安全响应团队的构建与管理

《安全响应团队的构建与管理》由会员分享，可在线阅读，更多相关《安全响应团队的构建与管理（107页珍藏版）》请在装配图网上搜索。

1、安全响应团队的构建与管理计算机紧急事件响应小组（CERT）培训与教育网络系统可生存性计划软件工程学院卡内基梅隆大学匹兹堡 PA15213389019962004 卡内基梅隆大学CERT，计算机安全事件响应小组协调中心，由卡内基梅隆大学，在美国专利商标局注册。此材料被授权公开发行，并仅限由软件学院分发给参加者。计算机安全事件响应小组协调中心（CERT/CC）是由美国防高级研究计划局在1988年10月，一次网络蠕虫事件发生后创立的。CERT/CC位于卡内基梅隆大学软件工程学院（SEI），SEI是一个联邦政府资助的研究开发中心（FFRDC），它是由美国国防部秘书处下属的采办、技术和后勤办公室(OUS

2、D(AT&L)发起的。CERT/CC的任务是： 履行协调中心的职责。 鼓励通过网络社团的合作，取得有效的事件响应。 帮助其他组织组建响应队伍，并且 引导紧急事件趋势的研究和分析。部分工作是源起美国陆军信息作战局（LIWA）和美国国防信息系统局（DISA）.CSIRTS的创建与管理简介创建一个有效率的计算机安全事件响应小组计算机安全事件响应小组的构成操作性管理问题事件处理行动总结简介 创建一个有效的计算机安全事件响应小组 什么是计算机安全事件响应小组？ 计算机安全事件响应小组做些什么？ 计算机安全事件响应小组的通常种类 培养你的视野 执行建议计算机安全事件响应小组构成 赞助者 任务 资金 组织问

3、题 服务 政策和程序 资源操作性管理问题 计算机安全事件响应小组员工问题 管理计算机安全事件响应小组基础设施 计算机安全事件响应小组效率的评估应急处理行为 危急信息 筛选 协调响应总结提交人：GEORGIA KILLCRECEROBIN RUEFLEMARK ZAJICEK CERT CSIRT开发小组 网络系统可生存性 软件工程学院 卡内基梅隆大学 http:/www.cert.org/csirt/目的我们为您提供：计算机安全事件响应小组的目的和构成的介绍组建一个计算机安全事件响应小组的基本原理计算机安全事件响应小组的好处必备条件和框架服务种类和标准必须的政策和流程协作和通讯对希望计算机安全

4、事件响应小组管理者和员工应该处理的工作类型，有一定的熟悉。介绍应急处理方法和应急响应行为的本质。本指南呈现了对管理、组织上和程序问题的高水平概述，它包含了创建和运行一个计算机紧急事件响应小组的问题。本节会对计算机应急响应小组的目的和结构做一个介绍。这包括： 组建一个计算机安全事件响应小组的基本原理 计算机安全事件响应小组的好处 组建一个有效的计算机安全事件响应小组的必备条件和框架 计算机安全事件响应小组能够提供的服务种类和标准 计算机安全事件响应小组应该建立和这行的必须政策和流程 在小组内和小组间，协作和通讯的重要性本节会对计算机安全事件响应小组管理者和员工应该处理的工作类型，做一些熟悉。同时

5、会对紧急事件处理方法和紧急事件响应行为的本质做一些介绍。专门的主题会包括： 确定危急信息 提供热线和筛选功能 协调响应 管理计算机安全事件响应小组基础设施 保护计算机安全事件响应小组数据 雇佣计算机安全事件响应小组员工适用读者各类计算机安全应急响应小组的管理者 未来的 新的 现有的其他需要对计算机安全事件响应小组管理问题，想要有了解的个人负责创建计算机安全事件响应小组的个人对学习关于计算机安全事件响应小组更多知识有兴趣的个人本指南为管理者和其他有兴趣的员工设计，提供包括创建和运行计算机安全事件响应小组问题的综述，同时提供必要的决策，确保你的计算机安全事件响应小组员工，对计算机安全事件响应小组的

6、客户提供适当的服务。负责创建计算机安全事件响应小组的个人可能包括： 首席信息官（CIO） 首席安全官（CSO） 管理者 项目领导 项目小组成员 其他有利害关系或者相关部分其他对更多关于计算机安全事件响应小组工作有兴趣的成员，可能包括 法律人员 人力资源 现行安全人员 系统和网络管理员 公共关系人员 上层管理 风险管理和审计人员 客户成员本指南不需要有处理应急事件的经验。课程材料的应用所有的计算机安全事件响应小组都不一样每个小组应该由他们根据各自独特的环境，提供的服务类型和实质，做出决定、课程中的例子和建议反映了 什么对计算机安全事件响应小组有好处 遇到的缺陷和益处注意到不是所有的计算机安全事件

7、响应小组都是相似的。我们不能对您的计算机安全事件响应小组的独特问题最好的解决方案，给出决定性的答案。将团队的标准，应用到不同的情况中。中。记住这条信息，并在你的组织的工作中应用。创建和管理计算机安全事件响应小组简介创建一个有效的计算机安全事件响应小组计算机安全事件响应小组构成操作性管理问题事件处理行为总结动机建立计算机安全安全事件响应小组的促进因素包括 计算机安全安全事件报告的数量、受计算机安全安全事件影响的组织类型和数量，普遍增长 各组织更加集中的意识到对安全政策的需要，并把它作为全面风险管理政策的一部分而实行。 新的法规法令对各组织怎么样需要保护信息财产产生影响 系统和网络管理员单独的运作

