企业该如何去面对网络安全事件（2）

　　5、事件处理过程的建档保存

　　在将所有事件都已调查清楚，系统也恢复正常运行后，你就应当将所有与这次事件相关的所有种种都做一个详细的记录存档。建档的目的有二点，一是用来向上级领导报告事件起因及处理方法，二是用来做学习的例子，用来分析攻击者的攻击方法，以便以后更加有效地防止此类攻击事件的发生。具体要记录保存的内容涉及到整个事件响应过程，要记录的内容比较多，而且响应过程有时比较长，因此，这就要求安全事件响应人员在事件处理过程当中，应当随时记录下响应过程中发现的点点滴滴和所有的操作事件，以便建档时能使用。

　　建档格式是可以由你自行来规定，没有具体的标准的，只要能够清楚地记录下所有应该记录的内容就可以了。也可以将文档做成一式三份，一份上报领导，一份保存，一份用来分析学习用。也可以将这些文档交给一些专业的安全公司和系统及应用软件提供商，以便它们能够及时地了解这种攻击方法，并发布相应的防范产品和安全补丁包，还可以向一些合作伙伴通报，让它们也能够加强这方面的防范。

　　具体要建档的内容如下所示：

　　(1)、攻击发生在什么时候，什么时候发现的，发现人是谁？

　　(2)、攻击者利用的是什么漏洞来攻击的，这种漏洞是已经发现了的，还现在才出事的，漏洞的具体类别及数量？

　　(3)、攻击者在系统中进行了哪些方面的操作，有哪些数据或文件被攻击者攻击了？

　　(4)、攻击的大体发展顺序是怎么进行的？

　　(5)、造成此次事件的关键因素是什么？

　　(6)、解决此次事件的具体流程是什么？

　　(7)、攻击造成了什么后果，严重程度如何，攻击者得到了什么权限和数据？

　　(8)、攻击者是如何突破安全防线的？

　　(9)、用什么工具软件解决的？

　　(10)、此次事件在发现及处理时有哪些人员参与，上报给了哪些部门及人员？

　　(11)、事件发生后，损失的恢复情况如何？

　　(12)、此次攻击有了什么新的改变，是否可以预防和应对？

　　(13)、以后应该如何应对这种安全事件，给出一个具体的方案附后等等。

　　以上所列出的，都是建档时应当记录的内容。建档人员可以自由安排记录的顺序，但是得和事件处理的顺序相对应，以便让其它人员更好地理解和学习。当然，你还可以记录其它没有在上述项中提到的内容，只要你认为有记录下这些内容的必要，或者是你的响应小组领导要求记录下这些内容。

　　总之，事先制定出一个适应实际需要、有弹性的事件应急方案，能够帮助我们从容应对现在不断出现的各类攻击事件，为整个网络安全防范提供最强大的后盾支持，并以此来完善整个网络安全策略。