




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、安 全响 应 团队的 构 建 与 管 理计算机紧急事件响应小组(CERT )培训与教育网络系统可生存性计划软件工程学院卡内基梅隆大学匹兹堡 PA15213 38901996 2004卡内基梅隆大学CERT,计算机安全事件响应小组协调中心,由卡内基梅隆大学,在美国专利商标局注册。此材 料被授权公开发行,并仅限由软件学院分发给参加者。计算机安全事件响应小组协调中心(CERT/CC )是由美国防高级研究计划局在1988年10月,一次网络蠕虫事件发生后创立的。CERT/CC位于卡内基梅隆大学软件工程学院( SEI ),SEI是一个联邦政府资助的研究开发中心 (FFRDC ),它是由美国国防部秘书处下属
2、的采办、技术和后勤办公室(OUSD(AT&L)发起的。CERT/CC的任务是:? 履行协调中心的职责。? 鼓励通过网络社团的合作,取得有效的事件响应。?帮助其他组织组建响应队伍,并且?引导紧急事件趋势的研究和分析。部分工作是源起美国陆军信息作战局(LIWA )和美国国防信息系统局(DISA ).CSIRTS的创建与管理简介创建一个有效率的计算机安全事件响应小组计算机安全事件响应小组的构成操作性管理问题事件处理行动总结简介? 创建一个有效的计算机安全事件响应小组? 什么是计算机安全事件响应小组?? 计算机安全事件响应小组做些什么?? 计算机安全事件响应小组的通常种类? 培养你的视野? 执行建议计
3、算机安全事件响应小组构成? 赞助者? 任务? 资金? 组织问题? 服务? 政策和程序? 资源操作性管理问题? 计算机安全事件响应小组员工问题? 管理计算机安全事件响应小组基础设施? 计算机安全事件响应小组效率的评估 应急处理行为? 危急信息? 筛选? 协调响应总结提交人:GEORGIA KILLCRECEROBIN RUEFLEMARK ZAJICEKCERT CSIRT开发小组网络系统可生存性软件工程学院卡内基梅隆大学目的我们为您提供:计算机安全事件响应小组的目的和构成的介绍组建一个计算机安全事件响应小组的基本原理计算机安全事件响应小组的好处必备条件和框架服务种类和标准必须的政策和流程协作和
4、通讯对希望计算机安全事件响应小组管理者和员工应该处理的工作类型,有一定的熟悉。 介绍应急处理方法和应急响应行为的本质。本指南呈现了对管理、组织上和程序问题的高水平概述,它包含了创建和运行一个计算机紧急事件 响应小组的问题。本节会对计算机应急响应小组的目的和结构做一个介绍。这包括:? 组建一个计算机安全事件响应小组的基本原理? 计算机安全事件响应小组的好处? 组建一个有效的计算机安全事件响应小组的必备条件和框架? 计算机安全事件响应小组能够提供的服务种类和标准? 计算机安全事件响应小组应该建立和这行的必须政策和流程? 在小组内和小组间,协作和通讯的重要性本节会对计算机安全事件响应小组管理者和员工
5、应该处理的工作类型,做一些熟悉。同时会对紧急 事件处理方法和紧急事件响应行为的本质做一些介绍。专门的主题会包括:? 确定危急信息提供热线和筛选功能协调响应管理计算机安全事件响应小组基础设施 保护计算机安全事件响应小组数据 雇佣计算机安全事件响应小组员工适用读者各类计算机安全应急响应小组的管理者? 未来的? 新的? 现有的其他需要对计算机安全事件响应小组管理问题,想要有了解的个人 负责创建计算机安全事件响应小组的个人对学习关于计算机安全事件响应小组更多知识有兴趣的个人本指南为管理者和其他有兴趣的员工设计,提供包括创建和运行计算机安全事件响应小组问题的综 述,同时提供必要的决策,确保你的计算机安全
6、事件响应小组员工,对计算机安全事件响应小组的客户 提供适当的服务。负责创建计算机安全事件响应小组的个人可能包括: 首席信息官(CIO)首席安全官(CSO)管理者项目领导项目小组成员其他有利害关系或者相关部分其他对更多关于计算机安全事件响应小组工作有兴趣的成员,可能包括 法律人员人力资源现行安全人员 系统和网络管理员 公共关系人员上层管理风险管理和审计人员? 客户成员本指南不需要有处理应急事件的经验。课程材料的应用所有的计算机安全事件响应小组都不一样每个小组应该由他们根据各自独特的环境,提供的服务类型和实质,做岀决定、 课程中的例子和建议反映了? 什么对计算机安全事件响应小组有好处? 遇到的缺陷
7、和益处注意到不是所有的计算机安全事件响应小组都是相似的。我们不能对您的计算机安全事件响应小组 的独特问题最好的解决方案,给岀决定性的答案。将团队的标准,应用到不同的情况中。中。记住这条 信息,并在你的组织的工作中应用。创建和管理计算机安全事件响应小组简介创建一个有效的计算机安全事件响应小组计算机安全事件响应小组构成操作性管理问题事件处理行为总结动机建立计算机安全安全事件响应小组的促进因素包括? 计算机安全安全事件报告的数量、受计算机安全安全事件影响的组织类型和数量,普遍增 长? 各组织更加集中的意识到对安全政策的需要,并把它作为全面风险管理政策的一部分而实 行。? 新的法规法令对各组织怎么样需
