网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范，以及日志分析和追踪等软件。这些软件的种类很多，在准备时，得从你的实际情况出发，针对各种网络攻击方法，以及你的使用习惯和你能够承受的成本投入来决定。

　　下面列出需要准备哪些方面的工具软件：

　　（1）、系统及数据的备份和恢复软件。

　　（2）、系统镜像软件。

　　（3）、文件监控及比较软件。

　　（4）、各类日志文件分析软件。

　　（5）、网络分析及嗅探软件。

　　（6）、网络扫描工具软件。

　　（7）、网络追捕软件。

　　（8）、文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。

　　（9）、如有可能，还可以准备一些反弹木马软件。

　　由于涉及到的软件很多，而且又有应用范围及应用平台之分，你不可能全部将它们下载或购买回来，这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来，但有几个软件，在事件响应当中是经常用到的，例如，Securebacker备份恢复软件，Nikto网页漏洞扫描软件，Namp网络扫描软件，Tcpdump（WinDump）网络监控软件,Fport端口监测软件，Ntop网络通信监视软件，RootKitRevealer（Windows下）文件完整性检查软件，ArpwatchARP检测软件，OSSECHIDS入侵检测和各种日志分析工具软件，微软的BASE分析软件，SNORT基于网络入侵检测软件，SpikeProxy网站漏洞检测软件，Sara安全评审助手，NetStumbler是802.11协议的嗅探工具，以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其实上述提到的每个软件以及所有需要准备的软件，都可以在一些安全类网站上下载免费或试用版本，例如，和这两个网站。

　　准备好这些软件后，应当将它们全部妥善保存。你可以将它们刻录到光盘当中，也可以将它们存入移动媒体当中，并随身携带，这样，当要使用它们时随手拿来就可以了。由于有些软件是在不断的更新当中的，而且只有不断升级它们才能保证应对最新的攻击方法，因此，对于这些工具软件，还应当及时更新。

　　二、制定事件响应计划

　　当上述准备工作完成后，我们就可以开始着手制定具体的事件响应计划。在制定时，要根据在准备阶段所确立的响应目标来进行。并且要将制定好的事件响应计划按一定的格式装订成册，分发到每一个事件响应小组成员手中。

　　由于每个网络用户具体的响应目标是不相同的，因而就不可能存在任何一个完全相同的事件响应计划。但是，一个完整的事件响应计划，下面所列出的内容是不可缺少的：

　　（1）、需要保护的资产；

　　（2）、所保护资产的优先级；

　　（3）、事件响应的目标；

　　（4）、事件处理小组成员及组成结构，以及事件处理时与它方的合作方式；

　　（5）、事件处理的具体步骤及注意事项；

　　（6）、事件处理完成后文档编写存档及上报方式；

　　（7）、事件响应计划的后期维护方式；

　　（8）、事件响应计划的模拟演练计划。

　　上述列出项中的第一项和第二项所要说明的内容应该很容易理解，这些在制定安全策略时就会考虑到的，应该很容易就能够完成，还用上述列出项中的第三项和第四项，也已经在本文的制定事件响应计划准备节时说明了，就不再在本文中再做详细说明。至于上述列出项中的第五、第六、第七和第八项，笔者只在此将它们的大概意思列出来，因为要在下面分别用一个单独的小节，给它们做详细的说明。

　　在制定事件响应计划过程当中，还应当特别注意的是：事件响应计划要做到尽量详细和条理清晰，以便事件响应小组成员能够很好地明白。这要求，在制定过程当中，应当从自身的实际情况出发，认真仔细地调查和分析实际会出现的各种攻击事件，组合各种资源，利用头脑风暴的方法，不断细化事件响应计划中的每一个具体应对方法，不断修订事件响应的目标，以此来加强事件响应计划的可扩展性和持续性，使事件响应计划真正适应实际的需求；同时，不仅每个事件响应小组的成员都应当参加进来，而且，包括安全产品提供商，各个合作伙伴，以及当地的政府部门和法律机构都应当考虑进来。

　　总之，一定要将事件响应计划尽可能地做到与你实际响应目标相对应。

[1]