第十六章業(yè)務(wù)連續(xù)性管理

/業(yè)務(wù)連續(xù)性管理隨著信息化的發(fā)展、企業(yè)、政府對信息系統(tǒng)運作的穩(wěn)定性和可靠性的要求就越高。

本章首先將從什么是業(yè)務(wù)連續(xù)性計劃及BCP相關(guān)概念進行了介紹；然后介紹了應(yīng)急響應(yīng)概念、如何建立安全應(yīng)急響應(yīng)管理系統(tǒng)和應(yīng)急響應(yīng)流程以及針對事件的發(fā)生如何處理;最后介紹了災(zāi)難恢復(fù)計劃相關(guān)概念和所使用的技術(shù)以及災(zāi)難恢復(fù)級別是如何定義和如何制定災(zāi)難恢復(fù)計劃.本章內(nèi)容適合參加信息安全高級管理師認證的讀者。概述什么是業(yè)務(wù)連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃(BusinesｓＣontinｕityPlanｎing，縮寫為BＣP），BCP可被定義為一種先知先覺的流程，它可以幫助企業(yè)確認影響業(yè)務(wù)發(fā)展的關(guān)鍵性因素及其可能面臨的威脅。由此而擬定的一系列計劃與步驟可以確保企業(yè)無論處于何種狀況下，這些關(guān)鍵因素的作用都能正常而持續(xù)地發(fā)揮。ＢCP的目標(biāo)是建立一種合理有效的成本控制方案，以平衡由威脅帶來的可能的業(yè)務(wù)或資產(chǎn)的損失及為保證業(yè)務(wù)連續(xù)性運作而進行的成本投入.業(yè)務(wù)連續(xù)性對確保災(zāi)難發(fā)生時企業(yè)的生存是至關(guān)重要的，不過與之同等重要的是要保證企業(yè)日常的業(yè)務(wù)運行平穩(wěn)有序。業(yè)務(wù)持續(xù)管理即BＣＭ是一種整體管理流程,它能夠確定可能發(fā)生的沖擊及對企業(yè)運作造成的威脅，并提供一個架構(gòu)來阻止或有效的抵消這些威脅,以保護股東的利益、公司的名譽及品牌。BCP運作流程BＣP運作共有６個階段,分別為：１．項目初始化２．風(fēng)險分析及業(yè)務(wù)影響3．策略及實施4。BCP開發(fā)５.培訓(xùn)計劃６。測試及維護1．項目初始化（1)獲得管理層的支持與投入為了確保該程序能夠成功，高級管理層必須參與其中。ＢCＰ計劃必須成為公司的戰(zhàn)略性業(yè)務(wù)計劃提供獨立的預(yù)算。（2）建立團隊必須建立一個團隊,人員包括財務(wù)部,審計部，信息技術(shù)部，人事部，行政部等等.當(dāng)災(zāi)難開始時,這些部門在繼續(xù)扮演他們承擔(dān)的支援角色的同時,也必須實施重大的機構(gòu)轉(zhuǎn)變以援助受影響的區(qū)域。法律部、公關(guān)部與投資部在事件發(fā)生后需要向公眾及股東通告公司的運作狀況。２.風(fēng)險分析及業(yè)務(wù)影響分析決定BCP需求的關(guān)鍵驅(qū)動力是"企業(yè)能在災(zāi)難中承受多少金額的損失＂？業(yè)務(wù)影響分析的目的是回答以下問題:保護何種資產(chǎn)?（資產(chǎn)識別與評估）資產(chǎn)的威脅與脆弱點?(脆弱點和威脅評估）有沒有控制措施？控制措施能否預(yù)防或減少潛在的威脅？（評估控制)投入金額/勞力的多少？(決定）投入資金的效率如何？（通訊和監(jiān)控)當(dāng)進行業(yè)務(wù)影響分析時，應(yīng)考慮以下幾方面:金額的影響：如果不采取相應(yīng)的措施,則組織的經(jīng)濟損失是多少？客戶的影響：如果發(fā)生業(yè)務(wù)中斷，則組織會損失多少市場占有率。法律的影響：組織是否遵從法律的要求?內(nèi)部依賴關(guān)系的影響：中斷的業(yè)務(wù)是否會其他領(lǐng)域的關(guān)鍵業(yè)務(wù)？作為業(yè)務(wù)影響分析的一部分，應(yīng)該評估業(yè)務(wù)允許中斷的時間長短；組織能提供多常時間的信息；當(dāng)信息重新可用時，允許損失的信息是多少？這些問題可以通過恢復(fù)時間目標(biāo)(recoverｙtimeobjeｃｔｉｖe（RTO）)和恢復(fù)點目標(biāo)（ｒecoverypｏinｔｏbjecｔive（RＰO）)來決定。ＢCＰ需求的另一個因素是“災(zāi)難實際發(fā)生的可能性”.此因素由威脅的級別和組織具有的薄弱點范圍決定，威脅的程度取決于下列因素：有惡意性的破壞，如轟炸、縱火、工業(yè)間諜等.意外事故,如組織的辦公場所、環(huán)境,內(nèi)部系統(tǒng)和處理程序的質(zhì)量。3．業(yè)務(wù)持續(xù)性策略及實施（1)業(yè)務(wù)持續(xù)性策略業(yè)務(wù)影響分析為制定業(yè)務(wù)持續(xù)性策略提供必要的信息，下來，根據(jù)提供的信息，可以確定多種滿足組織業(yè)務(wù)持續(xù)管理的方案.必須為各種業(yè)務(wù)持續(xù)方案進行成本、效益及風(fēng)險分析,包括：滿足業(yè)務(wù)持續(xù)目標(biāo)的能力影響的可能性安裝設(shè)備的成本維護、測試及調(diào)用設(shè)備的成本中斷對于技術(shù)、組織、文化和管理的干擾及未采取持續(xù)管理的潛在影響應(yīng)該仔細考慮采取業(yè)務(wù)持續(xù)方案確實解決了具體的風(fēng)險但不會增加其它風(fēng)險。通過風(fēng)險降低和業(yè)務(wù)持續(xù)方案成本的平衡來決定業(yè)務(wù)持續(xù)策略以降低風(fēng)險達到業(yè)務(wù)持續(xù)的目標(biāo)。(2)實施設(shè)立組織及準(zhǔn)備實施計劃書實施備份安排實施降低風(fēng)險的措施4．BCP開發(fā)開發(fā)業(yè)務(wù)持續(xù)計劃之前,確定災(zāi)難發(fā)生的情況下執(zhí)行的行動，你需要熟悉每天的操作任務(wù)。這意味這你需要熟悉每一個業(yè)務(wù)處理過程的基本文檔。在開發(fā)業(yè)務(wù)持續(xù)計劃之前，須考慮下列措施是否已經(jīng)存在：變更控制流程最終用戶的標(biāo)準(zhǔn)操作流程操作人員的具體需求和特殊外圍設(shè)備需求數(shù)據(jù)流圖表及問題管理程序重要記錄磁帶備份/記錄管理日常安排異地存儲開發(fā)ＢCP計劃時,需考慮在計劃執(zhí)行的七個階段中為每個恢復(fù)小組分派任務(wù):評估與聲明通告應(yīng)急反應(yīng)過渡期處理搶救重新安置及啟動重新正常運做5.培訓(xùn)計劃一些員工需要的特殊培訓(xùn)如下：有緊急情況時可應(yīng)用替代的技術(shù)流程當(dāng)自動操作系統(tǒng)正在恢復(fù)時可替代的人工操作流程確保團隊成員達到推動BCP所需能力的技術(shù)培訓(xùn)６．測試及維護進行演示及有規(guī)律的測試，增強信心及效率，確保其相關(guān)的文檔時常更新?？傊?，組織沒有業(yè)務(wù)持續(xù)計劃就像是不設(shè)防，不可能阻止任何不可預(yù)測的破壞所造成的各種損失。所以公司必須認真的對待業(yè)務(wù)持續(xù)計劃。應(yīng)急響應(yīng)計劃應(yīng)急響應(yīng)概述應(yīng)急響應(yīng)背景１988年Morris蠕蟲事件直接導(dǎo)致了CＥRT/CC的誕生。美國國防部(DoD)在卡內(nèi)基梅隆大學(xué)的軟件工程研究所成立了計算機應(yīng)急響應(yīng)組協(xié)調(diào)中心(CERT／ＣC)以協(xié)調(diào)Iｎteｒnet上的安全事件處理。目前，CERT/CＣ是ＤｏＤ資助下的抗毀性網(wǎng)絡(luò)系統(tǒng)計劃（ＮetｗoｒkｅｄSｙｓteｍsSurviｖabｉｌｉｔyProｇrａm)的一部分，下設(shè)三個部門:事件處理、脆弱性處理、計算機安全應(yīng)急響應(yīng)組（CSＩRT）。在CＥRT／CC成立之后的14年里,共處理了28萬多封Ｅｍaｉl，2萬多個熱線電話,其運行模式幫助了8０多個CSIRＴ組織的建設(shè)?！斑M入2１世紀(jì),網(wǎng)絡(luò)技術(shù)的高速發(fā)展，使物理世界中涉及政治、軍事、經(jīng)濟、文化、外交、安全關(guān)系和利益的全球化、多級化的復(fù)雜的世界格局，已經(jīng)全面映射到開放的互聯(lián)網(wǎng)體系中，由此形成了一個社會、技術(shù)一體化的復(fù)雜巨系統(tǒng)！”在首屆“全國互聯(lián)網(wǎng)應(yīng)急處理研討會‘２０0４”在這一復(fù)雜巨系統(tǒng)中，國家公共管理職能開始向互聯(lián)網(wǎng)世界全面滲透。就像物理世界面臨著SAＲS、禽流感等病毒時,國家建立了整套的應(yīng)急體系和處理能力一樣,當(dāng)互聯(lián)網(wǎng)上蠕蟲、病毒、網(wǎng)絡(luò)攻擊日益泛濫時，同樣需要這樣一個體系對網(wǎng)絡(luò)攻擊事件進行緊急處理，包括事前監(jiān)測、事中處理和事后的災(zāi)難恢復(fù)。因此,公共互聯(lián)網(wǎng)應(yīng)急體系已經(jīng)成為國家應(yīng)急體系的一個重要分支。正因為應(yīng)急響應(yīng)的重要戰(zhàn)略地位,2004年1月9日～１０日在北京召開的備受信息安全業(yè)界乃至社會各界關(guān)注的全國信息安全保障工作會議上,國家將強化應(yīng)急體系、提高處理能力作為保障信息安全最重要的基礎(chǔ)任務(wù)之一。2月11日~１3日由信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室(簡稱ＣNCERT/ＣC)主辦的“全國互聯(lián)網(wǎng)應(yīng)急處理研討會‘2004”但是,與物理世界不完全一致的是，面對全球一體化的互聯(lián)網(wǎng)環(huán)境，國家公共互聯(lián)網(wǎng)應(yīng)急體系的建立和應(yīng)急處理能力的提高,并不能僅僅依靠政府的力量，而是需要世界各國相關(guān)組織在技術(shù)、資源、經(jīng)驗方面的共同合作，需要政府與企業(yè)、全社會每個人的互動！在互聯(lián)網(wǎng)這樣一個復(fù)雜的巨系統(tǒng)中,如何提高應(yīng)急響應(yīng)的處理水平確是擺在我們面前的巨大難題，這也正是次此會議的初衷——從理論方法學(xué)到實際運作經(jīng)驗，探討如何在復(fù)雜巨系統(tǒng)中理清思路，提高應(yīng)急響應(yīng)水平的方法?！伴_放的互聯(lián)網(wǎng)符合復(fù)雜巨系統(tǒng)的所有特征,我們要用綜合集成的思維方式，考慮應(yīng)急響應(yīng)的管理方法。"對許多人而言，公共互聯(lián)網(wǎng)應(yīng)急響應(yīng)的概念并不新鮮，也并不難理解,因為物理世界面對SARS的處理方法已經(jīng)讓人們充分地認識到了應(yīng)急響應(yīng)的必要性和緊急物理隔離的措施和方法。