制定和实施网络安全事件响应计划

核心提示： 总之，一定要将事件响应计划尽可能地做到与你实际响应目标相对应，制定和实施网络安全事件响应计划(5)，三、事件响应的具体实施在进行事件响应之前，你应该非常明白一个道理，一个有着丰富经验的事件识别者，就可以通过对网络及系统中某种现象的判断，就是事件处理时不能违背你制定的响应目标，不能在处理过程

总之，一定要将事件响应计划尽可能地做到与你实际响应目标相对应。

三、事件响应的具体实施

在进行事件响应之前，你应该非常明白一个道理，就是事件处理时不能违背你制定的响应目标，不能在处理过程中避重就轻。例如，本来是要尽快恢复系统运行的，你却只想着如何去追踪攻击者在何方，那么，就算你最终追查到了攻击者，但此次攻击所带来的影响却会因此而变得更加严重，这样一来，不仅不能给带来什么样成就感，反而是得不偿失的。但如果你事件响应的目标本身就是为了追查攻击者，例如网络警察，那么对如何追踪攻击者就应当是首要目标了。

事实证明，按照事先制定的处理步骤来对事件进行响应，能减少处理过程当中的杂乱无章，减少操作及判断失误而引起的处理不及时，因此，所有事件响应小组的成员，不仅要熟习整个事件响应计划，而且要特别熟练事件处理时的步骤。

总体来说，一个具体的事件响应步骤，应当包括五个部分：事件识别，事件分类，事件证据收集，网络、系统及应用程序数据恢复，以及事件处理完成后建档上报和保存。现将它们详细说明如下：

1、事件识别

在整个事件处理过程当中，这一步是非常重要的，你必需从众多的信息中，识别哪些是真正的攻击事件，哪些是正常的网络访问。

事件识别，不仅要依赖安全软件及系统所产生的各种日志中的异常记录项来做出判断，而且也与事件识别者的技术水平及经验有很大的关系。这是因为，不仅安全软件有误报和漏报的现象，而且，攻击者往往会在成功入侵后，会用一切手段来修改这些日志，以掩盖他的行踪，让你无法从日志中得到某些重要的信息。这时，一个有着丰富经验的事件识别者，就可以通过对网络及系统中某种现象的判断，来决定是否已经受到了攻击。