企业网络安全系统应急响应方案设计

实用文案企业网络安全应急响应方案事实证明先制定一个行之有的网络安全事件响应计在本文后续描述中简称事件响应计划，能够在出现实际的安事件之后，帮助你及你的安全处理团队正确识别事件类型，及时保护日志等证据文件，并从找出受到攻击的原因，在妥善修复后再将系统投入正常运行。有时，甚至还可以通过分析存的日志文件，通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者，并将他(她绳之法。一制事响计的期备制定事件响应计划是一件要求严的工作，在制定之前，先为它做一些准备工作是非常有必要的，它将会使其后的具体定过程变得相对轻松和高效。这些准备工作包括建立事件响应小姐并确定成员、明确事件应的目标，以及准备好制定事件响应计划及响应事件时所需的工具软件。1、建立事件响应小组和明确小成员任何一种安全措施，都是由人来定，并由人来执行实施的，人是安全处理过程中最重要的因素，它会一直影响安全处的整个过程，同样，制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的既然如此，那么在制定事件响应计划之前，我们就应当先组建一个事件响应小组，并确定组成员和组织结构。至于如何选择响应小组的成员及织结构，你可以根据你所处的实际组织结构来决定，但你应当考虑小组成员本身的技水平及配合能达到的默契程度，同时，你还应该明白如何保证小组成员内部的安全。一般说，你所在组织结构中的领导者也可以作为小组的最高领导者每一个部门中的领导者可作为小组的下一级领导个部门的优秀的IT管理人员可以成为小组成员再加上你所在IT部门的一些优秀成员可以组建一个事件响应小组了。响应小组应该有一个严密的织结构和上报制度，其中人员应当是最终的事件应对人员负责事件监控识别处理的作向上级报;小组中的部门领导可作为小组响应人员的上一级领导，直接负责督促各组成员完成工作，并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负协调整个事件响应小组的工作件处理方法做出明确决定，并监督小组每一次事件响应程。在确定了事件响应小组成员及组结构后，你就可以将他们组织起来，参与制定事件响应计划的每一个步骤。2、明确事件响应目标在制定事件响应计划前我们应明白事件响应的目标是什?是为了阻止攻击减小损失，尽快恢复网络访问正常，还为了追踪攻击者，这应当从你要具体保护的网络资源来确定。在确定事件响应目标时，应当明，确定了事件响应目标，也就基本上确定了事件响应计划的具体方向，所有将要展开计划制定工作也将围绕它来进行，也直接关系到要保护的网络资源。因此，先明确一个事响应的目标，并在执行时严格围绕它来进行，坚决杜绝违背响应目标的处理方式出现，是系到事件响应最终效果的关键问题之一。应当注意的是，事件响应计划的标，不是一成不变的，你应当在制定和实施的过程中不断地修正它，让它真正适应你网络保护需要，并且，也不是说，你只能确定一个响应目标，你可以根据你自身的处理能，以及投入成本的多少，来确定一个或几个你所需要的响应目标，例如，有时在做到尽快复网络正常访问的同时，尽可能地收集证据，分析并找到攻击者，并将他她绳之以法。3、准备事件响应过程中所需要工具软件对于计算机安全技术人员来说时会出现三分技术七分工具情况论你的技术再好，文案大全实用文案如果需要时没有相应的工具，有也只能望洋兴叹。同样的道理，当我们在响应事件的过程当中，将会用到一些工具软件来对相应的攻击方法，我们不可能等到出现了实际的安全事件时，才想到要使用什么工具软来进行应对，然后再去寻找或购买这些软件。这样一来，就有可能会因为某一个工具软件有准备好而耽误处理事件的及时性，引起事件影响范围的扩大。因此，事先考虑当我们应安全事件之时，所能够用得到的工具软件，将它们全部准备好，不管你通过什么方法得到然后用可靠的存储媒介来保存这些工具软件，是非常有必要的。我们所要准备的工具软件主要包数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范，以及日志分析追踪等软件。