下载文档原格式
网络安全应急响应服务方案网络安全应急响应服务方案一、前言随着互联网的快速发展,网络安全已经成为一个全球性的热点问题。
各行各业都离不开网络,网络攻击的风险也越来越高。
为了应对突发的安全事件,保障组织的信息系统和数据安全,提高数据处理能力和处置能力,网络安全应急响应服务方案应运而生。
二、概述网络安全应急响应服务方案旨在通过规范化的流程和方法,对安全事件进行快速、准确的响应和处置,最大程度地降低损失和风险。
通过建立完善的安全事件报告和处理机制,提高组织的安全意识和应急响应能力,保障信息系统的可靠性和稳定性。
三、应急响应流程1. 事件发现与分析对事件的发现和分析是应急响应的第一步。
通过安全监控工具、日志分析,以及用户举报等渠道,快速发现潜在的安全事件,并对事件进行初步分析和评估。
2. 事件报告与分类在发现安全事件后,及时向上级汇报,应急响应小组成员共同确认事件的等级和紧急程度,并对事件进行分类,以便后续的响应和处置工作。
3. 事件响应和处置根据事件的紧急程度和等级,成立专门的应急响应小组,负责事件的响应和处置工作。
根据事先制定的应急处理方案,对事件进行分析和定位,快速采取措施进行控制和处理。
4. 事件跟踪与分析在事件处置过程中,记录和跟踪事件的详细信息,包括攻击手段、攻击路径、攻击者的IP地址等,以便后续的溯源和追查。
同时,对事件进行深入分析,总结攻击者的行为模式和攻击技术,为今后的安全防护工作提供参考。
5. 事件评估与总结事件处置后,对整个应急响应过程进行评估和总结,分析存在的问题和不足之处,并提出相应的改进措施和建议,以提高应对能力和处置效果。
四、应急响应服务机构建设1. 组建应急响应小组为了保障应急响应工作的顺利进行,建议组织内设立专门的应急响应小组,由专业人员组成,包括网络安全管理员、系统管理员、安全工程师等。
应急响应小组应定期进行培训和演练,提高应急响应能力。
2. 建立安全监控和报警机制建议组织建立完善的安全监控和报警机制,采用先进的安全监控技术和工具,实时监控网络安全状况,及时发现和预警潜在的安全威胁。
网络安全应急响应方案一、应急响应团队的建立与组织在公司内部建立网络安全应急响应团队,由经验丰富的安全专家组成,以负责应急响应工作。
1. 确定应急响应团队的角色和责任,明确团队成员的职责和权限。
2. 建立良好的团队沟通机制,确保团队成员之间的有效合作与信息共享。
3. 针对每个团队成员进行专业培训,使其具备较高的技术水平和应急响应能力。
二、建立全面的应急预案制定详细的网络安全应急预案,并定期进行演练和评估,确保预案的有效性和可执行性。
1. 确定应急响应的流程和步骤,并将其纳入预案中。
2. 制定各类网络安全事件的紧急应对方案,包括但不限于恶意代码攻击、数据泄露、网络入侵等。
3. 确定应急响应团队的组织结构和协作机制,在事件发生时能够迅速响应和处理。
三、实施安全保护措施采取有效的安全措施,预防网络安全事件的发生,以减少应急响应的工作量和风险。
1. 加强网络边界安全,包括网络防火墙、入侵检测系统等。
2. 部署实时监控和日志管理系统,及时发现异常活动并采取相应措施。
3. 定期进行网络漏洞扫描和安全评估,及时修补系统漏洞。
四、做好应急事件的收集和分析对于发生的网络安全事件,必须进行及时收集和分析,以便更好地了解事件的性质和影响,采取相应措施。
1. 配备专业的事件收集与分析工具,确保事件信息的及时准确性。
2. 建立事件信息的归档和存储机制,便于后续的分析和追溯。
3. 将应急响应过程中的经验和教训进行总结和反馈,为今后的应急响应提供借鉴。
五、持续改进与提升网络安全应急响应是一个系统工程,需要不断地进行改进和提升,以应对新的网络安全威胁。
1. 定期评估和修订网络安全应急预案,确保其与实际情况相符合。
2. 加强安全知识和技能的培训,提升团队成员的水平和能力。
3. 与外部安全机构和行业合作,共同研究和分享网络安全应急的最佳实践。
一、总则1.1 编制目的为有效预防和应对企业网络安全事件,确保企业信息资产安全,保障业务连续性,提高网络安全应急响应能力,特制定本预案。
1.2 编制依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)等相关法律法规。
1.3 适用范围本预案适用于企业内部网络、信息系统、数据等网络安全事件的应急响应工作。
二、组织架构与职责2.1 应急组织架构成立企业网络安全应急指挥部,负责网络安全事件的应急响应工作。
