企业网络安全系统应急响应方案设计

1、企业网络安全应急响应方案事实证明，事先制定一个行之有效的网络安全事件响应计划（ 在本文后续描述中简称事件响应计划 ） ，能够在出现实际的安全事件之后，帮助你及你的安全处理团队正确识别事件类型， 及时保护日志等证据文件，并从中找出受到攻击的原因，在妥善修复后再将系统投入正常运 行。有时，甚至还可以通过分析保存的日志文件，通过其中的任何有关攻击的蛛丝马迹找到 具体的攻击者，并将他 （她） 绳之以法。一、制定事件响应计划的前期准备 制定事件响应计划是一件要求严格的工作，在制定之前，先为它做一些准备工作是非常 有必要的，它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件 响应小姐并

2、确定成员、明确事件响应的目标，以及准备好制定事件响应计划及响应事件时所 需的工具软件。1、建立事件响应小组和明确小组成员任何一种安全措施，都是由人来制定，并由人来执行实施的，人是安全处理过程中最重 要的因素，它会一直影响安全处理的整个过程，同样，制定和实施事件响应计划也是由有着 这方面知识的各种成员来完成的。既然如此，那么在制定事件响应计划之前，我们就应当先 组建一个事件响应小组，并确定小组成员和组织结构。至于如何选择响应小组的成员及组织结构，你可以根据你所处的实际组织结构来决定， 但你应当考虑小组成员本身的技术水平及配合能达到的默契程度，同时，你还应该明白如何 保证小组成员内部的安全。一般来

3、说，你所在组织结构中的领导者也可以作为小组的最高领 导者，每一个部门中的领导者可以作为小组的下一级领导， 每个部门的优秀的 IT 管理人员可 以成为小组成员， 再加上你所在的 IT 部门中的一些优秀成员， 就可以组建一个事件响应小组 了。响应小组应该有一个严密的组织结构和上报制度，其中， IT 人员应当是最终的事件应对 人员，负责事件监控识别处理的工作， 并向上级报告 ; 小组中的部门领导可作为小组响应人员 的上一级领导，直接负责督促各小组成员完成工作，并且接受下一级的报告并将事件响应过 程建档上报 ; 小组最高领导者负责协调整个事件响应小组的工作，对事件处理方法做出明确决定，并监督小组每一次

4、事件响应过程。在确定了事件响应小组成员及组织结构后，你就可以将他们组织起来，参与制定事件响 应计划的每一个步骤。2、明确事件响应目标在制定事件响应计划前， 我们应当明白事件响应的目标是什么 ?是为了阻止攻击， 减小损 失，尽快恢复网络访问正常，还是为了追踪攻击者，这应当从你要具体保护的网络资源来确 定。在确定事件响应目标时，应当明白，确定了事件响应目标，也就基本上确定了事件响应 计划的具体方向，所有将要展开的计划制定工作也将围绕它来进行，也直接关系到要保护的 网络资源。因此，先明确一个事件响应的目标，并在执行时严格围绕它来进行，坚决杜绝违 背响应目标的处理方式出现，是关系到事件响应最终效果的关

5、键问题之一。应当注意的是，事件响应计划的目标，不是一成不变的，你应当在制定和实施的过程中 不断地修正它，让它真正适应你的网络保护需要，并且，也不是说，你只能确定一个响应目 标，你可以根据你自身的处理能力，以及投入成本的多少，来确定一个或几个你所需要的响 应目标，例如，有时在做到尽快恢复网络正常访问的同时，尽可能地收集证据，分析并找到 攻击者，并将他 （ 她） 绳之以法。3、准备事件响应过程中所需要的工具软件对于计算机安全技术人员来说， 有时会出现三分技术七分工具情况。 不论你的技术再好， 如果需要时没有相应的工具，有时也只能望洋兴叹。同样的道理，当我们在响应事件的过程 当中，将会用到一些工具软