这些软件的种类很多，在准备时，得从你的实际情况出发针对各种网络攻方法及你的使用习惯和你能够承受的成本投入来决定。下面列出需要准备哪些方面的工软件：系统及数据的备份和恢复软件。系统镜像软件。文件监控及比较软件。各类日志文件分析软件。网络分析及嗅探软件。网络扫描工具软件。网络追捕软件。文件捆绑分析及分离软件，二进文件分析软件，进程监控软件。如有可能，还可以准备一些反弹马软件。由于涉及到的软件很多，而且又应用范围及应用平台之分，你不可能全部将它们下载或购买回来，这肯定是不够现实。因而在此笔者也不好一一将这些软件全部罗列出来，但有几个软件，在事件响应当中是常用到的，例如Securebacker备份恢复软件，Nikto网页漏洞扫描软件网络扫描件网监控软件Fport端口监测软件，网络通信监视软件，RootKitRevealer(Windows下文件完整性检查软件ArpwatchARP检测软件，OSSECHIDS入侵检测各种日志分析工具软件，微软的BASE分析软件，SNORT基于网络入侵检测软件SpikeProxy网漏洞检测软件Sara安全评审助手NetStumbler是802.11协议的嗅探工具以及Wireshark嗅探软件等都是应该拥有的还有一些好用的软件是操作系统本身带有的，例如NbtstatPing等，由于真的太多，就不再在此列出了，其实上述提到的每个软件以及所有要准备的软件，都可以在一些安全类网站上下载免费或试用版本。准备好这些软件后，应当将它们部妥善保存。你可以将它们刻录到光盘当中，也可以将它们存入移动媒体当中，并随携带，这样，当要使用它们时随手拿来就可以了。由于有些软件是在不断的更新当中的且只有不断升级它们才能保证应对最新的攻击方法此，对于这些工具软件，还应当及时新。二、制定事件响应计划当上述准备工作完成后，我们就以开始着手制定具体的事件响应计划。在制定时，要根据在准备阶段所确立的响应目来进行。并且要将制定好的事件响应计划按一定的格式装订成册，分发到每一个事件响应组成员手中。由于每个网络用户具体的响应目是不相同的，因而就不可能存在任何一个完全相同的事件响应计划。但是，一个完整事件响应计划，下面所列出的内容是不可缺少的：(1)、需要保护的资;文案大全实用文案所保护资产的优先级;事件响应的目标;事件处理小组成员及组成结构，及事件处理时与它方的合作方;事件处理的具体步骤及注意事;事件处理完成后文档编写存档及报方;事件响应计划的后期维护方;事件响应计划的模拟演练计划。上述列出项中的第一项和第二项要说明的内容应该很容易理解，这些在制定安全策略时就会考虑到的，应该很容易就够完成，还用上述列出项中的第三项和第四项，也已经在本文的制定事件响应计划准备节说明了，就不再在本文中再做详细说明。至于上述列出项中的第五、第六、第七和第八项笔者只在此将它们的大概意思列出来，因为要在下面分别用一个单独的小节，给它们做详的说明。在制定事件响应计划过程当中，应当特别注意的是：事件响应计划要做到尽量详细和条理清晰，以便事件响应小组成能够很好地明白。这要求，在制定过程当中，应当从自身的实际情况出发，认真仔细地调和分析实际会出现的各种攻击事件，组合各种资源，利用头脑风暴的方法，不断细化事件应计划中的每一个具体应对方法，不断修订事件响应的目标，以此来加强事件响应计划的扩展性和持续性，使事件响应计划真正适应实际的需求;同时，不仅每个事件响应小组的员都应当参加进来，而且，包括安全产品提供商，各个合作伙伴，以及当地的政府部门和律机构都应当考虑进来。总之，一定要将事件响应计划尽能地做到与你实际响应目标相对应。三、事件响应的具体实施在进行事件响应之前，你应该非明白一个道理，就是事件处理时不能违背你制定的响应目标，不能在处理过程中避重轻。例如，本来是要尽快恢复系统运行的，你却只想着如何去追踪攻击者在何方，那么，算你最终追查到了攻击者，但此次攻击所带来的影响却会因此而变得更加严重，这样一来不仅不能给带来什么样成就感，反而是得不偿失的。但如果你事件响应的目标本身就是为追查攻击者，例如网络警察，那么对如何追踪攻击者就应当是首要目标了。