2.2 应急指挥部职责(1)组织、协调、指挥网络安全事件的应急响应;(2)制定网络安全事件应急预案,并进行修订和完善;(3)对网络安全事件进行分类、评估和分级;(4)组织应急演练,提高企业网络安全应急响应能力;(5)负责与相关部门、上级单位及外部单位的沟通协调。
2.3 应急指挥部下设以下工作组:(1)应急指挥中心;(2)技术支持组;(3)信息通报组;(4)现场处置组;(5)后勤保障组。
三、事件分类与分级3.1 事件分类根据网络安全事件的性质和影响范围,将事件分为以下五类:(1)网络攻击事件;(2)恶意软件事件;(3)数据泄露事件;(4)信息系统故障事件;(5)其他网络安全事件。
3.2 事件分级根据网络安全事件的影响程度,将事件分为以下四级:(1)一级事件:可能导致企业重要信息系统瘫痪,造成重大经济损失或严重影响企业声誉的事件;(2)二级事件:可能导致企业信息系统部分功能受损,造成一定经济损失或影响企业正常运行的事件;(3)三级事件:可能导致企业信息系统局部故障,造成轻微经济损失或影响企业正常工作的事件;(4)四级事件:可能导致企业信息系统出现一般性故障,不影响企业正常工作的事件。
四、应急响应流程4.1 信息收集发现网络安全事件后,应急指挥部应及时收集相关信息,包括事件发生时间、地点、涉及系统、数据等。
4.2 事件评估根据收集到的信息,对事件进行评估,确定事件级别和影响范围。
企业网络安全方案15篇企业网络安全方案(篇1)1、网络管理员应在接到突发的计算机网络故障报告的第一时间,赶到现计算机或网络故障的第一现场,察看、询问网络故障现象和情况。
2、分析设备或系统的故障;判断故障属于物理性破坏、人为失误造成的安全事件、电脑病毒等恶意代码危害、检测软件引起的系统性瘫痪还是人为的恶意攻击等。
3、发生计算机硬件(系统)故障、通信线路中断、路由故障、流量异常等,网络管理员经初步判断后应立即上报应急领导小组组长,由应急领导小组组长通知做好各部门做好检测车辆的场内秩序维护工作;(1)、属于计算机硬件(系统)故障;就立即组织电脑公司技术人员进行抢修,属于计算机系统问题的应第一时间利用备份系统进行系统还原操作;还原操作无效的,如无大面积计算机停机现象,应排除隐患,除待处理的检测线外,立即逐步恢复能正常工作的检测线工位机、计算机,尽快恢复车辆检测工作;(2)、属于计算机网络连接问题的,能通过拉接临时线解决的,应立即拉接临时线缆,再逐步查找连接故障;由于连接交换机故障的,应立即更换上备用交换站;站内各部门有义务配合网络管理员做好排故工作;(3)、属于服务器瘫痪引起的;应立即还原服务器操作系统,并还原最近备份的服务器各数据库。
如还原操作无效的,应第一时间安排电脑公司技术人员进行抢修,立即联系相关厂商和上级单位,请求技术支援,作好技术处理并通知服务器服务商。
(4)、由网络攻击或病毒、木马等引起的网络堵塞等现象,应立即拨掉网线,将故障计算机(服务器)脱离网络,并关闭计算机后重新开机,下载安装最新的杀毒软件对故障计算机逐一进行杀毒处理;对连接交换进行断电处理;(5)、当发现网络或服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,各部门工作岗位工作人员应断开网络,网络管理员应向应急领导小组组长报告。
网络管理员接报告应核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。
企业网络安全应急预案一、引言随着信息技术的快速发展,企业在日常运营中对网络的依赖程度越来越高。
然而,企业网络安全面临着越来越多的威胁和风险。
为了保护企业网络免受攻击并有效地应对紧急情况,制定并执行一份完善的企业网络安全应急预案至关重要。
二、应急响应流程1. 事件发现和评估当企业网络遭受威胁或攻击时,及时发现和准确评估事件的严重程度至关重要。
该流程要求企业网络安全团队应随时监控网络状态,及时掌握异常行为、病毒传播等情况,并迅速评估事件的影响范围和潜在危害。
2. 紧急应对措施在确定事件的紧急性后,企业网络安全团队应立即采取行动,以最小化威胁和损失。
首先,应隔离受感染的系统或网络,防止病毒或恶意软件进一步传播。
其次,团队需要追踪攻击来源,收集相关证据,并与合适的执法机构合作。
3. 故障恢复和修复一旦威胁得到控制,重要的任务是尽快恢复企业网络的正常运行。
企业网络安全团队应快速修复被损坏或受到攻击的系统、修复网络中的漏洞,并确保业务的持续运作。
