企业安全响应团队的构建与管理

1、计算机安全事件响应小组协调中心（CERT/CC）是由美国防高级研究计划局在1988年10月，一次网络蠕虫事件发生后创立的。CERT/CC位于卡内基梅隆大学软件工程学院（SEI），SEI是一个联邦政府资助的研究开发中心（FFRDC），它是由美国国防部秘书处下属的采办、技术和后勤办公室(OUSD(AT&L)发起的。CERT/CC的任务是：履行协调调中心的的职责。鼓励通过过网络社社团的合合作，取取得有效效的事件件响应。帮助其它它组织组组建响应应队伍，并且引导紧急急事件趋趋势的研研究和分分析。部分工工作是源源起美国国陆军信信息作战战局（LLIWAA）和美美国国防防信息系系统局（DISSA）.CSIRR

2、TS的的创建与与管理简介创建一个个有效率率的计算算机安全全事件响响应小组组计算机安安全事件件响应小小组的构构成操作性管管理问题题事件处理理行动总结简介创建一个个有效的的计算机机安全事事件响应应小组什么是计计算机安安全事件件响应小小组？计算机安安全事件件响应小小组做些些什么？计算机安安全事件件响应小小组的通通常种类类培养你的的视野执行建议议计算机安安全事件件响应小小组构成成赞助者任务资金组织问题题服务政策和程程序资源操作性管管理问题题计算机安安全事件件响应小小组员工工问题管理计算算机安全全事件响响应小组组基础设设施计算机安安全事件件响应小小组效率率的评估估应急处理理行为危急信息息筛选协调响应应总

3、结提交人：GEORRGIAA KIILLCCRECCEROBIIN RRUEFFLEMARKK ZAAJICCEK CERTT CSSIRTT开发小小组 网络系系统可生生存性 软件工工程学院院 卡内基梅梅隆大学学 目的我们为您您提供：计算机安安全事件件响应小小组的目目的和构构成的介介绍组建一一个计算算机安全全事件响响应小组组的基本本原理计算机机安全事事件响应应小组的的好处必备条条件和框框架服务种种类和标标准必须的的政策和和流程协作和和通讯对希望计计算机安安全事件件响应小小组管理理者和员员工应该该处理的的工作类类型，有有一定的的熟悉。介绍应急急处理方方法和应应急响应应行为的的本质。本指南南呈现了

4、了对管理理、组织织上和程程序问题题的高水水平概述述，它包包含了创创建和运运行一个个计算机机紧急事事件响应应小组的的问题。本节会会对计算算机应急急响应小小组的目目的和结结构做一一个介绍绍。这包包括：组建一个个计算机机安全事事件响应应小组的的基本原原理计算机安安全事件件响应小小组的好好处组建一个个有效的的计算机机安全事事件响应应小组的的必备条条件和框框架计算机安安全事件件响应小小组能够够提供的的服务种种类和标标准计算机安安全事件件响应小小组应该该建立和和这行的的必须政政策和流流程在小组内内和小组组间，协协作和通通讯的重重要性本节会会对计算算机安全全事件响响应小组组管理者者和员工工应该处处理的工工作

5、类型型，做一一些熟悉悉。同时时会对紧紧急事件件处理方方法和紧紧急事件件响应行行为的本本质做一一些介绍绍。专门门的主题题会包括括：确定危急急信息提供热线线和筛选选功能协调响应应管理计算算机安全全事件响响应小组组基础设设施保护计算算机安全全事件响响应小组组数据雇佣计算算机安全全事件响响应小组组员工适用读者者各类计算算机安全全应急响响应小组组的管理理者未来的新的现有的其它需要要对计算算机安全全事件响响应小组组管理问问题，想想要有了了解的个个人负责创建建计算机机安全事事件响应应小组的的个人对学习关关于计算算机安全全事件响响应小组组更多知知识有兴兴趣的个个人本指南南为管理理者和其其它有兴兴趣的员员工设计

6、计，提供供包括创创建和运运行计算算机安全全事件响响应小组组问题的的综述，同时提提供必要要的决策策，确保保你的计计算机安安全事件件响应小小组员工工，对计计算机安安全事件件响应小小组的客客户提供供适当的的服务。负责创创建计算算机安全全事件响响应小组组的个人人可能包包括：首席信息息官（CCIO）首席安全全官（CCSO）管理者项目领导导项目小组组成员其它有利利害关系系或者相相关部分分其它对对更多关关于计算算机安全全事件响响应小组组工作有有兴趣的的成员，可能包包括法律人员员人力资源源现行安全全人员系统和网网络管理理员公共关系系人员上层管理理风险管理理和审计计人员客户成员员本指南南不需要要有处理理应急事事

7、件的经经验。课程材料料的应用用所有的计计算机安安全事件件响应小小组都不不一样每个小组组应该由由他们根根据各自自独特的的环境，提供的的服务类类型和实实质，做做出决定定、课程中的的例子和和建议反反映了什么对计计算机安安全事件件响应小小组有好好处遇到的缺缺陷和益益处注意到到不是所所有的计计算机安安全事件件响应小小组都是是相似的的。我们们不能对对您的计计算机安安全事件件响应小小组的独独特问题题最好的的解决方方案，给给出决定定性的答答案。将将团队的的标准，应用到到不同的的情况中中。中。记住这这条信息息，并在在你的组组织的工工作中应应用。创建和管管理计算算机安全全事件响响应小组组简介创建一个个有效的的计算

