1、word企業網絡平安應急響應方案事實證明，事先制定一個行之有效的網絡平安事件響應方案(在本文后續描述中簡稱事件響應方案)，能夠在出現實際的平安事件之后，幫助你及你的平安處理團隊正確識別事件類型，及時保護日志等證據文件，并從中找出受到攻擊的原因，在妥善修復后再將系統投入正常運行。有時，甚至還可以通過分析保存的日志文件，通過其中的任何有關攻擊的蛛絲馬跡找到具體的攻擊者，并將他(她)繩之以法。一、制定事件響應方案的前期準備制定事件響應方案是一件要求嚴格的工作，在制定之前，先為它做一些準備工作是非常有必要的，它將會使其后的具體制定過程變得相對輕松和高效。這些準備工作包括建立事件響應小姐并確定成員、明確

2、事件響應的目標，以及準備好制定事件響應方案及響應事件時所需的工具軟件。1、建立事件響應小組和明確小組成員任何一種平安措施，都是由人來制定，并由人來執行實施的，人是平安處理過程中最重要的因素，它會一直影響平安處理的整個過程，同樣，制定和實施事件響應方案也是由有著這方面知識的各種成員來完成的。既然如此，那么在制定事件響應方案之前，我們就應領先組建一個事件響應小組，并確定小組成員和組織結構。至于如何選擇響應小組的成員及組織結構，你可以根據你所處的實際組織結構來決定，但你應當考慮小組成員本身的技術水平及配合能到達的默契程度，同時，你還應該明白如何保證小組成員內部的平安。一般來說，你所在組織結構中的領導

3、者也可以作為小組的最高領導者，每一個部門中的領導者可以作為小組的下一級領導，每個部門的優秀的IT管理人員可以成為小組成員，再加上你所在的IT部門中的一些優秀成員，就可以組建一個事件響應小組了。響應小組應該有一個嚴密的組織結構和上報制度，其中，IT人員應當是最終的事件應對人員，負責事件監控識別處理的工作，并向上級報告;小組中的部門領導可作為小組響應人員的上一級領導，直接負責催促各小組成員完成工作，并且接受下一級的報告并將事件響應過程建檔上報;小組最高領導者負責協調整個事件響應小組的工作，對事件處理方法做出明確決定，并監督小組每一次事件響應過程。在確定了事件響應小組成員及組織結構后，你就可以將他們

4、組織起來，參與制定事件響應方案的每一個步驟。2、明確事件響應目標在制定事件響應方案前，我們應當明白事件響應的目標是什么是為了阻止攻擊，減小損失，盡快恢復網絡訪問正常，還是為了追蹤攻擊者，這應當從你要具體保護的網絡資源來確定。在確定事件響應目標時，應當明白，確定了事件響應目標，也就根本上確定了事件響應方案的具體方向，所有將要展開的方案制定工作也將圍繞它來進行，也直接關系到要保護的網絡資源。因此，先明確一個事件響應的目標，并在執行時嚴格圍繞它來進行，堅決杜絕違背響應目標的處理方式出現，是關系到事件響應最終效果的關鍵問題之一。應當注意的是，事件響應方案的目標，不是一成不變的，你應當在制定和實施的過程

5、中不斷地修正它，讓它真正適應你的網絡保護需要，并且，也不是說，你只能確定一個響應目標，你可以根據你自身的處理能力，以及投入本錢的多少，來確定一個或幾個你所需要的響應目標，例如，有時在做到盡快恢復網絡正常訪問的同時，盡可能地收集證據，分析并找到攻擊者，并將他(她)繩之以法。3、準備事件響應過程中所需要的工具軟件對于計算機平安技術人員來說，有時會出現三分技術七分工具情況。不管你的技術再好，如果需要時沒有相應的工具，有時也只能望洋興嘆。同樣的道理，當我們在響應事件的過程當中，將會用到一些工具軟件來應對相應的攻擊方法，我們不可能等到出現了實際的平安事件時，才想到要使用什么工具軟件來進行應對，然后再去尋

