安全响应团队的构建与管理

安全响应团队的构建与管理 计算机紧急事件响应小组（CERT）培训与教育 网络系统可生存性计划 软件工程学院 卡内基梅隆大学 匹兹堡 PA15213－3890 1996－2004 卡内基梅隆大学 CERT，计算机安全事件响应小组协调中心，由卡内基梅隆大学，在美国专利商标局注册。此材料被授权公开发行，并仅限由软件学院分发给参加者。

计算机安全事件响应小组协调中心（CERT/CC）是由美国防高级研究计划局在1988年10CERT/CC位于卡内基梅隆大学软件工程学院（SEI），SEI是一个联邦政府资助的研究开发月，一次网络蠕虫事件发生后创立的。

中心（FFRDC），它是由美国国防部秘书处下属的采办、技术和后勤办公室(OUSD(AT&L))发起的。 ? ? ? ?

CERT/CC的任务是： 履行协调中心的职责。

鼓励通过网络社团的合作，取得有效的事件响应。 帮助其他组织组建响应队伍，并且 引导紧急事件趋势的研究和分析。

部分工作是源起美国陆军信息作战局（LIWA）和美国国防信息系统局（DISA）.

计算机安全事件响应小组的构建与管理 1

CSIRTS的创建与管理 简介 创建一个有效率的计算机安全事件响应小组 计算机安全事件响应小组的构成 操作性管理问题 事件处理行动 总结

简介

? 创建一个有效的计算机安全事件响应小

组

? 什么是计算机安全事件响应小组？

? 计算机安全事件响应小组做些什么？ ? 计算机安全事件响应小组的通常种类 ?

培养你的视野

? 执行建议

计算机安全事件响应小组构成 ? 赞助者 ? 任务 ? 资金 ? 组织问题 ? 服务 ?

政策和程序

? 资源

计算机安全事件响应小组的构建与管理 操作性管理问题

? 计算机安全事件响应小组员工问题 ?

管理计算机安全事件响应小组基础设施

? 计算机安全事件响应小组效率的评估 应急处理行为 ? 危急信息 ? 筛选 ? 协调响应 总结 提交人：

GEORGIA KILLCRECE ROBIN RUEFLE MARK ZAJICEK

CERT CSIRT开发小组

网络系统可生存性 软件工程学院 卡内基梅隆大学 http://www.cert.org/csirt/

2

目的 我们为您提供： 计算机安全事件响应小组的目的和构成的介绍 组建一个计算机安全事件响应小组的基本原理 计算机安全事件响应小组的好处 必备条件和框架 服务种类和标准 必须的政策和流程 协作和通讯 对希望计算机安全事件响应小组管理者和员工应该处理的工作类型，有一定的熟悉。 介绍应急处理方法和应急响应行为的本质。 ? ? ? ? ? ? ? ? ? ? ? ?

本指南呈现了对管理、组织上和程序问题的高水平概述，它包含了创建和运行一个计算机本节会对计算机应急响应小组的目的和结构做一个介绍。这包括： 组建一个计算机安全事件响应小组的基本原理 计算机安全事件响应小组的好处

组建一个有效的计算机安全事件响应小组的必备条件和框架 计算机安全事件响应小组能够提供的服务种类和标准 计算机安全事件响应小组应该建立和这行的必须政策和流程 在小组内和小组间，协作和通讯的重要性

本节会对计算机安全事件响应小组管理者和员工应该处理的工作类型，做一些熟悉。同时确定危急信息 提供热线和筛选功能 协调响应

管理计算机安全事件响应小组基础设施 保护计算机安全事件响应小组数据 雇佣计算机安全事件响应小组员工 紧急事件响应小组的问题。

会对紧急事件处理方法和紧急事件响应行为的本质做一些介绍。专门的主题会包括：

计算机安全事件响应小组的构建与管理 3

适用读者 各类计算机安全应急响应小组的管理者 ? ? ? 未来的 新的 现有的 其他需要对计算机安全事件响应小组管理问题，想要有了解的个人 负责创建计算机安全事件响应小组的个人 对学习关于计算机安全事件响应小组更多知识有兴趣的个人

本指南为管理者和其他有兴趣的员工设计，提供包括创建和运行计算机安全事件响应小组问题的综述，同时提供必要的决策，确保你的计算机安全事件响应小组员工，对计算机安全事件响应小组的客户提供适当的服务。 ? ? ? ? ? ? ? ? ? ? ? ? ? ?

