第十六章業(yè)務(wù)連續(xù)性管理

/業(yè)務(wù)連續(xù)性管理隨著信息化的發(fā)展、企業(yè)、政府對(duì)信息系統(tǒng)運(yùn)作的穩(wěn)定性和可靠性的要求就越高。

本章首先將從什么是業(yè)務(wù)連續(xù)性計(jì)劃及BCP相關(guān)概念進(jìn)行了介紹；然后介紹了應(yīng)急響應(yīng)概念、如何建立安全應(yīng)急響應(yīng)管理系統(tǒng)和應(yīng)急響應(yīng)流程以及針對(duì)事件的發(fā)生如何處理;最后介紹了災(zāi)難恢復(fù)計(jì)劃相關(guān)概念和所使用的技術(shù)以及災(zāi)難恢復(fù)級(jí)別是如何定義和如何制定災(zāi)難恢復(fù)計(jì)劃.本章內(nèi)容適合參加信息安全高級(jí)管理師認(rèn)證的讀者。概述什么是業(yè)務(wù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃(BusinesｓＣontinｕityPlanｎing，縮寫為BＣP），BCP可被定義為一種先知先覺(jué)的流程，它可以幫助企業(yè)確認(rèn)影響業(yè)務(wù)發(fā)展的關(guān)鍵性因素及其可能面臨的威脅。由此而擬定的一系列計(jì)劃與步驟可以確保企業(yè)無(wú)論處于何種狀況下，這些關(guān)鍵因素的作用都能正常而持續(xù)地發(fā)揮。ＢCP的目標(biāo)是建立一種合理有效的成本控制方案，以平衡由威脅帶來(lái)的可能的業(yè)務(wù)或資產(chǎn)的損失及為保證業(yè)務(wù)連續(xù)性運(yùn)作而進(jìn)行的成本投入.業(yè)務(wù)連續(xù)性對(duì)確保災(zāi)難發(fā)生時(shí)企業(yè)的生存是至關(guān)重要的，不過(guò)與之同等重要的是要保證企業(yè)日常的業(yè)務(wù)運(yùn)行平穩(wěn)有序。業(yè)務(wù)持續(xù)管理即BＣＭ是一種整體管理流程,它能夠確定可能發(fā)生的沖擊及對(duì)企業(yè)運(yùn)作造成的威脅，并提供一個(gè)架構(gòu)來(lái)阻止或有效的抵消這些威脅,以保護(hù)股東的利益、公司的名譽(yù)及品牌。BCP運(yùn)作流程BＣP運(yùn)作共有６個(gè)階段,分別為：１．項(xiàng)目初始化２．風(fēng)險(xiǎn)分析及業(yè)務(wù)影響3．策略及實(shí)施4。BCP開(kāi)發(fā)５.培訓(xùn)計(jì)劃６。測(cè)試及維護(hù)1．項(xiàng)目初始化（1)獲得管理層的支持與投入為了確保該程序能夠成功，高級(jí)管理層必須參與其中。ＢCＰ計(jì)劃必須成為公司的戰(zhàn)略性業(yè)務(wù)計(jì)劃提供獨(dú)立的預(yù)算。（2）建立團(tuán)隊(duì)必須建立一個(gè)團(tuán)隊(duì),人員包括財(cái)務(wù)部,審計(jì)部，信息技術(shù)部，人事部，行政部等等.當(dāng)災(zāi)難開(kāi)始時(shí),這些部門在繼續(xù)扮演他們承擔(dān)的支援角色的同時(shí),也必須實(shí)施重大的機(jī)構(gòu)轉(zhuǎn)變以援助受影響的區(qū)域。法律部、公關(guān)部與投資部在事件發(fā)生后需要向公眾及股東通告公司的運(yùn)作狀況。２.風(fēng)險(xiǎn)分析及業(yè)務(wù)影響分析決定BCP需求的關(guān)鍵驅(qū)動(dòng)力是"企業(yè)能在災(zāi)難中承受多少金額的損失＂？業(yè)務(wù)影響分析的目的是回答以下問(wèn)題:保護(hù)何種資產(chǎn)?（資產(chǎn)識(shí)別與評(píng)估）資產(chǎn)的威脅與脆弱點(diǎn)?(脆弱點(diǎn)和威脅評(píng)估）有沒(méi)有控制措施？控制措施能否預(yù)防或減少潛在的威脅？（評(píng)估控制)投入金額/勞力的多少？(決定）投入資金的效率如何？（通訊和監(jiān)控)當(dāng)進(jìn)行業(yè)務(wù)影響分析時(shí)，應(yīng)考慮以下幾方面:金額的影響：如果不采取相應(yīng)的措施,則組織的經(jīng)濟(jì)損失是多少？客戶的影響：如果發(fā)生業(yè)務(wù)中斷，則組織會(huì)損失多少市場(chǎng)占有率。法律的影響：組織是否遵從法律的要求?內(nèi)部依賴關(guān)系的影響：中斷的業(yè)務(wù)是否會(huì)其他領(lǐng)域的關(guān)鍵業(yè)務(wù)？作為業(yè)務(wù)影響分析的一部分，應(yīng)該評(píng)估業(yè)務(wù)允許中斷的時(shí)間長(zhǎng)短；組織能提供多常時(shí)間的信息；當(dāng)信息重新可用時(shí)，允許損失的信息是多少？這些問(wèn)題可以通過(guò)恢復(fù)時(shí)間目標(biāo)(recoverｙtimeobjeｃｔｉｖe（RTO）)和恢復(fù)點(diǎn)目標(biāo)（ｒecoverypｏinｔｏbjecｔive（RＰO）)來(lái)決定。ＢCＰ需求的另一個(gè)因素是“災(zāi)難實(shí)際發(fā)生的可能性”.此因素由威脅的級(jí)別和組織具有的薄弱點(diǎn)范圍決定，威脅的程度取決于下列因素：有惡意性的破壞，如轟炸、縱火、工業(yè)間諜等.意外事故,如組織的辦公場(chǎng)所、環(huán)境,內(nèi)部系統(tǒng)和處理程序的質(zhì)量。3．業(yè)務(wù)持續(xù)性策略及實(shí)施（1)業(yè)務(wù)持續(xù)性策略業(yè)務(wù)影響分析為制定業(yè)務(wù)持續(xù)性策略提供必要的信息，下來(lái)，根據(jù)提供的信息，可以確定多種滿足組織業(yè)務(wù)持續(xù)管理的方案.必須為各種業(yè)務(wù)持續(xù)方案進(jìn)行成本、效益及風(fēng)險(xiǎn)分析,包括：滿足業(yè)務(wù)持續(xù)目標(biāo)的能力影響的可能性安裝設(shè)備的成本維護(hù)、測(cè)試及調(diào)用設(shè)備的成本中斷對(duì)于技術(shù)、組織、文化和管理的干擾及未采取持續(xù)管理的潛在影響應(yīng)該仔細(xì)考慮采取業(yè)務(wù)持續(xù)方案確實(shí)解決了具體的風(fēng)險(xiǎn)但不會(huì)增加其它風(fēng)險(xiǎn)。通過(guò)風(fēng)險(xiǎn)降低和業(yè)務(wù)持續(xù)方案成本的平衡來(lái)決定業(yè)務(wù)持續(xù)策略以降低風(fēng)險(xiǎn)達(dá)到業(yè)務(wù)持續(xù)的目標(biāo)。(2)實(shí)施設(shè)立組織及準(zhǔn)備實(shí)施計(jì)劃書實(shí)施備份安排實(shí)施降低風(fēng)險(xiǎn)的措施4．BCP開(kāi)發(fā)開(kāi)發(fā)業(yè)務(wù)持續(xù)計(jì)劃之前,確定災(zāi)難發(fā)生的情況下執(zhí)行的行動(dòng)，你需要熟悉每天的操作任務(wù)。這意味這你需要熟悉每一個(gè)業(yè)務(wù)處理過(guò)程的基本文檔。在開(kāi)發(fā)業(yè)務(wù)持續(xù)計(jì)劃之前，須考慮下列措施是否已經(jīng)存在：變更控制流程最終用戶的標(biāo)準(zhǔn)操作流程操作人員的具體需求和特殊外圍設(shè)備需求數(shù)據(jù)流圖表及問(wèn)題管理程序重要記錄磁帶備份/記錄管理日常安排異地存儲(chǔ)開(kāi)發(fā)ＢCP計(jì)劃時(shí),需考慮在計(jì)劃執(zhí)行的七個(gè)階段中為每個(gè)恢復(fù)小組分派任務(wù):評(píng)估與聲明通告應(yīng)急反應(yīng)過(guò)渡期處理?yè)尵戎匦掳仓眉皢?dòng)重新正常運(yùn)做5.培訓(xùn)計(jì)劃一些員工需要的特殊培訓(xùn)如下：有緊急情況時(shí)可應(yīng)用替代的技術(shù)流程當(dāng)自動(dòng)操作系統(tǒng)正在恢復(fù)時(shí)可替代的人工操作流程確保團(tuán)隊(duì)成員達(dá)到推動(dòng)BCP所需能力的技術(shù)培訓(xùn)６．測(cè)試及維護(hù)進(jìn)行演示及有規(guī)律的測(cè)試，增強(qiáng)信心及效率，確保其相關(guān)的文檔時(shí)常更新?？傊?，組織沒(méi)有業(yè)務(wù)持續(xù)計(jì)劃就像是不設(shè)防，不可能阻止任何不可預(yù)測(cè)的破壞所造成的各種損失。所以公司必須認(rèn)真的對(duì)待業(yè)務(wù)持續(xù)計(jì)劃。應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)概述應(yīng)急響應(yīng)背景１988年Morris蠕蟲事件直接導(dǎo)致了CＥRT/CC的誕生。美國(guó)國(guó)防部(DoD)在卡內(nèi)基梅隆大學(xué)的軟件工程研究所成立了計(jì)算機(jī)應(yīng)急響應(yīng)組協(xié)調(diào)中心(CERT／ＣC)以協(xié)調(diào)Iｎteｒnet上的安全事件處理。目前，CERT/CＣ是ＤｏＤ資助下的抗毀性網(wǎng)絡(luò)系統(tǒng)計(jì)劃（ＮetｗoｒkｅｄSｙｓteｍsSurviｖabｉｌｉｔyProｇrａm)的一部分，下設(shè)三個(gè)部門:事件處理、脆弱性處理、計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CSＩRT）。在CＥRT／CC成立之后的14年里,共處理了28萬(wàn)多封Ｅｍaｉl，2萬(wàn)多個(gè)熱線電話,其運(yùn)行模式幫助了8０多個(gè)CSIRＴ組織的建設(shè)?！斑M(jìn)入2１世紀(jì),網(wǎng)絡(luò)技術(shù)的高速發(fā)展，使物理世界中涉及政治、軍事、經(jīng)濟(jì)、文化、外交、安全關(guān)系和利益的全球化、多級(jí)化的復(fù)雜的世界格局，已經(jīng)全面映射到開(kāi)放的互聯(lián)網(wǎng)體系中，由此形成了一個(gè)社會(huì)、技術(shù)一體化的復(fù)雜巨系統(tǒng)！”在首屆“全國(guó)互聯(lián)網(wǎng)應(yīng)急處理研討會(huì)‘２０0４”在這一復(fù)雜巨系統(tǒng)中，國(guó)家公共管理職能開(kāi)始向互聯(lián)網(wǎng)世界全面滲透。就像物理世界面臨著SAＲS、禽流感等病毒時(shí),國(guó)家建立了整套的應(yīng)急體系和處理能力一樣,當(dāng)互聯(lián)網(wǎng)上蠕蟲、病毒、網(wǎng)絡(luò)攻擊日益泛濫時(shí)，同樣需要這樣一個(gè)體系對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行緊急處理，包括事前監(jiān)測(cè)、事中處理和事后的災(zāi)難恢復(fù)。因此,公共互聯(lián)網(wǎng)應(yīng)急體系已經(jīng)成為國(guó)家應(yīng)急體系的一個(gè)重要分支。正因?yàn)閼?yīng)急響應(yīng)的重要戰(zhàn)略地位,2004年1月9日～１０日在北京召開(kāi)的備受信息安全業(yè)界乃至社會(huì)各界關(guān)注的全國(guó)信息安全保障工作會(huì)議上,國(guó)家將強(qiáng)化應(yīng)急體系、提高處理能力作為保障信息安全最重要的基礎(chǔ)任務(wù)之一。2月11日~１3日由信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室(簡(jiǎn)稱ＣNCERT/ＣC)主辦的“全國(guó)互聯(lián)網(wǎng)應(yīng)急處理研討會(huì)‘2004”但是,與物理世界不完全一致的是，面對(duì)全球一體化的互聯(lián)網(wǎng)環(huán)境，國(guó)家公共互聯(lián)網(wǎng)應(yīng)急體系的建立和應(yīng)急處理能力的提高,并不能僅僅依靠政府的力量，而是需要世界各國(guó)相關(guān)組織在技術(shù)、資源、經(jīng)驗(yàn)方面的共同合作，需要政府與企業(yè)、全社會(huì)每個(gè)人的互動(dòng)！在互聯(lián)網(wǎng)這樣一個(gè)復(fù)雜的巨系統(tǒng)中,如何提高應(yīng)急響應(yīng)的處理水平確是擺在我們面前的巨大難題，這也正是次此會(huì)議的初衷——從理論方法學(xué)到實(shí)際運(yùn)作經(jīng)驗(yàn)，探討如何在復(fù)雜巨系統(tǒng)中理清思路，提高應(yīng)急響應(yīng)水平的方法?！伴_(kāi)放的互聯(lián)網(wǎng)符合復(fù)雜巨系統(tǒng)的所有特征,我們要用綜合集成的思維方式，考慮應(yīng)急響應(yīng)的管理方法。"對(duì)許多人而言，公共互聯(lián)網(wǎng)應(yīng)急響應(yīng)的概念并不新鮮，也并不難理解,因?yàn)槲锢硎澜缑鎸?duì)SARS的處理方法已經(jīng)讓人們充分地認(rèn)識(shí)到了應(yīng)急響應(yīng)的必要性和緊急物理隔離的措施和方法。