創(chuàng)建事件管理的過程映射-國家互聯(lián)網(wǎng)應(yīng)急中心

1、創(chuàng)建事件管理的過程映射,CERT 協(xié)調(diào)中心網(wǎng)絡(luò)連接系統(tǒng)的可生存性軟件工程學(xué)院卡內(nèi)基.梅隆大學(xué),演講概要,引言縱覽過程映射時間管理的過程映射前景,引言,項目說明項目小組成員項目研究方法項目需求相關(guān)工作計算機安全事件響應(yīng)小組（CSIRT）映射項目的歷史和基本原理用計算機安全事件響應(yīng)小組（CSIRT）過程映射“過程”現(xiàn)狀,項目說明,計算機緊急事務(wù)響應(yīng)小組（CERT） 計算機安全事件響應(yīng)小組（CSIRT） 將要完成的新

2、的工作小組的開發(fā)包括對計算機安全事件響應(yīng)小組（CSIRT）的評估方法的開發(fā)該方法以及產(chǎn)生的評估設(shè)備將有助于小組評估在下列過程中自身的事件管理的表現(xiàn)：保護，準備，探測，篩選和響應(yīng)。該項目一般稱作計算機安全事件響應(yīng)小組（CSIRT） 評估項目。,項目小組成員,計算機緊急事務(wù)響應(yīng)小組（CERT） 計算機安全事件響應(yīng)小組（CSIRT） 開發(fā)小組成員Georgia KillcreceRobin RuefleMark Zajicek可

3、存在性企業(yè)管理小組成員Chris AlbertsAudrey Dorofee,項目研究方法,該項目將關(guān)注一個組織的事件管理功能，從風(fēng)險分析前景到?jīng)Q策所需的全套過程這些過程中可能存在的風(fēng)險如果過程失敗帶來的沖擊轉(zhuǎn)移失敗采用的減緩戰(zhàn)略在這些信息的基礎(chǔ)上，企業(yè)可以開發(fā)出一套評測或評估自己事件管理能力的準則或需求來。,項目需求,遵守或適用于國防部計算機網(wǎng)絡(luò)防御服務(wù)(CNDS)標準 與企業(yè)安全管理(ESM)結(jié)合，項目開發(fā)包含在軟件

4、工程學(xué)院的網(wǎng)絡(luò)系統(tǒng)可存在性（NSS）計劃中。,CNDS 標準－1,美國國防部下達了指示和指令，藉此所有國防部部門必須建立并提供計算機網(wǎng)絡(luò)防御服務(wù)CND服務(wù)是建立在具有實用功能的框架周邊的，而通常這是屬于計算機安全事件響應(yīng)小組（CSIRT）小組的任務(wù)這些功能滲透到各個領(lǐng)域，如：保護，探測，響應(yīng)和維護。,CNDS 標準2,DOD CNDS的證明和鑒定方法的主要目標是通過標準評估方法增強國防部信息系統(tǒng)計算機網(wǎng)絡(luò)的可存在性。第二個目標是通

5、過增加CND服務(wù)的成熟性以及加深對它的理解來確保保護服務(wù)具有更高的品質(zhì)。國防部評估方法通過利用大量關(guān)鍵成功因數(shù)來評估任務(wù)的效能，運轉(zhuǎn)的性能和功能的完善性。,企業(yè)安全管理：基本原則,動員企業(yè)范圍內(nèi)所有力量，以協(xié)同合作的方式構(gòu)建和維護安全狀態(tài)利用關(guān)鍵成功因數(shù)（CSFs）確定關(guān)鍵任務(wù)需求構(gòu)建CSFss需要關(guān)鍵資產(chǎn)的保護保護關(guān)鍵資產(chǎn)＝迎合他們的安全需求（利用定義的方法）部署保護關(guān)鍵資產(chǎn)的方法并且構(gòu)建關(guān)鍵成功因數(shù),定義企業(yè)安全管理,企業(yè)

6、安全管理（ESM）要回答的問題怎樣實現(xiàn)和維護一個安全的狀態(tài)，以便支持建立企業(yè)關(guān)鍵成功因數(shù)？增加企業(yè)在面對安全事故時的恢復(fù)能力？確保組織在一個可以接受安全水平下運作？增強運作優(yōu)勢？企業(yè)安全管理是在企業(yè)層面上，致力于企業(yè)關(guān)鍵資產(chǎn)的保護和有效的安全過程管理,企業(yè)安全管理：焦點,企業(yè)安全管理的焦點集中在資產(chǎn)和過程的交互資產(chǎn)由企業(yè)評估并且必須設(shè)立任務(wù)來保護企業(yè)安全管理過程作用于這些資產(chǎn)上保證確保它們的安全需求的確定、完善、評估及控