三、预案制定要点1. 指定应急响应团队建立一个专门的应急响应团队,并明确每个成员的职责和权限。
团队成员应具有网络安全技术和紧急处理经验。
还需要制定一份详细的团队通讯录,以确保沟通畅通。
2. 风险评估和漏洞修复定期进行全面的风险评估和漏洞扫描,及时修复已知漏洞并强化系统安全。
此外,企业还应关注最新的网络安全威胁和攻击手法,以保持对新风险的敏感性。
3. 定期演练和培训定期进行网络安全应急演练,以测试应急预案的有效性并发现潜在的问题。
同时,对员工进行网络安全培训和意识提高,增强他们在事件发生时的反应能力和安全意识。
4. 与合作伙伴合作建立与IT服务供应商、安全厂商和执法机构合作的渠道,确保在网络应急事件发生时能够得到迅速有效的支持和协助。
5. 监控和日志记录建立严格的网络流量监控和日志记录机制,以便事后追踪和分析网络安全事件,帮助改善应急预案和提高整体网络安全水平。
四、结论企业网络安全应急预案对于保护企业网络的正常运营和信息安全至关重要。
网络安全应急响应服务方案目录1 应急响应服务范围及流程 (4)1.1 服务范围 (4)1.2 服务流程及内容 (4)2 准备阶段(Preparation) (6)2.1 负责人准备内容 (6)2.2 技术人员准备内容 (6)2.3 市场人员准备内容 (9)3 检测阶段(Examination) ............................................................................................. 1 13.1 实施小组人员的确定 ........................................................................................ 1 13.2 检测范围及对象的确定 .................................................................................... 1 13.3 检测方案的确定 ................................................................................................ 1 13.4 检测方案的实施 (12)3.5 检测结果的处理 (15)4 抑制阶段(Suppresses) (17)4.1 抑制方案的确定 (17)4.2 抑制方案的认可 (17)4.3 抑制方案的实施 (18)4.4 抑制效果的判定 (18)5 根除阶段(Eradicates) (19)5.1 根除方案的确定 (19)5.2 根除方案的认可 (19)5.3 根除方案的实施 (20)5.4 根除效果的判定 (20)6 恢复阶段(Restoration) ..............................................................................................2 16.1 恢复方案的确定 ................................................................................................ 2 16.2 恢复信息系统 (22)7 总结阶段(Summary) (23)7.1 交付 (23)1 应急响应服务范围及流程1.1 服务范围为采购人提供安全事件应急响应和处理服务,在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时,提供应急响应专家协助处置。
一、指导思想为深入贯彻落实《中华人民共和国网络安全法》精神,切实提高网络安全应急处置能力,保障我单位网络安全稳定运行,特制定本演练方案。
二、演练目的1. 提高网络安全应急响应团队对网络安全事件的快速反应能力;2. 检验和优化网络安全应急预案的可行性和有效性;3. 增强网络安全应急响应团队的实战经验,提高应急处置能力;4. 提高全体员工网络安全意识,形成良好的网络安全文化氛围。
三、演练时间根据实际情况,每年至少组织一次网络安全应急处置演练。
四、演练范围1. 演练对象:单位全体员工、网络安全应急响应团队;2. 演练内容:网络安全事件应急响应、信息通报、现场处置、后期总结等。