然而,當(dāng)現(xiàn)代社會(huì)越來(lái)越依賴大規(guī)模的網(wǎng)絡(luò)系統(tǒng)時(shí)，按照常規(guī)的方式已經(jīng)不能有效處理網(wǎng)絡(luò)緊急事件了:計(jì)算機(jī)蠕蟲病毒已經(jīng)成功實(shí)現(xiàn)智能化，開(kāi)始主動(dòng)尋找設(shè)備進(jìn)行攻擊；感染速度越來(lái)越快,能在數(shù)小時(shí)內(nèi)傳遍全球；應(yīng)急響應(yīng)卻越來(lái)越慢，網(wǎng)絡(luò)攻擊采取偽造地址方式，難以追蹤到真實(shí)的病毒制造者;而進(jìn)行完全的物理隔離在互聯(lián)互通時(shí)代越來(lái)越行不通……于是，理想與現(xiàn)實(shí)的反差越來(lái)越大!中國(guó)工程院院士何德全認(rèn)為，這是因?yàn)椋ヂ?lián)網(wǎng)世界已經(jīng)構(gòu)成了一個(gè)“復(fù)雜巨系統(tǒng)”!“復(fù)雜巨系統(tǒng)具有四個(gè)重要特征,而開(kāi)放的互聯(lián)網(wǎng)體系完全符合這四個(gè)特征：首先是‘巨’，即子系統(tǒng)數(shù)目巨多，不是千萬(wàn)級(jí)數(shù)量概念，而是數(shù)億級(jí)數(shù)量概念；第二是復(fù)雜，子系統(tǒng)與子系統(tǒng)之間是高度非線性的內(nèi)部關(guān)系結(jié)構(gòu);三是自組織，互聯(lián)網(wǎng)沒(méi)有統(tǒng)一的領(lǐng)導(dǎo),而是依靠統(tǒng)一的協(xié)議進(jìn)行連接;四是開(kāi)放，任何系統(tǒng)只要符合協(xié)議規(guī)范,就可以沒(méi)有任何限制地任意連入全球網(wǎng)絡(luò)系統(tǒng)?！痹谶@種復(fù)雜巨系統(tǒng)中，雖然很多企業(yè)自己提早做了應(yīng)急預(yù)案，但在具體實(shí)施中很難實(shí)現(xiàn)理想的效果。為什么呢？因?yàn)槟壳暗膽?yīng)急管理無(wú)法適應(yīng)復(fù)雜巨系統(tǒng)的要求：首先是缺少知識(shí)層次上的應(yīng)急響應(yīng)的全生命周期管理;其次是做出的應(yīng)急計(jì)劃都是線性、彼此完全分割的，只有任務(wù)的分解而沒(méi)有綜合集成，基本無(wú)法完成有效的應(yīng)急響應(yīng)。預(yù)案不是簡(jiǎn)單做完了就行的，而應(yīng)該隨著過(guò)程、環(huán)境的變化而不斷變化，不應(yīng)該是線性的，而應(yīng)該是非線性的防災(zāi)計(jì)劃。信息安全與應(yīng)急響應(yīng)的關(guān)系對(duì)于一個(gè)單位或組織來(lái)說(shuō)，信息和其他重要的商業(yè)資產(chǎn)一樣都具有價(jià)值,因此要給于適當(dāng)?shù)谋Ｗo(hù)。信息安全保護(hù)信息免受各方面的威脅，以達(dá)到確保商業(yè)連續(xù)性，盡量減小商業(yè)損失并且盡量增加投資回報(bào)率和商業(yè)機(jī)會(huì)的目的.信息能夠以多種形式存在。可以打印或?qū)懺诩埳?以電子形式存儲(chǔ),通過(guò)郵寄或使用電子方式傳播,用影片顯示或口頭轉(zhuǎn)述。無(wú)論信息表現(xiàn)為何種形式，或以何種方式分享或儲(chǔ)存，都應(yīng)該對(duì)其進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。信息安全的特點(diǎn)被總結(jié)成保護(hù)：保密性：確保只有被授權(quán)的人才可以訪問(wèn)信息；完整性:確保信息和信息處理方法的準(zhǔn)確性和完整性;可用性:確保在需要時(shí),被授權(quán)的用戶可以訪問(wèn)信息和相關(guān)的資產(chǎn)。信息安全可以通過(guò)實(shí)行一套控制措施來(lái)實(shí)現(xiàn)?？刂拼胧┏龑?shí)施安全產(chǎn)品外，還要有必要的緊急事件的響應(yīng)和災(zāi)難事件的備份與恢復(fù)機(jī)制，如2０0３年1月25日爆發(fā)的sｑlsｌａmmeｒ蠕蟲事件，組織中如果沒(méi)有很好的應(yīng)急響應(yīng)流程和方法,就會(huì)給組織帶來(lái)很大的損失。如圖1６—1應(yīng)急響應(yīng)屬于風(fēng)險(xiǎn)管理的一部分。圖16-1應(yīng)急響應(yīng)組成在信息安全中，對(duì)于一個(gè)組織來(lái)說(shuō),最重要的就是保持組織的業(yè)務(wù)連續(xù)性，如圖１６-2清晰地說(shuō)明了維持業(yè)務(wù)連續(xù)性要制定的相關(guān)計(jì)劃,其中很重要的內(nèi)容就是事件響應(yīng)計(jì)劃。圖16-2業(yè)務(wù)連續(xù)性計(jì)劃因此，下面的章節(jié)會(huì)討論應(yīng)急響應(yīng)的相關(guān)術(shù)語(yǔ)及如何有效的建立應(yīng)急響應(yīng)小組等,幫助組織建立自己的應(yīng)急小組，以輔助組織實(shí)現(xiàn)自己的安全目標(biāo)。我國(guó)的應(yīng)急響應(yīng)體制現(xiàn)狀紅色代碼事件推動(dòng)了我國(guó)應(yīng)急處理體系的形成,對(duì)跨國(guó)的計(jì)算機(jī)攻擊事件的處理推動(dòng)了國(guó)際應(yīng)急組織的合作,我們已經(jīng)實(shí)現(xiàn)從應(yīng)急組織向應(yīng)急體系的轉(zhuǎn)變。早在SAＲＳ出現(xiàn)之前，早在物理世界的疾病應(yīng)急體系建立之前,信息產(chǎn)業(yè)部就已經(jīng)著手建立公共互聯(lián)網(wǎng)應(yīng)急體系，在組織結(jié)構(gòu)、人員組成、響應(yīng)技術(shù)方面進(jìn)行了綜合投資和考慮.整個(gè)國(guó)家的應(yīng)急體系都在建設(shè)中,不僅包括互聯(lián)網(wǎng)應(yīng)急體系,還包括廣電系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)、煤炭系統(tǒng)等應(yīng)急體系，但信息產(chǎn)業(yè)部走在了前面，公共互聯(lián)網(wǎng)應(yīng)急體系的經(jīng)驗(yàn)值得推廣。據(jù)ＣNCERT／CC主任方濱興介紹,中國(guó)CNＣＥＲT組織自200３年7月正式成立以來(lái)，目前已經(jīng)在全國(guó)各地建立了31個(gè)分中心，授權(quán)10家信息安全產(chǎn)品和服務(wù)供應(yīng)商作為重要的技術(shù)、服務(wù)合作伙伴,除此而外，信息產(chǎn)業(yè)部還要求國(guó)內(nèi)的10家骨干互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)(包括6家電信運(yùn)營(yíng)商和4個(gè)公共信息網(wǎng))成立自己的應(yīng)急響應(yīng)中心（ＣEＲT），這10家互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)與中國(guó)數(shù)千家的ISP、個(gè)人用戶和企業(yè)用戶，成為了CNCＥRT/ＣC的主要聯(lián)系成員,由此形成了一個(gè)立體交錯(cuò)的應(yīng)急體系，形成了信息上下暢通傳遞的通報(bào)制度。這套體系不僅在中國(guó)，在世界也是獨(dú)一無(wú)二的。通過(guò)這套體系,2０03年,在SＱＬ病毒、口令蠕蟲和沖擊波病毒泛濫致使成千上萬(wàn)臺(tái)服務(wù)器遭受重創(chuàng)、435臺(tái)中國(guó)的主機(jī)網(wǎng)頁(yè)遭到篡改、各種DDoS攻擊嚴(yán)重的惡劣的互聯(lián)網(wǎng)環(huán)境下,CＮCERT／CＣ有效及時(shí)地將應(yīng)急方法推廣下去，使這些攻擊得到有效的遏止。此外,互聯(lián)網(wǎng)攻擊全球化的特征，使各個(gè)國(guó)家的CＥＲT組織必須在深層次上展開(kāi)合作，才能形成全球一體化的反應(yīng)體系，在這個(gè)體系中,各國(guó)的CＥRT組織均是其中重要的一個(gè)成員.ＣＮCＥRT/CC也一樣,目前與國(guó)際應(yīng)急響應(yīng)組織建立了廣泛的技術(shù)、交流的合作關(guān)系，并在與國(guó)際交流中，在職責(zé)、組織結(jié)構(gòu)和技術(shù)水平上不斷進(jìn)行完善。在法律規(guī)范上，雖然目前關(guān)于互聯(lián)網(wǎng)應(yīng)急響應(yīng)的國(guó)際公約還不成熟,但是聯(lián)合國(guó)已經(jīng)提出，國(guó)家與國(guó)家之間在互聯(lián)網(wǎng)應(yīng)急上要相互協(xié)作。在技術(shù)手段上，為了實(shí)現(xiàn)應(yīng)急響應(yīng)的監(jiān)測(cè)、響應(yīng)和恢復(fù)三大職責(zé),各個(gè)運(yùn)營(yíng)商，包括中國(guó)移動(dòng)、中國(guó)電信、中國(guó)教育網(wǎng)等，都已積極建立自己的互聯(lián)網(wǎng)監(jiān)測(cè)平臺(tái)，并連入CＮＣERT/CC的監(jiān)測(cè)平臺(tái)上。而國(guó)家對(duì)信息安全監(jiān)測(cè)和預(yù)警技術(shù)也給予了充分的投資，國(guó)家８63項(xiàng)目的9１7監(jiān)測(cè)平臺(tái)正是在國(guó)家層面上建立起的試點(diǎn)性的監(jiān)測(cè)項(xiàng)目,通過(guò)自愿加入的原則吸收成員單位，及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)上的攻擊行為和新的病毒爆發(fā)情況。目前的監(jiān)測(cè)還僅限于流量異常監(jiān)測(cè)、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和新型蠕蟲病毒,但是，在未來(lái)，我們必然會(huì)實(shí)現(xiàn)更加細(xì)粒度的監(jiān)測(cè)和網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。正因?yàn)榛ヂ?lián)網(wǎng)全球化的特征，公共互聯(lián)網(wǎng)的應(yīng)急響應(yīng)才具備國(guó)際化的特征,需要更多的國(guó)際應(yīng)急響應(yīng)組織參與到體系當(dāng)中,共同進(jìn)行技術(shù)的合作、經(jīng)驗(yàn)的交流。應(yīng)急響應(yīng)的國(guó)際組織結(jié)構(gòu)計(jì)算機(jī)應(yīng)急處理的國(guó)際組織慣稱為:CEＲT（計(jì)算機(jī)緊急響應(yīng)小組）,也有的被稱為?CＳIRT（計(jì)算機(jī)安全事件響應(yīng)小組)。在美國(guó)的推動(dòng)下，全世界幾十個(gè)國(guó)家和地區(qū)都成立了CEＲT或類似的組織。1９90年11?月，在美國(guó)、英國(guó)等的發(fā)起下，一些國(guó)家的ＣEＲＴ組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安?全工作組論壇”，簡(jiǎn)稱ＦＩＲSＴ。它的基本目的是使各成員能就安全漏洞、安全技術(shù)、安?全管理等方面進(jìn)行交流與合作,以實(shí)行國(guó)際間的信息共享、技術(shù)共享，最終達(dá)到聯(lián)合防

