16、事件响应规划全解析

事件响应规划全解析

1. 关键人员与服务

在信息安全事件响应中，涉及到几类关键人员和重要的网络系统服务：
- 关键人员 ：
- VIPs ：包括高层管理人员和董事会成员。
- 关键业务用户 ：能够访问组织关键专有数据，可能导致信息泄露的人员，如主计长和人力资源总监。
- IT 管理员 ：负责网络和系统的日常管理与维护。
- 关键网络和系统服务 ：企业网络环境中，为业务数据和应用程序提供可用性支持的所有部分。

2. 确定正常状态

要判断网络是否受到威胁，首先需要了解网络的正常状态。可以利用后续介绍的工具，对网络和用户行为进行自动化监控，以便及时发现异常活动，开启事件响应的识别阶段。

3. OODA 循环

OODA 循环（观察、调整、决策、行动）是一个有助于构建事件响应规划和提升操作能力的重要概念。

3.1 观察（Observe）

在规划事件响应能力时，要尽可能提高对信息系统的可见性。采用先进的分层监控技术，深入了解信息系统的正常运行情况，以便及时捕捉异常行为。

3.2 调整（Orient）

利用分层监控收集的大量信息，运用额外的工具和技术进行分析，从而对信息进行分类和优先级排序，为后续行动提供依据。

3.3 决策（Decide）

通过监控能力收集网络信息，并将其转化为可