8、要保护信息财产产生影响? 系统和网络管理员单独的运作,不能保护组织系统和资产? 需要实现预先的计划和政策因特网本身已经成为基础设施,因此必须保护它,保证可靠稳定的服务。网络和系统管理员没有适当的人员和行动阻挡攻击和最小化损害介绍新的规则和标准,确保对数据的保护和审计。这会对一个组织需要的安全政策和流程产生影响 如下方面的改变? 组织数据保护需求? 当地或者国家法律? 制度上的规定已经迫切需要把安全意识定位到企业级别。在美国的一些例子包括:1999年的GRAMM LEACH BLILEY 法案(GLBA,即众所周知的金融服务现代化法案)一一要求 金融机具有客户隐私政策和信息安全程序健康保险便利及
9、责任法案 (HIPAA)包括保护对于健康组织的确定类型健康信息的隐私和完整 性的要求联邦信息安全管理法案 (FICMA) 2002年电子政务法案的一部分,要求美国联邦政府机构有责 任确保各自系统的信息安全,其中包括执行每年一次的独立评估。根据此法案,所有美国联邦机 构也要求建立应急响应能力和程序,用来发现、报告和响应安全应急事件。要保证您组织的信息资产安全,需要多层面的努力。没有一种行为或者解决方案是万能的。事件报告正在增多上面是提交到计算机安全事件应急小组的报告。在以后几年中,网络社会在网络安全方面会遇到的问题可以用如下几条概括 ?因特网的用户和公司的数量正在增长卖方产品发展和测试圈正在减少
10、运行在因特网上客户端和服务器上的协议和应用程序的复杂性正在增长有许多信息基础设施有根本性安全设计问题的不能快速解决入侵技术正在增长攻击、入侵工具和工具包的的复杂化正在增长计算机安全入侵数量正在增长入侵效率正在增长(知识正在被传递到缺少知识的入侵者,因此使入侵更有效) 拥有安全知识和专门基数的人数正在增长,但是远比因特网用户的数量增长速度小。 有效的安全工具数正在增长,但是其不必要和软件、系统和网络复杂性的增长一样快。 事件响应小组的数量正在增长,但是事件响应人数对网络用户的比率正在减少。报告至CERT/CC的漏洞数的增长漏洞:漏洞就是一组状态,使得对外在或者内在安全策略的违反,成为可能。漏洞可
11、能是软件缺陷、 配置或者设计结果、在系统间,或者环境变化间不希望的交互作用。例子如下:phf (按照用户nobody的远程命令执行)(按照根用户的远程命令执行 )全局可写的密码文件(系统评估数据的编辑) 默认密码(远程命令执行或者其他访问)对降格服务引起的服务问题的拒绝在软件或者协议中的缓存器溢岀(BIND,发送邮件、FTP、TCP等等)要认识到重要的一点是,从漏洞的发现到爆发时间变得越来越短。周-天-小时-分钟。 什么是计算机安全应急响应小组一个组织或者团队,对规定的用户,提供服务并对计算机安全安全事件的防止和响应给予支持。要保持您组织信息资产的安全,需要一个多层面的方法。没有一种行为或者解
12、决方案是万能的。组建一个计算机安全应急响应小组成是一个层面, 还要执行安全配置、安全意识训练和外部、内部的防护,积极的协同响应始终是必须的,但是我们也必须快速行动,正确实施其他方案, 取得如下的效果:?拥有安全机制的更高质量的信息技术产品,更好的符合今天系统管理员和用户的知识、技术以及能力。? 扩展研究项目,领导计算机安全上的基础性的进步。?大量的技术专家,拥有保护大型复杂系统所需的技术。?计算机空间中,利益相关者对数据安全事务、漏洞和威胁的不断增长和前进的意识与理解。就像一个消防队,一个计算机安全应急响应小组可以执行反应的和主动反应的服务。消防队对火灾进行响应并扑灭之。他们也会预先有准备的,
13、提供火灾预防训练,促进烟雾警报器的安 装、防火梯的购买并指导家庭用最正确的方式安全撤离燃烧的建筑物。CSIRTS以外的一些例子:CERT/CC的经验是,在一次入侵发生后,很多组织第一次开始思考怎么样处理计算机安全安全事 件。岀现了各种缩写,用来指明不同的响应小组。这里列岀除CERT计算机事件响应小组CSIRC计算机安全事件响应能力CIRT计算机事件响应小组CIRC计算机事件响应能力IRT事件响应小组SERT安全应急响应小组SIRT安全事件响应小组方法与技术事件处理不仅仅是以技术的应用,来解决计算机安全事件。 它是行动计划的发展它是为如下而进行的方法的建立:? 通告和通讯? 合作和协调? 分析和
14、响应计算机安全事件响应小组的好处反应性? 集中的响应努力? 更高速和标准化的响应? 拥有事件处理经验的稳定的团队主干,并具有实用商务知识。? 在安全社团中,同其他人的协调。主动性? 支持组织性的商业目标? 提供可信的风险数据和商业情报? 提供产品开发圈或者网络操作的接口? 对履行漏洞评定、发展安全策略和提供意识训练上,提供帮助。即使最好的信息安全基础,也不能保证不发生入侵或者其他恶意行为。? 非常重要的是,当发生计算机安全事件时,组织应该具有响应的有效方法。? 组织能够识别、分析以及对事件的响应的速度,会限制造成的损害,并降低恢复的成本。计算机安全响应小组可以现场指挥快速的响应,牵制和恢复一个
