|
建立计算机安全事件响应能力(CSIRC)
内容目录
1. 介绍 1
1.1 目的 1
1.2 对象 1
1.3 基本术语 1
1.4 文章结构 2
2. CSIRC概述 3
2.1 机构计算机安全的传统工作 3
2.2 改变的威胁环境 3
2.3 CSIR能力的需要 4
2.4 CSIRC概念 5
2.5 CSIRC服务对象和技术关注点 6
2.6 CSIRC主动响应与被动响应的特性 6
2.7 CSIRC与当前机构安全工作的关系 6
2.8 机构CSIRC的早期工作 7
3. 建立CSIRC 的问题 9
3.1 确定CSIR的目标 9
3.2 定义CSIRC的服务对象 10
3.2.1 服务对象的通信问题 10
3.2.2 正式或非正式的服务对象 10
3.3 确定CSIRC结构的工作 11
3.3.1 集中的,单一机构 11
3.3.2 分散的,分布机构 11
3.4 管理支持和资金 12
3.4.1 资金和人员问题 12
3.4.2 影响集中的事件报告 13
3.5 创建章程 13
3.5.1 确定章程的法律问题 13
3.5.2 CSIRC章程的要件 14
3.6 创建CSIRC运作手册 14
3.7 CSIRC人员问题 15
3.7.1 CSIRC协调人 15
3.7.2 技术人员 16
3.7.3 其它支持人员 16
3.7.4 许可证的需求 17
3.7.5 防止疲于奔命 17
4. CSIRC运作问题和活动 19
4.1 与服务对象的通信 19
4.1.1 发布新闻稿 19
4.1.2 建立热线能力 20
4.1.3 建立报警机制 20
4.1.4 使用信息库 21
4.2 日志信息 21
4.2.1 联络信息 21
4.2.2 活动日志 22
4.2.3 事件日志 22
4.2.4 信息维护 23
4.3 事件通知问题 23
4.3.1 识别存在的事件及其范围 23
4.3.2 通知适当的机构人员 23
4.3.3 通知受影响的用户 24
4.3.4 保密的要求 24
4.4 法律问题 25
4.4.1 与执法和调查机构一起工作 25
4.4.2 所招致的责任 25
4.4.3 服务对象通信的用语 26
4.4.4 日志和收集证据 27
4.5 与新闻媒体一起工作 27
4.6 事件后的分析 28
4.7 测定CSIRC的效率 28
4.8 附加的协助 29
5. 参考资料 31
附录 A. 附说明的资料目录 33
附录 B. 事件响应和安全团队(FIRST)论坛 39
|
