企業(yè)安全響應團隊的構建與管理

1、計算機安全事件響應小組協(xié)調(diào)中心（CERT/CC）是由美國防高級研究打算局在1988年10月，一次網(wǎng)絡蠕蟲事件發(fā)生后創(chuàng)立的。CERT/CC位于卡內(nèi)基梅隆大學軟件工程學院（SEI），SEI是一個聯(lián)邦政府資助的研究開發(fā)中心（FFRDC），它是由美國國防部秘書處下屬的采辦、技術和后勤辦公室(OUSD(AT&L)發(fā)起的。CERT/CC的任務是：履行協(xié)調(diào)中心的職責。鼓舞通過網(wǎng)絡社團的合作，取得有效的事件響應。關心其它組織組建響應隊伍，同時引導緊急事件趨勢的研究和分析。部分工作是源起美國陸軍信息作戰(zhàn)局（LIWA）和美國國防信息系統(tǒng)局（DISA）.CSIRTS的創(chuàng)建與治理簡介創(chuàng)建一個有效率的計算機安全事件響應

2、小組計算機安全事件響應小組的構成操作性治理問題事件處理行動總結簡介創(chuàng)建一個有效的計算機安全事件響應小組什么是計算機安全事件響應小組？計算機安全事件響應小組做些什么？計算機安全事件響應小組的通常種類培養(yǎng)你的視野執(zhí)行建議計算機安全事件響應小組構成贊助者任務資金組織問題服務政策和程序資源操作性治理問題計算機安全事件響應小組職員問題治理計算機安全事件響應小組基礎設施計算機安全事件響應小組效率的評估應急處理行為危險信息篩選協(xié)調(diào)響應總結提交人：GEORGIA KILLCRECEROBIN RUEFLEMARK ZAJICEK CERT CSIRT開發(fā)小組 網(wǎng)絡系統(tǒng)可生存性 軟件工程學院 卡內(nèi)基梅隆大學 /

3、csirt/目的我們?yōu)槟峁河嬎銠C安全事件響應小組的目的和構成的介紹組建一個計算機安全事件響應小組的差不多原理計算機安全事件響應小組的好處必備條件和框架服務種類和標準必須的政策和流程協(xié)作和通訊對希望計算機安全事件響應小組治理者和職員應該處理的工作類型，有一定的熟悉。介紹應急處理方法和應急響應行為的本質(zhì)。本指南呈現(xiàn)了對治理、組織上和程序問題的高水平概述，它包含了創(chuàng)建和運行一個計算機緊急事件響應小組的問題。本節(jié)會對計算機應急響應小組的目的和結構做一個介紹。這包括：組建一個計算機安全事件響應小組的差不多原理計算機安全事件響應小組的好處組建一個有效的計算機安全事件響應小組的必備條件和框架計算機安全事

4、件響應小組能夠提供的服務種類和標準計算機安全事件響應小組應該建立和這行的必須政策和流程在小組內(nèi)和小組間，協(xié)作和通訊的重要性本節(jié)會對計算機安全事件響應小組治理者和職員應該處理的工作類型，做一些熟悉。同時會對緊急事件處理方法和緊急事件響應行為的本質(zhì)做一些介紹。專門的主題會包括：確定危險信息提供熱線和篩選功能協(xié)調(diào)響應治理計算機安全事件響應小組基礎設施愛護計算機安全事件響應小組數(shù)據(jù)雇傭計算機安全事件響應小組職員適用讀者各類計算機安全應急響應小組的治理者以后的新的現(xiàn)有的其它需要對計算機安全事件響應小組治理問題，想要有了解的個人負責創(chuàng)建計算機安全事件響應小組的個人對學習關于計算機安全事件響應小組更多知識有

5、興趣的個人本指南為治理者和其它有興趣的職員設計，提供包括創(chuàng)建和運行計算機安全事件響應小組問題的綜述，同時提供必要的決策，確保你的計算機安全事件響應小組職員，對計算機安全事件響應小組的客戶提供適當?shù)姆?。負責?chuàng)建計算機安全事件響應小組的個人可能包括：首席信息官（CIO）首席安全官（CSO）治理者項目領導項目小組成員其它有利害關系或者相關部分其它對更多關于計算機安全事件響應小組工作有興趣的成員，可能包括法律人員人力資源現(xiàn)行安全人員系統(tǒng)和網(wǎng)絡治理員公共關系人員上層治理風險治理和審計人員客戶成員本指南不需要有處理應急事件的經(jīng)驗。課程材料的應用所有的計算機安全事件響應小組都不一樣每個小組應該由他們依照各

6、自獨特的環(huán)境，提供的服務類型和實質(zhì)，做出決定、課程中的例子和建議反映了什么對計算機安全事件響應小組有好處遇到的缺陷和益處注意到不是所有的計算機安全事件響應小組差不多上相似的。我們不能對您的計算機安全事件響應小組的獨特問題最好的解決方案，給出決定性的答案。將團隊的標準，應用到不同的情況中。中。記住這條信息，并在你的組織的工作中應用。創(chuàng)建和治理計算機安全事件響應小組簡介創(chuàng)建一個有效的計算機安全事件響應小組計算機安全事件響應小組構成操作性治理問題事件處理行為總結動機建立計算機安全安全事件響應小組的促進因素包括計算機安全安全事件報告的數(shù)量、受計算機安全安全事件阻礙的組織類型和數(shù)量，普遍增長各組織更加集

7、中的意識到對安全政策的需要，并把它作為全面風險治理政策的一部分而實行。新的法規(guī)法令對各組織如何樣需要愛護信息財產(chǎn)產(chǎn)生阻礙系統(tǒng)和網(wǎng)絡治理員單獨的運作，不能愛護組織系統(tǒng)和資產(chǎn)需要實現(xiàn)預先的打算和政策因特網(wǎng)本身差不多成為基礎設施，因此必須愛護它，保證可靠穩(wěn)定的服務。網(wǎng)絡和系統(tǒng)治理員沒有適當?shù)娜藛T和行動阻擋攻擊和最小化損害介紹新的規(guī)則和標準，確保對數(shù)據(jù)的愛護和審計。這會對一個組織需要的安全政策和流程產(chǎn)生阻礙。如下方面的改變組織數(shù)據(jù)愛護需求當?shù)鼗蛘邍曳芍贫壬系囊?guī)定差不多迫切需要把安全意識定位到企業(yè)級不。在美國的一些例子包括：1999年的GRAMM LEACH BLILEY法案（GLBA，即眾所周知的