15、计算机安全事件。计算机安全响 应小组也许会对被危害的系统很熟悉,所以能更快的协调恢复并提岀缓解和响应的策略。他们和其他 计算机安全响应小组和安全组织的关系,能够很方便的分享响应策略,对潜在的问题作岀较早的警报。计算机安全响应小组开始于以响应为目的的组织,但是现今在已经发展成一般意义上的,主动防 御并保护组织和网络社会重要资产的组织。这种主动的工作包括提供安全意识和教育服务,影响力政 策以及研究组和信息交换的协调。它还包括对入侵趋势的分析,并摸索岀对变化环境的更好理解,以 便响应保护、缓解和响应策略能够被发展并传播。计算机安全响应小组可以和组织的其他部门一起工作,保证新的系统能够以意识中的安全发
16、展和 运行,并且和任一方的安全政策保持一致。他们可以帮助确定组织的漏洞区域,有时能够执行漏洞评 定和事件探测。计算机安全响应小组做些什么? 通常,一个计算机安全响应小组 ? 提供一个单独的联系点,来报告本地问题 ? 确定和分析发生了什么,其中包括冲击和威胁。? 研究解决方案和缓解策略? 分享响应选项、信息和学习到的课程。计算机安全响应小组的目标是:? 最小化和控制损害? 提供或者辅助进行有效的响应和恢复? 帮助防止以后再发生 对每个人来说,没有一个单独的团队能承担一切!计算机安全响应小组和一个 IT部门中的安全小组不同。安全小组履行每天的组织的网络和系统监视。它的责任是保持系统的更新,安装补丁
17、,为减少事 件的发生而工作。计算机安全响应小组可以把这些工作作为他们的一部分,但同时也会按照一个事件信息的仓库来 服务,是一个事件报告和分析的中心,是一个事件响应跨组织的协调中心。这种协调功能甚至可以延 伸到组织外,包括和其他团队和法律执行机构的合作。一般计算机安全响应小组分类一般计算机安全响应小组种类包括内部计算机安全响应小组(internal csirt)对他们的母组织提供事件处理服务,这可能是银行、大学或者联邦机构的计算机安全响应小组。?协调中心(coordination center)跨不同计算机安全响应小组,或对一个特定的国家、州、研究网络、或者其他这样的实体,协调和促进对事件的处理
18、。通常会有更大的范围和更多样的客户。?分析中心(analysis center)主要从各种资源中,综合数据,测定事件活动种的趋势和特征。随后,可以用这些信息帮助预测未来的活动,或当当前活动符合一组先前测定的特征时,提供早期 警报。? 商家(vendor)和报告、追踪漏洞的组织合作;另外一种类型的商家可能会对他们自己的组织 提供内部事件处理服务。?事件响应提供商(in cide nt respo nse provider)把事件处理服务作为产品,提供给其他组织。 这有时指安全管理服务提供商(MSSPS)计算机安全响应小组发展阶段阶段1训练组织(education)阶段2工作计划(planning
19、)阶段3初始化执行(implementation)阶段4运作状态(operation)阶段5平级合作(collaboration)此框图显示了根据 CERT CSIRT反展小组的计算机安全响应小组的反展阶段。在阶段1,组织想要组建一个团队,但是不真正知道计算机安全响应小组是什么,做什么。组织 需要通过这些意识训练,学习实现一个团队的不同方法。在阶段2,组织具有了一些计算机安全响应小组的知识,开始确定和分析要计划实现计算机安全 响应小组遇到的不同问题。在阶段3,组建了计算机安全响应小组,并开始提供服务。要开始运作,应该拥有一个确定的顾 客群、任务和服务、初始的团队和训练、草拟标准操作规程和一个安
20、全基础设施。在阶段4,计算机安全响应小组要处理事件,并有6个月到1年的运作。在阶段5,计算机安全响应小组成为一个成熟的团队。它已经存在了二年或者更长,在事件处理上,已经有了相当的经验。他们成为和其他计算机安全响应小组同起同坐的合作者。很重要的一点是,要认识到你也许已经在一个更高级的阶段,但依然需要回过头,重新审视早些 的阶段,确认你正在朝着正确的路线前进。在这个连续过程中,你把你自己(你的计算机安全响应小组)摆放到什么位置?你从前处理过计算机安全事件么? 创建一个有效的计算机安全响应小组 要有效,一个计算机安全响应小组需要四个基本元素 可操作的框架 服务和策略框架 质量保证框架 适应变化的环境
21、和变化的威胁形式的能力。操作框架清晰的任务 规定的客户 组织基地?和其他组织团队的正式关系服务和政策框架? 明确的服务?明确的信息流?定义搜集,记录,追踪和取得信息的方法? 清晰的,容易理解的组织范围的政策 有效的质量保证行动? 定义一个质量系统? 专门的对质量参数的测量和检查方法? 报告和审查行动与流程? 保证质量级别的结算,遵守和自动调整流程 ? 客户和顾客的反馈适应性和灵活性? 跟上变化的技术的能力? 适应实时威胁未来紧急威胁的能力? 法律建议和支持 建立你的视野您计算机安全响应小组框架的基本组成,或者说建筑砖石,组成您计算机安全响应小组的视野。 这些元素包括:? 顾客一一您为谁服务?