8、机机安全事事件响应应小组计算机安安全事件件响应小小组构成成操作性管管理问题题事件处理理行为总结动机建立计算算机安全全安全事事件响应应小组的的促进因因素包括括计算机安安全安全全事件报报告的数数量、受受计算机机安全安安全事件件影响的的组织类类型和数数量，普普遍增长长各组织更更加集中中的意识识到对安安全政策策的需要要，并把把它作为为全面风风险管理理政策的的一部分分而实行行。新的法规规法令对对各组织织怎么样样需要保保护信息息财产产产生影响响系统和网网络管理理员单独独的运作作，不能能保护组组织系统统和资产产需要实现现预先的的计划和和政策因特特网本身身已经成成为基础础设施，因此必必须保护护它，保保证可靠靠

9、稳定的的服务。网络络和系统统管理员员没有适适当的人人员和行行动阻挡挡攻击和和最小化化损害介绍新新的规则则和标准准，确保保对数据据的保护护和审计计。这会会对一个个组织需需要的安安全政策策和流程程产生影影响。如下方面面的改变变组织数据据保护需需求当地或者者国家法法律制度上的的规定已经迫切切需要把把安全意意识定位位到企业业级别。在美国的的一些例例子包括括：19999年的GRRAMMM LEEACHH BLLILEEY法案案（GLLBA，即众所所周知的的金融服服务现代代化法案案）要求金金融机具具有客户户隐私政政策和信信息安全全程序健康保险险便利及及责任法法案(HHIPAAA)包括括保护对对于健康康组织

10、的的确定类类型健康康信息的的隐私和和完整性性的要求求联邦信息息安全管管理法案案(FIICMAA)20002年电电子政务务法案的的一部分分，要求求美国联联邦政府府机构有有责任确确保各自自系统的的信息安安全，其其中包括括执行每每年一次次的独立立评估。根据此此法案，所有美美国联邦邦机构也也要求建建立应急急响应能能力和程程序，用用来发现现、报告告和响应应安全应应急事件件。要保证证您组织织的信息息资产安安全，需需要多层层面的努努力。没有一一种行为为或者解解决方案案是万能能的。事件报告告正在增增多上面是提提交到计计算机安安全事件件应急小小组的报报告。在以后几几年中，网络社社会在网网络安全全方面会会遇到的的

11、问题可可以用如如下几条条概括因特网的的用户和和公司的的数量正正在增长长卖方产品品发展和和测试圈圈正在减减少运行在因因特网上上客户端端和服务务器上的的协议和和应用程程序的复复杂性正正在增长长有许多信信息基础础设施有有根本性性安全设设计问题题的不能能快速解解决入侵技术术正在增增长攻击、入入侵工具具和工具具包的的的复杂化化正在增增长计算机安安全入侵侵数量正正在增长长入侵效率率正在增增长（知知识正在在被传递递到缺少少知识的的入侵者者，因此此使入侵侵更有效效）拥有安全全知识和和专门基基数的人人数正在在增长，但是远远比因特特网用户户的数量量增长速速度小。有效的安安全工具具数正在在增长，但是其其不必要要和软

12、件件、系统统和网络络复杂性性的增长长一样快快。事件响应应小组的的数量正正在增长长，但是是事件响响应人数数对网络络用户的的比率正正在减少少。报告至CCERTT/CCC的漏洞洞数的增增长漏洞：漏漏洞就是是一组状状态，使使得对外外在或者者内在安安全策略略的违反反，成为为可能。漏洞可可能是软软件缺陷陷、配置置或者设设计结果果、在系系统间，或者环环境变化化间不希希望的交交互作用用。例子如下下：phf（按照用用户“nobbodyy”的远程程命令执执行）rpc.ttddbseerveerd(按照根根用户的的远程命命令执行行)全局可写写的密码码文件（系统评评估数据据的编辑辑）默认密码码（远程程命令执执行或者者

13、其它访访问）对降格服服务引起起的服务务问题的的拒绝在软件或或者协议议中的缓缓存器溢溢出（BBINDD，发送送邮件、等等）要认识到到重要的的一点是是，从漏漏洞的发发现到爆爆发时间间变得越越来越短短。周天小小时分分钟。什么是计计算机安安全应急急响应小小组一个组织织或者团团队，对对规定的的用户，提供服服务并对对计算机机安全安安全事件件的防止止和响应应给予支支持。 要保持持您组织织信息资资产的安安全，需需要一个个多层面面的方法法。 没没有一种种行为或或者解决决方案是是万能的的。组建建一个计计算机安安全应急急响应小小组成是是一个层层面, 还要执执行安全全配置、安全意意识训练练和外部部、内部部的防护护，

14、积极的的协同响响应始终终是必须须的，但但是我们们也必须须快速行行动，正正确实施施其它方方案，取取得如下下的效果果：拥有安全全机制的的更高质质量的信信息技术术产品，更好的的符合今今天系统统管理员员和用户户的知识识、技术术以及能能力。扩展研究究项目，领导计计算机安安全上的的基础性性的进步步。大量的技技术专家家，拥有有保护大大型复杂杂系统所所需的技技术。计算机空空间中，利益相相关者对对数据安安全事务务、漏洞洞和威胁胁的不断断增长和和前进的的意识与与理解。 就就像一个个消防队队，一个个计算机机安全应应急响应应小组可可以执行行反应的的和主动动反应的的服务。消防队对对火灾进进行响应应并扑灭灭之。他他们也会

15、会预先有有准备的的，提供供火灾预预防训练练，促进进烟雾警警报器的的安装、防火梯梯的购买买并指导导家庭用用最正确确的方式式安全撤撤离燃烧烧的建筑筑物。 CCERTT/CCC的经验验是，在在一次入入侵发生生后，很很多组织织第一次次开始思思考怎么么样处理理计算机机安全安安全事件件。 出出现了各各种缩写写，用来来指明不不同的响响应小组组。这里里列出除除CSIIRTSS以外的的一些例例子：CERTT计算机机事件响响应小组组CSIRRC计算机机安全事事件响应应能力CIRTT计算机机事件响响应小组组CIRCC计算机机事件响响应能力力IRT事件响响应小组组SERTT安全应应急响应应小组SIRTT安全事事件响应

