制定和实施网络安全事件响应计划(1)
2024-06-07 00:05:32
一、制定事件响应计划的前期准备工作<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常有必要的,它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件响应小组并确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所需的工具软件。
1、建立事件响应小组和明确小组成员
任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。既然如此,那么在制定事件响应计划之前,我们就应当先组建一个事件响应小组,并确定小组成员和组织结构。
至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定,但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何保证小组成员内部的安全。一般来说,你所在组织结构中的领导者也可以作为小组的最高领导者,每一个部门中的领导者可以作为小组的下一级领导,每个部门的优秀的IT管理人员可以成为小组成员,再加上你所在的IT部门中的一些优秀成员,就可以组建一个事件响应小组了。响应小组应该有一个严密的组织结构和上报制度,其中,IT人员应当是最终的事件应对人员,负责事件监控识别处理的工作,并向上级报告;小组中的部门领导可作为小组响应人员的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过程建档上报;小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次事件响应过程。
在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响应计划的每一个步骤。
2、明确事件响应目标
在制定事件响应计划前,我们应当明白事件响应的目标是什么?是为了阻止***,减小损失,尽快恢复网络访问正常,还是为了追踪***者,这应当从你要具体保护的网络资源来确定。
在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的网络资源。因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违背响应目标的处理方式出现,是关系到事件响应最终效果的关键问题之一。
应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到***者,并将他(她)绳之以法。
3、准备事件响应过程中所需要的工具软件
对于计算机安全技术人员来说,有时会出现三分技术七分工具情况。不论你的技术再好,如果需要时没有相应的工具,有时也只能望洋兴叹。同样的道理,当我们在响应事件的过程当中,将会用到一些工具软件来应对相应的***方法,我们不可能等到出现了实际的安全事件时,才想到要使用什么工具软件来进行应对,然后再去寻找或购买这些软件。这样一来,就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性,引起事件影响范围的扩大。因此,事先考虑当我们应对安全事件之时,所能够用得到的工具软件,将它们全部准备好,不管你通过什么方法得到,然后用可靠的存储媒介来保存这些工具软件,是非常有必要的。
我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件***防范,以及日志分析和追踪等软件。这些软件的种类很多,在准备时,得从你的实际情况出发,针对各种网络***方法,以及你的使用习惯和你能够承受的成本投入来决定。
下面列出需要准备哪些方面的工具软件:
(1)、系统及数据的备份和恢复软件。
(2)、系统镜像软件。
(3)、文件监控及比较软件。
(4)、各类日志文件分析软件。
(5)、网络分析及嗅探软件。
(6)、网络扫描工具软件。
(7)、网络追捕软件。
(8)、文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。
(9)、如有可能,还可以准备一些反弹***软件。
由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载或购买回来,这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来,但有几个软件,在事件响应当中是经常用到的,例如,Secure backer备份恢复软件,Nikto网页漏洞扫描软件,Namp网络扫描软件,Tcpdump(WinDump)网络监控软件,Fport端口监测软件,Ntop网络通信监视软件,RootKitRevealer(Windows下)文件完整性检查软件,Arpwatch ARP检测软件,OSSEC HIDS***检测和各种日志分析工具软件,微软的BASE分析软件,SNORT基于网络***检测软件,Spike Proxy网站漏洞检测软件,Sara安全评审助手,NetStumbler是802.11协议的嗅探工具,以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的,例如Nbtstat、Ping等等,由于真的太多,就不再在此列出了,其实上述提到的每个软件以及所有需要准备的软件,都可以在一些安全类网站上下载免费或试用版本,例如,www.xfocus.net和www.insecure.org这两个网站。
准备好这些软件后,应当将它们全部妥善保存。你可以将它们刻录到光盘当中,也可以将它们存入移动媒体当中,并随身携带,这样,当要使用它们时随手拿来就可以了。由于有些软件是在不断的更新当中的,而且只有不断升级它们才能保证应对最新的***方法,因此,对于这些工具软件,还应当及时更新。
二、制定事件响应计划