范計(jì)算機(jī)網(wǎng)絡(luò)上攻擊的目標(biāo)。截止到目前，全球有30個(gè)國(guó)家和地區(qū)的CERT組織加入到了FIRＳT組織中。2002年3月CNCERT/CC與澳大利亞的AusCEＲＴ就亞太地區(qū)各應(yīng)急處理組織之間如何協(xié)作處理安全事件進(jìn)行了討論，并合作草擬了建立亞太地區(qū)應(yīng)急處理工作組(APCERT)的提議,提交亞太地區(qū)安全事件響應(yīng)協(xié)調(diào)會(huì)議討論，形成了成立APCEＲT組織的聲明(征求意見(jiàn)稿）,并決定成立工作組來(lái)負(fù)責(zé)對(duì)該聲明進(jìn)行修訂.CNＣＥRＴ／CC的代表劉欣然博士作為工作組成員參與了該聲明的后續(xù)修訂工作。２00３年3月２４～25日，在中國(guó)臺(tái)北召開(kāi)的APSIＲＣ2０03會(huì)議上，AＰＣEＲＴ聲明獲得了所有成員的一致通過(guò),正式宣告亞太地區(qū)應(yīng)急響應(yīng)工作組ＡＰCＥRT的成立。各參會(huì)代表投票選舉了APCERＴ指導(dǎo)委員會(huì)的成員單位,CNＣERT/ＣC與澳大利亞的AusＣERT、日本的?JPCERT/ＣC、韓國(guó)的ＫrCERＴ/CＣ、中國(guó)香港的ＨＫCERT、新加坡的SｉngCＥRT、馬來(lái)西亞的MyCERT入選,負(fù)責(zé)APCＥRT日常工作。在美國(guó)的推動(dòng)下，全世界幾十個(gè)國(guó)家和地區(qū)都成立了CEＲＴ或類似的組織.１99０年11月,在美國(guó)、英國(guó)等的發(fā)起下，一些國(guó)家的CＥRT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安全工作組論壇”，簡(jiǎn)稱ＦIRＳＴ。亞太地區(qū)應(yīng)急響應(yīng)工作組稱為APCＥRＴ，作為APCERＴ的指導(dǎo)委員會(huì)成員單位，澳大利亞、日本、韓國(guó)和中國(guó)香港的CERＴ組織代表參加了這次會(huì)議，他們?cè)趹?yīng)急體系的建設(shè)、應(yīng)急方法的采用、職責(zé)和功能上雖然有著高度的一致，但地區(qū)特色依然濃厚，存在很大的地區(qū)差異。但由于應(yīng)急響應(yīng)全球合作的特征，這些CERT組織間進(jìn)行有效的溝通和經(jīng)驗(yàn)交流，將對(duì)全球一體化地反擊公共互聯(lián)網(wǎng)威脅起到巨大的作用。從組織結(jié)構(gòu)來(lái)說(shuō),這些CERT組織無(wú)一例外是由該國(guó)家或地區(qū)的政府倡導(dǎo)成立,大部分ＣEＲT組織的經(jīng)費(fèi)來(lái)源于政府，也有一些經(jīng)費(fèi)來(lái)自于信息安全培訓(xùn)和成員的贊助，他們一般的任務(wù)在于進(jìn)行互聯(lián)網(wǎng)上的異常監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)異常流量并進(jìn)行早期的預(yù)警，協(xié)調(diào)事件的處理，通過(guò)公告和信息論壇的形式進(jìn)行信息安全普及教育.某些國(guó)家還開(kāi)展了內(nèi)容監(jiān)測(cè),并通過(guò)政府、ＩＳP、公眾、CＥRＴ組織共同參與的方式對(duì)緊急事件進(jìn)行響應(yīng)。澳大利亞的ＣERT組織(AuｓCERT)在澳洲重要基礎(chǔ)設(shè)施的保護(hù)中發(fā)揮著重要作用，AusCERT的MａrｋＭcPｈersoｎ先生認(rèn)為，應(yīng)急技術(shù)是CERT組織最重要的內(nèi)容，只有讓成員單位相信通過(guò)自己的技術(shù)能得到真實(shí)的好處，能在“黃金時(shí)間”內(nèi)得到有效的預(yù)警信息,提前預(yù)防，才能使CＥRT真正發(fā)揮作用.目前，AusCＥRT的經(jīng)費(fèi)來(lái)自三方面：政府、成員單位和信息安全普及培訓(xùn).中國(guó)香港地區(qū)的ＣＥＲＴ組織(HKCＥＲT／CC)由香港生產(chǎn)力促進(jìn)局運(yùn)作,其主要職責(zé)則在于協(xié)調(diào)處理和預(yù)防以中小企業(yè)為目標(biāo)的網(wǎng)絡(luò)攻擊。工作重點(diǎn)在于協(xié)調(diào),而不是研發(fā)。ＨKCEＲT的梁兆昌介紹，對(duì)應(yīng)急事件的協(xié)調(diào)可能比應(yīng)急事件本身更重要，因?yàn)?，協(xié)調(diào)是為了保證當(dāng)事件到來(lái)時(shí)能有效地溝通，確保事件的統(tǒng)一化處理。因此,ＨKCERT與各國(guó)的CＥRT組織保持著密切的溝通，通過(guò)研討會(huì)、論壇以及應(yīng)急事件描述與交換形式(IODEF）工作組的交流，及時(shí)對(duì)各類攻擊進(jìn)行預(yù)警。日本的ＣERT組織(JPCＥＲT/CC）除了上述一些職責(zé)外，還增加了信息安全技術(shù)普及和信息安全趨勢(shì)分析職能。JPCＥRT的ＹｕｒieItｏ女士介紹，ＪPCERT非常重視信息安全技術(shù)，目前，來(lái)自不同的ＩSＰ和廠商的30名信息安全專家是該組織的專業(yè)顧問(wèn)。此外，JPＣEＲＴ還建立了一個(gè)互聯(lián)網(wǎng)掃描數(shù)據(jù)獲得系統(tǒng)（ISDAS）,該系統(tǒng)已將幾十個(gè)探針直接安裝在自愿加入該系統(tǒng)的用戶端,隨時(shí)監(jiān)測(cè)互聯(lián)網(wǎng)上的流量和內(nèi)容異常,以便第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊。而韓國(guó)的ＣERＴ組織（KrCEＲＴ/ＣC）則在現(xiàn)有的基礎(chǔ)職責(zé)基礎(chǔ)之上，正在努力開(kāi)拓一些新領(lǐng)域的應(yīng)急響應(yīng),KrCERT的JuｎguKａng先生介紹,目前KｒCERT正在開(kāi)發(fā)對(duì)病毒自動(dòng)進(jìn)行分類、統(tǒng)計(jì)的系統(tǒng);開(kāi)發(fā)在P2P和無(wú)線網(wǎng)絡(luò)領(lǐng)域里發(fā)展應(yīng)急響應(yīng)技術(shù)以及開(kāi)發(fā)針對(duì)攻擊的早期預(yù)警系統(tǒng)。在公共互聯(lián)網(wǎng)的應(yīng)急響應(yīng)方面，各個(gè)國(guó)家的CＥRT組織的職責(zé)、任務(wù)、甚至包括體系結(jié)構(gòu)并不完全一致，國(guó)際上也并沒(méi)有要求必須進(jìn)行完全的統(tǒng)一.但是，這些CＥＲT組織共同的目標(biāo)是通過(guò)發(fā)展信息安全應(yīng)急技術(shù),對(duì)互聯(lián)網(wǎng)攻擊進(jìn)行有效預(yù)警.此外，各國(guó)CERＴ一個(gè)共同的作法是密切保持國(guó)際組織間的合作，保持對(duì)攻擊信息的有效溝通，為此，正在發(fā)展中的緊急事件描述與交換形式（ＩＯDEＦ）就成為一項(xiàng)重要的內(nèi)容，雖然目前它尚未成為正式的標(biāo)準(zhǔn),但顯然,包括日本、韓國(guó)在內(nèi)的一些國(guó)家的ＣＥRT組織正在采用它，由于信息溝通在應(yīng)急響應(yīng)中的作用日益重要，IＯDEF的價(jià)值就日益突出。但是，遺憾的是IＯDＥＦ目前不適用于中文，這對(duì)CＮＣERＴ/CＣ與國(guó)際交流將產(chǎn)生不利的影響，相信不久之后這種情況會(huì)得到改觀.為了緊急應(yīng)對(duì)公共互聯(lián)網(wǎng)安全事件，各國(guó)的政府、運(yùn)營(yíng)商、企業(yè)、個(gè)人開(kāi)始了全球總動(dòng)員!2０03年2月,信息產(chǎn)業(yè)部批準(zhǔn)將199９年成立的“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室"更名為“信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室”。2003年7月14日，中編辦正式批復(fù)成立了國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,這是計(jì)算機(jī)應(yīng)急響應(yīng)的處理中心，簡(jiǎn)稱CNCERT／ＣC。國(guó)內(nèi)外現(xiàn)有安全事件應(yīng)急響應(yīng)組織大概可以分5類:1．第一類是網(wǎng)絡(luò)服務(wù)提供商的ＩRT組織，如CERＮET的CCＥRT，主要為CＥRNＥＴ的接入用戶提供增值的服務(wù)；2。第二類為企業(yè)或政府組織的ＩRT組織，如美國(guó)聯(lián)邦的FedＣIRC、美國(guó)銀行的BACＩRT（ＢankofAmeｒicaCIRT)等；3。第三類是廠商IRT，如Sｕｎ、Cisco等公司的響應(yīng)組，主要為本公司產(chǎn)品的安全問(wèn)題提供響應(yīng)和支持；４.第四類為商業(yè)化的ＩRT，面向全社會(huì)提供商業(yè)化的安全救援服務(wù)；５。第五類是一些國(guó)內(nèi)或國(guó)際間的協(xié)調(diào)組織如FＩＲST、ＣN-CERＴ/CＣ等。有些IRＴ既是協(xié)調(diào)組織,同時(shí)又提供服務(wù)，如CERT/CC.IRT組織不僅僅坐等安全事件發(fā)生以后才去補(bǔ)救，未雨綢繆、防患于未然也是IRＴ組織的重要服務(wù)內(nèi)容。所以，一般還提供安全公告、安全咨詢、風(fēng)險(xiǎn)評(píng)估、入侵檢測(cè)、安全技術(shù)的教育與培訓(xùn)、入侵追蹤等多種服務(wù)。就應(yīng)急響應(yīng)服務(wù)本身而言，由于它具有以下特點(diǎn)使得這一服務(wù)非常困難：（1)技術(shù)的復(fù)雜性與專業(yè)性;(２）知識(shí)和經(jīng)驗(yàn)的依賴性；（3）事件的突發(fā)性強(qiáng)；(4)需要廣泛的協(xié)調(diào)與合作.應(yīng)急響應(yīng)相關(guān)術(shù)語(yǔ)事件響應(yīng)：對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個(gè)生命周期包括:對(duì)策、檢測(cè)和響應(yīng),網(wǎng)絡(luò)安全的發(fā)展日新月異,誰(shuí)也無(wú)法實(shí)現(xiàn)一勞永逸的安全服務(wù)。應(yīng)急響應(yīng)計(jì)劃：被設(shè)計(jì)用于在緊急情況、系統(tǒng)故障或?yàn)?zāi)難事件中在備用站點(diǎn)維持和恢復(fù)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行的策略和規(guī)程.下圖1６—３是應(yīng)急響應(yīng)計(jì)劃過(guò)程圖。圖1６—３應(yīng)急響應(yīng)計(jì)劃過(guò)程應(yīng)急響應(yīng)服務(wù)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性,阻止和減小安全事件帶來(lái)的影響。安全應(yīng)急響應(yīng)管理系統(tǒng)的建立應(yīng)急響應(yīng)目標(biāo)隨著IＴ技術(shù)越來(lái)越多地應(yīng)用到機(jī)構(gòu)或公司的業(yè)務(wù)中,IT系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵。因而ＩＴ安全管理的主要功能就是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可能被許多不同的事件觸發(fā)并破壞單個(gè)ＩＴ系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性、完整性、數(shù)據(jù)的保密性。IT安全管理系統(tǒng)要特別注重響應(yīng)、處理安全事件，因?yàn)榘踩录赡軒?lái)重大破壞.那些引發(fā)或可能引發(fā)本地小范圍破壞的安全問(wèn)題應(yīng)該就地解決,以避免加重IＴ安全管理系統(tǒng)的負(fù)擔(dān)。安全事件的處理最終是由ＩT安全管理系統(tǒng)負(fù)責(zé)，并且是以保證以下各項(xiàng)為目標(biāo)的：(1)響應(yīng)能力,確保安全事件和安全問(wèn)題能被及時(shí)地發(fā)現(xiàn)并報(bào)告給適當(dāng)?shù)呢?fù)責(zé)人;（2)決斷能力,判斷是否是本地安全問(wèn)題抑或構(gòu)成一個(gè)安全事件;（３）行動(dòng)能力，在發(fā)生安全事件時(shí)基于一個(gè)很短的提示就能采取必要的措施；（4)減少損失，立即通知企業(yè)內(nèi)其它可能受影響的部門；（５）效率,實(shí)踐和監(jiān)控處理安全事件的能力.為實(shí)現(xiàn)這些目標(biāo),必須建立一個(gè)管理系統(tǒng)來(lái)處理安全事件。這時(shí)管理層有必要參與進(jìn)來(lái)并最終讓管理系統(tǒng)發(fā)揮作用,以提高對(duì)IT安全問(wèn)題的認(rèn)識(shí),合理分配決定權(quán)，更好地支持安全目標(biāo)。下面描述的步驟為如何建立一個(gè)管理系統(tǒng)來(lái)處理安全事件提供了一個(gè)建議1.步驟1安全指南內(nèi)容對(duì)安全事件的處理是IＴ安全管理的一個(gè)方面，因此應(yīng)該被列入安全指南及機(jī)構(gòu)或公司的安全策略中。這些文件必須包括用戶和受害單位報(bào)告給安全負(fù)責(zé)人的安全事件及安全問(wèn)題。除此之外,還必須有對(duì)決斷過(guò)程的描述并按照規(guī)定的過(guò)程動(dòng)員員工。同時(shí),安全指南內(nèi)容也是管理層支持ＩT安全的一個(gè)證明。2.步驟2職責(zé)規(guī)范本步驟中必須規(guī)定在安全事件發(fā)生時(shí)誰(shuí)應(yīng)該承擔(dān)什么責(zé)任。比如,下面各工作組可能有這些職責(zé):（1）ＩＴ用戶:報(bào)告安全問(wèn)題和安全事件。（2）ＩT管理員：接收?qǐng)?bào)告、采取初步行動(dòng),根據(jù)得到的報(bào)告判斷是一個(gè)安全問(wèn)題還是一個(gè)安全事件，并將它提交高層。(３)負(fù)責(zé)IＴ應(yīng)用人員:參與決策過(guò)程,根據(jù)自己對(duì)IT應(yīng)用要求的保護(hù)程度評(píng)估選擇措施。