16、应小组方法与技技术事件处理理不仅仅仅是以技技术的应应用，来来解决计计算机安安全事件件。它是行动动计划的的发展它是为如如下而进进行的方方法的建建立：通告和通通讯合作和协协调分析和响响应计算机安安全事件件响应小小组的好好处反应性集中的响响应努力力更高速和和标准化化的响应应拥有事件件处理经经验的稳稳定的团团队主干干，并具具有实用用商务知知识。在安全社社团中，同其它它人的协协调。主动性支持组织织性的商商业目标标提供可信信的风险险数据和和商业情情报提供产品品开发圈圈或者网网络操作作的接口口对履行漏漏洞评定定、发展展安全策策略和提提供意识识训练上上，提供供帮助。 即使最最好的信信息安全全基础，也不能能保证

17、不不发生入入侵或者者其它恶恶意行为为。非常重要要的是，当发生生计算机机安全事事件时，组织应应该具有有响应的的有效方方法。组织能够够识别、分析以以及对事事件的响响应的速速度，会会限制造造成的损损害，并并降低恢恢复的成成本。 计算机机安全响响应小组组可以现现场指挥挥快速的的响应，牵制和和恢复一一个计算算机安全全事件。计算机机安全响响应小组组也许会会对被危危害的系系统很熟熟悉，所所以能更更快的协协调恢复复并提出出缓解和和响应的的策略。他们和和其它计计算机安安全响应应小组和和安全组组织的关关系，能能够很方方便的分分享响应应策略，对潜在在的问题题作出较较早的警警报。 计算机机安全响响应小组组开始于于以响

18、应应为目的的的组织织，但是是现今在在已经发发展成一一般意义义上的，主动防防御并保保护组织织和网络络社会重重要资产产的组织织。这种种主动的的工作包包括提供供安全意意识和教教育服务务，影响响力政策策以及研研究组和和信息交交换的协协调。它它还包括括对入侵侵趋势的的分析，并摸索索出对变变化环境境的更好好理解，以便响响应保护护、缓解解和响应应策略能能够被发发展并传传播。 计算机机安全响响应小组组可以和和组织的的其它部部门一起起工作，保证新新的系统统能够以以意识中中的安全全发展和和运行，并且和和任一方方的安全全政策保保持一致致。他们们可以帮帮助确定定组织的的漏洞区区域，有有时能够够执行漏漏洞评定定和事件件

19、探测。计算机安安全响应应小组做做些什么么？通常，一一个计算算机安全全响应小小组提供一个个单独的的联系点点，来报报告本地地问题确定和分分析发生生了什么么，其中中包括冲冲击和威威胁。研究解决决方案和和缓解策策略分享响应应选项、信息和和学习到到的课程程。计算机安安全响应应小组的的目标是是：最小化和和控制损损害提供或者者辅助进进行有效效的响应应和恢复复帮助防止止以后再再发生对每个人人来说，没有一一个单独独的团队队能承担担一切！ 计算机机安全响响应小组组和一个个IT部门门中的安安全小组组不同。 安全小小组履行行每天的的组织的的网络和和系统监监视。它它的责任任是保持持系统的的更新，安装补补丁，为为减少事事

20、件的发发生而工工作。 计算机机安全响响应小组组可以把把这些工工作作为为他们的的一部分分，但同同时也会会按照一一个事件件信息的的仓库来来服务，是一个个事件报报告和分分析的中中心，是是一个事事件响应应跨组织织的协调调中心。这种协协调功能能甚至可可以延伸伸到组织织外，包包括和其其它团队队和法律律执行机机构的合合作。一般计算算机安全全响应小小组分类类一般计算算机安全全响应小小组种类类包括内部计算算机安全全响应小小组(iinteernaal ccsirrt)对他他们的母母组织提提供事件件处理服服务，这这可能是是银行、大学或或者联邦邦机构的的计算机机安全响响应小组组。协调中心心(cooorddinaati

21、oon ccentter)跨不不同计算算机安全全响应小小组，或或对一个个特定的的国家、州、研研究网络络、或者者其它这这样的实实体，协协调和促促进对事事件的处处理。通通常会有有更大的的范围和和更多样样的客户户。分析中心心(annalyysiss ceenteer)主要要从各种种资源中中，综合合数据，测定事事件活动动种的趋趋势和特特征。随随后，可可以用这这些信息息帮助预预测未来来的活动动，或当当当前活活动符合合一组先先前测定定的特征征时，提提供早期期警报。商家(vvenddor)和报报告、追追踪漏洞洞的组织织合作；另外一一种类型型的商家家可能会会对他们们自己的的组织提提供内部部事件处处理服务务。事

22、件响应应提供商商(innciddentt reespoonsee prroviiderr)把事件件处理服服务作为为产品，提供给给其它组组织。这这有时指指安全管管理服务务提供商商（MSSSPSS）计算机安安全响应应小组发发展阶段段阶段1训练组组织(eeduccatiion)阶段2工作计计划(pplannninng)阶段3初始化化执行(impplemmenttatiion)阶段4 运作作状态(opeerattionn)阶段5平级合合作(ccolllaboorattionn) 此框图图显示了了根据CCERTT CSSIRTT 反展展小组的的计算机机安全响响应小组组的反展展阶段。 在阶段段1，组织织想

23、要组组建一个个团队，但是不不真正知知道计算算机安全全响应小小组是什什么，做做什么。组织需需要通过过这些意意识训练练，学习习实现一一个团队队的不同同方法。 在阶段段2，组织织具有了了一些计计算机安安全响应应小组的的知识，开始确确定和分分析要计计划实现现计算机机安全响响应小组组遇到的的不同问问题。 在阶段段3，组建建了计算算机安全全响应小小组，并并开始提提供服务务。要开开始运作作，应该该拥有一一个确定定的顾客客群、任任务和服服务、初初始的团团队和训训练、草草拟标准准操作规规程和一一个安全全基础设设施。 在在阶段44，计算算机安全全响应小小组要处处理事件件，并有有6个月到到1年的运运作。 在在阶段5

