企業(yè)安全響應(yīng)團(tuán)隊(duì)的構(gòu)建與管理

1、計(jì)算機(jī)安全事件響應(yīng)小組協(xié)調(diào)中心（CERT/CC）是由美國(guó)防高級(jí)研究打算局在1988年10月，一次網(wǎng)絡(luò)蠕蟲(chóng)事件發(fā)生后創(chuàng)立的。CERT/CC位于卡內(nèi)基梅隆大學(xué)軟件工程學(xué)院（SEI），SEI是一個(gè)聯(lián)邦政府資助的研究開(kāi)發(fā)中心（FFRDC），它是由美國(guó)國(guó)防部秘書(shū)處下屬的采辦、技術(shù)和后勤辦公室(OUSD(AT&L)發(fā)起的。CERT/CC的任務(wù)是：履行協(xié)調(diào)中心的職責(zé)。鼓舞通過(guò)網(wǎng)絡(luò)社團(tuán)的合作，取得有效的事件響應(yīng)。關(guān)心其它組織組建響應(yīng)隊(duì)伍，同時(shí)引導(dǎo)緊急事件趨勢(shì)的研究和分析。部分工作是源起美國(guó)陸軍信息作戰(zhàn)局（LIWA）和美國(guó)國(guó)防信息系統(tǒng)局（DISA）.CSIRTS的創(chuàng)建與治理簡(jiǎn)介創(chuàng)建一個(gè)有效率的計(jì)算機(jī)安全事件響應(yīng)

2、小組計(jì)算機(jī)安全事件響應(yīng)小組的構(gòu)成操作性治理問(wèn)題事件處理行動(dòng)總結(jié)簡(jiǎn)介創(chuàng)建一個(gè)有效的計(jì)算機(jī)安全事件響應(yīng)小組什么是計(jì)算機(jī)安全事件響應(yīng)小組？計(jì)算機(jī)安全事件響應(yīng)小組做些什么？計(jì)算機(jī)安全事件響應(yīng)小組的通常種類(lèi)培養(yǎng)你的視野執(zhí)行建議計(jì)算機(jī)安全事件響應(yīng)小組構(gòu)成贊助者任務(wù)資金組織問(wèn)題服務(wù)政策和程序資源操作性治理問(wèn)題計(jì)算機(jī)安全事件響應(yīng)小組職員問(wèn)題治理計(jì)算機(jī)安全事件響應(yīng)小組基礎(chǔ)設(shè)施計(jì)算機(jī)安全事件響應(yīng)小組效率的評(píng)估應(yīng)急處理行為危險(xiǎn)信息篩選協(xié)調(diào)響應(yīng)總結(jié)提交人：GEORGIA KILLCRECEROBIN RUEFLEMARK ZAJICEK CERT CSIRT開(kāi)發(fā)小組 網(wǎng)絡(luò)系統(tǒng)可生存性 軟件工程學(xué)院 卡內(nèi)基梅隆大學(xué) /

3、csirt/目的我們?yōu)槟峁河?jì)算機(jī)安全事件響應(yīng)小組的目的和構(gòu)成的介紹組建一個(gè)計(jì)算機(jī)安全事件響應(yīng)小組的差不多原理計(jì)算機(jī)安全事件響應(yīng)小組的好處必備條件和框架服務(wù)種類(lèi)和標(biāo)準(zhǔn)必須的政策和流程協(xié)作和通訊對(duì)希望計(jì)算機(jī)安全事件響應(yīng)小組治理者和職員應(yīng)該處理的工作類(lèi)型，有一定的熟悉。介紹應(yīng)急處理方法和應(yīng)急響應(yīng)行為的本質(zhì)。本指南呈現(xiàn)了對(duì)治理、組織上和程序問(wèn)題的高水平概述，它包含了創(chuàng)建和運(yùn)行一個(gè)計(jì)算機(jī)緊急事件響應(yīng)小組的問(wèn)題。本節(jié)會(huì)對(duì)計(jì)算機(jī)應(yīng)急響應(yīng)小組的目的和結(jié)構(gòu)做一個(gè)介紹。這包括：組建一個(gè)計(jì)算機(jī)安全事件響應(yīng)小組的差不多原理計(jì)算機(jī)安全事件響應(yīng)小組的好處組建一個(gè)有效的計(jì)算機(jī)安全事件響應(yīng)小組的必備條件和框架計(jì)算機(jī)安全事

4、件響應(yīng)小組能夠提供的服務(wù)種類(lèi)和標(biāo)準(zhǔn)計(jì)算機(jī)安全事件響應(yīng)小組應(yīng)該建立和這行的必須政策和流程在小組內(nèi)和小組間，協(xié)作和通訊的重要性本節(jié)會(huì)對(duì)計(jì)算機(jī)安全事件響應(yīng)小組治理者和職員應(yīng)該處理的工作類(lèi)型，做一些熟悉。同時(shí)會(huì)對(duì)緊急事件處理方法和緊急事件響應(yīng)行為的本質(zhì)做一些介紹。專(zhuān)門(mén)的主題會(huì)包括：確定危險(xiǎn)信息提供熱線(xiàn)和篩選功能協(xié)調(diào)響應(yīng)治理計(jì)算機(jī)安全事件響應(yīng)小組基礎(chǔ)設(shè)施愛(ài)護(hù)計(jì)算機(jī)安全事件響應(yīng)小組數(shù)據(jù)雇傭計(jì)算機(jī)安全事件響應(yīng)小組職員適用讀者各類(lèi)計(jì)算機(jī)安全應(yīng)急響應(yīng)小組的治理者以后的新的現(xiàn)有的其它需要對(duì)計(jì)算機(jī)安全事件響應(yīng)小組治理問(wèn)題，想要有了解的個(gè)人負(fù)責(zé)創(chuàng)建計(jì)算機(jī)安全事件響應(yīng)小組的個(gè)人對(duì)學(xué)習(xí)關(guān)于計(jì)算機(jī)安全事件響應(yīng)小組更多知識(shí)有

5、興趣的個(gè)人本指南為治理者和其它有興趣的職員設(shè)計(jì)，提供包括創(chuàng)建和運(yùn)行計(jì)算機(jī)安全事件響應(yīng)小組問(wèn)題的綜述，同時(shí)提供必要的決策，確保你的計(jì)算機(jī)安全事件響應(yīng)小組職員，對(duì)計(jì)算機(jī)安全事件響應(yīng)小組的客戶(hù)提供適當(dāng)?shù)姆?wù)。負(fù)責(zé)創(chuàng)建計(jì)算機(jī)安全事件響應(yīng)小組的個(gè)人可能包括：首席信息官（CIO）首席安全官（CSO）治理者項(xiàng)目領(lǐng)導(dǎo)項(xiàng)目小組成員其它有利害關(guān)系或者相關(guān)部分其它對(duì)更多關(guān)于計(jì)算機(jī)安全事件響應(yīng)小組工作有興趣的成員，可能包括法律人員人力資源現(xiàn)行安全人員系統(tǒng)和網(wǎng)絡(luò)治理員公共關(guān)系人員上層治理風(fēng)險(xiǎn)治理和審計(jì)人員客戶(hù)成員本指南不需要有處理應(yīng)急事件的經(jīng)驗(yàn)。課程材料的應(yīng)用所有的計(jì)算機(jī)安全事件響應(yīng)小組都不一樣每個(gè)小組應(yīng)該由他們依照各

6、自獨(dú)特的環(huán)境，提供的服務(wù)類(lèi)型和實(shí)質(zhì)，做出決定、課程中的例子和建議反映了什么對(duì)計(jì)算機(jī)安全事件響應(yīng)小組有好處遇到的缺陷和益處注意到不是所有的計(jì)算機(jī)安全事件響應(yīng)小組差不多上相似的。我們不能對(duì)您的計(jì)算機(jī)安全事件響應(yīng)小組的獨(dú)特問(wèn)題最好的解決方案，給出決定性的答案。將團(tuán)隊(duì)的標(biāo)準(zhǔn)，應(yīng)用到不同的情況中。中。記住這條信息，并在你的組織的工作中應(yīng)用。創(chuàng)建和治理計(jì)算機(jī)安全事件響應(yīng)小組簡(jiǎn)介創(chuàng)建一個(gè)有效的計(jì)算機(jī)安全事件響應(yīng)小組計(jì)算機(jī)安全事件響應(yīng)小組構(gòu)成操作性治理問(wèn)題事件處理行為總結(jié)動(dòng)機(jī)建立計(jì)算機(jī)安全安全事件響應(yīng)小組的促進(jìn)因素包括計(jì)算機(jī)安全安全事件報(bào)告的數(shù)量、受計(jì)算機(jī)安全安全事件阻礙的組織類(lèi)型和數(shù)量，普遍增長(zhǎng)各組織更加集

7、中的意識(shí)到對(duì)安全政策的需要，并把它作為全面風(fēng)險(xiǎn)治理政策的一部分而實(shí)行。新的法規(guī)法令對(duì)各組織如何樣需要愛(ài)護(hù)信息財(cái)產(chǎn)產(chǎn)生阻礙系統(tǒng)和網(wǎng)絡(luò)治理員單獨(dú)的運(yùn)作，不能愛(ài)護(hù)組織系統(tǒng)和資產(chǎn)需要實(shí)現(xiàn)預(yù)先的打算和政策因特網(wǎng)本身差不多成為基礎(chǔ)設(shè)施，因此必須愛(ài)護(hù)它，保證可靠穩(wěn)定的服務(wù)。網(wǎng)絡(luò)和系統(tǒng)治理員沒(méi)有適當(dāng)?shù)娜藛T和行動(dòng)阻擋攻擊和最小化損害介紹新的規(guī)則和標(biāo)準(zhǔn)，確保對(duì)數(shù)據(jù)的愛(ài)護(hù)和審計(jì)。這會(huì)對(duì)一個(gè)組織需要的安全政策和流程產(chǎn)生阻礙。如下方面的改變組織數(shù)據(jù)愛(ài)護(hù)需求當(dāng)?shù)鼗蛘邍?guó)家法律制度上的規(guī)定差不多迫切需要把安全意識(shí)定位到企業(yè)級(jí)不。在美國(guó)的一些例子包括：1999年的GRAMM LEACH BLILEY法案（GLBA，即眾所周知的

