網(wǎng)絡(luò)攻擊事件證據(jù)是企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全事件時(shí)應(yīng)該所注意的一項(xiàng)步驟，通過(guò)網(wǎng)絡(luò)攻擊事件證據(jù)不僅是為了找到攻擊者，而且企業(yè)數(shù)據(jù)一旦遭到泄露我們還應(yīng)當(dāng)通過(guò)法律武器將不法分子繩之以法。所以網(wǎng)絡(luò)攻擊事件證據(jù)就顯得尤為重要了。

攻擊事件證據(jù)收集

為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據(jù)，就應(yīng)該在恢復(fù)已被攻擊的系統(tǒng)正常之前，將這些能提供證據(jù)的數(shù)據(jù)全部收集起來(lái)，妥善保存。

至于如何收集，這要視你所要收集的證據(jù)的多少及大小，以及收集的速度要求來(lái)定。

如果只收集少量的數(shù)據(jù)，你可以通過(guò)簡(jiǎn)單的復(fù)制方法將這些數(shù)據(jù)保存到另外一些安全的存儲(chǔ)媒介當(dāng)中;如果要收集的數(shù)據(jù)數(shù)量多且體積大，而且要求在極少的時(shí)間來(lái)完成，你就可以通過(guò)一些專(zhuān)業(yè)的軟件來(lái)進(jìn)行收集。

對(duì)于這些收集的數(shù)據(jù)保存到什么樣的存儲(chǔ)媒介之中，也得根據(jù)所要收集的數(shù)據(jù)要求來(lái)定的，還得看你現(xiàn)在所擁有的存儲(chǔ)媒介有哪些，一般保存到光盤(pán)或磁帶當(dāng)中為好。

具體收集哪些數(shù)據(jù)，你可以將你認(rèn)為能夠成為網(wǎng)絡(luò)攻擊事件證據(jù)的數(shù)據(jù)全部都收集起來(lái)，也可以只收集其中最重要的部分，下面是一些應(yīng)該收集的數(shù)據(jù)列表：

(1)、操作系統(tǒng)事件日志;

(2)、操作系統(tǒng)審計(jì)日志;

(3)、網(wǎng)絡(luò)應(yīng)用程序日志;

(4)、防火墻日志;

(5)、入侵檢測(cè)日志;

(6)、受損系統(tǒng)及軟件鏡像。

在進(jìn)行這一步之前，如果你的首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常，為了防止在恢復(fù)系統(tǒng)備份時(shí)將這些證據(jù)文件丟失，或者你只是想為這些攻擊留個(gè)紀(jì)念，你應(yīng)當(dāng)先使用一些系統(tǒng)鏡像軟件將整個(gè)系統(tǒng)做一個(gè)鏡像保存后，再進(jìn)行恢復(fù)工作。

收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù)，而且，在事件響應(yīng)完成后，還應(yīng)將它們統(tǒng)計(jì)建檔，并上報(bào)給相關(guān)領(lǐng)導(dǎo)及其它合作機(jī)構(gòu)，例如安全軟件提供商，合作伙伴，以及當(dāng)?shù)氐姆蓹C(jī)構(gòu)，同時(shí)也可以作為事后分析學(xué)習(xí)之用。

因此，這個(gè)事件響應(yīng)操作步驟也是必不可少的，收集到的網(wǎng)絡(luò)攻擊事件證據(jù)也應(yīng)當(dāng)保存完整。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全事件識(shí)別與分類(lèi)
2. 企業(yè)網(wǎng)絡(luò)安全事件識(shí)別與分類(lèi)
3. 企業(yè)網(wǎng)絡(luò)防護(hù)應(yīng)注意的四個(gè)基本點(diǎn)
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)