IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 制定和實施網(wǎng)絡(luò)安全事件響應(yīng)計劃

制定和實施網(wǎng)絡(luò)安全事件響應(yīng)計劃

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

網(wǎng)絡(luò)環(huán)境日益復(fù)雜,網(wǎng)絡(luò)攻擊的技術(shù)水平和花樣在不斷增長和提高,甚至超過了同期的安全防范技術(shù)水平;再加上安全防范工作當(dāng)中所涉及到人,往往會出現(xiàn)百密一疏的情況。因此,就算我們制定了最適合的安全防范策略,應(yīng)用了最先進(jìn)的安全技術(shù)和產(chǎn)品,但是,仍然不能保證所要保護(hù)的對象的絕對安全。這也就說明,安全事件還是有可能會出現(xiàn)的。俗話說得好,不怕一萬,只怕萬一,如果安全事件萬一真的出現(xiàn)了,我們該如何應(yīng)對呢?

事實證明,事先制定一個行之有效的網(wǎng)絡(luò)安全事件響應(yīng)計劃(在本文后續(xù)描述中簡稱事件響應(yīng)計劃),能夠在出現(xiàn)實際的安全事件之后,幫助你及你的安全處理團隊正確識別事件類型,及時保護(hù)日志等證據(jù)文件,并從中找出受到攻擊的原因,在妥善修復(fù)后再將系統(tǒng)投入正常運行。有時,甚至還可以通過分析保存的日志文件,通過其中的任何有關(guān)攻擊的蛛絲馬跡找到具體的攻擊者,并將他(她)繩之以法。

一、制定事件響應(yīng)計劃的前期準(zhǔn)備

制定事件響應(yīng)計劃是一件要求嚴(yán)格的工作,在制定之前,先為它做一些準(zhǔn)備工作是非常有必要的,它將會使其后的具體制定過程變得相對輕松和高效。這些準(zhǔn)備工作包括建立事件響應(yīng)小姐并確定成員、明確事件響應(yīng)的目標(biāo),以及準(zhǔn)備好制定事件響應(yīng)計劃及響應(yīng)事件時所需的工具軟件。

1、建立事件響應(yīng)小組和明確小組成員

任何一種安全措施,都是由人來制定,并由人來執(zhí)行實施的,人是安全處理過程中最重要的因素,它會一直影響安全處理的整個過程,同樣,制定和實施事件響應(yīng)計劃也是由有著這方面知識的各種成員來完成的。既然如此,那么在制定事件響應(yīng)計劃之前,我們就應(yīng)當(dāng)先組建一個事件響應(yīng)小組,并確定小組成員和組織結(jié)構(gòu)。

至于如何選擇響應(yīng)小組的成員及組織結(jié)構(gòu),你可以根據(jù)你所處的實際組織結(jié)構(gòu)來決定,但你應(yīng)當(dāng)考慮小組成員本身的技術(shù)水平及配合能達(dá)到的默契程度,同時,你還應(yīng)該明白如何保證小組成員內(nèi)部的安全。一般來說,你所在組織結(jié)構(gòu)中的領(lǐng)導(dǎo)者也可以作為小組的最高領(lǐng)導(dǎo)者,每一個部門中的領(lǐng)導(dǎo)者可以作為小組的下一級領(lǐng)導(dǎo),每個部門的優(yōu)秀的IT管理人員可以成為小組成員,再加上你所在的IT部門中的一些優(yōu)秀成員,就可以組建一個事件響應(yīng)小組了。響應(yīng)小組應(yīng)該有一個嚴(yán)密的組織結(jié)構(gòu)和上報制度,其中,IT人員應(yīng)當(dāng)是最終的事件應(yīng)對人員,負(fù)責(zé)事件監(jiān)控識別處理的工作,并向上級報告;小組中的部門領(lǐng)導(dǎo)可作為小組響應(yīng)人員的上一級領(lǐng)導(dǎo),直接負(fù)責(zé)督促各小組成員完成工作,并且接受下一級的報告并將事件響應(yīng)過程建檔上報;小組最高領(lǐng)導(dǎo)者負(fù)責(zé)協(xié)調(diào)整個事件響應(yīng)小組的工作,對事件處理方法做出明確決定,并監(jiān)督小組每一次事件響應(yīng)過程。

在確定了事件響應(yīng)小組成員及組織結(jié)構(gòu)后,你就可以將他們組織起來,參與制定事件響應(yīng)計劃的每一個步驟。

2、明確事件響應(yīng)目標(biāo)

在制定事件響應(yīng)計劃前,我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么?是為了阻止攻擊,減小損失,盡快恢復(fù)網(wǎng)絡(luò)訪問正常,還是為了追蹤攻擊者,這應(yīng)當(dāng)從你要具體保護(hù)的網(wǎng)絡(luò)資源來確定。