8、金融服務現(xiàn)代化法案）要求金融機具有客戶隱私政策和信息安全程序健康保險便利及責任法案(HIPAA)包括愛護關于健康組織的確定類型健康信息的隱私和完整性的要求聯(lián)邦信息安全治理法案(FICMA)2002年電子政務法案的一部分，要求美國聯(lián)邦政府機構有責任確保各自系統(tǒng)的信息安全，其中包括執(zhí)行每年一次的獨立評估。依照此法案，所有美國聯(lián)邦機構也要求建立應急響應能力和程序，用來發(fā)覺、報告和響應安全應急事件。要保證您組織的信息資產(chǎn)安全，需要多層面的努力。沒有一種行為或者解決方案是萬能的。事件報告正在增多上面是提交到計算機安全事件應急小組的報告。在以后幾年中，網(wǎng)絡社會在網(wǎng)絡安全方面會遇到的問題能夠用如下幾條概括因

9、特網(wǎng)的用戶和公司的數(shù)量正在增長賣方產(chǎn)品進展和測試圈正在減少運行在因特網(wǎng)上客戶端和服務器上的協(xié)議和應用程序的復雜性正在增長有許多信息基礎設施有全然性安全設計問題的不能快速解決入侵技術正在增長攻擊、入侵工具和工具包的的復雜化正在增長計算機安全入侵數(shù)量正在增長入侵效率正在增長（知識正在被傳遞到缺少知識的入侵者，因此使入侵更有效）擁有安全知識和專門基數(shù)的人數(shù)正在增長，然而遠比因特網(wǎng)用戶的數(shù)量增長速度小。有效的安全工具數(shù)正在增長，然而其不必要和軟件、系統(tǒng)和網(wǎng)絡復雜性的增長一樣快。事件響應小組的數(shù)量正在增長，然而事件響應人數(shù)對網(wǎng)絡用戶的比率正在減少。報告至CERT/CC的漏洞數(shù)的增長漏洞：漏洞確實是一組狀

10、態(tài)，使得對外在或者內(nèi)在安全策略的違反，成為可能。漏洞可能是軟件缺陷、配置或者設計結果、在系統(tǒng)間，或者環(huán)境變化間不希望的交互作用。例子如下：phf（按照用戶“nobody”的遠程命令執(zhí)行）rpc.ttdbserverd(按照根用戶的遠程命令執(zhí)行)全局可寫的密碼文件（系統(tǒng)評估數(shù)據(jù)的編輯）默認密碼（遠程命令執(zhí)行或者其它訪問）對降格服務引起的服務問題的拒絕在軟件或者協(xié)議中的緩存器溢出（BIND，發(fā)送郵件、FTP、TCP等等）要認識到重要的一點是，從漏洞的發(fā)覺到爆發(fā)時刻變得越來越短。周天小時分鐘。什么是計算機安全應急響應小組一個組織或者團隊，對規(guī)定的用戶，提供服務并對計算機安全安全事件的防止和響應給予支

11、持。 要保持您組織信息資產(chǎn)的安全，需要一個多層面的方法。 沒有一種行為或者解決方案是萬能的。組建一個計算機安全應急響應小組成是一個層面, 還要執(zhí)行安全配置、安全意識訓練和外部、內(nèi)部的防護， 積極的協(xié)同響應始終是必須的，然而我們也必須快速行動，正確實施其它方案，取得如下的效果：擁有安全機制的更高質(zhì)量的信息技術產(chǎn)品，更好的符合今天系統(tǒng)治理員和用戶的知識、技術以及能力。擴展研究項目，領導計算機安全上的基礎性的進步。大量的技術專家，擁有愛護大型復雜系統(tǒng)所需的技術。計算機空間中，利益相關者對數(shù)據(jù)安全事務、漏洞和威脅的不斷增長和前進的意識與理解。 就像一個消防隊，一個計算機安全應急響應小組能夠執(zhí)行反應的和

12、主動反應的服務。消防隊對火災進行響應并撲滅之。他們也會預先有預備的，提供火災預防訓練，促進煙霧警報器的安裝、防火梯的購買并指導家庭用最正確的方式安全撤離燃燒的建筑物。 CERT/CC的經(jīng)驗是，在一次入侵發(fā)生后，專門多組織第一次開始考慮如何樣處理計算機安全安全事件。 出現(xiàn)了各種縮寫，用來指明不同的響應小組。那個地點列出除CSIRTS以外的一些例子：CERT計算機事件響應小組CSIRC計算機安全事件響應能力CIRT計算機事件響應小組CIRC計算機事件響應能力IRT事件響應小組SERT安全應急響應小組SIRT安全事件響應小組方法與技術事件處理不僅僅是以技術的應用，來解決計算機安全事件。它是行動打算的

13、進展它是為如下而進行的方法的建立：通告和通訊合作和協(xié)調(diào)分析和響應計算機安全事件響應小組的好處反應性集中的響應努力更高速和標準化的響應擁有事件處理經(jīng)驗的穩(wěn)定的團隊主干，并具有有用商務知識。在安全社團中，同其它人的協(xié)調(diào)。主動性支持組織性的商業(yè)目標提供可信的風險數(shù)據(jù)和商業(yè)情報提供產(chǎn)品開發(fā)圈或者網(wǎng)絡操作的接口對履行漏洞評定、進展安全策略和提供意識訓練上，提供關心。 即使最好的信息安全基礎，也不能保證不發(fā)生入侵或者其它惡意行為。特不重要的是，當發(fā)生計算機安全事件時，組織應該具有響應的有效方法。組織能夠識不、分析以及對事件的響應的速度，會限制造成的損害，并降低恢復的成本。 計算機安全響應小組能夠現(xiàn)場指揮快

14、速的響應，牽制和恢復一個計算機安全事件。計算機安全響應小組也許會對被危害的系統(tǒng)專門熟悉，因此能更快的協(xié)調(diào)恢復并提出緩解和響應的策略。他們和其它計算機安全響應小組和安全組織的關系，能夠專門方便的分享響應策略，對潛在的問題作出較早的警報。 計算機安全響應小組開始于以響應為目的的組織，然而現(xiàn)今在差不多進展成一般意義上的，主動防備并愛護組織和網(wǎng)絡社會重要資產(chǎn)的組織。這種主動的工作包括提供安全意識和教育服務，阻礙力政策以及研究組和信息交換的協(xié)調(diào)。它還包括對入侵趨勢的分析，并摸索出對變化環(huán)境的更好理解，以便響應愛護、緩解和響應策略能夠被進展并傳播。 計算機安全響應小組能夠和組織的其它部門一起工作，保證新的

