在组织机构中制定一个事件响应计划(incident response plan);使之被全体支持;并且定期的测试它;这些都是非常重要的措施。一个良好的事件响应计划可能会在最大程度上减少安全破坏带来的影响。它甚至会减少消极宣传。
从安全小组的角度上看,安全破坏是否会发生并不重要(因为这类事件的发生是使用不可信任的载体网络如互联网来进行商业运转的必然组成部分),但是安全破坏发生的时机却很重要。不要因此而认为你的系统是薄弱的或有可乘之机的。你需要认识到,只有给予足够的时间和资源,即便是最安全的系统或网络也会被人攻破。位于 http://www.securityfocus.com/ 的 Security Focus 网站提供了有关最近发生的安全破坏和弱点的详细信息。从对公司网站的频繁改头换面,到2002年发生的对 DNS 根名称服务器进行的攻击[1],该网站都有详细描述。
认识到系统破坏的不可避免性的积极面是,它允许安全小组制定一个能够最小化潜在损失的行动计划。利用专业知识和行动计划,安全小组就可以用一种井然有序而又灵敏快捷的态度来在逆境中运筹自如。
事件响应计划自身可以分成四个阶段:
停止或减小事件影响的立即措施
事件调查
受影响的资源的恢复
向适当途径报告事件
事件响应必须果断,行动必须迅速。多数情况下不容你犯错。通过演习紧急事件并测量响应时间,我们有可能逐渐形成一种培养速度和准确性的方法。快速反应还可能会减小被系统攻击所造成的资源不可用和潜在的损失。
事件响应计划具备一些特殊要求,它们包括:
一组在职专家(计算机紧急响应组,Computer Emergency Response Team)
在法律上被审核并批准的策略
公司的财政支持
上级管理支持
现实可行的行动计划
物理资源,例如:冗余的存储器、备用系统和备份服务
计算机紧急情况响应组(Computer Emergency Response Team,CERT)的组成人员是能够在灾难性计算机事件发生的时候采取快速行动的在职专家。为 CERT 搜寻具备关键能力的人员非常具有挑战性。合适的人员这一概念不仅仅是指技术上的出类拔萃,它还包括一些后勤性事务,如所在位置、时间的灵活性、以及在发生紧急情况时不顾个人利益而以大局为重的品格;紧急情况可能会随时发生,所有的 CERT 成员都必须愿意接受这种随意性挑战,而且乐此不疲。
典型的 CERT 成员包括系统管理员和网络管理员,以及信息安全部门的成员。系统管理员会提供对系统资源的知识和见解,包括数据备份、可用的备份硬件等等。网络管理员会提供他们在网络协议方面的知识以及动态地重新为网络交通选路的能力。信息安全人员在全面跟踪分析安全问题以及执行对危及系统的事后调查研究方面能够发挥作用。
CERT 人员应该有一定的冗余性,虽然这并不总是很现实。如果某机构在核心部门的人力不够,那么就要尽可能地实施“交叉培训”。注意,如果只有一个人负责数据安全和完好的工作,那么如果这个人不在,整个机构都会茫然无措。
[1] |