6、件来应对相应的攻击方法，我们不可能等到出现了实际的安全事 件时，才想到要使用什么工具软件来进行应对，然后再去寻找或购买这些软件。这样一来， 就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性，引起事件影响范围的 扩大。因此，事先考虑当我们应对安全事件之时，所能够用得到的工具软件，将它们全部准 备好，不管你通过什么方法得到，然后用可靠的存储媒介来保存这些工具软件，是非常有必 要的。我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应 用软件攻击防范，以及日志分析和追踪等软件。这些软件的种类很多，在准备时，得从你的 实际情况出发， 针对各种网络攻击方法， 以及你的

7、使用习惯和你能够承受的成本投入来决定。下面列出需要准备哪些方面的工具软件：(1) 、系统及数据的备份和恢复软件。(2) 、系统镜像软件。(3) 、文件监控及比较软件。(4) 、各类日志文件分析软件。(5) 、网络分析及嗅探软件。(6) 、网络扫描工具软件。(7) 、网络追捕软件。(8) 、文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。(9) 、如有可能，还可以准备一些反弹木马软件。 由于涉及到的软件很多，而且又有应用范围及应用平台之分，你不可能全部将它们下载 或购买回来，这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来，但 有几个软件，在事件响应当中是经常用到的，例

8、如， Securebacker 备份恢复软件， Nikto 网 页漏洞扫描软件，Namp网络扫描软件，Tcpdump(WinDump网络监控软件，Fport端口监测软件， Ntop 网络通信监视软件， RootKitRevealer(Windows 下)文件完整性检查软件， ArpwatchARP 检测软件，OSSECHID入侵检测和各种日志分析工具软件，微软的BASE分析软件，SNOR基于网络入侵检测软件， SpikeProxy 网站漏洞检测软件， Sara 安全评审助手， NetStumbler 是 802.11 协议的嗅探工具， 以及 Wireshark 嗅探软件等都是应该拥有的。 还有

9、一些好用的软件 是操作系统本身带有的，例如 Nbtstat 、Ping 等等，由于真的太多，就不再在此列出了，其 实上述提到的每个软件以及所有需要准备的软件，都可以在一些安全类网站上下载免费或试 用版本。准备好这些软件后，应当将它们全部妥善保存。你可以将它们刻录到光盘当中，也可以 将它们存入移动媒体当中，并随身携带，这样，当要使用它们时随手拿来就可以了。由于有 些软件是在不断的更新当中的， 而且只有不断升级它们才能保证应对最新的攻击方法， 因此， 对于这些工具软件，还应当及时更新。二、制定事件响应计划 当上述准备工作完成后，我们就可以开始着手制定具体的事件响应计划。在制定时，要 根据在准备阶段

10、所确立的响应目标来进行。并且要将制定好的事件响应计划按一定的格式装 订成册，分发到每一个事件响应小组成员手中。由于每个网络用户具体的响应目标是不相同的，因而就不可能存在任何一个完全相同的 事件响应计划。但是，一个完整的事件响应计划，下面所列出的内容是不可缺少的：(1) 、需要保护的资产 ;(2) 、所保护资产的优先级 ;(3) 、事件响应的目标 ;(4) 、事件处理小组成员及组成结构，以及事件处理时与它方的合作方式 ;(5) 、事件处理的具体步骤及注意事项 ;(6) 、事件处理完成后文档编写存档及上报方式 ;(7) 、事件响应计划的后期维护方式 ;(8) 、事件响应计划的模拟演练计划。上述列出

11、项中的第一项和第二项所要说明的内容应该很容易理解，这些在制定安全策略 时就会考虑到的，应该很容易就能够完成，还用上述列出项中的第三项和第四项，也已经在 本文的制定事件响应计划准备节时说明了，就不再在本文中再做详细说明。至于上述列出项 中的第五、第六、第七和第八项，笔者只在此将它们的大概意思列出来，因为要在下面分别 用一个单独的小节，给它们做详细的说明。在制定事件响应计划过程当中，还应当特别注意的是：事件响应计划要做到尽量详细和 条理清晰，以便事件响应小组成员能够很好地明白。这要求，在制定过程当中，应当从自身 的实际情况出发，认真仔细地调查和分析实际会出现的各种攻击事件，组合各种资源，利用 头脑