(4)IT安全員或IＴ安全管理層：接收?qǐng)?bào)告，判斷是安全問(wèn)題抑或安全事件，并采取必要步驟.（５)安全事件隊(duì)伍:由ＩＴ管理員,ＩT用戶,ＩT安全員以及公關(guān)人員和可能的管理層。處理安全事件.（6）ＩT安全審計(jì)員:復(fù)查管理系統(tǒng)并評(píng)估安全事件。(7)管理層：做最后決定。這些職責(zé)必須被定義好并被有效實(shí)施。3。步驟3:處理安全事件的過(guò)程規(guī)則和報(bào)告渠道為有效地處理安全事件,讓那些受到安全事件影響的部門以正確而穩(wěn)健的方式來(lái)做出反應(yīng)是很關(guān)鍵的,并且要立即將事件報(bào)告。因此必須定義必要的過(guò)程規(guī)則(包括保持鎮(zhèn)定、報(bào)告責(zé)任、提供到場(chǎng)環(huán)境信息的義務(wù)等），并據(jù)此培訓(xùn)ＩT用戶，其中要特別注意確定好那些ＩＴ安全問(wèn)題或事件的報(bào)告對(duì)象。在發(fā)生安全事件時(shí)，那些準(zhǔn)備采取的行動(dòng)指示（比如,出現(xiàn)計(jì)算機(jī)病毒，內(nèi)部人員操作數(shù)據(jù)，外部黑客試圖入侵等）可以提前起草好.一旦發(fā)生緊急情況，人們能夠迅速地反應(yīng)以減少損失。由于這些準(zhǔn)備工作并不是毫無(wú)作用的,因此應(yīng)該將其納入那些可能制定計(jì)劃的相關(guān)部門的工作中.4。步驟４：安全事件的報(bào)告提交策略根據(jù)安全事件的處理規(guī)則，安全事件越關(guān)鍵，需要的授權(quán)就越大。極端情形下，這意味著必須要及早報(bào)告給管理層，并使其參與其中以采取必要的措施，比如:禁止泄漏任何信息、報(bào)警、采用另一種可實(shí)現(xiàn)的替代辦法(可能成本較高）等。無(wú)論采用哪種方法，都要求提前制定好提交策略,并制定在何種情況下要咨詢何人的規(guī)定。5.步驟5：設(shè)置優(yōu)先級(jí)安全事件的產(chǎn)生，一般是各種不同的原因綜合在一起達(dá)到一定程度時(shí)發(fā)生的結(jié)果，安全事件產(chǎn)生的后果則會(huì)影響到不同的IT應(yīng)用領(lǐng)域,所以針對(duì)其采取的各種措施也應(yīng)該根據(jù)應(yīng)用領(lǐng)域的不同設(shè)置不同的優(yōu)先級(jí)。這種優(yōu)先級(jí)的設(shè)定取決于系統(tǒng)保護(hù)需求、IT應(yīng)用范圍以及機(jī)構(gòu)或公司對(duì)應(yīng)用系統(tǒng)的依賴性。因此正如確定保護(hù)需求一樣,要求提前制定好優(yōu)先級(jí)表，根據(jù)安全事件導(dǎo)致的災(zāi)難后果順序采取相應(yīng)的應(yīng)急措施。6。步驟６：調(diào)查和評(píng)估安全事件的方法一旦收到與安全相關(guān)的非?，F(xiàn)象報(bào)告，必須一開(kāi)始就判斷它是被看作本地安全問(wèn)題還是會(huì)構(gòu)成一個(gè)潛在的損失更大的安全事件。在做判斷之前，有很多因素需要被確定和評(píng)估（潛在的和持續(xù)的損失程度、原因、哪個(gè)IT系統(tǒng)受到影響、要采取什么樣的即時(shí)措施等）。如果有必要，應(yīng)象提交策略中的規(guī)定那樣,咨詢上一級(jí)管理層。7．步驟7：針對(duì)安全事件采取補(bǔ)救措施當(dāng)采取必要的安全補(bǔ)救措施時(shí)，必須牢牢記住這些措施的實(shí)施往往有時(shí)間限制。因此，措施本身也可能引發(fā)新問(wèn)題。將采取的措施用適當(dāng)?shù)姆绞酱鏅n是很重要的.進(jìn)一步說(shuō)，假定時(shí)間是人為確定的，還應(yīng)當(dāng)考慮如何處理這些人為因素。在某些情形下，可能要暗示當(dāng)事人。8．步驟８:通知受影響各方如果安全事件沖擊的對(duì)象不僅僅限于機(jī)構(gòu)、公司和企業(yè)內(nèi)部個(gè)人，為控制損失,所有受影響的企業(yè)內(nèi)部各部門和外部機(jī)構(gòu)都應(yīng)該被通知到。為提高通知速度，應(yīng)提早建立溝通渠道和執(zhí)行相關(guān)性分析.9．步驟９：安全事件的評(píng)估為從發(fā)生的安全事件中汲取教訓(xùn),應(yīng)當(dāng)規(guī)定評(píng)估安全事件處理過(guò)程的規(guī)則。這樣可以對(duì)改進(jìn)安全事件的處理效果或?qū)T安全概念有效性的理解做出結(jié)論.這里需要考慮以下幾個(gè)方面：(1）響應(yīng)時(shí)間；（２)對(duì)報(bào)告渠道的了解程度；(3）提交策略的有效性;（4）調(diào)查的有效性;（5）通知受影響各方的辦法。10．步驟10:安全事件發(fā)現(xiàn)措施的使用安全事件越早發(fā)現(xiàn)和報(bào)告，采取的對(duì)策就越有效。應(yīng)該采用所有可以得到的自動(dòng)發(fā)現(xiàn)方法以減少因?yàn)橐蕾嚾硕鴰?lái)的響應(yīng)延遲。反病毒程序和日志/入侵探測(cè)分析系統(tǒng)就是這類方法的兩個(gè)實(shí)例。11。步驟１1:有效性測(cè)試為了衡量一個(gè)安全事件處理管理系統(tǒng)的有效性,并且加強(qiáng)對(duì)這些管理任務(wù)的必需演練，應(yīng)該進(jìn)行一些演習(xí)和假想訓(xùn)練.由于這可能會(huì)需要大量的人力資源、干擾正常工作，因而必須限制在重點(diǎn)區(qū)域內(nèi)進(jìn)行。應(yīng)該在安全事件處理資料中保留上述步驟執(zhí)行的結(jié)果。對(duì)這些結(jié)果還應(yīng)當(dāng)定期更新，并以合適的方式通知各利害方。其余方面的控制:(1)是否對(duì)所有不同類型的安全事件制定好相應(yīng)的處理過(guò)程和規(guī)則?(2)制定的過(guò)程規(guī)則和上報(bào)渠道是否以文本形式加以說(shuō)明？(3）員工都知道這些嗎?應(yīng)急響應(yīng)策略1.策略制定計(jì)算機(jī)和信息安全開(kāi)始于策略，結(jié)束于策略。信息安全策略是計(jì)算機(jī)和信息安全必需要素的最高層次的闡述,它包括建立安全保障需要的最基本的要求和必要的基礎(chǔ)設(shè)施。策略里通常告訴用戶（可能是系統(tǒng)管理員）該做什么和不該做什么，并且明確了被發(fā)現(xiàn)沒(méi)有遵守該規(guī)定應(yīng)受到的懲罰。好的策略通常會(huì)表明組織對(duì)安全的態(tài)度—組織是否愿意冒著較小的安全風(fēng)險(xiǎn)讓用戶有較大的訪問(wèn)自由，或者是寧愿寧愿用戶使用不方便，甚至喪失某些功能和性能也要保障較高安全，或者居于二者之間。策略是成功的計(jì)算機(jī)和信息安全工作中的一個(gè)重要部分,沒(méi)有明確的要求通常會(huì)帶來(lái)厄運(yùn).以下幾類比較重要的事件響應(yīng)要求應(yīng)當(dāng)包含在信息安全策略里:批準(zhǔn)建立事件響應(yīng)機(jī)制（表明這是組織要求的功能)事件響應(yīng)的任務(wù)或者目的，以及范圍（如果需要）給事件響應(yīng)的授權(quán)。對(duì)事件響應(yīng)的限制(在對(duì)事件響應(yīng)的過(guò)程中什么是允許的，什么是不允許的)與法律部門的關(guān)系（是否應(yīng)當(dāng)讓法律執(zhí)行部門介入，如果是,在什么時(shí)候)只是簡(jiǎn)單地寫一個(gè)規(guī)定當(dāng)然并不能起多大作用，但事實(shí)上卻是治療“遺忘規(guī)定”的良方,爭(zhēng)取受影響的人的支持對(duì)掃除障礙很有必要。特別是要得到高層管理人員的批準(zhǔn)。如果沒(méi)有高層管理人員的支持，策略注定要失敗。讓一個(gè)規(guī)定起作用的一個(gè)最好的策略是讓受到影響的人看到來(lái)自高層管理人員的支持。2．策略更新有一個(gè)策略條文很重要，但除去那些已經(jīng)過(guò)時(shí)了的策略。因此定期檢討一個(gè)組織的信息安全策略，特別是(在當(dāng)前情況下)與事件響應(yīng)相關(guān)的策略就很重要了。如果需要修改,就應(yīng)當(dāng)進(jìn)行相應(yīng)的改動(dòng)。新的事件類型不斷出現(xiàn),就要求對(duì)與事件響應(yīng)有關(guān)的規(guī)定進(jìn)行修補(bǔ);有的事件響應(yīng)的努力并不成功,就要求對(duì)情況進(jìn)行分析，看某些要求是否合適。3。事件的分類及處理優(yōu)先級(jí)并不是每個(gè)安全事件都是被優(yōu)先考慮的。一個(gè)小型病毒的發(fā)作只需要對(duì)幾臺(tái)PC機(jī)進(jìn)行殺毒就可以了，這與能蔓延至整個(gè)公司電子郵件服務(wù)器的大型病毒完全不同。一些針對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行掃描及阻塞服務(wù)器的“小型腳本語(yǔ)言”對(duì)服務(wù)器的影響，無(wú)法與一個(gè)DOS?攻擊對(duì)該系統(tǒng)產(chǎn)生的影響相比.要想制定一個(gè)能適用于所有情況的優(yōu)先權(quán)及嚴(yán)重程度的標(biāo)準(zhǔn)是不可能的。一個(gè)安全事件的相對(duì)重要性是依據(jù)其對(duì)工作平臺(tái)及操作系統(tǒng)的影響再加上其在商業(yè)上產(chǎn)生的影響而決定的。從理論上講，由于使服務(wù)器與外網(wǎng)的斷開(kāi)所造成的損失可能會(huì)比病毒造成的損害更大。作為危險(xiǎn)因素分析的一部分，公司應(yīng)對(duì)他們的信息資源及相對(duì)有價(jià)值的資源有所認(rèn)識(shí)。這是進(jìn)行優(yōu)先權(quán)分析的第一步.高價(jià)值的資源應(yīng)被分配到高優(yōu)先權(quán)范圍.安全事件的嚴(yán)重程度及范圍都應(yīng)與處理方法相適應(yīng).只影響一臺(tái)PＣ機(jī)的病毒與影響整個(gè)機(jī)構(gòu)所有機(jī)器的病毒完全不同的。很少擴(kuò)散的病毒危險(xiǎn)性小于以隨機(jī)地址擴(kuò)散而損壞數(shù)據(jù)庫(kù)或電子郵件的病毒。例如，機(jī)構(gòu)可以定義如下四個(gè)級(jí)別的嚴(yán)重程度。第一級(jí)別為單一地點(diǎn)（物理上的或非物理上的）及相對(duì)沖擊較小的事件。這種情況包括小型病毒安全事件,它不會(huì)對(duì)數(shù)據(jù)庫(kù)造成損壞以及對(duì)當(dāng)?shù)匚募?wù)器上帳戶的非授權(quán)操作。第二級(jí)別為對(duì)運(yùn)行造成嚴(yán)重?fù)p害的單一地方安全事件。例如,個(gè)人帳戶受到攻擊,或是關(guān)鍵設(shè)備被盜。第三級(jí)別為影響兩個(gè)或兩個(gè)以上地點(diǎn)的安全事件(同樣,定義包括物理上的及邏輯上的地點(diǎn)），但其只造成較小沖擊。例如，網(wǎng)絡(luò)或電子郵件系統(tǒng)上的無(wú)損害病毒的擴(kuò)散。第四級(jí)別為對(duì)多地點(diǎn)造成巨大損害的安全事件.這需要進(jìn)行強(qiáng)制處理并定位于高優(yōu)先權(quán)狀態(tài).例如:對(duì)重要的全球申請(qǐng)系統(tǒng)的非法入侵。其他的模式可根據(jù)其他機(jī)構(gòu)的具體情況進(jìn)行調(diào)整。例如，物理安全部門可以把物理上的資源作為優(yōu)先考慮的對(duì)象，并按它們的價(jià)值進(jìn)行調(diào)整。他們也可以按嚴(yán)重程度進(jìn)行分類,并可以同信息資源相匹配.如果公司有一個(gè)恢復(fù)商業(yè)運(yùn)作或?yàn)?zāi)難恢復(fù)的計(jì)劃，他們可以以恢復(fù)作為目的來(lái)進(jìn)行優(yōu)先權(quán)的分配.一個(gè)已投入使用并為管理者所接受的模式，遠(yuǎn)比一個(gè)新模式的作用效果要好得多。很明顯，對(duì)一次安全事件所帶來(lái)的后果進(jìn)行完全量化是不可能的。在前面的例子中,牽連到網(wǎng)絡(luò)服務(wù)器的安全事件，其嚴(yán)重程度可以歸為第二級(jí)別，但對(duì)商業(yè)性的企業(yè)來(lái)說(shuō),其潛在沖擊可使其具有更高優(yōu)先權(quán)。當(dāng)需要對(duì)多個(gè)安全事件進(jìn)行響應(yīng)時(shí)，以一種模式作為依據(jù)可以幫助事件響應(yīng)組對(duì)優(yōu)先資源進(jìn)行更好的工作計(jì)劃和安排。應(yīng)急響應(yīng)責(zé)任當(dāng)制定應(yīng)急響應(yīng)責(zé)任的詳細(xì)規(guī)定時(shí)，應(yīng)該假設(shè)安全事件發(fā)生時(shí)的活動(dòng)順序。涉及到的工作組和個(gè)人的任務(wù)及職責(zé)也應(yīng)該被確定下來(lái),并制定好適當(dāng)?shù)膹?qiáng)制執(zhí)行措施。