负责创建计算机安全事件响应小组的个人可能包括： 首席信息官（CIO） 首席安全官（CSO） 管理者 项目领导 项目小组成员

其他有利害关系或者相关部分

其他对更多关于计算机安全事件响应小组工作有兴趣的成员，可能包括 法律人员 人力资源 现行安全人员 系统和网络管理员 公共关系人员 上层管理

风险管理和审计人员 客户成员

本指南不需要有处理应急事件的经验。

计算机安全事件响应小组的构建与管理 4

课程材料的应用 所有的计算机安全事件响应小组都不一样 每个小组应该由他们根据各自独特的环境，提供的服务类型和实质，做出决定、 课程中的例子和建议反映了 ? ?

注意到不是所有的计算机安全事件响应小组都是相似的。我们不能对您的计算机安全事件响应小组的独特问题最好的解决方案，给出决定性的答案。将团队的标准，应用到不同的情况中。中。记住这条信息，并在你的组织的工作中应用。

什么对计算机安全事件响应小组有好处 遇到的缺陷和益处 计算机安全事件响应小组的构建与管理 5

创建和管理计算机安全事件响应小组 简介 创建一个有效的计算机安全事件响应小组 计算机安全事件响应小组构成 操作性管理问题 事件处理行为 总结 计算机安全事件响应小组的构建与管理 6

动机 建立计算机安全安全事件响应小组的促进因素包括 ? ? ? ? ?

因特网本身已经成为基础设施，因此必须保护它，保证可靠稳定的服务。 网络和系统管理员没有适当的人员和行动阻挡攻击和最小化损害

介绍新的规则和标准，确保对数据的保护和审计。这会对一个组织需要的安全政策和流程产生影响。 如下方面的改变 ? ? ?

组织数据保护需求 当地或者国家法律 制度上的规定

计算机安全安全事件报告的数量、受计算机安全安全事件影响的组织类型和数量，普遍增长 各组织更加集中的意识到对安全政策的需要，并把它作为全面风险管理政策的一部分而实行。 新的法规法令对各组织怎么样需要保护信息财产产生影响 系统和网络管理员单独的运作，不能保护组织系统和资产 需要实现预先的计划和政策 已经迫切需要把安全意识定位到企业级别。 在美国的一些例子包括： ? ? ?

1999年的GRAMM LEACH BLILEY法案（GLBA，即众所周知的金融服务现代化法案）——要求金融机具有客户隐私政策和信息安全程序

健康保险便利及责任法案(HIPAA)——包括保护对于健康组织的确定类型健康信息的隐私和完整性的要求

联邦信息安全管理法案(FICMA)——2002年电子政务法案的一部分，要求美国联邦政府机构有责任确保各自系统的信息安全，其中包括执行每年一次的独立评估。根据此法案，所有美国联邦机构也要求建立应急响应能力和程序，用来发现、报告和响应安全应急事件。

要保证您组织的信息资产安全，需要多层面的努力。 没有一种行为或者解决方案是万能的。

计算机安全事件响应小组的构建与管理 7

事件报告正在增多

上面是提交到计算机安全事件应急小组的报告。

在以后几年中，网络社会在网络安全方面会遇到的问题可以用如下几条概括 ?

因特网的用户和公司的数量正在增长

? ? ? ? ? ? ? ? ? ? 卖方产品发展和测试圈正在减少

运行在因特网上客户端和服务器上的协议和应用程序的复杂性正在增长 有许多信息基础设施有根本性安全设计问题的不能快速解决 入侵技术正在增长

攻击、入侵工具和工具包的的复杂化正在增长 计算机安全入侵数量正在增长

入侵效率正在增长（知识正在被传递到缺少知识的入侵者，因此使入侵更有效） 拥有安全知识和专门基数的人数正在增长，但是远比因特网用户的数量增长速度小。 有效的安全工具数正在增长，但是其不必要和软件、系统和网络复杂性的增长一样快。 事件响应小组的数量正在增长，但是事件响应人数对网络用户的比率正在减少。

计算机安全事件响应小组的构建与管理 8

报告至CERT/CC的漏洞数的增长

漏洞：漏洞就是一组状态，使得对外在或者内在安全策略的违反，成为可能。漏洞可能是软件缺陷、配置或者设计结果、在系统间，或者环境变化间不希望的交互作用。

例子如下：

phf（按照用户“nobody”的远程命令执行） rpc.ttdbserverd(按照根用户的远程命令执行) 全局可写的密码文件（系统评估数据的编辑） 默认密码（远程命令执行或者其他访问） 对降格服务引起的服务问题的拒绝

在软件或者协议中的缓存器溢出（BIND，发送邮件、FTP、TCP等等）

要认识到重要的一点是，从漏洞的发现到爆发时间变得越来越短。周－天－小时－分钟。

计算机安全事件响应小组的构建与管理 9

什么是计算机安全应急响应小组 一个组织或者团队，对规定的用户，提供服务并对计算机安全安全事件的防止和响应给予支持。 要保持您组织信息资产的安全，需要一个多层面的方法。 没有一种行为或者解决方案是万能的。组建一个计算机安全应急响应小组成是一个层面, 还要执行安全配置、安全意识训练和外部、内部的防护，

