安全响应团队的构建与管理(8)

计算机安全响应小组和客户的交互 计算机安全响应小组会向客户提供什么信息？ 客户会向计算机安全响应小组提供什么信息？ 计算机安全响应小组协调中心会和现有客户计算机安全响应小组怎样交互？ 要考虑的一些问题是，计算机安全响应小组协调中心应该对谁，以什么期限发布建议和警报？许多构建的计算机安全响应小组可能已经从其他资源接收到这个信息。

计算机安全事件响应小组的构建与管理 36

计算机安全安全事件响应小组权限 计算机安全安全事件响应小组的权限是什么？ ? 完全的 ? 共享的 ? 没有权限 或者它是其他什么？ ? 非直接权限 ? 根据事件决定的 权限描述了计算机安全响应小组对自己行为和客户行为的控制力，这些行为关系到计算机安全和事件响应。权限是计算机安全响应小组对它服务的组织的最基本的关系。 根据计算机安全响应小组手册（第二版，15页），计算机安全响应小组与它的客户有3个明显等级的权限或者关系：

? 完全——计算机安全响应小组可以在没有管理批准的情况下，做出决定，执行响应和恢

复行动。例如，拥有完全权限的计算机安全响应小组，在入侵攻击时，可能会告知系统管理员从网络断开系统，或者计算机安全响应小组自己断开系统。 ? 共享：在计算机安全事件中，计算机安全响应小组根据要采取的行动，参与决策的过程，

但是只能影响，不能做出决定。

? 无权限——计算机安全响应小组不能独自做出任何决定或者采取任何行动。计算机安全

响应小组只能作为组织的建议者。计算机安全响应小组不能执行任何行动。CERT/CC是一个对其客户——网络共同体没有权限的计算机安全响应小组。

另外一种权限（在计算机安全响应小组手册（第二版）第15页提到）是非直接权限。在这种情况下，计算机安全响应小组会因为其位置，对客户施加压力，使其采取指定的行动。例如一个ISP可能会强迫其客户采取指定的行动或者面对网络服务的不连续。

对于一个在任务中成功的计算机安全响应小组，很重要的是管理层对团队拥有的权限等级的同意和支持，否则，团队会在组织中失去信誉，并不会成功。管理层也应该把计算机安全响应小组的权限，准确清晰的传达给客户——特别是部门经理、系统和网络管理员、以及其他任何在组织的团体。

计算机安全事件响应小组的构建与管理 37

可选计算机安全响应小组模型 计算机安全响应小组怎么样和组织和客户，进行操作与交互？ 模型包括： ? 安全团队 ? 内部分布式团队 ? 内部集中式团队 ? 内部分布集中式结合团队 ? 协调中心 你可能需要不只一个模型 你的模型会随着时间而发展。 这里有几个简单的组织模型。每个计算机安全响应小组模型类型有其优势、弱点和好处。你选择模型要依据于： ? 你的客户位于什么位置 ? 你的团队位于什么位置 ? 你提供什么服务 ? 需要共享什么信息

? 需要采取什么类型的行动 模型定义

安全团队——在这个模型中，组织中没有任何团队或者部分对所有事件处理活动，被授予正式的责任。没有建立计算机安全响应小组。 内部分布式团队——在这个模型中，组织利用现有员工，提供一个虚拟的分布式计算机安全响应小组，它在形式上被特许处理事件响应活动。 内部集中式团队——本模型中，员工为满工，这表明计算机安全响应小组随时对定义客户提供事件处理服务。

内部分步式集中式混合团队——本模型是对集中式计算机安全响应小组和分布式计算机安全响应小组的一个结合。 协调中心——在这个模型中，计算机安全响应小组通过不同的外部组织，对事件处理进行协调和促进。

你可能需要不只一个模型。例如，考虑一个大的，地理分布分散的组织。它可能现场需要本地团队，通过每个区域性的计算机安全响应小组报告给区域性的、集中式的计算机安全响应小组，然后报告给协调中心，协调中心把综合信息送到分析团队，进行对未来趋势和特征的研究。

要记住的重要的一件事是，不能总是一次做所有的事。你会需要递增的增加资源。许多团队开始时，只提供事件处理服务，逐渐成长，引入其他服务和模型，作为资源、预算和支持允许。你的模型需要根据你的任务、优先权、提供的服务或者资助者的变化，随着时间不断改正。

计算机安全事件响应小组的构建与管理 38

你的计算机安全响应小组应该多大？ 根据任务、目标、服务、经验、工作量和成本，大小会不同。 确定你没有一点失败 确保你的计算机安全响应小组员工已经普遍训练过 要理解其他组织的评估可能不适合你的情况。 没有这个问题的简单回答。不同的计算机安全响应小组有不同的员工级别，适合他们的模型。目前没有真的科学研究，仅仅是一些轶闻信息。 量化付出和成本的类型是十分困难的。你必须以你的工作量和资源，作为你决定的依据。永远记住，你从不想有一点失败，所以事件处理投入一个人是永远也不够的。

计算机安全事件响应小组的构建与管理 39

为你的计算机安全事件响应小组获取资金 对你计算机安全事件响应小组资金支持的不同策略 ? 会员订阅 ? 基于费用的服务 ? 契约服务 ? 政府赞助 ? 学术或者研究赞助 ? 母组织资金 ? 财团赞助 ? 以上的混合 会员订阅

? 对一定范围服务的享受，是基于时间的订阅费用。 ? AUSCERT有会员订阅 基于费用的服务

? 对享受的服务付费

? CANCERT和MYCERT有基于费用的服务 契约服务

? 把计算机安全事件响应小组对组织采取外部采购的形式，提供事件处理服务 ? 像IBM,CISCO，许多这样有高度顾问资格的商业组织。 政府赞助

? 政府资助计算机安全事件响应小组 ? REDCERT由美国政府赞助 学术或者研究赞助

? 学校或者研究网络赞助计算机安全事件响应小组 ? DANTE,NORDUNET都是由研究网络赞助的。 母组织资金

? 母组织建立计算机安全事件响应小组并提供资金支持 ? IBM,GE和COMPAQ CSITS都是FIRST的会员 财团赞助

? 团队或者组织、政府授权、大学等等共同资金支持 以上的混合

? CERT/CC是由政府和私人赞助支持的

计算机安全事件响应小组的构建与管理 40

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库安全响应团队的构建与管理(8)在线全文阅读。