市場(chǎng)營(yíng)銷第十六章業(yè)務(wù)連續(xù)性管理

1、第722頁(yè) 第627頁(yè) 業(yè)務(wù)連續(xù)性管理隨著信息化的發(fā)展、企業(yè)、政府對(duì)信息系統(tǒng)運(yùn)作的穩(wěn)定性和可靠性的要求就越高。本章首先將從什么是業(yè)務(wù)連續(xù)性計(jì)劃及BCP相關(guān)概念進(jìn)行了介紹；然后介紹了應(yīng)急響應(yīng)概念、如何建立安全應(yīng)急響應(yīng)管理系統(tǒng)和應(yīng)急響應(yīng)流程以及針對(duì)事件的發(fā)生如何處理；最后介紹了災(zāi)難恢復(fù)計(jì)劃相關(guān)概念和所使用的技術(shù)以及災(zāi)難恢復(fù)級(jí)別是如何定義和如何制定災(zāi)難恢復(fù)計(jì)劃。本章內(nèi)容適合參加信息安全高級(jí)管理師認(rèn)證的讀者。概述什么是業(yè)務(wù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃(Business Continuity Planning，縮寫為BCP)，BCP可被定義為一種先知先覺(jué)的流程, 它可以幫助企業(yè)確認(rèn)影響業(yè)務(wù)發(fā)展的關(guān)鍵性因素及

2、其可能面臨的威脅。由此而擬定的一系列計(jì)劃與步驟可以確保企業(yè)無(wú)論處于何種狀況下，這些關(guān)鍵因素的作用都能正常而持續(xù)地發(fā)揮。BCP的目標(biāo)是建立一種合理有效的成本控制方案，以平衡由威脅帶來(lái)的可能的業(yè)務(wù)或資產(chǎn)的損失及為保證業(yè)務(wù)連續(xù)性運(yùn)作而進(jìn)行的成本投入。業(yè)務(wù)連續(xù)性對(duì)確保災(zāi)難發(fā)生時(shí)企業(yè)的生存是至關(guān)重要的，不過(guò)與之同等重要的是要保證企業(yè)日常的業(yè)務(wù)運(yùn)行平穩(wěn)有序。業(yè)務(wù)持續(xù)管理即BCM是一種整體管理流程，它能夠確定可能發(fā)生的沖擊及對(duì)企業(yè)運(yùn)作造成的威脅，并提供一個(gè)架構(gòu)來(lái)阻止或有效的抵消這些威脅，以保護(hù)股東的利益、公司的名譽(yù)及品牌。 BCP運(yùn)作流程BCP運(yùn)作共有6個(gè)階段，分別為： 1. 項(xiàng)目初始化 2. 風(fēng)險(xiǎn)分析及業(yè)

3、務(wù)影響 3. 策略及實(shí)施 4. BCP開發(fā) 5. 培訓(xùn)計(jì)劃 6. 測(cè)試及維護(hù) 1. 項(xiàng)目初始化(1) 獲得管理層的支持與投入 為了確保該程序能夠成功，高級(jí)管理層必須參與其中。BCP計(jì)劃必須成為公司的戰(zhàn)略性業(yè)務(wù)計(jì)劃提供獨(dú)立的預(yù)算。(2) 建立團(tuán)隊(duì)必須建立一個(gè)團(tuán)隊(duì)，人員包括財(cái)務(wù)部，審計(jì)部，信息技術(shù)部，人事部，行政部等等。當(dāng)災(zāi)難開始時(shí)，這些部門在繼續(xù)扮演他們承擔(dān)的支援角色的同時(shí)，也必須實(shí)施重大的機(jī)構(gòu)轉(zhuǎn)變以援助受影響的區(qū)域。法律部、公關(guān)部與投資部在事件發(fā)生后需要向公眾及股東通告公司的運(yùn)作狀況。2. 風(fēng)險(xiǎn)分析及業(yè)務(wù)影響分析決定BCP需求的關(guān)鍵驅(qū)動(dòng)力是企業(yè)能在災(zāi)難中承受多少金額的損失？業(yè)務(wù)影響分析的目的是

4、回答以下問(wèn)題： 保護(hù)何種資產(chǎn)？(資產(chǎn)識(shí)別與評(píng)估) 資產(chǎn)的威脅與脆弱點(diǎn)？(脆弱點(diǎn)和威脅評(píng)估) 有沒(méi)有控制措施？控制措施能否預(yù)防或減少潛在的威脅？(評(píng)估控制) 投入金額/勞力的多少？(決定) 投入資金的效率如何？(通訊和監(jiān)控) 當(dāng)進(jìn)行業(yè)務(wù)影響分析時(shí)，應(yīng)考慮以下幾方面： 金額的影響：如果不采取相應(yīng)的措施，則組織的經(jīng)濟(jì)損失是多少？ 客戶的影響：如果發(fā)生業(yè)務(wù)中斷，則組織會(huì)損失多少市場(chǎng)占有率。法律的影響：組織是否遵從法律的要求？ 內(nèi)部依賴關(guān)系的影響：中斷的業(yè)務(wù)是否會(huì)其他領(lǐng)域的關(guān)鍵業(yè)務(wù)？ 作為業(yè)務(wù)影響分析的一部分，應(yīng)該評(píng)估業(yè)務(wù)允許中斷的時(shí)間長(zhǎng)短； 組織能提供多常時(shí)間的信息；當(dāng)信息重新可用時(shí)，允許損失的信息是