8、，不能保护组织系统和资产 需要实现预先的计划和政策因特网本身已经成为基础设施，因此必须保护它，保证可靠稳定的服务。网络和系统管理员没有适当的人员和行动阻挡攻击和最小化损害介绍新的规则和标准，确保对数据的保护和审计。这会对一个组织需要的安全政策和流程产生影响。如下方面的改变 组织数据保护需求 当地或者国家法律 制度上的规定已经迫切需要把安全意识定位到企业级别。在美国的一些例子包括： 1999年的GRAMM LEACH BLILEY法案（GLBA，即众所周知的金融服务现代化法案）要求金融机具有客户隐私政策和信息安全程序 健康保险便利及责任法案(HIPAA)包括保护对于健康组织的确定类型健康信息的隐

9、私和完整性的要求 联邦信息安全管理法案(FICMA)2002年电子政务法案的一部分，要求美国联邦政府机构有责任确保各自系统的信息安全，其中包括执行每年一次的独立评估。根据此法案，所有美国联邦机构也要求建立应急响应能力和程序，用来发现、报告和响应安全应急事件。要保证您组织的信息资产安全，需要多层面的努力。没有一种行为或者解决方案是万能的。事件报告正在增多上面是提交到计算机安全事件应急小组的报告。在以后几年中，网络社会在网络安全方面会遇到的问题可以用如下几条概括 因特网的用户和公司的数量正在增长 卖方产品发展和测试圈正在减少 运行在因特网上客户端和服务器上的协议和应用程序的复杂性正在增长 有许多信

10、息基础设施有根本性安全设计问题的不能快速解决 入侵技术正在增长 攻击、入侵工具和工具包的的复杂化正在增长 计算机安全入侵数量正在增长 入侵效率正在增长（知识正在被传递到缺少知识的入侵者，因此使入侵更有效） 拥有安全知识和专门基数的人数正在增长，但是远比因特网用户的数量增长速度小。 有效的安全工具数正在增长，但是其不必要和软件、系统和网络复杂性的增长一样快。 事件响应小组的数量正在增长，但是事件响应人数对网络用户的比率正在减少。报告至CERT/CC的漏洞数的增长漏洞：漏洞就是一组状态，使得对外在或者内在安全策略的违反，成为可能。漏洞可能是软件缺陷、配置或者设计结果、在系统间，或者环境变化间不希望

11、的交互作用。例子如下：phf（按照用户“nobody”的远程命令执行）rpc.ttdbserverd(按照根用户的远程命令执行)全局可写的密码文件（系统评估数据的编辑）默认密码（远程命令执行或者其他访问）对降格服务引起的服务问题的拒绝在软件或者协议中的缓存器溢出（BIND，发送邮件、FTP、TCP等等）要认识到重要的一点是，从漏洞的发现到爆发时间变得越来越短。周天小时分钟。什么是计算机安全应急响应小组一个组织或者团队，对规定的用户，提供服务并对计算机安全安全事件的防止和响应给予支持。 要保持您组织信息资产的安全，需要一个多层面的方法。 没有一种行为或者解决方案是万能的。组建一个计算机安全应急响

12、应小组成是一个层面, 还要执行安全配置、安全意识训练和外部、内部的防护， 积极的协同响应始终是必须的，但是我们也必须快速行动，正确实施其他方案，取得如下的效果： 拥有安全机制的更高质量的信息技术产品，更好的符合今天系统管理员和用户的知识、技术以及能力。 扩展研究项目，领导计算机安全上的基础性的进步。 大量的技术专家，拥有保护大型复杂系统所需的技术。 计算机空间中，利益相关者对数据安全事务、漏洞和威胁的不断增长和前进的意识与理解。 就像一个消防队，一个计算机安全应急响应小组可以执行反应的和主动反应的服务。消防队对火灾进行响应并扑灭之。他们也会预先有准备的，提供火灾预防训练，促进烟雾警报器的安装、

13、防火梯的购买并指导家庭用最正确的方式安全撤离燃烧的建筑物。 CERT/CC的经验是，在一次入侵发生后，很多组织第一次开始思考怎么样处理计算机安全安全事件。 出现了各种缩写，用来指明不同的响应小组。这里列出除CSIRTS以外的一些例子：CERT计算机事件响应小组CSIRC计算机安全事件响应能力CIRT计算机事件响应小组CIRC计算机事件响应能力IRT事件响应小组SERT安全应急响应小组SIRT安全事件响应小组方法与技术事件处理不仅仅是以技术的应用，来解决计算机安全事件。它是行动计划的发展它是为如下而进行的方法的建立： 通告和通讯 合作和协调 分析和响应计算机安全事件响应小组的好处反应性 集中的响

14、应努力 更高速和标准化的响应 拥有事件处理经验的稳定的团队主干，并具有实用商务知识。 在安全社团中，同其他人的协调。主动性 支持组织性的商业目标 提供可信的风险数据和商业情报 提供产品开发圈或者网络操作的接口 对履行漏洞评定、发展安全策略和提供意识训练上，提供帮助。 即使最好的信息安全基础，也不能保证不发生入侵或者其他恶意行为。 非常重要的是，当发生计算机安全事件时，组织应该具有响应的有效方法。 组织能够识别、分析以及对事件的响应的速度，会限制造成的损害，并降低恢复的成本。 计算机安全响应小组可以现场指挥快速的响应，牵制和恢复一个计算机安全事件。计算机安全响应小组也许会对被危害的系统很熟悉，所

