企业应及时启动安全事件响应计划

上次您对机构的安全事件响应计划进行测试是什么时候？我们曾经介绍过很多关于创建响应计划的重要性的文章，如何创建安全事件响应政策，对安全事件进行响应时如何采取测试，以及如何响应恶意软件等等。

所以，我要再次提问：上次您对机构的安全事件响应计划进行测试是什么时候？这里我所说的并不是灾难恢复计划中用完整的备份恢复网络。我说的是在压力之下如何阻止某人尝试破坏您的网络的危机管理。

世界上无论多么有效的响应计划，如果到时不能启动，对您的机构就毫无作用。所以您应该在需要用到响应计划之前对它进行测试。

不要犯纸上谈兵的错误，为了满足管理要求将安全响应计划仅仅停留在纸面上。您可以拟订一个战略在机构网络崩溃之前解决局部问题。

让我们来演示一个例子：出现了一种新的病毒，这是一个最普通不过的情况。让我们来看下面两种情境。

情境1:

在收到警告或者发现不正常的情况以后，两个管理员发现了病毒。首先，他们启动病毒响应计划，将感染病毒的设备从网络中撤出，清理设备以后又对系统进行了恢复。然后他们书写了报告并将事件通告了管理层。从发现事件到完成报告用时1个小时。

情境2:

同样的两个管理员发现了病毒。他们告诉管理层网络中发现了病毒，要求负责人关闭遭到病毒感染的网络，向非技术经理简单介绍了病毒以及它的作用，阐明在必要的情况下稍微干扰一下业务服务能够组织病毒的爆发。最后，他们从网络中撤下了几台遭受感染的设备，进行整理和恢复。然后他们书写了报告并向管理层进行了简单的汇报(在操作过程中，也许要进行多次汇报)。从发现时间到完成报告至少要用4个小时。

应该很清楚的看出来哪种情境更有效，能为业务提供更好的服务。尽管如此，第二中情境对于你们中很多人来说可能都很素席。如果这样的话，您就需要事先进行测试。

对计划进行测试

安全响应计划的测试很简单。拥有系统决策权的人的参与对于测试的启动是很重要的一点。以同样的病毒事件为例，您应该按以下步骤进行：

1.选择一种对网络构成最大威胁的病毒，并选择一台目标设备（重要的或非重要性的都包括）。
2.通知安全管理员在某台设备上发现了病毒，并要求他（或她）执行安全响应计划。
3.观察所进行的行动是否按照当前的安全响应计划进行。

完成报告以后测试才算结束，这时就应该进行事后的回顾。事后回顾应该关注任务是否按照现有计划进行，并且阻止或者延迟计划执行的障碍。以下是需要回答的问题：

1.测试所涉及的人是否能够了解计划？
2.全部所需的条款是否可得易用（例如，软件、授权许可，人员、许可，联系信息，设备信息等）？
3.最缺乏经验的人是否能够跟上并且执行计划？
4.是否出现与计划不符的情况，以及出现的原因？

回答完以上问题以后，就需要进行一些必要的修改，重写安全响应计划。

结语

安全响应计划与任何其他危机管理计划没有差别。计划在通过实际测试前不能成为计划。要抢在实际事件对您进行“测试”以前对您的安全响应计划进行测试。

（责任编辑:陈毅东）