5、多少？這些問(wèn)題可以通過(guò)恢復(fù)時(shí)間目標(biāo)（recovery time objective (RTO)）和恢復(fù)點(diǎn)目標(biāo)（recovery point objective (RPO)）來(lái)決定。 BCP需求的另一個(gè)因素是“災(zāi)難實(shí)際發(fā)生的可能性”。此因素由威脅的級(jí)別和組織具有的薄弱點(diǎn)范圍決定，威脅的程度取決于下列因素： 有惡意性的破壞，如轟炸、縱火、工業(yè)間諜等。 意外事故，如組織的辦公場(chǎng)所、環(huán)境，內(nèi)部系統(tǒng)和處理程序的質(zhì)量。3業(yè)務(wù)持續(xù)性策略及實(shí)施(1) 業(yè)務(wù)持續(xù)性策略業(yè)務(wù)影響分析為制定業(yè)務(wù)持續(xù)性策略提供必要的信息，下來(lái)，根據(jù)提供的信息，可以確定多種滿足組織業(yè)務(wù)持續(xù)管理的方案。必須為各種業(yè)務(wù)持續(xù)方案進(jìn)行成本、效益

6、及風(fēng)險(xiǎn)分析，包括： 滿足業(yè)務(wù)持續(xù)目標(biāo)的能力 影響的可能性 安裝設(shè)備的成本 維護(hù)、測(cè)試及調(diào)用設(shè)備的成本 中斷對(duì)于技術(shù)、組織、文化和管理的干擾及未采取持續(xù)管理的潛在影響 應(yīng)該仔細(xì)考慮采取業(yè)務(wù)持續(xù)方案確實(shí)解決了具體的風(fēng)險(xiǎn)但不會(huì)增加其它風(fēng)險(xiǎn)。通過(guò)風(fēng)險(xiǎn)降低和業(yè)務(wù)持續(xù)方案成本的平衡來(lái)決定業(yè)務(wù)持續(xù)策略以降低風(fēng)險(xiǎn)達(dá)到業(yè)務(wù)持續(xù)的目標(biāo)。 (2) 實(shí)施設(shè)立組織及準(zhǔn)備實(shí)施計(jì)劃書 實(shí)施備份安排 實(shí)施降低風(fēng)險(xiǎn)的措施 4. BCP開發(fā) 開發(fā)業(yè)務(wù)持續(xù)計(jì)劃之前，確定災(zāi)難發(fā)生的情況下執(zhí)行的行動(dòng)，你需要熟悉每天的操作任務(wù)。這意味這你需要熟悉每一個(gè)業(yè)務(wù)處理過(guò)程的基本文檔。在開發(fā)業(yè)務(wù)持續(xù)計(jì)劃之前，須考慮下列措施是否已經(jīng)存在： 變更控制

7、流程 最終用戶的標(biāo)準(zhǔn)操作流程 操作人員的具體需求和特殊外圍設(shè)備需求 數(shù)據(jù)流圖表及問(wèn)題管理程序 重要記錄 磁帶備份/記錄管理日常安排 異地存儲(chǔ) 開發(fā)BCP計(jì)劃時(shí)，需考慮在計(jì)劃執(zhí)行的七個(gè)階段中為每個(gè)恢復(fù)小組分派任務(wù)： 評(píng)估與聲明 通告 應(yīng)急反應(yīng) 過(guò)渡期處理 搶救 重新安置及啟動(dòng) 重新正常運(yùn)做 5. 培訓(xùn)計(jì)劃 一些員工需要的特殊培訓(xùn)如下： 有緊急情況時(shí)可應(yīng)用替代的技術(shù)流程 當(dāng)自動(dòng)操作系統(tǒng)正在恢復(fù)時(shí)可替代的人工操作流程 確保團(tuán)隊(duì)成員達(dá)到推動(dòng)BCP所需能力的技術(shù)培訓(xùn) 6. 測(cè)試及維護(hù)進(jìn)行演示及有規(guī)律的測(cè)試，增強(qiáng)信心及效率，確保其相關(guān)的文檔時(shí)常更新。 總之，組織沒(méi)有業(yè)務(wù)持續(xù)計(jì)劃就像是不設(shè)防，不可能阻止任何

8、不可預(yù)測(cè)的破壞所造成的各種損失。所以公司必須認(rèn)真的對(duì)待業(yè)務(wù)持續(xù)計(jì)劃。應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)概述應(yīng)急響應(yīng)背景1988年Morris蠕蟲事件直接導(dǎo)致了CERT/CC的誕生。美國(guó)國(guó)防部(DoD)在卡內(nèi)基梅隆大學(xué)的軟件工程研究所成立了計(jì)算機(jī)應(yīng)急響應(yīng)組協(xié)調(diào)中心(CERT/CC)以協(xié)調(diào)Internet上的安全事件處理。目前，CERT/CC是DoD資助下的抗毀性網(wǎng)絡(luò)系統(tǒng)計(jì)劃(Networked Systems Survivability Program)的一部分，下設(shè)三個(gè)部門：事件處理、脆弱性處理、計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CSIRT）。在CERT/CC 成立之后的14年里，共處理了28萬(wàn)多封Email，2萬(wàn)多個(gè)