22、任务一一您做什么?您的目的?? 服务一一怎么样完成您的任务。怎么为你的顾客服务你处理的事件类型你执行的行动类型? 组织结构一一你怎么操作?它是怎么结合在一起的?? 资源一一你需要什么资源去执行您的任务?? 资金一一你怎么偿付它?以上所有的都是由资金支持的。? 管理和客户买入一一没有这点,它不能成功。这是视野立足的根本。计算机安全响应小组的各元素互相影响,并因此影响到您的设计。例如,您的任务会受到您客户 和需求的影响。你的资源和怎样分配他们会影响你需要的组织模型、你能提供的服务和你执行任务的 好坏。在确定您的视野或者框架的时候,你需要考虑所有这些元素,并试图找到他们中间的平衡。? 需要做什么??
23、 建立一个响应计划? 结合到现有的方法和组织结构中? 加强和提高客户有效管理计算机安全事件的能力? 作为保护和确保重要商务功能和资产的全面策略的一部分 训练员工,使其对以下 2种情况都能确认? 威胁对商务功能的影响和范围? 适当的缓解和恢复方案执行建议得到管理买入和组织的同意 要和母组织或者客户组织策略与商务目标一致。 选择一个计算机安全响应小组发展项目小组。在整个进程种保持交流 从小起步,不断成长。只要合适,就利用现有的(再利用是很好的)应该建立一个有权限决定的计算机安全响应小组计划小组项目领导。这个项目小组应该代表相关 的团体和组织。所有利益相关者和客户代表应该通过执行,从初始的计划阶段,
24、就参与计算机安全响应小组的发 展中。在商业或者教育组织中,这可能包括法律顾问、公共关系和市场人员、部门经理、安全人员、系 统和网络管理员、文案助理人员、高层管理,甚至可能是设备人员。很难决定利益相关者是谁、什么时间建立协调中心或者国家级小组。一旦你选择或者限定了要服 务的客户,这其中一些可能会确定。早加入,就能够以一个初始的市场付岀为您的计算机安全响应小组工作,这会开始建立意识。 管理买入必须包括提供人员、时间和资金。计算机安全响应小组的结构和任务,必须建立在母组织或者客户组织安全策略和商务目标的基础 上。在整个过程中,确定每个人明白发生了什么和为什么发生。尽可能的利用存在的资源和安全策略与政
25、策。例如,如果在您的组织有一个物理的安全侵犯一一 当前通知了谁?紧接着会有什么步骤?对于一个电子侵犯,您能利用存在的政策,创建一个政策么? 老的政策能覆盖所有的侵犯的类型么?无论外部的还是内部的,要指望于已经存在的。和其他小组谈话,找岀什么对他们的工作有好处。 根据你组织的结构和任务,它也可能有效。基本执行步骤搜集信息创建计划,获取计划中的反馈确认计算机安全响应小组的顾客确认和获取人员装备和基础设施资源决定计算机安全响应小组的任务开发政策和程序为计算机安全响应小组的操作获取资金训练您计算机安全响应小组员工和客户决定计算机安全响应小组范围和服务等级通告计算机安全响应小组确认和客户关键部分的交互传
26、达您的任务和服务确认交互的任务和责任获得反馈回顾并提高计算机安全响应小组框架请记住,非常重要的一点是,要得到管理和客户买入与支持。必须用内在的和外部通讯方法,让客户和其他利益相关者理解执行,并也提供对计划的审查和反 馈的机制。当计算机安全响应小组准备操作时,应该发表通告。所有的客户应该理解他们和计算机安全响应 小组的交互应该是什么,这包括什么事件、怎么联系和报告计算机安全响应小组异常情况和事件活动。内部计算机安全响应小组的步骤从管理层得到承认和支持随着利益相关者的输入,决定了确认谁需要加入计算机安全响应小组任务有管理层发岀的通告计算机安全响应小组范围和服务等级选择一个项目小组计算机安全响应小组
27、报告结构,权限和组织模型搜集信息确定交互的角色和责任研究其他组织正在做什么创建一个基于视野或者框架的计划确认存在的进程和员工数获取计划的反馈访问重要利益相关者和参与者发布计算机安全响应小组得到反馈列举在一个组织中,内部计算机安全响应小组的步骤:得到对计算机安全响应小组的承认和支持并执行项目包括资金、资源、项目小组和员工中参与的 其他人的时间。确定在计划和执行进程中,需要谁的加入。上层管理要有一个通告的发送(CEO及其等同地位的,或者 CIO及其等同地位的),对组织解释,计算机安全响应小组正在计划的,和将要遵照执行的基本方法。选择一个项目小组研究其他组织在创建一个计算机安全响应小组时做什么,并研