12、风暴的方法，不断细化事件响应计划中的每一个具体应对方法，不断修订事件响应的目 标，以此来加强事件响应计划的可扩展性和持续性，使事件响应计划真正适应实际的需求 同时，不仅每个事件响应小组的成员都应当参加进来，而且，包括安全产品提供商，各个合 作伙伴，以及当地的政府部门和法律机构都应当考虑进来。总之，一定要将事件响应计划尽可能地做到与你实际响应目标相对应。三、事件响应的具体实施在进行事件响应之前，你应该非常明白一个道理，就是事件处理时不能违背你制定的响 应目标，不能在处理过程中避重就轻。例如，本来是要尽快恢复系统运行的，你却只想着如 何去追踪攻击者在何方，那么，就算你最终追查到了攻击者，但此次攻击

13、所带来的影响却会 因此而变得更加严重，这样一来，不仅不能给带来什么样成就感，反而是得不偿失的。但如 果你事件响应的目标本身就是为了追查攻击者，例如网络警察，那么对如何追踪攻击者就应 当是首要目标了。事实证明，按照事先制定的处理步骤来对事件进行响应，能减少处理过程当中的杂乱无 章，减少操作及判断失误而引起的处理不及时，因此，所有事件响应小组的成员，不仅要熟 习整个事件响应计划，而且要特别熟练事件处理时的步骤。总体来说，一个具体的事件响应步骤，应当包括五个部分：事件识别，事件分类，事件 证据收集，网络、系统及应用程序数据恢复，以及事件处理完成后建档上报和保存。现将它 们详细说明如下：1、事件识别在

14、整个事件处理过程当中，这一步是非常重要的，你必需从众多的信息中，识别哪些是 真正的攻击事件，哪些是正常的网络访问。事件识别，不仅要依赖安全软件及系统所产生的各种日志中的异常记录项来做出判断， 而且也与事件识别者的技术水平及经验有很大的关系。这是因为，不仅安全软件有误报和漏 报的现象，而且，攻击者往往会在成功入侵后，会用一切手段来修改这些日志，以掩盖他的 行踪，让你无法从日志中得到某些重要的信息。这时，一个有着丰富经验的事件识别者，就 可以通过对网络及系统中某种现象的判断，来决定是否已经受到了攻击。有了可靠的日志，再加上在受到了攻击时会出现各种异常现象，我们就可以通过分析这 些日志文件中的记录项

15、，以及对各种现象的判断来确定是否受到了真正的攻击。因此，如果 日志中出现了下面列出项中的记录，或网络和主机系统出现了下面列出项中的现象，就一定 表明你所监控的网络或主机已经或正在面临着某种类别的攻击：(1) 、日志文件中记录有异常的没有登录成功的审计事件 ;(2) 、日志文件中有成功登录的不明账号记录 ;(3) 、日志文件中存在有异常的修改某些特殊文件的记录 ;(4) 、日志文件中存在有某段时间来自网络的不正常扫描记录 ;(5) 、日志文件中存在有在某段时间启动的不明服务进程的记录 ;(6) 、日志文件中存在有特殊用户权限被修改或添加了不明用户账号的记录 ;(7) 、日志文件中存在有添加了某种

16、不明文件的记录 ;(8) 、日志文件中存在有不明软件主动向外连接的记录 ;(9) 、查看日志文件属性时，时间戳不对，或者日志文件大小与你的记录不相符(10) 、查看日志文件内容时，发现日志文件中的某个时间段不存在或被修改 ;(11) 、发现系统反应速度变慢，或在某个时间段突然变慢，但已经排除了系统硬件性能 影响的原因 ;(12) 、发现系统中安全软件被停止，正常服务被停止 ;(13) 、发现网站网页被篡改或被删除替换 ;(14) 、发现系统变得不稳定，突然死机，系统资源占用过大，不断重启 ;(15) 、发现网络流量突然增大，查看发现对外打开了不明端口 ;(16) 、发现网卡被设为混杂模式 ;(