15、以能更快的协调恢复并提出缓解和响应的策略。他们和其他计算机安全响应小组和安全组织的关系，能够很方便的分享响应策略，对潜在的问题作出较早的警报。 计算机安全响应小组开始于以响应为目的的组织，但是现今在已经发展成一般意义上的，主动防御并保护组织和网络社会重要资产的组织。这种主动的工作包括提供安全意识和教育服务，影响力政策以及研究组和信息交换的协调。它还包括对入侵趋势的分析，并摸索出对变化环境的更好理解，以便响应保护、缓解和响应策略能够被发展并传播。 计算机安全响应小组可以和组织的其他部门一起工作，保证新的系统能够以意识中的安全发展和运行，并且和任一方的安全政策保持一致。他们可以帮助确定组织的漏洞区

16、域，有时能够执行漏洞评定和事件探测。计算机安全响应小组做些什么？通常，一个计算机安全响应小组 提供一个单独的联系点，来报告本地问题 确定和分析发生了什么，其中包括冲击和威胁。 研究解决方案和缓解策略 分享响应选项、信息和学习到的课程。计算机安全响应小组的目标是： 最小化和控制损害 提供或者辅助进行有效的响应和恢复 帮助防止以后再发生对每个人来说，没有一个单独的团队能承担一切！ 计算机安全响应小组和一个IT部门中的安全小组不同。 安全小组履行每天的组织的网络和系统监视。它的责任是保持系统的更新，安装补丁，为减少事件的发生而工作。 计算机安全响应小组可以把这些工作作为他们的一部分，但同时也会按照一

17、个事件信息的仓库来服务，是一个事件报告和分析的中心，是一个事件响应跨组织的协调中心。这种协调功能甚至可以延伸到组织外，包括和其他团队和法律执行机构的合作。一般计算机安全响应小组分类一般计算机安全响应小组种类包括 内部计算机安全响应小组(internal csirt)对他们的母组织提供事件处理服务，这可能是银行、大学或者联邦机构的计算机安全响应小组。 协调中心(coordination center)跨不同计算机安全响应小组，或对一个特定的国家、州、研究网络、或者其他这样的实体，协调和促进对事件的处理。通常会有更大的范围和更多样的客户。 分析中心(analysis center)主要从各种资源中

18、，综合数据，测定事件活动种的趋势和特征。随后，可以用这些信息帮助预测未来的活动，或当当前活动符合一组先前测定的特征时，提供早期警报。 商家(vendor)和报告、追踪漏洞的组织合作；另外一种类型的商家可能会对他们自己的组织提供内部事件处理服务。 事件响应提供商(incident response provider)把事件处理服务作为产品，提供给其他组织。这有时指安全管理服务提供商（MSSPS）计算机安全响应小组发展阶段阶段1训练组织(education)阶段2工作计划(planning)阶段3初始化执行(implementation)阶段4 运作状态(operation)阶段5平级合作(col

19、laboration) 此框图显示了根据CERT CSIRT 反展小组的计算机安全响应小组的反展阶段。 在阶段1，组织想要组建一个团队，但是不真正知道计算机安全响应小组是什么，做什么。组织需要通过这些意识训练，学习实现一个团队的不同方法。 在阶段2，组织具有了一些计算机安全响应小组的知识，开始确定和分析要计划实现计算机安全响应小组遇到的不同问题。 在阶段3，组建了计算机安全响应小组，并开始提供服务。要开始运作，应该拥有一个确定的顾客群、任务和服务、初始的团队和训练、草拟标准操作规程和一个安全基础设施。 在阶段4，计算机安全响应小组要处理事件，并有6个月到1年的运作。 在阶段5，计算机安全响应小

20、组成为一个成熟的团队。它已经存在了二年或者更长，在事件处理上，已经有了相当的经验。他们成为和其他计算机安全响应小组同起同坐的合作者。 很重要的一点是，要认识到你也许已经在一个更高级的阶段，但依然需要回过头，重新审视早些的阶段，确认你正在朝着正确的路线前进。 在这个连续过程中，你把你自己（你的计算机安全响应小组）摆放到什么位置？ 你从前处理过计算机安全事件么？创建一个有效的计算机安全响应小组要有效，一个计算机安全响应小组需要四个基本元素可操作的框架服务和策略框架质量保证框架适应变化的环境和变化的威胁形式的能力。操作框架 清晰的任务 规定的客户 组织基地 和其他组织团队的正式关系服务和政策框架 明

21、确的服务 明确的信息流 定义搜集,记录,追踪和取得信息的方法 清晰的,容易理解的组织范围的政策有效的质量保证行动 定义一个质量系统 专门的对质量参数的测量和检查方法 报告和审查行动与流程 保证质量级别的结算,遵守和自动调整流程 客户和顾客的反馈适应性和灵活性 跟上变化的技术的能力 适应实时威胁未来紧急威胁的能力 法律建议和支持建立你的视野 您计算机安全响应小组框架的基本组成，或者说建筑砖石，组成您计算机安全响应小组的视野。这些元素包括： 顾客您为谁服务 任务您做什么？您的目的？服务怎么样完成您的任务。怎么为你的顾客服务u 你处理的事件类型u 你执行的行动类型 组织结构你怎么操作？它是怎么结合在

22、一起的？资源你需要什么资源去执行您的任务？ 资金你怎么偿付它？以上所有的都是由资金支持的。 管理和客户买入没有这点，它不能成功。这是视野立足的根本。 计算机安全响应小组的各元素互相影响，并因此影响到您的设计。例如，您的任务会受到您客户和需求的影响。你的资源和怎样分配他们会影响你需要的组织模型、你能提供的服务和你执行任务的好坏。 在确定您的视野或者框架的时候，你需要考虑所有这些元素，并试图找到他们中间的平衡。 需要做什么？建立一个响应计划 结合到现有的方法和组织结构中 加强和提高客户有效管理计算机安全事件的能力 作为保护和确保重要商务功能和资产的全面策略的一部分训练员工，使其对以下2种情况都能确

