金钼软件下载站:全力打造中国绿色软件下载基地,所有软件通过安全检测,无木马病毒,无诱导广告,绿色软件轻松下载,更新及时,精彩下载,尽在本下载站!
网站地图
你的位置: 首页 > 游戏资讯 > 网络安全

企业网络安全事件应急响应方案

  • 2023-05-22 05:11:48
  • 来源:网络
  • 在手机上看

    扫一扫立即进入手机端

  事实证明,事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划),能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型,及时保护日志等证据文件,并从中找出受到攻击的原因,在妥善修复后再将系统投入正常运行。有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者,并将他(她)绳之以法。

  一、制定事件响应计划的前期准备

  制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常有必要的,它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所需的工具软件。

  1、建立事件响应小组和明确小组成员

  任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。既然如此,那么在制定事件响应计划之前,我们就应当先组建一个事件响应小组,并确定小组成员和组织结构。

  至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定,但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何保证小组成员内部的安全。一般来说,你所在组织结构中的领导者也可以作为小组的最高领导者,每一个部门中的领导者可以作为小组的下一级领导,每个部门的优秀的IT管理人员可以成为小组成员,再加上你所在的IT部门中的一些优秀成员,就可以组建一个事件响应小组了。响应小组应该有一个严密的组织结构和上报制度,其中,IT人员应当是最终的事件应对人员,负责事件监控识别处理的工作,并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次事件响应过程。

  在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响应计划的每一个步骤。

  2、明确事件响应目标

  在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止攻击,减小损失,尽快恢复网络访问正常,还是为了追踪攻击者,这应当从你要具体保护的网络资源来确定。

  在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的网络资源。因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违背响应目标的处理方式出现,是关系到事件响应最终效果的关键问题之一。

  应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到攻击者,并将他(她)绳之以法。

  3、准备事件响应过程中所需要的工具软件

  对于计算机安全技术人员来说,有时会出现三分技术七分工具情况。不论你的技术再好,如果需要时没有相应的工具,有时也只能望洋兴叹。同样的道理,当我们在响应事件的过程当中,将会用到一些工具软件来应对相应的攻击方法,我们不可能等到出现了实际的安全事件时,才想到要使用什么工具软件来进行应对,然后再去寻找或购买这些软件。这样一来,就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性,引起事件影响范围的扩大。因此,事先考虑当我们应对安全事件之时,所能够用得到的工具软件,将它们全部准备好,不管你通过什么方法得到,然后用可靠的存储媒介来保存这些工具软件,是非常有必要的。

  我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范,以及日志分析和追踪等软件。这些软件的种类很多,在准备时,得从你的实际情况出发,针对各种网络攻击方法,以及你的使用习惯和你能够承受的成本投入来决定。

  下面列出需要准备哪些方面的工具软件:

  (1)、系统及数据的备份和恢复软件。

  (2)、系统镜像软件。

  (3)、文件监控及比较软件。

  (4)、各类日志文件分析软件。

  (5)、网络分析及嗅探软件。

  (6)、网络扫描工具软件。

  (7)、网络追捕软件。

  (8)、文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。

  (9)、如有可能,还可以准备一些反弹木马软件。

  由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载或购买回来,这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来,但有几个软件,在事件响应当中是经常用到的,例如,Securebacker备份恢复软件,Nikto网页漏洞扫描软件,Namp网络扫描软件,Tcpdump(WinDump)网络监控软件,Fport端口监测软件,Ntop网络通信监视软件,RootKitRevealer(Windows下)文件完整性检查软件,ArpwatchARP检测软件,OSSECHIDS入侵检测和各种日志分析工具软件,微软的BASE分析软件,SNORT基于网络入侵检测软件,SpikeProxy网站漏洞检测软件,Sara安全评审助手,NetStumbler是802.11协议的嗅探工具,以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其实上述提到的每个软件以及所有需要准备的软件,都可以在一些安全类网站上下载免费或试用版本,例如,www.xfocus.net和www.insecure.org这两个网站。

  准备好这些软件后,应当将它们全部妥善保存。你可以将它们刻录到光盘当中,也可以将它们存入移动媒体当中,并随身携带,这样,当要使用它们时随手拿来就可以了。由于有些软件是在不断的更新当中的,而且只有不断升级它们才能保证应对最新的攻击方法,因此,对于这些工具软件,还应当及时更新。

  二、制定事件响应计划

  当上述准备工作完成后,我们就可以开始着手制定具体的事件响应计划。在制定时,要根据在准备阶段所确立的响应目标来进行。并且要将制定好的事件响应计划按一定的格式装订成册,分发到每一个事件响应小组成员手中。

