国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　總的來說，一個具體的安全事件處理步驟，應(yīng)當(dāng)包括五個部分：事件識別，事件分類，事件證據(jù)收集，網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)，以及事件處理完成后建檔上報和保存。上文講到了前兩個步驟事件識別和事件分類，今天繼續(xù)講后面的步驟：

　　3、攻擊事件證據(jù)收集

　　為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據(jù)，就應(yīng)該在恢復(fù)已被攻擊的系統(tǒng)正常之前，將這些能提供證據(jù)的數(shù)據(jù)全部收集起來，妥善保存。

　　至于如何收集，這要視你所要收集的證據(jù)的多少及大小，以及收集的速度要求來定。如果只收集少量的數(shù)據(jù)，你可以通過簡單的復(fù)制方法將這些數(shù)據(jù)保存到另外一些安全的媒介當(dāng)中;如果要收集的數(shù)據(jù)數(shù)量多且體積大，而且要求在極少的時間來完成，你就可以通過一些專業(yè)的軟件來進行收集。對于這些收集的數(shù)據(jù)保存到什么樣的存儲媒介之中，也得根據(jù)所要收集的數(shù)據(jù)要求來定的，還得看你現(xiàn)在所擁有的存儲媒介有哪些，一般保存到光盤或磁帶當(dāng)中為好。

　　具體收集哪些數(shù)據(jù)，你可以將你認(rèn)為能夠為攻擊事件提供證據(jù)的數(shù)據(jù)全部都收集起來，也可以只收集其中最重要的部分，下面是一些應(yīng)該收集的數(shù)據(jù)列表：

　　(1)、事件日志;

　　(2)、操作系統(tǒng)審計日志;

　　(3)、網(wǎng)絡(luò)應(yīng)用程序日志;

　　(4)、日志;

　　(5)、檢測日志;

　　(6)、受損系統(tǒng)及軟件鏡像。

　　在進行這一步之前，如果你的首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常，為了防止在恢復(fù)系統(tǒng)備份時將這些證據(jù)文件丟失，或者你只是想為這些攻擊留個紀(jì)念，你應(yīng)當(dāng)先使用一些系統(tǒng)鏡像軟件將整個系統(tǒng)做一個鏡像保存后，再進行恢復(fù)工作。

　　收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù)，而且，在事件響應(yīng)完成后，還應(yīng)將它們統(tǒng)計建檔，并上報給相關(guān)領(lǐng)導(dǎo)及其它合作機構(gòu)，例如安全軟件提供商，合作伙伴，以及當(dāng)?shù)氐姆蓹C構(gòu)，同時也可以作為事后分析學(xué)習(xí)之用。因此，這個事件響應(yīng)操作步驟也是必不可少的，收集到的數(shù)據(jù)也應(yīng)當(dāng)保存完整。

　　4、網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)

　　在收集完所有的證據(jù)后，就可以將被攻擊影響到的對象全部恢復(fù)正常運行，以便可以正常使用。是否能夠及時的恢復(fù)系統(tǒng)到正常狀態(tài)，得依靠另一個安全手段，就是備份恢復(fù)計劃，對于一些大型，有時也被稱為災(zāi)難恢復(fù)計劃，不管怎么說，事先對所保護的重要數(shù)據(jù)做一個安全的備份是一定需要的，它直接影響到事件響應(yīng)過程中恢復(fù)的及時性和可能性。

　　在恢復(fù)系統(tǒng)后，你應(yīng)當(dāng)確保系統(tǒng)漏洞已經(jīng)被修補完成，系統(tǒng)已經(jīng)更新了最新的補丁包，并且已經(jīng)重新對修補過的系統(tǒng)做了新的備份，這樣，才能讓這些受到攻擊恢復(fù)正常后的系統(tǒng)重新連入到網(wǎng)絡(luò)當(dāng)中。如果當(dāng)時還沒有最新的安全補丁，而又必需馬上恢復(fù)系統(tǒng)運行的話，你可以先實施一些針對性的安全措施，然后再將系統(tǒng)連入到網(wǎng)絡(luò)當(dāng)中，但要時刻注意，并在有補丁時馬上更新它，并重新備份。

　　恢復(fù)的方法及恢復(fù)內(nèi)容的多少，得看你的系統(tǒng)受損的情況來決定，例如，系統(tǒng)中只是開放了一些不正常的端口，那就沒有必要恢復(fù)整個系統(tǒng)，只要將這些端口關(guān)閉，然后堵住產(chǎn)生攻擊的漏洞就可以了。如果系統(tǒng)中的重要文件已經(jīng)被修改或刪除，系統(tǒng)不能正常運行，而這些文件又不能夠被修復(fù)，就只能恢復(fù)整個系統(tǒng)了?；謴?fù)時，即可以通過手工操作方式來達到恢復(fù)目的，也可以通過一些專業(yè)的備份恢復(fù)軟件來進行恢復(fù)，甚至，在有些大中型企業(yè)，由于數(shù)據(jù)多，而且非常重要，對系統(tǒng)穩(wěn)定性和連續(xù)性有很高的要求，例如一些網(wǎng)站類企業(yè)，就會使用一個備用系統(tǒng)，來提供冗余，當(dāng)一套系統(tǒng)遭到攻擊停運后，另一套系統(tǒng)就會自動接替它運行，這樣，就能讓事件響應(yīng)小組人員有足夠多的時間進行各項操作，而且不會影響到網(wǎng)絡(luò)系統(tǒng)的正常訪問。

　　恢復(fù)在整個事件處理步驟當(dāng)中是比較獨特的，將它放在哪一步來執(zhí)行，你應(yīng)當(dāng)以你的保護目標(biāo)來決定，例如，當(dāng)你保護的首要目標(biāo)是為了盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)或服務(wù)能夠正常訪問，如果有備用系統(tǒng)的，因為備用系統(tǒng)已經(jīng)接替受攻擊的系統(tǒng)運行了，就可以按上述步驟中的順序來進行操作，而對于只有備份文件的，如果想要系統(tǒng)最快速度地恢復(fù)正常運行，可以先將整個受損系統(tǒng)做一個鏡像，然后就可以迅速恢復(fù)備份，投入運行。

　　其實，任何處理步驟，說白了，就只是讓你養(yǎng)成一種對某種事件處理過程的通用習(xí)慣性思維和工作流程而已。