網(wǎng)絡(luò)攻擊事件證據(jù)是企業(yè)應(yīng)對網(wǎng)絡(luò)安全事件時應(yīng)該所注意的一項步驟，通過網(wǎng)絡(luò)攻擊事件證據(jù)不僅是為了找到攻擊者，而且企業(yè)數(shù)據(jù)一旦遭到泄露我們還應(yīng)當通過法律武器將不法分子繩之以法。所以網(wǎng)絡(luò)攻擊事件證據(jù)就顯得尤為重要了。

攻擊事件證據(jù)收集

為了能為析攻擊產(chǎn)生的原因及攻擊所產(chǎn)生的破壞，也為了能找到攻擊者，并提供將他繩之以法的證據(jù)，就應(yīng)該在恢復(fù)已被攻擊的系統(tǒng)正常之前，將這些能提供證據(jù)的數(shù)據(jù)全部收集起來，妥善保存。

至于如何收集，這要視你所要收集的證據(jù)的多少及大小，以及收集的速度要求來定。

如果只收集少量的數(shù)據(jù)，你可以通過簡單的復(fù)制方法將這些數(shù)據(jù)保存到另外一些安全的存儲媒介當中;如果要收集的數(shù)據(jù)數(shù)量多且體積大，而且要求在極少的時間來完成，你就可以通過一些專業(yè)的軟件來進行收集。

對于這些收集的數(shù)據(jù)保存到什么樣的存儲媒介之中，也得根據(jù)所要收集的數(shù)據(jù)要求來定的，還得看你現(xiàn)在所擁有的存儲媒介有哪些，一般保存到光盤或磁帶當中為好。

具體收集哪些數(shù)據(jù)，你可以將你認為能夠成為網(wǎng)絡(luò)攻擊事件證據(jù)的數(shù)據(jù)全部都收集起來，也可以只收集其中最重要的部分，下面是一些應(yīng)該收集的數(shù)據(jù)列表：

(1)、操作系統(tǒng)事件日志;

(2)、操作系統(tǒng)審計日志;

(3)、網(wǎng)絡(luò)應(yīng)用程序日志;

(4)、防火墻日志;

(5)、入侵檢測日志;

(6)、受損系統(tǒng)及軟件鏡像。

在進行這一步之前，如果你的首要任務(wù)是將網(wǎng)絡(luò)或系統(tǒng)恢復(fù)正常，為了防止在恢復(fù)系統(tǒng)備份時將這些證據(jù)文件丟失，或者你只是想為這些攻擊留個紀念，你應(yīng)當先使用一些系統(tǒng)鏡像軟件將整個系統(tǒng)做一個鏡像保存后，再進行恢復(fù)工作。

收集的數(shù)據(jù)不僅是作為指證攻擊者的證據(jù)，而且，在事件響應(yīng)完成后，還應(yīng)將它們統(tǒng)計建檔，并上報給相關(guān)領(lǐng)導(dǎo)及其它合作機構(gòu)，例如安全軟件提供商，合作伙伴，以及當?shù)氐姆蓹C構(gòu)，同時也可以作為事后分析學(xué)習(xí)之用。

因此，這個事件響應(yīng)操作步驟也是必不可少的，收集到的網(wǎng)絡(luò)攻擊事件證據(jù)也應(yīng)當保存完整。

【編輯推薦】

1. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類
2. 企業(yè)網(wǎng)絡(luò)安全事件識別與分類
3. 企業(yè)網(wǎng)絡(luò)防護應(yīng)注意的四個基本點
4. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險