  由于每个网络用户具体的响应目标是不相同的,因而就不可能存在任何一个完全相同的事件响应计划。但是,一个完整的事件响应计划,下面所列出的内容是不可缺少的:

  (1)、需要保护的资产;

  (2)、所保护资产的优先级;

  (3)、事件响应的目标;

  (4)、事件处理小组成员及组成结构,以及事件处理时与它方的合作方式;

  (5)、事件处理的具体步骤及注意事项;

  (6)、事件处理完成后文档编写存档及上报方式;

  (7)、事件响应计划的后期维护方式;

  (8)、事件响应计划的模拟演练计划。

#p#副标题#e#

  上述列出项中的第一项和第二项所要说明的内容应该很容易理解,这些在制定安全策略时就会考虑到的,应该很容易就能够完成,还用上述列出项中的第三项和第四项,也已经在本文的制定事件响应计划准备节时说明了,就不再在本文中再做详细说明。至于上述列出项中的第五、第六、第七和第八项,笔者只在此将它们的大概意思列出来,因为要在下面分别用一个单独的小节,给它们做详细的说明。

  在制定事件响应计划过程当中,还应当特别注意的是:事件响应计划要做到尽量详细和条理清晰,以便事件响应小组成员能够很好地明白。这要求,在制定过程当中,应当从自身的实际情况出发,认真仔细地调查和分析实际会出现的各种攻击事件,组合各种资源,利用头脑风暴的方法,不断细化事件响应计划中的每一个具体应对方法,不断修订事件响应的目标,以此来加强事件响应计划的可扩展性和持续性,使事件响应计划真正适应实际的需求;同时,不仅每个事件响应小组的成员都应当参加进来,而且,包括安全产品提供商,各个合作伙伴,以及当地的政府部门和法律机构都应当考虑进来。

  总之,一定要将事件响应计划尽可能地做到与你实际响应目标相对应。

  三、事件响应的具体实施

  在进行事件响应之前,你应该非常明白一个道理,就是事件处理时不能违背你制定的响应目标,不能在处理过程中避重就轻。例如,本来是要尽快恢复系统运行的,你却只想着如何去追踪攻击者在何方,那么,就算你最终追查到了攻击者,但此次攻击所带来的影响却会因此而变得更加严重,这样一来,不仅不能给带来什么样成就感,反而是得不偿失的。但如果你事件响应的目标本身就是为了追查攻击者,例如网络警察,那么对如何追踪攻击者就应当是首要目标了。

  事实证明,按照事先制定的处理步骤来对事件进行响应,能减少处理过程当中的杂乱无章,减少操作及判断失误而引起的处理不及时,因此,所有事件响应小组的成员,不仅要熟习整个事件响应计划,而且要特别熟练事件处理时的步骤。

  总体来说,一个具体的事件响应步骤,应当包括五个部分:事件识别,事件分类,事件证据收集,网络、系统及应用程序数据恢复,以及事件处理完成后建档上报和保存。现将它们详细说明如下:

标签: 企业网络安全 企业网络安全事件应急响应方案 lol手游登录显示100006(lol手游登录显示网络超时) 2077网络监察(2077网络监察网驱5型) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 2077网监巫毒帮(2077巫毒帮和网络) cod战区安全模式怎么关(使命召唤安全区域设置) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) csgo网络参数指令(csgo网络参数命令) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 2077网络接入舱(赛博朋克2077网络接入仓传说) 2个人一起玩的生存游戏(手游排行榜前十名网络游戏) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) wow炽蓝仙野(wow炽蓝仙野传送网络怎么用) arch配置(arch配置网络) 安全运输法则恶心(安全运输规定定义) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 2077网监巫毒帮(赛博朋克2077网络特工巫毒帮) 2077巫毒帮和网络监察都杀(2077巫毒帮杀不杀) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) csgoa队印花(csgo印花搭配方案) 奥日与萤火意志无响应(奥日与萤火意志玩一会闪退) 《荒野大镖客2》最佳画质设置方案(荒野大镖客2最好画质设置) gta5安全门禁(gta5门禁装置需要买吗) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) cod战区安全令(使命召唤战区安全模式是什么意思) ff14魔矿石(ff14采集魔晶石镶嵌方案) switch数码宝贝网络侦探和骇客记忆的区别(ns数码宝贝骇客追忆和网络侦探) 关于缺少VCRUNTIME140_1.DLL的解决方案-2种解决方法 简介UbunturootX系统安全帐号 保证安全Vista系统中拒绝陌生U盘使用 改变IT安全历程的十大里程碑盘点 安全知识:巧设瑞星白名单让信任的程序运行更快 安全防忽悠之安全网关趋势分析 网络实验中仅仅搭建成功不算真的成功 安装配置MRTG监控Linux网络 windowsserver安全策略与组策略关系 Windows服务器安全维护注意八要点 远程控制向Windows2008设置要安全 教你取消烦人的windows7安全性提示 无线网络安全 企业无线网络安全问题全解 司机宝企业版app下载 企业办公app 企业网络 安全部署企业网络边界路由器 边界路由器的九个安全设置 组策略让Windows2008在低安全下更安全 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 虚拟桌面安全软件保障远程客户端安全 测试你的WLAN安全保护WLAN中的数据 通过路由器基础设置使网络更加安全 网络文件系统 配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口 网络安全 网络安全知识:独门秘籍阻止网络病毒的自动执行 安全维护上最不应该犯的十个基本错误