五、演练步骤1. 启动阶段(1)成立网络安全应急处置演练领导小组,明确各成员职责;(2)制定演练方案,明确演练时间、范围、内容、流程等;(3)组织参演人员开展培训,确保参演人员熟悉演练流程和应急处置措施。
2. 准备阶段(1)模拟网络安全事件,收集相关资料;(2)制定应急预案,明确事件分级、处置流程、职责分工等;(3)准备演练所需物资、设备、场地等。
3. 演练阶段(1)启动演练,模拟网络安全事件发生;(2)参演人员按照预案要求,进行应急响应、信息通报、现场处置等工作;(3)演练过程中,领导小组对演练情况进行监督、指导。
4. 总结阶段(1)对演练过程进行总结,分析存在的问题和不足;(2)对参演人员进行评价,提出改进措施;(3)将演练总结报告报送上级部门。
六、演练评估1. 评估内容:演练效果、参演人员表现、应急预案的可行性和有效性等;2. 评估方法:通过观察、记录、问卷调查等方式进行评估。
七、保障措施1. 加强组织领导,明确责任分工;2. 制定应急预案,确保预案的实用性和可操作性;3. 加强演练培训,提高参演人员应急处置能力;4. 完善演练设施,确保演练顺利进行;5. 严格保密,防止演练信息泄露。
八、附则1. 本方案自发布之日起实施;2. 本方案由网络安全应急处置演练领导小组负责解释;3. 如有未尽事宜,由领导小组根据实际情况进行调整。
网络安全应急响应服务方案一、服务目标网络安全应急响应服务的主要目标是在最短的时间内,有效地处理网络安全事件,遏制攻击的进一步扩散,恢复受影响的系统和数据,同时降低事件对业务运营的影响。
具体目标包括:1、快速检测和识别网络安全事件,确保及时响应。
2、采取紧急措施,遏制事件的蔓延,减少损失。
3、恢复受影响的系统和数据,恢复正常业务运营。
4、调查事件原因,总结经验教训,防止类似事件再次发生。
二、服务范围本应急响应服务方案适用于以下网络安全事件:1、网络攻击,如 DDoS 攻击、恶意软件感染、网络钓鱼等。
2、数据泄露,包括敏感信息的丢失或被盗取。
3、系统故障,如服务器崩溃、网络中断等。
4、其他影响企业网络安全和业务运营的事件。
三、服务流程1、事件监测与报告建立 24/7 的网络安全监测机制,实时监控企业网络系统的活动。
利用安全工具和技术,如入侵检测系统、防火墙日志分析等,发现潜在的安全事件。
一旦发现异常,立即向应急响应团队报告,并提供详细的事件信息,包括事件发生时间、影响范围、初步迹象等。
2、事件评估与分类应急响应团队在接到报告后,迅速对事件进行评估,确定事件的严重程度和影响范围。
根据评估结果,对事件进行分类,如高、中、低等级,以便采取相应的响应措施。
3、应急响应启动根据事件的分类,启动相应的应急响应计划。
组建应急响应小组,包括技术专家、安全分析师、业务部门代表等。
明确小组成员的职责和分工,确保高效协作。
4、事件遏制采取紧急措施,遏制事件的进一步扩散,如切断受感染的网络连接、隔离受影响的系统等。
对恶意软件进行清除或阻断,防止其继续传播和破坏。
5、事件调查与取证对事件进行深入调查,分析事件的起因、传播途径和造成的损失。
收集相关的证据,如系统日志、网络流量数据、恶意软件样本等,为后续的处理和法律诉讼提供支持。
6、系统恢复在确保安全的前提下,逐步恢复受影响的系统和数据。
进行系统的完整性检查和安全加固,防止类似事件再次发生。
企业网络安全事件响应流程及应急处理指南及网络安全防护措施介绍随着互联网的发展和普及,企业网络安全问题日益突出,网络攻击事件时有发生,已经成为企业信息安全面临的重大挑战。
为了保障企业网络环境的安全,企业需要建立完善的网络安全事件响应流程,并掌握必要的应急处理指南和网络安全防护措施。
一、企业网络安全事件响应流程1. 定义企业网络安全事件:企业应首先明确什么样的事件属于网络安全事件,例如系统瘫痪、数据泄漏等。
明确事件的类型和范围有助于及时发现和识别事件。
2. 预防措施:企业应建立健全的网络安全防护体系,包括网络设备的安全配置、访问控制和认证授权机制、数据加密技术等。
通过预防措施可以大幅度降低发生网络安全事件的概率。
3. 报告与检测:当发生网络安全事件时,员工应及时上报,企业网络管理员要实时监控网络情况,以便快速发现异常状况。
同时,企业还可以借助网络安全监测工具,对网络进行实时监测和分析,以提前发现潜在的安全威胁。
4. 事件识别与分类:网络安全团队需要对报告的事件进行审查和分析,判断事件的严重程度和影响范围,并及时向企业高层报告,制定应急处理计划和措施。