24、5，计算算机安全全响应小小组成为为一个成成熟的团团队。它它已经存存在了二二年或者者更长，在事件件处理上上，已经经有了相相当的经经验。他他们成为为和其它它计算机机安全响响应小组组同起同同坐的合合作者。 很重要要的一点点是，要要认识到到你也许许已经在在一个更更高级的的阶段，但依然然需要回回过头，重新审审视早些些的阶段段，确认认你正在在朝着正正确的路路线前进进。 在在这个连连续过程程中，你你把你自自己（你你的计算算机安全全响应小小组）摆摆放到什什么位置置？ 你你从前处处理过计计算机安安全事件件么？创建一个个有效的的计算机机安全响响应小组组要有效，一个计计算机安安全响应应小组需需要四个个基本元元素可操

25、作的的框架服务和策策略框架架质量保证证框架适应变化化的环境境和变化化的威胁胁形式的的能力。操作框架架清晰的任任务规定的客客户组织基地地和其它组组织团队队的正式式关系服务和政政策框架架明确的服服务明确的信信息流定义搜集集,记录,追踪和和取得信信息的方方法清晰的,容易理理解的组组织范围围的政策策有效的质质量保证证行动定义一个个质量系系统专门的对对质量参参数的测测量和检检查方法法报告和审审查行动动与流程程保证质量量级别的的结算,遵守和和自动调调整流程程客户和顾顾客的反反馈适应性和和灵活性性跟上变化化的技术术的能力力适应实时时威胁未未来紧急急威胁的的能力法律建议议和支持持建立你的的视野 您计算算机安全

26、全响应小小组框架架的基本本组成，或者说说建筑砖砖石，组组成您计计算机安安全响应应小组的的视野。这些元元素包括括：顾客您为谁谁服务任务您做什什么？您您的目的的？服务务怎么么样完成成您的任任务。怎怎么为你你的顾客客服务你处理的的事件类类型你执行的的行动类类型组织结构构你怎怎么操作作？它是是怎么结结合在一一起的？资源你需要要什么资资源去执执行您的的任务？资金你怎么么偿付它它？以上上所有的的都是由由资金支支持的。管理和客客户买入入没有有这点，它不能能成功。这是视视野立足足的根本本。 计算机机安全响响应小组组的各元元素互相相影响，并因此此影响到到您的设设计。例例如，您您的任务务会受到到您客户户和需求求的

27、影响响。你的的资源和和怎样分分配他们们会影响响你需要要的组织织模型、你能提提供的服服务和你你执行任任务的好好坏。 在在确定您您的视野野或者框框架的时时候，你你需要考考虑所有有这些元元素，并并试图找找到他们们中间的的平衡。需要做什什么？建建立一个个响应计计划结合到现现有的方方法和组组织结构构中加强和提提高客户户有效管管理计算算机安全全事件的的能力作为保护护和确保保重要商商务功能能和资产产的全面面策略的的一部分分训练员工工，使其其对以下下2种情况况都能确确认威胁对商商务功能能的影响响和范围围适当的缓缓解和恢恢复方案案执行建议议得到管理理买入和和组织的的同意要和母组组织或者者客户组组织策略略与商务务

28、目标一一致。选择一个个计算机机安全响响应小组组发展项项目小组组。在整个进进程种保保持交流流从小起步步，不断断成长。只要合适适，就利利用现有有的（再再利用是是很好的的） 应该建建立一个个有权限限决定的的计算机机安全响响应小组组计划小小组项目目领导。这个项项目小组组应该代代表相关关的团体体和组织织。 所所有利益益相关者者和客户户代表应应该通过过执行，从初始始的计划划阶段，就参与与计算机机安全响响应小组组的发展展中。 在在商业或或者教育育组织中中，这可可能包括括法律顾顾问、公公共关系系和市场场人员、部门经经理、安安全人员员、系统统和网络络管理员员、文案案助理人人员、高高层管理理，甚至至可能是是设备人

29、人员。 很很难决定定利益相相关者是是谁、什什么时间间建立协协调中心心或者国国家级小小组。一一旦你选选择或者者限定了了要服务务的客户户，这其其中一些些可能会会确定。 早早加入，就能够够以一个个初始的的市场付付出为您您的计算算机安全全响应小小组工作作，这会会开始建建立意识识。 管管理买入入必须包包括提供供人员、时间和和资金。 计计算机安安全响应应小组的的结构和和任务，必须建建立在母母组织或或者客户户组织安安全策略略和商务务目标的的基础上上。 在在整个过过程中，确定每每个人明明白发生生了什么么和为什什么发生生。 尽尽可能的的利用存存在的资资源和安安全策略略与政策策。例如如，如果果在您的的组织有有一个

30、物物理的安安全侵犯犯当前前通知了了谁？紧紧接着会会有什么么步骤？对于一一个电子子侵犯，您能利利用存在在的政策策，创建建一个政政策么？老的政政策能覆覆盖所有有的侵犯犯的类型型么？ 无无论外部部的还是是内部的的，要指指望于已已经存在在的。和和其它小小组谈话话，找出出什么对对他们的的工作有有好处。根据你你组织的的结构和和任务，它也可可能有效效。基本执行行步骤搜集信息息创建计计划，获获取计划划中的反反馈确认计算算机安全全响应小小组的顾顾客确认和和获取人人员装备备和基础础设施资资源决定计算算机安全全响应小小组的任任务开发政政策和程程序为计算机机安全响响应小组组的操作作获取资资金 训练练您计算算机安全全响