17、17) 、某些正常服务不能够被访问等等。能够用来做出判断异常记录和异常现象还有很多，笔者就不在这里全部列出了。这要求 事件响应人员应当不断学习，努力提高自身的技术水平，不断增加识别异常现象的经验，然 后形成一种适合自己的判断方法后，再加上日志分析工具以及安全监控软件的帮助，就不难 在这些日志记录项和现象中找出真正的攻击事件来。到目前为止，通过分析各种日志文件来识别事件性质，依然是最主要的方法之一。你可 以重新设置这些安全软件的日志输出格式， 使它们容易被理解 ; 你也可以重新详细设置安全软 件的过滤规则， 减少它们的误报和漏报， 增加可识别强度 ; 你还可以使用一些专业的日志文件 分析工具，例

18、如 OSSECHID，S 来加快分析大体积日志文件的速度，提高识别率，同时也会减 轻你的负担。至于担心日志会被攻击者删除或修改，你可以将所有的日志文件都保存到受防 火墙保护的存储系统之中，来减少这种风险。总之，为了能从日志文件中得到我们想要的信 息，就应该想法使日志文件以我们需要的方式来工作。所有这些，都得要求事件响应人员在平时经常检查网络及系统的运行情况，不断分析日 志文件中的记录，查看各种网络或系统异常现象，以便能及时真正的攻击事件做出正确的判 断。另外，你应当在平时在对网络系统中的某些对象进行操作时，应当详细记录下你所操作 过的所有对象的内容及操作时间，以便在识别时有一个判断的依据。在工

19、作当中，经常用笔 记录下这些操作是一个事件响应人员应当养成的好习惯。当发现了上述出现的异常记录或异常现象，就说明攻击事件已经发生了，因而就可以立 即进入到下一个环节当中，即对出现的攻击事件的严重程度进行分类。2、事件分类当确认已经发现攻击事件后， 就应当立即对已经出现了的攻击事件做出严重程度的判断， 以明确攻击事件到达了什么地步，以便决定下一步采取什么样的应对措施。例如，如果攻击 事件是涉及到服务器中的一些机密数据，这肯定是非常严重的攻击事件，就应当立即断开受 到攻击的服务器的网络连接，并将其隔离，以防止事态进一步的恶化及影响网络中其它重要 主机。对攻击事件进行分类，一直以来，都是没有一个统一

20、的标准的，各安全厂商都有他自己 的一套分类方法，因此，你也可以自行对攻击事件的严重程度进行分类。一般来说，可以通 过确认攻击事件发展到了什么地步，以及造成了什么样的后果来进行分类，这样就可以将攻 击事件分为以下几个类别：(1) 、试探性事件 ;(2) 、一般性事件 ;(3) 、控制系统事件 ;(4) 、拒绝服务事件 ;(5) 、得到机密数据事件。对网络中的主机进行试探性扫描，都可以认为是试探性质的事件，这些都是攻击者为了 确认网络中是否有可以被攻击的主机，而进行的最基本的工作。当攻击者确认了要攻击的目 标后，他就会进一步地对攻击目标进行更加详细，更加有目的的扫描，这时，所使用的扫描 方式就会更

21、加先进和不可识别性，例如半连接式扫描及 FIN 方式扫描等，这种扫描完成后， 就可以找到一些是否可以利用的漏洞信息，由于现在的一些整合性防火墙和 IDS 也能够识别 这些方式的扫描，因此，如果在日志文件中找到了与此相应的记录，就表明攻击已经发展到 了一般性事件的地步了。当攻击者得到可以利用的漏洞信息后，他就会利用各种手段对攻击 目标进行渗透，这时，如果你没有及时发现，渗透的成功性是非常大的，网络中已经存在有 太多的这类渗透工具，使用这些工具进行渗透工作是轻而易举的事，在渗透成功后，攻击者 就会想法提高自己在攻击目标系统中的权限，并安装后门，以便能随心所欲地控制已经渗透 了的目标，此时，就已经发

