量详细和条理清晰,以便事件响应小组成员能够很好地明白。这要求,在制定过程当中,应当从自身的实际情况出发,认真仔细地调查和分析实际会出现的各种攻击事件,组合各种资源,利用头脑风暴的方法,不断细化事件响应方案中的每一个具体应对方法,不断修订事件响应的目标,以此来加强事件响应方案的可扩展性和持续性,使事件响应方案真正适应实际的需求;同时,不仅每个事件响应小组的成员都应当参加进来,而且,包括平安产品提供商,各个合作伙伴,以及当地的政府部门和法律机构都应当考虑进来。
总之,一定要将事件响应方案尽可能地做到与你实际响应目标相对应。
三、事件响应的具体实施
在进行事件响应之前,你应该非常明白一个道理,就是事件处理时不能违背你制定的响应目标,不能在处理过程中避重就轻。例如,本来是要尽快恢复系统运行的,你却只想着如何去追踪攻击者在何方,那么,就算你最终追查到了攻击者,但此次攻击所带来的影响却会因此而变得更加严重,这样一来,不仅不能给带来什么样成就感,反而是得不偿失的。但如果你事件响应的目标本身就是为了追查攻击者,例如网络警察,那么对如何追踪攻击者就应当是首要目标了。
事实证明,按照事先制定的处理步骤来对事件进行响应,能减少处理过程当中的杂乱无章,减少操作及判断失误而引起的处理不及时,因此,所有事件响应小组的成员,不仅要熟****整个事件响应方案,而且要特别熟