31、应小小组员工工和客户户决定计算算机安全全响应小小组范围围和服务务等级通告计计算机安安全响应应小组确认和客客户关键键部分的的交互传达您您的任务务和服务务确认交互互的任务务和责任任获得反反馈回顾并并提高计计算机安安全响应应小组框框架 请记住住，非常常重要的的一点是是，要得得到管理理和客户户买入与与支持。 必须用用内在的的和外部部通讯方方法，让让客户和和其它利利益相关关者理解解执行，并也提提供对计计划的审审查和反反馈的机机制。 当计算算机安全全响应小小组准备备操作时时，应该该发表通通告。所所有的客客户应该该理解他他们和计计算机安安全响应应小组的的交互应应该是什什么，这这包括什什么事件件、怎么么联系和

32、和报告计计算机安安全响应应小组异异常情况况和事件件活动。内部计算算机安全全响应小小组的步步骤从管理层层得到承承认和支支持随着利利益相关关者的输输入，决决定了确认谁需需要加入入计算机机安全响响应小组组任务有管理层层发出的的通告 计算算机安全全响应小小组范围围和服务务等级选择一个个项目小小组计算机机安全响响应小组组报告结结构，权权限和 组织织模型搜集信息息确定交交互的角角色和责责任研究其它它组织正正在做什什么创建一一个基于于视野或或者框架架的计划划确认存在在的进程程和员工工数获取计计划的反反馈访问重要要利益相相关者和和参与者者发布计计算机安安全响应应小组得到反反馈 列举在在一个组组织中，内部计计算

33、机安安全响应应小组的的步骤：得到对计计算机安安全响应应小组的的承认和和支持并并执行项项目；包包括资金金、资源源、项目目小组和和员工中中参与的的其它人人的时间间。确定在计计划和执执行进程程中，需需要谁的的加入。上层管理理要有一一个通告告的发送送（CEEO及其其等同地地位的，或者CCIO及及其等同同地位的的），对对组织解解释，计计算机安安全响应应小组正正在计划划的，和和将要遵遵照执行行的基本本方法。选择一个个项目小小组研究其它它组织在在创建一一个计算算机安全全响应小小组时做做什么，并研究究存在什什么最好好的行动动和指导导。从现有的的组织图图标，网网络布局局、安全全策略、制度规规章和规规则，从从现有

34、的的灾难恢恢复或者者事件应应急计划划、现有有的商业业连续性性计划和和重要系系统与网网络资产产详细目目录中，搜集信信息。访问商业业经理、信息技技术职员员和经理理、以及及终端用用户，理理解对处处理计算算机安全全事件的的当前方方法。确认谁履履行如下下责任：防火墙墙操作和和维护、入侵探探测、其其它网络络或者主主机监视视、漏洞洞评定或或者扫描描、渗透透测试、补丁维维护和操操作系统统更新。访问商业业经理、信息技技术职员员和经理理、终端端用户、以及来来自法律律、人力力资源和和公共关关系的代代表，考考虑到事事件管理理和响应应，决定定这些部部门需要要什么。随着所有有利益相相关者的的输入，限定了了计算机机安全响响

35、应小组组视野或或者框架架，这包包括：计计算机安安全响应应小组客客户、任任务、权权限、服服务、组组织模型型和需要要的员工工、装备备以及基基础设施施。根据视野野与框架架创建一一个计划划，使它它在组织织中，对对反馈和和意见有有效。根据反馈馈，随着着对任何何需要的的改变，更新计计划。集合信息息集合的关关键信息息包括：客户有什什么要求求必须保护护的重要要财产是是什么哪些类型型的事件件经常被被报告存在什么么电脑安安全问题题需要哪种种类型的的响应需要哪种种辅助和和专家意意见？需要什么么方法？谁要扮演演什么角角色？当前有人人履行那那个角色色么？在通知或或者升级级进程中中，需要要谁的加加入？ 一一旦你开开始建立

36、立你的视视野和框框架,作为一一种有用用的资源源和想法法,参考其其它团队队,以及关关于事件件响应的的文档和和书籍。调查同样样的组织织，它们们提供事事件处理理服务或或者组织织了计算算机安全全响应小小组。如如果你以以及和这这些组织织联系上上，看看看你能否否和他们们谈论一一些关于于他们如如何建立立他们的的团队。如果不不能和他他们的成成员交谈谈，请参参看他们们计算机机安全响响应小组组的网站站。检查查他们的的任务、特征、资金安安排和服服务列表表。这会会给你一一些组织织你团队队的想法法。查阅阅任何有有人可能能写的关关于计算算机安全全响应小小组或者者事件处处理的书书籍和白白皮书。在CERRT计算算机安全全响应

37、小小组开发发网页上上，可以以找到一一个资源源的初始始列表： HYPERLINK l 可能有帮帮助的现现有资源源可能提供供信息的的有效资资源企业和专专门商务务功能的的组织图图表组织性的的或者客客户系统统与网络络的布局局关键系统统和资产产目录现有灾难难恢复或或者商业业连续性性计划现有的通通告组织织物理性性安全违违规的指指导任何现有有的事件件响应计计划任何母系系的或者者制度上上的关系系 这些资资源中，许多可可能无效效，或者者没有存存在。如如果它们们有效，并且您您能试图图接近它它们，对对这些档档案的审审阅能够够产生双双重目的的：第一一，帮助助你评估估现有的的利益相相关者、资源和和系统拥拥有者。第二，提