然而,當(dāng)現(xiàn)代社會越來越依賴大規(guī)模的網(wǎng)絡(luò)系統(tǒng)時，按照常規(guī)的方式已經(jīng)不能有效處理網(wǎng)絡(luò)緊急事件了:計算機蠕蟲病毒已經(jīng)成功實現(xiàn)智能化，開始主動尋找設(shè)備進行攻擊；感染速度越來越快,能在數(shù)小時內(nèi)傳遍全球；應(yīng)急響應(yīng)卻越來越慢，網(wǎng)絡(luò)攻擊采取偽造地址方式，難以追蹤到真實的病毒制造者;而進行完全的物理隔離在互聯(lián)互通時代越來越行不通……于是，理想與現(xiàn)實的反差越來越大!中國工程院院士何德全認為，這是因為，互聯(lián)網(wǎng)世界已經(jīng)構(gòu)成了一個“復(fù)雜巨系統(tǒng)”!“復(fù)雜巨系統(tǒng)具有四個重要特征,而開放的互聯(lián)網(wǎng)體系完全符合這四個特征：首先是‘巨’，即子系統(tǒng)數(shù)目巨多，不是千萬級數(shù)量概念，而是數(shù)億級數(shù)量概念；第二是復(fù)雜，子系統(tǒng)與子系統(tǒng)之間是高度非線性的內(nèi)部關(guān)系結(jié)構(gòu);三是自組織，互聯(lián)網(wǎng)沒有統(tǒng)一的領(lǐng)導(dǎo),而是依靠統(tǒng)一的協(xié)議進行連接;四是開放，任何系統(tǒng)只要符合協(xié)議規(guī)范,就可以沒有任何限制地任意連入全球網(wǎng)絡(luò)系統(tǒng)。”在這種復(fù)雜巨系統(tǒng)中，雖然很多企業(yè)自己提早做了應(yīng)急預(yù)案，但在具體實施中很難實現(xiàn)理想的效果。為什么呢？因為目前的應(yīng)急管理無法適應(yīng)復(fù)雜巨系統(tǒng)的要求：首先是缺少知識層次上的應(yīng)急響應(yīng)的全生命周期管理;其次是做出的應(yīng)急計劃都是線性、彼此完全分割的，只有任務(wù)的分解而沒有綜合集成，基本無法完成有效的應(yīng)急響應(yīng)。預(yù)案不是簡單做完了就行的，而應(yīng)該隨著過程、環(huán)境的變化而不斷變化，不應(yīng)該是線性的，而應(yīng)該是非線性的防災(zāi)計劃。信息安全與應(yīng)急響應(yīng)的關(guān)系對于一個單位或組織來說，信息和其他重要的商業(yè)資產(chǎn)一樣都具有價值,因此要給于適當(dāng)?shù)谋Ｗo。信息安全保護信息免受各方面的威脅，以達到確保商業(yè)連續(xù)性，盡量減小商業(yè)損失并且盡量增加投資回報率和商業(yè)機會的目的.信息能夠以多種形式存在?？梢源蛴』?qū)懺诩埳?以電子形式存儲,通過郵寄或使用電子方式傳播,用影片顯示或口頭轉(zhuǎn)述。無論信息表現(xiàn)為何種形式，或以何種方式分享或儲存，都應(yīng)該對其進行適當(dāng)?shù)谋Ｗo。信息安全的特點被總結(jié)成保護：保密性：確保只有被授權(quán)的人才可以訪問信息；完整性:確保信息和信息處理方法的準(zhǔn)確性和完整性;可用性:確保在需要時,被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。信息安全可以通過實行一套控制措施來實現(xiàn)?？刂拼胧┏龑嵤┌踩a(chǎn)品外，還要有必要的緊急事件的響應(yīng)和災(zāi)難事件的備份與恢復(fù)機制，如2０0３年1月25日爆發(fā)的sｑlsｌａmmeｒ蠕蟲事件，組織中如果沒有很好的應(yīng)急響應(yīng)流程和方法,就會給組織帶來很大的損失。如圖1６—1應(yīng)急響應(yīng)屬于風(fēng)險管理的一部分。圖16-1應(yīng)急響應(yīng)組成在信息安全中，對于一個組織來說,最重要的就是保持組織的業(yè)務(wù)連續(xù)性，如圖１６-2清晰地說明了維持業(yè)務(wù)連續(xù)性要制定的相關(guān)計劃,其中很重要的內(nèi)容就是事件響應(yīng)計劃。圖16-2業(yè)務(wù)連續(xù)性計劃因此，下面的章節(jié)會討論應(yīng)急響應(yīng)的相關(guān)術(shù)語及如何有效的建立應(yīng)急響應(yīng)小組等,幫助組織建立自己的應(yīng)急小組，以輔助組織實現(xiàn)自己的安全目標(biāo)。我國的應(yīng)急響應(yīng)體制現(xiàn)狀紅色代碼事件推動了我國應(yīng)急處理體系的形成,對跨國的計算機攻擊事件的處理推動了國際應(yīng)急組織的合作,我們已經(jīng)實現(xiàn)從應(yīng)急組織向應(yīng)急體系的轉(zhuǎn)變。早在SAＲＳ出現(xiàn)之前，早在物理世界的疾病應(yīng)急體系建立之前,信息產(chǎn)業(yè)部就已經(jīng)著手建立公共互聯(lián)網(wǎng)應(yīng)急體系，在組織結(jié)構(gòu)、人員組成、響應(yīng)技術(shù)方面進行了綜合投資和考慮.整個國家的應(yīng)急體系都在建設(shè)中,不僅包括互聯(lián)網(wǎng)應(yīng)急體系,還包括廣電系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)、煤炭系統(tǒng)等應(yīng)急體系，但信息產(chǎn)業(yè)部走在了前面，公共互聯(lián)網(wǎng)應(yīng)急體系的經(jīng)驗值得推廣。據(jù)ＣNCERT／CC主任方濱興介紹,中國CNＣＥＲT組織自200３年7月正式成立以來，目前已經(jīng)在全國各地建立了31個分中心，授權(quán)10家信息安全產(chǎn)品和服務(wù)供應(yīng)商作為重要的技術(shù)、服務(wù)合作伙伴,除此而外，信息產(chǎn)業(yè)部還要求國內(nèi)的10家骨干互聯(lián)網(wǎng)運營企業(yè)(包括6家電信運營商和4個公共信息網(wǎng))成立自己的應(yīng)急響應(yīng)中心（ＣEＲT），這10家互聯(lián)網(wǎng)運營企業(yè)與中國數(shù)千家的ISP、個人用戶和企業(yè)用戶，成為了CNCＥRT/ＣC的主要聯(lián)系成員,由此形成了一個立體交錯的應(yīng)急體系，形成了信息上下暢通傳遞的通報制度。這套體系不僅在中國，在世界也是獨一無二的。通過這套體系,2０03年,在SＱＬ病毒、口令蠕蟲和沖擊波病毒泛濫致使成千上萬臺服務(wù)器遭受重創(chuàng)、435臺中國的主機網(wǎng)頁遭到篡改、各種DDoS攻擊嚴(yán)重的惡劣的互聯(lián)網(wǎng)環(huán)境下,CＮCERT／CＣ有效及時地將應(yīng)急方法推廣下去，使這些攻擊得到有效的遏止。此外,互聯(lián)網(wǎng)攻擊全球化的特征，使各個國家的CＥＲT組織必須在深層次上展開合作，才能形成全球一體化的反應(yīng)體系，在這個體系中,各國的CＥRT組織均是其中重要的一個成員.ＣＮCＥRT/CC也一樣,目前與國際應(yīng)急響應(yīng)組織建立了廣泛的技術(shù)、交流的合作關(guān)系，并在與國際交流中，在職責(zé)、組織結(jié)構(gòu)和技術(shù)水平上不斷進行完善。在法律規(guī)范上，雖然目前關(guān)于互聯(lián)網(wǎng)應(yīng)急響應(yīng)的國際公約還不成熟,但是聯(lián)合國已經(jīng)提出，國家與國家之間在互聯(lián)網(wǎng)應(yīng)急上要相互協(xié)作。在技術(shù)手段上，為了實現(xiàn)應(yīng)急響應(yīng)的監(jiān)測、響應(yīng)和恢復(fù)三大職責(zé),各個運營商，包括中國移動、中國電信、中國教育網(wǎng)等，都已積極建立自己的互聯(lián)網(wǎng)監(jiān)測平臺，并連入CＮＣERT/CC的監(jiān)測平臺上。而國家對信息安全監(jiān)測和預(yù)警技術(shù)也給予了充分的投資，國家８63項目的9１7監(jiān)測平臺正是在國家層面上建立起的試點性的監(jiān)測項目,通過自愿加入的原則吸收成員單位，及時發(fā)現(xiàn)互聯(lián)網(wǎng)上的攻擊行為和新的病毒爆發(fā)情況。目前的監(jiān)測還僅限于流量異常監(jiān)測、及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和新型蠕蟲病毒,但是，在未來，我們必然會實現(xiàn)更加細粒度的監(jiān)測和網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。正因為互聯(lián)網(wǎng)全球化的特征，公共互聯(lián)網(wǎng)的應(yīng)急響應(yīng)才具備國際化的特征,需要更多的國際應(yīng)急響應(yīng)組織參與到體系當(dāng)中,共同進行技術(shù)的合作、經(jīng)驗的交流。應(yīng)急響應(yīng)的國際組織結(jié)構(gòu)計算機應(yīng)急處理的國際組織慣稱為:CEＲT（計算機緊急響應(yīng)小組）,也有的被稱為?CＳIRT（計算機安全事件響應(yīng)小組)。在美國的推動下，全世界幾十個國家和地區(qū)都成立了CEＲT或類似的組織。1９90年11?月，在美國、英國等的發(fā)起下，一些國家的ＣEＲＴ組織參與成立了“計算機事件響應(yīng)與安?全工作組論壇”，簡稱ＦＩＲSＴ。它的基本目的是使各成員能就安全漏洞、安全技術(shù)、安?全管理等方面進行交流與合作,以實行國際間的信息共享、技術(shù)共享，最終達到聯(lián)合防

