<< Back to shouce.jb51.net

10.2. 制定事件响应计划

在组织机构中制定一个事件响应计划(incident response plan);使之被全体支持;并且定期的测试它;这些都是非常重要的措施。一个良好的事件响应计划可能会在最大程度上减少安全破坏带来的影响。它甚至会减少消极宣传。

从安全小组的角度上看,安全破坏是否会发生并不重要(因为这类事件的发生是使用不可信任的载体网络如互联网来进行商业运转的必然组成部分),但是安全破坏发生的时机却很重要。不要因此而认为你的系统是薄弱的或有可乘之机的。你需要认识到,只有给予足够的时间和资源,即便是最安全的系统或网络也会被人攻破。位于 http://www.securityfocus.com/Security Focus 网站提供了有关最近发生的安全破坏和弱点的详细信息。从对公司网站的频繁改头换面,到2002年发生的对 DNS 根名称服务器进行的攻击[1],该网站都有详细描述。

认识到系统破坏的不可避免性的积极面是,它允许安全小组制定一个能够最小化潜在损失的行动计划。利用专业知识和行动计划,安全小组就可以用一种井然有序而又灵敏快捷的态度来在逆境中运筹自如。

事件响应计划自身可以分成四个阶段:

事件响应必须果断,行动必须迅速。多数情况下不容你犯错。通过演习紧急事件并测量响应时间,我们有可能逐渐形成一种培养速度和准确性的方法。快速反应还可能会减小被系统攻击所造成的资源不可用和潜在的损失。

事件响应计划具备一些特殊要求,它们包括:

10.2.1. 计算机紧急情况响应组(CERT)

计算机紧急情况响应组(Computer Emergency Response Team,CERT)的组成人员是能够在灾难性计算机事件发生的时候采取快速行动的在职专家。为 CERT 搜寻具备关键能力的人员非常具有挑战性。合适的人员这一概念不仅仅是指技术上的出类拔萃,它还包括一些后勤性事务,如所在位置、时间的灵活性、以及在发生紧急情况时不顾个人利益而以大局为重的品格;紧急情况可能会随时发生,所有的 CERT 成员都必须愿意接受这种随意性挑战,而且乐此不疲。

典型的 CERT 成员包括系统管理员和网络管理员,以及信息安全部门的成员。系统管理员会提供对系统资源的知识和见解,包括数据备份、可用的备份硬件等等。网络管理员会提供他们在网络协议方面的知识以及动态地重新为网络交通选路的能力。信息安全人员在全面跟踪分析安全问题以及执行对危及系统的事后调查研究方面能够发挥作用。

CERT 人员应该有一定的冗余性,虽然这并不总是很现实。如果某机构在核心部门的人力不够,那么就要尽可能地实施“交叉培训”。注意,如果只有一个人负责数据安全和完好的工作,那么如果这个人不在,整个机构都会茫然无措。

10.2.2. 法律上的考虑

事件响应的一些重要方面与法律问题有关。在制定安全计划的时候应该让处理法律事务的人员参加。就象每个公司都应该有它自己的公司安全法规一样,每个公司都应该有它自己的从法律角度而言的事件处理方法。地方、州省、以及中央司法问题超出了本书的讨论范围,但是本书之所以仍旧提及了它们是因为执行事后调查分析在一定程度上是被法律问题所左右的。法律专家可以作为技术人员在系统破坏,泄漏客户的私人、医疗、或财政记录,以及紧要使命环境如医院、银行的服务恢复上提供法律影响方面的顾问。

[1]

http://www.gcn.com/21_32/web/20404-1.html