23、认 威胁对商务功能的影响和范围 适当的缓解和恢复方案执行建议得到管理买入和组织的同意要和母组织或者客户组织策略与商务目标一致。选择一个计算机安全响应小组发展项目小组。在整个进程种保持交流从小起步，不断成长。只要合适，就利用现有的（再利用是很好的） 应该建立一个有权限决定的计算机安全响应小组计划小组项目领导。这个项目小组应该代表相关的团体和组织。 所有利益相关者和客户代表应该通过执行，从初始的计划阶段，就参与计算机安全响应小组的发展中。 在商业或者教育组织中，这可能包括法律顾问、公共关系和市场人员、部门经理、安全人员、系统和网络管理员、文案助理人员、高层管理，甚至可能是设备人员。 很难决定利益相

24、关者是谁、什么时间建立协调中心或者国家级小组。一旦你选择或者限定了要服务的客户，这其中一些可能会确定。 早加入，就能够以一个初始的市场付出为您的计算机安全响应小组工作，这会开始建立意识。 管理买入必须包括提供人员、时间和资金。 计算机安全响应小组的结构和任务，必须建立在母组织或者客户组织安全策略和商务目标的基础上。 在整个过程中，确定每个人明白发生了什么和为什么发生。 尽可能的利用存在的资源和安全策略与政策。例如，如果在您的组织有一个物理的安全侵犯当前通知了谁？紧接着会有什么步骤？对于一个电子侵犯，您能利用存在的政策，创建一个政策么？老的政策能覆盖所有的侵犯的类型么？ 无论外部的还是内部的，要

25、指望于已经存在的。和其他小组谈话，找出什么对他们的工作有好处。根据你组织的结构和任务，它也可能有效。基本执行步骤搜集信息创建计划，获取计划中的反馈确认计算机安全响应小组的顾客确认和获取人员装备和基础设施资源决定计算机安全响应小组的任务开发政策和程序为计算机安全响应小组的操作获取资金 训练您计算机安全响应小组员工和客户决定计算机安全响应小组范围和服务等级通告计算机安全响应小组确认和客户关键部分的交互传达您的任务和服务确认交互的任务和责任获得反馈回顾并提高计算机安全响应小组框架 请记住，非常重要的一点是，要得到管理和客户买入与支持。 必须用内在的和外部通讯方法，让客户和其他利益相关者理解执行，并也

26、提供对计划的审查和反馈的机制。 当计算机安全响应小组准备操作时，应该发表通告。所有的客户应该理解他们和计算机安全响应小组的交互应该是什么，这包括什么事件、怎么联系和报告计算机安全响应小组异常情况和事件活动。内部计算机安全响应小组的步骤从管理层得到承认和支持随着利益相关者的输入，决定了确认谁需要加入计算机安全响应小组任务有管理层发出的通告 计算机安全响应小组范围和服务等级选择一个项目小组计算机安全响应小组报告结构，权限和 组织模型搜集信息确定交互的角色和责任研究其他组织正在做什么创建一个基于视野或者框架的计划确认存在的进程和员工数获取计划的反馈访问重要利益相关者和参与者发布计算机安全响应小组得到

27、反馈 列举在一个组织中，内部计算机安全响应小组的步骤： 得到对计算机安全响应小组的承认和支持并执行项目；包括资金、资源、项目小组和员工中参与的其他人的时间。 确定在计划和执行进程中，需要谁的加入。 上层管理要有一个通告的发送（CEO及其等同地位的，或者CIO及其等同地位的），对组织解释，计算机安全响应小组正在计划的，和将要遵照执行的基本方法。 选择一个项目小组 研究其他组织在创建一个计算机安全响应小组时做什么，并研究存在什么最好的行动和指导。 从现有的组织图标，网络布局、安全策略、制度规章和规则，从现有的灾难恢复或者事件应急计划、现有的商业连续性计划和重要系统与网络资产详细目录中，搜集信息。

28、访问商业经理、信息技术职员和经理、以及终端用户，理解对处理计算机安全事件的当前方法。 确认谁履行如下责任：防火墙操作和维护、入侵探测、其他网络或者主机监视、漏洞评定或者扫描、渗透测试、补丁维护和操作系统更新。 访问商业经理、信息技术职员和经理、终端用户、以及来自法律、人力资源和公共关系的代表，考虑到事件管理和响应，决定这些部门需要什么。 随着所有利益相关者的输入，限定了计算机安全响应小组视野或者框架，这包括：计算机安全响应小组客户、任务、权限、服务、组织模型和需要的员工、装备以及基础设施。 根据视野与框架创建一个计划，使它在组织中，对反馈和意见有效。 根据反馈，随着对任何需要的改变，更新计划。

29、集合信息集合的关键信息包括： 客户有什么要求 必须保护的重要财产是什么 哪些类型的事件经常被报告 存在什么电脑安全问题 需要哪种类型的响应 需要哪种辅助和专家意见？ 需要什么方法？ 谁要扮演什么角色？ 当前有人履行那个角色么？ 在通知或者升级进程中，需要谁的加入？ 一旦你开始建立你的视野和框架,作为一种有用的资源和想法,参考其他团队,以及关于事件响应的文档和书籍。调查同样的组织，它们提供事件处理服务或者组织了计算机安全响应小组。如果你以及和这些组织联系上，看看你能否和他们谈论一些关于他们如何建立他们的团队。如果不能和他们的成员交谈，请参看他们计算机安全响应小组的网站。检查他们的任务、特征、资金