范計算機網(wǎng)絡(luò)上攻擊的目標(biāo)。截止到目前，全球有30個國家和地區(qū)的CERT組織加入到了FIRＳT組織中。2002年3月CNCERT/CC與澳大利亞的AusCEＲＴ就亞太地區(qū)各應(yīng)急處理組織之間如何協(xié)作處理安全事件進行了討論，并合作草擬了建立亞太地區(qū)應(yīng)急處理工作組(APCERT)的提議,提交亞太地區(qū)安全事件響應(yīng)協(xié)調(diào)會議討論，形成了成立APCEＲT組織的聲明(征求意見稿）,并決定成立工作組來負責(zé)對該聲明進行修訂.CNＣＥRＴ／CC的代表劉欣然博士作為工作組成員參與了該聲明的后續(xù)修訂工作。２00３年3月２４～25日，在中國臺北召開的APSIＲＣ2０03會議上，AＰＣEＲＴ聲明獲得了所有成員的一致通過,正式宣告亞太地區(qū)應(yīng)急響應(yīng)工作組ＡＰCＥRT的成立。各參會代表投票選舉了APCERＴ指導(dǎo)委員會的成員單位,CNＣERT/ＣC與澳大利亞的AusＣERT、日本的?JPCERT/ＣC、韓國的ＫrCERＴ/CＣ、中國香港的ＨＫCERT、新加坡的SｉngCＥRT、馬來西亞的MyCERT入選,負責(zé)APCＥRT日常工作。在美國的推動下，全世界幾十個國家和地區(qū)都成立了CEＲＴ或類似的組織.１99０年11月,在美國、英國等的發(fā)起下，一些國家的CＥRT組織參與成立了“計算機事件響應(yīng)與安全工作組論壇”，簡稱ＦIRＳＴ。亞太地區(qū)應(yīng)急響應(yīng)工作組稱為APCＥRＴ，作為APCERＴ的指導(dǎo)委員會成員單位，澳大利亞、日本、韓國和中國香港的CERＴ組織代表參加了這次會議，他們在應(yīng)急體系的建設(shè)、應(yīng)急方法的采用、職責(zé)和功能上雖然有著高度的一致，但地區(qū)特色依然濃厚，存在很大的地區(qū)差異。但由于應(yīng)急響應(yīng)全球合作的特征，這些CERT組織間進行有效的溝通和經(jīng)驗交流，將對全球一體化地反擊公共互聯(lián)網(wǎng)威脅起到巨大的作用。從組織結(jié)構(gòu)來說,這些CERT組織無一例外是由該國家或地區(qū)的政府倡導(dǎo)成立,大部分ＣEＲT組織的經(jīng)費來源于政府，也有一些經(jīng)費來自于信息安全培訓(xùn)和成員的贊助，他們一般的任務(wù)在于進行互聯(lián)網(wǎng)上的異常監(jiān)測，及時發(fā)現(xiàn)異常流量并進行早期的預(yù)警，協(xié)調(diào)事件的處理，通過公告和信息論壇的形式進行信息安全普及教育.某些國家還開展了內(nèi)容監(jiān)測,并通過政府、ＩＳP、公眾、CＥRＴ組織共同參與的方式對緊急事件進行響應(yīng)。澳大利亞的ＣERT組織(AuｓCERT)在澳洲重要基礎(chǔ)設(shè)施的保護中發(fā)揮著重要作用，AusCERT的MａrｋＭcPｈersoｎ先生認為，應(yīng)急技術(shù)是CERT組織最重要的內(nèi)容，只有讓成員單位相信通過自己的技術(shù)能得到真實的好處，能在“黃金時間”內(nèi)得到有效的預(yù)警信息,提前預(yù)防，才能使CＥRT真正發(fā)揮作用.目前，AusCＥRT的經(jīng)費來自三方面：政府、成員單位和信息安全普及培訓(xùn).中國香港地區(qū)的ＣＥＲＴ組織(HKCＥＲT／CC)由香港生產(chǎn)力促進局運作,其主要職責(zé)則在于協(xié)調(diào)處理和預(yù)防以中小企業(yè)為目標(biāo)的網(wǎng)絡(luò)攻擊。工作重點在于協(xié)調(diào),而不是研發(fā)。ＨKCEＲT的梁兆昌介紹，對應(yīng)急事件的協(xié)調(diào)可能比應(yīng)急事件本身更重要，因為，協(xié)調(diào)是為了保證當(dāng)事件到來時能有效地溝通，確保事件的統(tǒng)一化處理。因此,ＨKCERT與各國的CＥRT組織保持著密切的溝通，通過研討會、論壇以及應(yīng)急事件描述與交換形式(IODEF）工作組的交流，及時對各類攻擊進行預(yù)警。日本的ＣERT組織(JPCＥＲT/CC）除了上述一些職責(zé)外，還增加了信息安全技術(shù)普及和信息安全趨勢分析職能。JPCＥRT的ＹｕｒieItｏ女士介紹，ＪPCERT非常重視信息安全技術(shù)，目前，來自不同的ＩSＰ和廠商的30名信息安全專家是該組織的專業(yè)顧問。此外，JPＣEＲＴ還建立了一個互聯(lián)網(wǎng)掃描數(shù)據(jù)獲得系統(tǒng)（ISDAS）,該系統(tǒng)已將幾十個探針直接安裝在自愿加入該系統(tǒng)的用戶端,隨時監(jiān)測互聯(lián)網(wǎng)上的流量和內(nèi)容異常,以便第一時間發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊。而韓國的ＣERＴ組織（KrCEＲＴ/ＣC）則在現(xiàn)有的基礎(chǔ)職責(zé)基礎(chǔ)之上，正在努力開拓一些新領(lǐng)域的應(yīng)急響應(yīng),KrCERT的JuｎguKａng先生介紹,目前KｒCERT正在開發(fā)對病毒自動進行分類、統(tǒng)計的系統(tǒng);開發(fā)在P2P和無線網(wǎng)絡(luò)領(lǐng)域里發(fā)展應(yīng)急響應(yīng)技術(shù)以及開發(fā)針對攻擊的早期預(yù)警系統(tǒng)。在公共互聯(lián)網(wǎng)的應(yīng)急響應(yīng)方面，各個國家的CＥRT組織的職責(zé)、任務(wù)、甚至包括體系結(jié)構(gòu)并不完全一致，國際上也并沒有要求必須進行完全的統(tǒng)一.但是，這些CＥＲT組織共同的目標(biāo)是通過發(fā)展信息安全應(yīng)急技術(shù),對互聯(lián)網(wǎng)攻擊進行有效預(yù)警.此外，各國CERＴ一個共同的作法是密切保持國際組織間的合作，保持對攻擊信息的有效溝通，為此，正在發(fā)展中的緊急事件描述與交換形式（ＩＯDEＦ）就成為一項重要的內(nèi)容，雖然目前它尚未成為正式的標(biāo)準(zhǔn),但顯然,包括日本、韓國在內(nèi)的一些國家的ＣＥRT組織正在采用它，由于信息溝通在應(yīng)急響應(yīng)中的作用日益重要，IＯDEF的價值就日益突出。但是，遺憾的是IＯDＥＦ目前不適用于中文，這對CＮＣERＴ/CＣ與國際交流將產(chǎn)生不利的影響，相信不久之后這種情況會得到改觀.為了緊急應(yīng)對公共互聯(lián)網(wǎng)安全事件，各國的政府、運營商、企業(yè)、個人開始了全球總動員!2０03年2月,信息產(chǎn)業(yè)部批準(zhǔn)將199９年成立的“國家計算機網(wǎng)絡(luò)與信息安全管理中心因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室"更名為“信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室”。2003年7月14日，中編辦正式批復(fù)成立了國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,這是計算機應(yīng)急響應(yīng)的處理中心，簡稱CNCERT／ＣC。國內(nèi)外現(xiàn)有安全事件應(yīng)急響應(yīng)組織大概可以分5類:1．第一類是網(wǎng)絡(luò)服務(wù)提供商的ＩRT組織，如CERＮET的CCＥRT，主要為CＥRNＥＴ的接入用戶提供增值的服務(wù)；2。第二類為企業(yè)或政府組織的ＩRT組織，如美國聯(lián)邦的FedＣIRC、美國銀行的BACＩRT（ＢankofAmeｒicaCIRT)等；3。第三類是廠商IRT，如Sｕｎ、Cisco等公司的響應(yīng)組，主要為本公司產(chǎn)品的安全問題提供響應(yīng)和支持；４.第四類為商業(yè)化的ＩRT，面向全社會提供商業(yè)化的安全救援服務(wù)；５。第五類是一些國內(nèi)或國際間的協(xié)調(diào)組織如FＩＲST、ＣN-CERＴ/CＣ等。有些IRＴ既是協(xié)調(diào)組織,同時又提供服務(wù)，如CERT/CC.IRT組織不僅僅坐等安全事件發(fā)生以后才去補救，未雨綢繆、防患于未然也是IRＴ組織的重要服務(wù)內(nèi)容。所以，一般還提供安全公告、安全咨詢、風(fēng)險評估、入侵檢測、安全技術(shù)的教育與培訓(xùn)、入侵追蹤等多種服務(wù)。就應(yīng)急響應(yīng)服務(wù)本身而言，由于它具有以下特點使得這一服務(wù)非常困難：（1)技術(shù)的復(fù)雜性與專業(yè)性;(２）知識和經(jīng)驗的依賴性；（3）事件的突發(fā)性強；(4)需要廣泛的協(xié)調(diào)與合作.應(yīng)急響應(yīng)相關(guān)術(shù)語事件響應(yīng)：對發(fā)生在計算機系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個生命周期包括:對策、檢測和響應(yīng),網(wǎng)絡(luò)安全的發(fā)展日新月異,誰也無法實現(xiàn)一勞永逸的安全服務(wù)。應(yīng)急響應(yīng)計劃：被設(shè)計用于在緊急情況、系統(tǒng)故障或災(zāi)難事件中在備用站點維持和恢復(fù)包括計算機運行在內(nèi)的業(yè)務(wù)運行的策略和規(guī)程.下圖1６—３是應(yīng)急響應(yīng)計劃過程圖。圖1６—３應(yīng)急響應(yīng)計劃過程應(yīng)急響應(yīng)服務(wù)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性,阻止和減小安全事件帶來的影響。安全應(yīng)急響應(yīng)管理系統(tǒng)的建立應(yīng)急響應(yīng)目標(biāo)隨著IＴ技術(shù)越來越多地應(yīng)用到機構(gòu)或公司的業(yè)務(wù)中,IT系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵。因而ＩＴ安全管理的主要功能就是采取足夠的主動措施解決各類安全事件。安全事件可能被許多不同的事件觸發(fā)并破壞單個ＩＴ系統(tǒng)或整個網(wǎng)絡(luò)的可用性、完整性、數(shù)據(jù)的保密性。IT安全管理系統(tǒng)要特別注重響應(yīng)、處理安全事件，因為安全事件可能帶來重大破壞.那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決,以避免加重IＴ安全管理系統(tǒng)的負擔(dān)。安全事件的處理最終是由ＩT安全管理系統(tǒng)負責(zé)，并且是以保證以下各項為目標(biāo)的：(1)響應(yīng)能力,確保安全事件和安全問題能被及時地發(fā)現(xiàn)并報告給適當(dāng)?shù)呢撠?zé)人;（2)決斷能力,判斷是否是本地安全問題抑或構(gòu)成一個安全事件;（３）行動能力，在發(fā)生安全事件時基于一個很短的提示就能采取必要的措施；（4)減少損失，立即通知企業(yè)內(nèi)其它可能受影響的部門；（５）效率,實踐和監(jiān)控處理安全事件的能力.為實現(xiàn)這些目標(biāo),必須建立一個管理系統(tǒng)來處理安全事件。這時管理層有必要參與進來并最終讓管理系統(tǒng)發(fā)揮作用,以提高對IT安全問題的認識,合理分配決定權(quán)，更好地支持安全目標(biāo)。下面描述的步驟為如何建立一個管理系統(tǒng)來處理安全事件提供了一個建議1.步驟1安全指南內(nèi)容對安全事件的處理是IＴ安全管理的一個方面，因此應(yīng)該被列入安全指南及機構(gòu)或公司的安全策略中。這些文件必須包括用戶和受害單位報告給安全負責(zé)人的安全事件及安全問題。除此之外,還必須有對決斷過程的描述并按照規(guī)定的過程動員員工。同時,安全指南內(nèi)容也是管理層支持ＩT安全的一個證明。2.步驟2職責(zé)規(guī)范本步驟中必須規(guī)定在安全事件發(fā)生時誰應(yīng)該承擔(dān)什么責(zé)任。比如,下面各工作組可能有這些職責(zé):（1）ＩＴ用戶:報告安全問題和安全事件。