制定和实施网络安全事件响应计划
2008-12-19 13:40:41 来源:WEB开发网收集的数据不仅是作为指证攻击者的证据,而且,在事件响应完成后,还应将它们统计建档,并上报给相关领导及其它合作机构,例如安全软件提供商,合作伙伴,以及当地的法律机构,同时也可以作为事后分析学习之用。因此,这个事件响应操作步骤也是必不可少的,收集到的数据也应当保存完整。
4、网络、系统及应用程序数据恢复
在收集完所有的证据后,就可以将被攻击影响到的对象全部恢复正常运行,以便可以正常使用。是否能够及时的恢复系统到正常状态,得依靠另一个安全手段,就是备份恢复计划,对于一些大型企业,有时也被称为灾难恢复计划,不管怎么说,事先对所保护的重要数据做一个安全的备份是一定需要的,它直接影响到事件响应过程中恢复的及时性和可能性。
在恢复系统后,你应当确保系统漏洞已经被修补完成,系统已经更新了最新的补丁包,并且已经重新对修补过的系统做了新的备份,这样,才能让这些受到攻击恢复正常后的系统重新连入到网络当中。如果当时还没有最新的安全补丁,而又必需马上恢复系统运行的话,你可以先实施一些针对性的安全措施,然后再将系统连入到网络当中,但要时刻注意,并在有补丁时马上更新它,并重新备份。
恢复的方法及恢复内容的多少,得看你的系统受损的情况来决定,例如,系统中只是开放了一些不正常的端口,那就没有必要恢复整个系统,只要将这些端口关闭,然后堵住产生攻击的漏洞就可以了。如果系统中的重要文件已经被修改或删除,系统不能正常运行,而这些文件又不能够被修复,就只能恢复整个系统了。恢复时,即可以通过手工操作方式来达到恢复目的,也可以通过一些专业的备份恢复软件来进行恢复,甚至,在有些大中型企业,由于数据多,而且非常重要,对系统稳定性和连续性有很高的要求,例如一些网站类企业,就会使用一个备用系统,来提供冗余,当一套系统遭到攻击停运后,另一套系统就会自动接替它运行,这样,就能让事件响应小组人员有足够多的时间进行各项操作,而且不会影响到网络系统的正常访问。
更多精彩
赞助商链接