明確地訂定一個 事件處理計畫,並且受到整個公司的支援, 再將之付諸實行並且定期地作測試是很重要的。 一個良好的事件處理計畫可以降低破壞所造成的影響,再者,它也可以減少公司形象的負面影響。
從保全小組的觀點來看,系統是否遭到破壞並不重要(因為在使用網際網路從事商業行為的過程中,這種事情遲早會發生);重要的是什麼時候會發生。不要以為這世界上有固若金湯的系統,只要有足夠的時間與資源,總有人可以破解任何號稱最安全的系統或網路。只要看看Security Focus網站,http://www.securityfocus.com/,就可以找到最新最詳盡、關於網路入侵與系統漏洞之類的消息,例如企業網頁遭到竄改,或2002年root DNS伺服器遭到入侵的事件[1]。
了解系統被破壞之必然性的肯定想法是這將使得保全小組研究出一套行動方案以減少任何 潛在的損失,藉由結合行動方案與專業技能,將使得小組成員能夠以正式且機動地方式來 回應不利的狀況。
事件處理計畫本身可以分開為四個階段:
立即的行動以停止或減緩事件的發生
事件的調查
受影響資源的回復
回報事件給適當的單位
一個事件的處理必須是明確且迅速處理的,大部分的狀況下都不允許錯誤的發生。 如在實行緊急狀況的演練以衡量回應的時間,便可以研討出一個兼顧速度與準確性的方案。 藉由快速地回應也許可以降低資源無法存取的衝擊與系統遭破壞所引起的潛在性損失。
一個事件處理計畫有許多必要性,包括:
一個內部專家組成的小組(一個 電腦危機處理中心)
一個通過法定審查與通過的策略
財務部門支援
高階管理單位的支持
一個可行的且測試過的行動方案
實體的資源(冗餘的儲存裝置、待命的系統與備援的服務)
電腦危機處理小組 (CERT) 是一群內部的專家人員,在發生重大的 電腦系統入侵事件時能夠快速地回應。 為 CERT 尋找符合資格的成員是一種挑戰,適當 人員的標準遠超過技術性技能,還需要包含例如位置、可用性等後勤要素以及發生緊急 事故時能將公司的事務放在個人事務之前的期望。 緊急事件絕不是一個事先計畫好的事 件,它隨時可能發生,而且所有的 CERT 小組成員都必須能夠接受在任何時間需要他們 回應緊急事故的責任。
CERT的成員包括系統管理者、網路管理者、以及資訊安全專家。系統管理者具備系統資源的知識與專業能力,包括資料備份、該用何種硬體備份等等。網路管理者則在網路通訊協定、以及網路路徑最佳化上,學有專精。在追蹤調查安全性問題、攻擊後(post-mortem)分析方面,資訊安全人員則是最得力的專家。
雖然這也許不是可行的,不過在 CERT 小組中最好還是要有冗餘的成員,假如公司中無 法在這個小組中添加專業的人員,最好要盡可能的進行交互的訓練其他部門的人員。 請注意假如只有一個人員擁有資料安全與整合性的鑰匙,那麼在那個人缺席時,整個公 司將會變得相當無助。
| [1] |