积极的协同响应始终是必须的，但是我们也必须快速行动，正确实施其他方案，取得如下的效果：

? 拥有安全机制的更高质量的信息技术产品，更好的符合今天系统管理员和用户的知

识、技术以及能力。

? 扩展研究项目，领导计算机安全上的基础性的进步。 ? 大量的技术专家，拥有保护大型复杂系统所需的技术。 ? 计算机空间中，利益相关者对数据安全事务、漏洞和威胁的不断增长和前进的意识与

理解。

就像一个消防队，一个计算机安全应急响应小组可以执行反应的和主动反应的服务。 消防队对火灾进行响应并扑灭之。他们也会预先有准备的，提供火灾预防训练，促进烟雾警报器的安装、防火梯的购买并指导家庭用最正确的方式安全撤离燃烧的建筑物。

CERT/CC的经验是，在一次入侵发生后，很多组织第一次开始思考怎么样处理计算机安全安全事件。

出现了各种缩写，用来指明不同的响应小组。这里列出除CSIRTS以外的一些例子： CERT 计算机事件响应小组 CSIRC 计算机安全事件响应能力 CIRT 计算机事件响应小组 CIRC 计算机事件响应能力 IRT 事件响应小组 SERT 安全应急响应小组 SIRT 安全事件响应小组

计算机安全事件响应小组的构建与管理 10

方法与技术 事件处理不仅仅是以技术的应用，来解决计算机安全事件。 它是行动计划的发展 它是为如下而进行的方法的建立： ? 通告和通讯 ? 合作和协调 ? 分析和响应

计算机安全事件响应小组的构建与管理 11

计算机安全事件响应小组的好处 反应性 ? 集中的响应努力 ? 更高速和标准化的响应 ? 拥有事件处理经验的稳定的团队主干，并具有实用商务知识。 ? 在安全社团中，同其他人的协调。 主动性 ? 支持组织性的商业目标 ? 提供可信的风险数据和商业情报 ? 提供产品开发圈或者网络操作的接口 ? 对履行漏洞评定、发展安全策略和提供意识训练上，提供帮助。 即使最好的信息安全基础，也不能保证不发生入侵或者其他恶意行为。 ? 非常重要的是，当发生计算机安全事件时，组织应该具有响应的有效方法。

? 组织能够识别、分析以及对事件的响应的速度，会限制造成的损害，并降低恢复的成

本。

计算机安全响应小组可以现场指挥快速的响应，牵制和恢复一个计算机安全事件。计算机安全响应小组也许会对被危害的系统很熟悉，所以能更快的协调恢复并提出缓解和响应的策略。他们和其他计算机安全响应小组和安全组织的关系，能够很方便的分享响应策略，对潜在的问题作出较早的警报。

计算机安全响应小组开始于以响应为目的的组织，但是现今在已经发展成一般意义上的，主动防御并保护组织和网络社会重要资产的组织。这种主动的工作包括提供安全意识和教育服务，影响力政策以及研究组和信息交换的协调。它还包括对入侵趋势的分析，并摸索出对变化环境的更好理解，以便响应保护、缓解和响应策略能够被发展并传播。 计算机安全响应小组可以和组织的其他部门一起工作，保证新的系统能够以意识中的安全发展和运行，并且和任一方的安全政策保持一致。他们可以帮助确定组织的漏洞区域，有时能够执行漏洞评定和事件探测。

计算机安全事件响应小组的构建与管理 12

计算机安全响应小组做些什么？ 通常，一个计算机安全响应小组 ? 提供一个单独的联系点，来报告本地问题 ? 确定和分析发生了什么，其中包括冲击和威胁。 ? 研究解决方案和缓解策略 ? 分享响应选项、信息和学习到的课程。 计算机安全响应小组的目标是： ? 最小化和控制损害 ? 提供或者辅助进行有效的响应和恢复 ? 帮助防止以后再发生 对每个人来说，没有一个单独的团队能承担一切！ 计算机安全响应小组和一个IT部门中的安全小组不同。 安全小组履行每天的组织的网络和系统监视。它的责任是保持系统的更新，安装补丁，为减少事件的发生而工作。

计算机安全响应小组可以把这些工作作为他们的一部分，但同时也会按照一个事件信息的仓库来服务，是一个事件报告和分析的中心，是一个事件响应跨组织的协调中心。这种协调功能甚至可以延伸到组织外，包括和其他团队和法律执行机构的合作。