9、熱線電話，其運(yùn)行模式幫助了80多個(gè)CSIRT組織的建設(shè)。“進(jìn)入21世紀(jì)，網(wǎng)絡(luò)技術(shù)的高速發(fā)展，使物理世界中涉及政治、軍事、經(jīng)濟(jì)、文化、外交、安全關(guān)系和利益的全球化、多級(jí)化的復(fù)雜的世界格局，已經(jīng)全面映射到開放的互聯(lián)網(wǎng)體系中，由此形成了一個(gè)社會(huì)、技術(shù)一體化的復(fù)雜巨系統(tǒng)！”在首屆“全國(guó)互聯(lián)網(wǎng)應(yīng)急處理研討會(huì)2004”大會(huì)上，專家們描述出的國(guó)際互聯(lián)網(wǎng)大環(huán)境，使我們深刻地認(rèn)識(shí)到，完全杜絕互聯(lián)網(wǎng)安全事件是不可能的，重要的是加強(qiáng)應(yīng)急響應(yīng)！ 在這一復(fù)雜巨系統(tǒng)中，國(guó)家公共管理職能開始向互聯(lián)網(wǎng)世界全面滲透。就像物理世界面臨著SARS、禽流感等病毒時(shí)，國(guó)家建立了整套的應(yīng)急體系和處理能力一樣，當(dāng)互聯(lián)網(wǎng)上蠕蟲、病毒、網(wǎng)絡(luò)攻

10、擊日益泛濫時(shí)，同樣需要這樣一個(gè)體系對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行緊急處理，包括事前監(jiān)測(cè)、事中處理和事后的災(zāi)難恢復(fù)。因此，公共互聯(lián)網(wǎng)應(yīng)急體系已經(jīng)成為國(guó)家應(yīng)急體系的一個(gè)重要分支。正因?yàn)閼?yīng)急響應(yīng)的重要戰(zhàn)略地位，2004年1月9日10日在北京召開的備受信息安全業(yè)界乃至社會(huì)各界關(guān)注的全國(guó)信息安全保障工作會(huì)議上，國(guó)家將強(qiáng)化應(yīng)急體系、提高處理能力作為保障信息安全最重要的基礎(chǔ)任務(wù)之一。2月11日13日由信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室(簡(jiǎn)稱CNCERT/CC)主辦的“全國(guó)互聯(lián)網(wǎng)應(yīng)急處理研討會(huì)2004”大會(huì)，正是這一精神的具體落實(shí)和體現(xiàn)。但是，與物理世界不完全一致的是，面對(duì)全球一體化的互聯(lián)網(wǎng)環(huán)境，國(guó)家公共互聯(lián)網(wǎng)應(yīng)急體系的

11、建立和應(yīng)急處理能力的提高，并不能僅僅依靠政府的力量，而是需要世界各國(guó)相關(guān)組織在技術(shù)、資源、經(jīng)驗(yàn)方面的共同合作，需要政府與企業(yè)、全社會(huì)每個(gè)人的互動(dòng)！在互聯(lián)網(wǎng)這樣一個(gè)復(fù)雜的巨系統(tǒng)中，如何提高應(yīng)急響應(yīng)的處理水平確是擺在我們面前的巨大難題，這也正是次此會(huì)議的初衷從理論方法學(xué)到實(shí)際運(yùn)作經(jīng)驗(yàn)，探討如何在復(fù)雜巨系統(tǒng)中理清思路，提高應(yīng)急響應(yīng)水平的方法?！伴_放的互聯(lián)網(wǎng)符合復(fù)雜巨系統(tǒng)的所有特征，我們要用綜合集成的思維方式，考慮應(yīng)急響應(yīng)的管理方法。”對(duì)許多人而言，公共互聯(lián)網(wǎng)應(yīng)急響應(yīng)的概念并不新鮮，也并不難理解，因?yàn)槲锢硎澜缑鎸?duì)SARS的處理方法已經(jīng)讓人們充分地認(rèn)識(shí)到了應(yīng)急響應(yīng)的必要性和緊急物理隔離的措施和方法。然而

12、，當(dāng)現(xiàn)代社會(huì)越來(lái)越依賴大規(guī)模的網(wǎng)絡(luò)系統(tǒng)時(shí)，按照常規(guī)的方式已經(jīng)不能有效處理網(wǎng)絡(luò)緊急事件了：計(jì)算機(jī)蠕蟲病毒已經(jīng)成功實(shí)現(xiàn)智能化，開始主動(dòng)尋找設(shè)備進(jìn)行攻擊；感染速度越來(lái)越快，能在數(shù)小時(shí)內(nèi)傳遍全球；應(yīng)急響應(yīng)卻越來(lái)越慢，網(wǎng)絡(luò)攻擊采取偽造地址方式，難以追蹤到真實(shí)的病毒制造者；而進(jìn)行完全的物理隔離在互聯(lián)互通時(shí)代越來(lái)越行不通于是，理想與現(xiàn)實(shí)的反差越來(lái)越大！中國(guó)工程院院士何德全認(rèn)為，這是因?yàn)椋ヂ?lián)網(wǎng)世界已經(jīng)構(gòu)成了一個(gè)“復(fù)雜巨系統(tǒng)”！“復(fù)雜巨系統(tǒng)具有四個(gè)重要特征，而開放的互聯(lián)網(wǎng)體系完全符合這四個(gè)特征:首先是巨，即子系統(tǒng)數(shù)目巨多，不是千萬(wàn)級(jí)數(shù)量概念，而是數(shù)億級(jí)數(shù)量概念；第二是復(fù)雜，子系統(tǒng)與子系統(tǒng)之間是高度非線性的內(nèi)部