7、制,企業(yè)安全管理：組成,新興的框架：定義創(chuàng)建和維護安全狀態(tài)所需的核心能力一種動員或者是制度化的方法：定義這些核心能力所必需的協(xié)同合作工具、技巧和方法：用于優(yōu)化核心能力，達到組這期望的安全狀態(tài),動員構(gòu)建和維護企業(yè)安全,框架功能范圍－1,辨識并使用關(guān)鍵成功因數(shù)來確定組織間的優(yōu)先級企業(yè)安全管理，制定并加強政策，同時頒布顯著的倡議風(fēng)險管理，明確組織的風(fēng)險容差并且控制關(guān)鍵資產(chǎn)的風(fēng)險審計，依靠建立的準則評估組織當前狀態(tài),框架功能范圍－2,

8、項目管理，辨識、遵循并且成功的管理項目相關(guān)的企業(yè)安全過程管理，制定并改進企業(yè)安全過程的以及貫徹安全保障的IT過程的界定IT措施，提供一個健壯、柔性的基礎(chǔ)構(gòu)造從而保護關(guān)鍵資產(chǎn)和傳遞安全保障服務(wù)安全保障措施，制定安全保障控制環(huán)節(jié)，確保他們被切實有效的貫徹,企業(yè)安全管理與事件管理的整合,事件管理是行動計劃的發(fā)展，它是一份響應(yīng)計劃：它與存在的過程和組織結(jié)構(gòu)集成在一起它可以增強和改進客戶的能力確保高效的管理計算機安全事件它是保護和鞏固

9、關(guān)鍵商業(yè)功能和資產(chǎn)的全局策略的一部分,方法與技術(shù),缺乏什么？,計算機安全事件響應(yīng)小組（CSIRT）需要一個構(gòu)架、模型以及一些可以用來確定自己的地位、衡量自己以及將自己與別人對比的東西一個可以使他們達到理想狀態(tài)的改進的方法和途徑一個固有的、有組織的從業(yè)者的團體來幫助指導(dǎo)工作,歷史和基本原理,眾多途徑引導(dǎo)我們實施這個項目研究實踐技術(shù)報告的闡述組織客戶的工作先前的工作計算機安全事件響應(yīng)小組（CSIRT）需求工作創(chuàng)建和管理計算

10、機安全事件響應(yīng)小組（CSIRT）的方針OCTAVE工作可生存性企業(yè)管理的工作下一步工作計算機安全事件響應(yīng)小組（CSIRT）的架構(gòu)和研究方法計算機安全事件響應(yīng)小組（CSIRT）的自我評估計算機安全事件響應(yīng)小組（CSIRT）的最佳利用,研究動機,需要回答的問題：我從哪里開始，要采取什么樣的步驟來創(chuàng)建計算機安全事件響應(yīng)小組（CSIRT）或者事件處理的能力？事件管理發(fā)生在有組織的企業(yè)中的哪里？事件響應(yīng)事件處理事件管理,建立

11、架構(gòu),我們的步驟包括：事件管理過程映射評估設(shè)備建設(shè)和維護的架構(gòu)的事件管理能力,過程映射工作文件和表格,集體討論記錄工作流程圖表過程數(shù)據(jù)模板過程接口模板,過程數(shù)據(jù)模板,涉及的領(lǐng)域和數(shù)據(jù)包括：任務(wù)和目標過程觸發(fā)器實施準則全局政策和規(guī)則輸入和輸出過程需求記錄程序人員技術(shù)其他各式各樣的信息和舉動,過程接口模板,設(shè)計的領(lǐng)域和數(shù)據(jù)包括：任務(wù)和目標過程觸發(fā)器實施準則全局政策和規(guī)則涉及的過程要傳遞或傳達的目標

12、移交需求記錄程序發(fā)送和接收參與者傳遞或傳達的模式和機制其他雜散信息,計算機安全事件響應(yīng)小組（CSIRT）過程映射項目步驟,集體討論，制定高級進程繼續(xù)集體討論環(huán)節(jié)，通過第一級和第二級的工作流程圖表細化每一個進程整理大量的對進程的回顧、修訂和重新構(gòu)造針對每一個高級進程，完善過程數(shù)據(jù)模板和過程接口模板確定每一過程的風(fēng)險和沖擊（由較小的專題專家組成的團隊完成）在風(fēng)險和沖擊分析的基礎(chǔ)上設(shè)計評估設(shè)備回顧、修訂評估設(shè)備,現(xiàn)狀,已