38、供对对现有计计算机安安全响应应小组必必须依靠靠政策的的总揽。 作作为一个个意外收收获，你你可能会会发现，当开发发计算机机安全响响应小组组的政策策、流程程或者文文件的时时候，这这些文件件可能含含有能被被改编的的文字内内容。它它们也可可能包含含在紧急急时刻，必须联联系的组组织代表表的通用用报告目目录这些目目录的类类型可能能也会因因计算机机安全响响应小组组工作和和方法而而改变。需要谁的的参与：内部计算算机安全全响应小小组 事件处处理不是是一个自自我约束束的过程程。必须须跨组织织的建立立关系、交流通通道、数数据共享享协议和和政策流流程。对对于一个个内部小小组，这这包括：商务经理理。它们们需要理理解计算

39、算机安全全响应小小组是什什么和它它怎么样样帮助支支持它们们的商务务过程。考虑到到计算机机安全响响应小组组的覆盖盖商务系系统的权权限，以以及谁能能做决定定让重要要商务系系统必须须从网络络断开或或者关闭闭，必须须签订协协议。来自ITT的代表表。ITT员工和和计算机机安全响响应小组组怎么交交互？IIT员工工会采取取什么行行动？计计算机安安全响应应小组成成员会采采取什么么行动？IT员工工能提供供给计算算机安全全响应小小组什么么信息？计算机机安全响响应小组组能提供供给ITT成员什什么信息息？它们们各自都都有什么么角色和和权限？来自法律律部门的的代表。在什么么时间，用什么么方法，法律部部门参与与到事件件响

40、应的的作用中中？来自人力力资源部部门的代代表。需需要他们们参与，为解除除被发现现参与未未授权或或者违法法计算机机活动的的内部职职员，而而开发政政策流程程。来自公共共关系的的代表。他们必必须准备备处理任任何媒体体需求，帮助发发展信息息公开政政策和活活动。任何现有有的安全全团体，包括物物理性的的安全团团体。计计算机安安全响应应小组需需要和这这些团体体交换关关于计算算机事件件的信息息，并和和他们分分享解决决问题的的责任，这包括括计算机机或者数数据盗窃窃事件。审计和风风险管理理专家。他们可可以帮助助发展对对客户系系统的处处理度量量与风险险。任何法律律执行联联络人或或者调查查人。联联系到他他们时，他们会

41、会了解小小组怎样样以法律律执行工工作，并并且明白白谁会做做调查，甚至法法庭鉴定定。来自客户户的普通通代表。他们能能够提供供对他们们需要和和需求的的解释。需要谁的的参与：协调中心心 对于作作为协调调中心的的小组，或者支支持一个个州、国国家、省省或者同同等政府府实体客客户的小小组更难决决定怎么么样与多多方参与与的组织织建立关关系。计算机安安全安全全事件响响应小组组仅仅能能处理如如下特别别的组织织么？政府组织织军队组织织重要基础础设施商务组织织或者，计计算机安安全安全全事件响响应小组组会从公众众接收报报告，发发布信息息？从哪里开开始？什么已经经就绪？创建建专门技技术矩阵阵专业技术术有什么么？什么么工

42、具已已经就绪绪？集体攻关关与讨论论设计计工作量量需要的响响应和通通告策略略随着计算算机安全全响应小小组的增增加，需需要做什什么改变变？计算机安安全响应应小组怎怎么样适适应任何何灾难恢恢复或者者商务连连续性计计划？执执行培养员员工和方方法制定临时时计划制定长期期计划其它涉及及的问题题包括已经有一一个现有有的追踪踪系统，你必须须要结合合么？有特定的的组织需需要和政政策，你你必须要要遵守么么？有服务等等级协议议，你必必须遵守守么？获得一致致同意计算机安安全响应应小组的的定义任务服务角色和责责任权限计算机安安全事件件的定义义分级优先权自动调整整标准 什么是是计算机机安全事事件？ 通常的的定义可可能包括

43、括：任何真实实的，或或者被怀怀疑的，关系到到计算机机系统或或者计算算机网络络安全的的不利事事件。违反显式式或者隐隐式安全全政策的的行为 计算机机安全响响应小组组需要建建立标准准，不仅仅仅定义义计算机机安全事事件的组组成，也也定义了了它怎么么样被处处理。这个定义义可以是是一个安安全政策策中的概概述；它它也应该该包括在在事件报报告指导导中。组织的必必须保护护的重要要资产，也应该该被定义义。 计算机机安全事事件的例例子包括括：获得未授授权的路路径，访访问系统统或者其其数据的的成功（失败）的企图图。不希望的的服务终终端或者者拒绝对进程或或者数据据存储的的未授权权的系统统应用没有所有有者的同同意，改改变

44、系统统计算机病病毒的发发生通过对计计算机系系统范围围的网络络，进行行探测或或者扫描描漏洞。共同问题题失败于：包括所有有的参与与团体取得一致致意见发展全面面的视野野和框架架大纲、档档案政策策和流程程组织斗争争具有太多多服务不现实的的展望或或者预测测时间、员员工和资资金的缺缺乏计算机安安全响应应小组的的创建与与管理介绍创建一个个有效的的计算机机安全响响应小组组计算机安安全响应应小组构构成操作性管管理问题题事件处理理活动总结计算机安安全响应应小组构构成客户任务组织问题题资金服务政策流程程资源（在在后面一一节讨论论）作为资源源的员工工、装备备和基础础设施，会在本本文的操操作性管管理问题题一节做做讨论。

45、定义你的的客户根据你的的项目，你的客客户可能能已经被被定义如果还没没有定义义你的客客户，你你需要决决定它是是谁，是是什么。客户定义义完或者者之前，需要致致力于什什么问题题？ 要理解解你的客客户会帮帮助你决决定他们们有什么么需要，需要保保护什么么资产和和对你的的计算机机安全响响应小组组的需要要会是什什么。利利用这个个信息会会帮助你你决定，你不得得不提供供什么服服务，什什么类型型的组织织模型会会适合所所需服务务的提交交。 定义你你的客户户也会在在你的团团队开始始操作时时，帮助助你圈定定你的工工作。它它会帮助助你决定定你要处处理什么么需求，决定你你会传递递到其它它计算机机安全响响应小组组或者相相关团