8、金融服務(wù)現(xiàn)代化法案）要求金融機(jī)具有客戶(hù)隱私政策和信息安全程序健康保險(xiǎn)便利及責(zé)任法案(HIPAA)包括愛(ài)護(hù)關(guān)于健康組織的確定類(lèi)型健康信息的隱私和完整性的要求聯(lián)邦信息安全治理法案(FICMA)2002年電子政務(wù)法案的一部分，要求美國(guó)聯(lián)邦政府機(jī)構(gòu)有責(zé)任確保各自系統(tǒng)的信息安全，其中包括執(zhí)行每年一次的獨(dú)立評(píng)估。依照此法案，所有美國(guó)聯(lián)邦機(jī)構(gòu)也要求建立應(yīng)急響應(yīng)能力和程序，用來(lái)發(fā)覺(jué)、報(bào)告和響應(yīng)安全應(yīng)急事件。要保證您組織的信息資產(chǎn)安全，需要多層面的努力。沒(méi)有一種行為或者解決方案是萬(wàn)能的。事件報(bào)告正在增多上面是提交到計(jì)算機(jī)安全事件應(yīng)急小組的報(bào)告。在以后幾年中，網(wǎng)絡(luò)社會(huì)在網(wǎng)絡(luò)安全方面會(huì)遇到的問(wèn)題能夠用如下幾條概括因

9、特網(wǎng)的用戶(hù)和公司的數(shù)量正在增長(zhǎng)賣(mài)方產(chǎn)品進(jìn)展和測(cè)試圈正在減少運(yùn)行在因特網(wǎng)上客戶(hù)端和服務(wù)器上的協(xié)議和應(yīng)用程序的復(fù)雜性正在增長(zhǎng)有許多信息基礎(chǔ)設(shè)施有全然性安全設(shè)計(jì)問(wèn)題的不能快速解決入侵技術(shù)正在增長(zhǎng)攻擊、入侵工具和工具包的的復(fù)雜化正在增長(zhǎng)計(jì)算機(jī)安全入侵?jǐn)?shù)量正在增長(zhǎng)入侵效率正在增長(zhǎng)（知識(shí)正在被傳遞到缺少知識(shí)的入侵者，因此使入侵更有效）擁有安全知識(shí)和專(zhuān)門(mén)基數(shù)的人數(shù)正在增長(zhǎng)，然而遠(yuǎn)比因特網(wǎng)用戶(hù)的數(shù)量增長(zhǎng)速度小。有效的安全工具數(shù)正在增長(zhǎng)，然而其不必要和軟件、系統(tǒng)和網(wǎng)絡(luò)復(fù)雜性的增長(zhǎng)一樣快。事件響應(yīng)小組的數(shù)量正在增長(zhǎng)，然而事件響應(yīng)人數(shù)對(duì)網(wǎng)絡(luò)用戶(hù)的比率正在減少。報(bào)告至CERT/CC的漏洞數(shù)的增長(zhǎng)漏洞：漏洞確實(shí)是一組狀

10、態(tài)，使得對(duì)外在或者內(nèi)在安全策略的違反，成為可能。漏洞可能是軟件缺陷、配置或者設(shè)計(jì)結(jié)果、在系統(tǒng)間，或者環(huán)境變化間不希望的交互作用。例子如下：phf（按照用戶(hù)“nobody”的遠(yuǎn)程命令執(zhí)行）rpc.ttdbserverd(按照根用戶(hù)的遠(yuǎn)程命令執(zhí)行)全局可寫(xiě)的密碼文件（系統(tǒng)評(píng)估數(shù)據(jù)的編輯）默認(rèn)密碼（遠(yuǎn)程命令執(zhí)行或者其它訪(fǎng)問(wèn)）對(duì)降格服務(wù)引起的服務(wù)問(wèn)題的拒絕在軟件或者協(xié)議中的緩存器溢出（BIND，發(fā)送郵件、FTP、TCP等等）要認(rèn)識(shí)到重要的一點(diǎn)是，從漏洞的發(fā)覺(jué)到爆發(fā)時(shí)刻變得越來(lái)越短。周天小時(shí)分鐘。什么是計(jì)算機(jī)安全應(yīng)急響應(yīng)小組一個(gè)組織或者團(tuán)隊(duì)，對(duì)規(guī)定的用戶(hù)，提供服務(wù)并對(duì)計(jì)算機(jī)安全安全事件的防止和響應(yīng)給予支

11、持。 要保持您組織信息資產(chǎn)的安全，需要一個(gè)多層面的方法。 沒(méi)有一種行為或者解決方案是萬(wàn)能的。組建一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)小組成是一個(gè)層面, 還要執(zhí)行安全配置、安全意識(shí)訓(xùn)練和外部、內(nèi)部的防護(hù)， 積極的協(xié)同響應(yīng)始終是必須的，然而我們也必須快速行動(dòng)，正確實(shí)施其它方案，取得如下的效果：擁有安全機(jī)制的更高質(zhì)量的信息技術(shù)產(chǎn)品，更好的符合今天系統(tǒng)治理員和用戶(hù)的知識(shí)、技術(shù)以及能力。擴(kuò)展研究項(xiàng)目，領(lǐng)導(dǎo)計(jì)算機(jī)安全上的基礎(chǔ)性的進(jìn)步。大量的技術(shù)專(zhuān)家，擁有愛(ài)護(hù)大型復(fù)雜系統(tǒng)所需的技術(shù)。計(jì)算機(jī)空間中，利益相關(guān)者對(duì)數(shù)據(jù)安全事務(wù)、漏洞和威脅的不斷增長(zhǎng)和前進(jìn)的意識(shí)與理解。 就像一個(gè)消防隊(duì)，一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)小組能夠執(zhí)行反應(yīng)的和

12、主動(dòng)反應(yīng)的服務(wù)。消防隊(duì)對(duì)火災(zāi)進(jìn)行響應(yīng)并撲滅之。他們也會(huì)預(yù)先有預(yù)備的，提供火災(zāi)預(yù)防訓(xùn)練，促進(jìn)煙霧警報(bào)器的安裝、防火梯的購(gòu)買(mǎi)并指導(dǎo)家庭用最正確的方式安全撤離燃燒的建筑物。 CERT/CC的經(jīng)驗(yàn)是，在一次入侵發(fā)生后，專(zhuān)門(mén)多組織第一次開(kāi)始考慮如何樣處理計(jì)算機(jī)安全安全事件。 出現(xiàn)了各種縮寫(xiě)，用來(lái)指明不同的響應(yīng)小組。那個(gè)地點(diǎn)列出除CSIRTS以外的一些例子：CERT計(jì)算機(jī)事件響應(yīng)小組CSIRC計(jì)算機(jī)安全事件響應(yīng)能力CIRT計(jì)算機(jī)事件響應(yīng)小組CIRC計(jì)算機(jī)事件響應(yīng)能力IRT事件響應(yīng)小組SERT安全應(yīng)急響應(yīng)小組SIRT安全事件響應(yīng)小組方法與技術(shù)事件處理不僅僅是以技術(shù)的應(yīng)用，來(lái)解決計(jì)算機(jī)安全事件。它是行動(dòng)打算的

13、進(jìn)展它是為如下而進(jìn)行的方法的建立：通告和通訊合作和協(xié)調(diào)分析和響應(yīng)計(jì)算機(jī)安全事件響應(yīng)小組的好處反應(yīng)性集中的響應(yīng)努力更高速和標(biāo)準(zhǔn)化的響應(yīng)擁有事件處理經(jīng)驗(yàn)的穩(wěn)定的團(tuán)隊(duì)主干，并具有有用商務(wù)知識(shí)。在安全社團(tuán)中，同其它人的協(xié)調(diào)。主動(dòng)性支持組織性的商業(yè)目標(biāo)提供可信的風(fēng)險(xiǎn)數(shù)據(jù)和商業(yè)情報(bào)提供產(chǎn)品開(kāi)發(fā)圈或者網(wǎng)絡(luò)操作的接口對(duì)履行漏洞評(píng)定、進(jìn)展安全策略和提供意識(shí)訓(xùn)練上，提供關(guān)心。 即使最好的信息安全基礎(chǔ)，也不能保證不發(fā)生入侵或者其它惡意行為。特不重要的是，當(dāng)發(fā)生計(jì)算機(jī)安全事件時(shí)，組織應(yīng)該具有響應(yīng)的有效方法。組織能夠識(shí)不、分析以及對(duì)事件的響應(yīng)的速度，會(huì)限制造成的損害，并降低恢復(fù)的成本。 計(jì)算機(jī)安全響應(yīng)小組能夠現(xiàn)場(chǎng)指揮快

14、速的響應(yīng)，牽制和恢復(fù)一個(gè)計(jì)算機(jī)安全事件。計(jì)算機(jī)安全響應(yīng)小組也許會(huì)對(duì)被危害的系統(tǒng)專(zhuān)門(mén)熟悉，因此能更快的協(xié)調(diào)恢復(fù)并提出緩解和響應(yīng)的策略。他們和其它計(jì)算機(jī)安全響應(yīng)小組和安全組織的關(guān)系，能夠?qū)ｉT(mén)方便的分享響應(yīng)策略，對(duì)潛在的問(wèn)題作出較早的警報(bào)。 計(jì)算機(jī)安全響應(yīng)小組開(kāi)始于以響應(yīng)為目的的組織，然而現(xiàn)今在差不多進(jìn)展成一般意義上的，主動(dòng)防備并愛(ài)護(hù)組織和網(wǎng)絡(luò)社會(huì)重要資產(chǎn)的組織。這種主動(dòng)的工作包括提供安全意識(shí)和教育服務(wù)，阻礙力政策以及研究組和信息交換的協(xié)調(diào)。它還包括對(duì)入侵趨勢(shì)的分析，并摸索出對(duì)變化環(huán)境的更好理解，以便響應(yīng)愛(ài)護(hù)、緩解和響應(yīng)策略能夠被進(jìn)展并傳播。 計(jì)算機(jī)安全響應(yīng)小組能夠和組織的其它部門(mén)一起工作，保證新的

15、系統(tǒng)能夠以意識(shí)中的安全進(jìn)展和運(yùn)行，同時(shí)和任一方的安全政策保持一致。他們能夠關(guān)心確定組織的漏洞區(qū)域，有時(shí)能夠執(zhí)行漏洞評(píng)定和事件探測(cè)。計(jì)算機(jī)安全響應(yīng)小組做些什么？通常，一個(gè)計(jì)算機(jī)安全響應(yīng)小組提供一個(gè)單獨(dú)的聯(lián)系點(diǎn)，來(lái)報(bào)告本地問(wèn)題確定和分析發(fā)生了什么，其中包括沖擊和威脅。研究解決方案和緩解策略分享響應(yīng)選項(xiàng)、信息和學(xué)習(xí)到的課程。計(jì)算機(jī)安全響應(yīng)小組的目標(biāo)是：最小化和操縱損害提供或者輔助進(jìn)行有效的響應(yīng)和恢復(fù)關(guān)心防止以后再發(fā)生對(duì)每個(gè)人來(lái)講，沒(méi)有一個(gè)單獨(dú)的團(tuán)隊(duì)能承擔(dān)一切！ 計(jì)算機(jī)安全響應(yīng)小組和一個(gè)IT部門(mén)中的安全小組不同。 安全小組履行每天的組織的網(wǎng)絡(luò)和系統(tǒng)監(jiān)視。它的責(zé)任是保持系統(tǒng)的更新，安裝補(bǔ)丁，為減少事件的

