总的来说，一个具体的安全事件处理步骤，应当包括五个部分：事件识别，事件分类，事件证据收集，网络、系统及应用程序数据恢复，以及事件处理完成后建档上报和保存。上文企业该如何去面对网络安全事件？（上）讲到了前两个步骤事件识别和事件分类，今天继续讲后面的步骤：

　　3、攻击事件证据收集

　　为了能为析攻击产生的原因及攻击所产生的破坏，也为了能找到攻击者，并提供将他绳之以法的证据，就应该在恢复已被攻击的系统正常之前，将这些能提供证据的数据全部收集起来，妥善保存。

　　至于如何收集，这要视你所要收集的证据的多少及大小，以及收集的速度要求来定。如果只收集少量的数据，你可以通过简单的复制方法将这些数据保存到另外一些安全的存储媒介当中;如果要收集的数据数量多且体积大，而且要求在极少的时间来完成，你就可以通过一些专业的软件来进行收集。对于这些收集的数据保存到什么样的存储媒介之中，也得根据所要收集的数据要求来定的，还得看你现在所拥有的存储媒介有哪些，一般保存到光盘或磁带当中为好。

　　具体收集哪些数据，你可以将你认为能够为攻击事件提供证据的数据全部都收集起来，也可以只收集其中最重要的部分，下面是一些应该收集的数据列表：

　　(1)、操作系统事件日志;

　　(2)、操作系统审计日志;

　　(3)、网络应用程序日志;

　　(4)、防火墙日志;

　　(5)、入侵检测日志;

　　(6)、受损系统及软件镜像。

　　在进行这一步之前，如果你的首要任务是将网络或系统恢复正常，为了防止在恢复系统备份时将这些证据文件丢失，或者你只是想为这些攻击留个纪念，你应当先使用一些系统镜像软件将整个系统做一个镜像保存后，再进行恢复工作。

　　收集的数据不仅是作为指证攻击者的证据，而且，在事件响应完成后，还应将它们统计建档，并上报给相关领导及其它合作机构，例如安全软件提供商，合作伙伴，以及当地的法律机构，同时也可以作为事后分析学习之用。因此，这个事件响应操作步骤也是必不可少的，收集到的数据也应当保存完整。

　　4、网络、系统及应用程序数据恢复

　　在收集完所有的证据后，就可以将被攻击影响到的对象全部恢复正常运行，以便可以正常使用。是否能够及时的恢复系统到正常状态，得依靠另一个安全手段，就是备份恢复计划，对于一些大型企业，有时也被称为灾难恢复计划，不管怎么说，事先对所保护的重要数据做一个安全的备份是一定需要的，它直接影响到事件响应过程中恢复的及时性和可能性。

　　在恢复系统后，你应当确保系统漏洞已经被修补完成，系统已经更新了最新的补丁包，并且已经重新对修补过的系统做了新的备份，这样，才能让这些受到攻击恢复正常后的系统重新连入到网络当中。如果当时还没有最新的安全补丁，而又必需马上恢复系统运行的话，你可以先实施一些针对性的安全措施，然后再将系统连入到网络当中，但要时刻注意，并在有补丁时马上更新它，并重新备份。

　　恢复的方法及恢复内容的多少，得看你的系统受损的情况来决定，例如，系统中只是开放了一些不正常的端口，那就没有必要恢复整个系统，只要将这些端口关闭，然后堵住产生攻击的漏洞就可以了。如果系统中的重要文件已经被修改或删除，系统不能正常运行，而这些文件又不能够被修复，就只能恢复整个系统了。恢复时，即可以通过手工操作方式来达到恢复目的，也可以通过一些专业的备份恢复软件来进行恢复，甚至，在有些大中型企业，由于数据多，而且非常重要，对系统稳定性和连续性有很高的要求，例如一些网站类企业，就会使用一个备用系统，来提供冗余，当一套系统遭到攻击停运后，另一套系统就会自动接替它运行，这样，就能让事件响应小组人员有足够多的时间进行各项操作，而且不会影响到网络系统的正常访问。

　　恢复在整个事件处理步骤当中是比较独特的，将它放在哪一步来执行，你应当以你的保护目标来决定，例如，当你保护的首要目标是为了尽快恢复网络系统或服务能够正常访问，如果有备用系统的，因为备用系统已经接替受攻击的系统运行了，就可以按上述步骤中的顺序来进行操作，而对于只有备份文件的，如果想要系统最快速度地恢复正常运行，可以先将整个受损系统做一个镜像，然后就可以迅速恢复备份，投入运行。

　　其实，任何处理步骤，说白了，就只是让你养成一种对某种事件处理过程的通用习惯性思维和工作流程而已。

　　5、事件处理过程的建档保存

　　在将所有事件都已调查清楚，系统也恢复正常运行后，你就应当将所有与这次事件相关的所有种种都做一个详细的记录存档。建档的目的有二点，一是用来向上级领导报告事件起因及处理方法，二是用来做学习的例子，用来分析攻击者的攻击方法，以便以后更加有效地防止此类攻击事件的发生。具体要记录保存的内容涉及到整个事件响应过程，要记录的内容比较多，而且响应过程有时比较长，因此，这就要求安全事件响应人员在事件处理过程当中，应当随时记录下响应过程中发现的点点滴滴和所有的操作事件，以便建档时能使用。

　　建档格式是可以由你自行来规定，没有具体的标准的，只要能够清楚地记录下所有应该记录的内容就可以了。也可以将文档做成一式三份，一份上报领导，一份保存，一份用来分析学习用。也可以将这些文档交给一些专业的安全公司和系统及应用软件提供商，以便它们能够及时地了解这种攻击方法，并发布相应的防范产品和安全补丁包，还可以向一些合作伙伴通报，让它们也能够加强这方面的防范。

　　具体要建档的内容如下所示：

　　(1)、攻击发生在什么时候，什么时候发现的，发现人是谁？

　　(2)、攻击者利用的是什么漏洞来攻击的，这种漏洞是已经发现了的，还现在才出事的，漏洞的具体类别及数量？

　　(3)、攻击者在系统中进行了哪些方面的操作，有哪些数据或文件被攻击者攻击了？

　　(4)、攻击的大体发展顺序是怎么进行的？

　　(5)、造成此次事件的关键因素是什么？

　　(6)、解决此次事件的具体流程是什么？

　　(7)、攻击造成了什么后果，严重程度如何，攻击者得到了什么权限和数据？

　　(8)、攻击者是如何突破安全防线的？

　　(9)、用什么工具软件解决的？

　　(10)、此次事件在发现及处理时有哪些人员参与，上报给了哪些部门及人员？

　　(11)、事件发生后，损失的恢复情况如何？

　　(12)、此次攻击有了什么新的改变，是否可以预防和应对？

　　(13)、以后应该如何应对这种安全事件，给出一个具体的方案附后等等。

　　以上所列出的，都是建档时应当记录的内容。建档人员可以自由安排记录的顺序，但是得和事件处理的顺序相对应，以便让其它人员更好地理解和学习。当然，你还可以记录其它没有在上述项中提到的内容，只要你认为有记录下这些内容的必要，或者是你的响应小组领导要求记录下这些内容。

　　总之，事先制定出一个适应实际需要、有弹性的事件应急方案，能够帮助我们从容应对现在不断出现的各类攻击事件，为整个网络安全防范提供最强大的后盾支持，并以此来完善整个网络安全策略。