在確定事件響應(yīng)目標(biāo)時,應(yīng)當(dāng)明白,確定了事件響應(yīng)目標(biāo),也就基本上確定了事件響應(yīng)計劃的具體方向,所有將要展開的計劃制定工作也將圍繞它來進(jìn)行,也直接關(guān)系到要保護(hù)的網(wǎng)絡(luò)資源。因此,先明確一個事件響應(yīng)的目標(biāo),并在執(zhí)行時嚴(yán)格圍繞它來進(jìn)行,堅決杜絕違背響應(yīng)目標(biāo)的處理方式出現(xiàn),是關(guān)系到事件響應(yīng)最終效果的關(guān)鍵問題之一。

應(yīng)當(dāng)注意的是,事件響應(yīng)計劃的目標(biāo),不是一成不變的,你應(yīng)當(dāng)在制定和實施的過程中不斷地修正它,讓它真正適應(yīng)你的網(wǎng)絡(luò)保護(hù)需要,并且,也不是說,你只能確定一個響應(yīng)目標(biāo),你可以根據(jù)你自身的處理能力,以及投入成本的多少,來確定一個或幾個你所需要的響應(yīng)目標(biāo),例如,有時在做到盡快恢復(fù)網(wǎng)絡(luò)正常訪問的同時,盡可能地收集證據(jù),分析并找到攻擊者,并將他(她)繩之以法。

3、準(zhǔn)備事件響應(yīng)過程中所需要的工具軟件

對于計算機安全技術(shù)人員來說,有時會出現(xiàn)三分技術(shù)七分工具情況。不論你的技術(shù)再好,如果需要時沒有相應(yīng)的工具,有時也只能望洋興嘆。同樣的道理,當(dāng)我們在響應(yīng)事件的過程當(dāng)中,將會用到一些工具軟件來應(yīng)對相應(yīng)的攻擊方法,我們不可能等到出現(xiàn)了實際的安全事件時,才想到要使用什么工具軟件來進(jìn)行應(yīng)對,然后再去尋找或購買這些軟件。這樣一來,就有可能會因為某一個工具軟件沒有準(zhǔn)備好而耽誤處理事件的及時性,引起事件影響范圍的擴大。因此,事先考慮當(dāng)我們應(yīng)對安全事件之時,所能夠用得到的工具軟件,將它們?nèi)繙?zhǔn)備好,不管你通過什么方法得到,然后用可靠的存儲媒介來保存這些工具軟件,是非常有必要的。

我們所要準(zhǔn)備的工具軟件主要包括數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描、網(wǎng)絡(luò)及應(yīng)用軟件攻擊防范,以及日志分析和追蹤等軟件。這些軟件的種類很多,在準(zhǔn)備時,得從你的實際情況出發(fā),針對各種網(wǎng)絡(luò)攻擊方法,以及你的使用習(xí)慣和你能夠承受的成本投入來決定。

下面列出需要準(zhǔn)備哪些方面的工具軟件:

(1)、系統(tǒng)及數(shù)據(jù)的備份和恢復(fù)軟件。

(2)、系統(tǒng)鏡像軟件。

(3)、文件監(jiān)控及比較軟件。

(4)、各類日志文件分析軟件。

(5)、網(wǎng)絡(luò)分析及嗅探軟件。

(6)、網(wǎng)絡(luò)掃描工具軟件。

(7)、網(wǎng)絡(luò)追捕軟件。

(8)、文件捆綁分析及分離軟件,二進(jìn)制文件分析軟件,進(jìn)程監(jiān)控軟件。

(9)、如有可能,還可以準(zhǔn)備一些反彈木馬軟件。

由于涉及到的軟件很多,而且又有應(yīng)用范圍及應(yīng)用平臺之分,你不可能全部將它們下載或購買回來,這肯定是不夠現(xiàn)實的。因而在此筆者也不好一一將這些軟件全部羅列出來,但有幾個軟件,在事件響應(yīng)當(dāng)中是經(jīng)常用到的,例如,Secure backer備份恢復(fù)軟件,Nikto網(wǎng)頁漏洞掃描軟件,Namp網(wǎng)絡(luò)掃描軟件,Tcpdump(WinDump)網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測軟件,Ntop網(wǎng)絡(luò)通信監(jiān)視軟件,RootKitRevealer(Windows下)文件完整性檢查軟件,Arpwatch ARP檢測軟件,OSSEC HIDS入侵檢測和各種日志分析工具軟件,微軟的BASE分析軟件,SNORT基于網(wǎng)絡(luò)入侵檢測軟件,Spike Proxy網(wǎng)站漏洞檢測軟件,Sara安全評審助手,NetStumbler是802.11協(xié)議的嗅探工具,以及Wireshark嗅探軟件等都是應(yīng)該擁有的。還有一些好用的軟件是操作系統(tǒng)本身帶有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其實上述提到的每個軟件以及所有需要準(zhǔn)備的軟件,都可以在一些安全類網(wǎng)站上下載免費或試用版本,例如,www.xfocus.net和www.insecure.org這兩個網(wǎng)站。