计算机安全事件响应小组的构建与管理 13

一般计算机安全响应小组分类 一般计算机安全响应小组种类包括

? 内部计算机安全响应小组(internal csirt)——对他们的母组织提供事件处理服务，这可

能是银行、大学或者联邦机构的计算机安全响应小组。

? 协调中心(coordination center)——跨不同计算机安全响应小组，或对一个特定的国家、

州、研究网络、或者其他这样的实体，协调和促进对事件的处理。通常会有更大的范围和更多样的客户。

? 分析中心(analysis center)——主要从各种资源中，综合数据，测定事件活动种的趋势

和特征。随后，可以用这些信息帮助预测未来的活动，或当当前活动符合一组先前测定的特征时，提供早期警报。

? 商家(vendor)——和报告、追踪漏洞的组织合作；另外一种类型的商家可能会对他们

自己的组织提供内部事件处理服务。

? 事件响应提供商(incident response provider)——把事件处理服务作为产品，提供给其

他组织。这有时指安全管理服务提供商（MSSPS）

计算机安全事件响应小组的构建与管理 14

计算机安全响应小组发展阶段 阶段1 训练组织(education) 阶段2 工作计划(planning) 阶段3 初始化执行(implementation) 阶段4 运作状态(operation) 阶段5 平级合作(collaboration) 此框图显示了根据CERT CSIRT 反展小组的计算机安全响应小组的反展阶段。 在阶段1，组织想要组建一个团队，但是不真正知道计算机安全响应小组是什么，做什么。组织需要通过这些意识训练，学习实现一个团队的不同方法。

在阶段2，组织具有了一些计算机安全响应小组的知识，开始确定和分析要计划实现计算机安全响应小组遇到的不同问题。

在阶段3，组建了计算机安全响应小组，并开始提供服务。要开始运作，应该拥有一个确定的顾客群、任务和服务、初始的团队和训练、草拟标准操作规程和一个安全基础设施。

在阶段4，计算机安全响应小组要处理事件，并有6个月到1年的运作。

在阶段5，计算机安全响应小组成为一个成熟的团队。它已经存在了二年或者更长，在事件处理上，已经有了相当的经验。他们成为和其他计算机安全响应小组同起同坐的合作者。

很重要的一点是，要认识到你也许已经在一个更高级的阶段，但依然需要回过头，重新审视早些的阶段，确认你正在朝着正确的路线前进。

在这个连续过程中，你把你自己（你的计算机安全响应小组）摆放到什么位置？ 你从前处理过计算机安全事件么？

计算机安全事件响应小组的构建与管理 15

内部计算机安全响应小组的步骤 从管理层得到承认和支持 确认谁需要加入 有管理层发出的通告 选择一个项目小组 搜集信息 研究其他组织正在做什么 确认存在的进程和员工数 访问重要利益相关者和参与者 随着利益相关者的输入，决定了 计算机安全响应小组任务 计算机安全响应小组范围和服务等级 计算机安全响应小组报告结构，权限和 组织模型 确定交互的角色和责任 创建一个基于视野或者框架的计划 获取计划的反馈 发布计算机安全响应小组 得到反馈 列举在一个组织中，内部计算机安全响应小组的步骤：

? 得到对计算机安全响应小组的承认和支持并执行项目；包括资金、资源、项目小组和员

工中参与的其他人的时间。

? 确定在计划和执行进程中，需要谁的加入。

? 上层管理要有一个通告的发送（CEO及其等同地位的，或者CIO及其等同地位的），对

组织解释，计算机安全响应小组正在计划的，和将要遵照执行的基本方法。 ? 选择一个项目小组

? 研究其他组织在创建一个计算机安全响应小组时做什么，并研究存在什么最好的行动和

指导。

? 从现有的组织图标，网络布局、安全策略、制度规章和规则，从现有的灾难恢复或者事

件应急计划、现有的商业连续性计划和重要系统与网络资产详细目录中，搜集信息。 ? 访问商业经理、信息技术职员和经理、以及终端用户，理解对处理计算机安全事件的当

前方法。

? 确认谁履行如下责任：防火墙操作和维护、入侵探测、其他网络或者主机监视、漏洞评

定或者扫描、渗透测试、补丁维护和操作系统更新。

? 访问商业经理、信息技术职员和经理、终端用户、以及来自法律、人力资源和公共关系

的代表，考虑到事件管理和响应，决定这些部门需要什么。

? 随着所有利益相关者的输入，限定了计算机安全响应小组视野或者框架，这包括：计算

机安全响应小组客户、任务、权限、服务、组织模型和需要的员工、装备以及基础设施。 ? 根据视野与框架创建一个计划，使它在组织中，对反馈和意见有效。 ? 根据反馈，随着对任何需要的改变，更新计划。