15、系統(tǒng)能夠以意識中的安全進展和運行，同時和任一方的安全政策保持一致。他們能夠關心確定組織的漏洞區(qū)域，有時能夠執(zhí)行漏洞評定和事件探測。計算機安全響應小組做些什么？通常，一個計算機安全響應小組提供一個單獨的聯(lián)系點，來報告本地問題確定和分析發(fā)生了什么，其中包括沖擊和威脅。研究解決方案和緩解策略分享響應選項、信息和學習到的課程。計算機安全響應小組的目標是：最小化和操縱損害提供或者輔助進行有效的響應和恢復關心防止以后再發(fā)生對每個人來講，沒有一個單獨的團隊能承擔一切！ 計算機安全響應小組和一個IT部門中的安全小組不同。 安全小組履行每天的組織的網(wǎng)絡和系統(tǒng)監(jiān)視。它的責任是保持系統(tǒng)的更新，安裝補丁，為減少事件的

16、發(fā)生而工作。 計算機安全響應小組能夠把這些工作作為他們的一部分，但同時也會按照一個事件信息的倉庫來服務，是一個事件報告和分析的中心，是一個事件響應跨組織的協(xié)調(diào)中心。這種協(xié)調(diào)功能甚至能夠延伸到組織外，包括和其它團隊和法律執(zhí)行機構的合作。一般計算機安全響應小組分類一般計算機安全響應小組種類包括內(nèi)部計算機安全響應小組(internal csirt)對他們的母組織提供事件處理服務，這可能是銀行、大學或者聯(lián)邦機構的計算機安全響應小組。協(xié)調(diào)中心(coordination center)跨不同計算機安全響應小組，或對一個特定的國家、州、研究網(wǎng)絡、或者其它如此的實體，協(xié)調(diào)和促進對事件的處理。通常會有更大的范圍

17、和更多樣的客戶。分析中心(analysis center)要緊從各種資源中，綜合數(shù)據(jù)，測定事件活動種的趨勢和特征。隨后，能夠用這些信息關心預測以后的活動，或當當前活動符合一組先前測定的特征時，提供早期警報。商家(vendor)和報告、追蹤漏洞的組織合作；另外一種類型的商家可能會對他們自己的組織提供內(nèi)部事件處理服務。事件響應提供商(incident response provider)把事件處理服務作為產(chǎn)品，提供給其它組織。這有時指安全治理服務提供商（MSSPS）計算機安全響應小組進展時期時期1訓練組織(education)時期2工作打算(planning)時期3初始化執(zhí)行(implementa

18、tion)時期4 運作狀態(tài)(operation)時期5平級合作(collaboration) 此框圖顯示了依照CERT CSIRT 反展小組的計算機安全響應小組的反展時期。 在時期1，組織想要組建一個團隊，然而不真正明白計算機安全響應小組是什么，做什么。組織需要通過這些意識訓練，學習實現(xiàn)一個團隊的不同方法。 在時期2，組織具有了一些計算機安全響應小組的知識，開始確定和分析要打算實現(xiàn)計算機安全響應小組遇到的不同問題。 在時期3，組建了計算機安全響應小組，并開始提供服務。要開始運作，應該擁有一個確定的顧客群、任務和服務、初始的團隊和訓練、草擬標準操作規(guī)程和一個安全基礎設施。 在時期4，計算機安全響

19、應小組要處理事件，并有6個月到1年的運作。 在時期5，計算機安全響應小組成為一個成熟的團隊。它差不多存在了二年或者更長，在事件處理上，差不多有了相當?shù)慕?jīng)驗。他們成為和其它計算機安全響應小組同起同坐的合作者。 專門重要的一點是，要認識到你也許差不多在一個更高級的時期，但依舊需要回過頭，重新審視早些的時期，確認你正在朝著正確的路線前進。 在那個連續(xù)過程中，你把你自己（你的計算機安全響應小組）擺放到什么位置？ 你從前處理過計算機安全事件么？創(chuàng)建一個有效的計算機安全響應小組要有效，一個計算機安全響應小組需要四個差不多元素可操作的框架服務和策略框架質(zhì)量保證框架適應變化的環(huán)境和變化的威脅形式的能力。操作框

20、架清晰的任務規(guī)定的客戶組織基地和其它組織團隊的正式關系服務和政策框架明確的服務明確的信息流定義搜集,記錄,追蹤和取得信息的方法清晰的,容易理解的組織范圍的政策有效的質(zhì)量保證行動定義一個質(zhì)量系統(tǒng)專門的對質(zhì)量參數(shù)的測量和檢查方法報告和審查行動與流程保證質(zhì)量級不的結算,遵守和自動調(diào)整流程客戶和顧客的反饋適應性和靈活性跟上變化的技術的能力適應實時威脅以后緊急威脅的能力法律建議和支持建立你的視野 您計算機安全響應小組框架的差不多組成，或者講建筑磚石，組成您計算機安全響應小組的視野。這些元素包括：顧客您為誰服務任務您做什么？您的目的？服務如何樣完成您的任務。如何為你的顧客服務你處理的事件類型你執(zhí)行的行動類

21、型組織結構你如何操作？它是如何結合在一起的？資源你需要什么資源去執(zhí)行您的任務？資金你如何償付它？以上所有的差不多上由資金支持的。治理和客戶買入沒有這點，它不能成功。這是視野立足的全然。 計算機安全響應小組的各元素互相阻礙，并因此阻礙到您的設計。例如，您的任務會受到您客戶和需求的阻礙。你的資源和如何樣分配他們會阻礙你需要的組織模型、你能提供的服務和你執(zhí)行任務的好壞。 在確定您的視野或者框架的時候，你需要考慮所有這些元素，并試圖找到他們中間的平衡。需要做什么？建立一個響應打算結合到現(xiàn)有的方法和組織結構中加強和提高客戶有效治理計算機安全事件的能力作為愛護和確保重要商務功能和資產(chǎn)的全面策略的一部分訓練

22、職員，使其對以下2種情況都能確認威脅對商務功能的阻礙和范圍適當?shù)木徑夂突謴头桨笀?zhí)行建議得到治理買入和組織的同意要和母組織或者客戶組織策略與商務目標一致。選擇一個計算機安全響應小組進展項目小組。在整個進程種保持交流從小起步，不斷成長。只要合適，就利用現(xiàn)有的（再利用是專門好的） 應該建立一個有權限決定的計算機安全響應小組打算小組項目領導。那個項目小組應該代表相關的團體和組織。 所有利益相關者和客戶代表應該通過執(zhí)行，從初始的打算時期，就參與計算機安全響應小組的進展中。 在商業(yè)或者教育組織中，這可能包括法律顧問、公共關系和市場人員、部門經(jīng)理、安全人員、系統(tǒng)和網(wǎng)絡治理員、文案助理人員、高層治理，甚至可能

