1、创建事件管理的过程映射,CERT 协调中心网络连接系统的可生存性软件工程学院卡内基.梅隆大学,演讲概要,引言纵览过程映射时间管理的过程映射前景,引言,项目说明项目小组成员项目研究方法项目需求相关工作计算机安全事件响应小组(CSIRT)映射项目的历史和基本原理用计算机安全事件响应小组(CSIRT)过程映射“过程”现状,项目说明,计算机紧急事务响应小组(CERT) 计算机安全事件响应小组(CSIRT) 将要完成的新的工作小组的开发包括对计算机安全事件响应小组(CSIRT)的评估方法的开发该方法以及产生的评估设备将有助于小组评估在下列过程中自身的事件管理的表现:保护,准备,探测,筛选和响应。该项目一
2、般称作计算机安全事件响应小组(CSIRT) 评估项目。,项目小组成员,计算机紧急事务响应小组(CERT) 计算机安全事件响应小组(CSIRT) 开发小组成员Georgia KillcreceRobin RuefleMark Zajicek可存在性企业管理小组成员Chris AlbertsAudrey Dorofee,项目研究方法,该项目将关注一个组织的事件管理功能,从风险分析前景到决策所需的全套过程这些过程中可能存在的风险如果过程失败带来的冲击转移失败采用的减缓战略在这些信息的基础上,企业可以开发出一套评测或评估自己事件管理能力的准则或需求来。,项目需求,遵守或适用于国防部计算机网络防御服务(
3、CNDS)标准 与企业安全管理(ESM)结合,项目开发包含在软件工程学院的网络系统可存在性(NSS)计划中。,CNDS 标准1,美国国防部下达了指示和指令,藉此所有国防部部门必须建立并提供计算机网络防御服务CND服务是建立在具有实用功能的框架周边的,而通常这是属于计算机安全事件响应小组(CSIRT)小组的任务这些功能渗透到各个领域,如:保护,探测,响应和维护。,CNDS 标准2,DOD CNDS的证明和鉴定方法的主要目标是通过标准评估方法增强国防部信息系统计算机网络的可存在性。第二个目标是通过增加CND服务的成熟性以及加深对它的理解来确保保护服务具有更高的品质。国防部评估方法通过利用大量关键成
4、功因数来评估任务的效能,运转的性能和功能的完善性。,企业安全管理:基本原则,动员企业范围内所有力量,以协同合作的方式构建和维护安全状态利用关键成功因数(CSFs)确定关键任务需求构建CSFss需要关键资产的保护保护关键资产迎合他们的安全需求(利用定义的方法)部署保护关键资产的方法并且构建关键成功因数,定义企业安全管理,企业安全管理(ESM)要回答的问题怎样实现和维护一个安全的状态,以便支持建立企业关键成功因数?增加企业在面对安全事故时的恢复能力?确保组织在一个可以接受安全水平下运作?增强运作优势?企业安全管理是在企业层面上,致力于企业关键资产的保护和有效的安全过程管理,企业安全管理:焦点,企业
5、安全管理的焦点集中在资产和过程的交互资产由企业评估并且必须设立任务来保护企业安全管理过程作用于这些资产上保证确保它们的安全需求的确定、完善、评估及控制,企业安全管理:组成,新兴的框架:定义创建和维护安全状态所需的核心能力一种动员或者是制度化的方法:定义这些核心能力所必需的协同合作工具、技巧和方法:用于优化核心能力,达到组这期望的安全状态,动员构建和维护企业安全,框架功能范围1,辨识并使用关键成功因数来确定组织间的优先级企业安全管理,制定并加强政策,同时颁布显著的倡议风险管理,明确组织的风险容差并且控制关键资产的风险审计,依靠建立的准则评估组织当前状态,框架功能范围2,项目管理,辨识、遵循并且成
6、功的管理项目相关的企业安全过程管理,制定并改进企业安全过程的以及贯彻安全保障的IT过程的界定IT措施,提供一个健壮、柔性的基础构造从而保护关键资产和传递安全保障服务安全保障措施,制定安全保障控制环节,确保他们被切实有效的贯彻,企业安全管理与事件管理的整合,事件管理是行动计划的发展,它是一份响应计划:它与存在的过程和组织结构集成在一起它可以增强和改进客户的能力确保高效的管理计算机安全事件它是保护和巩固关键商业功能和资产的全局策略的一部分,方法与技术,缺乏什么?,计算机安全事件响应小组(CSIRT)需要一个构架、模型以及一些可以用来确定自己的地位、衡量自己以及将自己与别人对比的东西一个可以使他们达
