对于企业来说，生产上的各种应急预案都是会有的，例如，重要设备停电应急预案等等。但是，IT现在虽然已经成为企业生产、经营过程中必不可少的构成部分，可面对越来越严重的IT安全事件，企业却很少对此做出像其它生产一样的应急预案。

　　我们先不说做网络安全事件应急预案(有时也称为安全事件响应计划)本身的重要性，我先提一个问题,假设现在你已经发现企业的机密数据已经泄漏，你要如何去做？

　　如果你能够完整的回答出来，那么，下面的内容可以不去浪费时间阅读。如果你回答不出，或有疑问，那么，我们还是很有必要继续下面的内容。

　　要做好企业IT安全事件的应急方案是个繁琐的工作，也并不好做。并且，方案做好后到底行不行得通，能够不能够持续执行下去，以及是否可以达到预期的效果是不能立即知道的，得通过实际的检验才知道。

　　一些朋友会说，搞几次模拟演练不就行了。

　　不错，这也是一个非常好的方法。可是呢，模拟总是比不上正式做战的。就比如打仗，如果在之前战士们都只是在演练中玩过，即使在军事演习中成绩都很好，那么，仍然很难保证他们到了真枪真刀时，还有这个胆，你能保证那些从来没上个战场的士兵手不抖？

　　所以说平时做好准备，然后通过处理各种安全事件来检验应急方案的有效性就显得非常重要。

　　但实际情况是：大多数企业没有网络安全事件应急方案，更不要说事件应急小组。一些企业连IT部门都没有，甚至直接由行政管理部兼任，也就是一两个人，哪来的事故应急小组和应急方案呢？

　　这就是现实!

　　但作为IT人员，即使企业没有完备的条件做这个工作，我们也得做到心中有数。每个企业总有一个组织结构吧!那么，出现问题，你就应该知道该如何去隔离事故，向谁汇报，以及向哪些部门发出协调信息等。

　　不过，不论是什么样的企业，在制定事件响应计划前，我们应当明白事件响应的目标是什么？是为了阻止攻击，减小损失，尽快恢复网络访问正常，还是为了追踪攻击者。

　　你应当衡量自己的力量，在出现问题时，自己只能够做什么，什么需要向外协调才能解决。不能出现顾此失彼的现象。

　　例如，我们在战争电影中经常发现，本来是执行一个任务，在半路发现另一个问题，或去救一个人，从道义上说这是说得过去的，但是，有时往往人救不了，(自己力量单薄)主要任务也由于时间问题不能按时完成，这样就造成两者都没做好的局面。

　　就像本来你要立即恢复服务器运行，确保企业内部业务的开展，但你却想着如何去跟踪入侵者，想通过查出入侵者来显示自己的技术能力。可是，就目前来说，除非很幼稚的攻击者，其它有水平些的攻击者，都不可能给你一下子就找到的。

　　而此时，你花费大量的时间去做了跟踪的事，而服务器却停在哪里一直没有启用，业务由此不能开展，企业也就会因此受到重大的损失。

　　我们是绝不允许这样的事情在自己身上发生的!

　　因此，我们必需清楚事故发生后，首要的目标是什么。也就是，我们是直接反击，打退敌人，还是先救数据，防范事故扩大，再做反击准备。

　　只要事先先明确了目标，事情就有些好办了。但是，我们总不能赤手空手地去仗吧!现在不像以前，小米加步枪，靠人海战术去打仗。

　　对于应对网络安全事件来说，也必需用相应的工具软件来武装自己，不然，你好像少了眼睛，再好的身手也无法开展，做不了什么。

　　至少，我们得准备好下面的工具。这些工具大多不需要花钱，只需要你下载，然后保存下来 就行。

　　我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应用软件攻击防范，以及日志分析和追踪等软件。这些软件的种类很多，在准备时，得从你的实际情况出发，针对各种网络攻击方法，以及你的使用习惯和你能够承受的成本投入来决定。

　　下面列出需要准备哪些方面的工具软件：

　　(1)、系统及数据的备份和恢复软件。

　　(2)、系统镜像软件。

　　(3)、文件监控及比较软件。

　　(4)、各类日志文件分析软件。

　　(5)、网络分析及嗅探软件。

　　(6)、网络扫描工具软件。

　　(7)、网络追捕软件。

　　(8)、文件捆绑分析及分离软件，二进制文件分析软件，进程监控软件。

　　(9)、如有可能，还可以准备一些反弹木马软件。

　　由于涉及到的软件很多，而且又有应用范围及应用平台之分，你不可能全部将它们下载或购买回来，这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来，但有几个软件，在事件响应当中是经常用到的，例如，Secure backer备份恢复软件，Nikto网页漏洞扫描软件，Namp网络扫描软件，Tcpdump(WinDump)网络监控软件,Fport端口监测软件，Ntop网络通信监视软件，RootKitRevealer(Windows下)文件完整性检查软件，Arpwatch ARP检测软件，OSSEC HIDS入侵检测和各种日志分析工具软件，微软的BASE分析软件，SNORT基于网络入侵检测软件，Spike Proxy网站漏洞检测软件，Sara安全评审助手，NetStumbler是802.11协议的嗅探工具，以及Wireshark嗅探软件等都是应该拥有的。还有一些好用的软件是操作系统本身带有的，例如Nbtstat、Ping等等，由于真的太多，就不再在此列出了，其实上述提到的每个软件以及所有需要准备的软件，都可以在一些安全类网站上下载免费或试用版本。

　　但是，有了武器，还得知道如何去用，知道在什么问题上使用什么工具。不然，即使武装到牙齿，还是打不了仗的。

　　而要做到灵活运用就必需用战术来做指导。对应对网络安全事件来说，战术就是指安全事件的处理流程。

　　也就是说，什么样的网络安全问题，我们该用什么方式去应对。