23、是設備人員。 專門難決定利益相關者是誰、什么時刻建立協(xié)調(diào)中心或者國家級小組。一旦你選擇或者限定了要服務的客戶，這其中一些可能會確定。 早加入，就能夠以一個初始的市場付出為您的計算機安全響應小組工作，這會開始建立意識。 治理買入必須包括提供人員、時刻和資金。 計算機安全響應小組的結構和任務，必須建立在母組織或者客戶組織安全策略和商務目標的基礎上。 在整個過程中，確定每個人明白發(fā)生了什么和什么緣故發(fā)生。 盡可能的利用存在的資源和安全策略與政策。例如，假如在您的組織有一個物理的安全侵犯當前通知了誰？緊接著會有什么步驟？關于一個電子侵犯，您能利用存在的政策，創(chuàng)建一個政策么？老的政策能覆蓋所有的侵犯的類

24、型么？ 不管外部的依舊內(nèi)部的，要希望于差不多存在的。和其它小組談話，找出什么對他們的工作有好處。依照你組織的結構和任務，它也可能有效。差不多執(zhí)行步驟搜集信息創(chuàng)建打算，獵取打算中的反饋確認計算機安全響應小組的顧客確認和獵取人員裝備和基礎設施資源決定計算機安全響應小組的任務開發(fā)政策和程序為計算機安全響應小組的操作獵取資金 訓練您計算機安全響應小組職員和客戶決定計算機安全響應小組范圍和服務等級通告計算機安全響應小組確認和客戶關鍵部分的交互傳達您的任務和服務確認交互的任務和責任獲得反饋回憶并提高計算機安全響應小組框架 請記住，特不重要的一點是，要得到治理和客戶買入與支持。 必須用內(nèi)在的和外部通訊方法，

25、讓客戶和其它利益相關者理解執(zhí)行，并也提供對打算的審查和反饋的機制。 當計算機安全響應小組預備操作時，應該發(fā)表通告。所有的客戶應該理解他們和計算機安全響應小組的交互應該是什么，這包括什么事件、如何聯(lián)系和報告計算機安全響應小組異常情況和事件活動。內(nèi)部計算機安全響應小組的步驟從治理層得到承認和支持隨著利益相關者的輸入，決定了確認誰需要加入計算機安全響應小組任務有治理層發(fā)出的通告 計算機安全響應小組范圍和服務等級選擇一個項目小組計算機安全響應小組報告結構，權限和 組織模型搜集信息確定交互的角色和責任研究其它組織正在做什么創(chuàng)建一個基于視野或者框架的打算確認存在的進程和職員數(shù)獵取打算的反饋訪問重要利益相關

26、者和參與者公布計算機安全響應小組得到反饋 列舉在一個組織中，內(nèi)部計算機安全響應小組的步驟：得到對計算機安全響應小組的承認和支持并執(zhí)行項目；包括資金、資源、項目小組和職員中參與的其它人的時刻。確定在打算和執(zhí)行進程中，需要誰的加入。上層治理要有一個通告的發(fā)送（CEO及其等同地位的，或者CIO及其等同地位的），對組織解釋，計算機安全響應小組正在打算的，和將要遵照執(zhí)行的差不多方法。選擇一個項目小組研究其它組織在創(chuàng)建一個計算機安全響應小組時做什么，并研究存在什么最好的行動和指導。從現(xiàn)有的組織圖標，網(wǎng)絡布局、安全策略、制度規(guī)章和規(guī)則，從現(xiàn)有的災難恢復或者事件應急打算、現(xiàn)有的商業(yè)連續(xù)性打算和重要系統(tǒng)與網(wǎng)絡資

27、產(chǎn)詳細目錄中，搜集信息。訪問商業(yè)經(jīng)理、信息技術職員和經(jīng)理、以及終端用戶，理解對處理計算機安全事件的當前方法。確認誰履行如下責任：防火墻操作和維護、入侵探測、其它網(wǎng)絡或者主機監(jiān)視、漏洞評定或者掃描、滲透測試、補丁維護和操作系統(tǒng)更新。訪問商業(yè)經(jīng)理、信息技術職員和經(jīng)理、終端用戶、以及來自法律、人力資源和公共關系的代表，考慮到事件治理和響應，決定這些部門需要什么。隨著所有利益相關者的輸入，限定了計算機安全響應小組視野或者框架，這包括：計算機安全響應小組客戶、任務、權限、服務、組織模型和需要的職員、裝備以及基礎設施。依照視野與框架創(chuàng)建一個打算，使它在組織中，對反饋和意見有效。依照反饋，隨著對任何需要的改

28、變，更新打算。集合信息集合的關鍵信息包括：客戶有什么要求必須愛護的重要財產(chǎn)是什么哪些類型的事件經(jīng)常被報告存在什么電腦安全問題需要哪種類型的響應需要哪種輔助和專家意見？需要什么方法？誰要扮演什么角色？當前有人履行那個角色么？在通知或者升級進程中，需要誰的加入？ 一旦你開始建立你的視野和框架,作為一種有用的資源和方法,參考其它團隊,以及關于事件響應的文檔和書籍。調(diào)查同樣的組織，它們提供事件處理服務或者組織了計算機安全響應小組。假如你以及和這些組織聯(lián)系上，看看你能否和他們談論一些關于他們?nèi)绾谓⑺麄兊膱F隊。假如不能和他們的成員交談，請參看他們計算機安全響應小組的網(wǎng)站。檢查他們的任務、特征、資金安排和

29、服務列表。這會給你一些組織你團隊的方法。查閱任何有人可能寫的關于計算機安全響應小組或者事件處理的書籍和白皮書。在CERT計算機安全響應小組開發(fā)網(wǎng)頁上，能夠找到一個資源的初始列表： HYPERLINK /csirts/resources.html /csirts/resources.html可能有關心的現(xiàn)有資源可能提供信息的有效資源企業(yè)和專門商務功能的組織圖表組織性的或者客戶系統(tǒng)與網(wǎng)絡的布局關鍵系統(tǒng)和資產(chǎn)目錄現(xiàn)有災難恢復或者商業(yè)連續(xù)性打算現(xiàn)有的通告組織物理性安全違規(guī)的指導任何現(xiàn)有的事件響應打算任何母系的或者制度上的關系 這些資源中，許多可能無效，或者沒有存在。假如它們有效，同時您能試圖接近它們，

30、對這些檔案的批閱能夠產(chǎn)生雙重目的：第一，關心你評估現(xiàn)有的利益相關者、資源和系統(tǒng)擁有者。第二，提供對現(xiàn)有計算機安全響應小組必須依靠政策的總攬。 作為一個意外收獲，你可能會發(fā)覺，當開發(fā)計算機安全響應小組的政策、流程或者文件的時候，這些文件可能含有能被改編的文字內(nèi)容。它們也可能包含在緊急時刻，必須聯(lián)系的組織代表的通用報告目錄這些目錄的類型可能也會因計算機安全響應小組工作和方法而改變。需要誰的參與：內(nèi)部計算機安全響應小組 事件處理不是一個自我約束的過程。必須跨組織的建立關系、交流通道、數(shù)據(jù)共享協(xié)議和政策流程。關于一個內(nèi)部小組，這包括：商務經(jīng)理。它們需要理解計算機安全響應小組是什么和它如何樣關心支持它們