6、找或購置這些軟件。這樣一來，就有可能會因為某一個工具軟件沒有準備好而耽誤處理事件的及時性，引起事件影響范圍的擴大。因此，事先考慮當我們應對平安事件之時，所能夠用得到的工具軟件，將它們全部準備好，不管你通過什么方法得到，然后用可靠的存儲媒介來保存這些工具軟件，是非常有必要的。我們所要準備的工具軟件主要包括數據備份恢復、網絡及應用軟件漏洞掃描、網絡及應用軟件攻擊防范，以及日志分析和追蹤等軟件。這些軟件的種類很多，在準備時，得從你的實際情況出發，針對各種網絡攻擊方法，以及你的使用習慣和你能夠承受的本錢投入來決定。下面列出需要準備哪些方面的工具軟件：(1)、系統及數據的備份和恢復軟件。(2)、系統鏡像

7、軟件。(3)、文件監控及比擬軟件。(4)、各類日志文件分析軟件。(5)、網絡分析及嗅探軟件。(6)、網絡掃描工具軟件。(7)、網絡追捕軟件。(8)、文件捆綁分析及別離軟件，二進制文件分析軟件，進程監控軟件。(9)、如有可能，還可以準備一些反彈木馬軟件。由于涉及到的軟件很多，而且又有應用范圍及應用平臺之分，你不可能全部將它們下載或購置回來，這肯定是不夠現實的。因而在此筆者也不好一一將這些軟件全部羅列出來，但有幾個軟件，在事件響應當中是經常用到的，例如，Securebacker備份恢復軟件，Nikto網頁漏洞掃描軟件，Namp網絡掃描軟件，Tcpdump(WinDump)網絡監控軟件,Fport端

8、口監測軟件，Ntop網絡通信監視軟件，RootKitRevealer(Windows下)文件完整性檢查軟件，ArpwatchARP檢測軟件，OSSECHIDS入侵檢測和各種日志分析工具軟件，微軟的BASE分析軟件，SNORT基于網絡入侵檢測軟件，SpikeProxy網站漏洞檢測軟件，Sara平安評審助手，NetStumbler是802.11協議的嗅探工具，以及Wireshark嗅探軟件等都是應該擁有的。還有一些好用的軟件是操作系統本身帶有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其實上述提到的每個軟件以及所有需要準備的軟件，都可以在一些平安類網站上下載免費或試用版本

9、。準備好這些軟件后，應當將它們全部妥善保存。你可以將它們刻錄到光盤當中，也可以將它們存入移動媒體當中，并隨身攜帶，這樣，當要使用它們時隨手拿來就可以了。由于有些軟件是在不斷的更新當中的，而且只有不斷升級它們才能保證應對最新的攻擊方法，因此，對于這些工具軟件，還應當及時更新。二、制定事件響應方案當上述準備工作完成后，我們就可以開始著手制定具體的事件響應方案。在制定時，要根據在準備階段所確立的響應目標來進行。并且要將制定好的事件響應方案按一定的格式裝訂成冊，分發到每一個事件響應小組成員手中。由于每個網絡用戶具體的響應目標是不相同的，因而就不可能存在任何一個完全相同的事件響應方案。但是，一個完整的事

10、件響應方案，下面所列出的內容是不可缺少的：(1)、需要保護的資產;(2)、所保護資產的優先級;(3)、事件響應的目標;(4)、事件處理小組成員及組成結構，以及事件處理時與它方的合作方式;(5)、事件處理的具體步驟及考前須知;(6)、事件處理完成后文檔編寫存檔及上報方式;(7)、事件響應方案的后期維護方式;(8)、事件響應方案的模擬演練方案。上述列出項中的第一項和第二項所要說明的內容應該很容易理解，這些在制定平安策略時就會考慮到的，應該很容易就能夠完成，還用上述列出項中的第三項和第四項，也已經在本文的制定事件響應方案準備節時說明了，就不再在本文中再做詳細說明。至于上述列出項中的第五、第六、第七和