下面的例子針對(duì)一些典型的受影響群體,給出一些做法。1．IT用戶任務(wù)：一旦覺(jué)察與安全相關(guān)的異常事件時(shí)，他們必須遵守適當(dāng)?shù)倪^(guò)程規(guī)則并報(bào)告這些異常事件。職責(zé):IＴ用戶必須決定在當(dāng)時(shí)的情況下采用何種合適的報(bào)告渠道。義務(wù)/指導(dǎo)：每一位ＩT用戶都有義務(wù)按照本單位的安全指南來(lái)報(bào)告任何與安全相關(guān)的異常事件。此外，所有的用戶都應(yīng)該得到一份書面的指令性文件，用以指導(dǎo)他當(dāng)發(fā)生異常事件時(shí)應(yīng)該采取的行動(dòng),以及應(yīng)該向誰(shuí)匯報(bào)等事項(xiàng)。2.IT安全管理員：任務(wù)：接收與其負(fù)責(zé)的IＴ系統(tǒng)有關(guān)的異常事件報(bào)告。報(bào)告決定是立即采取行動(dòng)，還是按照提交策略向上一級(jí)報(bào)告。責(zé)任:一個(gè)ＩT管理員必須能夠確定是否真的產(chǎn)生了安全問(wèn)題，他是否可以獨(dú)立解決,是否需要根據(jù)提交計(jì)劃立即咨詢其他人，以及他應(yīng)該通知誰(shuí)等。義務(wù)／指導(dǎo):應(yīng)該在職位描述及安全事件處理策略中指定.3。IT安全員/IT安全管理層任務(wù)：IＴ安全員接收安全事件報(bào)告.負(fù)責(zé)調(diào)查和評(píng)估安全事件,并在其職責(zé)范圍內(nèi)選用適當(dāng)措施進(jìn)行處理。如果有必要,他負(fù)責(zé)組建安全事件處理小組或?qū)?wèn)題提交給上級(jí)管理層。職責(zé):被授權(quán)對(duì)安全事件進(jìn)行評(píng)估，并可將事件提交給高級(jí)管理層.除此之外,他可以在授權(quán)范圍內(nèi)利用財(cái)務(wù)和人力資源獨(dú)立處理安全事件。義務(wù)/指導(dǎo)：根據(jù)IT安全管理層制定的“安全事件處理策略”,所有的ＩＴ安全員都承擔(dān)其處理安全事件的任務(wù)和職責(zé)。４.IT安全審計(jì)員任務(wù)：IT安全審計(jì)員必須定期檢查安全事件管理系統(tǒng)的有效性,并參與評(píng)估安全事件。職責(zé)：在管理層同意下，啟動(dòng)和實(shí)施預(yù)定義的檢查。義務(wù)/指導(dǎo)：見(jiàn)工作職責(zé)描述和“安全事件處理策略”規(guī)定。5。公共關(guān)系/信息發(fā)布部門任務(wù):在發(fā)生嚴(yán)重安全事件的地方,除了信息發(fā)布部門之外，其他任何部門和個(gè)人都不能對(duì)公眾泄漏任何信息。這樣做的目的并不是為了掩蓋事件或者降低事件的嚴(yán)重程度，而是要以目標(biāo)化的方式解決問(wèn)題,避免相互矛盾的信息給企業(yè)帶來(lái)的形象損害.職責(zé)：信息發(fā)布部門必須和專家一起準(zhǔn)備與安全事件相關(guān)的信息，在發(fā)布之前必須得到高級(jí)管理層的同意.義務(wù)/指導(dǎo)：見(jiàn)工作職責(zé)描述和“安全事件處理策略”規(guī)定.6．代理/公司管理層任務(wù):嚴(yán)重安全事件發(fā)生時(shí),應(yīng)該通知管理層。如果有必要,管理層要作出決定.職責(zé)：負(fù)總體責(zé)任,并對(duì)上述各工作小組負(fù)責(zé).除此之外，當(dāng)懷疑有犯罪活動(dòng)時(shí)他們可以報(bào)警，起訴罪犯.義務(wù)/指導(dǎo)：管理層必須批準(zhǔn)“安全事件處理策略”和基于策略的安全應(yīng)急計(jì)劃,作為計(jì)劃的一部分,各管理層應(yīng)明確其在安全事件處理中的角色.７。安全事件小組除了上述工作小組之外,當(dāng)有困難或發(fā)生嚴(yán)重的安全事件時(shí)，必須在有限的時(shí)間里組織安全事件應(yīng)急小組來(lái)處理安全事件。這一般由IT安全員負(fù)責(zé)實(shí)施。即使安全事件應(yīng)急小組只是為滿足特殊的安全事件需要而設(shè)置的,但為保證盡可能快地響應(yīng)安全事件，其成員必須被提前安排并被告知分配的任務(wù).安全事件應(yīng)急小組的成員應(yīng)該被授權(quán)在其職責(zé)范圍內(nèi)完成其相應(yīng)的任務(wù).整個(gè)過(guò)程一定要有書面的詳細(xì)規(guī)定，并經(jīng)管理層授權(quán)。特別要注意的是：必須指定小組的負(fù)責(zé)人.根據(jù)安全事件的類型,安全事件應(yīng)急小組的成員應(yīng)包括以下各部門的成員:(1）機(jī)構(gòu)/公司管理層;（2)IT安全管理層/IＴ安全員；（3）IT部門的領(lǐng)導(dǎo)；（4）信息發(fā)布部門；(５）數(shù)據(jù)保密員;(6）法律顧問(wèn)；（7）工會(huì)。如果有必要,還要召集其它部門,比如：專家部門（部門負(fù)責(zé)人，IＴ安全員)、ＩT管理員、提供現(xiàn)場(chǎng)服務(wù)的部門,一般服務(wù)部門，組織，人力資源部門及消防員等。必須事先對(duì)安全事件帶來(lái)的一些額外工作如何處理做明確的闡述，比如是否需要根據(jù)安全事件處理時(shí)間的延長(zhǎng)進(jìn)行加班、周末工作等。要采取措施確保在正常工時(shí)之外，若有必要，應(yīng)急小組可以使用辦公樓.其余控制：(1）有沒(méi)有指定安全事件應(yīng)急小組；（2)是否對(duì)各成員執(zhí)行的任務(wù)進(jìn)行講解和說(shuō)明;（3)由什么人來(lái)協(xié)調(diào)這些措施；（4）災(zāi)難恢復(fù)管理小組的組成最近的一次變化發(fā)生在何時(shí)。安全應(yīng)急程序規(guī)則及報(bào)告渠道１.處理規(guī)則許多安全事件僅僅是因?yàn)闆Q定得過(guò)于倉(cāng)促，因而采取了不合適的應(yīng)對(duì)行為進(jìn)而演變?yōu)閲?yán)重問(wèn)題.比如那些可以幫助我們了解整個(gè)事件的數(shù)據(jù)被刪除等。必須明確區(qū)分應(yīng)用于所有可能安全事件的一般性規(guī)則與IT特有的規(guī)則之間的不同?？梢詾樗蓄愋偷呐c安全相關(guān)的異常現(xiàn)象規(guī)定以下通用的過(guò)程規(guī)則:（1）所有當(dāng)事人應(yīng)該保持鎮(zhèn)定并不要倉(cāng)促采取行動(dòng)；（２)對(duì)出現(xiàn)的異?，F(xiàn)象應(yīng)該按照應(yīng)急計(jì)劃立即報(bào)告；(3)除非授權(quán)人要求,否則不能采取應(yīng)對(duì)措施；（4）所有現(xiàn)場(chǎng)因素必須被坦率、透明、無(wú)遮掩地解釋，以盡量減小損失；(５）應(yīng)根據(jù)個(gè)人經(jīng)驗(yàn)，對(duì)受影響的組織內(nèi)外各方的損失潛在程度、后續(xù)損失結(jié)果進(jìn)行初步評(píng)估;（6）沒(méi)有經(jīng)過(guò)授權(quán),有關(guān)安全事件的信息不能泄漏給第三方.必須以適當(dāng)?shù)姆绞綄⑦@些通用的處理規(guī)則告知機(jī)構(gòu)或公司里的所有可能受到影響的員工.除此之外，對(duì)那些已經(jīng)受到影響的人員，尤其是那些當(dāng)發(fā)生安全事件時(shí)需要他們做出最早決定或采取最早措施的人，要為他們提供相應(yīng)的處理規(guī)則，這些人中包括IT管理員、ＩＴ應(yīng)用負(fù)責(zé)人和IT安全管理員等。2．報(bào)告渠道一旦制定好處理規(guī)則，報(bào)告渠道也要確定好。我們建議按下面的線索開(kāi)始進(jìn)行:（1）如果發(fā)生不可抗力比如火災(zāi)、水災(zāi)、停電、入侵和盜竊,要告知相關(guān)的本地服務(wù)部門（消防部門、現(xiàn)場(chǎng)技術(shù)服務(wù)、入口控制員工、安全保衛(wèi)等）;(2)如果發(fā)生硬件故障或IT系統(tǒng)操作出現(xiàn)異常，應(yīng)該告知具體負(fù)責(zé)的IT管理人員；（3）如果懷疑是故意行為而且不能用任何別的方法解釋(比如數(shù)據(jù)操作、未授權(quán)操作、懷疑有間諜或破壞），必須告知IT安全員或ＩT安全管理層。尤為重要的讓全體員工知曉在發(fā)生各種安全事件時(shí)該與誰(shuí)聯(lián)系以及使用什么報(bào)告渠道，比如在內(nèi)部黃頁(yè)和內(nèi)部網(wǎng)上包含相關(guān)人的名字表、電話號(hào)碼和電子郵件地址。無(wú)論如何,應(yīng)該使得員工管理的手續(xù)不困難，過(guò)程不冗長(zhǎng)，必須針對(duì)這些工作建立快速、安全的溝通聯(lián)系方式,溝通雙方的真實(shí)性必須得到保障,有關(guān)懷疑事件的報(bào)告信息也必須保密。要告知所有員工有關(guān)安全事件的信息只能透過(guò)IT安全管理層透露給第三方。要經(jīng)常對(duì)處理規(guī)則進(jìn)行演練，以檢查這些處理安全事件的規(guī)則是否合適、是否易于實(shí)現(xiàn)以及是否為所有員工所了解。有關(guān)安全事件的經(jīng)驗(yàn)顯示：一個(gè)良好的操作環(huán)境、一個(gè)方便的提示和一個(gè)快捷便利的安全事件報(bào)告渠道對(duì)于及時(shí)、有效地處理安全事件是多么的重要。要把處理規(guī)則和報(bào)告計(jì)劃告知給所有受影響的員工，一個(gè)比較有效的方法就是提交一個(gè)由管理層簽字的信息清單，在上面概括了最重要的信息,可以將其放在工作間作或內(nèi)部網(wǎng)上。例如這種信息清單可以放在IT系統(tǒng)保護(hù)手冊(cè)光盤的幫助一欄里.建議不僅僅用電子版發(fā)布它,還需要利用其他途徑讓員工們清楚了解，因?yàn)殡娮影姹疽部赡苁馨踩录绊?當(dāng)組織內(nèi)部發(fā)生變化時(shí)，所有關(guān)于潛在安全事件的信息都將被及時(shí)更新，這樣就可以保證處理規(guī)則可用、報(bào)告渠道暢通。3。其它控制:（１）對(duì)各種不同類型的安全事件是否定義了處理規(guī)則;（２）是不是所有人都了解；（3）這些信息最近一次更新的時(shí)間。安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性測(cè)試為保證安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性，需要經(jīng)常定期對(duì)管理系統(tǒng)進(jìn)行檢查，并對(duì)其中的措施進(jìn)行測(cè)試.檢查內(nèi)容包括：(１)它們是否被涉及的員工所了解?(2）在發(fā)生安全事件、應(yīng)用不能正常運(yùn)行時(shí)，它是否可行?（３）它們是否能被納入操作過(guò)程？為測(cè)試管理系統(tǒng)的效率，應(yīng)該模擬損害事件以檢查定義的過(guò)程是否能工作，或者它是否實(shí)際可行。如果不實(shí)際可行，應(yīng)該作適當(dāng)?shù)男薷?。為測(cè)試這點(diǎn)，要進(jìn)行公開(kāi)和未公開(kāi)的演練實(shí)踐。當(dāng)演練實(shí)踐在未公開(kāi)狀態(tài)下進(jìn)行時(shí)，要保證在任何情況下都不能觸發(fā)可能導(dǎo)致?lián)p害IＴ系統(tǒng)、數(shù)據(jù)或其它系統(tǒng)的動(dòng)作，不管這種損害是永久的還是修正起來(lái)很困難的。在開(kāi)始演練實(shí)踐前，需要認(rèn)真考慮提前通知誰(shuí)。要保證演練實(shí)踐是經(jīng)過(guò)管理層授權(quán)的。有些時(shí)候不通知某些特定的人群也是有益的,比如，入口控制人員或管理員。但是,必須采取措施防止情況失控.應(yīng)避免驚動(dòng)警察、消防部門，避免切斷機(jī)構(gòu)或公司的網(wǎng)絡(luò)連接。例如：(１)可以給企業(yè)或機(jī)構(gòu)的總機(jī)打電話，假裝成一個(gè)已進(jìn)入內(nèi)部網(wǎng)的黑客.另外一個(gè)方法是，你可以假裝是記者，聲稱聽(tīng)說(shuō)黑客已經(jīng)進(jìn)入內(nèi)部網(wǎng)并已拷貝了秘密數(shù)據(jù),同時(shí)還要給那些發(fā)生安全事件時(shí)應(yīng)該被召集的人,比如信息發(fā)布部門或IＴ部門的領(lǐng)導(dǎo)打電話。這么做的目的是試探是否會(huì)出現(xiàn)內(nèi)部混亂，或者，在這種情況下是否已經(jīng)有目的地采取了合適的行動(dòng)。（2）在一天之內(nèi)可以對(duì)感染計(jì)算機(jī)病毒時(shí)采取的所有動(dòng)作及報(bào)告渠道進(jìn)行檢測(cè).不必提前通知所有相關(guān)人員和部門，只是在他們需要知道這一事件的最后一刻通知他們即可。其余控制:（1)最近進(jìn)行過(guò)什么演練實(shí)踐?(２）這些演練實(shí)踐提前得到了管理層同意嗎？