4.6　建立網(wǎng)絡(luò)安全事件升級處理機制

為降低安全事件的危害，從安全事件中吸取教訓(xùn)，CSO應(yīng)當(dāng)建立網(wǎng)絡(luò)安全事件響應(yīng)機制。網(wǎng)絡(luò)安全事件的處理與響應(yīng)一般包括計劃與準(zhǔn)備、啟動、記錄、評價、限制、根除、回應(yīng)、恢復(fù)、關(guān)閉事件、事件后續(xù)檢查、事件總結(jié)等環(huán)節(jié)，如圖4-2所示。

• 計劃與準(zhǔn)備。在網(wǎng)絡(luò)安全事件未發(fā)生之時，對處理事件所需的人、財、物等資源進(jìn)行準(zhǔn)備，以便及時使用。
• 啟動。在網(wǎng)絡(luò)安全事件發(fā)生后，根據(jù)事件的類型和等級觸發(fā)相應(yīng)的網(wǎng)絡(luò)安全事件響應(yīng)程序，啟動事件處理機制。
• 記錄。網(wǎng)絡(luò)安全事件處理部門要根據(jù)匯報的事件情況進(jìn)行持續(xù)記錄，該記錄應(yīng)當(dāng)根據(jù)事件響應(yīng)機制的要求定點、定時向相關(guān)崗位或人員進(jìn)行通報。
• 評價。由網(wǎng)絡(luò)安全事件處理部門評價網(wǎng)絡(luò)安全事件的嚴(yán)重性情況，并交由具備相應(yīng)權(quán)限的負(fù)責(zé)人進(jìn)行統(tǒng)一指揮。
• 限制。網(wǎng)絡(luò)安全事件處理機制啟動后，由處置負(fù)責(zé)人采取既定的操作要求對網(wǎng)絡(luò)安全事件的危害進(jìn)行限制和阻斷，防止網(wǎng)絡(luò)安全事件進(jìn)一步擴散。
• 根除。在網(wǎng)絡(luò)安全事件影響的范圍得到限制的基礎(chǔ)上，對網(wǎng)絡(luò)安全事件進(jìn)行根除，處理導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生的原因。
• 回應(yīng)。網(wǎng)絡(luò)安全事件的發(fā)生會影響用戶的網(wǎng)絡(luò)使用與體驗，在網(wǎng)絡(luò)安全事件的處理過程中，應(yīng)當(dāng)持續(xù)向用戶或外界反饋網(wǎng)絡(luò)安全事件處理的進(jìn)度及相關(guān)信息。
• 恢復(fù)。在根除導(dǎo)致網(wǎng)絡(luò)安全事件的原因之后，恢復(fù)系統(tǒng)運行。
• 關(guān)閉事件。系統(tǒng)恢復(fù)正常運行后，網(wǎng)絡(luò)安全事件處理告一段落，事件關(guān)閉。
• 事件后續(xù)檢查。在關(guān)閉事件后，由網(wǎng)絡(luò)安全事件管理部門對該次網(wǎng)絡(luò)安全事件的處理過程進(jìn)行回顧，并對導(dǎo)致事件的原因進(jìn)行取證、追溯攻擊源或責(zé)任人、發(fā)起調(diào)查或訴訟等。
• 事件總結(jié)。在對網(wǎng)絡(luò)安全事件處置過程的責(zé)任及得失進(jìn)行調(diào)查和分析后，對網(wǎng)絡(luò)安全事件響應(yīng)過程進(jìn)行總結(jié)，開展獎懲等工作。

根據(jù)上述網(wǎng)絡(luò)安全事件處置的一般過程，CSO可以根據(jù)所在組織的實際規(guī)模進(jìn)行相應(yīng)的流程設(shè)計。在此，我們介紹一種與IT服務(wù)管理相結(jié)合的網(wǎng)絡(luò)安全事件升級處置機制（如圖4-3所示）。

參考IT服務(wù)管理流程中的事件管理流程，我們可以將網(wǎng)絡(luò)安全事件根據(jù)不同的處置人員分為三種主要類型，如一般生產(chǎn)事件、緊急生產(chǎn)事件、信息系統(tǒng)事故?？梢远x一般生產(chǎn)事件主要由一線支持處置，也就是公司內(nèi)部的事件搶險小組處置；而緊急生產(chǎn)事件則由二線外部第三方專業(yè)安全響應(yīng)服務(wù)提供商及設(shè)備供應(yīng)商協(xié)作處置；信息系統(tǒng)事故則由三線，即公司高管決策啟動應(yīng)急預(yù)案、災(zāi)難備份等，與災(zāi)難應(yīng)急響應(yīng)及恢復(fù)機制有機結(jié)合起來。

在這樣的機制中，網(wǎng)絡(luò)安全事件隨著時間的發(fā)展，其等級以及處理機構(gòu)和處理方式就會發(fā)生變化，最終保證在相對最短的時間內(nèi)，對網(wǎng)絡(luò)安全事件進(jìn)行有效的控制。舉個例子，在某公司內(nèi)發(fā)現(xiàn)一臺計算機中了病毒，這時相應(yīng)啟動的是一線支持的事件處置機制，因為這時候病毒的影響范圍不大，對業(yè)務(wù)影響較小。在1小時后，一線還沒有處理好這臺中毒的計算機，而且中毒范圍擴大到一個部門的所有設(shè)備，這時事件等級就要上升，由“二線”入場接手對中毒事件的處置。在事件發(fā)生2小時后，“二線”也還沒有完全控制病毒，同時中毒的設(shè)備進(jìn)一步擴散到多個部門，這時“三線”就要入場，由公司高管來決策是否啟動災(zāi)備，實施應(yīng)急預(yù)案。

通過這樣的事件升級及管控機制，理論上講，在長期運行后，其目標(biāo)是將原來要啟動三線支持的事件逐步標(biāo)準(zhǔn)化并轉(zhuǎn)為二線支持處置，而二線支持的事件逐步轉(zhuǎn)變?yōu)橛蓛?nèi)部團(tuán)隊一線支持處置。通過這樣的方式，慢慢地將原來很多的未知突發(fā)安全事件變?yōu)橐阎⒖煽?、可響?yīng)的安全事件。

在大型企業(yè)中，這樣的設(shè)計還可以與IT運維的日常事件管理流程銜接起來，可以更有效地控制潛在的網(wǎng)絡(luò)安全事件，分解網(wǎng)絡(luò)安全事件處置的責(zé)任，不讓最終的決策組織承擔(dān)過多的壓力。表4-2是某大型企業(yè)內(nèi)部設(shè)計的8級網(wǎng)絡(luò)安全事件的處置流程，其中，通過事件發(fā)生的延續(xù)時間和影響對事件處置的升級機制進(jìn)行了規(guī)劃。

注：在“需要的行動”和升級“報告”中，框內(nèi)需要執(zhí)行的動作包含左邊框中的內(nèi)容，即內(nèi)容是向右遞增的。