四、事件响应计划后期维护及演练

　　1、事件响应计划后期维护

　　制定好一个事件响应计划后，就应当及时严格地组织实施，将事件响应计划束之高格，或者虽然实施了但却从来不对它进行维护，这些都等同于没有一样，甚至比没有时更坏。这是因为，不断有新的攻击手段出现，如果你不对已经制定的事件响应计划做出相应调整的话，那么，你也就不会对这些新的攻击方法做出正确的响应，事件响应也就没有了真正意义，甚至，如果你不加强事件响应小组的管理，小组中成员也有可能会造成内部安全威胁因素，还有那些你实施的某类安全应对软件，它本身的漏洞也会造成一些新的安全威胁。所有的这些，都要求你应当在事件响应实施过程当中，不断地对它进行修正维护。

　　怎样才能做到事件响应计划随时都能适应事件响应的要求呢？这就要求我们平时在事件响应计划的实施过程当中，不断了解新的攻击方法，然后找出应对这种新的攻击方法的响应方法，并将新的响应方法添加到已有的事件响应计划当中去。还有，就是要不断更新应对事件时需要的工具软件，提高事件响应小组成员的技术水平，以及成员之间处理事件时的配合程度。总之，事件响应计划后期维护的目的，就是为了不断修正事件响应的目标，不断加强事件响应的方法，不断完善事件响应处理步骤，使事件响应计划真正适应我们的需求。

　　2、事件响应模拟演练

　　所谓的事件响应模拟演练就是应用一些攻击软件及工具，对网络系统或主机进行模拟攻击或者真正意义上的攻击，然后由事件响应小组中的成员对这此攻击事件进行响应，测试事件响应小组处理的方法是否对，是否有效，配合是否好，是否及时等等。由于事件响应模拟测试时，会使用的一系列的安全及攻击软件来测试，这些软件有许多带有双重性质的，它们即可以作为安全检查工具，也可以作为攻击之用，因此，在模拟演练时，要特别注意规定使用这些软件时的功能范围。

　　事件响应模拟演练的目的，一是为了验证事件响应计划是否能够真正满足实际的需求，二是为了检验事件响应小组成员之间的相互配合默契程度和对事件应对步骤的熟练程度。

　　至于选择什么时间进行事件响应模拟演练，以及模拟演练时是否对系统进行真正意义上的攻击。你应当在事先为此制定一个模拟演练计划的书面文档，并经由全体事件响应小组成员讨论通过，然后由响应小组领导批准后，才能具体实施。一定要注意，不能因此而影响系统的正常运行，而且，在进行模拟测试时，要特别对测试小组成员行为及攻击方式和对象进行规定，不能由于一次模拟测试而产生了一次真正意义上的攻击行为，让企业蒙受损失。

　　总之，事先制定出一个适应实际需要、有弹性的事件响应计划，能够帮助你从容应对现在不断出现的各类攻击事件，为整个网络安全防范提供最强大的后盾支持，并以此来完善整个网络安全策略。如果现在你正好需要制定一个事件响应计划，那么，就开始着手做各种准备工作，并按照本文的方法来制定出一个适合自身需求的事件响应计划后，严格地组织实施它，让它为你的安全防范工作做出最大的贡献！