计算机安全事件处理指南计算机安全事件处理指南(一):准备和预防安全事件响应过程从启动准备工作到事件后分析可以分为几个阶段。启动阶段包括建立和培训安全事件响应小组并获得必要的工具和资源。在准备工作中,组织也要以风险评估的结果为基础,通过选择和实施一套控制措施来限制安全事件的发生次数。但是即使在实施了安全控制措施后,残余风险依然不可避免,而且没有哪种控制措施是绝对安全的,所以对破坏网络安全的行为要进行检测,一旦安全事件发生要对组织发出报警。针对安全事件的严重程度,组织可以采取行动,通过对安全事件进行限制并最终从中恢复来减缓安全事件所造成的影响。在安全事件得到适当处理后,组织要提交一份报告,详细描述安全事件的起因、造成的损失以及以后对这类安全事件所应采取的防范措施和步骤。图1描述了安全事件响应的生命周期。图1:安全事件响应生命周期1、准备安全事件响应方法学通常都要强调准备工作,不仅要建立一个安全事件响应能力,使组织能够从容响应安全事件,而且要通过确保系统、网络及应用足够安全来预防安全事件。虽然预防安全事件一般不属于安全事件响应小组的职责,但是因为它太重要了,以至于现在它已经被认为是安全事件响应小组的基础组件工作。在提出系统安全保护建议时,安全事件响应小组的专长是非常有价值的。本节将针对安全事件处理及预防的准备工作提供指导。1.1准备处理安全事件表1列出了在安全事件处理过程中一些有价值的工具和资源。可以看到对安全事件分析有用的具体软件信息以及一些包含对安全事件响应有帮助的信息的网站清单。表1安全事件处理人员所需工具和资源工具/资源安全事件处理人员通信及设施联系信息用于小组成员及组织内部和外部的其它人员(包括主要联系人和后备人员),比如执法机构和其它安全事件响应小组;这些信息可能包括电话号码、电子邮件地址、公钥(按照下面将要提到的加密软件)、以及验证联系人身份的指令待命信息用于组织内其它小组,包括问题升级信息安全事件报告机制比如电话号码、邮件地址和是网上表格,用户可以用它们来报告可以事件;至少要有一种方法允许用户可以用匿名方式报告事件传呼机或移动电话小组成员要随身携带的通信工具,保证成员在非工作时间也能联系得到。加密软件被用于小组成员之间在组织内部、以及和外部机构之间的通信,必须采用经过FIPS140-2验证过的加密算法作战指挥室用于集中式通信和协调;如果不需要永久性的作战指挥室,安全事件响应小组应该制定一个流程用来在需要时获得一个临时的作战指挥室。安全存储设施用于保护证据和其它敏感信息安全事件分析硬件和软件计算机取证工作站[1]和/或备份设备用于创建磁盘映象、保存日志文件、保存安全事件其它相关数据笔记本计算机由于这种计算机便于携带,可用于数据分析、监听数据包及编写报告备用工作站、服务器及网络设备这些设备可应用于许多用途,比如用备份来恢复系统、测试恶意代码;如果小组难以判断额外设备的费用,可以使用现有的实验设备,或者用操作系统仿真软件来建立虚拟实验室空白介质比如软盘、只读CD和只读DVD便携式打印机用于从非网络连接系统中打印日志文件和其它证据副本。数据包监听和协议分析器捕获并分析可能包含有事件证据的网络流量计算机取证软件用于分析磁盘映象,查找安全事件证据软盘和光盘存放有程序可靠版本的软盘和光盘,可用它们从系统中收集证据证据收集辅助设备通过包括笔记本计算机、数字像机、录音机、证据存放袋和标签、证据磁带等来保护证据,以备可能发生的法律行动安全事件分析资源端口列表包括常用端口和特洛伊木马端口文档包括操作系统、应用、协议、入侵检测特征码、病毒特征码的文档。网络拓扑图和关键资产清单比如WEB服务器、邮件服务器、FTP服务器。工具/资源基线预期网络、系统和应用的行为的基线。关键文件的加密hash提高安全事件的分析、验证和消除速度安全事件减缓软件介质包括操作系统引导盘和CD、操作系统介质及应用介质安全补丁来自操作系统和应用厂商备份映像存储在二级介质上的操作系统、应用和数据。许多安全事件响应小组都创建了一个简便工具箱(jumpkit),一般...