46、体体什么请请求。 有有些团体体可能已已经定义义了他们们的客户户。例如如，在一一个小商商务团体体中的计计算机安安全响应应小组，很可能能会把此此商务团团体的雇雇员作为为他们的的客户。此外，可能不不容易定定义一个个客户群群。大学学中的计计算机安安全响应应小组，会把不不同系的的系统和和网络管管理员，或者包包括所有有教职员员工和学学生的整整个大学学人口作作为他们们的客户户。对于于一个大大学计算算机安全全响应小小组，它它应该决决定写什什么级别别的警报报和建议议，并作作出什么么类型的的响应。 如前所所述，对对于国家家，州的的团队，或者对对于协调调中心，定义客客户是困困难的。但是这这是必须须做的事事情，因因为

47、它影影响到在在计划进进程中，谁会参参与和要要提供什什么类型型的服务务。这个个问题必必须涉及及协调调中心或或者国家家团队需需要与谁谁工作和和合作。他们向向谁发送送通告、警报和和其它信信息？ 这里面面可能有有其它政政府机构构、重要要基础设设施组织织、军队队机构或或者广大大群众。每个客客户会有有各自的的需求。决定你的的任务在你的计计算机安安全响应应任务小小组任务务书中，你应该该定义你你的任务务。请求注解解（RFFC）23550规定定你的任任务应该该：解释你团团队的目目的突出团队队的核心心目标目目的一些基本本问题计算机安安全响应应任务小小组的主主要目的的是恢复复系统或或者搜集集证据？计算机安安全响应应

48、任务小小组会执执行： 法法庭鉴定定任务么么？ IDDS或者者防火墙墙维护么么？ RFFC23350，计算机机安全响响应期望望，是一一个因特特网最优优当前实实现（BBCP）文档（提供关关于计算算机安全全响应小小组客户户和一般般网络社社团，需需要明确确定义和和说明的的主题与与事件的的信息）（FRRC23350，摘要） 一些计计算机安安全响应应小组以以图标的的形式，发展了了更为广广泛的陈陈述，概概括了他他们的任任务、客客户、主主办人和和权限。（RFFC23350，节3.3）RFC的的URLL是 HYPERLINK 根据计计算机安安全响应应小组手手册第二二版（11011页），你的的任务说说明应该该：不

49、要不明明确用至少三三个或者者四个句句子“计算算机安全全响应小小组负责责”指明任任务。如果团队队圈定在在一个较较大组织织内，或或者由一一个外部部实体融融资，计计算机安安全响应应小组任任务说明明必须补补充上这这些组织织的任务务。要遇到的的问题可可能包括括：怎么面对对公众把把计算机机安全响响应小组组当作计计算机警警察的理理解？如果你的的任务和和组织其其它部分分的另外外一个任任务交叠叠，应该该怎么做做？组织层次次要遇到的的一些问问题：在组织中中，计算算机安全全响应小小组适应应于哪里里？计算机安安全响应应小组向向谁报告告？ 以上问问到的两两个问题题相互依依赖。计计算机安安全响应应小组向向谁报告告依据于于

50、它在组组织中位位于什么么位置，反之亦亦然。 计算机机安全响响应小组组应该在在IT或者者无线通通讯部门门、安全全团队或或者自成成一体。计算机机安全响响应小组组应该报报告给CCIO、CEOO、CSOO或者其其它部门门领导。 很很重要的的是，要要考虑到到事件处处理和响响应时，计算机机安全响响应小组组需要采采取什么么行动，考虑需需要什么么类型的的管理支支持，协协助这些些行动。确认这这样的问问题，建建议应该该有正确确的汇报报或者管管理结构构。 CCERTT/CCC指导了了14个计计算机安安全响应应小组的的非正式式调查他们们中的多多数指出出，他们们的事件件处理能能力位于于母公司司的信息息技术部部门（IIT

51、）。我们没没有为什什么会这这样的信信息。它它可能和和方便或或者专家家意见有有关。它它也可能能是一个个策略上上的决定定。 计算机机安全响响应小组组的权限限定义是是由上面面列举的的最初的的两栏联联合决定定的。计计算机安安全响应应小组有有多少权权限，决决定事件件响应、恢复和和安全防防护，会会由在组组织结构构中，它它的位置置和计算算机安全全响应小小组向谁谁报告影影响。计算机安安全响应应小组和和企业的的交互计算机安安全响应应小组怎怎么样和和任何信信息技术术部门交交互？计计算机安安全响应应小组怎怎么样适适应于：改变管理理方法软件安装装和更新新进程计算机安安全响应应小组怎怎么样和和调查或或者法律律执行团团队

52、合作作？计算机安安全响应应小组怎怎么样对对像防火火墙或者者IDSS的外部部和内部部防护改改变做建建议？报告结构构国家家、州或或者同级级计算机机安全响响应小组组要考虑的的一些问问题：谁作为计计算机安安全响应应小组寄寄主？谁由计算算机安全全响应小小组支持持？谁向计算算机安全全响应小小组报告告事件和和信息？谁接收计计算机安安全响应应小组通通告和信信息？ 团队作作为协调调中心或或者支持持州、国国家、省省或者同同样政府府实体客客户的团团队，会会更难决决定多方方参与组组织的关关系如何何建立。 计算机机安全响响应小会会组仅仅仅处理如如下的特特别组织织么？政府组织织军队组织织重要基础础设施商务组织织或者计算算