16、發(fā)生而工作。 計(jì)算機(jī)安全響應(yīng)小組能夠把這些工作作為他們的一部分，但同時(shí)也會(huì)按照一個(gè)事件信息的倉(cāng)庫(kù)來(lái)服務(wù)，是一個(gè)事件報(bào)告和分析的中心，是一個(gè)事件響應(yīng)跨組織的協(xié)調(diào)中心。這種協(xié)調(diào)功能甚至能夠延伸到組織外，包括和其它團(tuán)隊(duì)和法律執(zhí)行機(jī)構(gòu)的合作。一般計(jì)算機(jī)安全響應(yīng)小組分類(lèi)一般計(jì)算機(jī)安全響應(yīng)小組種類(lèi)包括內(nèi)部計(jì)算機(jī)安全響應(yīng)小組(internal csirt)對(duì)他們的母組織提供事件處理服務(wù)，這可能是銀行、大學(xué)或者聯(lián)邦機(jī)構(gòu)的計(jì)算機(jī)安全響應(yīng)小組。協(xié)調(diào)中心(coordination center)跨不同計(jì)算機(jī)安全響應(yīng)小組，或?qū)σ粋€(gè)特定的國(guó)家、州、研究網(wǎng)絡(luò)、或者其它如此的實(shí)體，協(xié)調(diào)和促進(jìn)對(duì)事件的處理。通常會(huì)有更大的范圍

17、和更多樣的客戶(hù)。分析中心(analysis center)要緊從各種資源中，綜合數(shù)據(jù)，測(cè)定事件活動(dòng)種的趨勢(shì)和特征。隨后，能夠用這些信息關(guān)心預(yù)測(cè)以后的活動(dòng)，或當(dāng)當(dāng)前活動(dòng)符合一組先前測(cè)定的特征時(shí)，提供早期警報(bào)。商家(vendor)和報(bào)告、追蹤漏洞的組織合作；另外一種類(lèi)型的商家可能會(huì)對(duì)他們自己的組織提供內(nèi)部事件處理服務(wù)。事件響應(yīng)提供商(incident response provider)把事件處理服務(wù)作為產(chǎn)品，提供給其它組織。這有時(shí)指安全治理服務(wù)提供商（MSSPS）計(jì)算機(jī)安全響應(yīng)小組進(jìn)展時(shí)期時(shí)期1訓(xùn)練組織(education)時(shí)期2工作打算(planning)時(shí)期3初始化執(zhí)行(implementa

18、tion)時(shí)期4 運(yùn)作狀態(tài)(operation)時(shí)期5平級(jí)合作(collaboration) 此框圖顯示了依照CERT CSIRT 反展小組的計(jì)算機(jī)安全響應(yīng)小組的反展時(shí)期。 在時(shí)期1，組織想要組建一個(gè)團(tuán)隊(duì)，然而不真正明白計(jì)算機(jī)安全響應(yīng)小組是什么，做什么。組織需要通過(guò)這些意識(shí)訓(xùn)練，學(xué)習(xí)實(shí)現(xiàn)一個(gè)團(tuán)隊(duì)的不同方法。 在時(shí)期2，組織具有了一些計(jì)算機(jī)安全響應(yīng)小組的知識(shí)，開(kāi)始確定和分析要打算實(shí)現(xiàn)計(jì)算機(jī)安全響應(yīng)小組遇到的不同問(wèn)題。 在時(shí)期3，組建了計(jì)算機(jī)安全響應(yīng)小組，并開(kāi)始提供服務(wù)。要開(kāi)始運(yùn)作，應(yīng)該擁有一個(gè)確定的顧客群、任務(wù)和服務(wù)、初始的團(tuán)隊(duì)和訓(xùn)練、草擬標(biāo)準(zhǔn)操作規(guī)程和一個(gè)安全基礎(chǔ)設(shè)施。 在時(shí)期4，計(jì)算機(jī)安全響

19、應(yīng)小組要處理事件，并有6個(gè)月到1年的運(yùn)作。 在時(shí)期5，計(jì)算機(jī)安全響應(yīng)小組成為一個(gè)成熟的團(tuán)隊(duì)。它差不多存在了二年或者更長(zhǎng)，在事件處理上，差不多有了相當(dāng)?shù)慕?jīng)驗(yàn)。他們成為和其它計(jì)算機(jī)安全響應(yīng)小組同起同坐的合作者。 專(zhuān)門(mén)重要的一點(diǎn)是，要認(rèn)識(shí)到你也許差不多在一個(gè)更高級(jí)的時(shí)期，但依舊需要回過(guò)頭，重新審視早些的時(shí)期，確認(rèn)你正在朝著正確的路線(xiàn)前進(jìn)。 在那個(gè)連續(xù)過(guò)程中，你把你自己（你的計(jì)算機(jī)安全響應(yīng)小組）擺放到什么位置？ 你從前處理過(guò)計(jì)算機(jī)安全事件么？創(chuàng)建一個(gè)有效的計(jì)算機(jī)安全響應(yīng)小組要有效，一個(gè)計(jì)算機(jī)安全響應(yīng)小組需要四個(gè)差不多元素可操作的框架服務(wù)和策略框架質(zhì)量保證框架適應(yīng)變化的環(huán)境和變化的威脅形式的能力。操作框

20、架清晰的任務(wù)規(guī)定的客戶(hù)組織基地和其它組織團(tuán)隊(duì)的正式關(guān)系服務(wù)和政策框架明確的服務(wù)明確的信息流定義搜集,記錄,追蹤和取得信息的方法清晰的,容易理解的組織范圍的政策有效的質(zhì)量保證行動(dòng)定義一個(gè)質(zhì)量系統(tǒng)專(zhuān)門(mén)的對(duì)質(zhì)量參數(shù)的測(cè)量和檢查方法報(bào)告和審查行動(dòng)與流程保證質(zhì)量級(jí)不的結(jié)算,遵守和自動(dòng)調(diào)整流程客戶(hù)和顧客的反饋適應(yīng)性和靈活性跟上變化的技術(shù)的能力適應(yīng)實(shí)時(shí)威脅以后緊急威脅的能力法律建議和支持建立你的視野 您計(jì)算機(jī)安全響應(yīng)小組框架的差不多組成，或者講建筑磚石，組成您計(jì)算機(jī)安全響應(yīng)小組的視野。這些元素包括：顧客您為誰(shuí)服務(wù)任務(wù)您做什么？您的目的？服務(wù)如何樣完成您的任務(wù)。如何為你的顧客服務(wù)你處理的事件類(lèi)型你執(zhí)行的行動(dòng)類(lèi)

21、型組織結(jié)構(gòu)你如何操作？它是如何結(jié)合在一起的？資源你需要什么資源去執(zhí)行您的任務(wù)？資金你如何償付它？以上所有的差不多上由資金支持的。治理和客戶(hù)買(mǎi)入沒(méi)有這點(diǎn)，它不能成功。這是視野立足的全然。 計(jì)算機(jī)安全響應(yīng)小組的各元素互相阻礙，并因此阻礙到您的設(shè)計(jì)。例如，您的任務(wù)會(huì)受到您客戶(hù)和需求的阻礙。你的資源和如何樣分配他們會(huì)阻礙你需要的組織模型、你能提供的服務(wù)和你執(zhí)行任務(wù)的好壞。 在確定您的視野或者框架的時(shí)候，你需要考慮所有這些元素，并試圖找到他們中間的平衡。需要做什么？建立一個(gè)響應(yīng)打算結(jié)合到現(xiàn)有的方法和組織結(jié)構(gòu)中加強(qiáng)和提高客戶(hù)有效治理計(jì)算機(jī)安全事件的能力作為愛(ài)護(hù)和確保重要商務(wù)功能和資產(chǎn)的全面策略的一部分訓(xùn)練

22、職員，使其對(duì)以下2種情況都能確認(rèn)威脅對(duì)商務(wù)功能的阻礙和范圍適當(dāng)?shù)木徑夂突謴?fù)方案執(zhí)行建議得到治理買(mǎi)入和組織的同意要和母組織或者客戶(hù)組織策略與商務(wù)目標(biāo)一致。選擇一個(gè)計(jì)算機(jī)安全響應(yīng)小組進(jìn)展項(xiàng)目小組。在整個(gè)進(jìn)程種保持交流從小起步，不斷成長(zhǎng)。只要合適，就利用現(xiàn)有的（再利用是專(zhuān)門(mén)好的） 應(yīng)該建立一個(gè)有權(quán)限決定的計(jì)算機(jī)安全響應(yīng)小組打算小組項(xiàng)目領(lǐng)導(dǎo)。那個(gè)項(xiàng)目小組應(yīng)該代表相關(guān)的團(tuán)體和組織。 所有利益相關(guān)者和客戶(hù)代表應(yīng)該通過(guò)執(zhí)行，從初始的打算時(shí)期，就參與計(jì)算機(jī)安全響應(yīng)小組的進(jìn)展中。 在商業(yè)或者教育組織中，這可能包括法律顧問(wèn)、公共關(guān)系和市場(chǎng)人員、部門(mén)經(jīng)理、安全人員、系統(tǒng)和網(wǎng)絡(luò)治理員、文案助理人員、高層治理，甚至可能