当上述准备工作完成后,我们就可以开始着手制定具体的事件响应计划。在制定时,要根据在准备阶段所确立的响应目标来进行。并且要将制定好的事件响应计划按一定的格式装订成册,分发到每一个事件响应小组成员手中。
由于每个网络用户具体的响应目标是不相同的,因而就不可能存在任何一个完全相同的事件响应计划。但是,一个完整的事件响应计划,下面所列出的内容是不可缺少的:
(1)、需要保护的资产;
(2)、所保护资产的优先级;
(3)、事件响应的目标;
(4)、事件处理小组成员及组成结构,以及事件处理时与它方的合作方式;
(5)、事件处理的具体步骤及注意事项;
(6)、事件处理完成后文档编写存档及上报方式;
(7)、事件响应计划的后期维护方式;
(8)、事件响应计划的模拟演练计划。
上述列出项中的第一项和第二项所要说明的内容应该很容易理解,这些在制定安全策略时就会考虑到的,应该很容易就能够完成,还用上述列出项中的第三项和第四项,也已经在本文的制定事件响应计划准备节时说明了,就不再在本文中再做详细说明。至于上述列出项中的第五、第六、第七和第八项,笔者只在此将它们的大概意思列出来,因为要在下面分别用一个单独的小节,给它们做详细的说明。
在制定事件响应计划过程当中,还应当特别注意的是:事件响应计划要做到尽量详细和条理清晰,以便事件响应小组成员能够很好地明白。这要求,在制定过程当中,应当从自身的实际情况出发,认真仔细地调查和分析实际会出现的各种***事件,组合各种资源,利用头脑风暴的方法,不断细化事件响应计划中的每一个具体应对方法,不断修订事件响应的目标,以此来加强事件响应计划的可扩展性和持续性,使事件响应计划真正适应实际的需求;同时,不仅每个事件响应小组的成员都应当参加进来,而且,包括安全产品提供商,各个合作伙伴,以及当地的政府部门和法律机构都应当考虑进来。
总之,一定要将事件响应计划尽可能地做到与你实际响应目标相对应。
制定和实施网络安全事件响应计划(1)相关推荐
- 2023年中职网络安全技能竞赛网络安全事件响应解析(保姆级)
B-4:网络安全事件响应 任务环境说明: 服务器场景:Server22(开放链接) 用户名:root密码:123456 黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,找出启动异常 ...
- 2023年网络安全比赛--网络安全事件响应中职组(超详细)
一.竞赛时间 180分钟 共计3小时 二.竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 1.黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,找出启动异常进程的脚本,并将其 ...
- GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 学习笔记
通用内容 每个标准基本都有的格式,供写文档的我们参考 定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义 结构层次: 一般有个当前文档的完整结构,可以是图,可以是表, ...
- 经济和信息化谋定研究-左晓栋:国家网络安全事件应急预案
经济和信息化谋定研究-左晓栋:国家网络安全事件应急预案 2017年6月,中央网信办公布了<国家网络安全事件应急预案>.指出,网络安全是动态的而不是静态的,是相对的而不是绝对的.维护网络安全 ...
- CISA《网络安全事件和漏洞响应手册》提到的SSVC是什么?
本文 3959字 阅读约需 15分钟 2021年11月16日,美国网络安全和基础设施安全局(CISA)根据行政命令EO 14028的要求发布了<网络安全事件和漏洞响应手册>.手册规定的 ...
- 企业怎样制定网络中断弹性计划
我们都追求完美,并承诺 99.99% 的正常运行时间.但是网络中断时有发生.自然灾害.网络攻击和简单的人为错误都可能导致网络中断.这不是一个如果的问题,而是什么时候发生的问题.这就是为什么像我们向中国 ...
- 绿盟安全事件响应观察漏洞频繁爆发
漏洞频繁爆发 系统或应用的安全疏漏.安全人员对利用方式的公开.黑客对 PoC 恶意散播等均有可能导致 0day 漏洞的爆发.2019 年,绿盟科技监测到网络上出现较多的 0day 漏洞公开信息,根据众 ...
- 网络安全事件应急演练各步骤参考模板
声明 本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 网络安全事件应急演练各步骤参考模板 应急 ...
- 信息安全技术 网络安全事件应急演练指南
声明 本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 应急演练实施过程 准备阶段 制定演练计划 ...
最新文章
- php 构造 析构,php 构造方法和析构方法
- [问题解决] File /struts-tags not found
- 在Kaggle上赢得大数据竞赛的技巧和窍门
- django web 自定义通用权限控制
- 将一个二维数组合并成一个一维数组
- Spring Cloud 之 Eureka.
- SPD软件(医用耗材管理系统)应用效果分析
- 我们建立数据中心,需要考虑哪些问题?
- android动画类型有哪几种,Android动画概念大揭秘
- 计算机程序员 面试题库,计算机软考程序员面试题精选题2
- div+css静态网页设计 web网页设计实例作业 ——中国水墨风的小学学校网站(6页) 专题网页设计作业模板 学校物静态HTML网页模板下载
- Wiz.Editor.md 为知笔记 Markdown 插件
- 数据分析——员工离职预测
- urchin的安装及使用
- 网易_在数组中查找前K个元素
- Matlab数学建模(八):评价型模型
- csp-202203
- YOLOv5模型剪枝压缩
- 掌握正确的运动姿势,很有必要!
- 杨辉直角(等腰)三角