30、安排和服务列表。这会给你一些组织你团队的想法。查阅任何有人可能写的关于计算机安全响应小组或者事件处理的书籍和白皮书。在CERT计算机安全响应小组开发网页上，可以找到一个资源的初始列表：http:/www.cert.org/csirts/resources.html可能有帮助的现有资源可能提供信息的有效资源 企业和专门商务功能的组织图表 组织性的或者客户系统与网络的布局 关键系统和资产目录 现有灾难恢复或者商业连续性计划 现有的通告组织物理性安全违规的指导 任何现有的事件响应计划 任何母系的或者制度上的关系 这些资源中，许多可能无效，或者没有存在。如果它们有效，并且您能试图接近它们，对这些档案的

31、审阅能够产生双重目的：第一，帮助你评估现有的利益相关者、资源和系统拥有者。第二，提供对现有计算机安全响应小组必须依靠政策的总揽。 作为一个意外收获，你可能会发现，当开发计算机安全响应小组的政策、流程或者文件的时候，这些文件可能含有能被改编的文字内容。它们也可能包含在紧急时刻，必须联系的组织代表的通用报告目录这些目录的类型可能也会因计算机安全响应小组工作和方法而改变。需要谁的参与：内部计算机安全响应小组 事件处理不是一个自我约束的过程。必须跨组织的建立关系、交流通道、数据共享协议和政策流程。对于一个内部小组，这包括： 商务经理。它们需要理解计算机安全响应小组是什么和它怎么样帮助支持它们的商务过程

32、。考虑到计算机安全响应小组的覆盖商务系统的权限，以及谁能做决定让重要商务系统必须从网络断开或者关闭，必须签订协议。 来自IT的代表。IT员工和计算机安全响应小组怎么交互？IT员工会采取什么行动？计算机安全响应小组成员会采取什么行动？IT员工能提供给计算机安全响应小组什么信息？计算机安全响应小组能提供给IT成员什么信息？它们各自都有什么角色和权限？ 来自法律部门的代表。在什么时间，用什么方法，法律部门参与到事件响应的作用中？ 来自人力资源部门的代表。需要他们参与，为解除被发现参与未授权或者违法计算机活动的内部职员，而开发政策流程。 来自公共关系的代表。他们必须准备处理任何媒体需求，帮助发展信息公

33、开政策和活动。 任何现有的安全团体，包括物理性的安全团体。计算机安全响应小组需要和这些团体交换关于计算机事件的信息，并和他们分享解决问题的责任，这包括计算机或者数据盗窃事件。 审计和风险管理专家。他们可以帮助发展对客户系统的处理度量与风险。 任何法律执行联络人或者调查人。联系到他们时，他们会了解小组怎样以法律执行工作，并且明白谁会做调查，甚至法庭鉴定。 来自客户的普通代表。他们能够提供对他们需要和需求的解释。需要谁的参与：协调中心 对于作为协调中心的小组，或者支持一个州、国家、省或者同等政府实体客户的小组更难决定怎么样与多方参与的组织建立关系。计算机安全安全事件响应小组仅仅能处理如下特别的组织

34、么？ 政府组织 军队组织 重要基础设施 商务组织或者，计算机安全安全事件响应小组会从公众接收报告，发布信息？从哪里开始？什么已经就绪？创建专门技术矩阵 专业技术有什么？什么工具已经就绪？集体攻关与讨论设计工作量 需要的响应和通告策略 随着计算机安全响应小组的增加，需要做什么改变？ 计算机安全响应小组怎么样适应任何灾难恢复或者商务连续性计划？执行培养员工和方法 制定临时计划 制定长期计划其他涉及的问题包括 已经有一个现有的追踪系统，你必须要结合么？ 有特定的组织需要和政策，你必须要遵守么？ 有服务等级协议，你必须遵守么？获得一致同意计算机安全响应小组的定义 任务 服务 角色和责任 权限计算机安全

35、事件的定义 分级 优先权 自动调整标准 什么是计算机安全事件？ 通常的定义可能包括： 任何真实的，或者被怀疑的，关系到计算机系统或者计算机网络安全的不利事件。 违反显式或者隐式安全政策的行为 计算机安全响应小组需要建立标准，不仅仅定义计算机安全事件的组成，也定义了它怎么样被处理。 这个定义可以是一个安全政策中的概述；它也应该包括在事件报告指导中。 组织的必须保护的重要资产，也应该被定义。 计算机安全事件的例子包括： 获得未授权的路径，访问系统或者其数据的成功（失败）的企图。 不希望的服务终端或者拒绝 对进程或者数据存储的未授权的系统应用 没有所有者的同意，改变系统 计算机病毒的发生 通过对计算

36、机系统范围的网络，进行探测或者扫描漏洞。共同问题失败于： 包括所有的参与团体 取得一致意见 发展全面的视野和框架 大纲、档案政策和流程组织斗争具有太多服务不现实的展望或者预测时间、员工和资金的缺乏计算机安全响应小组的创建与管理介绍创建一个有效的计算机安全响应小组计算机安全响应小组构成操作性管理问题事件处理活动总结计算机安全响应小组构成 客户 任务 组织问题 资金 服务 政策流程 资源（在后面一节讨论）作为资源的员工、装备和基础设施，会在本文的操作性管理问题一节做讨论。定义你的客户根据你的项目，你的客户可能已经被定义如果还没有定义你的客户，你需要决定它是谁，是什么。客户定义完或者之前，需要致力于