13、經(jīng)完成了頂級和第二級的工作流程圖表、過程數(shù)據(jù)模板、過程接口模板。已經(jīng)建立了評估設(shè)備技術(shù)報告正在進行評估測試正在進行,演講概要,引言縱覽過程映射時間管理的過程映射前景,俯瞰過程映射,它是什么？怎樣將它應(yīng)用于計算機安全事件響應(yīng)小組（CSIRT）的運作中去？,什么是過程映射？－1,過程映射定義了一套完成確定任務(wù)所需的活動。過程映射關(guān)注活動間的相互依賴、相互關(guān)聯(lián)以及它們的順序,什么是過程映射－2,過程映射包括：目標和目的過程

14、和活動輸入和輸出角色和責任限制授權(quán)者技術(shù)支持程序和文獻接口或傳遞方法相互關(guān)系和依賴性,什么是過程映射－3,1,2,3,4,5,6,什么是過程映射？－4,它是商業(yè)過程的一個部分重新構(gòu)造辨識關(guān)鍵商業(yè)過程映射當前過程重新構(gòu)思該過程一個過程將被重新構(gòu)造，以便提高效率或效能變更規(guī)模了解它的強項和弱項實現(xiàn)其他改進,對計算機安全事件響應(yīng)小組（CSIRT） 運作的好處,映射計算機安全事件響應(yīng)小組（CSIRT） 過程使

15、得全面的了解當前狀態(tài)成為可能 完整性 優(yōu)點和缺點 接口 角色和責任 依賴性確定成功貫徹計算機安全事件響應(yīng)小組（CSIRT）的使命所面臨的風(fēng)險幫助關(guān)于改進計算機安全事件響應(yīng)小組（CSIRT）運作的決策,怎樣將它應(yīng)用于計算機安全事件響應(yīng)小組（CSIRT）的運作？－1,通過與一個成功的計算機安全事件響應(yīng)小組（CSIRT）的實例的“標準化”模型進行比較來映射你的計算機安全事件響應(yīng)小組（CSIRT）過程確定優(yōu)點、缺點、風(fēng)險和補償因

16、數(shù)過程、技術(shù)、人員接口和移交環(huán)境因數(shù)運作思路把它作為將來改進的基礎(chǔ),怎樣將它應(yīng)用于計算機安全事件響應(yīng)小組（CSIRT）的運作？－2,同樣可以用于幫助測定一個組織現(xiàn)有的計算機安全事件響應(yīng)小組（CSIRT）過程這將有助于確定當前空白，從而有助于關(guān)注計算機安全事件響應(yīng)小組（CSIRT）的發(fā)展和改進組織也同亞可以使用我們的概念和過程來完成滿足自己需求的映射,演講概要,引言縱覽過程映射時間管理的過程映射前景,針對事件管理的過程

17、映射,針對事件管理的計算機緊急事務(wù)響應(yīng)小組（CERT） 計算機安全事件響應(yīng)小組（CSIRT）開發(fā)團隊過程映射假設(shè)和規(guī)則過程組元的綜述準備\改進\維護保護探測篩選回應(yīng)第一級過程綜述對過程映射進行風(fēng)險分析,假設(shè)和規(guī)則,關(guān)注最佳實施一般實施不例外你可以總是想起一個例外或者特殊場合我們盡力排除這些類型的過程,過程組元的綜述,準備\改進\維護保護探測篩選回應(yīng),事件響應(yīng),準備/改進/維護 計算機安全事件響應(yīng)小組（

18、CSIRT）,輸入包括：計算機安全事件響應(yīng)小組（CSIRT）過程的要求計算機安全事件響應(yīng)小組（CSIRT）過程的需要過程包括：調(diào)整規(guī)劃 確定計算機安全事件響應(yīng)小組（CSIRT）過程的要求 建立計算機安全事件響應(yīng)小組（CSIRT）的洞察力 獲得計算機安全事件響應(yīng)小組（CSIRT）的資金和贊助調(diào)整實施 開發(fā)計算機安全事件響應(yīng)小組（CSIRT）的政策、過程和計劃 建立計算機安全事件響應(yīng)小組（CSIRT）事件處理準

19、則 補充制定的計算機安全事件響應(yīng)小組（CSIRT）所需資源（人員，設(shè)備和基礎(chǔ)構(gòu)造）評估計算機安全事件響應(yīng)小組（CSIRT）的能力決策計算機安全事件響應(yīng)小組（CSIRT）過程的修改補充計算機安全事件響應(yīng)小組（CSIRT）過程的能力,PC配備，維護以及計算機安全事件響應(yīng)小組（CSIRT）過程的改進,保護基礎(chǔ)構(gòu)造,輸入包括組織策略相關(guān)法律和狀態(tài)標準，計量和最佳實踐過程包括確定基礎(chǔ)構(gòu)造保護和可生存性的需求根據(jù)需求鞏固和保障