53、机安全全响应小小组会和和公众进进行信息息报告和和发送么么？计算机安安全响应应小组和和客户的的交互计算机安安全响应应小组会会向客户户提供什什么信息息？客户会向向计算机机安全响响应小组组提供什什么信息息？计算机安安全响应应小组协协调中心心会和现现有客户户计算机机安全响响应小组组怎样交交互？ 要考虑虑的一些些问题是是，计算算机安全全响应小小组协调调中心应应该对谁谁，以什什么期限限发布建建议和警警报？许许多构建建的计算算机安全全响应小小组可能能已经从从其它资资源接收收到这个个信息。计算机安安全安全全事件响响应小组组权限计算机安安全安全全事件响响应小组组的权限限是什么么？完全的共享的没有权限限或者它是是

54、其它什什么？非直接权权限根据事件件决定的的 权限描描述了计计算机安安全响应应小组对对自己行行为和客客户行为为的控制制力，这这些行为为关系到到计算机机安全和和事件响响应。权权限是计计算机安安全响应应小组对对它服务务的组织织的最基基本的关关系。 根据计计算机安安全响应应小组手手册（第第二版，15页），计算算机安全全响应小小组与它它的客户户有3个明显显等级的的权限或或者关系系：完全计算机机安全响响应小组组可以在在没有管管理批准准的情况况下，做做出决定定，执行行响应和和恢复行行动。例例如，拥拥有完全全权限的的计算机机安全响响应小组组，在入入侵攻击击时，可可能会告告知系统统管理员员从网络络断开系系统，或

55、或者计算算机安全全响应小小组自己己断开系系统。共享：在在计算机机安全事事件中，计算机机安全响响应小组组根据要要采取的的行动，参与决决策的过过程，但但是只能能影响，不能做做出决定定。无权限计算算机安全全响应小小组不能能独自做做出任何何决定或或者采取取任何行行动。计计算机安安全响应应小组只只能作为为组织的的建议者者。计算算机安全全响应小小组不能能执行任任何行动动。CEERT/CC是是一个对对其客户户网络络共同体体没有权权限的计计算机安安全响应应小组。 另外一一种权限限（在计计算机安安全响应应小组手手册（第第二版）第155页提到到）是非非直接权权限。在在这种情情况下，计算机机安全响响应小组组会因为为

56、其位置置，对客客户施加加压力，使其采采取指定定的行动动。例如如一个IISP可可能会强强迫其客客户采取取指定的的行动或或者面对对网络服服务的不不连续。 对对于一个个在任务务中成功功的计算算机安全全响应小小组，很很重要的的是管理理层对团团队拥有有的权限限等级的的同意和和支持，否则，团队会会在组织织中失去去信誉，并不会会成功。管理层层也应该该把计算算机安全全响应小小组的权权限，准准确清晰晰的传达达给客户户特别别是部门门经理、系统和和网络管管理员、以及其其它任何何在组织织的团体体。可选计算算机安全全响应小小组模型型计算机安安全响应应小组怎怎么样和和组织和和客户，进行操操作与交交互？模型包括括：安全团队

57、队内部分布布式团队队内部集中中式团队队内部分布布集中式式结合团团队协调中心心你可能需需要不只只一个模模型你的模型型会随着着时间而而发展。 这里有有几个简简单的组组织模型型。每个个计算机机安全响响应小组组模型类类型有其其优势、弱点和和好处。你选择择模型要要依据于于：你的客户户位于什什么位置置你的团队队位于什什么位置置你提供什什么服务务需要共享享什么信信息需要采取取什么类类型的行行动 模型定定义安全团队队在这这个模型型中，组组织中没没有任何何团队或或者部分分对所有有事件处处理活动动，被授授予正式式的责任任。没有有建立计计算机安安全响应应小组。内部分布布式团队队在这这个模型型中，组组织利用用现有员员

58、工，提提供一个个虚拟的的分布式式计算机机安全响响应小组组，它在在形式上上被特许许处理事事件响应应活动。内部集中中式团队队本模模型中，员工为为满工，这表明明计算机机安全响响应小组组随时对对定义客客户提供供事件处处理服务务。内部分步步式集中中式混合合团队本模模型是对对集中式式计算机机安全响响应小组组和分布布式计算算机安全全响应小小组的一一个结合合。协调中心心在这这个模型型中，计计算机安安全响应应小组通通过不同同的外部部组织，对事件件处理进进行协调调和促进进。 你可能能需要不不只一个个模型。例如，考虑一一个大的的，地理理分布分分散的组组织。它它可能现现场需要要本地团团队，通通过每个个区域性性的计算算

59、机安全全响应小小组报告告给区域域性的、集中式式的计算算机安全全响应小小组，然然后报告告给协调调中心，协调中中心把综综合信息息送到分分析团队队，进行行对未来来趋势和和特征的的研究。 要要记住的的重要的的一件事事是，不不能总是是一次做做所有的的事。你你会需要要递增的的增加资资源。许许多团队队开始时时，只提提供事件件处理服服务，逐逐渐成长长，引入入其它服服务和模模型，作作为资源源、预算算和支持持允许。你的模模型需要要根据你你的任务务、优先先权、提提供的服服务或者者资助者者的变化化，随着着时间不不断改正正。你的计算算机安全全响应小小组应该该多大？根据任任务、目目标、服服务、经经验、工工作量和和成本，大

60、小会会不同。确定你没没有一点点失败确保你的的计算机机安全响响应小组组员工已已经普遍遍训练过过要理解其其它组织织的评估估可能不不适合你你的情况况。 没有这这个问题题的简单单回答。不同的的计算机机安全响响应小组组有不同同的员工工级别，适合他他们的模模型。目目前没有有真的科科学研究究，仅仅仅是一些些轶闻信信息。 量化付付出和成成本的类类型是十十分困难难的。你你必须以以你的工工作量和和资源，作为你你决定的的依据。永远记记住，你你从不想想有一点点失败，所以事事件处理理投入一一个人是是永远也也不够的的。为你的计计算机安安全事件件响应小小组获取取资金对你计算算机安全全事件响响应小组组资金支支持的不不同策略略