談?dòng)?jì)算機(jī)安全事件的應(yīng)急處理方法

張大胤/黑龍江技師學(xué)院

談?dòng)?jì)算機(jī)安全事件的應(yīng)急處理方法

張大胤/黑龍江技師學(xué)院

計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安全，即計(jì)算機(jī)信息系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。一旦找到導(dǎo)致安全事件的原因，就要選擇并實(shí)施針對它們的應(yīng)急處理方法。首先要控制事件繼續(xù)發(fā)展并解決問題，然后再恢復(fù)事務(wù)狀態(tài)。

計(jì)算機(jī)；安全；事件；應(yīng)急；處理

計(jì)算機(jī)系統(tǒng)會受到眾多不幸事件的影響，從數(shù)據(jù)文件損壞到病毒，到自然災(zāi)害?？梢酝ㄟ^標(biāo)準(zhǔn)的操作規(guī)程從這樣一些不幸事件中恢復(fù)。

一、提供必要的專業(yè)知識

為查明和處理安全方面的弱點(diǎn)，必須擁有相關(guān)的技術(shù)知識，因此要么培訓(xùn)員工，要么找專家。為此，要準(zhǔn)備一份聯(lián)系地址表，包含各領(lǐng)域的內(nèi)外部專家，這樣就可以直接去尋求他們的意見，不用再耽誤時(shí)間。

二、安全恢復(fù)的運(yùn)作

要去除安全弱點(diǎn)，首先應(yīng)將這些弱點(diǎn)所涉及的IT系統(tǒng)斷開與網(wǎng)絡(luò)的連接，然后再將那些能提供已發(fā)生事件的性質(zhì)和原因的信息文件（尤其是所有相關(guān)的日志文件）做備份。由于整個(gè)IT系統(tǒng)應(yīng)該被視為不安全或已經(jīng)被入侵，因此要檢查操作系統(tǒng)和所有應(yīng)用是否已發(fā)生改變。除了程序之外，還應(yīng)該檢查配置文件和用戶文件，以防被操縱。在這里使用校驗(yàn)和程序比較合適。這預(yù)示著，有關(guān)的校驗(yàn)和程序應(yīng)該被事先確定，并且已經(jīng)被永久保存。比如為保證敵方留下的特洛伊木馬已被刪除，應(yīng)該從寫保護(hù)的數(shù)據(jù)介質(zhì)中恢復(fù)原始文件。

三、文檔

在處理安全問題時(shí)的所有動(dòng)作都應(yīng)該被盡可能詳細(xì)地記錄歸檔，以便實(shí)現(xiàn)下列目標(biāo)：保留發(fā)生事情的細(xì)節(jié)；能夠追溯發(fā)生的問題；能夠修正因?yàn)榇颐π袆?dòng)可能帶來的問題或錯(cuò)誤；在已知的問題再次發(fā)生時(shí)能迅速解決；能夠消除安全弱點(diǎn)，準(zhǔn)備預(yù)防措施；如果要提起訴訟，便于收集證據(jù)。這種文檔不僅包含對有關(guān)行動(dòng)的詳細(xì)描述和時(shí)間記錄，也包含受影響IT系統(tǒng)的日志文件。

四、對故意行為的反應(yīng)

當(dāng)入侵者發(fā)起安全事件時(shí)，首先要決定是靜觀攻擊還是盡快采取措施。當(dāng)然也可以試圖去抓住入侵者的“黑手”，但是可能會冒很大的風(fēng)險(xiǎn)，因?yàn)樵谠噲D抓住對方的同時(shí)，對方可能會破壞、入侵或讀取數(shù)據(jù)。安全問題的調(diào)查結(jié)果表明，這種情況在組織內(nèi)部經(jīng)常發(fā)生，它可能是因?yàn)楹鲆?、不合適的工作過程或技術(shù)問題而造成的，也可能是沒有仔細(xì)觀察安全措施或故意行為的結(jié)果。在因?yàn)閮?nèi)部原因而產(chǎn)生問題的地方，必須調(diào)查清楚觸發(fā)的原由。問題經(jīng)常起源于不適當(dāng)或不完整的過程，因此要對過程進(jìn)行修改、補(bǔ)充或采取其他措施。如果因?yàn)楣室庑袨榛蚝雎远a(chǎn)生安全問題，就應(yīng)該采取適當(dāng)?shù)募o(jì)律措施加以控制。

五、報(bào)告和總結(jié)階段

根據(jù)安全事件的處理規(guī)則，安全事件越關(guān)鍵，需要的授權(quán)就越大。報(bào)告階段可能貫穿于極端情形下，這意味著必須要及早報(bào)告給管理層，并使其參與其中以采取必要的措施。無論采用哪種方法，都要求提前制定好提交策略，并制定在何種情況下要咨詢何人的規(guī)定?？偨Y(jié)是最后一個(gè)階段，但卻是絕對不能夠忽略的重要階段。這個(gè)階段的目標(biāo)是回顧并整理發(fā)生事件的各種相關(guān)信息，盡可能地把所有情況記錄到文檔中。這些記錄的內(nèi)容，不僅對有關(guān)部門的其他處理工作具有重要意義，而且對將來應(yīng)急工作的開展也是非常重要的積累。