11、第八項，筆者只在此將它們的大概意思列出來，因為要在下面分別用一個單獨的小節，給它們做詳細的說明。在制定事件響應方案過程當中，還應當特別注意的是：事件響應方案要做到盡量詳細和條理清晰，以便事件響應小組成員能夠很好地明白。這要求，在制定過程當中，應當從自身的實際情況出發，認真仔細地調查和分析實際會出現的各種攻擊事件，組合各種資源，利用頭腦風暴的方法，不斷細化事件響應方案中的每一個具體應對方法，不斷修訂事件響應的目標，以此來加強事件響應方案的可擴展性和持續性，使事件響應方案真正適應實際的需求;同時，不僅每個事件響應小組的成員都應當參加進來，而且，包括平安產品提供商，各個合作伙伴，以及當地的政府部門和

12、法律機構都應當考慮進來。總之，一定要將事件響應方案盡可能地做到與你實際響應目標相對應。三、事件響應的具體實施在進行事件響應之前，你應該非常明白一個道理，就是事件處理時不能違背你制定的響應目標，不能在處理過程中避重就輕。例如，本來是要盡快恢復系統運行的，你卻只想著如何去追蹤攻擊者在何方，那么，就算你最終追查到了攻擊者，但此次攻擊所帶來的影響卻會因此而變得更加嚴重，這樣一來，不僅不能給帶來什么樣成就感，反而是得不償失的。但如果你事件響應的目標本身就是為了追查攻擊者，例如網絡警察，那么對如何追蹤攻擊者就應當是首要目標了。事實證明，按照事先制定的處理步驟來對事件進行響應，能減少處理過程當中的雜亂無章，

13、減少操作及判斷失誤而引起的處理不及時，因此，所有事件響應小組的成員，不僅要熟習整個事件響應方案，而且要特別熟練事件處理時的步驟。總體來說，一個具體的事件響應步驟，應當包括五個局部：事件識別，事件分類，事件證據收集，網絡、系統及應用程序數據恢復，以及事件處理完成后建檔上報和保存。現將它們詳細說明如下：1、事件識別在整個事件處理過程當中，這一步是非常重要的，你必需從眾多的信息中，識別哪些是真正的攻擊事件，哪些是正常的網絡訪問。事件識別，不僅要依賴平安軟件及系統所產生的各種日志中的異常記錄項來做出判斷，而且也與事件識別者的技術水平及經驗有很大的關系。這是因為，不僅平安軟件有誤報和漏報的現象，而且，攻

14、擊者往往會在成功入侵后，會用一切手段來修改這些日志，以掩蓋他的行蹤，讓你無法從日志中得到某些重要的信息。這時，一個有著豐富經驗的事件識別者，就可以通過對網絡及系統中某種現象的判斷，來決定是否已經受到了攻擊。有了可靠的日志，再加上在受到了攻擊時會出現各種異常現象，我們就可以通過分析這些日志文件中的記錄項，以及對各種現象的判斷來確定是否受到了真正的攻擊。因此，如果日志中出現了下面列出項中的記錄，或網絡和主機系統出現了下面列出項中的現象，就一定說明你所監控的網絡或主機已經或正在面臨著某種類別的攻擊：(1)、日志文件中記錄有異常的沒有登錄成功的審計事件;(2)、日志文件中有成功登錄的不明賬號記錄;(3

15、)、日志文件中存在有異常的修改某些特殊文件的記錄;(4)、日志文件中存在有某段時間來自網絡的不正常掃描記錄;(5)、日志文件中存在有在某段時間啟動的不明效勞進程的記錄;(6)、日志文件中存在有特殊用戶權限被修改或添加了不明用戶賬號的記錄;(7)、日志文件中存在有添加了某種不明文件的記錄;(8)、日志文件中存在有不明軟件主動向外連接的記錄;(9)、查看日志文件屬性時，時間戳不對，或者日志文件大小與你的記錄不相符;(10)、查看日志文件內容時，發現日志文件中的某個時間段不存在或被修改;(11)、發現系統反響速度變慢，或在某個時間段突然變慢，但已經排除了系統硬件性能影響的原因;(12)、發現系統中平