應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)一般的流程是準(zhǔn)備檢測(cè)抑制根除恢復(fù)跟蹤,1.準(zhǔn)備準(zhǔn)備就是要做好安全保障工作，從微觀上講就是一要建立應(yīng)急預(yù)案，其中包括準(zhǔn)備高效的事件處理流程，完善的信息發(fā)布和匯報(bào)流程;其二要建立應(yīng)急組織，要獲得處理問(wèn)題必須的資源和人員，同時(shí)指定一個(gè)應(yīng)急責(zé)任人給予必要的資源和權(quán)力；其三就是要建立應(yīng)急響應(yīng)活動(dòng)的技術(shù)平臺(tái)，通過(guò)掃描、風(fēng)險(xiǎn)分析、打補(bǔ)丁增強(qiáng)原有系統(tǒng)的安全性，同時(shí)建立全局監(jiān)控系統(tǒng)。從宏觀上講，要建立協(xié)作體系件,建立數(shù)據(jù)匯總分析的體系和能力,制定相關(guān)的制度規(guī)范。2。檢測(cè)檢測(cè)是確定事件是已經(jīng)發(fā)生還是在進(jìn)行當(dāng)中，從微觀上講第一要確定事件的性質(zhì),其影響的嚴(yán)重程度及計(jì)劃采用什么樣的專用資源來(lái)修復(fù)？第二要作出初步動(dòng)作和響應(yīng)，其中包括選擇檢測(cè)工具,分析異?，F(xiàn)象,激活審計(jì)功能記錄所發(fā)生事件，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別最后估計(jì)安全事件的范圍.從宏觀上講，要通過(guò)匯總,確定是否發(fā)生了全網(wǎng)的大規(guī)模事件，確定應(yīng)急等級(jí)，以決定啟動(dòng)哪一級(jí)應(yīng)急方案。3。抑制抑制就是要限制攻擊的范圍，同時(shí)限制潛在的損失和破壞，從微觀上講第一要初步分析，重點(diǎn)是確定適當(dāng)?shù)姆怄i方法，包括將網(wǎng)絡(luò)斷開(kāi);修改防火墻和路由器的過(guò)濾規(guī)則;拒絕來(lái)自發(fā)起攻擊的主機(jī)的所有的流量;封鎖或刪除被攻擊的登錄賬號(hào)；關(guān)閉被利用的服務(wù)；完全關(guān)閉所有系統(tǒng)等。第二要確定封鎖操作帶來(lái)的風(fēng)險(xiǎn)，第三可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)對(duì)象選擇。從宏觀上講,要確保封鎖方法對(duì)各網(wǎng)業(yè)務(wù)影響最小，通過(guò)協(xié)調(diào)爭(zhēng)取各網(wǎng)一致行動(dòng)，實(shí)施隔離,匯總數(shù)據(jù),估算損失和隔離效果.4。根除根除就是要尋找長(zhǎng)期的補(bǔ)救措施,找出事件根源并徹底根除，從微觀上講第一要詳細(xì)分析，確定原因；第二要分析漏洞,并修補(bǔ)漏洞;第三重新審視安全保障策略，包括修改安全策略，加強(qiáng)防范措施等。從宏觀上要加強(qiáng)宣傳，公布危害性和解決辦法,呼吁用戶解決終端的問(wèn)題，加強(qiáng)檢測(cè)工作,發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問(wèn)題。5.恢復(fù)恢復(fù)就是要將被攻擊的系統(tǒng)由備份來(lái)恢復(fù)，從微觀上講第一是要把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等徹底地還原到它們正常的任務(wù)狀態(tài);第二是安全措施實(shí)施后，重新數(shù)據(jù)備份；第三是使服務(wù)重新上線，持續(xù)監(jiān)控。從宏觀上看要持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況,根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性,通過(guò)匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模適當(dāng)?shù)臅r(shí)候解除封鎖措施.恢復(fù)會(huì)涉及以下幾個(gè)流程:（1)系統(tǒng)恢復(fù)①?gòu)膫浞葜谢謴?fù)系統(tǒng)。有的安全事件，例如惡意代碼事件，可能需要依靠備份進(jìn)行全面的操作系統(tǒng)恢復(fù)方可根除.在這種情況下,有必要首先檢查備份的完整無(wú)誤性.一般應(yīng)該使用在系統(tǒng)遭受攻擊前所制作的最新備份。②確?；謴?fù)過(guò)程中不含有已遭修改的代碼.如果在系統(tǒng)受到攻擊前，沒(méi)有進(jìn)行備份,那么必須重新裝載系統(tǒng),使用補(bǔ)丁，或是使用一個(gè)未受攻擊的近似系統(tǒng)的備份在系統(tǒng)恢復(fù)過(guò)程中應(yīng)盡一切可能使其不含有已被修改的代碼。（２)檢驗(yàn)系統(tǒng)恢復(fù)一旦系統(tǒng)恢復(fù)確認(rèn)以后,檢驗(yàn)一下操作是否有效,系統(tǒng)是否已回到正常運(yùn)行狀態(tài)。確認(rèn)理想的情況是專門有一個(gè)系統(tǒng)測(cè)試計(jì)劃對(duì)系統(tǒng)進(jìn)行評(píng)估.通常情況是系統(tǒng)照常運(yùn)行任務(wù)，同時(shí)應(yīng)用網(wǎng)絡(luò)記錄器和系統(tǒng)日志文件對(duì)其進(jìn)行監(jiān)控。有時(shí),用來(lái)彌補(bǔ)某個(gè)漏洞的補(bǔ)丁或技術(shù)會(huì)導(dǎo)致系統(tǒng)的運(yùn)行情況與發(fā)生安全事件前有所不同。(3）決定何時(shí)恢復(fù)運(yùn)行由于不確定是否已清除所有的惡意代碼，可能會(huì)延長(zhǎng)恢復(fù)時(shí)間。建議由受影響系統(tǒng)的管理層和系統(tǒng)管理員來(lái)決定恢復(fù)運(yùn)行的時(shí)間.如果可能，系統(tǒng)可以斷線一至二天，以便有時(shí)間對(duì)系統(tǒng)進(jìn)行升級(jí)或安裝補(bǔ)丁。（4)監(jiān)控系統(tǒng)由于后門與惡意代碼有可能隱蔽得很好，難以覺(jué)察。一旦系統(tǒng)重新運(yùn)行后,應(yīng)該繼續(xù)實(shí)施監(jiān)控，探測(cè)先前逃過(guò)檢測(cè)的后門程序。6．跟蹤事件之后的跟蹤活動(dòng)是響應(yīng)安全事件的一個(gè)重要環(huán)節(jié)，目的在于從中吸取經(jīng)驗(yàn)教訓(xùn)，以完善將來(lái)的工作。經(jīng)過(guò)這一環(huán)節(jié)的機(jī)構(gòu)組織將會(huì)大大增強(qiáng)今后處理安全事件的能力,及時(shí)的跟蹤活動(dòng)還有助于盡快將攻擊者繩之以法。（1)跟蹤報(bào)告跟蹤報(bào)告是迅速吸取經(jīng)驗(yàn)教訓(xùn)的好辦法。①盡快開(kāi)始如果等到事件結(jié)束幾星期后再著手，你將發(fā)現(xiàn)人的記憶和美酒不同，不會(huì)隨著時(shí)間的延長(zhǎng)而愈濃愈香.②將任務(wù)分配給現(xiàn)場(chǎng)處理小組為了從安全事件中獲取盡可能多的經(jīng)驗(yàn)，許多站點(diǎn)將起草此類報(bào)告列為處理安全事件的必要步驟之一.如果沒(méi)有這份報(bào)告，則工作就沒(méi)有完成。③填寫表格應(yīng)鼓勵(lì)涉及此事的各方一起來(lái)審核安全事件處理的草案，提交一份事件總結(jié)報(bào)告，并和涉及此事的各方一起來(lái)審核。④盡可能達(dá)成一致意見(jiàn)聽(tīng)取來(lái)自各方的反應(yīng)、不同意見(jiàn)、補(bǔ)充意見(jiàn)和建議.鼓勵(lì)使用電子方式來(lái)交換意見(jiàn),這樣可以盡快的處理完。把來(lái)自各方的不同意見(jiàn)記錄下來(lái)。⑤舉行經(jīng)驗(yàn)交流會(huì)把從各方收集來(lái)的意見(jiàn)、建議分別歸類,這樣可以計(jì)劃舉行一次經(jīng)驗(yàn)交流會(huì)。會(huì)議的主題應(yīng)緊緊圍繞整個(gè)事件的處理和處理方法的改進(jìn)。最后就整個(gè)事件的處理做出總結(jié)，在這個(gè)總結(jié)中應(yīng)包括整個(gè)事件處理的支出、時(shí)間和此事產(chǎn)生的影響。把總結(jié)遞交給管理層，并承諾此事件就此結(jié)束.⑥把相關(guān)建議提交給管理層把從總結(jié)經(jīng)驗(yàn)交流會(huì)上得出的結(jié)論和修改意見(jiàn)，提交給管理層。這其中應(yīng)包括整個(gè)事件的評(píng)價(jià)、計(jì)劃和此事造成的影響以及采取了什么措施，沒(méi)有采取什么措施.⑦實(shí)施獲得批準(zhǔn)的措施一旦方案通過(guò)就應(yīng)嚴(yán)格加以執(zhí)行。事件響應(yīng)通用方法指導(dǎo)1．安全應(yīng)急事件的提交策略當(dāng)確定好安全事件的職責(zé)，所有相關(guān)人員都知曉時(shí)間處理規(guī)則和報(bào)告渠道后，下一步應(yīng)確定收到報(bào)告后如何提交.首先,收到安全報(bào)告的人必須調(diào)查和評(píng)估它。如果確實(shí)是安全事件，就要采取進(jìn)一步措施。下面列出一些問(wèn)題:(1）出現(xiàn)什么緊急情況需要提交,即提交給哪些部門,通知哪些工作人員；(2）什么事件需要立即提交?(3）在什么環(huán)境下合適提交？（4）什么時(shí)候提交（立即、明天、下一個(gè)工作日)？(5)用什么樣的方式提交？這些問(wèn)題的答案必須在提交策略中規(guī)定好并讓大家清楚?？梢苑忠韵氯齻€(gè)步驟制定提交策略：步驟1:提交渠道的規(guī)定在規(guī)定由何人負(fù)責(zé)處理安全事件后,提交渠道的規(guī)定中應(yīng)該明確報(bào)送人機(jī)器相應(yīng)的報(bào)送對(duì)象。當(dāng)我們劃分好相關(guān)組織結(jié)構(gòu)層次后這很容易做到。需要注意的是:不僅要考慮常規(guī)提交渠道，而且還要考慮相關(guān)人員不在時(shí)的備用渠道.步驟2:提交的決策對(duì)象在本步驟中首先應(yīng)確定在做進(jìn)一步調(diào)查或評(píng)估之前需進(jìn)行什么樣的提交,詳見(jiàn)下面表格16-4示例：然后應(yīng)該規(guī)定在什么環(huán)境下要求提交.提交的基礎(chǔ)可能有以下：（1)預(yù)計(jì)的損失程度超過(guò)報(bào)送對(duì)象的職責(zé)范圍；（2）控制損失的成本和資源超過(guò)了其權(quán)限;（3）安全事件的負(fù)責(zé)程度超出了其職責(zé)能力.表16—4事件類型立即報(bào)送對(duì)象感染電腦病毒病毒防治人員,管理員火災(zāi)入口控制員，消防隊(duì)故意行為或懷疑有犯罪行為IT安全員懷疑工業(yè)間諜IT安全員，執(zhí)行董事會(huì)必須報(bào)警或犯罪起訴執(zhí)行董事會(huì)存在威脅損害執(zhí)行董事會(huì)步驟3:提交方式報(bào)送過(guò)程中向上一層提交方式的選擇如下：（1）個(gè)人口頭報(bào)告；(2）書面報(bào)告；(3）E—mail；（４)電話、手機(jī)；（5）密封函件。還應(yīng)該規(guī)定在什么時(shí)間段里完成報(bào)告。例如：（1）立即提交:一個(gè)小時(shí)內(nèi)；（２)立即采取措施：一小時(shí)內(nèi);（3）事件還在控制中,但要求通知中上層：下一工作日。提交報(bào)告應(yīng)該通知所有可能的安全事件報(bào)送對(duì)象。為了控制安全事件的繼續(xù)發(fā)展，通常要求立即采取行動(dòng)，還可能要求從其它項(xiàng)目中召回人員或在非工作時(shí)間給他們打電話，所以對(duì)此類問(wèn)題的處理也必須在安全應(yīng)急計(jì)劃中加以考慮，并以文字的形式加以規(guī)則化，保證員工能被及時(shí)呼叫到。其它控制:(1)最近什么時(shí)候更新過(guò)提交策略？(2）在演練中試過(guò)提交渠道嗎？指定安全應(yīng)急響應(yīng)的優(yōu)先級(jí)經(jīng)驗(yàn)表明,安全事件是多種因素的綜合結(jié)果，潛在威脅一般涉及好幾類（比如，人員身體受損、外部關(guān)系的負(fù)面影響、財(cái)務(wù)后果等）。因此盡早建立問(wèn)題處理的優(yōu)先級(jí)就非常重要。這種優(yōu)先級(jí)決定了事件處理的順序。優(yōu)先級(jí)的分配緊密依賴于組織內(nèi)的環(huán)境.要分配優(yōu)先級(jí),必須考慮下面問(wèn)題：(１）哪類損失和組織相關(guān);(2）在每個(gè)類別中，按什么順序修補(bǔ)損失。要回答這些問(wèn)題,首先應(yīng)根據(jù)IT系統(tǒng)最低保護(hù)要求確定保護(hù)程度,這將十分有用。