31、的商務過程?？紤]到計算機安全響應小組的覆蓋商務系統(tǒng)的權限，以及誰能做決定讓重要商務系統(tǒng)必須從網(wǎng)絡斷開或者關閉，必須簽訂協(xié)議。來自IT的代表。IT職員和計算機安全響應小組如何交互？IT職員會采取什么行動？計算機安全響應小組成員會采取什么行動？IT職員能提供給計算機安全響應小組什么信息？計算機安全響應小組能提供給IT成員什么信息？它們各自都有什么角色和權限？來自法律部門的代表。在什么時刻，用什么方法，法律部門參與到事件響應的作用中？來自人力資源部門的代表。需要他們參與，為解除被發(fā)覺參與未授權或者違法計算機活動的內(nèi)部職員，而開發(fā)政策流程。來自公共關系的代表。他們必須預備處理任何媒體需求，關心進展信息

32、公開政策和活動。任何現(xiàn)有的安全團體，包括物理性的安全團體。計算機安全響應小組需要和這些團體交換關于計算機事件的信息，并和他們分享解決問題的責任，這包括計算機或者數(shù)據(jù)盜竊事件。審計和風險治理專家。他們能夠關心進展對客戶系統(tǒng)的處理度量與風險。任何法律執(zhí)行聯(lián)絡人或者調(diào)查人。聯(lián)系到他們時，他們會了解小組如何樣以法律執(zhí)行工作，同時明白誰會做調(diào)查，甚至法庭鑒定。來自客戶的一般代表。他們能夠提供對他們需要和需求的解釋。需要誰的參與：協(xié)調(diào)中心 關于作為協(xié)調(diào)中心的小組，或者支持一個州、國家、省或者同等政府實體客戶的小組更難決定如何樣與多方參與的組織建立關系。計算機安全安全事件響應小組僅僅能處理如下特不的組織么？

33、政府組織軍隊組織重要基礎設施商務組織或者，計算機安全安全事件響應小組會從公眾接收報告，公布信息？從哪里開始？什么差不多就緒？創(chuàng)建專門技術矩陣專業(yè)技術有什么？什么工具差不多就緒？集體攻關與討論設計工作量需要的響應和通告策略隨著計算機安全響應小組的增加，需要做什么改變？計算機安全響應小組如何樣適應任何災難恢復或者商務連續(xù)性打算？執(zhí)行培養(yǎng)職員和方法制定臨時打算制定長期打算其它涉及的問題包括差不多有一個現(xiàn)有的追蹤系統(tǒng)，你必須要結合么？有特定的組織需要和政策，你必須要遵守么？有服務等級協(xié)議，你必須遵守么？獲得一致同意計算機安全響應小組的定義任務服務角色和責任權限計算機安全事件的定義分級優(yōu)先權自動調(diào)整標準

34、 什么是計算機安全事件？ 通常的定義可能包括：任何真實的，或者被懷疑的，關系到計算機系統(tǒng)或者計算機網(wǎng)絡安全的不利事件。違反顯式或者隱式安全政策的行為 計算機安全響應小組需要建立標準，不僅僅定義計算機安全事件的組成，也定義了它如何樣被處理。那個定義能夠是一個安全政策中的概述；它也應該包括在事件報告指導中。組織的必須愛護的重要資產(chǎn)，也應該被定義。 計算機安全事件的例子包括：獲得未授權的路徑，訪問系統(tǒng)或者其數(shù)據(jù)的成功（失?。┑钠髨D。不希望的服務終端或者拒絕對進程或者數(shù)據(jù)存儲的未授權的系統(tǒng)應用沒有所有者的同意，改變系統(tǒng)計算機病毒的發(fā)生通過對計算機系統(tǒng)范圍的網(wǎng)絡，進行探測或者掃描漏洞。共同問題失敗于：包

35、括所有的參與團體取得一致意見進展全面的視野和框架大綱、檔案政策和流程組織斗爭具有太多服務不現(xiàn)實的展望或者預測時刻、職員和資金的缺乏計算機安全響應小組的創(chuàng)建與治理介紹創(chuàng)建一個有效的計算機安全響應小組計算機安全響應小組構成操作性治理問題事件處理活動總結計算機安全響應小組構成客戶任務組織問題資金服務政策流程資源（在后面一節(jié)討論）作為資源的職員、裝備和基礎設施，會在本文的操作性治理問題一節(jié)做討論。定義你的客戶依照你的項目，你的客戶可能差不多被定義假如還沒有定義你的客戶，你需要決定它是誰，是什么?？蛻舳x完或者之前，需要致力于什么問題？ 要理解你的客戶會關心你決定他們有什么需要，需要愛護什么資產(chǎn)和對你的

36、計算機安全響應小組的需要會是什么。利用那個信息會關心你決定，你不得不提供什么服務，什么類型的組織模型會適合所需服務的提交。 定義你的客戶也會在你的團隊開始操作時，關心你圈定你的工作。它會關心你決定你要處理什么需求，決定你會傳遞到其它計算機安全響應小組或者相關團體什么請求。 有些團體可能差不多定義了他們的客戶。例如，在一個小商務團體中的計算機安全響應小組，專門可能會把此商務團體的雇員作為他們的客戶。此外，可能不容易定義一個客戶群。大學中的計算機安全響應小組，會把不同系的系統(tǒng)和網(wǎng)絡治理員，或者包括所有教職職員和學生的整個大學人口作為他們的客戶。關于一個大學計算機安全響應小組，它應該決定寫什么級不的

37、警報和建議，并作出什么類型的響應。 如前所述，關于國家，州的團隊，或者關于協(xié)調(diào)中心，定義客戶是困難的。然而這是必須做的情況，因為它阻礙到在打算進程中，誰會參與和要提供什么類型的服務。那個問題必須涉及協(xié)調(diào)中心或者國家團隊需要與誰工作和合作。他們向誰發(fā)送通告、警報和其它信息？ 那個地點面可能有其它政府機構、重要基礎設施組織、軍隊機構或者寬敞群眾。每個客戶會有各自的需求。決定你的任務在你的計算機安全響應任務小組任務書中，你應該定義你的任務。請求注解（RFC）2350規(guī)定你的任務應該：解釋你團隊的目的突出團隊的核心目標目的一些差不多問題計算機安全響應任務小組的要緊目的是恢復系統(tǒng)或者搜集證據(jù)？計算機安全

