明確地訂定一個 事件處理計畫,並且受到整個公司的支援, 再將之付諸實行並且定期地作測試是很重要的。 一個良好的事件處理計畫可以降低破壞所造成的影響,再者,它也可以減少公司形象的負面影響。
從保全小組的觀點來看,是否會發生系統破壞並不重要(因為這種事件終究是使用非信 任的載波網路如網際網路來從事生意所會發生的情事),不過他們較在意系統破壞 何時 將發生。 請勿認定一部系統是微弱且容易遭入侵的,您必 須要了解在給予足夠的時間與資源的情況下,即使是安全性最強化的系統或網路也終將 受到入侵。 您可以在 Security Focus 的網站位於 http://www.securityfocus.com 取得關於最近安全性入侵與破壞的更新與詳細資訊,泛從經常性的污損公司的網站到 2002 年間攻擊 root DNS 名稱伺服器[1]。
了解系統被破壞之必然性的肯定想法是這將使得保全小組研究出一套行動方案以減少任何 潛在的損失,藉由結合行動方案與專業技能,將使得小組成員能夠以正式且機動地方式來 回應不利的狀況。
事件處理計畫本身可以分開為四個階段:
立即的行動以停止或減緩事件的發生
事件的調查
受影響資源的回復
回報事件給適當的單位
一個事件的處理必須是明確且迅速處理的,大部分的狀況下都不允許錯誤的發生。 如在實行緊急狀況的演練以衡量回應的時間,便可以研討出一個兼顧速度與準確性的方案。 藉由快速地回應也許可以降低資源無法存取的衝擊與系統遭破壞所引起的潛在性損失。
一個事件處理計畫有許多必要性,包括:
一個內部專家組成的小組(一個 電腦危機處理中心)
一個通過法定審查與通過的策略
財務部門支援
上級行政部門支援
一個可行的且測試過的行動方案
實體的資源(冗餘的儲存裝置、待命的系統與備援的服務)
電腦危機處理小組 (CERT) 是一群內部的專家人員,在發生重大的 電腦系統入侵事件時能夠快速地回應。 為 CERT 尋找符合資格的成員是一種挑戰,適當 人員的標準遠超過技術性技能,還需要包含例如位置、可用性等後勤要素以及發生緊急 事故時能將公司的事務放在個人事務之前的期望。 緊急事件絕不是一個事先計畫好的事 件,它隨時可能發生,而且所有的 CERT 小組成員都必須能夠接受在任何時間需要他們 回應緊急事故的責任。
典型的 CERT 成員含有系統與網路管理員以及來自資訊安全的專家,系統管理員將提供 系統資源的知識與專業能力,包括資料備份與可使用的備援硬體等等。 網路管理員則 提供關於網路協定與如何動態地為網路流量重新搜尋路徑的能力。 資訊安全的人員主要 負責徹底地追蹤調查安全性的問題以及執行事後的被破壞之系統的分析。
雖然這也許不是可行的,不過在 CERT 小組中最好還是要有冗餘的成員,假如公司中無 法在這個小組中添加專業的人員,最好要盡可能的進行交互的訓練其他部門的人員。 請注意假如只有一個人員擁有資料安全與整合性的鑰匙,那麼在那個人缺席時,整個公 司將會變得相當無助。
[1] |