23、是設(shè)備人員。 專(zhuān)門(mén)難決定利益相關(guān)者是誰(shuí)、什么時(shí)刻建立協(xié)調(diào)中心或者國(guó)家級(jí)小組。一旦你選擇或者限定了要服務(wù)的客戶(hù)，這其中一些可能會(huì)確定。 早加入，就能夠以一個(gè)初始的市場(chǎng)付出為您的計(jì)算機(jī)安全響應(yīng)小組工作，這會(huì)開(kāi)始建立意識(shí)。 治理買(mǎi)入必須包括提供人員、時(shí)刻和資金。 計(jì)算機(jī)安全響應(yīng)小組的結(jié)構(gòu)和任務(wù)，必須建立在母組織或者客戶(hù)組織安全策略和商務(wù)目標(biāo)的基礎(chǔ)上。 在整個(gè)過(guò)程中，確定每個(gè)人明白發(fā)生了什么和什么緣故發(fā)生。 盡可能的利用存在的資源和安全策略與政策。例如，假如在您的組織有一個(gè)物理的安全侵犯當(dāng)前通知了誰(shuí)？緊接著會(huì)有什么步驟？關(guān)于一個(gè)電子侵犯，您能利用存在的政策，創(chuàng)建一個(gè)政策么？老的政策能覆蓋所有的侵犯的類(lèi)

24、型么？ 不管外部的依舊內(nèi)部的，要希望于差不多存在的。和其它小組談話(huà)，找出什么對(duì)他們的工作有好處。依照你組織的結(jié)構(gòu)和任務(wù)，它也可能有效。差不多執(zhí)行步驟搜集信息創(chuàng)建打算，獵取打算中的反饋確認(rèn)計(jì)算機(jī)安全響應(yīng)小組的顧客確認(rèn)和獵取人員裝備和基礎(chǔ)設(shè)施資源決定計(jì)算機(jī)安全響應(yīng)小組的任務(wù)開(kāi)發(fā)政策和程序?yàn)橛?jì)算機(jī)安全響應(yīng)小組的操作獵取資金 訓(xùn)練您計(jì)算機(jī)安全響應(yīng)小組職員和客戶(hù)決定計(jì)算機(jī)安全響應(yīng)小組范圍和服務(wù)等級(jí)通告計(jì)算機(jī)安全響應(yīng)小組確認(rèn)和客戶(hù)關(guān)鍵部分的交互傳達(dá)您的任務(wù)和服務(wù)確認(rèn)交互的任務(wù)和責(zé)任獲得反饋回憶并提高計(jì)算機(jī)安全響應(yīng)小組框架 請(qǐng)記住，特不重要的一點(diǎn)是，要得到治理和客戶(hù)買(mǎi)入與支持。 必須用內(nèi)在的和外部通訊方法，

25、讓客戶(hù)和其它利益相關(guān)者理解執(zhí)行，并也提供對(duì)打算的審查和反饋的機(jī)制。 當(dāng)計(jì)算機(jī)安全響應(yīng)小組預(yù)備操作時(shí)，應(yīng)該發(fā)表通告。所有的客戶(hù)應(yīng)該理解他們和計(jì)算機(jī)安全響應(yīng)小組的交互應(yīng)該是什么，這包括什么事件、如何聯(lián)系和報(bào)告計(jì)算機(jī)安全響應(yīng)小組異常情況和事件活動(dòng)。內(nèi)部計(jì)算機(jī)安全響應(yīng)小組的步驟從治理層得到承認(rèn)和支持隨著利益相關(guān)者的輸入，決定了確認(rèn)誰(shuí)需要加入計(jì)算機(jī)安全響應(yīng)小組任務(wù)有治理層發(fā)出的通告 計(jì)算機(jī)安全響應(yīng)小組范圍和服務(wù)等級(jí)選擇一個(gè)項(xiàng)目小組計(jì)算機(jī)安全響應(yīng)小組報(bào)告結(jié)構(gòu)，權(quán)限和 組織模型搜集信息確定交互的角色和責(zé)任研究其它組織正在做什么創(chuàng)建一個(gè)基于視野或者框架的打算確認(rèn)存在的進(jìn)程和職員數(shù)獵取打算的反饋訪(fǎng)問(wèn)重要利益相關(guān)

26、者和參與者公布計(jì)算機(jī)安全響應(yīng)小組得到反饋 列舉在一個(gè)組織中，內(nèi)部計(jì)算機(jī)安全響應(yīng)小組的步驟：得到對(duì)計(jì)算機(jī)安全響應(yīng)小組的承認(rèn)和支持并執(zhí)行項(xiàng)目；包括資金、資源、項(xiàng)目小組和職員中參與的其它人的時(shí)刻。確定在打算和執(zhí)行進(jìn)程中，需要誰(shuí)的加入。上層治理要有一個(gè)通告的發(fā)送（CEO及其等同地位的，或者CIO及其等同地位的），對(duì)組織解釋?zhuān)?jì)算機(jī)安全響應(yīng)小組正在打算的，和將要遵照?qǐng)?zhí)行的差不多方法。選擇一個(gè)項(xiàng)目小組研究其它組織在創(chuàng)建一個(gè)計(jì)算機(jī)安全響應(yīng)小組時(shí)做什么，并研究存在什么最好的行動(dòng)和指導(dǎo)。從現(xiàn)有的組織圖標(biāo)，網(wǎng)絡(luò)布局、安全策略、制度規(guī)章和規(guī)則，從現(xiàn)有的災(zāi)難恢復(fù)或者事件應(yīng)急打算、現(xiàn)有的商業(yè)連續(xù)性打算和重要系統(tǒng)與網(wǎng)絡(luò)資

27、產(chǎn)詳細(xì)目錄中，搜集信息。訪(fǎng)問(wèn)商業(yè)經(jīng)理、信息技術(shù)職員和經(jīng)理、以及終端用戶(hù)，理解對(duì)處理計(jì)算機(jī)安全事件的當(dāng)前方法。確認(rèn)誰(shuí)履行如下責(zé)任：防火墻操作和維護(hù)、入侵探測(cè)、其它網(wǎng)絡(luò)或者主機(jī)監(jiān)視、漏洞評(píng)定或者掃描、滲透測(cè)試、補(bǔ)丁維護(hù)和操作系統(tǒng)更新。訪(fǎng)問(wèn)商業(yè)經(jīng)理、信息技術(shù)職員和經(jīng)理、終端用戶(hù)、以及來(lái)自法律、人力資源和公共關(guān)系的代表，考慮到事件治理和響應(yīng)，決定這些部門(mén)需要什么。隨著所有利益相關(guān)者的輸入，限定了計(jì)算機(jī)安全響應(yīng)小組視野或者框架，這包括：計(jì)算機(jī)安全響應(yīng)小組客戶(hù)、任務(wù)、權(quán)限、服務(wù)、組織模型和需要的職員、裝備以及基礎(chǔ)設(shè)施。依照視野與框架創(chuàng)建一個(gè)打算，使它在組織中，對(duì)反饋和意見(jiàn)有效。依照反饋，隨著對(duì)任何需要的改

28、變，更新打算。集合信息集合的關(guān)鍵信息包括：客戶(hù)有什么要求必須愛(ài)護(hù)的重要財(cái)產(chǎn)是什么哪些類(lèi)型的事件經(jīng)常被報(bào)告存在什么電腦安全問(wèn)題需要哪種類(lèi)型的響應(yīng)需要哪種輔助和專(zhuān)家意見(jiàn)？需要什么方法？誰(shuí)要扮演什么角色？當(dāng)前有人履行那個(gè)角色么？在通知或者升級(jí)進(jìn)程中，需要誰(shuí)的加入？ 一旦你開(kāi)始建立你的視野和框架,作為一種有用的資源和方法,參考其它團(tuán)隊(duì),以及關(guān)于事件響應(yīng)的文檔和書(shū)籍。調(diào)查同樣的組織，它們提供事件處理服務(wù)或者組織了計(jì)算機(jī)安全響應(yīng)小組。假如你以及和這些組織聯(lián)系上，看看你能否和他們談?wù)撘恍╆P(guān)于他們?nèi)绾谓⑺麄兊膱F(tuán)隊(duì)。假如不能和他們的成員交談，請(qǐng)參看他們計(jì)算機(jī)安全響應(yīng)小組的網(wǎng)站。檢查他們的任務(wù)、特征、資金安排和

29、服務(wù)列表。這會(huì)給你一些組織你團(tuán)隊(duì)的方法。查閱任何有人可能寫(xiě)的關(guān)于計(jì)算機(jī)安全響應(yīng)小組或者事件處理的書(shū)籍和白皮書(shū)。在CERT計(jì)算機(jī)安全響應(yīng)小組開(kāi)發(fā)網(wǎng)頁(yè)上，能夠找到一個(gè)資源的初始列表： HYPERLINK /csirts/resources.html /csirts/resources.html可能有關(guān)心的現(xiàn)有資源可能提供信息的有效資源企業(yè)和專(zhuān)門(mén)商務(wù)功能的組織圖表組織性的或者客戶(hù)系統(tǒng)與網(wǎng)絡(luò)的布局關(guān)鍵系統(tǒng)和資產(chǎn)目錄現(xiàn)有災(zāi)難恢復(fù)或者商業(yè)連續(xù)性打算現(xiàn)有的通告組織物理性安全違規(guī)的指導(dǎo)任何現(xiàn)有的事件響應(yīng)打算任何母系的或者制度上的關(guān)系 這些資源中，許多可能無(wú)效，或者沒(méi)有存在。假如它們有效，同時(shí)您能試圖接近它們，

30、對(duì)這些檔案的批閱能夠產(chǎn)生雙重目的：第一，關(guān)心你評(píng)估現(xiàn)有的利益相關(guān)者、資源和系統(tǒng)擁有者。第二，提供對(duì)現(xiàn)有計(jì)算機(jī)安全響應(yīng)小組必須依靠政策的總攬。 作為一個(gè)意外收獲，你可能會(huì)發(fā)覺(jué)，當(dāng)開(kāi)發(fā)計(jì)算機(jī)安全響應(yīng)小組的政策、流程或者文件的時(shí)候，這些文件可能含有能被改編的文字內(nèi)容。它們也可能包含在緊急時(shí)刻，必須聯(lián)系的組織代表的通用報(bào)告目錄這些目錄的類(lèi)型可能也會(huì)因計(jì)算機(jī)安全響應(yīng)小組工作和方法而改變。需要誰(shuí)的參與：內(nèi)部計(jì)算機(jī)安全響應(yīng)小組 事件處理不是一個(gè)自我約束的過(guò)程。必須跨組織的建立關(guān)系、交流通道、數(shù)據(jù)共享協(xié)議和政策流程。關(guān)于一個(gè)內(nèi)部小組，這包括：商務(wù)經(jīng)理。它們需要理解計(jì)算機(jī)安全響應(yīng)小組是什么和它如何樣關(guān)心支持它們