5. 应急处理和恢复:根据事件的特点,企业需要立即采取相应的应急处理措施,如断网、隔离受感染主机、停止异常进程等。
同时,要及时做好数据备份与恢复工作,确保企业业务的连续性和稳定性。
6. 事件分析与追查:在事件处理完成后,企业需要对事件进行彻底的分析和调查,找出事件发生的原因和漏洞,并采取相应的纠正措施,以避免类似事件再次发生。
二、应急处理指南1. 人员准备:企业应组建网络安全应急处理团队,明确每个成员的职责和权限。
团队成员应接受相关培训,熟悉常见的网络安全事件类型和应急处置方案。
2. 应急预案制定:企业应制定详细的应急预案,明确每个阶段的任务和流程。
预案需要包括紧急联系人、联系方式、相关设备和工具的准备等。
3. 事件响应流程:核心是迅速响应,及时发现事件并采取措施。
企业网络安全应急响应方案
事实证明,事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划),能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型,及时保护日志等证据文件,并从中找出受到攻击的原因,在妥善修复后再将系统投入正常运行。
有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者,并将他(她)绳之以法。
一、制定事件响应计划的前期准备
制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常有必要的,它将会使其后的具体制定过程变得相对轻松和高效。
这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所需的工具软件。
1、建立事件响应小组和明确小组成员
任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。
既然如此,那么在制定事件响应计划之前,我们就应当先组建一个事件响应小组,并确定小组成员和组织结构。
至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定,但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何保证小组成员内部的安全。
一般来说,你所在组织结构中的领导者也可以作为小组的最高领导者,每一个部门中的领导者可以作为小组的下一级领导,每个部门的优秀的IT管理人员可以成为小组成员,再加上你所在的IT部门中的一些优秀成员,就可以组建一个事件响应小组了。
响应小组应该有一个严密的组织结构和上报制度,其中,IT人员应当是最终的事件应对人员,负责事件监控识别处理的工作,并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事
件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次事件响应过程。
在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响应计划的每一个步骤。
2、明确事件响应目标
在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止攻击,减小损失,尽快恢复网络访问正常,还是为了追踪攻击者,这应当从你要具体保护的网络资源来确定。
在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的网络资源。
因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违背响应目标的处理方式出现,是关系到事件响应最终效果的关键问题之一。
应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到攻击者,并将他(她)绳之以法。
3、准备事件响应过程中所需要的工具软件
对于计算机安全技术人员来说,有时会出现三分技术七分工具情况。
不论你的技术再好,如果需要时没有相应的工具,有时也只能望洋兴叹。
同样的道理,当我们在响应事件的过程当中,将会用到一些工具软件来应对相应的攻击方法,我们不可能等到出现了实际的安全事件时,才想到要使用什么工具软件来进行应对,然后再去寻找或购买这些软件。
这样一来,就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性,引起事件影响范围的扩大。