计算机安全事件响应小组的构建与管理 21

集合信息 集合的关键信息包括： ? 客户有什么要求 ? 必须保护的重要财产是什么 ? 哪些类型的事件经常被报告 ? 存在什么电脑安全问题 ? 需要哪种类型的响应 ? 需要哪种辅助和专家意见？ ? 需要什么方法？ ? 谁要扮演什么角色？ ? 当前有人履行那个角色么？ ? 在通知或者升级进程中，需要谁的加入？ 一旦你开始建立你的视野和框架,作为一种有用的资源和想法,参考其他团队,以及关于事件响应的文档和书籍。

调查同样的组织，它们提供事件处理服务或者组织了计算机安全响应小组。如果你以及和这些组织联系上，看看你能否和他们谈论一些关于他们如何建立他们的团队。如果不能和他们的成员交谈，请参看他们计算机安全响应小组的网站。检查他们的任务、特征、资金安排和服务列表。这会给你一些组织你团队的想法。查阅任何有人可能写的关于计算机安全响应小组或者事件处理的书籍和白皮书。

在CERT计算机安全响应小组开发网页上，可以找到一个资源的初始列表： http://www.cert.org/csirts/resources.html

计算机安全事件响应小组的构建与管理 22

可能有帮助的现有资源 可能提供信息的有效资源 ? 企业和专门商务功能的组织图表 ? 组织性的或者客户系统与网络的布局 ? 关键系统和资产目录 ? 现有灾难恢复或者商业连续性计划 ? 现有的通告组织物理性安全违规的指导 ? 任何现有的事件响应计划 ? 任何母系的或者制度上的关系 这些资源中，许多可能无效，或者没有存在。如果它们有效，并且您能试图接近它们，对这些档案的审阅能够产生双重目的：第一，帮助你评估现有的利益相关者、资源和系统拥有者。第二，提供对现有计算机安全响应小组必须依靠政策的总揽。

作为一个意外收获，你可能会发现，当开发计算机安全响应小组的政策、流程或者文件的时候，这些文件可能含有能被改编的文字内容。它们也可能包含在紧急时刻，必须联系的组织代表的通用报告目录——这些目录的类型可能也会因计算机安全响应小组工作和方法而改变。

计算机安全事件响应小组的构建与管理 23

需要谁的参与： 内部计算机安全响应小组 事件处理不是一个自我约束的过程。必须跨组织的建立关系、交流通道、数据共享协议和政策流程。对于一个内部小组，这包括： ? 商务经理。它们需要理解计算机安全响应小组是什么和它怎么样帮助支持它们的商务过

程。考虑到计算机安全响应小组的覆盖商务系统的权限，以及谁能做决定让重要商务系统必须从网络断开或者关闭，必须签订协议。 ? 来自IT的代表。IT员工和计算机安全响应小组怎么交互？IT员工会采取什么行动？计

算机安全响应小组成员会采取什么行动？IT员工能提供给计算机安全响应小组什么信息？计算机安全响应小组能提供给IT成员什么信息？它们各自都有什么角色和权限？ ? 来自法律部门的代表。在什么时间，用什么方法，法律部门参与到事件响应的作用中？ ? 来自人力资源部门的代表。需要他们参与，为解除被发现参与未授权或者违法计算机活

动的内部职员，而开发政策流程。 ? 来自公共关系的代表。他们必须准备处理任何媒体需求，帮助发展信息公开政策和活动。 ? 任何现有的安全团体，包括物理性的安全团体。计算机安全响应小组需要和这些团体交

换关于计算机事件的信息，并和他们分享解决问题的责任，这包括计算机或者数据盗窃事件。

? 审计和风险管理专家。他们可以帮助发展对客户系统的处理度量与风险。 ? 任何法律执行联络人或者调查人。联系到他们时，他们会了解小组怎样以法律执行工作，

并且明白谁会做调查，甚至法庭鉴定。

? 来自客户的普通代表。他们能够提供对他们需要和需求的解释。

计算机安全事件响应小组的构建与管理 24

需要谁的参与： 协调中心 对于作为协调中心的小组，或者支持一个州、国家、省或者同等政府实体客户的小组——更难决定怎么样与多方参与的组织建立关系。

计算机安全安全事件响应小组仅仅能处理如下特别的组织么？ ? 政府组织 ? 军队组织 ? 重要基础设施 ? 商务组织

或者，计算机安全安全事件响应小组 会从公众接收报告，发布信息？

计算机安全事件响应小组的构建与管理 25

从哪里开始？ 什么已经就绪？——创建专门技术矩阵 ? 专业技术有什么？ 什么工具已经就绪？ 集体攻关与讨论——设计工作量 ? 需要的响应和通告策略 ? 随着计算机安全响应小组的增加，需要做什么改变？ ? 计算机安全响应小组怎么样适应任何灾难恢复或者商务连续性计划？ 执行——培养员工和方法 ? 制定临时计划 ? 制定长期计划 其他涉及的问题包括

