确保整个团队了解要采取什么行动，可以对机构如何以及多快地从一个安全事件中恢复产生重要影响。

事件管理和响应是任何网络安全计划的关键要素。每一个事件都提供了教训和改进的机会，高等教育领导者永远不应该假设类似的事件不会再次发生。本指南涵盖了在事件发生之前、期间和之后应该做些什么，以确保机构通过有效的响应、恢复和持续改进保持更好的弹性。

事件发生前

制定事件响应计划：制定详细的事件响应计划，概述检测过程、报告和响应安全事件的程序。该计划应包括控制事件、调查根本原因和恢复正常操作的步骤。

成立事件响应团队：建立一支训练有素的专业团队，能够对安全事件做出快速有效的反应。团队应该包括来自不同部门的人员，如IT部门、安全部门、法律部门和通信部门。FEMA（美国联邦应急管理署）通过其应急管理研究所（NIMS）提供免费课程和认证考试，在这里，团队可以进行培训和认证，并获得持续专业的继续教育学分。

定期进行事件响应培训：定期对事件响应团队成员和其他相关人员进行事件响应程序培训，以便其做好快速有效响应的准备。

演练事件响应预案：定期进行事件应急演练和桌面模拟，以测试事件响应计划并确定需要改进的地方。

建立模板和工具：确保拥有用于沟通和报告的适当模板和工具。考虑“带外”通信，以便在主要机制不可用或受损时，有替代方法与关键利益相关者和机构进行通信。

与利益相关方和外部各方建立伙伴关系：事件响应不是一项单独的工作，它需要许多利益相关方和外部各方的参与、协调和合作。确保已经建立了关系，并知道如何联系校园内的利益相关者。校园安全和应急/危机管理方面的合作伙伴至关重要，他们可能有机构可以利用的工具和流程。此外，还要知道如何与相关执法部门、监管机构和保险公司合作。提前了解这些人和组织是谁，以及如何与他们合作，将使事件发生时的情况变得更容易。

事件期间

既然事件已经发生，请确保所有参与者都遵循计划中概述的步骤。通过遵循这些步骤，机构可以最大程度地减少事件的影响，尽快恢复正常运营，并改善其整体安全状况。

事件识别和报告

所有事件都应立即报告给IT部门或事件响应计划中确定的事件响应团队。报告责任和“通知链”应在潜在的响应团队中广泛共享，张贴在显眼的位置，并至少每年更新一次，以获得正确的手机号码和联系信息。

可以通过电子邮件、电话或任何其他易于理解和访问的系统来报告事件。应该有多个联系点，以避免单点故障。

任何发现事件的人员都应记录事件的详细信息，包括日期、时间、地点和任何其他相关信息。

事件分类

事件响应团队评估事件以确定事件的范围和严重性。

团队将根据事件的严重程度和对机构的潜在影响对事件进行分类。

团队将根据事件的分类确定适当的响应级别。

事件遏制

事件响应团队立即采取行动控制事件并防止进一步的损失。

团队将断开受影响的系统与网络的连接，关闭受影响的系统，禁用账户，或采取其他适当的措施来限制事件的传播。

团队需要同时具备技术能力和适当的特权/许可，来采取任何被认为必要的行动，包括关闭整个系统，切断互联网连接，或其他极端的响应。

事件分析

团队将收集和保存与该事件有关的证据，以供进一步分析和调查。

团队将确定事件的范围和影响，包括任何可能已被泄露或被盗取/导出/下载的数据。

事件响应

事件响应团队将根据事件的严重程度和影响制定响应计划。

团队将与内部利益相关方沟通，包括高级管理人员、IT人员、最终用户和外部实体（如执法部门、保险公司和任何第三方公司或提供商）。该团队将分享有关该事件的详细情况以及为解决该事件所采取的解决措施。

事件恢复

事件响应团队将努力从事件中恢复正常运营。这包括恢复受影响的系统和数据，并尽量减少对机构的影响。除遵循上述“事件期间”的步骤外，其他重要的行动包括：

确保已从所有系统中消除威胁，并逐步从备份中恢复受影响的系统。

寻找关键系统和漏洞的补丁，最好使用风险评分系统来实现价值最高的补丁。

尝试找出安全态势中的任何漏洞，以了解是否有预算和能力来评估和实施任何可能有助于防止攻击的安全工具。了解解决方案并不总是需要更多的工具，安全团队可能会因为拥有更多的工具、更多的警告和风险指标而不堪重负。

事件发生后

在事件响应阶段之后，应尽快采取以下行动。这些行动可与事件恢复行动同时进行。

第一，与事件响应计划中的参与者一起执行“行动后”审查，以确定根本原因，从而改善机构的整体安全状况，防止事件再次发生，加强检测并改进未来的响应措施。

第二，在发生重大事件后强制执行这一规定，或许对不太严重的事件也是如此，目的是从整体上改善安全，特别是改善事件处理。

第三，必要时让整个组织的人员参与进来，并特别邀请那些能够在未来事件中提供支持的人。

第四，在审查期间，围绕什么时候发生了什么、应急团队的表现如何、是否遵循书面程序、这些程序是否充分、什么信息在需要的时候丢失了、哪些措施延缓了恢复、有什么不同的做法、可以做些什么来防止未来的事件、今后可以寻找哪些前兆或指标这些内容讨论并确定下一步。

第五，通过可信的渠道，如REN-ISAC、CLAC和EDUCAUSE论坛，共享入侵的前兆或迹象。这可以帮助其他机构预防和发现类似事件。

第六，对政策、程序或技术控制实施必要的更改，以防止未来发生类似事件。

最后的考虑

每个事件都提供了教训和改进的机会。作为改善安全文化的一部分，与整个机构群体共享有关事件的指标或信息摘要（除非共享会危及法律、隐私、安全或其他合法问题）。只要有可能，机构可能希望与REN-ISAC等外部各方共享指标摘要。此外，在行动后的讨论中，一定要避免任何责备或羞辱。

威胁参与者会试图利用他们知道的以前起作用的方法。高等教育领导人不应该假设类似的事件不会再次发生。

*本文同时刊登于《中国教育网络》2024年2-3月合刊

来源：EDUCAUSE

作者：Christine Whalley、Matt Kenslea、Asha Ramachandra、Steve Fletcher

翻译：董明

责编：陈永杰