企業應對網絡安全突發事件是任何企業安全管理人員都有可能面對的問題，然而應對了企業安全事件之后并不是網絡管理員就可以安心了，為企業網絡安全事件建檔是一個管理員應該從事的工作。為安全事件建檔在今后的安全防護中更好的對攻擊事件進行防范。

事件處理過程的安全事件建檔保存

在將所有事件都已調查清楚，系統也恢復正常運行后，你就應當將所有與這次事件相關的所有種種都做一個詳細的記錄存檔。具體要記錄保存的內容涉及到整個事件響應過程，要記錄的內容比較多，而且響應過程有時比較長，因此，這就要求安全事件響應人員在事件處理過程當中，應當隨時記錄下響應過程中發現的點點滴滴和所有的操作事件，以便建檔時能使用。

安全事件建檔格式是可以由你自行來規定，沒有具體的標準的，只要能夠清楚地記錄下所有應該記錄的內容就可以了。也可以將文檔做成一式三份，一份上報領導，一份保存，一份用來分析學習用。也可以將這些文檔交給一些專業的安全公司和系統及應用軟件提供商，以便它們能夠及時地了解這種攻擊方法，并發布相應的防范產品和安全補丁包，還可以向一些合作伙伴通報，讓它們也能夠加強這方面的防范。

具體要建檔的內容如下所示：

(1)、攻擊發生在什么時候，什么時候發現的，發現人是誰？

(2)、攻擊者利用的是什么漏洞來攻擊的，這種漏洞是已經發現了的，還現在才出事的，漏洞的具體類別及數量？

(3)、攻擊者在系統中進行了哪些方面的操作，有哪些數據或文件被攻擊者攻擊了？

(4)、攻擊的大體發展順序是怎么進行的？

(5)、造成此次事件的關鍵因素是什么？

(6)、解決此次事件的具體流程是什么？

(7)、攻擊造成了什么后果，嚴重程度如何，攻擊者得到了什么權限和數據？

(8)、攻擊者是如何突破安全防線的？

(9)、用什么工具軟件解決的？

(10)、此次事件在發現及處理時有哪些人員參與，上報給了哪些部門及人員？

(11)、事件發生后，損失的恢復情況如何？

(12)、此次攻擊有了什么新的改變，是否可以預防和應對？

(13)、以后應該如何應對這種安全事件，給出一個具體的方案附后等等。

以上所列出的，都是安全事件建檔時應當記錄的內容。建檔人員可以自由安排記錄的順序，但是得和事件處理的順序相對應，以便讓其它人員更好地理解和學習。當然，你還可以記錄其它沒有在上述項中提到的內容，只要你認為有記錄下這些內容的必要，或者是你的響應小組領導要求記錄下這些內容。

總之，事先制定出一個適應實際需要、有彈性的事件應急方案，能夠幫助我們從容應對現在不斷出現的各類攻擊事件，為整個網絡安全防范提供最強大的后盾支持，并以此來完善整個網絡安全策略。

【編輯推薦】

1. 企業網絡安全事件識別與分類
2. 企業網絡安全事件識別與分類
3. 企業網絡防護應注意的四個基本點
4. 企業如何對員工進行網絡安全培訓
5. 企業如何在復雜環境中降低安全風險