4.6　建立网络安全事件升级处理机制

为降低安全事件的危害，从安全事件中吸取教训，CSO应当建立网络安全事件响应机制。网络安全事件的处理与响应一般包括计划与准备、启动、记录、评价、限制、根除、回应、恢复、关闭事件、事件后续检查、事件总结等环节，如图4-2所示。

• 计划与准备。在网络安全事件未发生之时，对处理事件所需的人、财、物等资源进行准备，以便及时使用。
• 启动。在网络安全事件发生后，根据事件的类型和等级触发相应的网络安全事件响应程序，启动事件处理机制。
• 记录。网络安全事件处理部门要根据汇报的事件情况进行持续记录，该记录应当根据事件响应机制的要求定点、定时向相关岗位或人员进行通报。
• 评价。由网络安全事件处理部门评价网络安全事件的严重性情况，并交由具备相应权限的负责人进行统一指挥。
• 限制。网络安全事件处理机制启动后，由处置负责人采取既定的操作要求对网络安全事件的危害进行限制和阻断，防止网络安全事件进一步扩散。
• 根除。在网络安全事件影响的范围得到限制的基础上，对网络安全事件进行根除，处理导致网络安全事件发生的原因。
• 回应。网络安全事件的发生会影响用户的网络使用与体验，在网络安全事件的处理过程中，应当持续向用户或外界反馈网络安全事件处理的进度及相关信息。
• 恢复。在根除导致网络安全事件的原因之后，恢复系统运行。
• 关闭事件。系统恢复正常运行后，网络安全事件处理告一段落，事件关闭。
• 事件后续检查。在关闭事件后，由网络安全事件管理部门对该次网络安全事件的处理过程进行回顾，并对导致事件的原因进行取证、追溯攻击源或责任人、发起调查或诉讼等。
• 事件总结。在对网络安全事件处置过程的责任及得失进行调查和分析后，对网络安全事件响应过程进行总结，开展奖惩等工作。

图4-2　处理与响应网络安全事件的一般步骤

根据上述网络安全事件处置的一般过程，CSO可以根据所在组织的实际规模进行相应的流程设计。在此，我们介绍一种与IT服务管理相结合的网络安全事件升级处置机制（如图4-3所示）。

图4-3　一种与IT服务管理相结合的网络安全事件升级处置机制

参考IT服务管理流程中的事件管理流程，我们可以将网络安全事件根据不同的处置人员分为三种主要类型，如一般生产事件、紧急生产事件、信息系统事故。可以定义一般生产事件主要由一线支持处置，也就是公司内部的事件抢险小组处置；而紧急生产事件则由二线外部第三方专业安全响应服务提供商及设备供应商协作处置；信息系统事故则由三线，即公司高管决策启动应急预案、灾难备份等，与灾难应急响应及恢复机制有机结合起来。

在这样的机制中，网络安全事件随着时间的发展，其等级以及处理机构和处理方式就会发生变化，最终保证在相对最短的时间内，对网络安全事件进行有效的控制。举个例子，在某公司内发现一台计算机中了病毒，这时相应启动的是一线支持的事件处置机制，因为这时候病毒的影响范围不大，对业务影响较小。在1小时后，一线还没有处理好这台中毒的计算机，而且中毒范围扩大到一个部门的所有设备，这时事件等级就要上升，由“二线”入场接手对中毒事件的处置。在事件发生2小时后，“二线”也还没有完全控制病毒，同时中毒的设备进一步扩散到多个部门，这时“三线”就要入场，由公司高管来决策是否启动灾备，实施应急预案。

通过这样的事件升级及管控机制，理论上讲，在长期运行后，其目标是将原来要启动三线支持的事件逐步标准化并转为二线支持处置，而二线支持的事件逐步转变为由内部团队一线支持处置。通过这样的方式，慢慢地将原来很多的未知突发安全事件变为已知、可控、可响应的安全事件。

在大型企业中，这样的设计还可以与IT运维的日常事件管理流程衔接起来，可以更有效地控制潜在的网络安全事件，分解网络安全事件处置的责任，不让最终的决策组织承担过多的压力。表4-2是某大型企业内部设计的8级网络安全事件的处置流程，其中，通过事件发生的延续时间和影响对事件处置的升级机制进行了规划。

表4-2　网络安全事件处置快速一览表

注：在“需要的行动”和升级“报告”中，框内需要执行的动作包含左边框中的内容，即内容是向右递增的。