28、究存在什么最好的行动和指导。从现有的组织图标,网络布局、安全策略、制度规章和规则,从现有的灾难恢复或者事件应急计划、 现有的商业连续性计划和重要系统与网络资产详细目录中,搜集信息。访问商业经理、信息技术职员和经理、以及终端用户,理解对处理计算机安全事件的当前方法。确认谁履行如下责任:防火墙操作和维护、入侵探测、其他网络或者主机监视、漏洞评定或者扫描、渗透测试、补丁维护和操作系统更新。访问商业经理、信息技术职员和经理、终端用户、以及来自法律、人力资源和公共关系的代表,考虑到事件管理和响应,决定这些部门需要什么。随着所有利益相关者的输入,限定了计算机安全响应小组视野或者框架,这包括:计算机安全响应
29、 小组客户、任务、权限、服务、组织模型和需要的员工、装备以及基础设施。根据视野与框架创建一个计划,使它在组织中,对反馈和意见有效。 根据反馈,随着对任何需要的改变,更新计划。集合信息集合的关键信息包括:? 客户有什么要求? 必须保护的重要财产是什么? 哪些类型的事件经常被报告? 存在什么电脑安全问题? 需要哪种类型的响应? 需要哪种辅助和专家意见?? 需要什么方法?? 谁要扮演什么角色?? 当前有人履行那个角色么?? 在通知或者升级进程中,需要谁的加入?一旦你开始建立你的视野和框架,作为一种有用的资源和想法,参考其他团队,以及关于事件响应的文 档和书籍。调查同样的组织,它们提供事件处理服务或者
30、组织了计算机安全响应小组。如果你以及和这些组织 联系上,看看你能否和他们谈论一些关于他们如何建立他们的团队。如果不能和他们的成员交谈,请参 看他们计算机安全响应小组的网站。检查他们的任务、特征、资金安排和服务列表。这会给你一些组织 你团队的想法。查阅任何有人可能写的关于计算机安全响应小组或者事件处理的书籍和白皮书。在CERT计算机安全响应小组开发网页上,可以找到一个资源的初始列表: 可能有帮助的现有资源 可能提供信息的有效资源企业和专门商务功能的组织图表 组织性的或者客户系统与网络的布局 关键系统和资产目录现有灾难恢复或者商业连续性计划 现有的通告组织物理性安全违规的指导 任何现有的事件响应计
31、划任何母系的或者制度上的关系这些资源中,许多可能无效,或者没有存在。如果它们有效,并且您能试图接近它们,对这些档案 的审阅能够产生双重目的:第一,帮助你评估现有的利益相关者、资源和系统拥有者。第二,提供对现 有计算机安全响应小组必须依靠政策的总揽。作为一个意外收获,你可能会发现,当开发计算机安全响应小组的政策、流程或者文件的时候,这些 文件可能含有能被改编的文字内容。它们也可能包含在紧急时刻,必须联系的组织代表的通用报告目录 这些目录的类型可能也会因计算机安全响应小组工作和方法而改变。需要谁的参与: 内部计算机安全响应小组必须跨组织的建立关系、交流通道、数据共享协议和政策流程。事件处理不是一个
32、自我约束的过程。对于一个内部小组,这包括:? 商务经理。它们需要理解计算机安全响应小组是什么和它怎么样帮助支持它们的商务过程。考虑到 计算机安全响应小组的覆盖商务系统的权限,以及谁能做决定让重要商务系统必须从网络断开或者 关闭,必须签订协议。来自IT的代表。IT员工和计算机安全响应小组怎么交互?IT员工会采取什么行动?计算机安全响应小组成员会采取什么行动?IT员工能提供给计算机安全响应小组什么信息?计算机安全响应小组能提供给IT成员什么信息?它们各自都有什么角色和权限?? 来自法律部门的代表。在什么时间,用什么方法,法律部门参与到事件响应的作用中?? 来自人力资源部门的代表。需要他们参与,为解
33、除被发现参与未授权或者违法计算机活动的内部职 员,而开发政策流程。? 来自公共关系的代表。他们必须准备处理任何媒体需求,帮助发展信息公开政策和活动。? 任何现有的安全团体,包括物理性的安全团体。计算机安全响应小组需要和这些团体交换关于计算 机事件的信息,并和他们分享解决问题的责任,这包括计算机或者数据盗窃事件。? 审计和风险管理专家。他们可以帮助发展对客户系统的处理度量与风险。? 任何法律执行联络人或者调查人。联系到他们时,他们会了解小组怎样以法律执行工作,并且明白 谁会做调查,甚至法庭鉴定。? 来自客户的普通代表。他们能够提供对他们需要和需求的解释。需要谁的参与:协调中心对于作为协调中心的小
34、组,或者支持一个州、国家、省或者同等政府实体客户的小组一一更难决定 怎么样与多方参与的组织建立关系。计算机安全安全事件响应小组仅仅能处理如下特别的组织么?? 政府组织? 军队组织? 重要基础设施? 商务组织 或者,计算机安全安全事件响应小组 会从公众接收报告,发布信息?从哪里开始?什么已经就绪?一一创建专门技术矩阵? 专业技术有什么?? 什么工具已经就绪?集体攻关与讨论一一设计工作量? 需要的响应和通告策略? 随着计算机安全响应小组的增加,需要做什么改变?? 计算机安全响应小组怎么样适应任何灾难恢复或者商务连续性计划? 执行 培养员工和方法? 制定临时计划? 制定长期计划 其他涉及的问题包括?