7、到理想状态的改进的方法和途径一个固有的、有组织的从业者的团体来帮助指导工作,历史和基本原理,众多途径引导我们实施这个项目研究实践技术报告的阐述组织客户的工作先前的工作计算机安全事件响应小组(CSIRT)需求工作创建和管理计算机安全事件响应小组(CSIRT)的方针OCTAVE工作可生存性企业管理的工作下一步工作计算机安全事件响应小组(CSIRT)的架构和研究方法计算机安全事件响应小组(CSIRT)的自我评估计算机安全事件响应小组(CSIRT)的最佳利用,研究动机,需要回答的问题:我从哪里开始,要采取什么样的步骤来创建计算机安全事件响应小组(CSIRT)或者事件处理的能力?事件管理发生在有组织的企
8、业中的哪里?事件响应事件处理事件管理,建立架构,我们的步骤包括:事件管理过程映射评估设备建设和维护的架构的事件管理能力,过程映射工作文件和表格,集体讨论记录工作流程图表过程数据模板过程接口模板,过程数据模板,涉及的领域和数据包括:任务和目标过程触发器实施准则全局政策和规则输入和输出过程需求记录程序人员技术其他各式各样的信息和举动,过程接口模板,设计的领域和数据包括:任务和目标过程触发器实施准则全局政策和规则涉及的过程要传递或传达的目标移交需求记录程序发送和接收参与者传递或传达的模式和机制其他杂散信息,计算机安全事件响应小组(CSIRT)过程映射项目步骤,集体讨论,制定高级进程继续集体讨论环节,
9、通过第一级和第二级的工作流程图表细化每一个进程整理大量的对进程的回顾、修订和重新构造针对每一个高级进程,完善过程数据模板和过程接口模板确定每一过程的风险和冲击(由较小的专题专家组成的团队完成)在风险和冲击分析的基础上设计评估设备回顾、修订评估设备,现状,已经完成了顶级和第二级的工作流程图表、过程数据模板、过程接口模板。已经建立了评估设备技术报告正在进行评估测试正在进行,演讲概要,引言纵览过程映射时间管理的过程映射前景,俯瞰过程映射,它是什么?怎样将它应用于计算机安全事件响应小组(CSIRT)的运作中去?,什么是过程映射?1,过程映射定义了一套完成确定任务所需的活动。过程映射关注活动间的相互依赖
10、、相互关联以及它们的顺序,什么是过程映射2,过程映射包括:目标和目的过程和活动输入和输出角色和责任限制授权者技术支持程序和文献接口或传递方法相互关系和依赖性,什么是过程映射3,1,2,3,4,5,6,什么是过程映射?4,它是商业过程的一个部分重新构造辨识关键商业过程映射当前过程重新构思该过程一个过程将被重新构造,以便提高效率或效能变更规模了解它的强项和弱项实现其他改进,对计算机安全事件响应小组(CSIRT) 运作的好处,映射计算机安全事件响应小组(CSIRT) 过程使得全面的了解当前状态成为可能 完整性 优点和缺点 接口 角色和责任 依赖性确定成功贯彻计算机安全事件响应小组(CSIRT)的使命
11、所面临的风险帮助关于改进计算机安全事件响应小组(CSIRT)运作的决策,怎样将它应用于计算机安全事件响应小组(CSIRT)的运作?1,通过与一个成功的计算机安全事件响应小组(CSIRT)的实例的“标准化”模型进行比较来映射你的计算机安全事件响应小组(CSIRT)过程确定优点、缺点、风险和补偿因数过程、技术、人员接口和移交环境因数运作思路把它作为将来改进的基础,怎样将它应用于计算机安全事件响应小组(CSIRT)的运作?2,同样可以用于帮助测定一个组织现有的计算机安全事件响应小组(CSIRT)过程这将有助于确定当前空白,从而有助于关注计算机安全事件响应小组(CSIRT)的发展和改进组织也同亚可以使
12、用我们的概念和过程来完成满足自己需求的映射,演讲概要,引言纵览过程映射时间管理的过程映射前景,针对事件管理的过程映射,针对事件管理的计算机紧急事务响应小组(CERT) 计算机安全事件响应小组(CSIRT)开发团队过程映射假设和规则过程组元的综述准备改进维护保护探测筛选回应第一级过程综述对过程映射进行风险分析,假设和规则,关注最佳实施一般实施不例外你可以总是想起一个例外或者特殊场合我们尽力排除这些类型的过程,过程组元的综述,准备改进维护保护探测筛选回应,事件响应,准备/改进/维护 计算机安全事件响应小组(CSIRT),输入包括:计算机安全事件响应小组(CSIRT)过程的要求计算机安全事件响应小组