事实证明，按照事先制定的处理骤来对事件进行响应，能减少处理过程当中的杂乱无章，减少操作及判断失误而引起处理不及时，因此，所有事件响应小组的成员，不仅要熟习整个事件响应计划，而且要特熟练事件处理时的步骤。总体来说，一个具体的事件响应骤，应当包括五个部分：事件识别，事件分类，事件证据收集，网络、系统及应用程数据恢复，以及事件处理完成后建档上报和保存。现将它们详细说明如下：1、事件识别在整个事件处理过程当中，这一是非常重要的，你必需从众多的信息中，识别哪些是真正的攻击事件，哪些是正常的络访问。文案大全实用文案事件识别，不仅要依赖安全软件系统所产生的各种日志中的异常记录项来做出判断，而且也与事件识别者的技术水平经验有很大的关系。这是因为，不仅安全软件有误报和漏报的现象，而且，攻击者往往会成功入侵后，会用一切手段来修改这些日志，以掩盖他的行踪，让你无法从日志中得到某重要的信息。这时，一个有着丰富经验的事件识别者，就可以通过对网络及系统中某种现的判断，来决定是否已经受到了攻击。有了可靠的日志，再加上在受到攻击时会出现各种异常现象，我们就可以通过分析这些日志文件中的记录项，以及对种现象的判断来确定是否受到了真正的攻击。因此，如果日志中出现了下面列出项中的记，或网络和主机系统出现了下面列出项中的现象，就一定表明你所监控的网络或主机已经正在面临着某种类别的攻击：日志文件中记录有异常的没有登成功的审计事;日志文件中有成功登录的不明账记;日志文件中存在有异常的修改某特殊文件的记;日志文件中存在有某段时间来自络的不正常扫描记;日志文件中存在有在某段时间启的不明服务进程的记;日志文件中存在有特殊用户权限修改或添加了不明用户账号的记;日志文件中存在有添加了某种不文件的记;日志文件中存在有不明软件主动外连接的记;查看日志文件属性时，时间戳不，或者日志文件大小与你的记录不相;查看日志文件内容时，发现日志件中的某个时间段不存在或被修;发现系统反应速度变慢，或在某时间段突然变慢，但已经排除了系统硬件性能影响的原因;发现系统中安全软件被停止，正服务被停;发现网站网页被篡改或被删除替;发现系统变得不稳定，突然死机系统资源占用过大，不断重;发现网络流量突然增大，查看发对外打开了不明端;发现网卡被设为混杂模式;文案大全实用文案(17)、某些正常服务不能够被访等等。能够用来做出判断异常记录和异现象还有很多，笔者就不在这里全部列出了。这要求事件响应人员应当不断学习，努提高自身的技术水平，不断增加识别异常现象的经验，然后形成一种适合自己的判断方法，再加上日志分析工具以及安全监控软件的帮助，就不难在这些日志记录项和现象中找出正的攻击事件来。到目前为止，通过分析各种日志件来识别事件性质，依然是最主要的方法之一。你可以重新设置这些安全软件的日志出格式们容易被理你也可以重新详细设置安全软件的过滤规则减少它们的误报漏报加可识别强;你还可以使用一些专业的日志文件分析工具，例如OSSECHIDS，来加快分析大体积日志文件的速度，提高识别率，同时也会减轻你的负担。至于担心日志会被击者删除或修改，你可以将所有的日志文件都保存到受防火墙保护的存储系统之中，来减这种风险。总之，为了能从日志文件中得到我们想要的信息，就应该想法使日志文件以我需要的方式来工作。所有这些，都得要求事件响应人在平时经常检查网络及系统的运行情况，不断分析日志文件中的记录，查看各种网络系统异常现象，以便能及时真正的攻击事件做出正确的判断。另外，你应当在平时在对网系统中的某些对象进行操作时，应当详细记录下你所操作过的所有对象的内容及操作时间以便在识别时有一个判断的依据。在工作当中，经常用笔记录下这些操作是一个事件响应员应当养成的好习惯。当发现了上述出现的异常记录或常现象，就说明攻击事件已经发生了，因而就可以立即进入到下一个环节当中，即对现的攻击事件的严重程度进行分类。2、事件分类当确认已经发现攻击事件后当立即对已经出现了的攻击事件做出严重程度的判断，以明确攻击事件到达了什么地步以便决定下一步采取什么样的应对措施。例如，如果攻击事件是涉及到服务器中的一些机数据，这肯定是非常严重的攻击事件，就应当立即断开受到攻击的服务器的网络连接，并其隔离，以防止事态进一步的恶化及影响网络中其它重要主机。