安全响应团队的构建与管理(3)

方法与技术 事件处理不仅仅是以技术的应用，来解决计算机安全事件。 它是行动计划的发展 它是为如下而进行的方法的建立： ? 通告和通讯 ? 合作和协调 ? 分析和响应

计算机安全事件响应小组的构建与管理 11

计算机安全事件响应小组的好处 反应性 ? 集中的响应努力 ? 更高速和标准化的响应 ? 拥有事件处理经验的稳定的团队主干，并具有实用商务知识。 ? 在安全社团中，同其他人的协调。 主动性 ? 支持组织性的商业目标 ? 提供可信的风险数据和商业情报 ? 提供产品开发圈或者网络操作的接口 ? 对履行漏洞评定、发展安全策略和提供意识训练上，提供帮助。 即使最好的信息安全基础，也不能保证不发生入侵或者其他恶意行为。 ? 非常重要的是，当发生计算机安全事件时，组织应该具有响应的有效方法。

? 组织能够识别、分析以及对事件的响应的速度，会限制造成的损害，并降低恢复的成

本。

计算机安全响应小组可以现场指挥快速的响应，牵制和恢复一个计算机安全事件。计算机安全响应小组也许会对被危害的系统很熟悉，所以能更快的协调恢复并提出缓解和响应的策略。他们和其他计算机安全响应小组和安全组织的关系，能够很方便的分享响应策略，对潜在的问题作出较早的警报。

计算机安全响应小组开始于以响应为目的的组织，但是现今在已经发展成一般意义上的，主动防御并保护组织和网络社会重要资产的组织。这种主动的工作包括提供安全意识和教育服务，影响力政策以及研究组和信息交换的协调。它还包括对入侵趋势的分析，并摸索出对变化环境的更好理解，以便响应保护、缓解和响应策略能够被发展并传播。 计算机安全响应小组可以和组织的其他部门一起工作，保证新的系统能够以意识中的安全发展和运行，并且和任一方的安全政策保持一致。他们可以帮助确定组织的漏洞区域，有时能够执行漏洞评定和事件探测。

计算机安全事件响应小组的构建与管理 12

计算机安全响应小组做些什么？ 通常，一个计算机安全响应小组 ? 提供一个单独的联系点，来报告本地问题 ? 确定和分析发生了什么，其中包括冲击和威胁。 ? 研究解决方案和缓解策略 ? 分享响应选项、信息和学习到的课程。 计算机安全响应小组的目标是： ? 最小化和控制损害 ? 提供或者辅助进行有效的响应和恢复 ? 帮助防止以后再发生 对每个人来说，没有一个单独的团队能承担一切！ 计算机安全响应小组和一个IT部门中的安全小组不同。 安全小组履行每天的组织的网络和系统监视。它的责任是保持系统的更新，安装补丁，为减少事件的发生而工作。

计算机安全响应小组可以把这些工作作为他们的一部分，但同时也会按照一个事件信息的仓库来服务，是一个事件报告和分析的中心，是一个事件响应跨组织的协调中心。这种协调功能甚至可以延伸到组织外，包括和其他团队和法律执行机构的合作。

计算机安全事件响应小组的构建与管理 13

一般计算机安全响应小组分类 一般计算机安全响应小组种类包括

? 内部计算机安全响应小组(internal csirt)——对他们的母组织提供事件处理服务，这可

能是银行、大学或者联邦机构的计算机安全响应小组。

? 协调中心(coordination center)——跨不同计算机安全响应小组，或对一个特定的国家、

州、研究网络、或者其他这样的实体，协调和促进对事件的处理。通常会有更大的范围和更多样的客户。

? 分析中心(analysis center)——主要从各种资源中，综合数据，测定事件活动种的趋势

和特征。随后，可以用这些信息帮助预测未来的活动，或当当前活动符合一组先前测定的特征时，提供早期警报。

? 商家(vendor)——和报告、追踪漏洞的组织合作；另外一种类型的商家可能会对他们

自己的组织提供内部事件处理服务。

? 事件响应提供商(incident response provider)——把事件处理服务作为产品，提供给其

他组织。这有时指安全管理服务提供商（MSSPS）

计算机安全事件响应小组的构建与管理 14

计算机安全响应小组发展阶段 阶段1 训练组织(education) 阶段2 工作计划(planning) 阶段3 初始化执行(implementation) 阶段4 运作状态(operation) 阶段5 平级合作(collaboration) 此框图显示了根据CERT CSIRT 反展小组的计算机安全响应小组的反展阶段。 在阶段1，组织想要组建一个团队，但是不真正知道计算机安全响应小组是什么，做什么。组织需要通过这些意识训练，学习实现一个团队的不同方法。

在阶段2，组织具有了一些计算机安全响应小组的知识，开始确定和分析要计划实现计算机安全响应小组遇到的不同问题。

在阶段3，组建了计算机安全响应小组，并开始提供服务。要开始运作，应该拥有一个确定的顾客群、任务和服务、初始的团队和训练、草拟标准操作规程和一个安全基础设施。

在阶段4，计算机安全响应小组要处理事件，并有6个月到1年的运作。

在阶段5，计算机安全响应小组成为一个成熟的团队。它已经存在了二年或者更长，在事件处理上，已经有了相当的经验。他们成为和其他计算机安全响应小组同起同坐的合作者。

很重要的一点是，要认识到你也许已经在一个更高级的阶段，但依然需要回过头，重新审视早些的阶段，确认你正在朝着正确的路线前进。

在这个连续过程中，你把你自己（你的计算机安全响应小组）摆放到什么位置？ 你从前处理过计算机安全事件么？

计算机安全事件响应小组的构建与管理 15

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库安全响应团队的构建与管理(3)在线全文阅读。