35、已经有一个现有的追踪系统,你必须要结合么?有特定的组织需要和政策,你必须要遵守么??有服务等级协议,你必须遵守么? 获得一致同意计算机安全响应小组的定义? 任务? 服务?角色和责任? 权限计算机安全事件的定义? 分级? 优先权?自动调整标准什么是计算机安全事件?通常的定义可能包括:任何真实的,或者被怀疑的,关系到计算机系统或者计算机网络安全的不利事件。违反显式或者隐式安全政策的行为计算机安全响应小组需要建立标准,不仅仅定义计算机安全事件的组成,也定义了它怎么样被处理。这个定义可以是一个安全政策中的概述;它也应该包括在事件报告指导中。组织的必须保护的重要资产,也应该被定义。计算机安全事件的例子包
36、括:获得未授权的路径,访问系统或者其数据的成功(失败)的企图。不希望的服务终端或者拒绝对进程或者数据存储的未授权的系统应用没有所有者的同意,改变系统计算机病毒的发生通过对计算机系统范围的网络,进行探测或者扫描漏洞。共同问题失败于:? 包括所有的参与团体? 取得一致意见? 发展全面的视野和框架 ? 大纲、档案政策和流程 组织斗争具有太多服务不现实的展望或者预测时间、员工和资金的缺乏计算机安全响应小组的创建与管理 介绍创建一个有效的计算机安全响应小组 计算机安全响应小组构成操作性管理问题 事件处理活动总结 计算机安全响应小组构成客户 任务组织问题资金服务政策流程资源(在后面一节讨论) 作为资源的员
37、工、装备和基础设施,会在本文的操作性管理问题一节做讨论 定义你的客户根据你的项目,你的客户可能已经被定义 如果还没有定义你的客户,你需要决定它是谁,是什么 客户定义完或者之前,需要致力于什么问题?要理解你的客户会帮助你决定他们有什么需要,需要保护什么资产和对你的计算机安全响应小组的 需要会是什么。利用这个信息会帮助你决定,你不得不提供什么服务,什么类型的组织模型会适合所需 服务的提交。定义你的客户也会在你的团队开始操作时,帮助你圈定你的工作。它会帮助你决定你要处理什么需 求,决定你会传递到其他计算机安全响应小组或者相关团体什么请求。有些团体可能已经定义了他们的客户。例如,在一个小商务团体中的计
38、算机安全响应小组,很可能会把此商务团体的雇员作为他们的客户。此外,可能不容易定义一个客户群。大学中的计算机安全响应小 组,会把不同系的系统和网络管理员,或者包括所有教职员工和学生的整个大学人口作为他们的客户。 对于一个大学计算机安全响应小组,它应该决定写什么级别的警报和建议,并作岀什么类型的响应。如前所述,对于国家,州的团队,或者对于协调中心,定义客户是困难的。但是这是必须做的事情, 因为它影响到在计划进程中,谁会参与和要提供什么类型的服务。这个问题必须涉及一一协调中心或者 国家团队需要与谁工作和合作。他们向谁发送通告、警报和其他信息?这里面可能有其他政府机构、重要基础设施组织、军队机构或者广
39、大群众。每个客户会有各自的需 求。决定你的任务在你的计算机安全响应任务小组任务书中,你应该定义你的任务。请求注解(RFC)2350规定你的任务应该:? 解释你团队的目的? 突岀团队的核心目标目的一些基本问题? 计算机安全响应任务小组的主要目的是恢复系统或者搜集证据?? 计算机安全响应任务小组会执行:法庭鉴定任务么?IDS或者防火墙维护么?RFC2350,计算机安全响应期望,是一个因特网最优当前实现(BCP)文档(提供关于计算机安全响应小组客户和一般网络社团,需要明确定义和说明的主题与事件的信息)(FRC2350,摘要)一些计算机安全响应小组以图标的形式,发展了更为广泛的陈述,概括了他们的任务、
40、客户、主办人和权限。(RFC2350,节)RFC的URL是根据计算机安全响应小组手册第二版(10- 11页),你的任务说明应该:?不要不明确?用至少三个或者四个句子一一“计算机安全响应小组负责”一一指明任务。?如果团队圈定在一个较大组织内,或者由一个外部实体融资,计算机安全响应小组任务说明必须补充上这些组织的任务。要遇到的问题可能包括:? 怎么面对公众把计算机安全响应小组当作计算机警察的理解?? 如果你的任务和组织其他部分的另外一个任务交叠,应该怎么做? 组织层次要遇到的一些问题:? 在组织中,计算机安全响应小组适应于哪里?? 计算机安全响应小组向谁报告?以上问到的两个问题相互依赖。计算机安全
41、响应小组向谁报告依据于它在组织中位于什么位置,反 之亦然。计算机安全响应小组应该在IT或者无线通讯部门、安全团队或者自成一体。计算机安全响应小组应该报告给CIO、CEO、CSO或者其他部门领导。很重要的是,要考虑到事件处理和响应时,计算机安全响应小组需要采取什么行动,考虑需要什么类型的管理支持,协助这些行动。确认这样的问题,建议应该有正确的汇报或者管理结构。CERT/CC指导了 14个计算机安全响应小组的非正式调查一一他们中的多数指岀,他们的事件处理能力位于母公司的信息技术部门(IT)。我们没有为什么会这样的信息。它可能和方便或者专家意见有关。 它也可能是一个策略上的决定。计算机安全响应小组的
42、权限定义是由上面列举的最初的两栏联合决定的。计算机安全响应小组有多 少权限,决定事件响应、恢复和安全防护,会由在组织结构中,它的位置和计算机安全响应小组向谁报 告影响。计算机安全响应小组和企业的交互计算机安全响应小组怎么样和任何信息技术部门交互? 计算机安全响应小组怎么样适应于:?改变管理方法?软件安装和更新进程计算机安全响应小组怎么样和调查或者法律执行团队合作?计算机安全响应小组怎么样对像防火墙或者IDS的外部和内部防护改变做建议?报告结构一一国家、州或者同级计算机安全响应小组 要考虑的一些问题:? 谁作为计算机安全响应小组寄主?? 谁由计算机安全响应小组支持?? 谁向计算机安全响应小组报告
