制定和实施网络安全事件响应计划
2008-12-19 13:40:41 来源:WEB开发网核心提示: 到目前为止,通过分析各种日志文件来识别事件性质,制定和实施网络安全事件响应计划(7),依然是最主要的方法之一,你可以重新设置这些安全软件的日志输出格式,就应当立即断开受到攻击的服务器的网络连接,并将其隔离,使它们容易被理解;你也可以重新详细设置安全软件的过滤规则,减少它们的误报和漏报
到目前为止,通过分析各种日志文件来识别事件性质,依然是最主要的方法之一。你可以重新设置这些安全软件的日志输出格式,使它们容易被理解;你也可以重新详细设置安全软件的过滤规则,减少它们的误报和漏报,增加可识别强度;你还可以使用一些专业的日志文件分析工具,例如OSSEC HIDS,来加快分析大体积日志文件的速度,提高识别率,同时也会减轻你的负担。至于担心日志会被攻击者删除或修改,你可以将所有的日志文件都保存到受防火墙保护的存储系统之中,来减少这种风险。总之,为了能从日志文件中得到我们想要的信息,就应该想法使日志文件以我们需要的方式来工作。
所有这些,都得要求事件响应人员在平时经常检查网络及系统的运行情况,不断分析日志文件中的记录,查看各种网络或系统异常现象,以便能及时真正的攻击事件做出正确的判断。另外,你应当在平时在对网络系统中的某些对象进行操作时,应当详细记录下你所操作过的所有对象的内容及操作时间,以便在识别时有一个判断的依据。在工作当中,经常用笔记录下这些操作是一个事件响应人员应当养成的好习惯。
当发现了上述出现的异常记录或异常现象,就说明攻击事件已经发生了,因而就可以立即进入到下一个环节当中,即对出现的攻击事件的严重程度进行分类。
2、事件分类
当确认已经发现攻击事件后,就应当立即对已经出现了的攻击事件做出严重程度的判断,以明确攻击事件到达了什么地步,以便决定下一步采取什么样的应对措施。例如,如果攻击事件是涉及到服务器中的一些机密数据,这肯定是非常严重的攻击事件,就应当立即断开受到攻击的服务器的网络连接,并将其隔离,以防止事态进一步的恶化及影响网络中其它重要主机。
更多精彩
赞助商链接