? 已经有一个现有的追踪系统，你必须要结合么？ ? 有特定的组织需要和政策，你必须要遵守么？ ? 有服务等级协议，你必须遵守么？

计算机安全事件响应小组的构建与管理 26

获得一致同意 计算机安全响应小组的定义 ? 任务 ? 服务 ? 角色和责任 ? 权限 计算机安全事件的定义 ? 分级 ? 优先权 ? 自动调整标准 什么是计算机安全事件？ 通常的定义可能包括：

? 任何真实的，或者被怀疑的，关系到计算机系统或者计算机网络安全的不利事件。 ? 违反显式或者隐式安全政策的行为 计算机安全响应小组需要建立标准，不仅仅定义计算机安全事件的组成，也定义了它怎么样被处理。

? 这个定义可以是一个安全政策中的概述；它也应该包括在事件报告指导中。 ? 组织的必须保护的重要资产，也应该被定义。 计算机安全事件的例子包括：

? 获得未授权的路径，访问系统或者其数据的成功（失败）的企图。 ? 不希望的服务终端或者拒绝

? 对进程或者数据存储的未授权的系统应用 ? 没有所有者的同意，改变系统 ? 计算机病毒的发生

? 通过对计算机系统范围的网络，进行探测或者扫描漏洞。

计算机安全事件响应小组的构建与管理 27

共同问题 失败于： ? 包括所有的参与团体 ? 取得一致意见 ? 发展全面的视野和框架 ? 大纲、档案政策和流程 组织斗争 具有太多服务 不现实的展望或者预测 时间、员工和资金的缺乏 计算机安全事件响应小组的构建与管理 28

计算机安全响应小组的创建与管理 介绍 创建一个有效的计算机安全响应小组 计算机安全响应小组构成 操作性管理问题 事件处理活动 总结 计算机安全事件响应小组的构建与管理 29

计算机安全响应小组构成 ? 客户 ? 任务 ? 组织问题 ? 资金 ? 服务 ? 政策流程 ? 资源（在后面一节讨论） 作为资源的员工、装备和基础设施，会在本文的操作性管理问题一节做讨论。

计算机安全事件响应小组的构建与管理 30

定义你的客户 根据你的项目，你的客户可能已经被定义 如果还没有定义你的客户，你需要决定它是谁，是什么。 客户定义完或者之前，需要致力于什么问题？ 要理解你的客户会帮助你决定他们有什么需要，需要保护什么资产和对你的计算机安全响应小组的需要会是什么。利用这个信息会帮助你决定，你不得不提供什么服务，什么类型的组织模型会适合所需服务的提交。

定义你的客户也会在你的团队开始操作时，帮助你圈定你的工作。它会帮助你决定你要处理什么需求，决定你会传递到其他计算机安全响应小组或者相关团体什么请求。

有些团体可能已经定义了他们的客户。例如，在一个小商务团体中的计算机安全响应小组，很可能会把此商务团体的雇员作为他们的客户。此外，可能不容易定义一个客户群。大学中的计算机安全响应小组，会把不同系的系统和网络管理员，或者包括所有教职员工和学生的整个大学人口作为他们的客户。对于一个大学计算机安全响应小组，它应该决定写什么级别的警报和建议，并作出什么类型的响应。

如前所述，对于国家，州的团队，或者对于协调中心，定义客户是困难的。但是这是必须做的事情，因为它影响到在计划进程中，谁会参与和要提供什么类型的服务。这个问题必须涉及——协调中心或者国家团队需要与谁工作和合作。他们向谁发送通告、警报和其他信息？

这里面可能有其他政府机构、重要基础设施组织、军队机构或者广大群众。每个客户会有各自的需求。

计算机安全事件响应小组的构建与管理 31

决定你的任务 在你的计算机安全响应任务小组任务书中，你应该定义你的任务。 请求注解（RFC）2350规定你的任务应该： ? 解释你团队的目的 ? 突出团队的核心目标目的 一些基本问题 ? 计算机安全响应任务小组的主要目的是恢复系统或者搜集证据？ ? 计算机安全响应任务小组会执行： 法庭鉴定任务么？ IDS或者防火墙维护么？ RFC2350，计算机安全响应期望，是一个因特网最优当前实现（BCP）文档（提供关于计算机安全响应小组客户和一般网络社团，需要明确定义和说明的主题与事件的信息）（FRC2350，摘要）

