对于企业来说，生产上的各种应急预案都是会有的，例如，重要设备停电应急预案等等。但是，IT现在虽然已经成为企业生产、经营过程中必不可少的构成部分，可面对越来越严重的IT安全事件，企业却很少对此做出像其它生产一样的应急预案。

　　我们先不说做网络安全事件应急预案(有时也称为安全事件响应计划)本身的重要性，我先提一个问题,假设现在你已经发现企业的机密数据已经泄漏，你要如何去做？

　　如果你能够完整的回答出来，那么，下面的内容可以不去浪费时间阅读。如果你回答不出，或有疑问，那么，我们还是很有必要继续下面的内容。

　　要做好企业IT安全事件的应急方案是个繁琐的工作，也并不好做。并且，方案做好后到底行不行得通，能够不能够持续执行下去，以及是否可以达到预期的效果是不能立即知道的，得通过实际的检验才知道。

　　一些朋友会说，搞几次模拟演练不就行了。

　　不错，这也是一个非常好的方法。可是呢，模拟总是比不上正式做战的。就比如打仗，如果在之前战士们都只是在演练中玩过，即使在军事演习中成绩都很好，那么，仍然很难保证他们到了真枪真刀时，还有这个胆，你能保证那些从来没上个战场的士兵手不抖？

　　所以说平时做好准备，然后通过处理各种安全事件来检验应急方案的有效性就显得非常重要。

　　但实际情况是：大多数企业没有网络安全事件应急方案，更不要说事件应急小组。一些企业连IT部门都没有，甚至直接由行政管理部兼任，也就是一两个人，哪来的事故应急小组和应急方案呢？

　　这就是现实!

　　但作为IT人员，即使企业没有完备的条件做这个工作，我们也得做到心中有数。每个企业总有一个组织结构吧!那么，出现问题，你就应该知道该如何去隔离事故，向谁汇报，以及向哪些部门发出协调信息等。

　　不过，不论是什么样的企业，在制定事件响应计划前，我们应当明白事件响应的目标是什么？是为了阻止攻击，减小损失，尽快恢复网络访问正常，还是为了追踪攻击者。

　　你应当衡量自己的力量，在出现问题时，自己只能够做什么，什么需要向外协调才能解决。不能出现顾此失彼的现象。

　　例如，我们在战争电影中经常发现，本来是执行一个任务，在半路发现另一个问题，或去救一个人，从道义上说这是说得过去的，但是，有时往往人救不了，(自己力量单薄)主要任务也由于时间问题不能按时完成，这样就造成两者都没做好的局面。

　　就像本来你要立即恢复服务器运行，确保企业内部业务的开展，但你却想着如何去跟踪入侵者，想通过查出入侵者来显示自己的技术能力。可是，就目前来说，除非很幼稚的攻击者，其它有水平些的攻击者，都不可能给你一下子就找到的。

　　而此时，你花费大量的时间去做了跟踪的事，而服务器却停在哪里一直没有启用，业务由此不能开展，企业也就会因此受到重大的损失。

　　我们是绝不允许这样的事情在自己身上发生的!

　　因此，我们必需清楚事故发生后，首要的目标是什么。也就是，我们是直接反击，打退敌人，还是先救数据，防范事故扩大，再做反击准备。

　　只要事先先明确了目标，事情就有些好办了。但是，我们总不能赤手空手地去仗吧!现在不像以前，小米加步枪，靠人海战术去打仗。

　　对于应对网络安全事件来说，也必需用相应的工具软件来武装自己，不然，你好像少了眼睛，再好的身手也无法开展，做不了什么。

　　至少，我们得准备好下面的工具。这些工具大多不需要花钱，只需要你下载，然后保存下来 就行。

　　我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范，以及日志分析和追踪等软件。这些软件的种类很多，在准备时，得从你的实际情况出发，针对各种网络攻击方法，以及你的使用习惯和你能够承受的成本投入来决定。