31、的商務(wù)過(guò)程?？紤]到計(jì)算機(jī)安全響應(yīng)小組的覆蓋商務(wù)系統(tǒng)的權(quán)限，以及誰(shuí)能做決定讓重要商務(wù)系統(tǒng)必須從網(wǎng)絡(luò)斷開(kāi)或者關(guān)閉，必須簽訂協(xié)議。來(lái)自IT的代表。IT職員和計(jì)算機(jī)安全響應(yīng)小組如何交互？IT職員會(huì)采取什么行動(dòng)？計(jì)算機(jī)安全響應(yīng)小組成員會(huì)采取什么行動(dòng)？IT職員能提供給計(jì)算機(jī)安全響應(yīng)小組什么信息？計(jì)算機(jī)安全響應(yīng)小組能提供給IT成員什么信息？它們各自都有什么角色和權(quán)限？來(lái)自法律部門(mén)的代表。在什么時(shí)刻，用什么方法，法律部門(mén)參與到事件響應(yīng)的作用中？來(lái)自人力資源部門(mén)的代表。需要他們參與，為解除被發(fā)覺(jué)參與未授權(quán)或者違法計(jì)算機(jī)活動(dòng)的內(nèi)部職員，而開(kāi)發(fā)政策流程。來(lái)自公共關(guān)系的代表。他們必須預(yù)備處理任何媒體需求，關(guān)心進(jìn)展信息

32、公開(kāi)政策和活動(dòng)。任何現(xiàn)有的安全團(tuán)體，包括物理性的安全團(tuán)體。計(jì)算機(jī)安全響應(yīng)小組需要和這些團(tuán)體交換關(guān)于計(jì)算機(jī)事件的信息，并和他們分享解決問(wèn)題的責(zé)任，這包括計(jì)算機(jī)或者數(shù)據(jù)盜竊事件。審計(jì)和風(fēng)險(xiǎn)治理專(zhuān)家。他們能夠關(guān)心進(jìn)展對(duì)客戶(hù)系統(tǒng)的處理度量與風(fēng)險(xiǎn)。任何法律執(zhí)行聯(lián)絡(luò)人或者調(diào)查人。聯(lián)系到他們時(shí)，他們會(huì)了解小組如何樣以法律執(zhí)行工作，同時(shí)明白誰(shuí)會(huì)做調(diào)查，甚至法庭鑒定。來(lái)自客戶(hù)的一般代表。他們能夠提供對(duì)他們需要和需求的解釋。需要誰(shuí)的參與：協(xié)調(diào)中心 關(guān)于作為協(xié)調(diào)中心的小組，或者支持一個(gè)州、國(guó)家、省或者同等政府實(shí)體客戶(hù)的小組更難決定如何樣與多方參與的組織建立關(guān)系。計(jì)算機(jī)安全安全事件響應(yīng)小組僅僅能處理如下特不的組織么？

33、政府組織軍隊(duì)組織重要基礎(chǔ)設(shè)施商務(wù)組織或者，計(jì)算機(jī)安全安全事件響應(yīng)小組會(huì)從公眾接收?qǐng)?bào)告，公布信息？從哪里開(kāi)始？什么差不多就緒？創(chuàng)建專(zhuān)門(mén)技術(shù)矩陣專(zhuān)業(yè)技術(shù)有什么？什么工具差不多就緒？集體攻關(guān)與討論設(shè)計(jì)工作量需要的響應(yīng)和通告策略隨著計(jì)算機(jī)安全響應(yīng)小組的增加，需要做什么改變？計(jì)算機(jī)安全響應(yīng)小組如何樣適應(yīng)任何災(zāi)難恢復(fù)或者商務(wù)連續(xù)性打算？執(zhí)行培養(yǎng)職員和方法制定臨時(shí)打算制定長(zhǎng)期打算其它涉及的問(wèn)題包括差不多有一個(gè)現(xiàn)有的追蹤系統(tǒng)，你必須要結(jié)合么？有特定的組織需要和政策，你必須要遵守么？有服務(wù)等級(jí)協(xié)議，你必須遵守么？獲得一致同意計(jì)算機(jī)安全響應(yīng)小組的定義任務(wù)服務(wù)角色和責(zé)任權(quán)限計(jì)算機(jī)安全事件的定義分級(jí)優(yōu)先權(quán)自動(dòng)調(diào)整標(biāo)準(zhǔn)

34、 什么是計(jì)算機(jī)安全事件？ 通常的定義可能包括：任何真實(shí)的，或者被懷疑的，關(guān)系到計(jì)算機(jī)系統(tǒng)或者計(jì)算機(jī)網(wǎng)絡(luò)安全的不利事件。違反顯式或者隱式安全政策的行為 計(jì)算機(jī)安全響應(yīng)小組需要建立標(biāo)準(zhǔn)，不僅僅定義計(jì)算機(jī)安全事件的組成，也定義了它如何樣被處理。那個(gè)定義能夠是一個(gè)安全政策中的概述；它也應(yīng)該包括在事件報(bào)告指導(dǎo)中。組織的必須愛(ài)護(hù)的重要資產(chǎn)，也應(yīng)該被定義。 計(jì)算機(jī)安全事件的例子包括：獲得未授權(quán)的路徑，訪(fǎng)問(wèn)系統(tǒng)或者其數(shù)據(jù)的成功（失?。┑钠髨D。不希望的服務(wù)終端或者拒絕對(duì)進(jìn)程或者數(shù)據(jù)存儲(chǔ)的未授權(quán)的系統(tǒng)應(yīng)用沒(méi)有所有者的同意，改變系統(tǒng)計(jì)算機(jī)病毒的發(fā)生通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)范圍的網(wǎng)絡(luò)，進(jìn)行探測(cè)或者掃描漏洞。共同問(wèn)題失敗于：包

35、括所有的參與團(tuán)體取得一致意見(jiàn)進(jìn)展全面的視野和框架大綱、檔案政策和流程組織斗爭(zhēng)具有太多服務(wù)不現(xiàn)實(shí)的展望或者預(yù)測(cè)時(shí)刻、職員和資金的缺乏計(jì)算機(jī)安全響應(yīng)小組的創(chuàng)建與治理介紹創(chuàng)建一個(gè)有效的計(jì)算機(jī)安全響應(yīng)小組計(jì)算機(jī)安全響應(yīng)小組構(gòu)成操作性治理問(wèn)題事件處理活動(dòng)總結(jié)計(jì)算機(jī)安全響應(yīng)小組構(gòu)成客戶(hù)任務(wù)組織問(wèn)題資金服務(wù)政策流程資源（在后面一節(jié)討論）作為資源的職員、裝備和基礎(chǔ)設(shè)施，會(huì)在本文的操作性治理問(wèn)題一節(jié)做討論。定義你的客戶(hù)依照你的項(xiàng)目，你的客戶(hù)可能差不多被定義假如還沒(méi)有定義你的客戶(hù)，你需要決定它是誰(shuí)，是什么?？蛻?hù)定義完或者之前，需要致力于什么問(wèn)題？ 要理解你的客戶(hù)會(huì)關(guān)心你決定他們有什么需要，需要愛(ài)護(hù)什么資產(chǎn)和對(duì)你的

36、計(jì)算機(jī)安全響應(yīng)小組的需要會(huì)是什么。利用那個(gè)信息會(huì)關(guān)心你決定，你不得不提供什么服務(wù)，什么類(lèi)型的組織模型會(huì)適合所需服務(wù)的提交。 定義你的客戶(hù)也會(huì)在你的團(tuán)隊(duì)開(kāi)始操作時(shí)，關(guān)心你圈定你的工作。它會(huì)關(guān)心你決定你要處理什么需求，決定你會(huì)傳遞到其它計(jì)算機(jī)安全響應(yīng)小組或者相關(guān)團(tuán)體什么請(qǐng)求。 有些團(tuán)體可能差不多定義了他們的客戶(hù)。例如，在一個(gè)小商務(wù)團(tuán)體中的計(jì)算機(jī)安全響應(yīng)小組，專(zhuān)門(mén)可能會(huì)把此商務(wù)團(tuán)體的雇員作為他們的客戶(hù)。此外，可能不容易定義一個(gè)客戶(hù)群。大學(xué)中的計(jì)算機(jī)安全響應(yīng)小組，會(huì)把不同系的系統(tǒng)和網(wǎng)絡(luò)治理員，或者包括所有教職職員和學(xué)生的整個(gè)大學(xué)人口作為他們的客戶(hù)。關(guān)于一個(gè)大學(xué)計(jì)算機(jī)安全響應(yīng)小組，它應(yīng)該決定寫(xiě)什么級(jí)不的

37、警報(bào)和建議，并作出什么類(lèi)型的響應(yīng)。 如前所述，關(guān)于國(guó)家，州的團(tuán)隊(duì)，或者關(guān)于協(xié)調(diào)中心，定義客戶(hù)是困難的。然而這是必須做的情況，因?yàn)樗璧K到在打算進(jìn)程中，誰(shuí)會(huì)參與和要提供什么類(lèi)型的服務(wù)。那個(gè)問(wèn)題必須涉及協(xié)調(diào)中心或者國(guó)家團(tuán)隊(duì)需要與誰(shuí)工作和合作。他們向誰(shuí)發(fā)送通告、警報(bào)和其它信息？ 那個(gè)地點(diǎn)面可能有其它政府機(jī)構(gòu)、重要基礎(chǔ)設(shè)施組織、軍隊(duì)機(jī)構(gòu)或者寬敞群眾。每個(gè)客戶(hù)會(huì)有各自的需求。決定你的任務(wù)在你的計(jì)算機(jī)安全響應(yīng)任務(wù)小組任務(wù)書(shū)中，你應(yīng)該定義你的任務(wù)。請(qǐng)求注解（RFC）2350規(guī)定你的任務(wù)應(yīng)該：解釋你團(tuán)隊(duì)的目的突出團(tuán)隊(duì)的核心目標(biāo)目的一些差不多問(wèn)題計(jì)算機(jī)安全響應(yīng)任務(wù)小組的要緊目的是恢復(fù)系統(tǒng)或者搜集證據(jù)？計(jì)算機(jī)安全

38、響應(yīng)任務(wù)小組會(huì)執(zhí)行： 法庭鑒定任務(wù)么？ IDS或者防火墻維護(hù)么？ RFC2350，計(jì)算機(jī)安全響應(yīng)期望，是一個(gè)因特網(wǎng)最優(yōu)當(dāng)前實(shí)現(xiàn)（BCP）文檔（提供關(guān)于計(jì)算機(jī)安全響應(yīng)小組客戶(hù)和一般網(wǎng)絡(luò)社團(tuán)，需要明確定義和講明的主題與事件的信息）（FRC2350，摘要） 一些計(jì)算機(jī)安全響應(yīng)小組以圖標(biāo)的形式，進(jìn)展了更為廣泛的陳述，概括了他們的任務(wù)、客戶(hù)、主辦人和權(quán)限。（RFC2350，節(jié)3.3）RFC的URL是 HYPERLINK /rfc/rfc/rfc2350.txt /rfc/rfc/rfc2350.txt 依照計(jì)算機(jī)安全響應(yīng)小組手冊(cè)第二版（1011頁(yè)），你的任務(wù)講明應(yīng)該：不要不明確用至少三個(gè)或者四個(gè)句子“計(jì)