準(zhǔn)備好這些軟件后,應(yīng)當(dāng)將它們?nèi)客咨票4?。你可以將它們刻錄到光盤當(dāng)中,也可以將它們存入移動媒體當(dāng)中,并隨身攜帶,這樣,當(dāng)要使用它們時隨手拿來就可以了。由于有些軟件是在不斷的更新當(dāng)中的,而且只有不斷升級它們才能保證應(yīng)對最新的攻擊方法,因此,對于這些工具軟件,還應(yīng)當(dāng)及時更新。

二、制定事件響應(yīng)計劃

當(dāng)上述準(zhǔn)備工作完成后,我們就可以開始著手制定具體的事件響應(yīng)計劃。在制定時,要根據(jù)在準(zhǔn)備階段所確立的響應(yīng)目標(biāo)來進(jìn)行。并且要將制定好的事件響應(yīng)計劃按一定的格式裝訂成冊,分發(fā)到每一個事件響應(yīng)小組成員手中。

由于每個網(wǎng)絡(luò)用戶具體的響應(yīng)目標(biāo)是不相同的,因而就不可能存在任何一個完全相同的事件響應(yīng)計劃。但是,一個完整的事件響應(yīng)計劃,下面所列出的內(nèi)容是不可缺少的:

(1)、需要保護(hù)的資產(chǎn);

(2)、所保護(hù)資產(chǎn)的優(yōu)先級;

(3)、事件響應(yīng)的目標(biāo);

(4)、事件處理小組成員及組成結(jié)構(gòu),以及事件處理時與它方的合作方式;

(5)、事件處理的具體步驟及注意事項;

(6)、事件處理完成后文檔編寫存檔及上報方式;

(7)、事件響應(yīng)計劃的后期維護(hù)方式;

(8)、事件響應(yīng)計劃的模擬演練計劃。

上述列出項中的第一項和第二項所要說明的內(nèi)容應(yīng)該很容易理解,這些在制定安全策略時就會考慮到的,應(yīng)該很容易就能夠完成,還用上述列出項中的第三項和第四項,也已經(jīng)在本文的制定事件響應(yīng)計劃準(zhǔn)備節(jié)時說明了,就不再在本文中再做詳細(xì)說明。至于上述列出項中的第五、第六、第七和第八項,筆者只在此將它們的大概意思列出來,因為要在下面分別用一個單獨的小節(jié),給它們做詳細(xì)的說明。

在制定事件響應(yīng)計劃過程當(dāng)中,還應(yīng)當(dāng)特別注意的是:事件響應(yīng)計劃要做到盡量詳細(xì)和條理清晰,以便事件響應(yīng)小組成員能夠很好地明白。這要求,在制定過程當(dāng)中,應(yīng)當(dāng)從自身的實際情況出發(fā),認(rèn)真仔細(xì)地調(diào)查和分析實際會出現(xiàn)的各種攻擊事件,組合各種資源,利用頭腦風(fēng)暴的方法,不斷細(xì)化事件響應(yīng)計劃中的每一個具體應(yīng)對方法,不斷修訂事件響應(yīng)的目標(biāo),以此來加強事件響應(yīng)計劃的可擴展性和持續(xù)性,使事件響應(yīng)計劃真正適應(yīng)實際的需求;同時,不僅每個事件響應(yīng)小組的成員都應(yīng)當(dāng)參加進(jìn)來,而且,包括安全產(chǎn)品提供商,各個合作伙伴,以及當(dāng)?shù)氐恼块T和法律機構(gòu)都應(yīng)當(dāng)考慮進(jìn)來。

總之,一定要將事件響應(yīng)計劃盡可能地做到與你實際響應(yīng)目標(biāo)相對應(yīng)。

三、事件響應(yīng)的具體實施

在進(jìn)行事件響應(yīng)之前,你應(yīng)該非常明白一個道理,就是事件處理時不能違背你制定的響應(yīng)目標(biāo),不能在處理過程中避重就輕。例如,本來是要盡快恢復(fù)系統(tǒng)運行的,你卻只想著如何去追蹤攻擊者在何方,那么,就算你最終追查到了攻擊者,但此次攻擊所帶來的影響卻會因此而變得更加嚴(yán)重,這樣一來,不僅不能給帶來什么樣成就感,反而是得不償失的。但如果你事件響應(yīng)的目標(biāo)本身就是為了追查攻擊者,例如網(wǎng)絡(luò)警察,那么對如何追蹤攻擊者就應(yīng)當(dāng)是首要目標(biāo)了。

事實證明,按照事先制定的處理步驟來對事件進(jìn)行響應(yīng),能減少處理過程當(dāng)中的雜亂無章,減少操作及判斷失誤而引起的處理不及時,因此,所有事件響應(yīng)小組的成員,不僅要

關(guān)鍵詞標(biāo)簽:網(wǎng)絡(luò)安全

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量