　　下面列出需要准备哪些方面的工具软件：

　　(1)、系统及数据的备份和恢复软件。

　　(2)、系统镜像软件。

　　(3)、文件监控及比较软件。

　　(4)、各类日志文件分析软件。

　　(5)、网络分析及嗅探软件。

　　(6)、网络扫描工具软件。

　　(7)、网络追捕软件。

　　(8)、文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。

　　(9)、如有可能，还可以准备一些反弹木马软件。

　　由于涉及到的软件很多，而且又有应用范围及应用平台之分，你不可能全部将它们下载或购买回来，这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来，但有几个软件，在事件响应当中是经常用到的，例如，Secure backer备份恢复软件，Nikto网页漏洞扫描软件，Namp网络扫描软件，Tcpdump(WinDump)网络监控软件,Fport端口监测软件，Ntop网络通信监视软件，RootKitRevealer(Windows下)文件完整性检查软件，Arpwatch ARP检测软件，OSSEC HIDS入侵检测和各种日志分析工具软件，微软的BASE分析软件，SNORT基于网络入侵检测软件，Spike Proxy网站漏洞检测软件，Sara安全评审助手，NetStumbler是802.11协议的嗅探工具，以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其实上述提到的每个软件以及所有需要准备的软件，都可以在一些安全类网站上下载免费或试用版本，例如，www.xfocus.net和www.insecure.org这两个网站。

　　但是，有了武器，还得知道如何去用，知道在什么问题上使用什么工具。不然，即使武装到牙齿，还是打不了仗的。

　　而要做到灵活运用就必需用战术来做指导。对应对网络安全事件来说，战术就是指安全事件的处理流程。

　　也就是说，什么样的网络安全问题，我们该用什么方式去应对。

　　总的来说，一个具体的安全事件处理步骤，应当包括五个部分：事件识别，事件分类，事件证据收集，网络、系统及应用程序数据恢复，以及事件处理完成后建档上报和保存。现将它们详细说明如下：

　　1、事件识别

　　在整个事件处理过程当中，这一步是非常重要的，你必需从众多的信息中，识别哪些是真正的攻击事件，哪些是正常的网络访问。

　　事件识别，不仅要依赖安全软件及系统所产生的各种日志中的异常记录项来做出判断，而且也与事件识别者的技术水平及经验有很大的关系。这是因为，不仅安全软件有误报和漏报的现象，而且，攻击者往往会在成功入侵后，会用一切手段来修改这些日志，以掩盖他的行踪，让你无法从日志中得到某些重要的信息。这时，一个有着丰富经验的事件识别者，就可以通过对网络及系统中某种现象的判断，来决定是否已经受到了攻击。

　　有了可靠的日志，再加上在受到了攻击时会出现各种异常现象，我们就可以通过分析这些日志文件中的记录项，以及对各种现象的判断来确定是否受到了真正的攻击。因此，如果日志中出现了下面列出项中的记录，或网络和主机系统出现了下面列出项中的现象，就一定表明你所监控的网络或主机已经或正在面临着某种类别的攻击：

　　(1)、日志文件中记录有异常的没有登录成功的审计事件;

　　(2)、日志文件中有成功登录的不明账号记录;

　　(3)、日志文件中存在有异常的修改某些特殊文件的记录;

　　(4)、日志文件中存在有某段时间来自网络的不正常扫描记录;

　　(5)、日志文件中存在有在某段时间启动的不明服务进程的记录;

　　(6)、日志文件中存在有特殊用户权限被修改或添加了不明用户账号的记录;

　　(7)、日志文件中存在有添加了某种不明文件的记录;

　　(8)、日志文件中存在有不明软件主动向外连接的记录;

　　(9)、查看日志文件属性时，时间戳不对，或者日志文件大小与你的记录不相符;

　　(10)、查看日志文件内容时，发现日志文件中的某个时间段不存在或被修改;

　　(11)、发现系统反应速度变慢，或在某个时间段突然变慢，但已经排除了系统硬件性能影响的原因;

　　(12)、发现系统中安全软件被停止，正常服务被停止;

　　(13)、发现网站网页被篡改或被删除替换;

　　(14)、发现系统变得不稳定，突然死机，系统资源占用过大，不断重启;

　　(15)、发现网络流量突然增大，查看发现对外打开了不明端口;

　　(16)、发现网卡被设为混杂模式;

　　(17)、某些正常服务不能够被访问等等。

　　能够用来做出判断异常记录和异常现象还有很多，笔者就不在这里全部列出了。这要求事件响应人员应当不断学习，努力提高自身的技术水平，不断增加识别异常现象的经验，然后形成一种适合自己的判断方法后，再加上日志分析工具以及安全监控软件的帮助，就不难在这些日志记录项和现象中找出真正的攻击事件来。

