制定和实施网络安全事件响应计划

核心提示： 到目前为止，通过分析各种日志文件来识别事件性质，制定和实施网络安全事件响应计划(7)，依然是最主要的方法之一，你可以重新设置这些安全软件的日志输出格式，就应当立即断开受到攻击的服务器的网络连接，并将其隔离，使它们容易被理解；你也可以重新详细设置安全软件的过滤规则，减少它们的误报和漏报

到目前为止，通过分析各种日志文件来识别事件性质，依然是最主要的方法之一。你可以重新设置这些安全软件的日志输出格式，使它们容易被理解；你也可以重新详细设置安全软件的过滤规则，减少它们的误报和漏报，增加可识别强度；你还可以使用一些专业的日志文件分析工具，例如OSSEC HIDS，来加快分析大体积日志文件的速度，提高识别率，同时也会减轻你的负担。至于担心日志会被攻击者删除或修改，你可以将所有的日志文件都保存到受防火墙保护的存储系统之中，来减少这种风险。总之，为了能从日志文件中得到我们想要的信息，就应该想法使日志文件以我们需要的方式来工作。

所有这些，都得要求事件响应人员在平时经常检查网络及系统的运行情况，不断分析日志文件中的记录，查看各种网络或系统异常现象，以便能及时真正的攻击事件做出正确的判断。另外，你应当在平时在对网络系统中的某些对象进行操作时，应当详细记录下你所操作过的所有对象的内容及操作时间，以便在识别时有一个判断的依据。在工作当中，经常用笔记录下这些操作是一个事件响应人员应当养成的好习惯。

当发现了上述出现的异常记录或异常现象，就说明攻击事件已经发生了，因而就可以立即进入到下一个环节当中，即对出现的攻击事件的严重程度进行分类。

2、事件分类

当确认已经发现攻击事件后，就应当立即对已经出现了的攻击事件做出严重程度的判断，以明确攻击事件到达了什么地步，以便决定下一步采取什么样的应对措施。例如，如果攻击事件是涉及到服务器中的一些机密数据，这肯定是非常严重的攻击事件，就应当立即断开受到攻击的服务器的网络连接，并将其隔离，以防止事态进一步的恶化及影响网络中其它重要主机。