而確定保護(hù)程度的過(guò)程就定義了與組織相關(guān)的損害類別，如：(1）與法律、規(guī)章或合同沖突；（2）對(duì)信息自決權(quán)的損害；（3)對(duì)人員身體的傷害；（４)對(duì)企業(yè)職能的損害；(5）外部關(guān)系的負(fù)面影響；（6）財(cái)務(wù)后果.作為詳細(xì)說(shuō)明保護(hù)程度的一部分，在每個(gè)損害類別中定義了損害程度.例如：損害類別“財(cái)務(wù)后果”中的損害程度：表１6—5損害類別財(cái)務(wù)后果損害/損失=中損害或損失小于DＭ２5，000損害/損失=高損害或損失介于DM２５，0０0和DM5百萬(wàn)之間損害/損失＝很高損害或損失大于DＭ5百萬(wàn)利用上面的損害類別列表,可以按下面的描述分配優(yōu)先級(jí).損害類別列在表中第一列，隨后列出三種損害/損失級(jí)別:中、高和很高。每個(gè)損害類別和損害／損失都分配一個(gè)優(yōu)先級(jí)。分配優(yōu)先級(jí)的一種方法是使用優(yōu)先級(jí)分級(jí)系統(tǒng)，比如：１=特別重要2=重要３=相對(duì)重要另一種方法是給每個(gè)損害類別分配等級(jí)。示例：這個(gè)示例中的組織是市政機(jī)構(gòu),通過(guò)互連網(wǎng)為公眾提供服務(wù).公眾可以用E—maｉl詢問(wèn)市政機(jī)構(gòu)他們的案子進(jìn)展如何。作為信息服務(wù)，該市政機(jī)構(gòu)提供互連網(wǎng)服務(wù)器的使用。下表說(shuō)明了該機(jī)構(gòu)安全應(yīng)急事件優(yōu)先級(jí)的分配結(jié)果：表１6-６損害類別損害/損失=中損害／損失＝高損害/損失＝很高法律、規(guī)章或合同沖突222對(duì)信息自決權(quán)的損害12２1對(duì)信息自決權(quán)的損害221１人員身體傷害3３2義務(wù)績(jī)效的損害32１財(cái)務(wù)后果332分等級(jí)結(jié)果：表16-7損害類別損害／損失=中損害/損失=高損害/損失=很高法律、規(guī)章或合同沖突1３1２11對(duì)信息自決權(quán)的損害８63對(duì)信息自決權(quán)的損害521人員身體傷害151４7義務(wù)績(jī)效的損害1794財(cái)務(wù)后果181610優(yōu)先級(jí)的分配必須得到管理層的批準(zhǔn)方可生效，批準(zhǔn)后必須通知參與安全事件處理決策的相關(guān)人員。安全事件發(fā)生后,利用下表優(yōu)先級(jí)的分配，一旦安全事件被調(diào)查并評(píng)估后，就會(huì)對(duì)預(yù)計(jì)的損害作出一個(gè)估計(jì)，隨后產(chǎn)生的損害數(shù)據(jù)被分配到已知的損害類別中,然后一起歸類為“中”、“高”和“很高”。優(yōu)先級(jí)分配表指明了處理每種損失類型的順序。但是，前面的優(yōu)先級(jí)分配只能看作是一個(gè)初步指南,它可能因個(gè)案的不同而不同.例如：表16－8損害類別損害/損失=中損害/損失=高損害/損失=很高法律、規(guī)章或合同沖突D１對(duì)信息自決權(quán)的損害１對(duì)信息自決權(quán)的損害2人員身體傷害D2義務(wù)績(jī)效的損害Ｄ３財(cái)務(wù)后果D4假定在上面的例子中，有黑客成功地闖入互連網(wǎng)信息服務(wù)器，抹黑市政機(jī)構(gòu)的形象。這種行為立即被發(fā)現(xiàn)，并通知IＴ安全管理員，安全管理員對(duì)以上損害進(jìn)行評(píng)估。評(píng)估結(jié)果可能如下：基于以前的優(yōu)先級(jí)分配,損害個(gè)案D1到D4被分配以下優(yōu)先級(jí):優(yōu)先級(jí)分類方法：D1=2，D2=3，D３=1，D４=3優(yōu)先等級(jí)方法：Ｄ1=1３,D２=15，D3=4，D4＝1８在這兩種情形中,在準(zhǔn)備處理其它所有類型的損害之前，損害限制工作很清楚要集中在損害案例Ｄ3（外部關(guān)系的負(fù)面影響)上。為限制對(duì)外部關(guān)系的負(fù)面影響,在采取其它所有措施前,應(yīng)該首先將被入侵的互連網(wǎng)服務(wù)器與網(wǎng)絡(luò)斷開(kāi).如果給外部關(guān)系的負(fù)面影響這一損害分配一個(gè)低優(yōu)先級(jí),而給因破壞市政機(jī)構(gòu)的完成工作的能力分配一個(gè)高優(yōu)先級(jí)，那么斷掉互連網(wǎng)服務(wù)器就不會(huì)被看作是需要立即采取的措施。其它控制：（1）管理層同意優(yōu)先級(jí)的分配？(２)優(yōu)先級(jí)的分配是否已通知安全事件處理管理系統(tǒng)的所有決策人？（3)優(yōu)先級(jí)分配最近在什么時(shí)候更新過(guò)？安全應(yīng)急的調(diào)查與評(píng)估不是所有的安全事件都能被立即發(fā)現(xiàn)，尤其是對(duì)IT系統(tǒng)的惡意攻擊,經(jīng)常是在事件發(fā)生數(shù)天或數(shù)周后才能被發(fā)現(xiàn)。誤報(bào)也很常見(jiàn),比如軟件或硬件故障被錯(cuò)認(rèn)為是計(jì)算機(jī)病毒.無(wú)論如何，為了調(diào)查和評(píng)估與安全相關(guān)的異常事件,有必要進(jìn)行一些初級(jí)評(píng)估,包括:(1）弄清楚IT結(jié)構(gòu)和IT網(wǎng)絡(luò)；（2)弄清楚ＩＴ系統(tǒng)的聯(lián)系人和用戶；（3）弄清楚IＴ系統(tǒng)上的IT應(yīng)用;（4)定義IＴ系統(tǒng)的保護(hù)要求。在ＩT系統(tǒng)保護(hù)手冊(cè)的第一階段進(jìn)行這些調(diào)查。IＴ安全管理也需要得到這些結(jié)果。在收到報(bào)告后，根據(jù)對(duì)結(jié)果的評(píng)估得到信息，并快速?zèng)Q定哪些IＴ系統(tǒng)會(huì)受到影響，會(huì)涉及到哪些IT應(yīng)用,有何保護(hù)要求。同時(shí)，由于知道聯(lián)系人，可以迅速找到他來(lái)幫忙做出適當(dāng)?shù)臎Q定。當(dāng)有高級(jí)保護(hù)要求的ＩＴ系統(tǒng)或ＩT應(yīng)用受到影響時(shí)，應(yīng)該被看作安全事件，并實(shí)施預(yù)先定義好的步驟。另一方面，如果只有需要低級(jí)保護(hù)的ＩＴ系統(tǒng)和ＩＴ應(yīng)用受到影響,試著就地解決安全問(wèn)題即可。如果安全事件顯然有很嚴(yán)重的后果，并且相當(dāng)復(fù)雜,應(yīng)立即找到安全事件應(yīng)急小組，不要有任何延遲，這樣處理可能更合適。調(diào)查和評(píng)估安全事件的第一步是弄清楚下列因素：(１）安全事件可能影響什么IＴ系統(tǒng)和ＩT應(yīng)用？(２）通過(guò)IT系統(tǒng)網(wǎng)絡(luò)還會(huì)產(chǎn)生后續(xù)的損害嗎?（3）哪些IT系統(tǒng)和ＩT應(yīng)用絕對(duì)不會(huì)受到損害和后續(xù)損害？（4)安全事件導(dǎo)致的直接損害或后續(xù)損害程度如何?應(yīng)特別留意各種ＩT系統(tǒng)和IT應(yīng)用之間的相關(guān)性；（5）能觸發(fā)安全事件的可能因素;（6)安全事件發(fā)生在什么時(shí)候,在哪個(gè)地方？由于在探測(cè)到安全事件時(shí)它很可能已經(jīng)發(fā)生一段時(shí)間了,因此維護(hù)好日志文件在這兒非常有用，但要保證它們沒(méi)有被入侵；（７)是否只有內(nèi)部IT用戶受到安全事件的影響？或者外部第三方也受到影響?（8)有多少關(guān)于安全事件的信息已經(jīng)被泄露給公眾？如果安全事件已經(jīng)引起嚴(yán)重的后果，它必須要被提交給上一級(jí)管理層。澄清這些因素后，必須確定可選方案，方案中將包含立即措施和補(bǔ)充措施。在這兒也應(yīng)該考慮從前確定的優(yōu)先級(jí)分配,還必須對(duì)實(shí)施這些步驟所需的時(shí)間、解決這些問(wèn)題和恢復(fù)正常運(yùn)作所需的成本和資源進(jìn)行估計(jì)。如果損害程度、修復(fù)所需時(shí)間和成本超出預(yù)定限度，在做任何決定前,將問(wèn)題提交給上級(jí),并與決策層進(jìn)行磋商，以選擇哪種措施。根據(jù)上面列出的提綱對(duì)安全事件所做的結(jié)構(gòu)化調(diào)查和評(píng)估，會(huì)成為各種各樣的可以利用的選項(xiàng)。其它控制：(1）接收安全事件報(bào)告的人員和上級(jí)能否獲得基于保護(hù)需求而生成的必要的決策信息？（2）有沒(méi)有支持安全事件評(píng)估的方法？比如分析日志數(shù)據(jù)的工具.與安全應(yīng)急有關(guān)的補(bǔ)救措施一旦找到導(dǎo)致安全事件的原因，就要選擇并實(shí)施針對(duì)它們的應(yīng)急措施.首先要控制事件的繼續(xù)發(fā)展并解決問(wèn)題，然后再恢復(fù)事務(wù)狀態(tài)。1.提供必要的專業(yè)知識(shí)。為查明和處理安全方面的弱點(diǎn)，必須擁有相關(guān)的技術(shù)知識(shí)。因此要么培訓(xùn)員工,要么找專家.基于此，要準(zhǔn)備一份聯(lián)系地址表，包含各領(lǐng)域的內(nèi)外部專家，這樣就可以直接去尋求他們的意見(jiàn),不用再耽誤時(shí)間.外部專家包括：（1）計(jì)算機(jī)緊急響應(yīng)小組(ComｐutｅrEmergｅncyRｅspｏnseＴeamｓ，CＥＲTs）；（２)牽涉的IT系統(tǒng)廠商和銷售商;（３）應(yīng)用安全系統(tǒng)的廠商和銷售商，比如反病毒、防火墻和訪問(wèn)控制等；(4）專業(yè)安全專家組成的外部顧問(wèn)組。2．安全恢復(fù)的運(yùn)作要去除安全弱點(diǎn),首先應(yīng)將這些弱點(diǎn)所涉及的ＩT系統(tǒng)與網(wǎng)絡(luò)斷開(kāi)連接，然后再將那些能提供已發(fā)事件性質(zhì)和原因的信息文件，尤其是所有相關(guān)的日志文件做備份.由于整個(gè)IT系統(tǒng)應(yīng)該被視為不安全或已經(jīng)被入侵，所以要檢查操作系統(tǒng)和所有應(yīng)用是否已發(fā)生改變。除了程序之外，配置文件和用戶文件也應(yīng)該被檢查以防被操縱.在這里使用校驗(yàn)和程序比較合適。這預(yù)示著,有關(guān)的校驗(yàn)和程序應(yīng)該被事先確定，并且已經(jīng)被永久保存（記錄于寫保護(hù)數(shù)據(jù)介質(zhì)上)。比如為保證敵方留下的特洛伊木馬已被刪除,原始文件應(yīng)該從寫保護(hù)的數(shù)據(jù)介質(zhì)中恢復(fù)。這里要注意的是,所有的與安全相關(guān)的配置文件和補(bǔ)丁也要重新恢復(fù).在將備份數(shù)據(jù)重新導(dǎo)入這些文件時(shí),必須采取措施保證這些數(shù)據(jù)沒(méi)有受到安全事件影響，比如，沒(méi)有被計(jì)算機(jī)病毒感染。另外一方面，檢查數(shù)據(jù)備份有助于確定攻擊或計(jì)算機(jī)病毒感染是什么時(shí)候發(fā)生的。在做數(shù)據(jù)恢復(fù)操作之前，要改變所有涉及到的IＴ系統(tǒng)的口令字。這也要包括那些還沒(méi)有直接受到影響,但是攻擊者可能已經(jīng)得到用戶名或口令字信息的IT系統(tǒng).要假設(shè)系統(tǒng)已經(jīng)恢復(fù)到安全狀態(tài)，并還會(huì)受到進(jìn)一步的攻擊.由于這個(gè)原因，要使用合適的工具對(duì)IT系統(tǒng)，尤其是網(wǎng)絡(luò)連接進(jìn)行監(jiān)控。3．文檔在處理安全問(wèn)題中的所有動(dòng)作都應(yīng)該被盡可能詳細(xì)地記錄歸檔，以便實(shí)現(xiàn)下列目標(biāo):（1）保留發(fā)生事情的細(xì)節(jié)；(2)能夠追朔發(fā)生的問(wèn)題;（3）能夠修正因?yàn)榇颐π袆?dòng)可能帶來(lái)的問(wèn)題或錯(cuò)誤；(4）在已知的問(wèn)題再次發(fā)生時(shí)能迅速解決；（5)能夠消除安全弱點(diǎn),準(zhǔn)備預(yù)防措施；(6）如果要提起訴訟，便于收集證據(jù).這種文檔不僅包含有關(guān)行動(dòng)的采取、時(shí)間的描述,也包含受影響IT系統(tǒng)的日志文件。4．對(duì)故意行為的反應(yīng)5．其余控制：(１）安全專家名單的最近更新時(shí)間；（2）以前有沒(méi)有觀測(cè)過(guò)由內(nèi)部人員發(fā)起的故意攻擊行為?通知受到影響的各方當(dāng)發(fā)生安全事件時(shí)，必須通知所有受其影響的外部和內(nèi)部各方。這為那些受安全事件直接影響的部門和機(jī)構(gòu)采取對(duì)策提供了方便，對(duì)于處理安全事件相關(guān)信息的各方協(xié)助預(yù)防或解決問(wèn)題尤為重要。如果有必要，還應(yīng)告知公眾，尤其是在信息已經(jīng)泄露出去的時(shí)候。針對(duì)特殊的安全事件，必須制定出一個(gè)關(guān)于通知機(jī)制、通知誰(shuí)、誰(shuí)來(lái)通知、用什么順序以及通知的細(xì)節(jié)到什么程度這樣一個(gè)清晰、明確的規(guī)定。