一些计算机安全响应小组以图标的形式，发展了更为广泛的陈述，概括了他们的任务、客户、主办人和权限。（RFC2350，节3.3） RFC的URL是

http://www.ietf.org/rfc/rfc/rfc2350.txt

根据计算机安全响应小组手册第二版（10－11页），你的任务说明应该： ? 不要不明确

? 用至少三个或者四个句子——“计算机安全响应小组负责”——指明任务。 ? 如果团队圈定在一个较大组织内，或者由一个外部实体融资，计算机安全响应小组任务

说明必须补充上这些组织的任务。 要遇到的问题可能包括：

? 怎么面对公众把计算机安全响应小组当作计算机警察的理解？ ? 如果你的任务和组织其他部分的另外一个任务交叠，应该怎么做？

计算机安全事件响应小组的构建与管理 32

组织层次 要遇到的一些问题： ? 在组织中，计算机安全响应小组适应于哪里？ ? 计算机安全响应小组向谁报告？ 以上问到的两个问题相互依赖。计算机安全响应小组向谁报告依据于它在组织中位于什么位置，反之亦然。

计算机安全响应小组应该在IT或者无线通讯部门、安全团队或者自成一体。计算机安全响应小组应该报告给CIO 、CEO、CSO或者其他部门领导。

很重要的是，要考虑到事件处理和响应时，计算机安全响应小组需要采取什么行动，考虑需要什么类型的管理支持，协助这些行动。确认这样的问题，建议应该有正确的汇报或者管理结构。

CERT/CC指导了14个计算机安全响应小组的非正式调查——他们中的多数指出，他们的事件处理能力位于母公司的信息技术部门（IT）。我们没有为什么会这样的信息。它可能和方便或者专家意见有关。它也可能是一个策略上的决定。

计算机安全响应小组的权限定义是由上面列举的最初的两栏联合决定的。计算机安全响应小组有多少权限，决定事件响应、恢复和安全防护，会由在组织结构中，它的位置和计算机安全响应小组向谁报告影响。

计算机安全事件响应小组的构建与管理 33

计算机安全响应小组和企业的交互 计算机安全响应小组怎么样和任何信息技术部门交互？ 计算机安全响应小组怎么样适应于： ? 改变管理方法 ? 软件安装和更新进程 计算机安全响应小组怎么样和调查或者法律执行团队合作？ 计算机安全响应小组怎么样对像防火墙或者IDS的外部和内部防护改变做建议？ 计算机安全事件响应小组的构建与管理 34

报告结构——国家、州或者同级计算机安全响应小组 要考虑的一些问题： ? 谁作为计算机安全响应小组寄主？ ? 谁由计算机安全响应小组支持？ ? 谁向计算机安全响应小组报告事件和信息？ ? 谁接收计算机安全响应小组通告和信息？ 团队作为协调中心或者支持州、国家、省或者同样政府实体客户的团队，会更难决定多方参与组织的关系如何建立。

计算机安全响应小会组仅仅处理如下的特别组织么？ ? 政府组织 ? 军队组织 ? 重要基础设施 ? 商务组织

或者计算机安全响应小组会和公众进行信息报告和发送么？

计算机安全事件响应小组的构建与管理 35

计算机安全响应小组和客户的交互 计算机安全响应小组会向客户提供什么信息？ 客户会向计算机安全响应小组提供什么信息？ 计算机安全响应小组协调中心会和现有客户计算机安全响应小组怎样交互？ 要考虑的一些问题是，计算机安全响应小组协调中心应该对谁，以什么期限发布建议和警报？许多构建的计算机安全响应小组可能已经从其他资源接收到这个信息。

计算机安全事件响应小组的构建与管理 36

计算机安全安全事件响应小组权限 计算机安全安全事件响应小组的权限是什么？ ? 完全的 ? 共享的 ? 没有权限 或者它是其他什么？ ? 非直接权限 ? 根据事件决定的 权限描述了计算机安全响应小组对自己行为和客户行为的控制力，这些行为关系到计算机安全和事件响应。权限是计算机安全响应小组对它服务的组织的最基本的关系。 根据计算机安全响应小组手册（第二版，15页），计算机安全响应小组与它的客户有3个明显等级的权限或者关系：

? 完全——计算机安全响应小组可以在没有管理批准的情况下，做出决定，执行响应和恢

复行动。例如，拥有完全权限的计算机安全响应小组，在入侵攻击时，可能会告知系统管理员从网络断开系统，或者计算机安全响应小组自己断开系统。 ? 共享：在计算机安全事件中，计算机安全响应小组根据要采取的行动，参与决策的过程，