38、響應任務小組會執(zhí)行： 法庭鑒定任務么？ IDS或者防火墻維護么？ RFC2350，計算機安全響應期望，是一個因特網(wǎng)最優(yōu)當前實現(xiàn)（BCP）文檔（提供關于計算機安全響應小組客戶和一般網(wǎng)絡社團，需要明確定義和講明的主題與事件的信息）（FRC2350，摘要） 一些計算機安全響應小組以圖標的形式，進展了更為廣泛的陳述，概括了他們的任務、客戶、主辦人和權限。（RFC2350，節(jié)3.3）RFC的URL是 HYPERLINK /rfc/rfc/rfc2350.txt /rfc/rfc/rfc2350.txt 依照計算機安全響應小組手冊第二版（1011頁），你的任務講明應該：不要不明確用至少三個或者四個句子“計

39、算機安全響應小組負責”指明任務。假如團隊圈定在一個較大組織內(nèi)，或者由一個外部實體融資，計算機安全響應小組任務講明必須補充上這些組織的任務。要遇到的問題可能包括：如何面對公眾把計算機安全響應小組當作計算機警察的理解？假如你的任務和組織其它部分的另外一個任務交疊，應該如何做？組織層次要遇到的一些問題：在組織中，計算機安全響應小組適應于哪里？計算機安全響應小組向誰報告？ 以上問到的兩個問題相互依靠。計算機安全響應小組向誰報告依據(jù)于它在組織中位于什么位置，反之亦然。 計算機安全響應小組應該在IT或者無線通訊部門、安全團隊或者自成一體。計算機安全響應小組應該報告給CIO、CEO、CSO或者其它部門領導。

40、 專門重要的是，要考慮到事件處理和響應時，計算機安全響應小組需要采取什么行動，考慮需要什么類型的治理支持，協(xié)助這些行動。確認如此的問題，建議應該有正確的匯報或者治理結構。 CERT/CC指導了14個計算機安全響應小組的非正式調(diào)查他們中的多數(shù)指出，他們的事件處理能力位于母公司的信息技術部門（IT）。我們沒有什么緣故會如此的信息。它可能和方便或者專家意見有關。它也可能是一個策略上的決定。 計算機安全響應小組的權限定義是由上面列舉的最初的兩欄聯(lián)合決定的。計算機安全響應小組有多少權限，決定事件響應、恢復和安全防護，會由在組織結構中，它的位置和計算機安全響應小組向誰報告阻礙。計算機安全響應小組和企業(yè)的交

41、互計算機安全響應小組如何樣和任何信息技術部門交互？計算機安全響應小組如何樣適應于：改變治理方法軟件安裝和更新進程計算機安全響應小組如何樣和調(diào)查或者法律執(zhí)行團隊合作？計算機安全響應小組如何樣對像防火墻或者IDS的外部和內(nèi)部防護改變做建議？報告結構國家、州或者同級計算機安全響應小組要考慮的一些問題：誰作為計算機安全響應小組寄主？誰由計算機安全響應小組支持？誰向計算機安全響應小組報告事件和信息？誰接收計算機安全響應小組通告和信息？ 團隊作為協(xié)調(diào)中心或者支持州、國家、省或者同樣政府實體客戶的團隊，會更難決定多方參與組織的關系如何建立。 計算機安全響應小會組僅僅處理如下的特不組織么？政府組織軍隊組織重要

42、基礎設施商務組織或者計算機安全響應小組會和公眾進行信息報告和發(fā)送么？計算機安全響應小組和客戶的交互計算機安全響應小組會向客戶提供什么信息？客戶會向計算機安全響應小組提供什么信息？計算機安全響應小組協(xié)調(diào)中心會和現(xiàn)有客戶計算機安全響應小組如何樣交互？ 要考慮的一些問題是，計算機安全響應小組協(xié)調(diào)中心應該對誰，以什么期限公布建議和警報？許多構建的計算機安全響應小組可能差不多從其它資源接收到那個信息。計算機安全安全事件響應小組權限計算機安全安全事件響應小組的權限是什么？完全的共享的沒有權限或者它是其它什么？非直接權限依照事件決定的 權限描述了計算機安全響應小組對自己行為和客戶行為的操縱力，這些行為關系到

43、計算機安全和事件響應。權限是計算機安全響應小組對它服務的組織的最差不多的關系。 依照計算機安全響應小組手冊（第二版，15頁），計算機安全響應小組與它的客戶有3個明顯等級的權限或者關系：完全計算機安全響應小組能夠在沒有治理批準的情況下，做出決定，執(zhí)行響應和恢復行動。例如，擁有完全權限的計算機安全響應小組，在入侵攻擊時，可能會告知系統(tǒng)治理員從網(wǎng)絡斷開系統(tǒng)，或者計算機安全響應小組自己斷開系統(tǒng)。共享：在計算機安全事件中，計算機安全響應小組依照要采取的行動，參與決策的過程，然而只能阻礙，不能做出決定。無權限計算機安全響應小組不能獨自做出任何決定或者采取任何行動。計算機安全響應小組只能作為組織的建議者。計

44、算機安全響應小組不能執(zhí)行任何行動。CERT/CC是一個對其客戶網(wǎng)絡共同體沒有權限的計算機安全響應小組。 另外一種權限（在計算機安全響應小組手冊（第二版）第15頁提到）是非直接權限。在這種情況下，計算機安全響應小組會因為其位置，對客戶施加壓力，使其采取指定的行動。例如一個ISP可能會強迫其客戶采取指定的行動或者面對網(wǎng)絡服務的不連續(xù)。 關于一個在任務中成功的計算機安全響應小組，專門重要的是治理層對團隊擁有的權限等級的同意和支持，否則，團隊會在組織中失去信譽，并可不能成功。治理層也應該把計算機安全響應小組的權限，準確清晰的傳達給客戶特不是部門經(jīng)理、系統(tǒng)和網(wǎng)絡治理員、以及其它任何在組織的團體?？蛇x計算

45、機安全響應小組模型計算機安全響應小組如何樣和組織和客戶，進行操作與交互？模型包括：安全團隊內(nèi)部分布式團隊內(nèi)部集中式團隊內(nèi)部分布集中式結合團隊協(xié)調(diào)中心你可能需要不只一個模型你的模型會隨著時刻而進展。 那個地點有幾個簡單的組織模型。每個計算機安全響應小組模型類型有其優(yōu)勢、弱點和好處。你選擇模型要依據(jù)于：你的客戶位于什么位置你的團隊位于什么位置你提供什么服務需要共享什么信息需要采取什么類型的行動 模型定義安全團隊在那個模型中，組織中沒有任何團隊或者部分對所有事件處理活動，被授予正式的責任。沒有建立計算機安全響應小組。內(nèi)部分布式團隊在那個模型中，組織利用現(xiàn)有職員，提供一個虛擬的分布式計算機安全響應小組