16、安軟件被停止，正常效勞被停止;(13)、發現網站網頁被篡改或被刪除替換;(14)、發現系統變得不穩定，突然死機，系統資源占用過大，不斷重啟;(15)、發現網絡流量突然增大，查看發現對外翻開了不明端口;(16)、發現網卡被設為混雜模式;(17)、某些正常效勞不能夠被訪問等等。能夠用來做出判斷異常記錄和異常現象還有很多，筆者就不在這里全部列出了。這要求事件響應人員應當不斷學習，努力提高自身的技術水平，不斷增加識別異常現象的經驗，然后形成一種適合自己的判斷方法后，再加上日志分析工具以及平安監控軟件的幫助，就不難在這些日志記錄項和現象中找出真正的攻擊事件來。到目前為止，通過分析各種日志文件來識別事件性

17、質，依然是最主要的方法之一。你可以重新設置這些平安軟件的日志輸出格式，使它們容易被理解;你也可以重新詳細設置平安軟件的過濾規那么，減少它們的誤報和漏報，增加可識別強度;你還可以使用一些專業的日志文件分析工具，例如OSSECHIDS，來加快分析大體積日志文件的速度，提高識別率，同時也會減輕你的負擔。至于擔憂日志會被攻擊者刪除或修改，你可以將所有的日志文件都保存到受防火墻保護的存儲系統之中，來減少這種風險。總之，為了能從日志文件中得到我們想要的信息，就應該想法使日志文件以我們需要的方式來工作。所有這些，都得要求事件響應人員在平時經常檢查網絡及系統的運行情況，不斷分析日志文件中的記錄，查看各種網絡或

18、系統異常現象，以便能及時真正的攻擊事件做出正確的判斷。另外，你應當在平時在對網絡系統中的某些對象進行操作時，應當詳細記錄下你所操作過的所有對象的內容及操作時間，以便在識別時有一個判斷的依據。在工作當中，經常用筆記錄下這些操作是一個事件響應人員應當養成的好習慣。當發現了上述出現的異常記錄或異常現象，就說明攻擊事件已經發生了，因而就可以立即進入到下一個環節當中，即對出現的攻擊事件的嚴重程度進行分類。2、事件分類當確認已經發現攻擊事件后，就應當立即對已經出現了的攻擊事件做出嚴重程度的判斷，以明確攻擊事件到達了什么地步，以便決定下一步采取什么樣的應對措施。例如，如果攻擊事件是涉及到效勞器中的一些機密數

19、據，這肯定是非常嚴重的攻擊事件，就應當立即斷開受到攻擊的效勞器的網絡連接，并將其隔離，以防止事態進一步的惡化及影響網絡中其它重要主機。對攻擊事件進行分類，一直以來，都是沒有一個統一的標準的，各平安廠商都有他自己的一套分類方法，因此，你也可以自行對攻擊事件的嚴重程度進行分類。一般來說，可以通過確認攻擊事件開展到了什么地步，以及造成了什么樣的后果來進行分類，這樣就可以將攻擊事件分為以下幾個類別：(1)、試探性事件;(2)、一般性事件;(3)、控制系統事件;(4)、拒絕效勞事件;(5)、得到機密數據事件。對網絡中的主機進行試探性掃描，都可以認為是試探性質的事件，這些都是攻擊者為了確認網絡中是否有可以

20、被攻擊的主機，而進行的最根本的工作。當攻擊者確認了要攻擊的目標后，他就會進一步地對攻擊目標進行更加詳細，更加有目的的掃描，這時，所使用的掃描方式就會更加先進和不可識別性，例如半連接式掃描及FIN方式掃描等，這種掃描完成后，就可以找到一些是否可以利用的漏洞信息，由于現在的一些整合性防火墻和IDS也能夠識別這些方式的掃描，因此，如果在日志文件中找到了與此相應的記錄，就說明攻擊已經開展到了一般性事件的地步了。當攻擊者得到可以利用的漏洞信息后，他就會利用各種手段對攻擊目標進行滲透，這時，如果你沒有及時發現，滲透的成功性是非常大的，網絡中已經存在有太多的這類滲透工具，使用這些工具進行滲透工作是輕而易舉的