在這個(gè)規(guī)定中，要采取有效措施保證安全事件的信息只能由指定的負(fù)責(zé)人發(fā)布出去，比如IＴ安全管理層或信息發(fā)布機(jī)構(gòu)。誰(shuí)可以接收信息或接收到何種細(xì)節(jié)程度，自然主要取決于技術(shù)背景.所發(fā)布的信息應(yīng)該是正確的，否則會(huì)引發(fā)混亂、錯(cuò)誤評(píng)估和形象損害。下面給出一個(gè)關(guān)于信息分發(fā)的典型例子.1.內(nèi)部如果還不清楚安全事件是否發(fā)生,或者嚴(yán)重到什么程度，應(yīng)在內(nèi)部詢問(wèn)受到潛在影響的員工，檢查他們的工作區(qū)，是否有異?，F(xiàn)象。如果已經(jīng)知曉處理安全事件的對(duì)策,應(yīng)該立即告知有關(guān)部門通知他們應(yīng)該做什么，以盡量減小安全事件的影響或恢復(fù)安全運(yùn)作。還應(yīng)該考慮以下各方：（1）IT部門領(lǐng)導(dǎo);(2）有關(guān)的專家部門領(lǐng)導(dǎo)；(3)IT用戶；(4）IＴ管理員;(５）IT用戶服務(wù)商;（６）現(xiàn)場(chǎng)技術(shù)服務(wù)人員；(7）監(jiān)管人員;（8)內(nèi)部安全人員;(９）入口控制人員。２.外部如果安全事件沖擊的對(duì)象不僅僅限于組織內(nèi)部，則應(yīng)該告知所有受影響或可能受影響的外部各方所發(fā)生的安全問(wèn)題、必需的對(duì)策以及如何限制影響。如果有關(guān)信息沒(méi)有被及時(shí)傳達(dá)給受影響的各方，則事件真相出來(lái)后,組織與外部各方基于信任的現(xiàn)有合作關(guān)系可能會(huì)遭受永久性的破壞.需要通知的外部各方應(yīng)該考慮：（１)客戶;（2)供貨商；（3）自由工作人員；(4)分包人；（5)IT服務(wù)供應(yīng)商；（6）有通信聯(lián)系的各方；(７)軟件開(kāi)發(fā)公司；（8）網(wǎng)絡(luò)操作員。有時(shí)還可能報(bào)警或采取法律途徑來(lái)解決問(wèn)題,這取決于安全事件的類型。3。公眾在發(fā)生嚴(yán)重或復(fù)雜的安全事件時(shí)，有必要告知公眾真相，但是只能通過(guò)信息發(fā)布機(jī)構(gòu)對(duì)新聞媒體發(fā)布消息。需要注意的是：應(yīng)要求信息發(fā)布機(jī)構(gòu)使用恰當(dāng)?shù)恼Z(yǔ)句來(lái)描述安全事件、損害程度、必要對(duì)策并已通知的各方,以免引起混亂。但是,向公眾提供的信息不能太具體，以避免鼓勵(lì)類似的攻擊。同時(shí)要注意任何特別關(guān)注安全事件相關(guān)信息的人的身份，保證罪犯不能得到他們攻擊成功的實(shí)時(shí)結(jié)果。4．IT安全團(tuán)體如果查明安全事件是由于還不了解的安全弱點(diǎn)引發(fā)的,那就應(yīng)該通告各方并警告其在安全方面的弱點(diǎn),而不是隱瞞事實(shí),并制定相應(yīng)的對(duì)策。應(yīng)該通知的各方：(1)反病毒程序廠商,懷疑感染了新計(jì)算機(jī)病毒但病毒掃描沒(méi)有發(fā)現(xiàn)；（2)操作系統(tǒng)或應(yīng)用軟件廠商，其中存在安全弱點(diǎn);(3)計(jì)算機(jī)緊急響應(yīng)小組，安全事件歸因于系統(tǒng)或應(yīng)用相關(guān)的安全弱點(diǎn)；(4）IＴ專業(yè)報(bào)刊；（５）IT安全相關(guān)的公共機(jī)構(gòu)。例如，注意到個(gè)人計(jì)算機(jī)上的數(shù)據(jù)偶然遭到破壞或丟失,在得到報(bào)告并經(jīng)過(guò)調(diào)查后發(fā)現(xiàn)，問(wèn)題是因?yàn)樾碌暮瓴《疽l(fā)的，該病毒是通過(guò)E-ｍａil附件擴(kuò)散的.在這種情形下，應(yīng)該通知下列部門:（1）ＩT部門領(lǐng)導(dǎo)；(２）IT用戶;（３）IT管理員；(4）IT用戶服務(wù)商;(5)從首次發(fā)現(xiàn)計(jì)算機(jī)病毒之后用電子郵件方式交換過(guò)信息的各方;（6)反病毒程序廠商；(7）計(jì)算機(jī)緊急響應(yīng)小組.5。其余控制：（1)誰(shuí)負(fù)責(zé)將與安全事件相關(guān)的信息傳給第三方？(2）應(yīng)該采取何種步驟保證未經(jīng)授權(quán)的人員不得發(fā)布任何有關(guān)安全的信息.對(duì)安全應(yīng)急響應(yīng)的評(píng)估為從安全事件中學(xué)習(xí)到一些東西，不能忽略對(duì)整個(gè)安全事件的應(yīng)急處理過(guò)程的總結(jié)和評(píng)估。這樣做可以改善對(duì)安全事件的處理水平，并對(duì)IT安全管理及IＴ安全措施的效率做出正確的評(píng)價(jià)。這里要考慮的方面包括：1．響應(yīng)時(shí)間:要搜集有關(guān)安全事件是用了多長(zhǎng)時(shí)間才被發(fā)現(xiàn)的信息,檢查現(xiàn)有的同類安全事件發(fā)現(xiàn)技術(shù)措施是否需要改進(jìn)。還應(yīng)該檢查事件報(bào)告經(jīng)過(guò)上報(bào)渠道需要花費(fèi)的時(shí)間。其它應(yīng)考慮的方面包括:做出采取措施的決定有多快、需要花費(fèi)多長(zhǎng)時(shí)間去實(shí)施、受事件影響的各方什么時(shí)間能夠被通知到等。當(dāng)追溯使用的上報(bào)渠道時(shí)，應(yīng)該考慮上報(bào)渠道是否已被每個(gè)人所了解、是否要采取必要措施讓大家知曉并提供其它信息。2．提交策略的效率:要利用特殊的安全事件來(lái)檢查制定好的提交策略是否起作用，是否還需要額外信息以及是否要修改提交策略.3．評(píng)估的效率：當(dāng)回頭來(lái)看安全事件時(shí)，應(yīng)該考慮損害程度是否已被正確估計(jì)，優(yōu)先級(jí)考慮是否合適，是否利用了安全事件小組來(lái)進(jìn)行調(diào)查.4.通知受影響的各方：有必要考慮受影響各方是否被真正通知到，是否被及時(shí)通知到。有必要找出更快的通知渠道。５。對(duì)事件報(bào)告人的反饋：解決問(wèn)題后，應(yīng)該將安全事件所產(chǎn)生的損害和所采取的措施告知安全事件的發(fā)現(xiàn)人及報(bào)告人，這樣可以證明這類報(bào)告會(huì)被嚴(yán)肅對(duì)待，并鼓勵(lì)未來(lái)發(fā)生類似情況時(shí)繼續(xù)報(bào)告。對(duì)準(zhǔn)確、及時(shí)的報(bào)告進(jìn)行表彰和獎(jiǎng)勵(lì)也是合適的，它告訴員工對(duì)安全事件的報(bào)告是多么重要。6．犯罪者的動(dòng)機(jī)：如果發(fā)現(xiàn)安全事件是一種故意行為，應(yīng)該調(diào)查犯罪動(dòng)機(jī)。當(dāng)事件牽涉到內(nèi)部人員時(shí),動(dòng)機(jī)是非常重要的。如果是因?yàn)榻M織的環(huán)境造成的,應(yīng)該通知管理層，因?yàn)檫@些錯(cuò)誤或故意行為還會(huì)再次發(fā)生.同時(shí)取決于對(duì)這些資源的評(píng)價(jià)結(jié)果，管理層應(yīng)該了解以便做出改進(jìn).因此由安全計(jì)劃外的機(jī)構(gòu)進(jìn)行這種評(píng)價(jià)工作是合理的。７．制定行動(dòng)指令：作為安全事件評(píng)估的一部分，當(dāng)類似的安全事件再次發(fā)生時(shí),可以利用本次的結(jié)果去檢驗(yàn)即將采取的行動(dòng)或復(fù)查采取的過(guò)程。一旦擁有解決問(wèn)題的實(shí)際經(jīng)驗(yàn)，比起僅僅擁有理論來(lái)更能制定出有效的行動(dòng)指令.所發(fā)生的安全事件也顯示出：針對(duì)這類安全事件采取行動(dòng)的指令有一些具體的需求，因此準(zhǔn)備采取的指令應(yīng)該以合適的方式通知相關(guān)人員。８．其余控制:(１）對(duì)最近一次發(fā)生的安全事件有沒(méi)有做評(píng)估？（2)一年中有沒(méi)有向管理層報(bào)告過(guò)安全事件?（3)采取行動(dòng)的具體指令如何被更新和傳達(dá)？安全應(yīng)急發(fā)現(xiàn)措施的使用在發(fā)生安全事件時(shí),不僅及早發(fā)現(xiàn)它很重要，預(yù)防它同樣很重要。對(duì)于很多與安全相關(guān)的異?，F(xiàn)象，通過(guò)使用適當(dāng)?shù)募夹g(shù)，可以在早期自動(dòng)的發(fā)現(xiàn)。這些發(fā)現(xiàn)手段通常都會(huì)增加發(fā)現(xiàn)的可靠性，并減少?gòu)氖录l(fā)生到被發(fā)現(xiàn)之間的時(shí)間.但是要獲得這種早期的反應(yīng)能力，就需要對(duì)實(shí)施和監(jiān)控這些措施多做一些工作，對(duì)這種工作的勞動(dòng)程度應(yīng)該提前有所估計(jì)。如果潛在的威脅非常大或可能帶來(lái)人員傷害，那就沒(méi)有其它選擇，只有采用這樣的發(fā)現(xiàn)措施。有關(guān)這類發(fā)現(xiàn)措施的例子包括:(１）警報(bào)告示設(shè)備；(２）遠(yuǎn)程故障報(bào)警；（3）病毒掃描程序；(４）入侵探測(cè)和入侵防范系統(tǒng)；（5)加密校驗(yàn)。不是所有的安全事件都可以用技術(shù)手段立即發(fā)現(xiàn)，組織措施也是經(jīng)常必用的。自動(dòng)發(fā)現(xiàn)措施的可靠性通常依賴于他們的更新程度和適應(yīng)實(shí)際環(huán)境的程度。發(fā)現(xiàn)措施的有效性緊密依賴于從事這些任務(wù)的人的可靠性，也緊密依賴于這些措施在實(shí)際運(yùn)行過(guò)程中實(shí)施的簡(jiǎn)易程度.作為全部或部分組織性質(zhì)的發(fā)現(xiàn)措施有以下典型例子：（1)取得系統(tǒng)安全弱點(diǎn)信息;（2）對(duì)選擇IT系統(tǒng)進(jìn)行經(jīng)常性的安全檢查；(3）對(duì)日志文件進(jìn)行經(jīng)常性分析。其余控制(1）使用什么樣的發(fā)現(xiàn)措施？(2)是否采取步驟保證日志文件中的任何異常事件被報(bào)告？災(zāi)難恢復(fù)計(jì)劃概述背景當(dāng)今世界，市場(chǎng)競(jìng)爭(zhēng)越來(lái)越激烈。現(xiàn)代企業(yè)越來(lái)越依賴于計(jì)算機(jī)系統(tǒng)，因?yàn)檫@里保存著企業(yè)維系生存、參與競(jìng)爭(zhēng)的重要資產(chǎn)—企業(yè)信息資源.企業(yè)對(duì)信息的依賴程度從來(lái)沒(méi)有像今天這樣迫切。對(duì)企業(yè)而言，計(jì)算機(jī)系統(tǒng)失效無(wú)疑是一場(chǎng)災(zāi)難。在這種情況下，企業(yè)無(wú)法正常運(yùn)轉(zhuǎn)，甚至可能陷入完全癱瘓。而且,有許多因素威脅著計(jì)算機(jī)系統(tǒng)的正常運(yùn)轉(zhuǎn).大到自然災(zāi)害（地震、洪水、颶風(fēng)、火災(zāi)等)，小到失竊、斷電乃至操作員不經(jīng)意的失誤，都會(huì)影響系統(tǒng)的正常運(yùn)轉(zhuǎn),甚至造成整個(gè)系統(tǒng)完全癱瘓.由計(jì)算機(jī)系統(tǒng)癱瘓?jiān)斐傻挠绊懲鞘煮@人的.1987年，美國(guó)德克薩斯州大學(xué)進(jìn)行過(guò)一項(xiàng)名為“計(jì)算機(jī)系統(tǒng)失效對(duì)商業(yè)公司之影響”的調(diào)查。在被調(diào)查的１６0家公司中,有將近1/３的公司經(jīng)歷過(guò)計(jì)算機(jī)系統(tǒng)失效。在這些公司中，只有將近二分之一的公司有一套完整的災(zāi)難應(yīng)急計(jì)劃。完全沒(méi)有應(yīng)急計(jì)劃的公司損失慘重，災(zāi)難后業(yè)務(wù)無(wú)法恢復(fù)，十之八九在兩年內(nèi)退出市場(chǎng)。比如199３年發(fā)生在紐約世界貿(mào)易中心的爆炸事件。位于該中心的３50家公司中，有１５0家已經(jīng)退出市場(chǎng)。其原因是由于爆炸使他們的計(jì)算機(jī)系統(tǒng)遭到破壞,用戶無(wú)法訪問(wèn)他們所需的重要信息資源。所以,在災(zāi)難發(fā)生后，能夠快速、簡(jiǎn)單、可靠地恢復(fù)一個(gè)立即可用的系統(tǒng)至關(guān)重要!這件事處理得好壞,有時(shí)關(guān)系到企業(yè)的生死存亡.災(zāi)難恢復(fù)技術(shù),是目前在發(fā)達(dá)國(guó)家中十分流行的IＴ技術(shù)。它能夠?yàn)橹匾挠?jì)算機(jī)系統(tǒng)提供在斷電、火災(zāi)、受到攻擊等各種意外事故發(fā)生，乃至在如洪水、地