国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　要做好事件的應(yīng)急是個繁瑣的工作，也并不好做。并且，方案做好后到底行不行得通，能夠不能夠持續(xù)執(zhí)行下去，以及是否可以達(dá)到預(yù)期的效果是不能立即知道的，得通過實際的檢驗才知道。

　　平時做好準(zhǔn)備，通過處理各種安全事件來檢驗應(yīng)急方案的有效性就顯得非常重要。但實際情況是：大多數(shù)企業(yè)沒有網(wǎng)絡(luò)安全事件應(yīng)急方案，更不要說事件應(yīng)急小組。一些企業(yè)連IT部門都沒有，甚至直接由行政管理部兼任，也就是一兩個人，哪來的事故應(yīng)急小組和應(yīng)急方案呢？不論是什么樣的企業(yè)，在制定事件響應(yīng)計劃前，我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么？是為了阻止攻擊，減小損失，盡快恢復(fù)網(wǎng)絡(luò)訪問正常，還是為了追蹤攻擊者。

　　只要事先先明確了目標(biāo)，事情就有些好辦了。對于應(yīng)對網(wǎng)絡(luò)安全事件來說，也必需用相應(yīng)的工具軟件來武裝自己，不然，你好像少了眼睛，再好的身手也無法開展，做不了什么。

　　至少，我們得準(zhǔn)備好下面的工具，大多不需要花錢，只需要下載保存下來就行。我們所要準(zhǔn)備的工具軟件主要包括數(shù)據(jù)備份恢復(fù)、網(wǎng)絡(luò)及應(yīng)用軟件漏洞掃描、網(wǎng)絡(luò)及應(yīng)用軟件攻擊防范，以及日志分析和追蹤等軟件。這些軟件的種類很多，在準(zhǔn)備時，得從你的實際情況出發(fā)，針對各種網(wǎng)絡(luò)攻擊方法，以及你的使用習(xí)慣和你能夠承受的成本投入來決定。

　　下面列出需要準(zhǔn)備哪些方面的工具軟件：

　　(1)、系統(tǒng)及數(shù)據(jù)的備份和恢復(fù)軟件。

　　(2)、系統(tǒng)鏡像軟件。

　　(3)、文件監(jiān)控及比較軟件。

　　(4)、各類日志文件分析軟件。

　　(5)、網(wǎng)絡(luò)分析及嗅探軟件。

　　(6)、網(wǎng)絡(luò)掃描工具軟件。

　　(7)、網(wǎng)絡(luò)追捕軟件。

　　(8)、文件捆綁分析及分離軟件，二進(jìn)制文件分析軟件，進(jìn)程監(jiān)控軟件。

　　(9)、如有可能，還可以準(zhǔn)備一些反彈軟件。

　　由于涉及到的軟件很多，而且又有應(yīng)用范圍及應(yīng)用平臺之分，你不可能全部將它們下載或購買回來，這肯定是不夠現(xiàn)實的。因而在此筆者也不好一一將這些軟件全部羅列出來，但有幾個軟件，在事件響應(yīng)當(dāng)中是經(jīng)常用到的，例如， backer備份恢復(fù)軟件，Nikto網(wǎng)頁漏洞掃描軟件，Namp網(wǎng)絡(luò)掃描軟件，Tcpdump(WinDump)網(wǎng)絡(luò)監(jiān)控軟件,Fport端口監(jiān)測軟件，Ntop網(wǎng)絡(luò)通信監(jiān)視軟件，RootKitRevealer(Windows下)文件完整性檢查軟件，Arpwatch檢測軟件，OSSEC HIDS檢測和各種日志分析工具軟件，的BASE分析軟件，SNORT基于網(wǎng)絡(luò)入侵檢測軟件，Spike Proxy網(wǎng)站漏洞檢測軟件，Sara安全評審助手，NetStumbler是802.11協(xié)議的嗅探工具，以及Wireshark嗅探軟件等都是應(yīng)該擁有的。還有一些好用的軟件是本身帶有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其實上述提到的每個軟件以及所有需要準(zhǔn)備的軟件，都可以在一些安全類網(wǎng)站上下載免費或試用版本，例如，www.xfocus.net和www.insecure.org這兩個網(wǎng)站。

　　但是，有了武器，還得知道如何去用，知道在什么問題上使用什么工具。不然，即使武裝到牙齒，還是打不了仗的。

　　而要做到靈活運用就必需用戰(zhàn)術(shù)來做指導(dǎo)。對應(yīng)對網(wǎng)絡(luò)安全事件來說，戰(zhàn)術(shù)就是指安全事件的處理流程。