20、基礎(chǔ)構(gòu)造，同時根據(jù)需要不斷進行變化和改進監(jiān)測、評價和分析基礎(chǔ)構(gòu)造的可存在性（比如監(jiān)測網(wǎng)絡(luò)活動和物理接入，實施周期性的風(fēng)險評估）在遇到問題、事件時系統(tǒng)的修復(fù)和恢復(fù),示范準則－1,ISO17799/英國標準協(xié)會7799第二部分信息系統(tǒng)和技術(shù)控制目標”(COBIT)。信息技術(shù)基礎(chǔ)架構(gòu)庫(ITIL)美國國家標準和技術(shù)學(xué)會(NIST)（800系列特別報告書）；聯(lián)邦信息處理標準199（ISC）2CISSP知識體系（,國際信息系統(tǒng)安全認證

21、協(xié)會；信息系統(tǒng)安全認證）聯(lián)邦金融機構(gòu)檢查委員會(FFIEC)手冊。,示范準則－2,信息系統(tǒng)安全聯(lián)盟和“普遍接受的信息安全原則”。（ISSA，GAISP)IT管理研究所（ITGI）資源國家計算機頂級任務(wù)強度報告（草案）信息安全論壇最佳實踐軟件工作學(xué)院（SEI）工組體系包括CMM(軟件能力成熟度模型)和CMMI（CMM的改進模型），OCTAVE，SKIP(安全知識的實作),計算機緊急事務(wù)響應(yīng)小組（CERT） 安全實踐,探測,反饋過

22、程注意事件 支持成員注意不同尋常的活動 外部資源報告活動或者事件或者共享建議和警告接收信息前攝過程 檢測指示器 監(jiān)測網(wǎng)絡(luò)和主機 前攝弱點評估 公共監(jiān)測/技術(shù)監(jiān)視分析指示器將顯著的信息送去篩選,D 探測事件,篩選,輸入探測過程中產(chǎn)生的事件信息探測過程中指示器的分析過程包括分類事件事件優(yōu)先級設(shè)定分派事件關(guān)閉事件,T 篩選事件,響應(yīng),輸入包括事件信息事故信息過程包括接收信息分析信息計劃響應(yīng)策略

23、事件整理和響應(yīng)（整理技巧，管理和在需要或適當時刻作出合理的響應(yīng)）關(guān)閉事件（可能包括：文檔，存檔，核查，通知）,R 響應(yīng)事件,R1 技術(shù)發(fā)布響應(yīng),關(guān)閉事件,決策點包括決定是否核查決定是否、怎散布信息決定是否、怎樣存檔和記錄信心,R4 關(guān)閉事件,下一步,開發(fā)缺口分析設(shè)備幫助記錄組織關(guān)于事件管理過程的現(xiàn)狀對事件管理過程進行風(fēng)險分析確定過程通常失敗模式確定通常的減輕戰(zhàn)略來預(yù)防失敗,風(fēng)險評估過程,評估結(jié)果示例,探測的通常失敗模式,用

24、戶沒有注意到不尋?；蛘呖梢傻幕顒佑脩糇⒁獾搅瞬粚こ；蛘呖梢傻幕顒樱珱]有向計算機安全事件響應(yīng)小組（CSIRT）報告事件報告從用戶向CRIST移交時失敗事件報告從用戶向CRIST移交時延誤,IT人員沒有通過前攝監(jiān)測探測到不尋?；蛘呖梢傻幕顒邮录蟾鎻腎T人員向CRIST移交時失敗事件報告從IT人員向CRIST移交時延誤計算機安全事件響應(yīng)小組（CSIRT）關(guān)閉了一個本應(yīng)送往篩選的事件,演講概要,引言縱覽過程映射時間管理的過程

25、映射前景,項目前景,對評價/評估設(shè)備進行指導(dǎo)性評估開發(fā)技術(shù)報告（可能的標題）針對事件管理創(chuàng)建過程映射創(chuàng)建計算機安全事件響應(yīng)小組（CSIRT）評估過程評價計算機安全事件響應(yīng)小組（CSIRT）過程和運作－指導(dǎo)性研究將結(jié)果與過程資料結(jié)合開發(fā)新的工作創(chuàng)建和管理計算機安全事件響應(yīng)小組（CSIRT）的構(gòu)架響應(yīng)的附屬：模板、清單、仿真、表格和過程計劃,你怎樣加入？,我們在尋找合作伙伴，回顧和評價我們的過程映射草案以及產(chǎn)生的技術(shù)報告