（2）ＩT管理員：接收報告、采取初步行動,根據(jù)得到的報告判斷是一個安全問題還是一個安全事件，并將它提交高層。(３)負責(zé)IＴ應(yīng)用人員:參與決策過程,根據(jù)自己對IT應(yīng)用要求的保護程度評估選擇措施。(4)IT安全員或IＴ安全管理層：接收報告，判斷是安全問題抑或安全事件，并采取必要步驟.（５)安全事件隊伍:由ＩＴ管理員,ＩT用戶,ＩT安全員以及公關(guān)人員和可能的管理層。處理安全事件.（6）ＩT安全審計員:復(fù)查管理系統(tǒng)并評估安全事件。(7)管理層：做最后決定。這些職責(zé)必須被定義好并被有效實施。3。步驟3:處理安全事件的過程規(guī)則和報告渠道為有效地處理安全事件,讓那些受到安全事件影響的部門以正確而穩(wěn)健的方式來做出反應(yīng)是很關(guān)鍵的,并且要立即將事件報告。因此必須定義必要的過程規(guī)則(包括保持鎮(zhèn)定、報告責(zé)任、提供到場環(huán)境信息的義務(wù)等），并據(jù)此培訓(xùn)ＩT用戶，其中要特別注意確定好那些ＩＴ安全問題或事件的報告對象。在發(fā)生安全事件時，那些準(zhǔn)備采取的行動指示（比如,出現(xiàn)計算機病毒，內(nèi)部人員操作數(shù)據(jù)，外部黑客試圖入侵等）可以提前起草好.一旦發(fā)生緊急情況，人們能夠迅速地反應(yīng)以減少損失。由于這些準(zhǔn)備工作并不是毫無作用的,因此應(yīng)該將其納入那些可能制定計劃的相關(guān)部門的工作中.4。步驟４：安全事件的報告提交策略根據(jù)安全事件的處理規(guī)則，安全事件越關(guān)鍵，需要的授權(quán)就越大。極端情形下，這意味著必須要及早報告給管理層，并使其參與其中以采取必要的措施，比如:禁止泄漏任何信息、報警、采用另一種可實現(xiàn)的替代辦法(可能成本較高）等。無論采用哪種方法，都要求提前制定好提交策略,并制定在何種情況下要咨詢何人的規(guī)定。5.步驟5：設(shè)置優(yōu)先級安全事件的產(chǎn)生，一般是各種不同的原因綜合在一起達到一定程度時發(fā)生的結(jié)果，安全事件產(chǎn)生的后果則會影響到不同的IT應(yīng)用領(lǐng)域,所以針對其采取的各種措施也應(yīng)該根據(jù)應(yīng)用領(lǐng)域的不同設(shè)置不同的優(yōu)先級。這種優(yōu)先級的設(shè)定取決于系統(tǒng)保護需求、IT應(yīng)用范圍以及機構(gòu)或公司對應(yīng)用系統(tǒng)的依賴性。因此正如確定保護需求一樣,要求提前制定好優(yōu)先級表，根據(jù)安全事件導(dǎo)致的災(zāi)難后果順序采取相應(yīng)的應(yīng)急措施。6。步驟６：調(diào)查和評估安全事件的方法一旦收到與安全相關(guān)的非?，F(xiàn)象報告，必須一開始就判斷它是被看作本地安全問題還是會構(gòu)成一個潛在的損失更大的安全事件。在做判斷之前，有很多因素需要被確定和評估（潛在的和持續(xù)的損失程度、原因、哪個IT系統(tǒng)受到影響、要采取什么樣的即時措施等）。如果有必要，應(yīng)象提交策略中的規(guī)定那樣,咨詢上一級管理層。7．步驟7：針對安全事件采取補救措施當(dāng)采取必要的安全補救措施時，必須牢牢記住這些措施的實施往往有時間限制。因此，措施本身也可能引發(fā)新問題。將采取的措施用適當(dāng)?shù)姆绞酱鏅n是很重要的.進一步說，假定時間是人為確定的，還應(yīng)當(dāng)考慮如何處理這些人為因素。在某些情形下，可能要暗示當(dāng)事人。8．步驟８:通知受影響各方如果安全事件沖擊的對象不僅僅限于機構(gòu)、公司和企業(yè)內(nèi)部個人，為控制損失,所有受影響的企業(yè)內(nèi)部各部門和外部機構(gòu)都應(yīng)該被通知到。為提高通知速度，應(yīng)提早建立溝通渠道和執(zhí)行相關(guān)性分析.9．步驟９：安全事件的評估為從發(fā)生的安全事件中汲取教訓(xùn),應(yīng)當(dāng)規(guī)定評估安全事件處理過程的規(guī)則。這樣可以對改進安全事件的處理效果或?qū)T安全概念有效性的理解做出結(jié)論.這里需要考慮以下幾個方面：(1）響應(yīng)時間；（２)對報告渠道的了解程度；(3）提交策略的有效性;（4）調(diào)查的有效性;（5）通知受影響各方的辦法。10．步驟10:安全事件發(fā)現(xiàn)措施的使用安全事件越早發(fā)現(xiàn)和報告，采取的對策就越有效。應(yīng)該采用所有可以得到的自動發(fā)現(xiàn)方法以減少因為依賴人而帶來的響應(yīng)延遲。反病毒程序和日志/入侵探測分析系統(tǒng)就是這類方法的兩個實例。11。步驟１1:有效性測試為了衡量一個安全事件處理管理系統(tǒng)的有效性,并且加強對這些管理任務(wù)的必需演練，應(yīng)該進行一些演習(xí)和假想訓(xùn)練.由于這可能會需要大量的人力資源、干擾正常工作，因而必須限制在重點區(qū)域內(nèi)進行。應(yīng)該在安全事件處理資料中保留上述步驟執(zhí)行的結(jié)果。對這些結(jié)果還應(yīng)當(dāng)定期更新，并以合適的方式通知各利害方。其余方面的控制:(1)是否對所有不同類型的安全事件制定好相應(yīng)的處理過程和規(guī)則?(2)制定的過程規(guī)則和上報渠道是否以文本形式加以說明？(3）員工都知道這些嗎?應(yīng)急響應(yīng)策略1.策略制定計算機和信息安全開始于策略，結(jié)束于策略。信息安全策略是計算機和信息安全必需要素的最高層次的闡述,它包括建立安全保障需要的最基本的要求和必要的基礎(chǔ)設(shè)施。策略里通常告訴用戶（可能是系統(tǒng)管理員）該做什么和不該做什么，并且明確了被發(fā)現(xiàn)沒有遵守該規(guī)定應(yīng)受到的懲罰。好的策略通常會表明組織對安全的態(tài)度—組織是否愿意冒著較小的安全風(fēng)險讓用戶有較大的訪問自由，或者是寧愿寧愿用戶使用不方便，甚至喪失某些功能和性能也要保障較高安全，或者居于二者之間。策略是成功的計算機和信息安全工作中的一個重要部分,沒有明確的要求通常會帶來厄運.以下幾類比較重要的事件響應(yīng)要求應(yīng)當(dāng)包含在信息安全策略里:批準(zhǔn)建立事件響應(yīng)機制（表明這是組織要求的功能)事件響應(yīng)的任務(wù)或者目的，以及范圍（如果需要）給事件響應(yīng)的授權(quán)。對事件響應(yīng)的限制(在對事件響應(yīng)的過程中什么是允許的，什么是不允許的)與法律部門的關(guān)系（是否應(yīng)當(dāng)讓法律執(zhí)行部門介入，如果是,在什么時候)只是簡單地寫一個規(guī)定當(dāng)然并不能起多大作用，但事實上卻是治療“遺忘規(guī)定”的良方,爭取受影響的人的支持對掃除障礙很有必要。特別是要得到高層管理人員的批準(zhǔn)。如果沒有高層管理人員的支持，策略注定要失敗。讓一個規(guī)定起作用的一個最好的策略是讓受到影響的人看到來自高層管理人員的支持。2．策略更新有一個策略條文很重要，但除去那些已經(jīng)過時了的策略。因此定期檢討一個組織的信息安全策略，特別是(在當(dāng)前情況下)與事件響應(yīng)相關(guān)的策略就很重要了。如果需要修改,就應(yīng)當(dāng)進行相應(yīng)的改動。新的事件類型不斷出現(xiàn),就要求對與事件響應(yīng)有關(guān)的規(guī)定進行修補;有的事件響應(yīng)的努力并不成功,就要求對情況進行分析，看某些要求是否合適。3。事件的分類及處理優(yōu)先級并不是每個安全事件都是被優(yōu)先考慮的。一個小型病毒的發(fā)作只需要對幾臺PC機進行殺毒就可以了，這與能蔓延至整個公司電子郵件服務(wù)器的大型病毒完全不同。一些針對網(wǎng)絡(luò)服務(wù)器進行掃描及阻塞服務(wù)器的“小型腳本語言”對服務(wù)器的影響，無法與一個DOS?攻擊對該系統(tǒng)產(chǎn)生的影響相比.要想制定一個能適用于所有情況的優(yōu)先權(quán)及嚴(yán)重程度的標(biāo)準(zhǔn)是不可能的。一個安全事件的相對重要性是依據(jù)其對工作平臺及操作系統(tǒng)的影響再加上其在商業(yè)上產(chǎn)生的影響而決定的。從理論上講，由于使服務(wù)器與外網(wǎng)的斷開所造成的損失可能會比病毒造成的損害更大。作為危險因素分析的一部分，公司應(yīng)對他們的信息資源及相對有價值的資源有所認識。這是進行優(yōu)先權(quán)分析的第一步.高價值的資源應(yīng)被分配到高優(yōu)先權(quán)范圍.安全事件的嚴(yán)重程度及范圍都應(yīng)與處理方法相適應(yīng).只影響一臺PＣ機的病毒與影響整個機構(gòu)所有機器的病毒完全不同的。很少擴散的病毒危險性小于以隨機地址擴散而損壞數(shù)據(jù)庫或電子郵件的病毒。例如，機構(gòu)可以定義如下四個級別的嚴(yán)重程度。第一級別為單一地點（物理上的或非物理上的）及相對沖擊較小的事件。這種情況包括小型病毒安全事件,它不會對數(shù)據(jù)庫造成損壞以及對當(dāng)?shù)匚募?wù)器上帳戶的非授權(quán)操作。第二級別為對運行造成嚴(yán)重損害的單一地方安全事件。例如,個人帳戶受到攻擊,或是關(guān)鍵設(shè)備被盜。第三級別為影響兩個或兩個以上地點的安全事件(同樣,定義包括物理上的及邏輯上的地點），但其只造成較小沖擊。例如，網(wǎng)絡(luò)或電子郵件系統(tǒng)上的無損害病毒的擴散。第四級別為對多地點造成巨大損害的安全事件.這需要進行強制處理并定位于高優(yōu)先權(quán)狀態(tài).例如:對重要的全球申請系統(tǒng)的非法入侵。其他的模式可根據(jù)其他機構(gòu)的具體情況進行調(diào)整。例如，物理安全部門可以把物理上的資源作為優(yōu)先考慮的對象，并按它們的價值進行調(diào)整。他們也可以按嚴(yán)重程度進行分類,并可以同信息資源相匹配.如果公司有一個恢復(fù)商業(yè)運作或災(zāi)難恢復(fù)的計劃，他們可以以恢復(fù)作為目的來進行優(yōu)先權(quán)的分配.一個已投入使用并為管理者所接受的模式，遠比一個新模式的作用效果要好得多。很明顯，對一次安全事件所帶來的后果進行完全量化是不可能的。在前面的例子中,牽連到網(wǎng)絡(luò)服務(wù)器的安全事件，其嚴(yán)重程度可以歸為第二級別，但對商業(yè)性的企業(yè)來說,其潛在沖擊可使其具有更高優(yōu)先權(quán)。當(dāng)需要對多個安全事件進行響應(yīng)時，以一種模式作為依據(jù)可以幫助事件響應(yīng)組對優(yōu)先資源進行更好的工作計劃和安排。應(yīng)急響應(yīng)責(zé)任當(dāng)制定應(yīng)急響應(yīng)責(zé)任的詳細規(guī)定時，應(yīng)該假設(shè)安全事件發(fā)生時的活動順序。