46、，它在形式上被特許處理事件響應活動。內(nèi)部集中式團隊本模型中，職員為滿工，這表明計算機安全響應小組隨時對定義客戶提供事件處理服務。內(nèi)部分步式集中式混合團隊本模型是對集中式計算機安全響應小組和分布式計算機安全響應小組的一個結合。協(xié)調(diào)中心在那個模型中，計算機安全響應小組通過不同的外部組織，對事件處理進行協(xié)調(diào)和促進。 你可能需要不只一個模型。例如，考慮一個大的，地理分布分散的組織。它可能現(xiàn)場需要本地團隊，通過每個區(qū)域性的計算機安全響應小組報告給區(qū)域性的、集中式的計算機安全響應小組，然后報告給協(xié)調(diào)中心，協(xié)調(diào)中心把綜合信息送到分析團隊，進行對以后趨勢和特征的研究。 要記住的重要的一件事是，不能總是一次做所

47、有的事。你會需要遞增的增加資源。許多團隊開始時，只提供事件處理服務，逐漸成長，引入其它服務和模型，作為資源、預算和支持同意。你的模型需要依照你的任務、優(yōu)先權、提供的服務或者資助者的變化，隨著時刻不斷改正。你的計算機安全響應小組應該多大？依照任務、目標、服務、經(jīng)驗、工作量和成本，大小會不同。確定你沒有一點失敗確保你的計算機安全響應小組職員差不多普遍訓練過要理解其它組織的評估可能不適合你的情況。 沒有那個問題的簡單回答。不同的計算機安全響應小組有不同的職員級不，適合他們的模型。目前沒有確實科學研究，僅僅是一些軼聞信息。 量化付出和成本的類型是十分困難的。你必須以你的工作量和資源，作為你決定的依據(jù)。

48、永久記住，你從不想有一點失敗，因此事件處理投入一個人是永久也不夠的。為你的計算機安全事件響應小組獵取資金對你計算機安全事件響應小組資金支持的不同策略會員訂閱基于費用的服務契約服務政府贊助學術或者研究贊助母組織資金財團贊助以上的混合會員訂閱對一定范圍服務的享受，是基于時刻的訂閱費用。AUSCERT有會員訂閱基于費用的服務對享受的服務付費CANCERT和MYCERT有基于費用的服務契約服務把計算機安全事件響應小組對組織采取外部采購的形式，提供事件處理服務像IBM,CISCO，許多如此有高度顧問資格的商業(yè)組織。政府贊助政府資助計算機安全事件響應小組REDCERT由美國政府贊助學術或者研究贊助學?；蛘?/p>

49、研究網(wǎng)絡贊助計算機安全事件響應小組DANTE,NORDUNET差不多上由研究網(wǎng)絡贊助的。母組織資金母組織建立計算機安全事件響應小組并提供資金支持IBM,GE和COMPAQ CSITS差不多上FIRST的會員財團贊助團隊或者組織、政府授權、大學等等共同資金支持以上的混合CERT/CC是由政府和私人贊助支持的它將花費多少？這將依據(jù)于計算機安全事件響應小組結構和服務考慮短期和長期的費用短期啟動花費：人員、裝備、基礎設施依照資金，支持你最初的服務和活動長期費用必須增長要緊費用會用于人員及其培訓裝備、基礎設施和事件處理工具物理空間和安全通道 你明白你的預算會是什么？ 一旦你對你的服務，以及你要提供服務和

50、要支持服務需要的資源有了一個方法，你就需要對短期和長期的資金制定一個預算。 你從哪里獲得這些資金？ 關心獲得事件處理費用的一些資源事件費用和分析模型項目計算機犯罪和安全調(diào)查與FBI合作的計算機安全機構 你可能會確定事件可能要花費你什么，然后用費用/利益分析，顯示一個計算機安全事件響應小組要挽救你的組織，會花費的鈔票數(shù)。一些差不多費用費用包括事件報告和追蹤系統(tǒng)通訊機制熱線或者辦公助理網(wǎng)站和/或者FTP站點郵件分發(fā)列表電話和尋呼安全通訊機制用PGP公鑰或者數(shù)字證書，對計算機安全事件響應小組文件和郵件簽名安全電話企業(yè)內(nèi)部網(wǎng)絡或者外部網(wǎng)愛護到計算機安全事件響應小組設備的通道我們會在后面的章節(jié)對此做更深

51、入的討論。計算機安全事件響應小組服務的范圍反應服務主動服務 安全質(zhì)量治理服務警報和警告通告風險分析事件處理技術監(jiān)視商務連續(xù)性和災難恢復打算事件分析安全審計或者評估安全咨詢事件現(xiàn)場響應配置和意識的建立事件響應支持安全工具、應用程序維護教育和訓練事件響應協(xié)調(diào)以及基礎設施產(chǎn)品評估或者認證漏洞處理安全工具的開發(fā)漏洞分析入侵探測服務漏洞響應安全相關信息分發(fā)漏洞響應協(xié)調(diào)工件處理工件分析工件響應工件響應協(xié)調(diào) 不是所有的計算機安全事件響應小組提供同樣的服務。上面列舉了一些團隊能提供的通常的服務。這些服務的定義，能夠在計算機安全事件響應小組服務中找到。 關于一個被認為是計算機安全事件響應小組的團隊，它必須提供事

52、件處理服務。這意味著它必須提供至少事件處理服務中的一個：事件分析、事件現(xiàn)場響應、事件響應支持或者事件響應協(xié)調(diào)。 依照任務或者目的，團隊可能執(zhí)行一些（或者全部）服務。 要想明白更多的，由不同計算機安全事件響應小組提供的各種服務，你能夠和現(xiàn)有的團隊交談掃瞄團隊網(wǎng)頁和服務列表掃瞄一般事件處理服務列表選擇服務由現(xiàn)有團隊提供的服務范圍和級不差不專門大每個團隊必須決定要提供什么范圍的服務對每個服務能提供什么級不的支持從小開始，不斷成長獵取對初始服務的支持當經(jīng)驗和資金同意時，就會成長 選擇的服務應該：支持團隊任務反映了支持服務的資源的有效性反映了對團隊的專門技術等級的有效性 一些計算機安全事件響應小組提供一

53、整套服務，包括事件處理、漏洞處理、入侵探測、風險評估、安全咨詢和滲透測試。其它計算機安全事件響應小組僅僅提供有限范圍的服務。例如，一些軍隊組織僅僅提供入侵探測服務；而一些政府組織僅僅提供分派服務，把事件分派到第三方承包人，例如聯(lián)邦計算機事件響應中心（FEDCIRC）或者CERT/CC。 建議計算機安全事件響應小組由服務的小子集開始運作，通過質(zhì)量服務和響應，獲得組織的計算機安全事件響應小組的認同，然后在需要的時候，開始進展和擴張計算機安全事件響應小組的能力，并能夠做到有效支持。 應該定義所有的提供的服務，清晰設置所有內(nèi)部的和外部參與團體的期望。 記住，沒有單獨的組織能做好所有的情況。關于每個你計

