制定和实施网络安全事件响应计划

核心提示：网络环境日益复杂，网络攻击的技术水平和花样在不断增长和提高，制定和实施网络安全事件响应计划，甚至超过了同期的安全防范技术水平；再加上安全防范工作当中所涉及到人，往往会出现百密一疏的情况，并且接受下一级的报告并将事件响应过程建档上报；小组最高领导者负责协调整个事件响应小组的工作，对事件处理方法做出明确决定，因此，就算我们

网络环境日益复杂，网络攻击的技术水平和花样在不断增长和提高，甚至超过了同期的安全防范技术水平；再加上安全防范工作当中所涉及到人，往往会出现百密一疏的情况。因此，就算我们制定了最适合的安全防范策略，应用了最先进的安全技术和产品，但是，仍然不能保证所要保护的对象的绝对安全。这也就说明，安全事件还是有可能会出现的。俗话说得好，不怕一万，只怕万一，如果安全事件万一真的出现了，我们该如何应对呢？

事实证明，事先制定一个行之有效的网络安全事件响应计划（在本文后续描述中简称事件响应计划），能够在出现实际的安全事件之后，帮助你及你的安全处理团队正确识别事件类型，及时保护日志等证据文件，并从中找出受到攻击的原因，在妥善修复后再将系统投入正常运行。有时，甚至还可以通过分析保存的日志文件，通过其中的任何有关攻击的蛛丝马迹找到具体的攻击者，并将他（她）绳之以法。

一、制定事件响应计划的前期准备

制定事件响应计划是一件要求严格的工作，在制定之前，先为它做一些准备工作是非常有必要的，它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件响应小姐并确定成员、明确事件响应的目标，以及准备好制定事件响应计划及响应事件时所需的工具软件。

1、建立事件响应小组和明确小组成员

任何一种安全措施，都是由人来制定，并由人来执行实施的，人是安全处理过程中最重要的因素，它会一直影响安全处理的整个过程，同样，制定和实施事件响应计划也是由有着这方面知识的各种成员来完成的。既然如此，那么在制定事件响应计划之前，我们就应当先组建一个事件响应小组，并确定小组成员和组织结构。

至于如何选择响应小组的成员及组织结构，你可以根据你所处的实际组织结构来决定，但你应当考虑小组成员本身的技术水平及配合能达到的默契程度，同时，你还应该明白如何保证小组成员内部的安全。一般来说，你所在组织结构中的领导者也可以作为小组的最高领导者，每一个部门中的领导者可以作为小组的下一级领导，每个部门的优秀的IT管理人员可以成为小组成员，再加上你所在的IT部门中的一些优秀成员，就可以组建一个事件响应小组了。响应小组应该有一个严密的组织结构和上报制度，其中，IT人员应当是最终的事件应对人员，负责事件监控识别处理的工作，并向上级报告；小组中的部门领导可作为小组响应人员的上一级领导，直接负责督促各小组成员完成工作，并且接受下一级的报告并将事件响应过程建档上报；小组最高领导者负责协调整个事件响应小组的工作，对事件处理方法做出明确决定，并监督小组每一次事件响应过程。