但是只能影响，不能做出决定。

? 无权限——计算机安全响应小组不能独自做出任何决定或者采取任何行动。计算机安全

响应小组只能作为组织的建议者。计算机安全响应小组不能执行任何行动。CERT/CC是一个对其客户——网络共同体没有权限的计算机安全响应小组。

另外一种权限（在计算机安全响应小组手册（第二版）第15页提到）是非直接权限。在这种情况下，计算机安全响应小组会因为其位置，对客户施加压力，使其采取指定的行动。例如一个ISP可能会强迫其客户采取指定的行动或者面对网络服务的不连续。

对于一个在任务中成功的计算机安全响应小组，很重要的是管理层对团队拥有的权限等级的同意和支持，否则，团队会在组织中失去信誉，并不会成功。管理层也应该把计算机安全响应小组的权限，准确清晰的传达给客户——特别是部门经理、系统和网络管理员、以及其他任何在组织的团体。

计算机安全事件响应小组的构建与管理 37

可选计算机安全响应小组模型 计算机安全响应小组怎么样和组织和客户，进行操作与交互？ 模型包括： ? 安全团队 ? 内部分布式团队 ? 内部集中式团队 ? 内部分布集中式结合团队 ? 协调中心 你可能需要不只一个模型 你的模型会随着时间而发展。 这里有几个简单的组织模型。每个计算机安全响应小组模型类型有其优势、弱点和好处。你选择模型要依据于： ? 你的客户位于什么位置 ? 你的团队位于什么位置 ? 你提供什么服务 ? 需要共享什么信息

? 需要采取什么类型的行动 模型定义

安全团队——在这个模型中，组织中没有任何团队或者部分对所有事件处理活动，被授予正式的责任。没有建立计算机安全响应小组。 内部分布式团队——在这个模型中，组织利用现有员工，提供一个虚拟的分布式计算机安全响应小组，它在形式上被特许处理事件响应活动。 内部集中式团队——本模型中，员工为满工，这表明计算机安全响应小组随时对定义客户提供事件处理服务。

内部分步式集中式混合团队——本模型是对集中式计算机安全响应小组和分布式计算机安全响应小组的一个结合。 协调中心——在这个模型中，计算机安全响应小组通过不同的外部组织，对事件处理进行协调和促进。

你可能需要不只一个模型。例如，考虑一个大的，地理分布分散的组织。它可能现场需要本地团队，通过每个区域性的计算机安全响应小组报告给区域性的、集中式的计算机安全响应小组，然后报告给协调中心，协调中心把综合信息送到分析团队，进行对未来趋势和特征的研究。

要记住的重要的一件事是，不能总是一次做所有的事。你会需要递增的增加资源。许多团队开始时，只提供事件处理服务，逐渐成长，引入其他服务和模型，作为资源、预算和支持允许。你的模型需要根据你的任务、优先权、提供的服务或者资助者的变化，随着时间不断改正。

计算机安全事件响应小组的构建与管理 38

你的计算机安全响应小组应该多大？ 根据任务、目标、服务、经验、工作量和成本，大小会不同。 确定你没有一点失败 确保你的计算机安全响应小组员工已经普遍训练过 要理解其他组织的评估可能不适合你的情况。 没有这个问题的简单回答。不同的计算机安全响应小组有不同的员工级别，适合他们的模型。目前没有真的科学研究，仅仅是一些轶闻信息。 量化付出和成本的类型是十分困难的。你必须以你的工作量和资源，作为你决定的依据。永远记住，你从不想有一点失败，所以事件处理投入一个人是永远也不够的。

计算机安全事件响应小组的构建与管理 39

为你的计算机安全事件响应小组获取资金 对你计算机安全事件响应小组资金支持的不同策略 ? 会员订阅 ? 基于费用的服务 ? 契约服务 ? 政府赞助 ? 学术或者研究赞助 ? 母组织资金 ? 财团赞助 ? 以上的混合 会员订阅

? 对一定范围服务的享受，是基于时间的订阅费用。 ? AUSCERT有会员订阅 基于费用的服务

? 对享受的服务付费

? CANCERT和MYCERT有基于费用的服务 契约服务

? 把计算机安全事件响应小组对组织采取外部采购的形式，提供事件处理服务 ? 像IBM,CISCO，许多这样有高度顾问资格的商业组织。 政府赞助

? 政府资助计算机安全事件响应小组 ? REDCERT由美国政府赞助 学术或者研究赞助

? 学校或者研究网络赞助计算机安全事件响应小组 ? DANTE,NORDUNET都是由研究网络赞助的。 母组织资金

? 母组织建立计算机安全事件响应小组并提供资金支持 ? IBM,GE和COMPAQ CSITS都是FIRST的会员 财团赞助

? 团队或者组织、政府授权、大学等等共同资金支持 以上的混合

? CERT/CC是由政府和私人赞助支持的

计算机安全事件响应小组的构建与管理 40

本文来源：https://www.bwwdw.com/article/t0f.html