涉及到的工作組和個人的任務(wù)及職責(zé)也應(yīng)該被確定下來,并制定好適當(dāng)?shù)膹娭茍?zhí)行措施。下面的例子針對一些典型的受影響群體,給出一些做法。1．IT用戶任務(wù)：一旦覺察與安全相關(guān)的異常事件時，他們必須遵守適當(dāng)?shù)倪^程規(guī)則并報告這些異常事件。職責(zé):IＴ用戶必須決定在當(dāng)時的情況下采用何種合適的報告渠道。義務(wù)/指導(dǎo)：每一位ＩT用戶都有義務(wù)按照本單位的安全指南來報告任何與安全相關(guān)的異常事件。此外，所有的用戶都應(yīng)該得到一份書面的指令性文件，用以指導(dǎo)他當(dāng)發(fā)生異常事件時應(yīng)該采取的行動,以及應(yīng)該向誰匯報等事項。2.IT安全管理員：任務(wù)：接收與其負責(zé)的IＴ系統(tǒng)有關(guān)的異常事件報告。報告決定是立即采取行動，還是按照提交策略向上一級報告。責(zé)任:一個ＩT管理員必須能夠確定是否真的產(chǎn)生了安全問題，他是否可以獨立解決,是否需要根據(jù)提交計劃立即咨詢其他人，以及他應(yīng)該通知誰等。義務(wù)／指導(dǎo):應(yīng)該在職位描述及安全事件處理策略中指定.3。IT安全員/IT安全管理層任務(wù)：IＴ安全員接收安全事件報告.負責(zé)調(diào)查和評估安全事件,并在其職責(zé)范圍內(nèi)選用適當(dāng)措施進行處理。如果有必要,他負責(zé)組建安全事件處理小組或?qū)栴}提交給上級管理層。職責(zé):被授權(quán)對安全事件進行評估，并可將事件提交給高級管理層.除此之外,他可以在授權(quán)范圍內(nèi)利用財務(wù)和人力資源獨立處理安全事件。義務(wù)/指導(dǎo)：根據(jù)IT安全管理層制定的“安全事件處理策略”,所有的ＩＴ安全員都承擔(dān)其處理安全事件的任務(wù)和職責(zé)。４.IT安全審計員任務(wù)：IT安全審計員必須定期檢查安全事件管理系統(tǒng)的有效性,并參與評估安全事件。職責(zé)：在管理層同意下，啟動和實施預(yù)定義的檢查。義務(wù)/指導(dǎo)：見工作職責(zé)描述和“安全事件處理策略”規(guī)定。5。公共關(guān)系/信息發(fā)布部門任務(wù):在發(fā)生嚴(yán)重安全事件的地方,除了信息發(fā)布部門之外，其他任何部門和個人都不能對公眾泄漏任何信息。這樣做的目的并不是為了掩蓋事件或者降低事件的嚴(yán)重程度，而是要以目標(biāo)化的方式解決問題,避免相互矛盾的信息給企業(yè)帶來的形象損害.職責(zé)：信息發(fā)布部門必須和專家一起準(zhǔn)備與安全事件相關(guān)的信息，在發(fā)布之前必須得到高級管理層的同意.義務(wù)/指導(dǎo)：見工作職責(zé)描述和“安全事件處理策略”規(guī)定.6．代理/公司管理層任務(wù):嚴(yán)重安全事件發(fā)生時,應(yīng)該通知管理層。如果有必要,管理層要作出決定.職責(zé)：負總體責(zé)任,并對上述各工作小組負責(zé).除此之外，當(dāng)懷疑有犯罪活動時他們可以報警，起訴罪犯.義務(wù)/指導(dǎo)：管理層必須批準(zhǔn)“安全事件處理策略”和基于策略的安全應(yīng)急計劃,作為計劃的一部分,各管理層應(yīng)明確其在安全事件處理中的角色.７。安全事件小組除了上述工作小組之外,當(dāng)有困難或發(fā)生嚴(yán)重的安全事件時，必須在有限的時間里組織安全事件應(yīng)急小組來處理安全事件。這一般由IT安全員負責(zé)實施。即使安全事件應(yīng)急小組只是為滿足特殊的安全事件需要而設(shè)置的,但為保證盡可能快地響應(yīng)安全事件，其成員必須被提前安排并被告知分配的任務(wù).安全事件應(yīng)急小組的成員應(yīng)該被授權(quán)在其職責(zé)范圍內(nèi)完成其相應(yīng)的任務(wù).整個過程一定要有書面的詳細規(guī)定，并經(jīng)管理層授權(quán)。特別要注意的是：必須指定小組的負責(zé)人.根據(jù)安全事件的類型,安全事件應(yīng)急小組的成員應(yīng)包括以下各部門的成員:(1）機構(gòu)/公司管理層;（2)IT安全管理層/IＴ安全員；（3）IT部門的領(lǐng)導(dǎo)；（4）信息發(fā)布部門；(５）數(shù)據(jù)保密員;(6）法律顧問；（7）工會。如果有必要,還要召集其它部門,比如：專家部門（部門負責(zé)人，IＴ安全員)、ＩT管理員、提供現(xiàn)場服務(wù)的部門,一般服務(wù)部門，組織，人力資源部門及消防員等。必須事先對安全事件帶來的一些額外工作如何處理做明確的闡述，比如是否需要根據(jù)安全事件處理時間的延長進行加班、周末工作等。要采取措施確保在正常工時之外，若有必要，應(yīng)急小組可以使用辦公樓.其余控制：(1）有沒有指定安全事件應(yīng)急小組；（2)是否對各成員執(zhí)行的任務(wù)進行講解和說明;（3)由什么人來協(xié)調(diào)這些措施；（4）災(zāi)難恢復(fù)管理小組的組成最近的一次變化發(fā)生在何時。安全應(yīng)急程序規(guī)則及報告渠道１.處理規(guī)則許多安全事件僅僅是因為決定得過于倉促，因而采取了不合適的應(yīng)對行為進而演變?yōu)閲?yán)重問題.比如那些可以幫助我們了解整個事件的數(shù)據(jù)被刪除等。必須明確區(qū)分應(yīng)用于所有可能安全事件的一般性規(guī)則與IT特有的規(guī)則之間的不同?？梢詾樗蓄愋偷呐c安全相關(guān)的異?，F(xiàn)象規(guī)定以下通用的過程規(guī)則:（1）所有當(dāng)事人應(yīng)該保持鎮(zhèn)定并不要倉促采取行動；（２)對出現(xiàn)的異?，F(xiàn)象應(yīng)該按照應(yīng)急計劃立即報告；(3)除非授權(quán)人要求,否則不能采取應(yīng)對措施；（4）所有現(xiàn)場因素必須被坦率、透明、無遮掩地解釋，以盡量減小損失；(５）應(yīng)根據(jù)個人經(jīng)驗，對受影響的組織內(nèi)外各方的損失潛在程度、后續(xù)損失結(jié)果進行初步評估;（6）沒有經(jīng)過授權(quán),有關(guān)安全事件的信息不能泄漏給第三方.必須以適當(dāng)?shù)姆绞綄⑦@些通用的處理規(guī)則告知機構(gòu)或公司里的所有可能受到影響的員工.除此之外，對那些已經(jīng)受到影響的人員，尤其是那些當(dāng)發(fā)生安全事件時需要他們做出最早決定或采取最早措施的人，要為他們提供相應(yīng)的處理規(guī)則，這些人中包括IT管理員、ＩＴ應(yīng)用負責(zé)人和IT安全管理員等。2．報告渠道一旦制定好處理規(guī)則，報告渠道也要確定好。我們建議按下面的線索開始進行:（1）如果發(fā)生不可抗力比如火災(zāi)、水災(zāi)、停電、入侵和盜竊,要告知相關(guān)的本地服務(wù)部門（消防部門、現(xiàn)場技術(shù)服務(wù)、入口控制員工、安全保衛(wèi)等）;(2)如果發(fā)生硬件故障或IT系統(tǒng)操作出現(xiàn)異常，應(yīng)該告知具體負責(zé)的IT管理人員；（3）如果懷疑是故意行為而且不能用任何別的方法解釋(比如數(shù)據(jù)操作、未授權(quán)操作、懷疑有間諜或破壞），必須告知IT安全員或ＩT安全管理層。尤為重要的讓全體員工知曉在發(fā)生各種安全事件時該與誰聯(lián)系以及使用什么報告渠道，比如在內(nèi)部黃頁和內(nèi)部網(wǎng)上包含相關(guān)人的名字表、電話號碼和電子郵件地址。無論如何,應(yīng)該使得員工管理的手續(xù)不困難，過程不冗長，必須針對這些工作建立快速、安全的溝通聯(lián)系方式,溝通雙方的真實性必須得到保障,有關(guān)懷疑事件的報告信息也必須保密。要告知所有員工有關(guān)安全事件的信息只能透過IT安全管理層透露給第三方。要經(jīng)常對處理規(guī)則進行演練，以檢查這些處理安全事件的規(guī)則是否合適、是否易于實現(xiàn)以及是否為所有員工所了解。有關(guān)安全事件的經(jīng)驗顯示：一個良好的操作環(huán)境、一個方便的提示和一個快捷便利的安全事件報告渠道對于及時、有效地處理安全事件是多么的重要。要把處理規(guī)則和報告計劃告知給所有受影響的員工，一個比較有效的方法就是提交一個由管理層簽字的信息清單，在上面概括了最重要的信息,可以將其放在工作間作或內(nèi)部網(wǎng)上。例如這種信息清單可以放在IT系統(tǒng)保護手冊光盤的幫助一欄里.建議不僅僅用電子版發(fā)布它,還需要利用其他途徑讓員工們清楚了解，因為電子版本也可能受安全事件影響.當(dāng)組織內(nèi)部發(fā)生變化時，所有關(guān)于潛在安全事件的信息都將被及時更新，這樣就可以保證處理規(guī)則可用、報告渠道暢通。3。其它控制:（１）對各種不同類型的安全事件是否定義了處理規(guī)則;（２）是不是所有人都了解；（3）這些信息最近一次更新的時間。安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性測試為保證安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性，需要經(jīng)常定期對管理系統(tǒng)進行檢查，并對其中的措施進行測試.檢查內(nèi)容包括：(１)它們是否被涉及的員工所了解?(2）在發(fā)生安全事件、應(yīng)用不能正常運行時，它是否可行?（３）它們是否能被納入操作過程？為測試管理系統(tǒng)的效率，應(yīng)該模擬損害事件以檢查定義的過程是否能工作，或者它是否實際可行。如果不實際可行，應(yīng)該作適當(dāng)?shù)男薷摹闇y試這點，要進行公開和未公開的演練實踐。當(dāng)演練實踐在未公開狀態(tài)下進行時，要保證在任何情況下都不能觸發(fā)可能導(dǎo)致?lián)p害IＴ系統(tǒng)、數(shù)據(jù)或其它系統(tǒng)的動作，不管這種損害是永久的還是修正起來很困難的。在開始演練實踐前，需要認真考慮提前通知誰。要保證演練實踐是經(jīng)過管理層授權(quán)的。有些時候不通知某些特定的人群也是有益的,比如，入口控制人員或管理員。但是,必須采取措施防止情況失控.應(yīng)避免驚動警察、消防部門，避免切斷機構(gòu)或公司的網(wǎng)絡(luò)連接。例如：(１)可以給企業(yè)或機構(gòu)的總機打電話，假裝成一個已進入內(nèi)部網(wǎng)的黑客.另外一個方法是，你可以假裝是記者，聲稱聽說黑客已經(jīng)進入內(nèi)部網(wǎng)并已拷貝了秘密數(shù)據(jù),同時還要給那些發(fā)生安全事件時應(yīng)該被召集的人,比如信息發(fā)布部門或IＴ部門的領(lǐng)導(dǎo)打電話。