对攻击事件进行分类，一直以来都是没有一个统一的标准的，各安全厂商都有他自己的一套分类方法，因此，你也可自行对攻击事件的严重程度进行分类。一般来说，可以通过确认攻击事件发展到了什么地，以及造成了什么样的后果来进行分类，这样就可以将攻击事件分为以下几个类别：试探性事件一般性事件控制系统事件拒绝服务事件文案大全实用文案(5)、得到机密数据事件。对网络中的主机进行试探性扫描都可以认为是试探性质的事件，这些都是攻击者为了确认网络中是否有可以被攻击的机，而进行的最基本的工作。当攻击者确认了要攻击的目标后，他就会进一步地对攻击目进行更加详细，更加有目的的扫描，这时，所使用的扫描方式就会更加先进和不可识别性例如半连接式扫描及方式扫描等，这种扫描完成后，就可以找到一些是否可以利用的洞信息，由于现在的一些整合性防火墙和I也能够识别这些方式的扫描，因此，如果在志文件中找到了与此相应的记录，就表明攻击已经发展到了一般性事件的地步了。当攻击得到可以利用的漏洞信息后，他就会利用各种手段对攻击目标进行渗透，这时，如果你没及时发现，渗透的成功性是非常大的，网络中已经存在有太多的这类渗透工具，使用这些具进行渗透工作是轻而易举的事，在渗透成功后，攻击者就会想法提高自己在攻击目标系中的权限，并安装后门，以便能随心所欲地控制已经渗透了的目标，此时，就已经发展到控制系统的地步。到这里，如果你还没有发现攻击行为，那么，你所保护的机密资料将有能被攻击者完全得到，事态的严重性就可想而知了。攻击者在控制了攻击目标后，有时也一定能够得到机密数据，由此而产生一些报复性行为，例如进行一些或DDOS攻击等其他正常用户也不能够访问或者攻击者控制系统的目的，就是为了对其它系统进行DOS或攻击。此时的你，就应该从日志文件的录项中，迅速对攻击事件发展到了哪种地步做出明确的判断，并及时上报小组领导，及通报给其他小组成员，以便整个小组中的所有成员能够明确此次攻击事件的严重程度，后决定采取什么样的应对方法来进行响应，以防止事态向更加严重的程度发展，或者尽量小损失，及时修补漏洞，恢复网络系统正常运行，并尽快收集好所有的证据，以此来找到击者。3、攻击事件证据收集为了能为析攻击产生的原因及攻所产生的破坏，也为了能找到攻击者，并提供将他绳之以法的证据，就应该在恢复已攻击的系统正常之前，将这些能提供证据的数据全部收集起来，妥善保存。至于如何收集，这要视你所要收的证据的多少及大小，以及收集的速度要求来定。如果只收集少量的数据，你可以通简单的复制方法将这些数据保存到另外一些安全的存储媒介当中如果要收集的数据数量且体积大且要求在极少的时间来完成你就可以通过一些专业的软件来进行收集。对于些收集的数据保存到什么样的存储媒介之中，也得根据所要收集的数据要求来定的，还得你现在所拥有的存储媒介有哪些，一般保存到光盘或磁带当中为好。具体收集哪些数据，你可以将你为能够为攻击事件提供证据的数据全部都收集起来，也可以只收集其中最重要的部分下面是一些应该收集的数据列表：操作系统事件日志;操作系统审计日志;文案大全实用文案网络应用程序日志;防火墙日志入侵检测日志受损系统及软件镜像。在进行这一步之前，如果你的首任务是将网络或系统恢复正常，为了防止在恢复系统备份时将这些证据文件丢失，或你只是想为这些攻击留个纪念，你应当先使用一些系统镜像软件将整个系统做一个镜像保后，再进行恢复工作。收集的数据不仅是作为指证攻击的证据，而且，在事件响应完成后，还应将它们统计建档，并上报给相关领导及其它作机构，例如安全软件提供商，合作伙伴，以及当地的法律机构同时也可以作为事后分析学习之用此这个事件响应操作步骤也是必不可少的，收集到的数据也应当保存完整。4、网络、系统及应用程序数据复在收集完所有的证据后，就可以被攻击影响到的对象全部恢复正常运行，以便可以正常使用是否能够及时的恢复系统到正常状态依靠另一个安全手段就是备份恢复计划，对于一些大型企业，有时也被称灾难恢复计划，不管怎么说，事先对所保护的重要数据做一个安全的备份是一定需要的，直接影响到事件响应过程中恢复的及时性和可能性。