　　也就是說，什么樣的網(wǎng)絡(luò)安全問題，我們該用什么方式去應(yīng)對。

　　2、事件分類

　　當(dāng)確認(rèn)已經(jīng)發(fā)現(xiàn)攻擊事件后，就應(yīng)當(dāng)立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴(yán)重程度的判斷，以明確攻擊事件到達(dá)了什么地步，以便決定下一步采取什么樣的應(yīng)對措施。例如，如果攻擊事件是涉及到中的一些機密數(shù)據(jù)，這肯定是非常嚴(yán)重的攻擊事件，就應(yīng)當(dāng)立即斷開受到攻擊的服務(wù)器的網(wǎng)絡(luò)連接，并將其隔離，以防止事態(tài)進(jìn)一步的惡化及影響網(wǎng)絡(luò)中其它重要主機。

　　對攻擊事件進(jìn)行分類，一直以來，都是沒有一個統(tǒng)一的標(biāo)準(zhǔn)的，各安全廠商都有他自己的一套分類方法，因此，你也可以自行對攻擊事件的嚴(yán)重程度進(jìn)行分類。一般來說，可以通過確認(rèn)攻擊事件發(fā)展到了什么地步，以及造成了什么樣的后果來進(jìn)行分類，這樣就可以將攻擊事件分為以下幾個類別：

　　(1)、試探性事件;

　　(2)、一般性事件;

　　(3)、控制系統(tǒng)事件;

　　(4)、拒絕服務(wù)事件;

　　(5)、得到機密數(shù)據(jù)事件。

　　對網(wǎng)絡(luò)中的主機進(jìn)行試探性掃描，都可以認(rèn)為是試探性質(zhì)的事件，這些都是攻擊者為了確認(rèn)網(wǎng)絡(luò)中是否有可以被攻擊的主機，而進(jìn)行的最基本的工作。當(dāng)攻擊者確認(rèn)了要攻擊的目標(biāo)后，他就會進(jìn)一步地對攻擊目標(biāo)進(jìn)行更加詳細(xì)，更加有目的的掃描，這時，所使用的掃描方式就會更加先進(jìn)和不可識別性，例如半連接式掃描及FIN方式掃描等，這種掃描完成后，就可以找到一些是否可以利用的漏洞信息，由于現(xiàn)在的一些整合性和也能夠識別這些方式的掃描，因此，如果在日志文件中找到了與此相應(yīng)的記錄，就表明攻擊已經(jīng)發(fā)展到了一般性事件的地步了。當(dāng)攻擊者得到可以利用的漏洞信息后，他就會利用各種手段對攻擊目標(biāo)進(jìn)行滲透，這時，如果你沒有及時發(fā)現(xiàn)，滲透的成功性是非常大的，網(wǎng)絡(luò)中已經(jīng)存在有太多的這類滲透工具，使用這些工具進(jìn)行滲透工作是輕而易舉的事，在滲透成功后，攻擊者就會想法提高自己在攻擊目標(biāo)系統(tǒng)中的權(quán)限，并安裝后門，以便能隨心所欲地控制已經(jīng)滲透了的目標(biāo)，此時，就已經(jīng)發(fā)展到了控制系統(tǒng)的地步。到這里，如果你還沒有發(fā)現(xiàn)攻擊行為，那么，你所保護(hù)的機密資料將有可能被攻擊者完全得到，事態(tài)的嚴(yán)重性就可想而知了。攻擊者在控制了攻擊目標(biāo)后，有時也不一定能夠得到機密數(shù)據(jù)，由此而產(chǎn)生一些報復(fù)性行為，例如進(jìn)行一些DOS或攻擊等，讓其他正常用戶也不能夠訪問，或者，攻擊者控制系統(tǒng)的目的，就是為了對其它系統(tǒng)進(jìn)行DOS或DDOS攻擊。

　　此時的你，就應(yīng)該從日志文件的記錄項中，迅速對攻擊事件發(fā)展到了哪種地步做出明確的判斷，并及時上報小組領(lǐng)導(dǎo)，以及通報給其他小組成員，以便整個小組中的所有成員能夠明確此次攻擊事件的嚴(yán)重程度，然后決定采取什么樣的應(yīng)對方法來進(jìn)行響應(yīng)，以防止事態(tài)向更加嚴(yán)重的程度發(fā)展，或者盡量減小損失，及時修補漏洞，恢復(fù)網(wǎng)絡(luò)系統(tǒng)正常運行，并盡快收集好所有的證據(jù)，以此來找到攻擊者。