這么做的目的是試探是否會出現(xiàn)內(nèi)部混亂，或者，在這種情況下是否已經(jīng)有目的地采取了合適的行動。（2）在一天之內(nèi)可以對感染計算機病毒時采取的所有動作及報告渠道進行檢測.不必提前通知所有相關(guān)人員和部門，只是在他們需要知道這一事件的最后一刻通知他們即可。其余控制:（1)最近進行過什么演練實踐?(２）這些演練實踐提前得到了管理層同意嗎？應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)一般的流程是準(zhǔn)備檢測抑制根除恢復(fù)跟蹤,1.準(zhǔn)備準(zhǔn)備就是要做好安全保障工作，從微觀上講就是一要建立應(yīng)急預(yù)案，其中包括準(zhǔn)備高效的事件處理流程，完善的信息發(fā)布和匯報流程;其二要建立應(yīng)急組織，要獲得處理問題必須的資源和人員，同時指定一個應(yīng)急責(zé)任人給予必要的資源和權(quán)力；其三就是要建立應(yīng)急響應(yīng)活動的技術(shù)平臺，通過掃描、風(fēng)險分析、打補丁增強原有系統(tǒng)的安全性，同時建立全局監(jiān)控系統(tǒng)。從宏觀上講，要建立協(xié)作體系件,建立數(shù)據(jù)匯總分析的體系和能力,制定相關(guān)的制度規(guī)范。2。檢測檢測是確定事件是已經(jīng)發(fā)生還是在進行當(dāng)中，從微觀上講第一要確定事件的性質(zhì),其影響的嚴(yán)重程度及計劃采用什么樣的專用資源來修復(fù)？第二要作出初步動作和響應(yīng)，其中包括選擇檢測工具,分析異?，F(xiàn)象,激活審計功能記錄所發(fā)生事件，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別最后估計安全事件的范圍.從宏觀上講，要通過匯總,確定是否發(fā)生了全網(wǎng)的大規(guī)模事件，確定應(yīng)急等級，以決定啟動哪一級應(yīng)急方案。3。抑制抑制就是要限制攻擊的范圍，同時限制潛在的損失和破壞，從微觀上講第一要初步分析，重點是確定適當(dāng)?shù)姆怄i方法，包括將網(wǎng)絡(luò)斷開;修改防火墻和路由器的過濾規(guī)則;拒絕來自發(fā)起攻擊的主機的所有的流量;封鎖或刪除被攻擊的登錄賬號；關(guān)閉被利用的服務(wù)；完全關(guān)閉所有系統(tǒng)等。第二要確定封鎖操作帶來的風(fēng)險，第三可列出若干選項，講明各自的風(fēng)險，由服務(wù)對象選擇。從宏觀上講,要確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小，通過協(xié)調(diào)爭取各網(wǎng)一致行動，實施隔離,匯總數(shù)據(jù),估算損失和隔離效果.4。根除根除就是要尋找長期的補救措施,找出事件根源并徹底根除，從微觀上講第一要詳細分析，確定原因；第二要分析漏洞,并修補漏洞;第三重新審視安全保障策略，包括修改安全策略，加強防范措施等。從宏觀上要加強宣傳，公布危害性和解決辦法,呼吁用戶解決終端的問題，加強檢測工作,發(fā)現(xiàn)和清理行業(yè)與重點部門的問題。5.恢復(fù)恢復(fù)就是要將被攻擊的系統(tǒng)由備份來恢復(fù)，從微觀上講第一是要把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等徹底地還原到它們正常的任務(wù)狀態(tài);第二是安全措施實施后，重新數(shù)據(jù)備份；第三是使服務(wù)重新上線，持續(xù)監(jiān)控。從宏觀上看要持續(xù)匯總分析，了解各網(wǎng)的運行情況,根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性,通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模適當(dāng)?shù)臅r候解除封鎖措施.恢復(fù)會涉及以下幾個流程:（1)系統(tǒng)恢復(fù)①從備份中恢復(fù)系統(tǒng)。有的安全事件，例如惡意代碼事件，可能需要依靠備份進行全面的操作系統(tǒng)恢復(fù)方可根除.在這種情況下,有必要首先檢查備份的完整無誤性.一般應(yīng)該使用在系統(tǒng)遭受攻擊前所制作的最新備份。②確保恢復(fù)過程中不含有已遭修改的代碼.如果在系統(tǒng)受到攻擊前，沒有進行備份,那么必須重新裝載系統(tǒng),使用補丁，或是使用一個未受攻擊的近似系統(tǒng)的備份在系統(tǒng)恢復(fù)過程中應(yīng)盡一切可能使其不含有已被修改的代碼。（２)檢驗系統(tǒng)恢復(fù)一旦系統(tǒng)恢復(fù)確認以后,檢驗一下操作是否有效,系統(tǒng)是否已回到正常運行狀態(tài)。確認理想的情況是專門有一個系統(tǒng)測試計劃對系統(tǒng)進行評估.通常情況是系統(tǒng)照常運行任務(wù)，同時應(yīng)用網(wǎng)絡(luò)記錄器和系統(tǒng)日志文件對其進行監(jiān)控。有時,用來彌補某個漏洞的補丁或技術(shù)會導(dǎo)致系統(tǒng)的運行情況與發(fā)生安全事件前有所不同。(3）決定何時恢復(fù)運行由于不確定是否已清除所有的惡意代碼，可能會延長恢復(fù)時間。建議由受影響系統(tǒng)的管理層和系統(tǒng)管理員來決定恢復(fù)運行的時間.如果可能，系統(tǒng)可以斷線一至二天，以便有時間對系統(tǒng)進行升級或安裝補丁。（4)監(jiān)控系統(tǒng)由于后門與惡意代碼有可能隱蔽得很好，難以覺察。一旦系統(tǒng)重新運行后,應(yīng)該繼續(xù)實施監(jiān)控，探測先前逃過檢測的后門程序。6．跟蹤事件之后的跟蹤活動是響應(yīng)安全事件的一個重要環(huán)節(jié)，目的在于從中吸取經(jīng)驗教訓(xùn)，以完善將來的工作。經(jīng)過這一環(huán)節(jié)的機構(gòu)組織將會大大增強今后處理安全事件的能力,及時的跟蹤活動還有助于盡快將攻擊者繩之以法。（1)跟蹤報告跟蹤報告是迅速吸取經(jīng)驗教訓(xùn)的好辦法。①盡快開始如果等到事件結(jié)束幾星期后再著手，你將發(fā)現(xiàn)人的記憶和美酒不同，不會隨著時間的延長而愈濃愈香.②將任務(wù)分配給現(xiàn)場處理小組為了從安全事件中獲取盡可能多的經(jīng)驗，許多站點將起草此類報告列為處理安全事件的必要步驟之一.如果沒有這份報告，則工作就沒有完成。③填寫表格應(yīng)鼓勵涉及此事的各方一起來審核安全事件處理的草案，提交一份事件總結(jié)報告，并和涉及此事的各方一起來審核。④盡可能達成一致意見聽取來自各方的反應(yīng)、不同意見、補充意見和建議.鼓勵使用電子方式來交換意見,這樣可以盡快的處理完。把來自各方的不同意見記錄下來。⑤舉行經(jīng)驗交流會把從各方收集來的意見、建議分別歸類,這樣可以計劃舉行一次經(jīng)驗交流會。會議的主題應(yīng)緊緊圍繞整個事件的處理和處理方法的改進。最后就整個事件的處理做出總結(jié)，在這個總結(jié)中應(yīng)包括整個事件處理的支出、時間和此事產(chǎn)生的影響。把總結(jié)遞交給管理層，并承諾此事件就此結(jié)束.⑥把相關(guān)建議提交給管理層把從總結(jié)經(jīng)驗交流會上得出的結(jié)論和修改意見，提交給管理層。這其中應(yīng)包括整個事件的評價、計劃和此事造成的影響以及采取了什么措施，沒有采取什么措施.⑦實施獲得批準(zhǔn)的措施一旦方案通過就應(yīng)嚴(yán)格加以執(zhí)行。事件響應(yīng)通用方法指導(dǎo)1．安全應(yīng)急事件的提交策略當(dāng)確定好安全事件的職責(zé)，所有相關(guān)人員都知曉時間處理規(guī)則和報告渠道后，下一步應(yīng)確定收到報告后如何提交.首先,收到安全報告的人必須調(diào)查和評估它。如果確實是安全事件，就要采取進一步措施。下面列出一些問題:(1）出現(xiàn)什么緊急情況需要提交,即提交給哪些部門,通知哪些工作人員；(2）什么事件需要立即提交?(3）在什么環(huán)境下合適提交？（4）什么時候提交（立即、明天、下一個工作日)？(5)用什么樣的方式提交？這些問題的答案必須在提交策略中規(guī)定好并讓大家清楚?？梢苑忠韵氯齻€步驟制定提交策略：步驟1:提交渠道的規(guī)定在規(guī)定由何人負責(zé)處理安全事件后,提交渠道的規(guī)定中應(yīng)該明確報送人機器相應(yīng)的報送對象。當(dāng)我們劃分好相關(guān)組織結(jié)構(gòu)層次后這很容易做到。需要注意的是:不僅要考慮常規(guī)提交渠道，而且還要考慮相關(guān)人員不在時的備用渠道.步驟2:提交的決策對象在本步驟中首先應(yīng)確定在做進一步調(diào)查或評估之前需進行什么樣的提交,詳見下面表格16-4示例：然后應(yīng)該規(guī)定在什么環(huán)境下要求提交.提交的基礎(chǔ)可能有以下：（1)預(yù)計的損失程度超過報送對象的職責(zé)范圍；（2）控制損失的成本和資源超過了其權(quán)限;（3）安全事件的負責(zé)程度超出了其職責(zé)能力.表16—4事件類型立即報送對象感染電腦病毒病毒防治人員,管理員火災(zāi)入口控制員，消防隊故意行為或懷疑有犯罪行為IT安全員懷疑工業(yè)間諜IT安全員，執(zhí)行董事會必須報警或犯罪起訴執(zhí)行董事會存在威脅損害執(zhí)行董事會步驟3:提交方式報送過程中向上一層提交方式的選擇如下：（1）個人口頭報告；(2）書面報告；(3）E—mail；（４)電話、手機；（5）密封函件。還應(yīng)該規(guī)定在什么時間段里完成報告。例如：（1）立即提交:一個小時內(nèi)；（２)立即采取措施：一小時內(nèi);（3）事件還在控制中,但要求通知中上層：下一工作日。提交報告應(yīng)該通知所有可能的安全事件報送對象。為了控制安全事件的繼續(xù)發(fā)展，通常要求立即采取行動，還可能要求從其它項目中召回人員或在非工作時間給他們打電話，所以對此類問題的處理也必須在安全應(yīng)急計劃中加以考慮，并以文字的形式加以規(guī)則化，保證員工能被及時呼叫到。其它控制:(1)最近什么時候更新過提交策略？(2）在演練中試過提交渠道嗎？指定安全應(yīng)急響應(yīng)的優(yōu)先級經(jīng)驗表明,安全事件是多種因素的綜合結(jié)果，潛在威脅一般涉及好幾類（比如，人員身體受損、外部關(guān)系的負面影響、財務(wù)后果等）。因此盡早建立問題處理的優(yōu)先級就非常重要。這種優(yōu)先級決定了事件處理的順序。優(yōu)先級的分配緊密依賴于組織內(nèi)的環(huán)境.要分配優(yōu)先級,必須考慮下面問題：(１）哪類損失和組織相關(guān);(2）在每個類別中，按什么順序修補損失。要回答這些問題,首先應(yīng)根據(jù)IT系統(tǒng)最低保護要求確定保護程度,這將十分有用。