13、關(guān)系結(jié)構(gòu)；三是自組織，互聯(lián)網(wǎng)沒(méi)有統(tǒng)一的領(lǐng)導(dǎo)，而是依靠統(tǒng)一的協(xié)議進(jìn)行連接；四是開放，任何系統(tǒng)只要符合協(xié)議規(guī)范，就可以沒(méi)有任何限制地任意連入全球網(wǎng)絡(luò)系統(tǒng)?！痹谶@種復(fù)雜巨系統(tǒng)中，雖然很多企業(yè)自己提早做了應(yīng)急預(yù)案，但在具體實(shí)施中很難實(shí)現(xiàn)理想的效果。為什么呢？因?yàn)槟壳暗膽?yīng)急管理無(wú)法適應(yīng)復(fù)雜巨系統(tǒng)的要求：首先是缺少知識(shí)層次上的應(yīng)急響應(yīng)的全生命周期管理；其次是做出的應(yīng)急計(jì)劃都是線性、彼此完全分割的，只有任務(wù)的分解而沒(méi)有綜合集成，基本無(wú)法完成有效的應(yīng)急響應(yīng)。預(yù)案不是簡(jiǎn)單做完了就行的，而應(yīng)該隨著過(guò)程、環(huán)境的變化而不斷變化，不應(yīng)該是線性的，而應(yīng)該是非線性的防災(zāi)計(jì)劃。信息安全與應(yīng)急響應(yīng)的關(guān)系對(duì)于一個(gè)單位或組織來(lái)說(shuō)，

14、信息和其他重要的商業(yè)資產(chǎn)一樣都具有價(jià)值，因此要給于適當(dāng)?shù)谋Ｗo(hù)。信息安全保護(hù)信息免受各方面的威脅，以達(dá)到確保商業(yè)連續(xù)性，盡量減小商業(yè)損失并且盡量增加投資回報(bào)率和商業(yè)機(jī)會(huì)的目的。信息能夠以多種形式存在。可以打印或?qū)懺诩埳?，以電子形式存?chǔ)，通過(guò)郵寄或使用電子方式傳播，用影片顯示或口頭轉(zhuǎn)述。無(wú)論信息表現(xiàn)為何種形式，或以何種方式分享或儲(chǔ)存，都應(yīng)該對(duì)其進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。信息安全的特點(diǎn)被總結(jié)成保護(hù)：保密性：確保只有被授權(quán)的人才可以訪問(wèn)信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時(shí)，被授權(quán)的用戶可以訪問(wèn)信息和相關(guān)的資產(chǎn)。信息安全可以通過(guò)實(shí)行一套控制措施來(lái)實(shí)現(xiàn)?？刂拼胧┏龑?shí)施安全產(chǎn)品外

15、，還要有必要的緊急事件的響應(yīng)和災(zāi)難事件的備份與恢復(fù)機(jī)制，如2003年1月25日爆發(fā)的sql slammer蠕蟲事件，組織中如果沒(méi)有很好的應(yīng)急響應(yīng)流程和方法，就會(huì)給組織帶來(lái)很大的損失。如圖16-1應(yīng)急響應(yīng)屬于風(fēng)險(xiǎn)管理的一部分。圖16-1應(yīng)急響應(yīng)組成在信息安全中，對(duì)于一個(gè)組織來(lái)說(shuō)，最重要的就是保持組織的業(yè)務(wù)連續(xù)性，如圖16-2清晰地說(shuō)明了維持業(yè)務(wù)連續(xù)性要制定的相關(guān)計(jì)劃，其中很重要的內(nèi)容就是事件響應(yīng)計(jì)劃。圖16-2業(yè)務(wù)連續(xù)性計(jì)劃因此，下面的章節(jié)會(huì)討論應(yīng)急響應(yīng)的相關(guān)術(shù)語(yǔ)及如何有效的建立應(yīng)急響應(yīng)小組等，幫助組織建立自己的應(yīng)急小組，以輔助組織實(shí)現(xiàn)自己的安全目標(biāo)。我國(guó)的應(yīng)急響應(yīng)體制現(xiàn)狀紅色代碼事件推動(dòng)了我國(guó)

16、應(yīng)急處理體系的形成，對(duì)跨國(guó)的計(jì)算機(jī)攻擊事件的處理推動(dòng)了國(guó)際應(yīng)急組織的合作，我們已經(jīng)實(shí)現(xiàn)從應(yīng)急組織向應(yīng)急體系的轉(zhuǎn)變。早在SARS出現(xiàn)之前，早在物理世界的疾病應(yīng)急體系建立之前，信息產(chǎn)業(yè)部就已經(jīng)著手建立公共互聯(lián)網(wǎng)應(yīng)急體系，在組織結(jié)構(gòu)、人員組成、響應(yīng)技術(shù)方面進(jìn)行了綜合投資和考慮。整個(gè)國(guó)家的應(yīng)急體系都在建設(shè)中，不僅包括互聯(lián)網(wǎng)應(yīng)急體系，還包括廣電系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)、煤炭系統(tǒng)等應(yīng)急體系，但信息產(chǎn)業(yè)部走在了前面，公共互聯(lián)網(wǎng)應(yīng)急體系的經(jīng)驗(yàn)值得推廣。據(jù)CNCERT/CC主任方濱興介紹，中國(guó)CNCERT組織自2003年7月正式成立以來(lái)，目前已經(jīng)在全國(guó)各地建立了31個(gè)分中心，授權(quán)10家信息安全產(chǎn)品和服務(wù)供應(yīng)商作為重要