37、什么问题？ 要理解你的客户会帮助你决定他们有什么需要，需要保护什么资产和对你的计算机安全响应小组的需要会是什么。利用这个信息会帮助你决定，你不得不提供什么服务，什么类型的组织模型会适合所需服务的提交。 定义你的客户也会在你的团队开始操作时，帮助你圈定你的工作。它会帮助你决定你要处理什么需求，决定你会传递到其他计算机安全响应小组或者相关团体什么请求。 有些团体可能已经定义了他们的客户。例如，在一个小商务团体中的计算机安全响应小组，很可能会把此商务团体的雇员作为他们的客户。此外，可能不容易定义一个客户群。大学中的计算机安全响应小组，会把不同系的系统和网络管理员，或者包括所有教职员工和学生的整个大学

38、人口作为他们的客户。对于一个大学计算机安全响应小组，它应该决定写什么级别的警报和建议，并作出什么类型的响应。 如前所述，对于国家，州的团队，或者对于协调中心，定义客户是困难的。但是这是必须做的事情，因为它影响到在计划进程中，谁会参与和要提供什么类型的服务。这个问题必须涉及协调中心或者国家团队需要与谁工作和合作。他们向谁发送通告、警报和其他信息？ 这里面可能有其他政府机构、重要基础设施组织、军队机构或者广大群众。每个客户会有各自的需求。决定你的任务在你的计算机安全响应任务小组任务书中，你应该定义你的任务。请求注解（RFC）2350规定你的任务应该： 解释你团队的目的 突出团队的核心目标目的一些基

39、本问题 计算机安全响应任务小组的主要目的是恢复系统或者搜集证据？ 计算机安全响应任务小组会执行： 法庭鉴定任务么？ IDS或者防火墙维护么？ RFC2350，计算机安全响应期望，是一个因特网最优当前实现（BCP）文档（提供关于计算机安全响应小组客户和一般网络社团，需要明确定义和说明的主题与事件的信息）（FRC2350，摘要） 一些计算机安全响应小组以图标的形式，发展了更为广泛的陈述，概括了他们的任务、客户、主办人和权限。（RFC2350，节3.3）RFC的URL是http:/www.ietf.org/rfc/rfc/rfc2350.txt 根据计算机安全响应小组手册第二版（1011页），你的任

40、务说明应该： 不要不明确 用至少三个或者四个句子“计算机安全响应小组负责”指明任务。 如果团队圈定在一个较大组织内，或者由一个外部实体融资，计算机安全响应小组任务说明必须补充上这些组织的任务。要遇到的问题可能包括： 怎么面对公众把计算机安全响应小组当作计算机警察的理解？ 如果你的任务和组织其他部分的另外一个任务交叠，应该怎么做？组织层次要遇到的一些问题： 在组织中，计算机安全响应小组适应于哪里？ 计算机安全响应小组向谁报告？ 以上问到的两个问题相互依赖。计算机安全响应小组向谁报告依据于它在组织中位于什么位置，反之亦然。 计算机安全响应小组应该在IT或者无线通讯部门、安全团队或者自成一体。计算机

41、安全响应小组应该报告给CIO、CEO、CSO或者其他部门领导。 很重要的是，要考虑到事件处理和响应时，计算机安全响应小组需要采取什么行动，考虑需要什么类型的管理支持，协助这些行动。确认这样的问题，建议应该有正确的汇报或者管理结构。 CERT/CC指导了14个计算机安全响应小组的非正式调查他们中的多数指出，他们的事件处理能力位于母公司的信息技术部门（IT）。我们没有为什么会这样的信息。它可能和方便或者专家意见有关。它也可能是一个策略上的决定。 计算机安全响应小组的权限定义是由上面列举的最初的两栏联合决定的。计算机安全响应小组有多少权限，决定事件响应、恢复和安全防护，会由在组织结构中，它的位置和计

42、算机安全响应小组向谁报告影响。计算机安全响应小组和企业的交互计算机安全响应小组怎么样和任何信息技术部门交互？计算机安全响应小组怎么样适应于： 改变管理方法 软件安装和更新进程计算机安全响应小组怎么样和调查或者法律执行团队合作？计算机安全响应小组怎么样对像防火墙或者IDS的外部和内部防护改变做建议？报告结构国家、州或者同级计算机安全响应小组要考虑的一些问题： 谁作为计算机安全响应小组寄主？ 谁由计算机安全响应小组支持？ 谁向计算机安全响应小组报告事件和信息？ 谁接收计算机安全响应小组通告和信息？ 团队作为协调中心或者支持州、国家、省或者同样政府实体客户的团队，会更难决定多方参与组织的关系如何建立

43、。 计算机安全响应小会组仅仅处理如下的特别组织么？ 政府组织 军队组织 重要基础设施 商务组织或者计算机安全响应小组会和公众进行信息报告和发送么？计算机安全响应小组和客户的交互计算机安全响应小组会向客户提供什么信息？客户会向计算机安全响应小组提供什么信息？计算机安全响应小组协调中心会和现有客户计算机安全响应小组怎样交互？ 要考虑的一些问题是，计算机安全响应小组协调中心应该对谁，以什么期限发布建议和警报？许多构建的计算机安全响应小组可能已经从其他资源接收到这个信息。计算机安全安全事件响应小组权限计算机安全安全事件响应小组的权限是什么？ 完全的 共享的 没有权限或者它是其他什么？ 非直接权限 根据

