制定和實施網(wǎng)絡(luò)安全事件響應計劃

網(wǎng)絡(luò)環(huán)境日益復雜，網(wǎng)絡(luò)攻擊的技術(shù)水平和花樣在不斷增長和提高，甚至超過了同期的安全防范技術(shù)水平；再加上安全防范工作當中所涉及到人，往往會出現(xiàn)百密一疏的情況。因此，就算我們制定了最適合的安全防范策略，應用了最先進的安全技術(shù)和產(chǎn)品，但是，仍然不能保證所要保護的對象的絕對安全。這也就說明，安全事件還是有可能會出現(xiàn)的。俗話說得好，不怕一萬，只怕萬一，如果安全事件萬一真的出現(xiàn)了，我們該如何應對呢？ 事實證明，事先制定一個行之有 效的網(wǎng)絡(luò)安全事件響應計劃（在本文后續(xù)描述中簡稱事件響應計劃），能夠在出現(xiàn)實際的安全事件之后，幫助你及你的安全處理團隊正確識別事件類型，及時保護日志等證據(jù)文件，并從中找出受到攻擊的原因，在妥善修復后再將系統(tǒng)投入正常運行。有時，甚至還可以通過分析保存的日志文件，通過其中的任何有關(guān)攻擊的蛛絲馬跡找到具體的攻擊者，并將他（她）繩之以法。
    一、制定事件響應計劃的前期準備
    制定事件響應計劃是一件要求嚴格的工作，在制定之前，先為它做一些準備工作是非常有必要的，它將會使其后的具體制定過程變得相對輕松和高效。這些準備工作包括建立事件響應小姐并確定成員、明確事件響應的目標，以及準備好制定事件響應計劃及響應事件時所需的工具軟件。
    1、建立事件響應小組和明確小組成員
    任何一種安全措施，都是由人來制定，并由人來執(zhí)行實施的，人是安全處理過程中最重要的因素，它會一直影響安全處理的整個過程，同樣，制定和實施事件響應計劃也是由有著這方面知識的各種成員來完成的。既然如此，那么在制定事件響應計劃之前，我們就應當先組建一個事件響應小組，并確定小組成員和組織結(jié)構(gòu)。
    至于如何選擇響應小組的成員及組織結(jié)構(gòu)，你可以根據(jù)你所處的實際組織結(jié)構(gòu)來決定，但你應當考慮小組成員本身的技術(shù)水平及配合能達到的默契程度，同時，你還應該明白如何保證小組成員內(nèi)部的安全。一般來說，你所在組織結(jié)構(gòu)中的也可以作為小組的，每一個部門中的可以作為小組的下一級領(lǐng)導，每個部門的優(yōu)秀的IT管理人員可以成為小組成員，再加上你所在的IT部門中的一些優(yōu)秀成員，就可以組建一個事件響應小組了。響應小組應該有一個嚴密的組織結(jié)構(gòu)和上報制度，其中，IT人員應當是最終的事件應對人員，負責事件監(jiān)控識別處理的工作，并向上級報告；小組中的部門領(lǐng)導可作為小組響應人員的上一級領(lǐng)導，直接負責督促各小組成員完成工作，并且接受下一級的報告并將事件響應過程建檔上報；小組負責協(xié)調(diào)整個事件響應小組的工作，對事件處理方法做出明確決定，并監(jiān)督小組每一次事件響應過程。
    在確定了事件響應小組成員及組織結(jié)構(gòu)后，你就可以將他們組織起來，參與制定事件響應計劃的每一個步驟。
    2、明確事件響應目標
    在制定事件響應計劃前，我們應當明白事件響應的目標是什么？是為了阻止攻擊，減小損失，盡快恢復網(wǎng)絡(luò)訪問正常，還是為了追蹤攻擊者，這應當從你要具體保護的網(wǎng)絡(luò)資源來確定。
    在確定事件響應目標時，應當明白，確定了事件響應目標，也就基本上確定了事件響應計劃的具體方向，所有將要展開的計劃制定工作也將圍繞它來進行，也直接關(guān)系到要保護的網(wǎng)絡(luò)資源。因此，先明確一個事件響應的目標，并在執(zhí)行時嚴格圍繞它來進行，堅決杜絕違背響應目標的處理方式出現(xiàn)，是關(guān)系到事件響應最終效果的關(guān)鍵問題之一。
    應當注意的是，事件響應計劃的目標，不是一成不變的，你應當在制定和實施的過程中不斷地修正它，讓它真正適應你的網(wǎng)絡(luò)保護需要，并且，也不是說，你只能確定一個響應目標，你可以根據(jù)你自身的處理能力，以及投入成本的多少，來確定一個或幾個你所需要的響應目標，例如，有時在做到盡快恢復網(wǎng)絡(luò)正常訪問的同時，盡可能地收集證據(jù)，分析并找到攻擊者，并將他（她）繩之以法。
    3、準備事件響應過程中所需要的工具軟件
    對于計算機安全技術(shù)人員來說，有時會出現(xiàn)三分技術(shù)七分工具情況。不論你的技術(shù)再好，如果需要時沒有相應的工具，有時也只能望洋興嘆。同樣的道理，當我們在響應事件的過程當中，將會用到一些工具軟件來應對相應的攻擊方法，我們不可能等到出現(xiàn)了實際的安全事件時，才想到要使用什么工具軟件來進行應對，然后再去尋找或購買這些軟件。這樣一來，就有可能會因為某一個工具軟件沒有準備好而耽誤處理事件的及時性，引起事件影響范圍的擴大。因此，事先考慮當我們應對安全事件之時，所能夠用得到的工具軟件，將它們?nèi)繙蕚浜?，不管你通過什么方法得到，然后用可靠的存儲媒介來保存這些工具軟件，是非常有必要的。