54、算機安全事件響應小組的服務，你需要清晰定義：服務提供的深度和廣度為服務分配了多少資源需要對服務提供什么級不的專門技術必須滿足什么要求和標準？服務等級協(xié)議（SLAS）聯(lián)邦或者州規(guī)章響應期限政策和流程所有服務和計算機安全安全事件響應小組功能應該由良好定義的政策和流程支持。具有文檔的一套政策和流程對以下至關重要：確保團隊活動支持計算機安全安全事件響應小組任務設立對客戶的預期對日復一日的操作性需求提供框架提供服務的連續(xù)性和可靠性 文檔性的政策和流程，對你計算機安全安全事件響應小組的成功至關重要 良好定義的政策和流程對計算機安全安全事件響應小組人員操作提供保證。一旦選定了服務，你必須通過計算機安全安全事

55、件響應小組政策和流程，建立文檔操作。良好定義的政策和流程對以下提供保證：角色和責任優(yōu)先權自動調(diào)整標準所給響應的本質(zhì)新的計算機安全事件響應小組成員 可能情況下，把新政策的進展和現(xiàn)有對組織或者客戶的大綱與政策關聯(lián)。例如，假如物理安全政策需要一套確定的規(guī)定人員，例如法律執(zhí)行、公司安全經(jīng)理、公共關系或者高級經(jīng)理人員，他們必須在有破壞時，能聯(lián)系上；然后注意建立你計算機安全安全事件響應小組的通告政策，滿足如此的綱領。 一旦你的計算機安全安全事件響應小組開始運作，要考慮讓你的職員用文件記錄你采取執(zhí)行的不同行動步驟。這能關心保存你進程的記錄，并擴展最初創(chuàng)立的一套政策和流程。列舉政策安全政策開放的報告環(huán)境政策事

56、件報告政策事件處理政策外部通訊政策媒體關系政策信息公開政策信息公布政策人力失誤政策訓練和教育政策計算機安全安全事件響應小組可同意使用政策 必須對政策有清晰的理解，使職員能正確執(zhí)行流程， 所有政策必須：有治理批準和監(jiān)督對計算機安全響應小組環(huán)境的靈活性清晰、簡潔和可執(zhí)行性讓新職員容易理解 政策能夠是全局的或者指定服務的。 可能需要進展其它政策，決定什么時刻報告增加，如何樣報告以及向誰報告。必須進展政策，決定什么時刻，用什么方法，計算機安全響應小組和法律執(zhí)行部門聯(lián)系和合作。列舉流程標準操作流程（SOPS）同意和跟蹤事件報告應答熱線事件和漏洞處理搜集、愛護和保存證據(jù)計算機安全響應小組網(wǎng)絡和系統(tǒng)配置系統(tǒng)

57、和網(wǎng)絡監(jiān)視以及入侵偵測備份和儲存事件數(shù)據(jù)通告方法（如何樣對信息打包、分發(fā)、存檔等）培訓和顧問 假如政策描述了你要做什么，那么流程對你執(zhí)行政策或者行動，提供了一步一步的指令。流程補充了政策，描述了政策在一天又一天的基礎上，是如何樣工作的。 隨著對組織流程的創(chuàng)建，治理層也必須決定誰來創(chuàng)建流程，以及他們屬于哪里。流程需要：清晰指明如何樣執(zhí)行政策、服務和指責。提供細節(jié)的必須標準，保證清晰度，防止模糊不清。有本地團隊的輔助術語表以及定義，使新職員能容易的理解他們有一個指定的維護者，經(jīng)受經(jīng)常的審查和更新環(huán)。經(jīng)受有效性和有用性的測試 特不重要的是，在你的計算機安全響應小組環(huán)境中，測試流程是否工作。 用一些時

58、刻，考慮你的計算機安全響應小組可能需要的流程類型。測試政策和流程在一次實際的事件后，檢驗你的政策和流程需要的政策和流程存在么？他們?nèi)菀渍业矫?？他們?nèi)菀鬃袷孛?？他們實際上遵守了么？關于實際發(fā)生的，他們有意義么？他們需要明確、更新、刪除、修改么？假如政策和流程不起作用，需要修改他們。 在你計算機安全響應小組結構和組織中可能的改變，會阻礙到你政策和流程中寫些什么。你可能需要考慮以每年為基礎，批閱你的政策和流程，保證他們的一致性。 一個測試流程的方法是，讓新職員批閱他們，并和他們在初始訓練中學到的方法進行比較。假如需要改變流程，能夠用新職員更新流程。操作文檔的概念文件定性計算機安全響應小組視野定義客戶

59、定義任務定義組織基地定義權限定義一套計算機安全響應小組服務定義組織模型定義關系：法律的、人力資源、IT等等定義計算機安全響應小組聯(lián)絡信息定義計算機安全響應小組事件報告大綱你能夠用操作文檔概念概括你的視野，定義每個元素，定義各元素和你組織的交互。創(chuàng)建和治理計算機安全響應小組介紹創(chuàng)建一個有效的計算機安全響應小組計算機安全響應小組組成操作性治理問題事件處理活動總結操作性治理問題計算機安全響應小組職員問題治理計算機安全響應小組基礎設施評可能算機安全響應小組的效率職員你需要什么類型的職員如何選拔你的計算機安全響應小組職員選項：雇傭有獻身精神的職員利用現(xiàn)有職員全職兼職倒班特不的雇傭承包人外包 雇傭和獲得好

60、的職員，對你計算機安全響應小組的成功是至關重要的。事件處理職員，必須有正確的個人交流技能類型，使得他們能和團隊成員和客戶中良好合作。他們必須能處理好緩慢與緊張的節(jié)奏。 創(chuàng)建計算機安全響應小組時，你必須回答的一個最重要的問題就會關系到，你如何樣，到哪里獲得你的職員。雇傭獻身事業(yè)的計算機安全響應小組職員一些計算機安全響應小組以系統(tǒng)和網(wǎng)絡治理技能查找職員，并在與計算機安全響應小組工作的安全方面訓練他們。另外一些則查找有事件處理經(jīng)驗的職員。使用現(xiàn)有職員他們會熟悉現(xiàn)有系統(tǒng)，理解組織政策、流程和商業(yè)功能、現(xiàn)有職員可能可不能執(zhí)行他們常見的工作，不能有效執(zhí)行事件處理任務。他們可能可不能有你需要的必須技能。外包