39、算機(jī)安全響應(yīng)小組負(fù)責(zé)”指明任務(wù)。假如團(tuán)隊(duì)圈定在一個(gè)較大組織內(nèi)，或者由一個(gè)外部實(shí)體融資，計(jì)算機(jī)安全響應(yīng)小組任務(wù)講明必須補(bǔ)充上這些組織的任務(wù)。要遇到的問(wèn)題可能包括：如何面對(duì)公眾把計(jì)算機(jī)安全響應(yīng)小組當(dāng)作計(jì)算機(jī)警察的理解？假如你的任務(wù)和組織其它部分的另外一個(gè)任務(wù)交疊，應(yīng)該如何做？組織層次要遇到的一些問(wèn)題：在組織中，計(jì)算機(jī)安全響應(yīng)小組適應(yīng)于哪里？計(jì)算機(jī)安全響應(yīng)小組向誰(shuí)報(bào)告？ 以上問(wèn)到的兩個(gè)問(wèn)題相互依靠。計(jì)算機(jī)安全響應(yīng)小組向誰(shuí)報(bào)告依據(jù)于它在組織中位于什么位置，反之亦然。 計(jì)算機(jī)安全響應(yīng)小組應(yīng)該在IT或者無(wú)線(xiàn)通訊部門(mén)、安全團(tuán)隊(duì)或者自成一體。計(jì)算機(jī)安全響應(yīng)小組應(yīng)該報(bào)告給CIO、CEO、CSO或者其它部門(mén)領(lǐng)導(dǎo)。

40、 專(zhuān)門(mén)重要的是，要考慮到事件處理和響應(yīng)時(shí)，計(jì)算機(jī)安全響應(yīng)小組需要采取什么行動(dòng)，考慮需要什么類(lèi)型的治理支持，協(xié)助這些行動(dòng)。確認(rèn)如此的問(wèn)題，建議應(yīng)該有正確的匯報(bào)或者治理結(jié)構(gòu)。 CERT/CC指導(dǎo)了14個(gè)計(jì)算機(jī)安全響應(yīng)小組的非正式調(diào)查他們中的多數(shù)指出，他們的事件處理能力位于母公司的信息技術(shù)部門(mén)（IT）。我們沒(méi)有什么緣故會(huì)如此的信息。它可能和方便或者專(zhuān)家意見(jiàn)有關(guān)。它也可能是一個(gè)策略上的決定。 計(jì)算機(jī)安全響應(yīng)小組的權(quán)限定義是由上面列舉的最初的兩欄聯(lián)合決定的。計(jì)算機(jī)安全響應(yīng)小組有多少權(quán)限，決定事件響應(yīng)、恢復(fù)和安全防護(hù)，會(huì)由在組織結(jié)構(gòu)中，它的位置和計(jì)算機(jī)安全響應(yīng)小組向誰(shuí)報(bào)告阻礙。計(jì)算機(jī)安全響應(yīng)小組和企業(yè)的交

41、互計(jì)算機(jī)安全響應(yīng)小組如何樣和任何信息技術(shù)部門(mén)交互？計(jì)算機(jī)安全響應(yīng)小組如何樣適應(yīng)于：改變治理方法軟件安裝和更新進(jìn)程計(jì)算機(jī)安全響應(yīng)小組如何樣和調(diào)查或者法律執(zhí)行團(tuán)隊(duì)合作？計(jì)算機(jī)安全響應(yīng)小組如何樣對(duì)像防火墻或者IDS的外部和內(nèi)部防護(hù)改變做建議？報(bào)告結(jié)構(gòu)國(guó)家、州或者同級(jí)計(jì)算機(jī)安全響應(yīng)小組要考慮的一些問(wèn)題：誰(shuí)作為計(jì)算機(jī)安全響應(yīng)小組寄主？誰(shuí)由計(jì)算機(jī)安全響應(yīng)小組支持？誰(shuí)向計(jì)算機(jī)安全響應(yīng)小組報(bào)告事件和信息？誰(shuí)接收計(jì)算機(jī)安全響應(yīng)小組通告和信息？ 團(tuán)隊(duì)作為協(xié)調(diào)中心或者支持州、國(guó)家、省或者同樣政府實(shí)體客戶(hù)的團(tuán)隊(duì)，會(huì)更難決定多方參與組織的關(guān)系如何建立。 計(jì)算機(jī)安全響應(yīng)小會(huì)組僅僅處理如下的特不組織么？政府組織軍隊(duì)組織重要

42、基礎(chǔ)設(shè)施商務(wù)組織或者計(jì)算機(jī)安全響應(yīng)小組會(huì)和公眾進(jìn)行信息報(bào)告和發(fā)送么？計(jì)算機(jī)安全響應(yīng)小組和客戶(hù)的交互計(jì)算機(jī)安全響應(yīng)小組會(huì)向客戶(hù)提供什么信息？客戶(hù)會(huì)向計(jì)算機(jī)安全響應(yīng)小組提供什么信息？計(jì)算機(jī)安全響應(yīng)小組協(xié)調(diào)中心會(huì)和現(xiàn)有客戶(hù)計(jì)算機(jī)安全響應(yīng)小組如何樣交互？ 要考慮的一些問(wèn)題是，計(jì)算機(jī)安全響應(yīng)小組協(xié)調(diào)中心應(yīng)該對(duì)誰(shuí)，以什么期限公布建議和警報(bào)？許多構(gòu)建的計(jì)算機(jī)安全響應(yīng)小組可能差不多從其它資源接收到那個(gè)信息。計(jì)算機(jī)安全安全事件響應(yīng)小組權(quán)限計(jì)算機(jī)安全安全事件響應(yīng)小組的權(quán)限是什么？完全的共享的沒(méi)有權(quán)限或者它是其它什么？非直接權(quán)限依照事件決定的 權(quán)限描述了計(jì)算機(jī)安全響應(yīng)小組對(duì)自己行為和客戶(hù)行為的操縱力，這些行為關(guān)系到

43、計(jì)算機(jī)安全和事件響應(yīng)。權(quán)限是計(jì)算機(jī)安全響應(yīng)小組對(duì)它服務(wù)的組織的最差不多的關(guān)系。 依照計(jì)算機(jī)安全響應(yīng)小組手冊(cè)（第二版，15頁(yè)），計(jì)算機(jī)安全響應(yīng)小組與它的客戶(hù)有3個(gè)明顯等級(jí)的權(quán)限或者關(guān)系：完全計(jì)算機(jī)安全響應(yīng)小組能夠在沒(méi)有治理批準(zhǔn)的情況下，做出決定，執(zhí)行響應(yīng)和恢復(fù)行動(dòng)。例如，擁有完全權(quán)限的計(jì)算機(jī)安全響應(yīng)小組，在入侵攻擊時(shí)，可能會(huì)告知系統(tǒng)治理員從網(wǎng)絡(luò)斷開(kāi)系統(tǒng)，或者計(jì)算機(jī)安全響應(yīng)小組自己斷開(kāi)系統(tǒng)。共享：在計(jì)算機(jī)安全事件中，計(jì)算機(jī)安全響應(yīng)小組依照要采取的行動(dòng)，參與決策的過(guò)程，然而只能阻礙，不能做出決定。無(wú)權(quán)限計(jì)算機(jī)安全響應(yīng)小組不能獨(dú)自做出任何決定或者采取任何行動(dòng)。計(jì)算機(jī)安全響應(yīng)小組只能作為組織的建議者。計(jì)

44、算機(jī)安全響應(yīng)小組不能執(zhí)行任何行動(dòng)。CERT/CC是一個(gè)對(duì)其客戶(hù)網(wǎng)絡(luò)共同體沒(méi)有權(quán)限的計(jì)算機(jī)安全響應(yīng)小組。 另外一種權(quán)限（在計(jì)算機(jī)安全響應(yīng)小組手冊(cè)（第二版）第15頁(yè)提到）是非直接權(quán)限。在這種情況下，計(jì)算機(jī)安全響應(yīng)小組會(huì)因?yàn)槠湮恢茫瑢?duì)客戶(hù)施加壓力，使其采取指定的行動(dòng)。例如一個(gè)ISP可能會(huì)強(qiáng)迫其客戶(hù)采取指定的行動(dòng)或者面對(duì)網(wǎng)絡(luò)服務(wù)的不連續(xù)。 關(guān)于一個(gè)在任務(wù)中成功的計(jì)算機(jī)安全響應(yīng)小組，專(zhuān)門(mén)重要的是治理層對(duì)團(tuán)隊(duì)擁有的權(quán)限等級(jí)的同意和支持，否則，團(tuán)隊(duì)會(huì)在組織中失去信譽(yù)，并可不能成功。治理層也應(yīng)該把計(jì)算機(jī)安全響應(yīng)小組的權(quán)限，準(zhǔn)確清晰的傳達(dá)給客戶(hù)特不是部門(mén)經(jīng)理、系統(tǒng)和網(wǎng)絡(luò)治理員、以及其它任何在組織的團(tuán)體?？蛇x計(jì)算

45、機(jī)安全響應(yīng)小組模型計(jì)算機(jī)安全響應(yīng)小組如何樣和組織和客戶(hù)，進(jìn)行操作與交互？模型包括：安全團(tuán)隊(duì)內(nèi)部分布式團(tuán)隊(duì)內(nèi)部集中式團(tuán)隊(duì)內(nèi)部分布集中式結(jié)合團(tuán)隊(duì)協(xié)調(diào)中心你可能需要不只一個(gè)模型你的模型會(huì)隨著時(shí)刻而進(jìn)展。 那個(gè)地點(diǎn)有幾個(gè)簡(jiǎn)單的組織模型。每個(gè)計(jì)算機(jī)安全響應(yīng)小組模型類(lèi)型有其優(yōu)勢(shì)、弱點(diǎn)和好處。你選擇模型要依據(jù)于：你的客戶(hù)位于什么位置你的團(tuán)隊(duì)位于什么位置你提供什么服務(wù)需要共享什么信息需要采取什么類(lèi)型的行動(dòng) 模型定義安全團(tuán)隊(duì)在那個(gè)模型中，組織中沒(méi)有任何團(tuán)隊(duì)或者部分對(duì)所有事件處理活動(dòng)，被授予正式的責(zé)任。沒(méi)有建立計(jì)算機(jī)安全響應(yīng)小組。內(nèi)部分布式團(tuán)隊(duì)在那個(gè)模型中，組織利用現(xiàn)有職員，提供一個(gè)虛擬的分布式計(jì)算機(jī)安全響應(yīng)小組

