制定和实施网络安全事件响应计划

核心提示： 此时的你，就应该从日志文件的记录项中，制定和实施网络安全事件响应计划(9)，迅速对攻击事件发展到了哪种地步做出明确的判断，并及时上报小组领导，或者你只是想为这些攻击留个纪念，你应当先使用一些系统镜像软件将整个系统做一个镜像保存后，以及通报给其他小组成员，以便整个小组中的所有成员能够明确此次

此时的你，就应该从日志文件的记录项中，迅速对攻击事件发展到了哪种地步做出明确的判断，并及时上报小组领导，以及通报给其他小组成员，以便整个小组中的所有成员能够明确此次攻击事件的严重程度，然后决定采取什么样的应对方法来进行响应，以防止事态向更加严重的程度发展，或者尽量减小损失，及时修补漏洞，恢复网络系统正常运行，并尽快收集好所有的证据，以此来找到攻击者。

3、攻击事件证据收集

为了能为析攻击产生的原因及攻击所产生的破坏，也为了能找到攻击者，并提供将他绳之以法的证据，就应该在恢复已被攻击的系统正常之前，将这些能提供证据的数据全部收集起来，妥善保存。

至于如何收集，这要视你所要收集的证据的多少及大小，以及收集的速度要求来定。如果只收集少量的数据，你可以通过简单的复制方法将这些数据保存到另外一些安全的存储媒介当中；如果要收集的数据数量多且体积大，而且要求在极少的时间来完成，你就可以通过一些专业的软件来进行收集。对于这些收集的数据保存到什么样的存储媒介之中，也得根据所要收集的数据要求来定的，还得看你现在所拥有的存储媒介有哪些，一般保存到光盘或磁带当中为好。

具体收集哪些数据，你可以将你认为能够为攻击事件提供证据的数据全部都收集起来，也可以只收集其中最重要的部分，下面是一些应该收集的数据列表：

（1）、操作系统事件日志；

（2）、操作系统审计日志；

（3）、网络应用程序日志；

（4）、防火墙日志；

（5）、入侵检测日志；

（6）、受损系统及软件镜像。

在进行这一步之前，如果你的首要任务是将网络或系统恢复正常，为了防止在恢复系统备份时将这些证据文件丢失，或者你只是想为这些攻击留个纪念，你应当先使用一些系统镜像软件将整个系统做一个镜像保存后，再进行恢复工作。