13、(CSIRT)过程的需要过程包括:调整规划 确定计算机安全事件响应小组(CSIRT)过程的要求 建立计算机安全事件响应小组(CSIRT)的洞察力 获得计算机安全事件响应小组(CSIRT)的资金和赞助调整实施 开发计算机安全事件响应小组(CSIRT)的政策、过程和计划 建立计算机安全事件响应小组(CSIRT)事件处理准则 补充制定的计算机安全事件响应小组(CSIRT)所需资源(人员,设备和基础构造)评估计算机安全事件响应小组(CSIRT)的能力决策计算机安全事件响应小组(CSIRT)过程的修改补充计算机安全事件响应小组(CSIRT)过程的能力,PC配备,维护以及计算机安全事件响应小组(CSIRT
14、)过程的改进,保护基础构造,输入包括组织策略相关法律和状态标准,计量和最佳实践过程包括确定基础构造保护和可生存性的需求根据需求巩固和保障基础构造,同时根据需要不断进行变化和改进监测、评价和分析基础构造的可存在性(比如监测网络活动和物理接入,实施周期性的风险评估)在遇到问题、事件时系统的修复和恢复,示范准则1,ISO17799/英国标准协会7799第二部分信息系统和技术控制目标”(COBIT)。信息技术基础架构库(ITIL)美国国家标准和技术学会(NIST)(800系列特别报告书);联邦信息处理标准199(ISC)2CISSP知识体系(,国际信息系统安全认证协会;信息系统安全认证)联邦金融机构检
15、查委员会(FFIEC)手册。,示范准则2,信息系统安全联盟和“普遍接受的信息安全原则”。(ISSA,GAISP)IT管理研究所(ITGI)资源国家计算机顶级任务强度报告(草案)信息安全论坛最佳实践软件工作学院(SEI)工组体系包括CMM(软件能力成熟度模型)和CMMI(CMM的改进模型),OCTAVE,SKIP(安全知识的实作),计算机紧急事务响应小组(CERT) 安全实践,探测,反馈过程注意事件 支持成员注意不同寻常的活动 外部资源报告活动或者事件或者共享建议和警告接收信息前摄过程 检测指示器 监测网络和主机 前摄弱点评估 公共监测/技术监视分析指示器将显著的信息送去筛选,D 探测事件,筛选
16、,输入探测过程中产生的事件信息探测过程中指示器的分析过程包括分类事件事件优先级设定分派事件关闭事件,T 筛选事件,响应,输入包括事件信息事故信息过程包括接收信息分析信息计划响应策略事件整理和响应(整理技巧,管理和在需要或适当时刻作出合理的响应)关闭事件(可能包括:文档,存档,核查,通知),R 响应事件,R1 技术发布响应,关闭事件,决策点包括决定是否核查决定是否、怎散布信息决定是否、怎样存档和记录信心,R4 关闭事件,下一步,开发缺口分析设备帮助记录组织关于事件管理过程的现状对事件管理过程进行风险分析确定过程通常失败模式确定通常的减轻战略来预防失败,风险评估过程,评估结果示例,探测的通常失败模
17、式,用户没有注意到不寻常或者可疑的活动用户注意到了不寻常或者可疑的活动,但没有向计算机安全事件响应小组(CSIRT)报告事件报告从用户向CRIST移交时失败事件报告从用户向CRIST移交时延误,IT人员没有通过前摄监测探测到不寻常或者可疑的活动事件报告从IT人员向CRIST移交时失败事件报告从IT人员向CRIST移交时延误计算机安全事件响应小组(CSIRT)关闭了一个本应送往筛选的事件,演讲概要,引言纵览过程映射时间管理的过程映射前景,项目前景,对评价/评估设备进行指导性评估开发技术报告(可能的标题)针对事件管理创建过程映射创建计算机安全事件响应小组(CSIRT)评估过程评价计算机安全事件响应小组(CSIRT)过程和运作指导性研究将结果与过程资料结合开发新的工作创建和管理计算机安全事件响应小组(CSIRT)的构架响应的附属:模板、清单、仿真、表格和过程计划,你怎样加入?,我们在寻找合作伙伴,回顾和评价我们的过程映射草案以及产生的技术报告和产物在这些过程映射及相应结果的基础上开发新材料和产物有可能作为评估设备的首席顾问,问题和评价,?,参考文献过程映射,参考文献计算机安全事件响应小组(CSIRT) 信息,联系信息,