    我們所要準備的工具軟件主要包括數(shù)據(jù)備份恢復、網(wǎng)絡(luò)及應用軟件漏洞掃描、網(wǎng)絡(luò)及應用軟件攻擊防范，以及日志分析和追蹤等軟件。這些軟件的種類很多，在準備時，得從你的實際情況出發(fā)，針對各種網(wǎng)絡(luò)攻擊方法，以及你的使用習慣和你能夠承受的成本投入來決定。
    下面列出需要準備哪些方面的工具軟件：
    （1）、系統(tǒng)及數(shù)據(jù)的備份和恢復軟件。
    （2）、系統(tǒng)鏡像軟件。
    （3）、文件監(jiān)控及比較軟件。
    （4）、各類日志文件分析軟件。
    （5）、網(wǎng)絡(luò)分析及嗅探軟件。
    （6）、網(wǎng)絡(luò)掃描工具軟件。
    （7）、網(wǎng)絡(luò)追捕軟件。
    （8）、文件捆綁分析及分離軟件，二進制文件分析軟件，進程監(jiān)控軟件。
    （9）、如有可能，還可以準備一些反彈木馬軟件。
    由于涉及到的軟件很多，而且又有應用范圍及應用平臺之分，你不可能全部將它們下載或購買回來，這肯定是不夠現(xiàn)實的。因而在此筆者也不好一一將這些軟件全部羅列出來，但有幾個軟件，在事件響應當中是經(jīng)常用到的，例如，Secure backer備份恢復軟件，Nikto網(wǎng)頁漏洞掃描軟件，Namp網(wǎng)絡(luò)掃描軟件，Tcpdump（WinDump）網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測軟件，Ntop網(wǎng)絡(luò)通信監(jiān)視軟件，RootKitRevealer（Windows下）文件完整性檢查軟件，Arpwatch ARP檢測軟件，OSSEC HIDS入侵檢測和各種日志分析工具軟件，微軟的BASE分析軟件，SNORT基于網(wǎng)絡(luò)入侵檢測軟件，Spike Proxy網(wǎng)站漏洞檢測軟件，Sara安全評審助手，NetStumbler是802.11協(xié)議的嗅探工具，以及Wireshark嗅探軟件等都是應該擁有的。還有一些好用的軟件是操作系統(tǒng)本身帶有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其實上述提到的每個軟件以及所有需要準備的軟件，都可以在一些安全類網(wǎng)站上下載免費或試用版本，例如，www.xfocus.net和www.insecure.org這兩個網(wǎng)站。
    準備好這些軟件后，應當將它們?nèi)客咨票４?。你可以將它們刻錄到光盤當中，也可以將它們存入移動媒體當中，并隨身攜帶，這樣，當要使用它們時隨手拿來就可以了。由于有些軟件是在不斷的更新當中的，而且只有不斷升級它們才能保證應對最新的攻擊方法，因此，對于這些工具軟件，還應當及時更新。
    二、制定事件響應計劃
    當上述準備工作完成后，我們就可以開始著手制定具體的事件響應計劃。在制定時，要根據(jù)在準備階段所確立的響應目標來進行。并且要將制定好的事件響應計劃按一定的格式裝訂成冊，分發(fā)到每一個事件響應小組成員手中。
    由于每個網(wǎng)絡(luò)用戶具體的響應目標是不相同的，因而就不可能存在任何一個完全相同的事件響應計劃。但是，一個完整的事件響應計劃，下面所列出的內(nèi)容是不可缺少的：
    （1）、需要保護的資產(chǎn)；
    （2）、所保護資產(chǎn)的優(yōu)先級；
    （3）、事件響應的目標；
    （4）、事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時與它方的合作方式；
    （5）、事件處理的具體步驟及注意事項；
    （6）、事件處理完成后文檔編寫存檔及上報方式；
    （7）、事件響應計劃的后期維護方式；
    （8）、事件響應計劃的模擬演練計劃。
    上述列出項中的第一項和第二項所要說明的內(nèi)容應該很容易理解，這些在制定安全策略時就會考慮到的，應該很容易就能夠完成，還用上述列出項中的第三項和第四項，也已經(jīng)在本文的制定事件響應計劃準備節(jié)時說明了，就不再在本文中再做詳細說明。至于上述列出項中的第五、第六、第七和第八項，筆者只在此將它們的大概意思列出來，因為要在下面分別用一個單獨的小節(jié)，給它們做詳細的說明。
    在制定事件響應計劃過程當中，還應當特別注意的是：事件響應計劃要做到盡量詳細和條理清晰，以便事件響應小組成員能夠很好地明白。這要求，在制定過程當中，應當從自身的實際情況出發(fā)，認真仔細地調(diào)查和分析實際會出現(xiàn)的各種攻擊事件，組合各種資源，利用頭腦風暴的方法，不斷細化事件響應計劃中的每一個具體應對方法，不斷修訂事件響應的目標，以此來加強事件響應計劃的可擴展性和持續(xù)性，使事件響應計劃真正適應實際的需求；同時，不僅每個事件響應小組的成員都應當參加進來，而且，包括安全產(chǎn)品提供商，各個合作伙伴，以及當?shù)氐恼块T和法律機構(gòu)都應當考慮進來。
    總之，一定要將事件響應計劃盡可能地做到與你實際響應目標相對應。