YD1826-2008 网络安全应急处理小组建设指南

YD1826-2008 网络安全应急处理小组建设指南 成立网络安全应急处理小组，由其统一规划整个组织的网络安全架构，制定组织整体的网络安全事件处理流程和规范，并负责整个组织内网络安全策略的组织实施，是应对网络安全问题的有效途径之一。组建网络安全应急处理小组应有明确的工作目标和服务范围，需要全面考虑组织结构、经费筹集、对外联络和运作模式等多方面因素。本标准在参考国外相关标准的基础上，结合有关网络安全应急处理工作的实践，编写了网络安全应急处理小组建设指南。 范围 本标准给出了网络安全应急处理小组的组建过程、职责定位、服务对象界定和小组间协作等方面的指南。 本标准适用于各类网络安全应急处理小组的组建，也可供已成立网络安全应急小组的组织参考2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括翻误的内容》或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文档的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YDT 1827-2008网络安全事件描述和交换格式 RFC2350 Expectations for Computer Security Incident Response ITU-T E.409 Incident Organisation and Security Incident Handling 3 术语和缩略语 3.1 术语和定义 以下术语和定义适用于本标准。 3.1.1 网络安全应急处理小组 Network Security Emergency Handling Team一种服务性组织，负责接收、验证计算机安全事件报告，并对其作出响应活动。在本标准中简称应急小组，应您小组通常为一个确定的对象服务，该对象可以是某个国家或地区、政府部门、教育机构、公司或者是某个付费客户等。 3.1.2 计算机安全事件 Computer Security Event任何与计算机系统安全或计算机网络安全相关的真实或可疑的有害活动。 3.1.3 安全事件处理 Security Event Handling一个应急小组为指定客户提供计算机安全事件监测、预警、分析、响应和恢复等服务。 3.1.4 漏洞 Vulnerability软件存在的缺陷，例如由于设计缺陷或执行错误，软件会导致意外的、不希望出现的事件发生，该事件可能危及系统、网络、应用甚至协议的安全。 3.2 缩略语 Cvss Common Vulnerability Scoring System通用漏洞评估体系 IDS Intrusion Detection System IPS Intrusion Prevention System入侵检测系统入侵防范系统 MOU Memory of Understanding谅解备忘录 4.1概述 网络安全应急处理小组是一种服务性组织，负责接收、验证计算机安全事件报告并对其作出响应活动，它通常为某个国家或地区、政府部门、教育机构、公司或者是某个付费客户等对象服务。 成立网络安全应急处理小组的目的是有效预防、应对计算机安全事件，在事件发生前、发生期间和发生后分别做好相应的预警、分析和响应、恢复工作，尽可能减少事件带来的损失。 4.2 网络安全应急处理小组的种类 网络安全应急处理小组形式多样，规模不一，服务对象广泛，网络安全应急处理小组可以按照多种方式进行分类。 一般可根据网络安全应急处理小组的目的、功能和服务对象进行如下分类。 a）组织内的应急小组；负责为其所属的组织提供安全事件处理服务，该组织可以是企业、学校、科研院所或政府机构等。 b）产品（软件、硬件）提供商的应急小组；负责处理与所经营产品相关的漏洞报告，并分析漏洞、开发针对性补丁或工具包，向客户或公众发布。 c）应急响应服务提供商的应急小组：把事件处理服务作为一种产品提供给其它机构。 d）国家级应急小组：国家层面的网络安全应急组织，通常作为协调机构组织实旌跨国、跨境、跨网、跨组织安全事件的处理工作. 网络安全应急处理小组还可以按照它们的构建方式分类如下。 a）非常设应急小组：机构内未设置事件处理的专职部门，一般由负责信息系统管理或维护的技术人员兼职处理安全事件。 b）分布式应急小组：应急小组分散在机构中，并且分布在不同的地理位置。通常由一名负责人负责监督和协调分布式小组的行动。 c）中心化应急小组：应急小组集中位于一个实际的地理位置，负责整个机构或服务对象的网络安全事件应急处理工作。 d）复合型应急小组；分布式应急小组和中心化应急小组的组合形式，它尽可能地利用整个机构内关键位置的现有人员，同时又具有专职小组的中心点协调能力。 e）协调型应急小组：应急小组一般是中心化的、位于一个实际的地理位置、发挥协调作用的实体，负责协调各相关机构的安全事件处理工作。 网络安全应急处理小组还可以按照其所属的部门或其服务对象所在的部门进行分类，如政府、教育、科研机构、商业组织的应急小组。 5网络安全应急处理小组的建立 5.1 概述 网络安全应急处理小组的组建，可以参照如下6个步骤进行。