　　到目前为止，通过分析各种日志文件来识别事件性质，依然是最主要的方法之一。你可以重新设置这些安全软件的日志输出格式，使它们容易被理解;你也可以重新详细设置安全软件的过滤规则，减少它们的误报和漏报，增加可识别强度;你还可以使用一些专业的日志文件分析工具，例如OSSEC HIDS，来加快分析大体积日志文件的速度，提高识别率，同时也会减轻你的负担。至于担心日志会被攻击者删除或修改，你可以将所有的日志文件都保存到受防火墙保护的存储系统之中，来减少这种风险。总之，为了能从日志文件中得到我们想要的信息，就应该想法使日志文件以我们需要的方式来工作。

　　所有这些，都得要求事件响应人员在平时经常检查网络及系统的运行情况，不断分析日志文件中的记录，查看各种网络或系统异常现象，以便能及时真正的攻击事件做出正确的判断。另外，你应当在平时在对网络系统中的某些对象进行操作时，应当详细记录下你所操作过的所有对象的内容及操作时间，以便在识别时有一个判断的依据。在工作当中，经常用笔记录下这些操作是一个事件响应人员应当养成的好习惯。

　　当发现了上述出现的异常记录或异常现象，就说明攻击事件已经发生了，因而就可以立即进入到下一个环节当中，即对出现的攻击事件的严重程度进行分类。

　　2、事件分类

　　当确认已经发现攻击事件后，就应当立即对已经出现了的攻击事件做出严重程度的判断，以明确攻击事件到达了什么地步，以便决定下一步采取什么样的应对措施。例如，如果攻击事件是涉及到服务器中的一些机密数据，这肯定是非常严重的攻击事件，就应当立即断开受到攻击的服务器的网络连接，并将其隔离，以防止事态进一步的恶化及影响网络中其它重要主机。

　　对攻击事件进行分类，一直以来，都是没有一个统一的标准的，各安全厂商都有他自己的一套分类方法，因此，你也可以自行对攻击事件的严重程度进行分类。一般来说，可以通过确认攻击事件发展到了什么地步，以及造成了什么样的后果来进行分类，这样就可以将攻击事件分为以下几个类别：

　　(1)、试探性事件;

　　(2)、一般性事件;

　　(3)、控制系统事件;

　　(4)、拒绝服务事件;

　　(5)、得到机密数据事件。

　　对网络中的主机进行试探性扫描，都可以认为是试探性质的事件，这些都是攻击者为了确认网络中是否有可以被攻击的主机，而进行的最基本的工作。当攻击者确认了要攻击的目标后，他就会进一步地对攻击目标进行更加详细，更加有目的的扫描，这时，所使用的扫描方式就会更加先进和不可识别性，例如半连接式扫描及FIN方式扫描等，这种扫描完成后，就可以找到一些是否可以利用的漏洞信息，由于现在的一些整合性防火墙和IDS也能够识别这些方式的扫描，因此，如果在日志文件中找到了与此相应的记录，就表明攻击已经发展到了一般性事件的地步了。当攻击者得到可以利用的漏洞信息后，他就会利用各种手段对攻击目标进行渗透，这时，如果你没有及时发现，渗透的成功性是非常大的，网络中已经存在有太多的这类渗透工具，使用这些工具进行渗透工作是轻而易举的事，在渗透成功后，攻击者就会想法提高自己在攻击目标系统中的权限，并安装后门，以便能随心所欲地控制已经渗透了的目标，此时，就已经发展到了控制系统的地步。到这里，如果你还没有发现攻击行为，那么，你所保护的机密资料将有可能被攻击者完全得到，事态的严重性就可想而知了。攻击者在控制了攻击目标后，有时也不一定能够得到机密数据，由此而产生一些报复性行为，例如进行一些DOS或DDOS攻击等，让其他正常用户也不能够访问，或者，攻击者控制系统的目的，就是为了对其它系统进行DOS或DDOS攻击。

　　此时的你，就应该从日志文件的记录项中，迅速对攻击事件发展到了哪种地步做出明确的判断，并及时上报小组领导，以及通报给其他小组成员，以便整个小组中的所有成员能够明确此次攻击事件的严重程度，然后决定采取什么样的应对方法来进行响应，以防止事态向更加严重的程度发展，或者尽量减小损失，及时修补漏洞，恢复网络系统正常运行，并尽快收集好所有的证据，以此来找到攻击者。