◇BP.08.03识别安全突发事件
确定是否发生了一个有关安全的突发事件,识别出事件详细情况并且必要时提出报告。 安全突发事件可通过历史事件的数据、系统配置数据、完整性工具和其它系统信息诊断出来。由于某些突发事件会经过一个长周期时间后才出现,因此这种分析可能涉及到与以前系统状态进行比较。
工作产品示例:
(1)突发事件清单和定义——识别出共同的安全突发事件并进行易于识别的描述。 (2)突发事件响应指南——描述对出现安全突发事件的恰当响应。
(3)突发事件报告——描述出现了什么突发事件及其全部的相关详细情况,包括突发事件的来源、任何形式的危险、应采取的响应和需要进一步采取的行动。
(4)与探测到的每个人侵事件有关的报告一一描述探测到的每个人侵事件并提供全部相关详细情况,包括突发事件的来源、任何形式的危险、采取的响应和需要进一步采取的行动。
(5)周期性突发事件综述——提供最近的安全突发事件的概述,指出趋势,要求更为安全的区域以及降低安全可能节约的经费。
安全突发事件在开发和运行环境中都可能发生。这些突发事件能够以不同方式影响正在开发或运行的系统。对付黑客或恶意代码(病毒、蠕虫等等)采用预谋的技术攻击,需要一 种不同于对抗随机事件的方法。这要求对系统配置和状态进行分析才能检测出这类攻击,应该准备、测试和使用恰当的响应计划。许多技术攻击要求快速的、预先规定好的响应以将损失减至最小。在许多情况中,错误的响应可能使情况变得更坏。在需要时,应该识别和定义B向应计划( BP.08.06)。