43、事件和信息?? 谁接收计算机安全响应小组通告和信息?团队作为协调中心或者支持州、国家、省或者同样政府实体客户的团队,会更难决定多方参与组织 的关系如何建立。计算机安全响应小会组仅仅处理如下的特别组织么?? 政府组织? 军队组织? 重要基础设施? 商务组织或者计算机安全响应小组会和公众进行信息报告和发送么?计算机安全响应小组和客户的交互计算机安全响应小组会向客户提供什么信息?客户会向计算机安全响应小组提供什么信息?计算机安全响应小组协调中心会和现有客户计算机安全响应小组怎样交互?要考虑的一些问题是,计算机安全响应小组协调中心应该对谁,以什么期限发布建议和警报?许多 构建的计算机安全响应小组可能已
44、经从其他资源接收到这个信息。权限描述了计算机安全响应小组对自己行为和客户行为的控制力,这些行为关系到计算机安全和事 件响应。权限是计算机安全响应小组对它服务的组织的最基本的关系。根据计算机安全响应小组手册(第二版,15页),计算机安全响应小组与它的客户有3个明显等级的权限或者关系:?完全一一计算机安全响应小组可以在没有管理批准的情况下,做岀决定,执行响应和恢复行动。例女口,拥有完全权限的计算机安全响应小组,在入侵攻击时,可能会告知系统管理员从网络断开系统,或者计算机安全响应小组自己断开系统。共享:在计算机安全事件中,计算机安全响应小组根据要采取的行动,参与决策的过程,但是只能 影响,不能做出决
45、定。无权限一一计算机安全响应小组不能独自做岀任何决定或者采取任何行动。计算机安全响应小组只能作为组织的建议者。计算机安全响应小组不能执行任何行动。CERT/CC是一个对其客户一一网络共同体没有权限的计算机安全响应小组。另外一种权限(在计算机安全响应小组手册 (第二版)第15页提到)是非直接权限。在这种情况下, 计算机安全响应小组会因为其位置,对客户施加压力,使其采取指定的行动。例如一个 ISP可能会强迫 其客户采取指定的行动或者面对网络服务的不连续。对于一个在任务中成功的计算机安全响应小组,很重要的是管理层对团队拥有的权限等级的同意和支持,否则,团队会在组织中失去信誉,并不会成功。管理层也应该
46、把计算机安全响应小组的权限,准确 清晰的传达给客户一一特别是部门经理、系统和网络管理员、以及其他任何在组织的团体。可选计算机安全响应小组模型计算机安全响应小组怎么样和组织和客户,进行操作与交互? 模型包括:? 安全团队?内部分布式团队?内部集中式团队?内部分布集中式结合团队? 协调中心你可能需要不只一个模型你的模型会随着时间而发展。这里有几个简单的组织模型。每个计算机安全响应小组模型类型有其优势、弱点和好处。你选择模 型要依据于:你的客户位于什么位置 你的团队位于什么位置 你提供什么服务 需要共享什么信息 需要采取什么类型的行动模型定义安全团队一一在这个模型中,组织中没有任何团队或者部分对所有
47、事件处理活动,被授予正式的责任。 没有建立计算机安全响应小组。内部分布式团队 一一在这个模型中,组织利用现有员工,提供一个虚拟的分布式计算机安全响应小组, 它在形式上被特许处理事件响应活动。内部集中式团队 一一本模型中,员工为满工,这表明计算机安全响应小组随时对定义客户提供事件处理 服务。内部分步式集中式混合团队一一本模型是对集中式计算机安全响应小组和分布式计算机安全响应小组的 一个结合。协调中心一一在这个模型中,计算机安全响应小组通过不同的外部组织,对事件处理进行协调和促进。你可能需要不只一个模型。例如,考虑一个大的,地理分布分散的组织。它可能现场需要本地团队, 通过每个区域性的计算机安全响
48、应小组报告给区域性的、集中式的计算机安全响应小组,然后报告给协 调中心,协调中心把综合信息送到分析团队,进行对未来趋势和特征的研究。要记住的重要的一件事是,不能总是一次做所有的事。你会需要递增的增加资源。许多团队开始时, 只提供事件处理服务,逐渐成长,引入其他服务和模型,作为资源、预算和支持允许。你的模型需要根 据你的任务、优先权、提供的服务或者资助者的变化,随着时间不断改正。你的计算机安全响应小组应该多大?根据任务、目标、服务、经验、工作量和成本,大小会不同。确定你没有一点失败确保你的计算机安全响应小组员工已经普遍训练过要理解其他组织的评估可能不适合你的情况。没有这个问题的简单回答。不同的计
49、算机安全响应小组有不同的员工级别,适合他们的模型。目前 没有真的科学研究,仅仅是一些轶闻信息。量化付岀和成本的类型是十分困难的。你必须以你的工作量和资源,作为你决定的依据。 永远记住, 你从不想有一点失败,所以事件处理投入一个人是永远也不够的 为你的计算机安全事件响应小组获取资金对你计算机安全事件响应小组资金支持的不同策略?会员订阅?基于费用的服务?契约服务?政府赞助?学术或者研究赞助?母组织资金?财团赞助? 以上的混合会员订阅?对一定范围服务的享受,是基于时间的订阅费用? AUSCERT有会员订阅基于费用的服务?对享受的服务付费? CANCERT和MYCERT 有基于费用的服务契约服务?把计
