安全响应团队的构建与管理(5)

内部计算机安全响应小组的步骤 从管理层得到承认和支持 确认谁需要加入 有管理层发出的通告 选择一个项目小组 搜集信息 研究其他组织正在做什么 确认存在的进程和员工数 访问重要利益相关者和参与者 随着利益相关者的输入，决定了 计算机安全响应小组任务 计算机安全响应小组范围和服务等级 计算机安全响应小组报告结构，权限和 组织模型 确定交互的角色和责任 创建一个基于视野或者框架的计划 获取计划的反馈 发布计算机安全响应小组 得到反馈 列举在一个组织中，内部计算机安全响应小组的步骤：

? 得到对计算机安全响应小组的承认和支持并执行项目；包括资金、资源、项目小组和员

工中参与的其他人的时间。

? 确定在计划和执行进程中，需要谁的加入。

? 上层管理要有一个通告的发送（CEO及其等同地位的，或者CIO及其等同地位的），对

组织解释，计算机安全响应小组正在计划的，和将要遵照执行的基本方法。 ? 选择一个项目小组

? 研究其他组织在创建一个计算机安全响应小组时做什么，并研究存在什么最好的行动和

指导。

? 从现有的组织图标，网络布局、安全策略、制度规章和规则，从现有的灾难恢复或者事

件应急计划、现有的商业连续性计划和重要系统与网络资产详细目录中，搜集信息。 ? 访问商业经理、信息技术职员和经理、以及终端用户，理解对处理计算机安全事件的当

前方法。

? 确认谁履行如下责任：防火墙操作和维护、入侵探测、其他网络或者主机监视、漏洞评

定或者扫描、渗透测试、补丁维护和操作系统更新。

? 访问商业经理、信息技术职员和经理、终端用户、以及来自法律、人力资源和公共关系

的代表，考虑到事件管理和响应，决定这些部门需要什么。

? 随着所有利益相关者的输入，限定了计算机安全响应小组视野或者框架，这包括：计算

机安全响应小组客户、任务、权限、服务、组织模型和需要的员工、装备以及基础设施。 ? 根据视野与框架创建一个计划，使它在组织中，对反馈和意见有效。 ? 根据反馈，随着对任何需要的改变，更新计划。

计算机安全事件响应小组的构建与管理 21

集合信息 集合的关键信息包括： ? 客户有什么要求 ? 必须保护的重要财产是什么 ? 哪些类型的事件经常被报告 ? 存在什么电脑安全问题 ? 需要哪种类型的响应 ? 需要哪种辅助和专家意见？ ? 需要什么方法？ ? 谁要扮演什么角色？ ? 当前有人履行那个角色么？ ? 在通知或者升级进程中，需要谁的加入？ 一旦你开始建立你的视野和框架,作为一种有用的资源和想法,参考其他团队,以及关于事件响应的文档和书籍。

调查同样的组织，它们提供事件处理服务或者组织了计算机安全响应小组。如果你以及和这些组织联系上，看看你能否和他们谈论一些关于他们如何建立他们的团队。如果不能和他们的成员交谈，请参看他们计算机安全响应小组的网站。检查他们的任务、特征、资金安排和服务列表。这会给你一些组织你团队的想法。查阅任何有人可能写的关于计算机安全响应小组或者事件处理的书籍和白皮书。

在CERT计算机安全响应小组开发网页上，可以找到一个资源的初始列表： http://www.cert.org/csirts/resources.html

计算机安全事件响应小组的构建与管理 22

可能有帮助的现有资源 可能提供信息的有效资源 ? 企业和专门商务功能的组织图表 ? 组织性的或者客户系统与网络的布局 ? 关键系统和资产目录 ? 现有灾难恢复或者商业连续性计划 ? 现有的通告组织物理性安全违规的指导 ? 任何现有的事件响应计划 ? 任何母系的或者制度上的关系 这些资源中，许多可能无效，或者没有存在。如果它们有效，并且您能试图接近它们，对这些档案的审阅能够产生双重目的：第一，帮助你评估现有的利益相关者、资源和系统拥有者。第二，提供对现有计算机安全响应小组必须依靠政策的总揽。

作为一个意外收获，你可能会发现，当开发计算机安全响应小组的政策、流程或者文件的时候，这些文件可能含有能被改编的文字内容。它们也可能包含在紧急时刻，必须联系的组织代表的通用报告目录——这些目录的类型可能也会因计算机安全响应小组工作和方法而改变。

计算机安全事件响应小组的构建与管理 23

需要谁的参与： 内部计算机安全响应小组 事件处理不是一个自我约束的过程。必须跨组织的建立关系、交流通道、数据共享协议和政策流程。对于一个内部小组，这包括： ? 商务经理。它们需要理解计算机安全响应小组是什么和它怎么样帮助支持它们的商务过

程。考虑到计算机安全响应小组的覆盖商务系统的权限，以及谁能做决定让重要商务系统必须从网络断开或者关闭，必须签订协议。 ? 来自IT的代表。IT员工和计算机安全响应小组怎么交互？IT员工会采取什么行动？计

算机安全响应小组成员会采取什么行动？IT员工能提供给计算机安全响应小组什么信息？计算机安全响应小组能提供给IT成员什么信息？它们各自都有什么角色和权限？ ? 来自法律部门的代表。在什么时间，用什么方法，法律部门参与到事件响应的作用中？ ? 来自人力资源部门的代表。需要他们参与，为解除被发现参与未授权或者违法计算机活

动的内部职员，而开发政策流程。 ? 来自公共关系的代表。他们必须准备处理任何媒体需求，帮助发展信息公开政策和活动。 ? 任何现有的安全团体，包括物理性的安全团体。计算机安全响应小组需要和这些团体交

换关于计算机事件的信息，并和他们分享解决问题的责任，这包括计算机或者数据盗窃事件。

? 审计和风险管理专家。他们可以帮助发展对客户系统的处理度量与风险。 ? 任何法律执行联络人或者调查人。联系到他们时，他们会了解小组怎样以法律执行工作，

并且明白谁会做调查，甚至法庭鉴定。

? 来自客户的普通代表。他们能够提供对他们需要和需求的解释。

计算机安全事件响应小组的构建与管理 24

需要谁的参与： 协调中心 对于作为协调中心的小组，或者支持一个州、国家、省或者同等政府实体客户的小组——更难决定怎么样与多方参与的组织建立关系。

计算机安全安全事件响应小组仅仅能处理如下特别的组织么？ ? 政府组织 ? 军队组织 ? 重要基础设施 ? 商务组织

或者，计算机安全安全事件响应小组 会从公众接收报告，发布信息？

计算机安全事件响应小组的构建与管理 25

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库安全响应团队的构建与管理(5)在线全文阅读。