46、，它在形式上被特許處理事件響應(yīng)活動(dòng)。內(nèi)部集中式團(tuán)隊(duì)本模型中，職員為滿(mǎn)工，這表明計(jì)算機(jī)安全響應(yīng)小組隨時(shí)對(duì)定義客戶(hù)提供事件處理服務(wù)。內(nèi)部分步式集中式混合團(tuán)隊(duì)本模型是對(duì)集中式計(jì)算機(jī)安全響應(yīng)小組和分布式計(jì)算機(jī)安全響應(yīng)小組的一個(gè)結(jié)合。協(xié)調(diào)中心在那個(gè)模型中，計(jì)算機(jī)安全響應(yīng)小組通過(guò)不同的外部組織，對(duì)事件處理進(jìn)行協(xié)調(diào)和促進(jìn)。 你可能需要不只一個(gè)模型。例如，考慮一個(gè)大的，地理分布分散的組織。它可能現(xiàn)場(chǎng)需要本地團(tuán)隊(duì)，通過(guò)每個(gè)區(qū)域性的計(jì)算機(jī)安全響應(yīng)小組報(bào)告給區(qū)域性的、集中式的計(jì)算機(jī)安全響應(yīng)小組，然后報(bào)告給協(xié)調(diào)中心，協(xié)調(diào)中心把綜合信息送到分析團(tuán)隊(duì)，進(jìn)行對(duì)以后趨勢(shì)和特征的研究。 要記住的重要的一件事是，不能總是一次做所

47、有的事。你會(huì)需要遞增的增加資源。許多團(tuán)隊(duì)開(kāi)始時(shí)，只提供事件處理服務(wù)，逐漸成長(zhǎng)，引入其它服務(wù)和模型，作為資源、預(yù)算和支持同意。你的模型需要依照你的任務(wù)、優(yōu)先權(quán)、提供的服務(wù)或者資助者的變化，隨著時(shí)刻不斷改正。你的計(jì)算機(jī)安全響應(yīng)小組應(yīng)該多大？依照任務(wù)、目標(biāo)、服務(wù)、經(jīng)驗(yàn)、工作量和成本，大小會(huì)不同。確定你沒(méi)有一點(diǎn)失敗確保你的計(jì)算機(jī)安全響應(yīng)小組職員差不多普遍訓(xùn)練過(guò)要理解其它組織的評(píng)估可能不適合你的情況。 沒(méi)有那個(gè)問(wèn)題的簡(jiǎn)單回答。不同的計(jì)算機(jī)安全響應(yīng)小組有不同的職員級(jí)不，適合他們的模型。目前沒(méi)有確實(shí)科學(xué)研究，僅僅是一些軼聞信息。 量化付出和成本的類(lèi)型是十分困難的。你必須以你的工作量和資源，作為你決定的依據(jù)。

48、永久記住，你從不想有一點(diǎn)失敗，因此事件處理投入一個(gè)人是永久也不夠的。為你的計(jì)算機(jī)安全事件響應(yīng)小組獵取資金對(duì)你計(jì)算機(jī)安全事件響應(yīng)小組資金支持的不同策略會(huì)員訂閱基于費(fèi)用的服務(wù)契約服務(wù)政府贊助學(xué)術(shù)或者研究贊助母組織資金財(cái)團(tuán)贊助以上的混合會(huì)員訂閱對(duì)一定范圍服務(wù)的享受，是基于時(shí)刻的訂閱費(fèi)用。AUSCERT有會(huì)員訂閱基于費(fèi)用的服務(wù)對(duì)享受的服務(wù)付費(fèi)CANCERT和MYCERT有基于費(fèi)用的服務(wù)契約服務(wù)把計(jì)算機(jī)安全事件響應(yīng)小組對(duì)組織采取外部采購(gòu)的形式，提供事件處理服務(wù)像IBM,CISCO，許多如此有高度顧問(wèn)資格的商業(yè)組織。政府贊助政府資助計(jì)算機(jī)安全事件響應(yīng)小組REDCERT由美國(guó)政府贊助學(xué)術(shù)或者研究贊助學(xué)校或者

49、研究網(wǎng)絡(luò)贊助計(jì)算機(jī)安全事件響應(yīng)小組DANTE,NORDUNET差不多上由研究網(wǎng)絡(luò)贊助的。母組織資金母組織建立計(jì)算機(jī)安全事件響應(yīng)小組并提供資金支持IBM,GE和COMPAQ CSITS差不多上FIRST的會(huì)員財(cái)團(tuán)贊助團(tuán)隊(duì)或者組織、政府授權(quán)、大學(xué)等等共同資金支持以上的混合CERT/CC是由政府和私人贊助支持的它將花費(fèi)多少？這將依據(jù)于計(jì)算機(jī)安全事件響應(yīng)小組結(jié)構(gòu)和服務(wù)考慮短期和長(zhǎng)期的費(fèi)用短期啟動(dòng)花費(fèi)：人員、裝備、基礎(chǔ)設(shè)施依照資金，支持你最初的服務(wù)和活動(dòng)長(zhǎng)期費(fèi)用必須增長(zhǎng)要緊費(fèi)用會(huì)用于人員及其培訓(xùn)裝備、基礎(chǔ)設(shè)施和事件處理工具物理空間和安全通道 你明白你的預(yù)算會(huì)是什么？ 一旦你對(duì)你的服務(wù)，以及你要提供服務(wù)和

50、要支持服務(wù)需要的資源有了一個(gè)方法，你就需要對(duì)短期和長(zhǎng)期的資金制定一個(gè)預(yù)算。 你從哪里獲得這些資金？ 關(guān)心獲得事件處理費(fèi)用的一些資源事件費(fèi)用和分析模型項(xiàng)目計(jì)算機(jī)犯罪和安全調(diào)查與FBI合作的計(jì)算機(jī)安全機(jī)構(gòu) 你可能會(huì)確定事件可能要花費(fèi)你什么，然后用費(fèi)用/利益分析，顯示一個(gè)計(jì)算機(jī)安全事件響應(yīng)小組要挽救你的組織，會(huì)花費(fèi)的鈔票數(shù)。一些差不多費(fèi)用費(fèi)用包括事件報(bào)告和追蹤系統(tǒng)通訊機(jī)制熱線(xiàn)或者辦公助理網(wǎng)站和/或者FTP站點(diǎn)郵件分發(fā)列表電話(huà)和尋呼安全通訊機(jī)制用PGP公鑰或者數(shù)字證書(shū)，對(duì)計(jì)算機(jī)安全事件響應(yīng)小組文件和郵件簽名安全電話(huà)企業(yè)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)愛(ài)護(hù)到計(jì)算機(jī)安全事件響應(yīng)小組設(shè)備的通道我們會(huì)在后面的章節(jié)對(duì)此做更深

51、入的討論。計(jì)算機(jī)安全事件響應(yīng)小組服務(wù)的范圍反應(yīng)服務(wù)主動(dòng)服務(wù) 安全質(zhì)量治理服務(wù)警報(bào)和警告通告風(fēng)險(xiǎn)分析事件處理技術(shù)監(jiān)視商務(wù)連續(xù)性和災(zāi)難恢復(fù)打算事件分析安全審計(jì)或者評(píng)估安全咨詢(xún)事件現(xiàn)場(chǎng)響應(yīng)配置和意識(shí)的建立事件響應(yīng)支持安全工具、應(yīng)用程序維護(hù)教育和訓(xùn)練事件響應(yīng)協(xié)調(diào)以及基礎(chǔ)設(shè)施產(chǎn)品評(píng)估或者認(rèn)證漏洞處理安全工具的開(kāi)發(fā)漏洞分析入侵探測(cè)服務(wù)漏洞響應(yīng)安全相關(guān)信息分發(fā)漏洞響應(yīng)協(xié)調(diào)工件處理工件分析工件響應(yīng)工件響應(yīng)協(xié)調(diào) 不是所有的計(jì)算機(jī)安全事件響應(yīng)小組提供同樣的服務(wù)。上面列舉了一些團(tuán)隊(duì)能提供的通常的服務(wù)。這些服務(wù)的定義，能夠在計(jì)算機(jī)安全事件響應(yīng)小組服務(wù)中找到。 關(guān)于一個(gè)被認(rèn)為是計(jì)算機(jī)安全事件響應(yīng)小組的團(tuán)隊(duì)，它必須提供事

52、件處理服務(wù)。這意味著它必須提供至少事件處理服務(wù)中的一個(gè)：事件分析、事件現(xiàn)場(chǎng)響應(yīng)、事件響應(yīng)支持或者事件響應(yīng)協(xié)調(diào)。 依照任務(wù)或者目的，團(tuán)隊(duì)可能執(zhí)行一些（或者全部）服務(wù)。 要想明白更多的，由不同計(jì)算機(jī)安全事件響應(yīng)小組提供的各種服務(wù)，你能夠和現(xiàn)有的團(tuán)隊(duì)交談掃瞄團(tuán)隊(duì)網(wǎng)頁(yè)和服務(wù)列表掃瞄一般事件處理服務(wù)列表選擇服務(wù)由現(xiàn)有團(tuán)隊(duì)提供的服務(wù)范圍和級(jí)不差不專(zhuān)門(mén)大每個(gè)團(tuán)隊(duì)必須決定要提供什么范圍的服務(wù)對(duì)每個(gè)服務(wù)能提供什么級(jí)不的支持從小開(kāi)始，不斷成長(zhǎng)獵取對(duì)初始服務(wù)的支持當(dāng)經(jīng)驗(yàn)和資金同意時(shí)，就會(huì)成長(zhǎng) 選擇的服務(wù)應(yīng)該：支持團(tuán)隊(duì)任務(wù)反映了支持服務(wù)的資源的有效性反映了對(duì)團(tuán)隊(duì)的專(zhuān)門(mén)技術(shù)等級(jí)的有效性 一些計(jì)算機(jī)安全事件響應(yīng)小組提供一

