企業(yè)應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件是任何企業(yè)安全管理人員都有可能面對的問題，然而應(yīng)對了企業(yè)安全事件之后并不是網(wǎng)絡(luò)管理員就可以安心了，為企業(yè)網(wǎng)絡(luò)安全事件建檔是一個管理員應(yīng)該從事的工作。為安全事件建檔在今后的安全防護(hù)中更好的對攻擊事件進(jìn)行防范。

事件處理過程的安全事件建檔保存

在將所有事件都已調(diào)查清楚，系統(tǒng)也恢復(fù)正常運(yùn)行后，你就應(yīng)當(dāng)將所有與這次事件相關(guān)的所有種種都做一個詳細(xì)的記錄存檔。具體要記錄保存的內(nèi)容涉及到整個事件響應(yīng)過程，要記錄的內(nèi)容比較多，而且響應(yīng)過程有時比較長，因此，這就要求安全事件響應(yīng)人員在事件處理過程當(dāng)中，應(yīng)當(dāng)隨時記錄下響應(yīng)過程中發(fā)現(xiàn)的點(diǎn)點(diǎn)滴滴和所有的操作事件，以便建檔時能使用。

安全事件建檔格式是可以由你自行來規(guī)定，沒有具體的標(biāo)準(zhǔn)的，只要能夠清楚地記錄下所有應(yīng)該記錄的內(nèi)容就可以了。也可以將文檔做成一式三份，一份上報領(lǐng)導(dǎo)，一份保存，一份用來分析學(xué)習(xí)用。也可以將這些文檔交給一些專業(yè)的安全公司和系統(tǒng)及應(yīng)用軟件提供商，以便它們能夠及時地了解這種攻擊方法，并發(fā)布相應(yīng)的防范產(chǎn)品和安全補(bǔ)丁包，還可以向一些合作伙伴通報，讓它們也能夠加強(qiáng)這方面的防范。

具體要建檔的內(nèi)容如下所示：

(1)、攻擊發(fā)生在什么時候，什么時候發(fā)現(xiàn)的，發(fā)現(xiàn)人是誰？

(2)、攻擊者利用的是什么漏洞來攻擊的，這種漏洞是已經(jīng)發(fā)現(xiàn)了的，還現(xiàn)在才出事的，漏洞的具體類別及數(shù)量？

(3)、攻擊者在系統(tǒng)中進(jìn)行了哪些方面的操作，有哪些數(shù)據(jù)或文件被攻擊者攻擊了？

(4)、攻擊的大體發(fā)展順序是怎么進(jìn)行的？

(5)、造成此次事件的關(guān)鍵因素是什么？

(6)、解決此次事件的具體流程是什么？

(7)、攻擊造成了什么后果，嚴(yán)重程度如何，攻擊者得到了什么權(quán)限和數(shù)據(jù)？

(8)、攻擊者是如何突破安全防線的？

(9)、用什么工具軟件解決的？

(10)、此次事件在發(fā)現(xiàn)及處理時有哪些人員參與，上報給了哪些部門及人員？

(11)、事件發(fā)生后，損失的恢復(fù)情況如何？

(12)、此次攻擊有了什么新的改變，是否可以預(yù)防和應(yīng)對？

(13)、以后應(yīng)該如何應(yīng)對這種安全事件，給出一個具體的方案附后等等。

以上所列出的，都是安全事件建檔時應(yīng)當(dāng)記錄的內(nèi)容。建檔人員可以自由安排記錄的順序，但是得和事件處理的順序相對應(yīng)，以便讓其它人員更好地理解和學(xué)習(xí)。當(dāng)然，你還可以記錄其它沒有在上述項(xiàng)中提到的內(nèi)容，只要你認(rèn)為有記錄下這些內(nèi)容的必要，或者是你的響應(yīng)小組領(lǐng)導(dǎo)要求記錄下這些內(nèi)容。

總之，事先制定出一個適應(yīng)實(shí)際需要、有彈性的事件應(yīng)急方案，能夠幫助我們從容應(yīng)對現(xiàn)在不斷出現(xiàn)的各類攻擊事件，為整個網(wǎng)絡(luò)安全防范提供最強(qiáng)大的后盾支持，并以此來完善整個網(wǎng)絡(luò)安全策略。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類
2. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類
3. 企業(yè)網(wǎng)絡(luò)防護(hù)應(yīng)注意的四個基本點(diǎn)
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險