21、事，在滲透成功后，攻擊者就會想法提高自己在攻擊目標系統中的權限，并安裝后門，以便能隨心所欲地控制已經滲透了的目標，此時，就已經開展到了控制系統的地步。到這里，如果你還沒有發現攻擊行為，那么，你所保護的機密資料將有可能被攻擊者完全得到，事態的嚴重性就可想而知了。攻擊者在控制了攻擊目標后，有時也不一定能夠得到機密數據，由此而產生一些報復性行為，例如進行一些DOS或DDOS攻擊等，讓其他正常用戶也不能夠訪問，或者，攻擊者控制系統的目的，就是為了對其它系統進行DOS或DDOS攻擊。此時的你，就應該從日志文件的記錄項中，迅速對攻擊事件開展到了哪種地步做出明確的判斷，并及時上報小組領導，以及通報給其他小組

22、成員，以便整個小組中的所有成員能夠明確此次攻擊事件的嚴重程度，然后決定采取什么樣的應對方法來進行響應，以防止事態向更加嚴重的程度開展，或者盡量減小損失，及時修補漏洞，恢復網絡系統正常運行，并盡快收集好所有的證據，以此來找到攻擊者。3、攻擊事件證據收集為了能為析攻擊產生的原因及攻擊所產生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據，就應該在恢復已被攻擊的系統正常之前，將這些能提供證據的數據全部收集起來，妥善保存。至于如何收集，這要視你所要收集的證據的多少及大小，以及收集的速度要求來定。如果只收集少量的數據，你可以通過簡單的復制方法將這些數據保存到另外一些平安的存儲媒介當中;如果要收集的數

23、據數量多且體積大，而且要求在極少的時間來完成，你就可以通過一些專業的軟件來進行收集。對于這些收集的數據保存到什么樣的存儲媒介之中，也得根據所要收集的數據要求來定的，還得看你現在所擁有的存儲媒介有哪些，一般保存到光盤或磁帶當中為好。具體收集哪些數據，你可以將你認為能夠為攻擊事件提供證據的數據全部都收集起來，也可以只收集其中最重要的局部，下面是一些應該收集的數據列表：(1)、操作系統事件日志;(2)、操作系統審計日志;(3)、網絡應用程序日志;(4)、防火墻日志;(5)、入侵檢測日志;(6)、受損系統及軟件鏡像。在進行這一步之前，如果你的首要任務是將網絡或系統恢復正常，為了防止在恢復系統備份時將這

24、些證據文件喪失，或者你只是想為這些攻擊留個紀念，你應領先使用一些系統鏡像軟件將整個系統做一個鏡像保存后，再進行恢復工作。收集的數據不僅是作為指證攻擊者的證據，而且，在事件響應完成后，還應將它們統計建檔，并上報給相關領導及其它合作機構，例如平安軟件提供商，合作伙伴，以及當地的法律機構，同時也可以作為事后分析學習之用。因此，這個事件響應操作步驟也是必不可少的，收集到的數據也應當保存完整。4、網絡、系統及應用程序數據恢復在收集完所有的證據后，就可以將被攻擊影響到的對象全部恢復正常運行，以便可以正常使用。是否能夠及時的恢復系統到正常狀態，得依靠另一個平安手段，就是備份恢復方案，對于一些大型企業，有時也

25、被稱為災難恢復方案，不管怎么說，事先對所保護的重要數據做一個平安的備份是一定需要的，它直接影響到事件響應過程中恢復的及時性和可能性。在恢復系統后，你應當確保系統漏洞已經被修補完成，系統已經更新了最新的補丁包，并且已經重新對修補過的系統做了新的備份，這樣，才能讓這些受到攻擊恢復正常后的系統重新連入到網絡當中。如果當時還沒有最新的平安補丁，而又必需馬上恢復系統運行的話，你可以先實施一些針對性的平安措施，然后再將系統連入到網絡當中，但要時刻注意，并在有補丁時馬上更新它，并重新備份。恢復的方法及恢復內容的多少，得看你的系統受損的情況來決定，例如，系統中只是開放了一些不正常的端口，那就沒有必要恢復整個系