因此,事先考虑当我们应对安全事件之时,所能够用得到的工具软件,将它们
全部准备好,不管你通过什么方法得到,然后用可靠的存储媒介来保存这些工具软件,是非常有必要的。
我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范,以及日志分析和追踪等软件。
这些软件的种类很多,在准备时,得从你的实际情况出发,针对各种网络攻击方法,以及你的使用习惯和你能够承受的成本投入来决定。
下面列出需要准备哪些方面的工具软件:
(1)、系统及数据的备份和恢复软件。
(2)、系统镜像软件。
(3)、文件监控及比较软件。
(4)、各类日志文件分析软件。
(5)、网络分析及嗅探软件。
(6)、网络扫描工具软件。
(7)、网络追捕软件。
(8)、文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。
(9)、如有可能,还可以准备一些反弹木马软件。
由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载或购买回来,这肯定是不够现实的。
因而在此笔者也不好一一将这些软件全部罗列出来,但有几个软件,在事件响应当中是经常用到的,例如,Securebacker备份恢复软件,Nikto网页漏洞扫描软件,Namp网络扫描软件,Tcpdump(WinDump)网络监控软件,Fport端口监测软件,Ntop网络通信监视软件,RootKitRevealer(Windows下)文件完整性检查软件,ArpwatchARP检测软件,OSSECHIDS入侵检测和各种日志分析工具软件,微软的BASE分析软件,SNORT基于网络入侵检测软件,SpikeProxy网站漏洞检测软件,Sara安全评审助手,NetStumbler是
802.11协议的嗅探工具,以及Wireshark嗅探软件等都是应该拥有的。
还有一些好用的软件是操作系统本身带有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其实上述提到的每个软件以及所有需要准备的软件,都可以在一些安全类网站上下载免费或试用版本。
准备好这些软件后,应当将它们全部妥善保存。
你可以将它们刻录到光盘当中,也可以将它们存入移动媒体当中,并随身携带,这样,当要使用它们时随手拿来就可以了。
由于有些软件是在不断的更新当中的,而且只有不断升级它们才能保证应对最新的攻击方法,因此,对于这些工具软件,还应当及时更新。
二、制定事件响应计划
当上述准备工作完成后,我们就可以开始着手制定具体的事件响应计划。
在制定时,要根据在准备阶段所确立的响应目标来进行。
并且要将制定好的事件响应计划按一定的格式装订成册,分发到每一个事件响应小组成员手中。
由于每个网络用户具体的响应目标是不相同的,因而就不可能存在任何一个完全相同的事件响应计划。
但是,一个完整的事件响应计划,下面所列出的内容是不可缺少的:(1)、需要保护的资产;
(2)、所保护资产的优先级;
(3)、事件响应的目标;
(4)、事件处理小组成员及组成结构,以及事件处理时与它方的合作方式;
(5)、事件处理的具体步骤及注意事项;
(6)、事件处理完成后文档编写存档及上报方式;
(7)、事件响应计划的后期维护方式;
(8)、事件响应计划的模拟演练计划。
上述列出项中的第一项和第二项所要说明的内容应该很容易理解,这些在制定安全策略时就会考虑到的,应该很容易就能够完成,还用上述列出项中的
第三项和第四项,也已经在本文的制定事件响应计划准备节时说明了,就不再在本文中再做详细说明。
至于上述列出项中的第五、第六、第七和第八项,笔者只在此将它们的大概意思列出来,因为要在下面分别用一个单独的小节,给它们做详细的说明。
在制定事件响应计划过程当中,还应当特别注意的是:事件响应计划要做到尽量详细和条理清晰,以便事件响应小组成员能够很好地明白。
这要求,在制定过程当中,应当从自身的实际情况出发,认真仔细地调查和分析实际会出现的各种攻击事件,组合各种资源,利用头脑风暴的方法,不断细化事件响应计划中的每一个具体应对方法,不断修订事件响应的目标,以此来加强事件响应计划的可扩展性和持续性,使事件响应计划真正适应实际的需求;同时,不仅每个事件响应小组的成员都应当参加进来,而且,包括安全产品提供商,各个合作伙伴,以及当地的政府部门和法律机构都应当考虑进来。
总之,一定要将事件响应计划尽可能地做到与你实际响应目标相对应。