而確定保護程度的過程就定義了與組織相關(guān)的損害類別，如：(1）與法律、規(guī)章或合同沖突；（2）對信息自決權(quán)的損害；（3)對人員身體的傷害；（４)對企業(yè)職能的損害；(5）外部關(guān)系的負面影響；（6）財務(wù)后果.作為詳細說明保護程度的一部分，在每個損害類別中定義了損害程度.例如：損害類別“財務(wù)后果”中的損害程度：表１6—5損害類別財務(wù)后果損害/損失=中損害或損失小于DＭ２5，000損害/損失=高損害或損失介于DM２５，0０0和DM5百萬之間損害/損失＝很高損害或損失大于DＭ5百萬利用上面的損害類別列表,可以按下面的描述分配優(yōu)先級.損害類別列在表中第一列，隨后列出三種損害/損失級別:中、高和很高。每個損害類別和損害／損失都分配一個優(yōu)先級。分配優(yōu)先級的一種方法是使用優(yōu)先級分級系統(tǒng)，比如：１=特別重要2=重要３=相對重要另一種方法是給每個損害類別分配等級。示例：這個示例中的組織是市政機構(gòu),通過互連網(wǎng)為公眾提供服務(wù).公眾可以用E—maｉl詢問市政機構(gòu)他們的案子進展如何。作為信息服務(wù)，該市政機構(gòu)提供互連網(wǎng)服務(wù)器的使用。下表說明了該機構(gòu)安全應(yīng)急事件優(yōu)先級的分配結(jié)果：表１6-６損害類別損害/損失=中損害／損失＝高損害/損失＝很高法律、規(guī)章或合同沖突222對信息自決權(quán)的損害12２1對信息自決權(quán)的損害221１人員身體傷害3３2義務(wù)績效的損害32１財務(wù)后果332分等級結(jié)果：表16-7損害類別損害／損失=中損害/損失=高損害/損失=很高法律、規(guī)章或合同沖突1３1２11對信息自決權(quán)的損害８63對信息自決權(quán)的損害521人員身體傷害151４7義務(wù)績效的損害1794財務(wù)后果181610優(yōu)先級的分配必須得到管理層的批準(zhǔn)方可生效，批準(zhǔn)后必須通知參與安全事件處理決策的相關(guān)人員。安全事件發(fā)生后,利用下表優(yōu)先級的分配，一旦安全事件被調(diào)查并評估后，就會對預(yù)計的損害作出一個估計，隨后產(chǎn)生的損害數(shù)據(jù)被分配到已知的損害類別中,然后一起歸類為“中”、“高”和“很高”。優(yōu)先級分配表指明了處理每種損失類型的順序。但是，前面的優(yōu)先級分配只能看作是一個初步指南,它可能因個案的不同而不同.例如：表16－8損害類別損害/損失=中損害/損失=高損害/損失=很高法律、規(guī)章或合同沖突D１對信息自決權(quán)的損害１對信息自決權(quán)的損害2人員身體傷害D2義務(wù)績效的損害Ｄ３財務(wù)后果D4假定在上面的例子中，有黑客成功地闖入互連網(wǎng)信息服務(wù)器，抹黑市政機構(gòu)的形象。這種行為立即被發(fā)現(xiàn)，并通知IＴ安全管理員，安全管理員對以上損害進行評估。評估結(jié)果可能如下：基于以前的優(yōu)先級分配,損害個案D1到D4被分配以下優(yōu)先級:優(yōu)先級分類方法：D1=2，D2=3，D３=1，D４=3優(yōu)先等級方法：Ｄ1=1３,D２=15，D3=4，D4＝1８在這兩種情形中,在準(zhǔn)備處理其它所有類型的損害之前，損害限制工作很清楚要集中在損害案例Ｄ3（外部關(guān)系的負面影響)上。為限制對外部關(guān)系的負面影響,在采取其它所有措施前,應(yīng)該首先將被入侵的互連網(wǎng)服務(wù)器與網(wǎng)絡(luò)斷開.如果給外部關(guān)系的負面影響這一損害分配一個低優(yōu)先級,而給因破壞市政機構(gòu)的完成工作的能力分配一個高優(yōu)先級，那么斷掉互連網(wǎng)服務(wù)器就不會被看作是需要立即采取的措施。其它控制：（1）管理層同意優(yōu)先級的分配？(２)優(yōu)先級的分配是否已通知安全事件處理管理系統(tǒng)的所有決策人？（3)優(yōu)先級分配最近在什么時候更新過？安全應(yīng)急的調(diào)查與評估不是所有的安全事件都能被立即發(fā)現(xiàn)，尤其是對IT系統(tǒng)的惡意攻擊,經(jīng)常是在事件發(fā)生數(shù)天或數(shù)周后才能被發(fā)現(xiàn)。誤報也很常見,比如軟件或硬件故障被錯認為是計算機病毒.無論如何，為了調(diào)查和評估與安全相關(guān)的異常事件,有必要進行一些初級評估,包括:(1）弄清楚IT結(jié)構(gòu)和IT網(wǎng)絡(luò)；（2)弄清楚ＩＴ系統(tǒng)的聯(lián)系人和用戶；（3）弄清楚IＴ系統(tǒng)上的IT應(yīng)用;（4)定義IＴ系統(tǒng)的保護要求。在ＩT系統(tǒng)保護手冊的第一階段進行這些調(diào)查。IＴ安全管理也需要得到這些結(jié)果。在收到報告后，根據(jù)對結(jié)果的評估得到信息，并快速決定哪些IＴ系統(tǒng)會受到影響，會涉及到哪些IT應(yīng)用,有何保護要求。同時，由于知道聯(lián)系人，可以迅速找到他來幫忙做出適當(dāng)?shù)臎Q定。當(dāng)有高級保護要求的ＩＴ系統(tǒng)或ＩT應(yīng)用受到影響時，應(yīng)該被看作安全事件，并實施預(yù)先定義好的步驟。另一方面，如果只有需要低級保護的ＩＴ系統(tǒng)和ＩＴ應(yīng)用受到影響,試著就地解決安全問題即可。如果安全事件顯然有很嚴(yán)重的后果，并且相當(dāng)復(fù)雜,應(yīng)立即找到安全事件應(yīng)急小組，不要有任何延遲，這樣處理可能更合適。調(diào)查和評估安全事件的第一步是弄清楚下列因素：(１）安全事件可能影響什么IＴ系統(tǒng)和ＩT應(yīng)用？(２）通過IT系統(tǒng)網(wǎng)絡(luò)還會產(chǎn)生后續(xù)的損害嗎?（3）哪些IT系統(tǒng)和ＩT應(yīng)用絕對不會受到損害和后續(xù)損害？（4)安全事件導(dǎo)致的直接損害或后續(xù)損害程度如何?應(yīng)特別留意各種ＩT系統(tǒng)和IT應(yīng)用之間的相關(guān)性；（5）能觸發(fā)安全事件的可能因素;（6)安全事件發(fā)生在什么時候,在哪個地方？由于在探測到安全事件時它很可能已經(jīng)發(fā)生一段時間了,因此維護好日志文件在這兒非常有用，但要保證它們沒有被入侵；（７)是否只有內(nèi)部IT用戶受到安全事件的影響？或者外部第三方也受到影響?（8)有多少關(guān)于安全事件的信息已經(jīng)被泄露給公眾？如果安全事件已經(jīng)引起嚴(yán)重的后果，它必須要被提交給上一級管理層。澄清這些因素后，必須確定可選方案，方案中將包含立即措施和補充措施。在這兒也應(yīng)該考慮從前確定的優(yōu)先級分配,還必須對實施這些步驟所需的時間、解決這些問題和恢復(fù)正常運作所需的成本和資源進行估計。如果損害程度、修復(fù)所需時間和成本超出預(yù)定限度，在做任何決定前,將問題提交給上級,并與決策層進行磋商，以選擇哪種措施。根據(jù)上面列出的提綱對安全事件所做的結(jié)構(gòu)化調(diào)查和評估，會成為各種各樣的可以利用的選項。其它控制：(1）接收安全事件報告的人員和上級能否獲得基于保護需求而生成的必要的決策信息？（2）有沒有支持安全事件評估的方法？比如分析日志數(shù)據(jù)的工具.與安全應(yīng)急有關(guān)的補救措施一旦找到導(dǎo)致安全事件的原因，就要選擇并實施針對它們的應(yīng)急措施.首先要控制事件的繼續(xù)發(fā)展并解決問題，然后再恢復(fù)事務(wù)狀態(tài)。1.提供必要的專業(yè)知識。為查明和處理安全方面的弱點，必須擁有相關(guān)的技術(shù)知識。因此要么培訓(xùn)員工,要么找專家.基于此，要準(zhǔn)備一份聯(lián)系地址表，包含各領(lǐng)域的內(nèi)外部專家，這樣就可以直接去尋求他們的意見,不用再耽誤時間.外部專家包括：（1）計算機緊急響應(yīng)小組(ComｐutｅrEmergｅncyRｅspｏnseＴeamｓ，CＥＲTs）；（２)牽涉的IT系統(tǒng)廠商和銷售商;（３）應(yīng)用安全系統(tǒng)的廠商和銷售商，比如反病毒、防火墻和訪問控制等；(4）專業(yè)安全專家組成的外部顧問組。2．安全恢復(fù)的運作要去除安全弱點,首先應(yīng)將這些弱點所涉及的ＩT系統(tǒng)與網(wǎng)絡(luò)斷開連接，然后再將那些能提供已發(fā)事件性質(zhì)和原因的信息文件，尤其是所有相關(guān)的日志文件做備份.由于整個IT系統(tǒng)應(yīng)該被視為不安全或已經(jīng)被入侵，所以要檢查操作系統(tǒng)和所有應(yīng)用是否已發(fā)生改變。除了程序之外，配置文件和用戶文件也應(yīng)該被檢查以防被操縱.在這里使用校驗和程序比較合適。這預(yù)示著,有關(guān)的校驗和程序應(yīng)該被事先確定，并且已經(jīng)被永久保存（記錄于寫保護數(shù)據(jù)介質(zhì)上)。比如為保證敵方留下的特洛伊木馬已被刪除,原始文件應(yīng)該從寫保護的數(shù)據(jù)介質(zhì)中恢復(fù)。這里要注意的是,所有的與安全相關(guān)的配置文件和補丁也要重新恢復(fù).在將備份數(shù)據(jù)重新導(dǎo)入這些文件時,必須采取措施保證這些數(shù)據(jù)沒有受到安全事件影響，比如，沒有被計算機病毒感染。另外一方面，檢查數(shù)據(jù)備份有助于確定攻擊或計算機病毒感染是什么時候發(fā)生的。在做數(shù)據(jù)恢復(fù)操作之前，要改變所有涉及到的IＴ系統(tǒng)的口令字。這也要包括那些還沒有直接受到影響,但是攻擊者可能已經(jīng)得到用戶名或口令字信息的IT系統(tǒng).要假設(shè)系統(tǒng)已經(jīng)恢復(fù)到安全狀態(tài)，并還會受到進一步的攻擊.由于這個原因，要使用合適的工具對IT系統(tǒng)，尤其是網(wǎng)絡(luò)連接進行監(jiān)控。3．文檔在處理安全問題中的所有動作都應(yīng)該被盡可能詳細地記錄歸檔，以便實現(xiàn)下列目標(biāo):（1）保留發(fā)生事情的細節(jié)；(2)能夠追朔發(fā)生的問題;（3）能夠修正因為匆忙行動可能帶來的問題或錯誤；(4）在已知的問題再次發(fā)生時能迅速解決；（5)能夠消除安全弱點,準(zhǔn)備預(yù)防措施；(6）如果要提起訴訟，便于收集證據(jù).這種文檔不僅包含有關(guān)行動的采取、時間的描述,也包含受影響IT系統(tǒng)的日志文件。4．對故意行為的反應(yīng)5．其余控制：(１）安全專家名單的最近更新時間；（2）以前有沒有觀測過由內(nèi)部人員發(fā)起的故意攻擊行為?通知受到影響的各方當(dāng)發(fā)生安全事件時，必須通知所有受其影響的外部和內(nèi)部各方。