17、的技術(shù)、服務(wù)合作伙伴，除此而外，信息產(chǎn)業(yè)部還要求國(guó)內(nèi)的10家骨干互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)(包括6家電信運(yùn)營(yíng)商和4個(gè)公共信息網(wǎng))成立自己的應(yīng)急響應(yīng)中心(CERT)，這10家互聯(lián)網(wǎng)運(yùn)營(yíng)企業(yè)與中國(guó)數(shù)千家的ISP、個(gè)人用戶和企業(yè)用戶，成為了CNCERT/CC的主要聯(lián)系成員，由此形成了一個(gè)立體交錯(cuò)的應(yīng)急體系，形成了信息上下暢通傳遞的通報(bào)制度。這套體系不僅在中國(guó)，在世界也是獨(dú)一無(wú)二的。通過(guò)這套體系，2003年，在SQL病毒、口令蠕蟲和沖擊波病毒泛濫致使成千上萬(wàn)臺(tái)服務(wù)器遭受重創(chuàng)、435臺(tái)中國(guó)的主機(jī)網(wǎng)頁(yè)遭到篡改、各種DDoS攻擊嚴(yán)重的惡劣的互聯(lián)網(wǎng)環(huán)境下，CNCERT/CC有效及時(shí)地將應(yīng)急方法推廣下去，使這些攻擊得到有效

18、的遏止。此外，互聯(lián)網(wǎng)攻擊全球化的特征，使各個(gè)國(guó)家的CERT組織必須在深層次上展開合作，才能形成全球一體化的反應(yīng)體系，在這個(gè)體系中，各國(guó)的CERT組織均是其中重要的一個(gè)成員。CNCERT/CC也一樣，目前與國(guó)際應(yīng)急響應(yīng)組織建立了廣泛的技術(shù)、交流的合作關(guān)系，并在與國(guó)際交流中，在職責(zé)、組織結(jié)構(gòu)和技術(shù)水平上不斷進(jìn)行完善。在法律規(guī)范上，雖然目前關(guān)于互聯(lián)網(wǎng)應(yīng)急響應(yīng)的國(guó)際公約還不成熟，但是聯(lián)合國(guó)已經(jīng)提出，國(guó)家與國(guó)家之間在互聯(lián)網(wǎng)應(yīng)急上要相互協(xié)作。在技術(shù)手段上，為了實(shí)現(xiàn)應(yīng)急響應(yīng)的監(jiān)測(cè)、響應(yīng)和恢復(fù)三大職責(zé)，各個(gè)運(yùn)營(yíng)商，包括中國(guó)移動(dòng)、中國(guó)電信、中國(guó)教育網(wǎng)等，都已積極建立自己的互聯(lián)網(wǎng)監(jiān)測(cè)平臺(tái)，并連入CNCERT/CC

19、的監(jiān)測(cè)平臺(tái)上。而國(guó)家對(duì)信息安全監(jiān)測(cè)和預(yù)警技術(shù)也給予了充分的投資，國(guó)家863項(xiàng)目的917監(jiān)測(cè)平臺(tái)正是在國(guó)家層面上建立起的試點(diǎn)性的監(jiān)測(cè)項(xiàng)目，通過(guò)自愿加入的原則吸收成員單位，及時(shí)發(fā)現(xiàn)互聯(lián)網(wǎng)上的攻擊行為和新的病毒爆發(fā)情況。目前的監(jiān)測(cè)還僅限于流量異常監(jiān)測(cè)、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和新型蠕蟲病毒，但是，在未來(lái)，我們必然會(huì)實(shí)現(xiàn)更加細(xì)粒度的監(jiān)測(cè)和網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。正因?yàn)榛ヂ?lián)網(wǎng)全球化的特征，公共互聯(lián)網(wǎng)的應(yīng)急響應(yīng)才具備國(guó)際化的特征，需要更多的國(guó)際應(yīng)急響應(yīng)組織參與到體系當(dāng)中，共同進(jìn)行技術(shù)的合作、經(jīng)驗(yàn)的交流。應(yīng)急響應(yīng)的國(guó)際組織結(jié)構(gòu)計(jì)算機(jī)應(yīng)急處理的國(guó)際組織慣稱為：CERT (計(jì)算機(jī)緊急響應(yīng)小組)，也有的被稱為CSIRT (計(jì)算

20、機(jī)安全事件響應(yīng)小組)。在美國(guó)的推動(dòng)下，全世界幾十個(gè)國(guó)家和地區(qū)都成立了CERT或類似的組織。1990年11月，在美國(guó)、英國(guó)等的發(fā)起下，一些國(guó)家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安全工作組論壇”，簡(jiǎn)稱FIRST。它的基本目的是使各成員能就安全漏洞、安全技術(shù)、安全管理等方面進(jìn)行交流與合作，以實(shí)行國(guó)際間的信息共享、技術(shù)共享，最終達(dá)到聯(lián)合防范計(jì)算機(jī)網(wǎng)絡(luò)上攻擊的目標(biāo)。截止到目前，全球有30個(gè)國(guó)家和地區(qū)的CERT組織加入到了FIRST組織中。2002年3月CNCERT/CC與澳大利亞的AusCERT就亞太地區(qū)各應(yīng)急處理組織之間如何協(xié)作處理安全事件進(jìn)行了討論，并合作草擬了建立亞太地區(qū)應(yīng)急處理工作組(A