50、算机安全事件响应小组对组织采取外部采购的形式,提供事件处理服务? 像IBM,CISCO,许多这样有高度顾问资格的商业组织。政府赞助?政府资助计算机安全事件响应小组? REDCERT由美国政府赞助学术或者研究赞助?学校或者研究网络赞助计算机安全事件响应小组? DANTE,NORDUNET 都是由研究网络赞助的。 母组织资金母组织建立计算机安全事件响应小组并提供资金支持IBM,GE 和 COMPAQ CSITS 都是 FIRST 的会员财团赞助?团队或者组织、政府授权、大学等等共同资金支持以上的混合? CERT/CC是由政府和私人赞助支持的它将花费多少?这将依据于计算机安全事件响应小组结构和服务考
51、虑短期和长期的费用?短期启动花费:人员、装备、基础设施?根据资金,支持你最初的服务和活动?长期费用必须增长主要费用会用于?人员及其培训?装备、基础设施和事件处理工具?物理空间和安全通道你知道你的预算会是什么?一旦你对你的服务,以及你要提供服务和要支持服务需要的资源有了一个想法,你就需要对短期和长 期的资金制定一个预算。你从哪里获得这些资金?帮助获得事件处理费用的一些资源事件费用和分析模型项目计算机犯罪和安全调查与FBI合作的计算机安全机构你可能会确定事件可能要花费你什么,然后用费用/利益分析,显示一个计算机安全事件响应小组要拯救你的组织,会花费的钱数 一些基本费用费用包括事件报告和追踪系统通讯
52、机制热线或者办公助理 网站和/或者FTP站点 邮件分发列表?电话和寻呼安全通讯机制? 用PGP公钥或者数字证书,对计算机安全事件响应小组文件和邮件签名 ?安全电话?企业内部网络或者外部网保护到计算机安全事件响应小组设备的通道 我们会在后面的章节对此做更深入的讨论计算机安全事件响应小组服务的范围反应服务主动服务安全质量管理服务警报和警告通告风险分析事件处理技术监视商务连续性和灾难恢复计划事件分析安全审计或者评估安全咨询事件现场响应配置和意识的建立事件响应支持安全工具、应用程序维护教育和训练事件响应协调以及基础设施产品评估或者认证漏洞处理安全工具的开发漏洞分析入侵探测服务漏洞响应漏洞响应协调 工件
53、处理工件分析 工件响应 工件响应协调安全相关信息分发不是所有的计算机安全事件响应小组提供同样的服务。上面列举了一些团队能提供的通常的服务。 这些服务的定义,可以在计算机安全事件响应小组服务中找到。对于一个被认为是计算机安全事件响应小组的团队,它必须提供事件处理服务。这意味着它必须提 供至少事件处理服务中的一个:事件分析、事件现场响应、事件响应支持或者事件响应协调。根据任务或者目的,团队可能执行一些(或者全部)服务。要想知道更多的,由不同计算机安全事件响应小组提供的各种服务,你可以 ?和现有的团队交谈? 浏览团队网页和服务列表? 浏览一般事件处理服务列表选择服务由现有团队提供的服务范围和级别差别
54、很大每个团队必须决定? 要提供什么范围的服务? 对每个服务能提供什么级别的支持 从小开始,不断成长? 获取对初始服务的支持?当经验和资金允许时,就会成长选择的服务应该:? 支持团队任务?反映了支持服务的资源的有效性?反映了对团队的专门技术等级的有效性一些计算机安全事件响应小组提供一整套服务,包括事件处理、漏洞处理、入侵探测、风险评估、 安全咨询和渗透测试。其他计算机安全事件响应小组仅仅提供有限范围的服务。例如,一些军队组织仅 仅提供入侵探测服务;而一些政府组织仅仅提供分派服务,把事件分派到第三方承包人,例如联邦计算 机事件响应中心(FEDCIRC )或者CERT/CC。建议计算机安全事件响应小组由服务的小子集开始运作,通过质量服务和响应,获得组织的计算机 安全事件响应小组的认同,然后在需要的时候,开始发展和扩张计算机安全事件响应小组的能力,并能 够做到有效支持。应该定义所有的提供的服务,清晰设置所有内部的和外部参与团体的期望。 记住,没有单独的组织能做好所有的事情。对于每个你计算机安全事件响应小组的服务,你需要清晰定义:?服务提供的深度和广度?为服务分配了多少资源?需要对服务提供什么级别的专门技术?必须满足什么要求和标准?服务等级协议(SLAS)联邦或者州规章 响应期限政策和流程所有服
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 生产环境中有害物质的监测与净化技术-全面剖析
- 语义网络构建研究-第1篇-全面剖析
- 汽车与交通设备行业新能源汽车动力电池安全性与可靠性测试方法标准研究分析报告
- 供应链金融创新视角下2025年中小企业融资风险防范策略分析报告
- 2025年特种设备安全法规与设备租赁合同违约责任考试题库
- 苏教版四年级数学上册家长指导计划
- 学校食堂食品采购计划
- 六年级劳动技能提升计划
- 网络教育送教上门模式探索计划
- 2025年中国齿轮刀行业市场前景预测及投资价值评估分析报告
- 青马工程笔试试题及答案
- 豆粕交易合同协议
- 项目设计安全管理制度
- 电子化采购招投标平台系统建设项目解决方案
- 小学京剧知识
- 铁塔土建施工方案
- 2025年演出经纪人《演出市场政策与经纪实务》考前点题卷一
- GB/T 45235-2025电子电气产品中双酚A的测定高效液相色谱法
- 2025年度祠堂宗教用品销售承包合同3篇
- 2024旅行社与境外旅游机构入境合作框架协议范本3篇
- 《人文地理学》宗教地理与宗教景观
评论
0/150
提交评论