相关资讯

更多

游戏推荐

企业网络安全 企业网络安全事件应急响应方案 lol手游登录显示100006(lol手游登录显示网络超时) 2077网络监察(2077网络监察网驱5型) csgo安全处所收藏品怎么得(csgo安全处所收藏品有什么) 《怪物猎人:世界》ps4联机网络设置指南(怪物猎人世界ps4连不上服务器) 2077网监巫毒帮(2077巫毒帮和网络) cod战区安全模式怎么关(使命召唤安全区域设置) 《明日方舟》实名游戏账号可以找回吗安全吗(明日方舟实名认证可以找回密码吗) csgo网络参数指令(csgo网络参数命令) cod16不小心进入安全模式(cod16怎么取消从安全模式进) 2077网络接入舱(赛博朋克2077网络接入仓传说) 2个人一起玩的生存游戏(手游排行榜前十名网络游戏) lol马来西亚服在国内玩延迟高吗(lol马来西亚服在国内玩延迟高吗安全吗) wow炽蓝仙野(wow炽蓝仙野传送网络怎么用) arch配置(arch配置网络) 安全运输法则恶心(安全运输规定定义) 暗区突围保险箱怎么获得(暗区突围安全箱cdk) 2077网监巫毒帮(赛博朋克2077网络特工巫毒帮) 2077巫毒帮和网络监察都杀(2077巫毒帮杀不杀) 《明日方舟》实名认证的账号能找回来吗安全吗(明日方舟实名的号能找回么) csgoa队印花(csgo印花搭配方案) 奥日与萤火意志无响应(奥日与萤火意志玩一会闪退) 《荒野大镖客2》最佳画质设置方案(荒野大镖客2最好画质设置) gta5安全门禁(gta5门禁装置需要买吗) 《王者荣耀》限时点券和点券能一起用吗安全吗(王者荣耀限时点券和点券可以混用吗) cod战区安全令(使命召唤战区安全模式是什么意思) ff14魔矿石(ff14采集魔晶石镶嵌方案) switch数码宝贝网络侦探和骇客记忆的区别(ns数码宝贝骇客追忆和网络侦探) 关于缺少VCRUNTIME140_1.DLL的解决方案-2种解决方法 简介UbunturootX系统安全帐号 保证安全Vista系统中拒绝陌生U盘使用 改变IT安全历程的十大里程碑盘点 安全知识:巧设瑞星白名单让信任的程序运行更快 安全防忽悠之安全网关趋势分析 网络实验中仅仅搭建成功不算真的成功 安装配置MRTG监控Linux网络 windowsserver安全策略与组策略关系 Windows服务器安全维护注意八要点 远程控制向Windows2008设置要安全 教你取消烦人的windows7安全性提示 无线网络安全 企业无线网络安全问题全解 司机宝企业版app下载 企业办公app 企业网络 安全部署企业网络边界路由器 边界路由器的九个安全设置 组策略让Windows2008在低安全下更安全 Windows安全模式杀毒方 Windows安全模式下另类的杀毒方法 虚拟桌面安全软件保障远程客户端安全 测试你的WLAN安全保护WLAN中的数据 通过路由器基础设置使网络更加安全 网络文件系统 配置网络文件系统NFS服务 Linux服务器安全 Linux服务器安全设置关闭无用端口 网络安全 网络安全知识:独门秘籍阻止网络病毒的自动执行 安全维护上最不应该犯的十个基本错误
更多

手机游戏排行榜

热门合集推荐
手机也能斗地主,经典纸牌类游戏大合集 手机也能斗地主,经典纸牌类游戏大合集 详情 » 冲锋陷阵攻下沙城,传奇类手游重温年少 冲锋陷阵攻下沙城,传奇类手游重温年少 详情 » 运筹帷幄决胜千里,策略游戏其乐无穷 运筹帷幄决胜千里,策略游戏其乐无穷 详情 » 这下轮到我了,回合制游戏合集盘点 这下轮到我了,回合制游戏合集盘点 详情 »
快捷导航