21、PCERT)的提議，提交亞太地區(qū)安全事件響應(yīng)協(xié)調(diào)會(huì)議討論，形成了成立APCERT組織的聲明(征求意見稿)，并決定成立工作組來(lái)負(fù)責(zé)對(duì)該聲明進(jìn)行修訂。CNCERT/CC的代表劉欣然博士作為工作組成員參與了該聲明的后續(xù)修訂工作。2003年3月2425日，在中國(guó)臺(tái)北召開的APSIRC2003會(huì)議上，APCERT聲明獲得了所有成員的一致通過(guò)，正式宣告亞太地區(qū)應(yīng)急響應(yīng)工作組APCERT的成立。各參會(huì)代表投票選舉了APCERT指導(dǎo)委員會(huì)的成員單位，CNCERT/CC與澳大利亞的AusCERT、日本的JPCERT/CC、韓國(guó)的KrCERT/CC、中國(guó)香港的HKCERT、新加坡的SingCERT、馬來(lái)西亞的My

22、CERT入選，負(fù)責(zé)APCERT日常工作。在美國(guó)的推動(dòng)下，全世界幾十個(gè)國(guó)家和地區(qū)都成立了CERT或類似的組織。1990年11月，在美國(guó)、英國(guó)等的發(fā)起下，一些國(guó)家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安全工作組論壇”，簡(jiǎn)稱FIRST。亞太地區(qū)應(yīng)急響應(yīng)工作組稱為APCERT，作為APCERT的指導(dǎo)委員會(huì)成員單位，澳大利亞、日本、韓國(guó)和中國(guó)香港的CERT組織代表參加了這次會(huì)議，他們?cè)趹?yīng)急體系的建設(shè)、應(yīng)急方法的采用、職責(zé)和功能上雖然有著高度的一致，但地區(qū)特色依然濃厚，存在很大的地區(qū)差異。但由于應(yīng)急響應(yīng)全球合作的特征，這些CERT組織間進(jìn)行有效的溝通和經(jīng)驗(yàn)交流，將對(duì)全球一體化地反擊公共互聯(lián)網(wǎng)威脅起到巨

23、大的作用。從組織結(jié)構(gòu)來(lái)說(shuō)，這些CERT組織無(wú)一例外是由該國(guó)家或地區(qū)的政府倡導(dǎo)成立，大部分CERT組織的經(jīng)費(fèi)來(lái)源于政府，也有一些經(jīng)費(fèi)來(lái)自于信息安全培訓(xùn)和成員的贊助，他們一般的任務(wù)在于進(jìn)行互聯(lián)網(wǎng)上的異常監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)異常流量并進(jìn)行早期的預(yù)警，協(xié)調(diào)事件的處理，通過(guò)公告和信息論壇的形式進(jìn)行信息安全普及教育。某些國(guó)家還開展了內(nèi)容監(jiān)測(cè)，并通過(guò)政府、ISP、公眾、CERT組織共同參與的方式對(duì)緊急事件進(jìn)行響應(yīng)。澳大利亞的CERT組織(AusCERT)在澳洲重要基礎(chǔ)設(shè)施的保護(hù)中發(fā)揮著重要作用，AusCERT的Mark McPherson先生認(rèn)為，應(yīng)急技術(shù)是CERT組織最重要的內(nèi)容，只有讓成員單位相信通過(guò)自己的技

24、術(shù)能得到真實(shí)的好處，能在“黃金時(shí)間”內(nèi)得到有效的預(yù)警信息，提前預(yù)防，才能使CERT真正發(fā)揮作用。目前，AusCERT的經(jīng)費(fèi)來(lái)自三方面：政府、成員單位和信息安全普及培訓(xùn)。中國(guó)香港地區(qū)的CERT組織(HKCERT/CC)由香港生產(chǎn)力促進(jìn)局運(yùn)作，其主要職責(zé)則在于協(xié)調(diào)處理和預(yù)防以中小企業(yè)為目標(biāo)的網(wǎng)絡(luò)攻擊。工作重點(diǎn)在于協(xié)調(diào)，而不是研發(fā)。HKCERT的梁兆昌介紹，對(duì)應(yīng)急事件的協(xié)調(diào)可能比應(yīng)急事件本身更重要，因?yàn)?，協(xié)調(diào)是為了保證當(dāng)事件到來(lái)時(shí)能有效地溝通，確保事件的統(tǒng)一化處理。因此，HKCERT與各國(guó)的CERT組織保持著密切的溝通，通過(guò)研討會(huì)、論壇以及應(yīng)急事件描述與交換形式(IODEF)工作組的交流，及時(shí)對(duì)各類