26、統，只要將這些端口關閉，然后堵住產生攻擊的漏洞就可以了。如果系統中的重要文件已經被修改或刪除，系統不能正常運行，而這些文件又不能夠被修復，就只能恢復整個系統了。恢復時，即可以通過手工操作方式來到達恢復目的，也可以通過一些專業的備份恢復軟件來進行恢復，甚至，在有些大中型企業，由于數據多，而且非常重要，對系統穩定性和連續性有很高的要求，例如一些網站類企業，就會使用一個備用系統，來提供冗余，當一套系統遭到攻擊停運后，另一套系統就會自動接替它運行，這樣，就能讓事件響應小組人員有足夠多的時間進行各項操作，而且不會影響到網絡系統的正常訪問。恢復在整個事件處理步驟當中是比擬獨特的，將它放在哪一步來執行，你應

27、當以你的保護目標來決定，例如，當你保護的首要目標是為了盡快恢復網絡系統或效勞能夠正常訪問，如果有備用系統的，因為備用系統已經接替受攻擊的系統運行了，就可以按上述步驟中的順序來進行操作，而對于只有備份文件的，如果想要系統最快速度地恢復正常運行，可以先將整個受損系統做一個鏡像，然后就可以迅速恢復備份，投入運行。其實，任何處理步驟，說白了，就只是讓你養成一種對某種事件處理過程的通用習慣性思維和工作流程而已。5、事件處理過程的建檔保存在將所有事件都已調查清楚，系統也恢復正常運行后，你就應當將所有與這次事件相關的所有種種都做一個詳細的記錄存檔。建檔的目的有二點，一是用來向上級領導報告事件起因及處理方法，

28、二是用來做學習的例子，用來分析攻擊者的攻擊方法，以便以后更加有效地防止此類攻擊事件的發生。具體要記錄保存的內容涉及到整個事件響應過程，要記錄的內容比擬多，而且響應過程有時比擬長，因此，這就要求平安事件響應人員在事件處理過程當中，應當隨時記錄下響應過程中發現的點點滴滴和所有的操作事件，以便建檔時能使用。建檔格式是可以由你自行來規定，沒有具體的標準的，只要能夠清楚地記錄下所有應該記錄的內容就可以了。也可以將文檔做成一式三份，一份上報領導，一份保存，一份用來分析學習用。也可以將這些文檔交給一些專業的平安公司和系統及應用軟件提供商，以便它們能夠及時地了解這種攻擊方法，并發布相應的防范產品和平安補丁包，

29、還可以向一些合作伙伴通報，讓它們也能夠加強這方面的防范。具體要建檔的內容如下所示：(1)、攻擊發生在什么時候，什么時候發現的，發現人是誰(2)、攻擊者利用的是什么漏洞來攻擊的，這種漏洞是已經發現了的，還現在才出事的，漏洞的具體類別及數量(3)、攻擊者在系統中進行了哪些方面的操作，有哪些數據或文件被攻擊者攻擊了(4)、攻擊的大體開展順序是怎么進行的(5)、造成此次事件的關鍵因素是什么(6)、解決此次事件的具體流程是什么(7)、攻擊造成了什么后果，嚴重程度如何，攻擊者得到了什么權限和數據(8)、攻擊者是如何突破平安防線的(9)、用什么工具軟件解決的(10)、此次事件在發現及處理時有哪些人員參與，上

30、報給了哪些部門及人員(11)、事件發生后，損失的恢復情況如何(12)、此次攻擊有了什么新的改變，是否可以預防和應對(13)、以后應該如何應對這種平安事件，給出一個具體的方案附后等等。以上所列出的，都是建檔時應當記錄的內容。建檔人員可以自由安排記錄的順序，但是得和事件處理的順序相對應，以便讓其它人員更好地理解和學習。當然，你還可以記錄其它沒有在上述項中提到的內容，只要你認為有記錄下這些內容的必要，或者是你的響應小組領導要求記錄下這些內容。四、事件響應方案后期維護及演練1、事件響應方案后期維護制定好一個事件響應方案后，就應當及時嚴格地組織實施，將事件響應方案束之高格，或者雖然實施了但卻從來不對它進行維護，這些都等同于沒有一樣，甚至比沒有時更壞。這是因為，不斷有新的攻擊手段出現，如果你不對已經制定的事件響應方案做出相應調整的話，那么，你也就不會對這些新的攻擊方法做出正確的響應，事件響應也就沒有了真正意義，甚至，如果你不加強