這為那些受安全事件直接影響的部門和機構(gòu)采取對策提供了方便，對于處理安全事件相關(guān)信息的各方協(xié)助預(yù)防或解決問題尤為重要。如果有必要，還應(yīng)告知公眾，尤其是在信息已經(jīng)泄露出去的時候。針對特殊的安全事件，必須制定出一個關(guān)于通知機制、通知誰、誰來通知、用什么順序以及通知的細節(jié)到什么程度這樣一個清晰、明確的規(guī)定。在這個規(guī)定中，要采取有效措施保證安全事件的信息只能由指定的負責(zé)人發(fā)布出去，比如IＴ安全管理層或信息發(fā)布機構(gòu)。誰可以接收信息或接收到何種細節(jié)程度，自然主要取決于技術(shù)背景.所發(fā)布的信息應(yīng)該是正確的，否則會引發(fā)混亂、錯誤評估和形象損害。下面給出一個關(guān)于信息分發(fā)的典型例子.1.內(nèi)部如果還不清楚安全事件是否發(fā)生,或者嚴(yán)重到什么程度，應(yīng)在內(nèi)部詢問受到潛在影響的員工，檢查他們的工作區(qū)，是否有異常現(xiàn)象。如果已經(jīng)知曉處理安全事件的對策,應(yīng)該立即告知有關(guān)部門通知他們應(yīng)該做什么，以盡量減小安全事件的影響或恢復(fù)安全運作。還應(yīng)該考慮以下各方：（1）IT部門領(lǐng)導(dǎo);(2）有關(guān)的專家部門領(lǐng)導(dǎo)；(3)IT用戶；(4）IＴ管理員;(５）IT用戶服務(wù)商;（６）現(xiàn)場技術(shù)服務(wù)人員；(7）監(jiān)管人員;（8)內(nèi)部安全人員;(９）入口控制人員。２.外部如果安全事件沖擊的對象不僅僅限于組織內(nèi)部，則應(yīng)該告知所有受影響或可能受影響的外部各方所發(fā)生的安全問題、必需的對策以及如何限制影響。如果有關(guān)信息沒有被及時傳達給受影響的各方，則事件真相出來后,組織與外部各方基于信任的現(xiàn)有合作關(guān)系可能會遭受永久性的破壞.需要通知的外部各方應(yīng)該考慮：（１)客戶;（2)供貨商；（3）自由工作人員；(4)分包人；（5)IT服務(wù)供應(yīng)商；（6）有通信聯(lián)系的各方；(７)軟件開發(fā)公司；（8）網(wǎng)絡(luò)操作員。有時還可能報警或采取法律途徑來解決問題,這取決于安全事件的類型。3。公眾在發(fā)生嚴(yán)重或復(fù)雜的安全事件時，有必要告知公眾真相，但是只能通過信息發(fā)布機構(gòu)對新聞媒體發(fā)布消息。需要注意的是：應(yīng)要求信息發(fā)布機構(gòu)使用恰當(dāng)?shù)恼Z句來描述安全事件、損害程度、必要對策并已通知的各方,以免引起混亂。但是,向公眾提供的信息不能太具體，以避免鼓勵類似的攻擊。同時要注意任何特別關(guān)注安全事件相關(guān)信息的人的身份，保證罪犯不能得到他們攻擊成功的實時結(jié)果。4．IT安全團體如果查明安全事件是由于還不了解的安全弱點引發(fā)的,那就應(yīng)該通告各方并警告其在安全方面的弱點,而不是隱瞞事實,并制定相應(yīng)的對策。應(yīng)該通知的各方：(1)反病毒程序廠商,懷疑感染了新計算機病毒但病毒掃描沒有發(fā)現(xiàn)；（2)操作系統(tǒng)或應(yīng)用軟件廠商，其中存在安全弱點;(3)計算機緊急響應(yīng)小組，安全事件歸因于系統(tǒng)或應(yīng)用相關(guān)的安全弱點；(4）IＴ專業(yè)報刊；（５）IT安全相關(guān)的公共機構(gòu)。例如，注意到個人計算機上的數(shù)據(jù)偶然遭到破壞或丟失,在得到報告并經(jīng)過調(diào)查后發(fā)現(xiàn)，問題是因為新的宏病毒引發(fā)的，該病毒是通過E-ｍａil附件擴散的.在這種情形下，應(yīng)該通知下列部門:（1）ＩT部門領(lǐng)導(dǎo)；(２）IT用戶;（３）IT管理員；(4）IT用戶服務(wù)商;(5)從首次發(fā)現(xiàn)計算機病毒之后用電子郵件方式交換過信息的各方;（6)反病毒程序廠商；(7）計算機緊急響應(yīng)小組.5。其余控制：（1)誰負責(zé)將與安全事件相關(guān)的信息傳給第三方？(2）應(yīng)該采取何種步驟保證未經(jīng)授權(quán)的人員不得發(fā)布任何有關(guān)安全的信息.對安全應(yīng)急響應(yīng)的評估為從安全事件中學(xué)習(xí)到一些東西，不能忽略對整個安全事件的應(yīng)急處理過程的總結(jié)和評估。這樣做可以改善對安全事件的處理水平，并對IT安全管理及IＴ安全措施的效率做出正確的評價。這里要考慮的方面包括：1．響應(yīng)時間:要搜集有關(guān)安全事件是用了多長時間才被發(fā)現(xiàn)的信息,檢查現(xiàn)有的同類安全事件發(fā)現(xiàn)技術(shù)措施是否需要改進。還應(yīng)該檢查事件報告經(jīng)過上報渠道需要花費的時間。其它應(yīng)考慮的方面包括:做出采取措施的決定有多快、需要花費多長時間去實施、受事件影響的各方什么時間能夠被通知到等。當(dāng)追溯使用的上報渠道時，應(yīng)該考慮上報渠道是否已被每個人所了解、是否要采取必要措施讓大家知曉并提供其它信息。2．提交策略的效率:要利用特殊的安全事件來檢查制定好的提交策略是否起作用，是否還需要額外信息以及是否要修改提交策略.3．評估的效率：當(dāng)回頭來看安全事件時，應(yīng)該考慮損害程度是否已被正確估計，優(yōu)先級考慮是否合適，是否利用了安全事件小組來進行調(diào)查.4.通知受影響的各方：有必要考慮受影響各方是否被真正通知到，是否被及時通知到。有必要找出更快的通知渠道。５。對事件報告人的反饋：解決問題后，應(yīng)該將安全事件所產(chǎn)生的損害和所采取的措施告知安全事件的發(fā)現(xiàn)人及報告人，這樣可以證明這類報告會被嚴(yán)肅對待，并鼓勵未來發(fā)生類似情況時繼續(xù)報告。對準(zhǔn)確、及時的報告進行表彰和獎勵也是合適的，它告訴員工對安全事件的報告是多么重要。6．犯罪者的動機：如果發(fā)現(xiàn)安全事件是一種故意行為，應(yīng)該調(diào)查犯罪動機。當(dāng)事件牽涉到內(nèi)部人員時,動機是非常重要的。如果是因為組織的環(huán)境造成的,應(yīng)該通知管理層，因為這些錯誤或故意行為還會再次發(fā)生.同時取決于對這些資源的評價結(jié)果，管理層應(yīng)該了解以便做出改進.因此由安全計劃外的機構(gòu)進行這種評價工作是合理的。７．制定行動指令：作為安全事件評估的一部分，當(dāng)類似的安全事件再次發(fā)生時,可以利用本次的結(jié)果去檢驗即將采取的行動或復(fù)查采取的過程。一旦擁有解決問題的實際經(jīng)驗，比起僅僅擁有理論來更能制定出有效的行動指令.所發(fā)生的安全事件也顯示出：針對這類安全事件采取行動的指令有一些具體的需求，因此準(zhǔn)備采取的指令應(yīng)該以合適的方式通知相關(guān)人員。８．其余控制:(１）對最近一次發(fā)生的安全事件有沒有做評估？（2)一年中有沒有向管理層報告過安全事件?（3)采取行動的具體指令如何被更新和傳達？安全應(yīng)急發(fā)現(xiàn)措施的使用在發(fā)生安全事件時,不僅及早發(fā)現(xiàn)它很重要，預(yù)防它同樣很重要。對于很多與安全相關(guān)的異?，F(xiàn)象，通過使用適當(dāng)?shù)募夹g(shù)，可以在早期自動的發(fā)現(xiàn)。這些發(fā)現(xiàn)手段通常都會增加發(fā)現(xiàn)的可靠性，并減少從事件發(fā)生到被發(fā)現(xiàn)之間的時間.但是要獲得這種早期的反應(yīng)能力，就需要對實施和監(jiān)控這些措施多做一些工作，對這種工作的勞動程度應(yīng)該提前有所估計。如果潛在的威脅非常大或可能帶來人員傷害，那就沒有其它選擇，只有采用這樣的發(fā)現(xiàn)措施。有關(guān)這類發(fā)現(xiàn)措施的例子包括:(１）警報告示設(shè)備；(２）遠程故障報警；（3）病毒掃描程序；(４）入侵探測和入侵防范系統(tǒng)；（5)加密校驗。不是所有的安全事件都可以用技術(shù)手段立即發(fā)現(xiàn)，組織措施也是經(jīng)常必用的。自動發(fā)現(xiàn)措施的可靠性通常依賴于他們的更新程度和適應(yīng)實際環(huán)境的程度。發(fā)現(xiàn)措施的有效性緊密依賴于從事這些任務(wù)的人的可靠性，也緊密依賴于這些措施在實際運行過程中實施的簡易程度.作為全部或部分組織性質(zhì)的發(fā)現(xiàn)措施有以下典型例子：（1)取得系統(tǒng)安全弱點信息;（2）對選擇IT系統(tǒng)進行經(jīng)常性的安全檢查；(3）對日志文件進行經(jīng)常性分析。其余控制(1）使用什么樣的發(fā)現(xiàn)措施？(2)是否采取步驟保證日志文件中的任何異常事件被報告？災(zāi)難恢復(fù)計劃概述背景當(dāng)今世界，市場競爭越來越激烈。現(xiàn)代企業(yè)越來越依賴于計算機系統(tǒng)，因為這里保存著企業(yè)維系生存、參與競爭的重要資產(chǎn)—企業(yè)信息資源.企業(yè)對信息的依賴程度從來沒有像今天這樣迫切。對企業(yè)而言，計算機系統(tǒng)失效無疑是一場災(zāi)難。在這種情況下，企業(yè)無法正常運轉(zhuǎn)，甚至可能陷入完全癱瘓。而且,有許多因素威脅著計算機系統(tǒng)的正常運轉(zhuǎn).大到自然災(zāi)害（地震、洪水、颶風(fēng)、火災(zāi)等)，小到失竊、斷電乃至操作員不經(jīng)意的失誤，都會影響系統(tǒng)的正常運轉(zhuǎn),甚至造成整個系統(tǒng)完全癱瘓.由計算機系統(tǒng)癱瘓造成的影響往往是十分驚人的.1987年，美國德克薩斯州大學(xué)進行過一項名為“計算機系統(tǒng)失效對商業(yè)公司之影響”的調(diào)查。在被調(diào)查的１６0家公司中,有將近1/３的公司經(jīng)歷過計算機系統(tǒng)失效。在這些公司中，只有將近二分之一的公司有一套完整的災(zāi)難應(yīng)急計劃。完全沒有應(yīng)急計劃的公司損失慘重，災(zāi)難后業(yè)務(wù)無法恢復(fù)，十之八九在兩年內(nèi)退出市場。比如199３年發(fā)生在紐約世界貿(mào)易中心的爆炸事件。位于該中心的３50家公司中，有１５0家已經(jīng)退出市場。其原因是由于爆炸使他們的計算機系統(tǒng)遭到破壞,用戶無法訪問他們所需的重要信息資源。所以,在災(zāi)難發(fā)生后，能夠快速、簡單、可靠地恢復(fù)一個立即可用的系統(tǒng)至關(guān)重要!這件事處理得好壞,有時關(guān)系到企業(yè)的生死存亡.災(zāi)難恢復(fù)技術(shù),是目前在發(fā)達國家中十分流行的IＴ技術(shù)。它能夠為重要的計算機系統(tǒng)提供在斷電、火災(zāi)、受到攻擊等各種意外事故發(fā)生，乃至在如洪水、地