53、整套服務(wù)，包括事件處理、漏洞處理、入侵探測(cè)、風(fēng)險(xiǎn)評(píng)估、安全咨詢(xún)和滲透測(cè)試。其它計(jì)算機(jī)安全事件響應(yīng)小組僅僅提供有限范圍的服務(wù)。例如，一些軍隊(duì)組織僅僅提供入侵探測(cè)服務(wù)；而一些政府組織僅僅提供分派服務(wù)，把事件分派到第三方承包人，例如聯(lián)邦計(jì)算機(jī)事件響應(yīng)中心（FEDCIRC）或者CERT/CC。 建議計(jì)算機(jī)安全事件響應(yīng)小組由服務(wù)的小子集開(kāi)始運(yùn)作，通過(guò)質(zhì)量服務(wù)和響應(yīng)，獲得組織的計(jì)算機(jī)安全事件響應(yīng)小組的認(rèn)同，然后在需要的時(shí)候，開(kāi)始進(jìn)展和擴(kuò)張計(jì)算機(jī)安全事件響應(yīng)小組的能力，并能夠做到有效支持。 應(yīng)該定義所有的提供的服務(wù)，清晰設(shè)置所有內(nèi)部的和外部參與團(tuán)體的期望。 記住，沒(méi)有單獨(dú)的組織能做好所有的情況。關(guān)于每個(gè)你計(jì)

54、算機(jī)安全事件響應(yīng)小組的服務(wù)，你需要清晰定義：服務(wù)提供的深度和廣度為服務(wù)分配了多少資源需要對(duì)服務(wù)提供什么級(jí)不的專(zhuān)門(mén)技術(shù)必須滿(mǎn)足什么要求和標(biāo)準(zhǔn)？服務(wù)等級(jí)協(xié)議（SLAS）聯(lián)邦或者州規(guī)章響應(yīng)期限政策和流程所有服務(wù)和計(jì)算機(jī)安全安全事件響應(yīng)小組功能應(yīng)該由良好定義的政策和流程支持。具有文檔的一套政策和流程對(duì)以下至關(guān)重要：確保團(tuán)隊(duì)活動(dòng)支持計(jì)算機(jī)安全安全事件響應(yīng)小組任務(wù)設(shè)立對(duì)客戶(hù)的預(yù)期對(duì)日復(fù)一日的操作性需求提供框架提供服務(wù)的連續(xù)性和可靠性 文檔性的政策和流程，對(duì)你計(jì)算機(jī)安全安全事件響應(yīng)小組的成功至關(guān)重要 良好定義的政策和流程對(duì)計(jì)算機(jī)安全安全事件響應(yīng)小組人員操作提供保證。一旦選定了服務(wù)，你必須通過(guò)計(jì)算機(jī)安全安全事

55、件響應(yīng)小組政策和流程，建立文檔操作。良好定義的政策和流程對(duì)以下提供保證：角色和責(zé)任優(yōu)先權(quán)自動(dòng)調(diào)整標(biāo)準(zhǔn)所給響應(yīng)的本質(zhì)新的計(jì)算機(jī)安全事件響應(yīng)小組成員 可能情況下，把新政策的進(jìn)展和現(xiàn)有對(duì)組織或者客戶(hù)的大綱與政策關(guān)聯(lián)。例如，假如物理安全政策需要一套確定的規(guī)定人員，例如法律執(zhí)行、公司安全經(jīng)理、公共關(guān)系或者高級(jí)經(jīng)理人員，他們必須在有破壞時(shí)，能聯(lián)系上；然后注意建立你計(jì)算機(jī)安全安全事件響應(yīng)小組的通告政策，滿(mǎn)足如此的綱領(lǐng)。 一旦你的計(jì)算機(jī)安全安全事件響應(yīng)小組開(kāi)始運(yùn)作，要考慮讓你的職員用文件記錄你采取執(zhí)行的不同行動(dòng)步驟。這能關(guān)心保存你進(jìn)程的記錄，并擴(kuò)展最初創(chuàng)立的一套政策和流程。列舉政策安全政策開(kāi)放的報(bào)告環(huán)境政策事

56、件報(bào)告政策事件處理政策外部通訊政策媒體關(guān)系政策信息公開(kāi)政策信息公布政策人力失誤政策訓(xùn)練和教育政策計(jì)算機(jī)安全安全事件響應(yīng)小組可同意使用政策 必須對(duì)政策有清晰的理解，使職員能正確執(zhí)行流程， 所有政策必須：有治理批準(zhǔn)和監(jiān)督對(duì)計(jì)算機(jī)安全響應(yīng)小組環(huán)境的靈活性清晰、簡(jiǎn)潔和可執(zhí)行性讓新職員容易理解 政策能夠是全局的或者指定服務(wù)的。 可能需要進(jìn)展其它政策，決定什么時(shí)刻報(bào)告增加，如何樣報(bào)告以及向誰(shuí)報(bào)告。必須進(jìn)展政策，決定什么時(shí)刻，用什么方法，計(jì)算機(jī)安全響應(yīng)小組和法律執(zhí)行部門(mén)聯(lián)系和合作。列舉流程標(biāo)準(zhǔn)操作流程（SOPS）同意和跟蹤事件報(bào)告應(yīng)答熱線(xiàn)事件和漏洞處理搜集、愛(ài)護(hù)和保存證據(jù)計(jì)算機(jī)安全響應(yīng)小組網(wǎng)絡(luò)和系統(tǒng)配置系統(tǒng)

57、和網(wǎng)絡(luò)監(jiān)視以及入侵偵測(cè)備份和儲(chǔ)存事件數(shù)據(jù)通告方法（如何樣對(duì)信息打包、分發(fā)、存檔等）培訓(xùn)和顧問(wèn) 假如政策描述了你要做什么，那么流程對(duì)你執(zhí)行政策或者行動(dòng)，提供了一步一步的指令。流程補(bǔ)充了政策，描述了政策在一天又一天的基礎(chǔ)上，是如何樣工作的。 隨著對(duì)組織流程的創(chuàng)建，治理層也必須決定誰(shuí)來(lái)創(chuàng)建流程，以及他們屬于哪里。流程需要：清晰指明如何樣執(zhí)行政策、服務(wù)和指責(zé)。提供細(xì)節(jié)的必須標(biāo)準(zhǔn)，保證清晰度，防止模糊不清。有本地團(tuán)隊(duì)的輔助術(shù)語(yǔ)表以及定義，使新職員能容易的理解他們有一個(gè)指定的維護(hù)者，經(jīng)受經(jīng)常的審查和更新環(huán)。經(jīng)受有效性和有用性的測(cè)試 特不重要的是，在你的計(jì)算機(jī)安全響應(yīng)小組環(huán)境中，測(cè)試流程是否工作。 用一些時(shí)

58、刻，考慮你的計(jì)算機(jī)安全響應(yīng)小組可能需要的流程類(lèi)型。測(cè)試政策和流程在一次實(shí)際的事件后，檢驗(yàn)?zāi)愕恼吆土鞒绦枰恼吆土鞒檀嬖诿?？他們?nèi)菀渍业矫矗克麄內(nèi)菀鬃袷孛?？他們?shí)際上遵守了么？關(guān)于實(shí)際發(fā)生的，他們有意義么？他們需要明確、更新、刪除、修改么？假如政策和流程不起作用，需要修改他們。 在你計(jì)算機(jī)安全響應(yīng)小組結(jié)構(gòu)和組織中可能的改變，會(huì)阻礙到你政策和流程中寫(xiě)些什么。你可能需要考慮以每年為基礎(chǔ)，批閱你的政策和流程，保證他們的一致性。 一個(gè)測(cè)試流程的方法是，讓新職員批閱他們，并和他們?cè)诔跏加?xùn)練中學(xué)到的方法進(jìn)行比較。假如需要改變流程，能夠用新職員更新流程。操作文檔的概念文件定性計(jì)算機(jī)安全響應(yīng)小組視野定義客戶(hù)

59、定義任務(wù)定義組織基地定義權(quán)限定義一套計(jì)算機(jī)安全響應(yīng)小組服務(wù)定義組織模型定義關(guān)系：法律的、人力資源、IT等等定義計(jì)算機(jī)安全響應(yīng)小組聯(lián)絡(luò)信息定義計(jì)算機(jī)安全響應(yīng)小組事件報(bào)告大綱你能夠用操作文檔概念概括你的視野，定義每個(gè)元素，定義各元素和你組織的交互。創(chuàng)建和治理計(jì)算機(jī)安全響應(yīng)小組介紹創(chuàng)建一個(gè)有效的計(jì)算機(jī)安全響應(yīng)小組計(jì)算機(jī)安全響應(yīng)小組組成操作性治理問(wèn)題事件處理活動(dòng)總結(jié)操作性治理問(wèn)題計(jì)算機(jī)安全響應(yīng)小組職員問(wèn)題治理計(jì)算機(jī)安全響應(yīng)小組基礎(chǔ)設(shè)施評(píng)可能算機(jī)安全響應(yīng)小組的效率職員你需要什么類(lèi)型的職員如何選拔你的計(jì)算機(jī)安全響應(yīng)小組職員選項(xiàng)：雇傭有獻(xiàn)身精神的職員利用現(xiàn)有職員全職兼職倒班特不的雇傭承包人外包 雇傭和獲得好

60、的職員，對(duì)你計(jì)算機(jī)安全響應(yīng)小組的成功是至關(guān)重要的。事件處理職員，必須有正確的個(gè)人交流技能類(lèi)型，使得他們能和團(tuán)隊(duì)成員和客戶(hù)中良好合作。他們必須能處理好緩慢與緊張的節(jié)奏。 創(chuàng)建計(jì)算機(jī)安全響應(yīng)小組時(shí)，你必須回答的一個(gè)最重要的問(wèn)題就會(huì)關(guān)系到，你如何樣，到哪里獲得你的職員。雇傭獻(xiàn)身事業(yè)的計(jì)算機(jī)安全響應(yīng)小組職員一些計(jì)算機(jī)安全響應(yīng)小組以系統(tǒng)和網(wǎng)絡(luò)治理技能查找職員，并在與計(jì)算機(jī)安全響應(yīng)小組工作的安全方面訓(xùn)練他們。另外一些則查找有事件處理經(jīng)驗(yàn)的職員。使用現(xiàn)有職員他們會(huì)熟悉現(xiàn)有系統(tǒng)，理解組織政策、流程和商業(yè)功能、現(xiàn)有職員可能可不能執(zhí)行他們常見(jiàn)的工作，不能有效執(zhí)行事件處理任務(wù)。他們可能可不能有你需要的必須技能。外包