44、事件决定的 权限描述了计算机安全响应小组对自己行为和客户行为的控制力，这些行为关系到计算机安全和事件响应。权限是计算机安全响应小组对它服务的组织的最基本的关系。 根据计算机安全响应小组手册（第二版，15页），计算机安全响应小组与它的客户有3个明显等级的权限或者关系： 完全计算机安全响应小组可以在没有管理批准的情况下，做出决定，执行响应和恢复行动。例如，拥有完全权限的计算机安全响应小组，在入侵攻击时，可能会告知系统管理员从网络断开系统，或者计算机安全响应小组自己断开系统。 共享：在计算机安全事件中，计算机安全响应小组根据要采取的行动，参与决策的过程，但是只能影响，不能做出决定。 无权限计算机安全

45、响应小组不能独自做出任何决定或者采取任何行动。计算机安全响应小组只能作为组织的建议者。计算机安全响应小组不能执行任何行动。CERT/CC是一个对其客户网络共同体没有权限的计算机安全响应小组。 另外一种权限（在计算机安全响应小组手册（第二版）第15页提到）是非直接权限。在这种情况下，计算机安全响应小组会因为其位置，对客户施加压力，使其采取指定的行动。例如一个ISP可能会强迫其客户采取指定的行动或者面对网络服务的不连续。 对于一个在任务中成功的计算机安全响应小组，很重要的是管理层对团队拥有的权限等级的同意和支持，否则，团队会在组织中失去信誉，并不会成功。管理层也应该把计算机安全响应小组的权限，准确

46、清晰的传达给客户特别是部门经理、系统和网络管理员、以及其他任何在组织的团体。可选计算机安全响应小组模型计算机安全响应小组怎么样和组织和客户，进行操作与交互？模型包括： 安全团队 内部分布式团队 内部集中式团队 内部分布集中式结合团队 协调中心你可能需要不只一个模型你的模型会随着时间而发展。 这里有几个简单的组织模型。每个计算机安全响应小组模型类型有其优势、弱点和好处。你选择模型要依据于： 你的客户位于什么位置 你的团队位于什么位置 你提供什么服务 需要共享什么信息 需要采取什么类型的行动 模型定义安全团队在这个模型中，组织中没有任何团队或者部分对所有事件处理活动，被授予正式的责任。没有建立计算

47、机安全响应小组。内部分布式团队在这个模型中，组织利用现有员工，提供一个虚拟的分布式计算机安全响应小组，它在形式上被特许处理事件响应活动。内部集中式团队本模型中，员工为满工，这表明计算机安全响应小组随时对定义客户提供事件处理服务。内部分步式集中式混合团队本模型是对集中式计算机安全响应小组和分布式计算机安全响应小组的一个结合。协调中心在这个模型中，计算机安全响应小组通过不同的外部组织，对事件处理进行协调和促进。 你可能需要不只一个模型。例如，考虑一个大的，地理分布分散的组织。它可能现场需要本地团队，通过每个区域性的计算机安全响应小组报告给区域性的、集中式的计算机安全响应小组，然后报告给协调中心，协

48、调中心把综合信息送到分析团队，进行对未来趋势和特征的研究。 要记住的重要的一件事是，不能总是一次做所有的事。你会需要递增的增加资源。许多团队开始时，只提供事件处理服务，逐渐成长，引入其他服务和模型，作为资源、预算和支持允许。你的模型需要根据你的任务、优先权、提供的服务或者资助者的变化，随着时间不断改正。你的计算机安全响应小组应该多大？根据任务、目标、服务、经验、工作量和成本，大小会不同。确定你没有一点失败确保你的计算机安全响应小组员工已经普遍训练过要理解其他组织的评估可能不适合你的情况。 没有这个问题的简单回答。不同的计算机安全响应小组有不同的员工级别，适合他们的模型。目前没有真的科学研究，仅

49、仅是一些轶闻信息。 量化付出和成本的类型是十分困难的。你必须以你的工作量和资源，作为你决定的依据。永远记住，你从不想有一点失败，所以事件处理投入一个人是永远也不够的。为你的计算机安全事件响应小组获取资金对你计算机安全事件响应小组资金支持的不同策略 会员订阅 基于费用的服务 契约服务 政府赞助 学术或者研究赞助 母组织资金 财团赞助 以上的混合会员订阅 对一定范围服务的享受，是基于时间的订阅费用。 AUSCERT有会员订阅基于费用的服务 对享受的服务付费 CANCERT和MYCERT有基于费用的服务契约服务 把计算机安全事件响应小组对组织采取外部采购的形式，提供事件处理服务 像IBM,CISCO

50、，许多这样有高度顾问资格的商业组织。政府赞助 政府资助计算机安全事件响应小组 REDCERT由美国政府赞助学术或者研究赞助 学校或者研究网络赞助计算机安全事件响应小组 DANTE,NORDUNET都是由研究网络赞助的。母组织资金 母组织建立计算机安全事件响应小组并提供资金支持 IBM,GE和COMPAQ CSITS都是FIRST的会员财团赞助 团队或者组织、政府授权、大学等等共同资金支持以上的混合 CERT/CC是由政府和私人赞助支持的它将花费多少？这将依据于计算机安全事件响应小组结构和服务考虑短期和长期的费用 短期启动花费：人员、装备、基础设施 根据资金，支持你最初的服务和活动 长期费用必须

51、增长主要费用会用于 人员及其培训 装备、基础设施和事件处理工具 物理空间和安全通道 你知道你的预算会是什么？ 一旦你对你的服务，以及你要提供服务和要支持服务需要的资源有了一个想法，你就需要对短期和长期的资金制定一个预算。 你从哪里获得这些资金？ 帮助获得事件处理费用的一些资源事件费用和分析模型项目计算机犯罪和安全调查与FBI合作的计算机安全机构 你可能会确定事件可能要花费你什么，然后用费用/利益分析，显示一个计算机安全事件响应小组要拯救你的组织，会花费的钱数。一些基本费用费用包括 事件报告和追踪系统 通讯机制 热线或者办公助理 网站和/或者FTP站点 邮件分发列表 电话和寻呼安全通讯机制 用P