六、安全應(yīng)急的調(diào)查

調(diào)查安全事件的第一步是弄清楚下列因素：安全事件可能影響什么IT系統(tǒng)和IT應(yīng)用；通過IT系統(tǒng)網(wǎng)絡(luò)是否還會產(chǎn)生后續(xù)的損害；哪些IT系統(tǒng)和IT應(yīng)用絕對不會受到損害和后續(xù)損害；安全事件導(dǎo)致的直接損害或后續(xù)損害的程度如何，應(yīng)特別留意各種IT系統(tǒng)和IT應(yīng)用之間的相關(guān)性；能觸發(fā)安全事件的可能因素；安全事件發(fā)生在什么時(shí)候，在哪個(gè)地方，由于在探測到安全事件時(shí)它很可能已經(jīng)發(fā)生一段時(shí)間了，因此應(yīng)維護(hù)好日志文件，但要保證它們沒有被入侵；是否只有內(nèi)部IT用戶受到安全事件的影響，或者外部第三方也受到影響；有多少關(guān)于安全事件的信息已經(jīng)被泄露給公眾。

如果安全事件已經(jīng)引起嚴(yán)重的后果，那么它必須要被提交給上一級管理層。澄清這些因素后，必須確定可選方案，方案中將包含立即措施和補(bǔ)充措施。在這兒也應(yīng)該考慮從前確定的優(yōu)先級分配，還必須對實(shí)施這些步驟所需的時(shí)間、解決這些問題和恢復(fù)正常運(yùn)作所需的成本和資源進(jìn)行估計(jì)。

七、與安全應(yīng)急有關(guān)的補(bǔ)救措施

一旦找到導(dǎo)致安全事件的原因，就要選擇并實(shí)施針對它們的應(yīng)急措施。首先要控制事件繼續(xù)發(fā)展并解決問題，然后再恢復(fù)事務(wù)狀態(tài)。

八、對安全應(yīng)急響應(yīng)的評估

安全應(yīng)急的評估是一項(xiàng)復(fù)雜的工作，涉及安全管理、技術(shù)、運(yùn)行以及評估標(biāo)準(zhǔn)、評估實(shí)施等諸多方面，存在著國家、電信運(yùn)營企業(yè)和用戶等多角度的不同需求。安全應(yīng)急評估標(biāo)準(zhǔn)還要隨著安全事件的變化而不斷地完善和發(fā)展。評估指標(biāo)體系的研究、建立同樣面臨著這些問題，需要開展持續(xù)的階段性研究，針對各種變化適時(shí)地加以改進(jìn)。

九、安全應(yīng)急中的預(yù)防

從實(shí)際應(yīng)用上看，即使采用了種種安全防御手段，也不能說就萬無一失或絕對安全。對于很多與安全相關(guān)的異?，F(xiàn)象，可以通過使用適當(dāng)?shù)募夹g(shù)在早期自動(dòng)地發(fā)現(xiàn)。這些發(fā)現(xiàn)手段通常都會增加發(fā)現(xiàn)的可靠性，并減少從事件發(fā)生到被發(fā)現(xiàn)之間的時(shí)間。因此還需要有一些預(yù)防措施，以保證當(dāng)系統(tǒng)出現(xiàn)故障時(shí)，能以最快的速度恢復(fù)正常，將損失程度降到最低。

不是所有的安全事件都可以用技術(shù)手段立即發(fā)現(xiàn)，組織措施也是經(jīng)常必用的。自動(dòng)發(fā)現(xiàn)措施的可靠性通常依賴于他們的更新程度和適應(yīng)實(shí)際環(huán)境的程度。發(fā)現(xiàn)措施的有效性緊密依賴于從事這些任務(wù)的人的可靠性，也緊密依賴于這些措施在實(shí)際運(yùn)行過程中實(shí)施的簡易程度。

另外，為了衡量一個(gè)安全事件處理管理系統(tǒng)的有效性，加強(qiáng)對這些管理任務(wù)的演練，應(yīng)該進(jìn)行一些演習(xí)和假想訓(xùn)練。由于這可能會需要大量的人力資源，或干擾正常工作，因此必須限制在重點(diǎn)區(qū)域內(nèi)進(jìn)行。應(yīng)該在安全事件處理資料中保留上述步驟執(zhí)行的結(jié)果。對這些結(jié)果還應(yīng)當(dāng)定期更新，并以合適的方式通知各利害方。為維護(hù)安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性，需要定期對管理系統(tǒng)進(jìn)行檢查，并對其中的措施進(jìn)行測試。為測試管理系統(tǒng)的效率，應(yīng)該模擬損害事件以檢查定義的過程是否能工作，或者它是否實(shí)際可行。如果不可行，應(yīng)該做適當(dāng)?shù)男薷?。為測試這點(diǎn)，要進(jìn)行公開和未公開的演練實(shí)踐。當(dāng)演練實(shí)踐在未公開狀態(tài)下進(jìn)行時(shí)，要保證在任何情況下都不能觸發(fā)可能導(dǎo)致?lián)p害IT系統(tǒng)、數(shù)據(jù)或其他系統(tǒng)的動(dòng)作，不管這種損害是永久的還是修正起來很困難的。在開始演練實(shí)踐前，需要認(rèn)真考慮提前通知誰。要保證演練實(shí)踐是經(jīng)過管理層授權(quán)的。