在恢复系统后，你应当确保系统洞已经被修补完成，系统已经更新了最新的补丁包，并且已经重新对修补过的系统做新的备份，这样，才能让这些受到攻击恢复正常后的系统重新连入到网络当中。如果当时没有最新的安全补丁，而又必需马上恢复系统运行的话，你可以先实施一些针对性的安全施，然后再将系统连入到网络当中，但要时刻注意，并在有补丁时马上更新它，并重新备。恢复的方法及恢复内容的多少，看你的系统受损的情况来决定，例如，系统中只是开放了一些不正常的端口，那就没必要恢复整个系统，只要将这些端口关闭，然后堵住产生攻击的漏洞就可以了。如果系统的重要文件已经被修改或删除，系统不能正常运行，而这些文件又不能够被修复，就只能复整个系统了。恢复时，即可以通过手工操作方式来达到恢复目的，也可以通过一些专业备份恢复软件来进行恢复，甚至，在有些大中型企业，由于数据多，而且非常重要，对系稳定性和连续性有很高的要求，例如一些网站类企业，就会使用一个备用系统，来提供冗，当一套系统遭到攻击停运后，另一套系统就会自动接替它运行，这样，就能让事件响应组人员有足够多的时间进行各项操作，而且不会影响到网络系统的正常访问。恢复在整个事件处理步骤当中是较独特的，将它放在哪一步来执行，你应当以你的保护目标来决定，例如，当你保护首要目标是为了尽快恢复网络系统或服务能够正常访问，如果有备用系统的，因为备用系已经接替受攻击的系统运行了，就可以按上述步骤中的顺文案大全实用文案序来进行操作，而对于只有备份件的，如果想要系统最快速度地恢复正常运行，可以先将整个受损系统做一个镜像，然后可以迅速恢复备份，投入运行。其实，任何处理步骤，说白了，只是让你养成一种对某种事件处理过程的通用习惯性思维和工作流程而已。5、事件处理过程的建档保存在将所有事件都已调查清楚，系也恢复正常运行后，你就应当将所有与这次事件相关的所有种种都做一个详细的记录档。建档的目的有二点，一是用来向上级领导报告事件起因及处理方法，二是用来做学习例子，用来分析攻击者的攻击方法，以便以后更加有效地防止此类攻击事件的发生。具体记录保存的内容涉及到整个事件响应过程，要记录的内容比较多而且响应过程有时比较长因这就要求安全事件响应人员在事件处理过程当中，应当随时记录下响应过程中发现点点滴滴和所有的操作事件，以便建档时能使用。建档格式是可以由你自行来规定没有具体的标准的，只要能够清楚地记录下所有应该记录的内容就可以了。也可以将档做成一式三份，一份上报领导，一份保存，一份用来分析学习用。也可以将这些文档交一些专业的安全公司和系统及应用软件提供商，以便它们能够及时地了解这种攻击方法，发布相应的防范产品和安全补丁包，还可以向一些合作伙伴通报，让它们也能够加强这方的防范。具体要建档的内容如下所示：攻击发生在什么时候，什么时候现的，发现人是?攻击者利用的是什么漏洞来攻击，这种漏洞是已经发现了的，还现在才出事的，漏洞的具体类别及数量?攻击者在系统中进行了哪些方面操作，有哪些数据或文件被攻击者攻击?攻击的大体发展顺序是怎么进行?造成此次事件的关键因素是什?解决此次事件的具体流程是什?攻击造成了什么后果，严重程度何，攻击者得到了什么权限和数?攻击者是如何突破安全防线?用什么工具软件解决的?此次事件在发现及处理时有哪些员参与，上报给了哪些部门及人?文案大全实用文案事件发生后，损失的恢复情况如?此次攻击有了什么新的改变，是可以预防和应以后应该如何应对这种安全事件给出一个具体的方案附后等等。以上所列出的，都是建档时应当录的内容。建档人员可以自由安排记录的顺序，但是得和事件处理的顺序相对应，以让其它人员更好地理解和学习。当然，你还可以记录其它没有在上述项中提到的内容，只你认为有记录下这些内容的必要，或者是你的响应小组领导要求记录下这些内容。四、事件响应计划后期维护及演、事件响应计划后期维护制定好一个事件响应计划后，就当及时严格地组织实施，将事件响应计划束之高格，或者虽然实施了但却从来不对它行维护，这些都等同于没有一样，甚至比没有时更坏。这是因为断的攻击手段出不对已经制定的事件响应计划做出相应调整的话，那么，你也就不会对这些新的攻方法做出正确的响应，事件响应也就没有了真正意义，甚至，如果你不加强事件响应小组管理，小组中成员也有可能会造成内部安全