52、GP公钥或者数字证书，对计算机安全事件响应小组文件和邮件签名 安全电话 企业内部网络或者外部网保护到计算机安全事件响应小组设备的通道我们会在后面的章节对此做更深入的讨论。计算机安全事件响应小组服务的范围反应服务主动服务 安全质量管理服务警报和警告通告风险分析事件处理技术监视商务连续性和灾难恢复计划事件分析安全审计或者评估安全咨询事件现场响应配置和意识的建立事件响应支持安全工具、应用程序维护教育和训练事件响应协调以及基础设施产品评估或者认证漏洞处理安全工具的开发漏洞分析入侵探测服务漏洞响应安全相关信息分发漏洞响应协调工件处理工件分析工件响应工件响应协调 不是所有的计算机安全事件响应小组提供同样的

53、服务。上面列举了一些团队能提供的通常的服务。这些服务的定义，可以在计算机安全事件响应小组服务中找到。 对于一个被认为是计算机安全事件响应小组的团队，它必须提供事件处理服务。这意味着它必须提供至少事件处理服务中的一个：事件分析、事件现场响应、事件响应支持或者事件响应协调。 根据任务或者目的，团队可能执行一些（或者全部）服务。 要想知道更多的，由不同计算机安全事件响应小组提供的各种服务，你可以 和现有的团队交谈 浏览团队网页和服务列表 浏览一般事件处理服务列表选择服务由现有团队提供的服务范围和级别差别很大每个团队必须决定 要提供什么范围的服务 对每个服务能提供什么级别的支持从小开始，不断成长 获取

54、对初始服务的支持 当经验和资金允许时，就会成长 选择的服务应该： 支持团队任务 反映了支持服务的资源的有效性 反映了对团队的专门技术等级的有效性 一些计算机安全事件响应小组提供一整套服务，包括事件处理、漏洞处理、入侵探测、风险评估、安全咨询和渗透测试。其他计算机安全事件响应小组仅仅提供有限范围的服务。例如，一些军队组织仅仅提供入侵探测服务；而一些政府组织仅仅提供分派服务，把事件分派到第三方承包人，例如联邦计算机事件响应中心（FEDCIRC）或者CERT/CC。 建议计算机安全事件响应小组由服务的小子集开始运作，通过质量服务和响应，获得组织的计算机安全事件响应小组的认同，然后在需要的时候，开始发

55、展和扩张计算机安全事件响应小组的能力，并能够做到有效支持。 应该定义所有的提供的服务，清晰设置所有内部的和外部参与团体的期望。 记住，没有单独的组织能做好所有的事情。对于每个你计算机安全事件响应小组的服务，你需要清晰定义： 服务提供的深度和广度 为服务分配了多少资源 需要对服务提供什么级别的专门技术 必须满足什么要求和标准？u 服务等级协议（SLAS）u 联邦或者州规章u 响应期限政策和流程所有服务和计算机安全安全事件响应小组功能应该由良好定义的政策和流程支持。具有文档的一套政策和流程对以下至关重要： 确保团队活动支持计算机安全安全事件响应小组任务 设立对客户的预期 对日复一日的操作性需求提供

56、框架 提供服务的连续性和可靠性 文档性的政策和流程，对你计算机安全安全事件响应小组的成功至关重要 良好定义的政策和流程对计算机安全安全事件响应小组人员操作提供保证。一旦选定了服务，你必须通过计算机安全安全事件响应小组政策和流程，建立文档操作。良好定义的政策和流程对以下提供保证： 角色和责任 优先权 自动调整标准 所给响应的本质 新的计算机安全事件响应小组成员 可能情况下，把新政策的发展和现有对组织或者客户的大纲与政策关联。例如，如果物理安全政策需要一套确定的规定人员，例如法律执行、公司安全经理、公共关系或者高级经理人员，他们必须在有破坏时，能联系上；然后注意建立你计算机安全安全事件响应小组的通

57、告政策，满足这样的纲领。 一旦你的计算机安全安全事件响应小组开始运作，要考虑让你的员工用文件记录你采取执行的不同行动步骤。这能帮助保存你进程的记录，并扩展最初创立的一套政策和流程。列举政策 安全政策 开放的报告环境政策 事件报告政策 事件处理政策 外部通讯政策 媒体关系政策 信息公开政策 信息发布政策 人力失误政策 训练和教育政策 计算机安全安全事件响应小组可接受使用政策 必须对政策有清晰的理解，使员工能正确执行流程， 所有政策必须： 有管理批准和监督 对计算机安全响应小组环境的灵活性 清晰、简洁和可执行性 让新员工容易理解 政策可以是全局的或者指定服务的。 可能需要发展其他政策，决定什么时间

58、报告增加，怎么样报告以及向谁报告。必须发展政策，决定什么时间，用什么方法，计算机安全响应小组和法律执行部门联系和合作。列举流程 标准操作流程（SOPS） 接受和跟踪事件报告 应答热线 事件和漏洞处理 搜集、保护和保存证据 计算机安全响应小组网络和系统配置 系统和网络监视以及入侵侦测 备份和储存事件数据 通告方法（怎么样对信息打包、分发、存档等） 培训和顾问 如果政策描述了你要做什么，那么流程对你执行政策或者行动，提供了一步一步的指令。流程补充了政策，描述了政策在一天又一天的基础上，是怎么样工作的。 随着对组织流程的创建，管理层也必须决定谁来创建流程，以及他们属于哪里。流程需要： 清晰指明怎么样执行政策