對(duì)于任何一個(gè)企業(yè)來說，處理數(shù)據(jù)泄漏安全事件都是一項(xiàng)艱巨的任務(wù)。數(shù)據(jù)泄漏之后的善后工作涉及到許多費(fèi)時(shí)的步驟，其中包括確認(rèn)泄漏的數(shù)據(jù)、報(bào)告安全事件細(xì)節(jié)，以及實(shí)施必要的管制以防止類似的事情再次發(fā)生等。（這些只是必要措施中的一少部分。）安全事件的后果令人害怕，如果再缺少人手，這件事似乎不可能完成。然而，情況并不一定如此。

在本文中，我們將概述如何利用非安全部門的員工組成一個(gè)能夠制定數(shù)據(jù)泄漏響應(yīng)計(jì)劃的電腦安全事件響應(yīng)小組。

安全事件響應(yīng)過程：***步

為了確保數(shù)據(jù)泄漏造成的損失最小，***的辦法就是提前做準(zhǔn)備，***步就是組建電腦安全事件響應(yīng)小組（CSIRT）。這個(gè)小組應(yīng)該包含來自企業(yè)各個(gè)部門的員工：IT、法律、人力資源以及公司管理人員等。這個(gè)安全事件響應(yīng)過程中的員工都應(yīng)該是值得高度信任的人，因?yàn)樗麄兛赡軙?huì)接觸到敏感數(shù)據(jù)，具體情況視安全事件細(xì)節(jié)而定。

數(shù)據(jù)泄漏安全事件響應(yīng)小組中的任何人都要明白，他們的工作細(xì)節(jié)是機(jī)密，他們必須保護(hù)他們所接觸的、或者在調(diào)查期間存儲(chǔ)的數(shù)據(jù)的安全。

關(guān)于如何組建CSIRT的其他細(xì)節(jié)可以從CERT、NIST、FIRST組織，或者地方性安全事件響應(yīng)組織那獲得。

電腦安全事件響應(yīng)小組如何協(xié)助制定數(shù)據(jù)泄漏響應(yīng)計(jì)劃？

雖然根據(jù)常識(shí)，在經(jīng)濟(jì)蕭條時(shí)期，IT和信息安全員工數(shù)量減少的情況下，安全事件響應(yīng)過程會(huì)更加困難，然而這實(shí)際上也可能是一個(gè)機(jī)會(huì)——讓現(xiàn)有員工進(jìn)行創(chuàng)造性的思考，并在企業(yè)內(nèi)部各部門之間建立起信任。為此，讓我們更加詳細(xì)的討論一下可以參與到電腦安全事件響應(yīng)小組的各部門的角色。每個(gè)CSIRT都應(yīng)該包括核心成員以及機(jī)動(dòng)成員。比如，核心CSIRT成員應(yīng)該包括來自主要運(yùn)行系統(tǒng)部門的代表，一個(gè)網(wǎng)絡(luò)工程師和一個(gè)應(yīng)用程序部門的員工。而機(jī)動(dòng)成員可以是那些在數(shù)據(jù)泄漏事件中可能會(huì)被牽扯進(jìn)來的部門的一員。

很明顯，CSIRT應(yīng)該包含系統(tǒng)管理員和應(yīng)用程序支持人員。當(dāng)有泄漏事件發(fā)生時(shí)，他們通常是***被通知的一批人，然后其他人才會(huì)得到消息，他們可以檢查日志來確定可疑事項(xiàng)、驗(yàn)證管理賬戶的可靠性、驗(yàn)證系統(tǒng)上應(yīng)該運(yùn)行的服務(wù)、為CSIRT核心成員提供系統(tǒng)訪問權(quán)或者應(yīng)用程序訪問權(quán)，以及許多其他的基本工作。

其他的主要參與者包括那些來自法律、法規(guī)遵從、物理安全以及公眾關(guān)系部門的人員。法律部門和法規(guī)遵從部門的專家能夠提供法律、監(jiān)管規(guī)則、合同要求或者安全事件其他方面的指導(dǎo)意見；那些屬于嚴(yán)格監(jiān)管行業(yè)的公司，比如醫(yī)療保健或者金融行業(yè)，可能會(huì)考慮把法律以及法規(guī)遵從代表加入CSIRT并作為其核心成員。那些精通物理安全的人員能夠提供企業(yè)中進(jìn)進(jìn)出出的人員和其他方面的數(shù)據(jù)。他們甚至還可能跟執(zhí)法機(jī)構(gòu)有關(guān)系，并且在報(bào)告和調(diào)查犯罪方面有相關(guān)經(jīng)驗(yàn)。公眾關(guān)系部門成員可以幫忙進(jìn)行任何跟媒體有關(guān)的活動(dòng)。如果需要對(duì)相關(guān)方進(jìn)行通知，所有這些部門都可以幫得上忙。

然而，當(dāng)各個(gè)部門缺少人手的時(shí)候，說服他們派出CSIRT代表或者全體人員都花費(fèi)必要的時(shí)間來準(zhǔn)備響應(yīng)安全事件可能會(huì)比較困難。為了說服其他部門派出CSIRT代表，你必須讓他們意識(shí)到他們的時(shí)間和專業(yè)知識(shí)都會(huì)受到高度重視。這意味著只是在必要的時(shí)候才會(huì)請(qǐng)他們幫忙，而且響應(yīng)數(shù)據(jù)泄漏事件所需時(shí)間也最短。他們應(yīng)該有適合自己角色的清晰明確的程序，以便為響應(yīng)泄漏事件做準(zhǔn)備。根據(jù)數(shù)據(jù)泄漏的嚴(yán)重程度，他們有時(shí)可能不需要牽扯進(jìn)來，這時(shí)應(yīng)該跟他們進(jìn)行交流，以便讓他們知道在不必要的時(shí)候不用參與進(jìn)來。

即便是缺少人手，響應(yīng)數(shù)據(jù)泄漏事件也至少需要包括一個(gè)核心CSIRT成員、一位具有系統(tǒng)知識(shí)的IT聯(lián)系人，以及一位熟悉系統(tǒng)包含哪些數(shù)據(jù)的人員。這些關(guān)鍵人員在確定受影響的數(shù)據(jù)、實(shí)施的安全控制以及應(yīng)該執(zhí)行的響應(yīng)行動(dòng)等方面能夠提供專業(yè)的知識(shí)。這些人還可以提出相關(guān)建議防止此類安全事件再次發(fā)生。

***，需要進(jìn)行事后分析，對(duì)經(jīng)過人員調(diào)整的CSIRT進(jìn)行有效性評(píng)估，因?yàn)樵谌鄙偃耸值那闆r下安全事件響應(yīng)工作可能會(huì)跟平時(shí)不太一樣。這個(gè)評(píng)估應(yīng)該優(yōu)先進(jìn)行，特別是在這個(gè)由不同部門成員組成的CSIRT比平時(shí)企業(yè)人員配備齊全的方案效率更高時(shí)。在泄漏事件響應(yīng)的時(shí)候，向公司管理層通報(bào)小組的參與力度也是一個(gè)很好的做法，這樣做可以詳細(xì)解釋他們是如何把安全事件對(duì)企業(yè)的影響降到***的。

【編輯推薦】

1. McAfee企業(yè)數(shù)據(jù)丟失防護(hù)解決方案解析
2. 面對(duì)數(shù)據(jù)丟失防護(hù)企業(yè)將何去何從？