22、展到了控制系统的地步。到这里，如果你还没有发现攻击行为， 那么，你所保护的机密资料将有可能被攻击者完全得到，事态的严重性就可想而知了。攻击 者在控制了攻击目标后，有时也不一定能够得到机密数据，由此而产生一些报复性行为，例 如进行一些DOS或 DDO敦击等，让其他正常用户也不能够访问，或者，攻击者控制系统的目的，就是为了对其它系统进行 DOS或 DDO敦击。此时的你，就应该从日志文件的记录项中，迅速对攻击事件发展到了哪种地步做出明确 的判断，并及时上报小组领导，以及通报给其他小组成员，以便整个小组中的所有成员能够 明确此次攻击事件的严重程度，然后决定采取什么样的应对方法来进行响应，以防止事态向

23、更加严重的程度发展，或者尽量减小损失，及时修补漏洞，恢复网络系统正常运行，并尽快 收集好所有的证据，以此来找到攻击者。3、攻击事件证据收集为了能为析攻击产生的原因及攻击所产生的破坏，也为了能找到攻击者，并提供将他绳 之以法的证据，就应该在恢复已被攻击的系统正常之前，将这些能提供证据的数据全部收集 起来，妥善保存。至于如何收集，这要视你所要收集的证据的多少及大小，以及收集的速度要求来定。如 果只收集少量的数据，你可以通过简单的复制方法将这些数据保存到另外一些安全的存储媒 介当中 ; 如果要收集的数据数量多且体积大， 而且要求在极少的时间来完成， 你就可以通过一 些专业的软件来进行收集。对于这些收

24、集的数据保存到什么样的存储媒介之中，也得根据所 要收集的数据要求来定的，还得看你现在所拥有的存储媒介有哪些，一般保存到光盘或磁带 当中为好。具体收集哪些数据，你可以将你认为能够为攻击事件提供证据的数据全部都收集起来， 也可以只收集其中最重要的部分，下面是一些应该收集的数据列表：(1) 、操作系统事件日志 ;(2) 、操作系统审计日志 ;(3) 、网络应用程序日志 ;(4) 、防火墙日志 ;(5) 、入侵检测日志 ;(6) 、受损系统及软件镜像。在进行这一步之前，如果你的首要任务是将网络或系统恢复正常，为了防止在恢复系统 备份时将这些证据文件丢失，或者你只是想为这些攻击留个纪念，你应当先使用一些

25、系统镜 像软件将整个系统做一个镜像保存后，再进行恢复工作。收集的数据不仅是作为指证攻击者的证据，而且，在事件响应完成后，还应将它们统计 建档，并上报给相关领导及其它合作机构，例如安全软件提供商，合作伙伴，以及当地的法 律机构， 同时也可以作为事后分析学习之用。 因此，这个事件响应操作步骤也是必不可少的， 收集到的数据也应当保存完整。4、网络、系统及应用程序数据恢复在收集完所有的证据后，就可以将被攻击影响到的对象全部恢复正常运行，以便可以正 常使用。 是否能够及时的恢复系统到正常状态， 得依靠另一个安全手段， 就是备份恢复计划， 对于一些大型企业，有时也被称为灾难恢复计划，不管怎么说，事先对所保

26、护的重要数据做 一个安全的备份是一定需要的，它直接影响到事件响应过程中恢复的及时性和可能性。在恢复系统后，你应当确保系统漏洞已经被修补完成，系统已经更新了最新的补丁包， 并且已经重新对修补过的系统做了新的备份，这样，才能让这些受到攻击恢复正常后的系统 重新连入到网络当中。如果当时还没有最新的安全补丁，而又必需马上恢复系统运行的话， 你可以先实施一些针对性的安全措施，然后再将系统连入到网络当中，但要时刻注意，并在 有补丁时马上更新它，并重新备份。恢复的方法及恢复内容的多少，得看你的系统受损的情况来决定，例如，系统中只是开 放了一些不正常的端口，那就没有必要恢复整个系统，只要将这些端口关闭，然后堵