25、攻擊進(jìn)行預(yù)警。日本的CERT組織(JPCERT/CC)除了上述一些職責(zé)外，還增加了信息安全技術(shù)普及和信息安全趨勢(shì)分析職能。JPCERT的Yurie Ito女士介紹，JPCERT非常重視信息安全技術(shù)，目前，來(lái)自不同的ISP和廠商的30名信息安全專家是該組織的專業(yè)顧問(wèn)。此外，JPCERT還建立了一個(gè)互聯(lián)網(wǎng)掃描數(shù)據(jù)獲得系統(tǒng)(ISDAS)，該系統(tǒng)已將幾十個(gè)探針直接安裝在自愿加入該系統(tǒng)的用戶端，隨時(shí)監(jiān)測(cè)互聯(lián)網(wǎng)上的流量和內(nèi)容異常，以便第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊。而韓國(guó)的CERT組織(KrCERT/CC)則在現(xiàn)有的基礎(chǔ)職責(zé)基礎(chǔ)之上，正在努力開拓一些新領(lǐng)域的應(yīng)急響應(yīng)，KrCERT的Jungu Kang先生介紹，

26、目前KrCERT正在開發(fā)對(duì)病毒自動(dòng)進(jìn)行分類、統(tǒng)計(jì)的系統(tǒng)；開發(fā)在P2P和無(wú)線網(wǎng)絡(luò)領(lǐng)域里發(fā)展應(yīng)急響應(yīng)技術(shù)以及開發(fā)針對(duì)攻擊的早期預(yù)警系統(tǒng)。在公共互聯(lián)網(wǎng)的應(yīng)急響應(yīng)方面，各個(gè)國(guó)家的CERT組織的職責(zé)、任務(wù)、甚至包括體系結(jié)構(gòu)并不完全一致，國(guó)際上也并沒(méi)有要求必須進(jìn)行完全的統(tǒng)一。但是，這些CERT組織共同的目標(biāo)是通過(guò)發(fā)展信息安全應(yīng)急技術(shù)，對(duì)互聯(lián)網(wǎng)攻擊進(jìn)行有效預(yù)警。此外，各國(guó)CERT一個(gè)共同的作法是密切保持國(guó)際組織間的合作，保持對(duì)攻擊信息的有效溝通，為此，正在發(fā)展中的緊急事件描述與交換形式(IODEF)就成為一項(xiàng)重要的內(nèi)容，雖然目前它尚未成為正式的標(biāo)準(zhǔn)，但顯然，包括日本、韓國(guó)在內(nèi)的一些國(guó)家的CERT組織正在采用

27、它，由于信息溝通在應(yīng)急響應(yīng)中的作用日益重要，IODEF的價(jià)值就日益突出。但是，遺憾的是IODEF目前不適用于中文，這對(duì)CNCERT/CC與國(guó)際交流將產(chǎn)生不利的影響，相信不久之后這種情況會(huì)得到改觀。為了緊急應(yīng)對(duì)公共互聯(lián)網(wǎng)安全事件，各國(guó)的政府、運(yùn)營(yíng)商、企業(yè)、個(gè)人開始了全球總動(dòng)員！2003年2月，信息產(chǎn)業(yè)部批準(zhǔn)將1999年成立的“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室”更名為“信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室”。2003年7月14日，中編辦正式批復(fù)成立了國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，這是計(jì)算機(jī)應(yīng)急響應(yīng)的處理中心，簡(jiǎn)稱CNCERT/CC。國(guó)內(nèi)外現(xiàn)有安全事件應(yīng)急響應(yīng)組織大概可以

28、分5類：1. 第一類是網(wǎng)絡(luò)服務(wù)提供商的IRT組織，如CERNET的CCERT，主要為CERNET的接入用戶提供增值的服務(wù)；2. 第二類為企業(yè)或政府組織的IRT組織，如美國(guó)聯(lián)邦的FedCIRC、美國(guó)銀行的BACIRT（Bank of America CIRT）等；3. 第三類是廠商IRT，如Sun、Cisco等公司的響應(yīng)組，主要為本公司產(chǎn)品的安全問(wèn)題提供響應(yīng)和支持；4. 第四類為商業(yè)化的IRT，面向全社會(huì)提供商業(yè)化的安全救援服務(wù)；5. 第五類是一些國(guó)內(nèi)或國(guó)際間的協(xié)調(diào)組織如FIRST、CN-CERT/CC等。有些IRT既是協(xié)調(diào)組織，同時(shí)又提供服務(wù)，如CERT/CC。IRT組織不僅僅坐等安全事件發(fā)生

29、以后才去補(bǔ)救，未雨綢繆、防患于未然也是IRT組織的重要服務(wù)內(nèi)容。所以，一般還提供安全公告、安全咨詢、風(fēng)險(xiǎn)評(píng)估、入侵檢測(cè)、安全技術(shù)的教育與培訓(xùn)、入侵追蹤等多種服務(wù)。就應(yīng)急響應(yīng)服務(wù)本身而言，由于它具有以下特點(diǎn)使得這一服務(wù)非常困難：(1) 技術(shù)的復(fù)雜性與專業(yè)性； (2) 知識(shí)和經(jīng)驗(yàn)的依賴性； (3) 事件的突發(fā)性強(qiáng)； (4) 需要廣泛的協(xié)調(diào)與合作。應(yīng)急響應(yīng)相關(guān)術(shù)語(yǔ)事件響應(yīng)：對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個(gè)生命周期包括：對(duì)策、檢測(cè)和響應(yīng)，網(wǎng)絡(luò)安全的發(fā)展日新月異，誰(shuí)也無(wú)法實(shí)現(xiàn)一勞永逸的安全服務(wù)。應(yīng)急響應(yīng)計(jì)劃：被設(shè)計(jì)用于在緊急情況、系統(tǒng)故障