27、住产生 攻击的漏洞就可以了。如果系统中的重要文件已经被修改或删除，系统不能正常运行，而这 些文件又不能够被修复，就只能恢复整个系统了。恢复时，即可以通过手工操作方式来达到 恢复目的，也可以通过一些专业的备份恢复软件来进行恢复，甚至，在有些大中型企业，由 于数据多，而且非常重要，对系统稳定性和连续性有很高的要求，例如一些网站类企业，就 会使用一个备用系统，来提供冗余，当一套系统遭到攻击停运后，另一套系统就会自动接替 它运行，这样，就能让事件响应小组人员有足够多的时间进行各项操作，而且不会影响到网 络系统的正常访问。恢复在整个事件处理步骤当中是比较独特的，将它放在哪一步来执行，你应当以你的保 护目

28、标来决定，例如，当你保护的首要目标是为了尽快恢复网络系统或服务能够正常访问， 如果有备用系统的，因为备用系统已经接替受攻击的系统运行了，就可以按上述步骤中的顺 序来进行操作，而对于只有备份文件的，如果想要系统最快速度地恢复正常运行，可以先将 整个受损系统做一个镜像，然后就可以迅速恢复备份，投入运行。其实，任何处理步骤，说白了，就只是让你养成一种对某种事件处理过程的通用习惯性 思维和工作流程而已。5、事件处理过程的建档保存在将所有事件都已调查清楚，系统也恢复正常运行后，你就应当将所有与这次事件相关 的所有种种都做一个详细的记录存档。建档的目的有二点，一是用来向上级领导报告事件起 因及处理方法，二

29、是用来做学习的例子，用来分析攻击者的攻击方法，以便以后更加有效地 防止此类攻击事件的发生。具体要记录保存的内容涉及到整个事件响应过程，要记录的内容 比较多， 而且响应过程有时比较长， 因此， 这就要求安全事件响应人员在事件处理过程当中， 应当随时记录下响应过程中发现的点点滴滴和所有的操作事件，以便建档时能使用。建档格式是可以由你自行来规定，没有具体的标准的，只要能够清楚地记录下所有应该 记录的内容就可以了。也可以将文档做成一式三份，一份上报领导，一份保存，一份用来分 析学习用。也可以将这些文档交给一些专业的安全公司和系统及应用软件提供商，以便它们 能够及时地了解这种攻击方法，并发布相应的防范产

30、品和安全补丁包，还可以向一些合作伙 伴通报，让它们也能够加强这方面的防范。具体要建档的内容如下所示：(1) 、攻击发生在什么时候，什么时候发现的，发现人是谁 ?(2) 、攻击者利用的是什么漏洞来攻击的，这种漏洞是已经发现了的，还现在才出事的， 漏洞的具体类别及数量 ?(3) 、攻击者在系统中进行了哪些方面的操作，有哪些数据或文件被攻击者攻击了(4) 、攻击的大体发展顺序是怎么进行的 ?(5) 、造成此次事件的关键因素是什么 ?(6) 、解决此次事件的具体流程是什么 ?(7) 、攻击造成了什么后果，严重程度如何，攻击者得到了什么权限和数据 ?(8) 、攻击者是如何突破安全防线的 ?(9) 、用什

31、么工具软件解决的 ?(10) 、此次事件在发现及处理时有哪些人员参与，上报给了哪些部门及人员 ?(11) 、事件发生后，损失的恢复情况如何 ?(12) 、此次攻击有了什么新的改变，是否可以预防和应对 ?(13) 、以后应该如何应对这种安全事件，给出一个具体的方案附后等等。以上所列出的，都是建档时应当记录的内容。建档人员可以自由安排记录的顺序，但是 得和事件处理的顺序相对应，以便让其它人员更好地理解和学习。当然，你还可以记录其它 没有在上述项中提到的内容，只要你认为有记录下这些内容的必要，或者是你的响应小组领 导要求记录下这些内容。四、事件响应计划后期维护及演练1、事件响应计划后期维护制定好一个事件响应计划后，就应当及时严格地组织实施，将事件响应计划束之高格， 或者虽然实施了但却从来不对它进行维护，这些都等同于没有一样，甚至比没有时更坏。这 是因为， 不断有新的攻击手段出现， 如果你不对已经制定的事件响应计划做出相应调整的话， 那么，你也就不会对这些新的攻击方法做出正确的响应，事件响应也就没有