30、或?yàn)?zāi)難事件中在備用站點(diǎn)維持和恢復(fù)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行的策略和規(guī)程。下圖16-3是應(yīng)急響應(yīng)計(jì)劃過(guò)程圖。圖16-3應(yīng)急響應(yīng)計(jì)劃過(guò)程應(yīng)急響應(yīng)服務(wù)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來(lái)的影響。安全應(yīng)急響應(yīng)管理系統(tǒng)的建立應(yīng)急響應(yīng)目標(biāo)隨著IT技術(shù)越來(lái)越多地應(yīng)用到機(jī)構(gòu)或公司的業(yè)務(wù)中，IT系統(tǒng)的應(yīng)急響應(yīng)功能變得更加關(guān)鍵。因而IT安全管理的主要功能就是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可能被許多不同的事件觸發(fā)并破壞單個(gè)IT系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性、完整性、數(shù)據(jù)的保密性。IT安全管理系統(tǒng)要特別注重響應(yīng)、處理安全事件，因?yàn)榘踩录赡軒?lái)重大破壞。那些引發(fā)或可能引發(fā)

31、本地小范圍破壞的安全問(wèn)題應(yīng)該就地解決，以避免加重IT安全管理系統(tǒng)的負(fù)擔(dān)。安全事件的處理最終是由IT安全管理系統(tǒng)負(fù)責(zé)，并且是以保證以下各項(xiàng)為目標(biāo)的：（1）響應(yīng)能力，確保安全事件和安全問(wèn)題能被及時(shí)地發(fā)現(xiàn)并報(bào)告給適當(dāng)?shù)呢?fù)責(zé)人；（2）決斷能力，判斷是否是本地安全問(wèn)題抑或構(gòu)成一個(gè)安全事件；（3）行動(dòng)能力，在發(fā)生安全事件時(shí)基于一個(gè)很短的提示就能采取必要的措施；（4）減少損失，立即通知企業(yè)內(nèi)其它可能受影響的部門；（5）效率，實(shí)踐和監(jiān)控處理安全事件的能力。為實(shí)現(xiàn)這些目標(biāo)，必須建立一個(gè)管理系統(tǒng)來(lái)處理安全事件。這時(shí)管理層有必要參與進(jìn)來(lái)并最終讓管理系統(tǒng)發(fā)揮作用，以提高對(duì)IT安全問(wèn)題的認(rèn)識(shí)，合理分配決定權(quán)，更好地支持

32、安全目標(biāo)。下面描述的步驟為如何建立一個(gè)管理系統(tǒng)來(lái)處理安全事件提供了一個(gè)建議1步驟1安全指南內(nèi)容對(duì)安全事件的處理是IT安全管理的一個(gè)方面，因此應(yīng)該被列入安全指南及機(jī)構(gòu)或公司的安全策略中。這些文件必須包括用戶和受害單位報(bào)告給安全負(fù)責(zé)人的安全事件及安全問(wèn)題。除此之外，還必須有對(duì)決斷過(guò)程的描述并按照規(guī)定的過(guò)程動(dòng)員員工。同時(shí)，安全指南內(nèi)容也是管理層支持IT安全的一個(gè)證明。2步驟2職責(zé)規(guī)范本步驟中必須規(guī)定在安全事件發(fā)生時(shí)誰(shuí)應(yīng)該承擔(dān)什么責(zé)任。比如，下面各工作組可能有這些職責(zé)：（1）IT用戶：報(bào)告安全問(wèn)題和安全事件。（2）IT管理員：接收?qǐng)?bào)告、采取初步行動(dòng)，根據(jù)得到的報(bào)告判斷是一個(gè)安全問(wèn)題還是一個(gè)安全事件，并

33、將它提交高層。（3）負(fù)責(zé)IT應(yīng)用人員：參與決策過(guò)程，根據(jù)自己對(duì)IT應(yīng)用要求的保護(hù)程度評(píng)估選擇措施。（4）IT安全員或IT安全管理層：接收?qǐng)?bào)告，判斷是安全問(wèn)題抑或安全事件，并采取必要步驟。（5）安全事件隊(duì)伍：由IT管理員，IT用戶，IT安全員以及公關(guān)人員和可能的管理層。處理安全事件。（6）IT安全審計(jì)員：復(fù)查管理系統(tǒng)并評(píng)估安全事件。（7）管理層：做最后決定。這些職責(zé)必須被定義好并被有效實(shí)施。3步驟3：處理安全事件的過(guò)程規(guī)則和報(bào)告渠道為有效地處理安全事件，讓那些受到安全事件影響的部門以正確而穩(wěn)健的方式來(lái)做出反應(yīng)是很關(guān)鍵的，并且要立即將事件報(bào)告。因此必須定義必要的過(guò)程規(guī)則(包括保持鎮(zhèn)定、報(bào)告責(zé)任、提

34、供到場(chǎng)環(huán)境信息的義務(wù)等)，并據(jù)此培訓(xùn)IT用戶，其中要特別注意確定好那些IT安全問(wèn)題或事件的報(bào)告對(duì)象。在發(fā)生安全事件時(shí)，那些準(zhǔn)備采取的行動(dòng)指示(比如，出現(xiàn)計(jì)算機(jī)病毒，內(nèi)部人員操作數(shù)據(jù)，外部黑客試圖入侵等)可以提前起草好。一旦發(fā)生緊急情況，人們能夠迅速地反應(yīng)以減少損失。由于這些準(zhǔn)備工作并不是毫無(wú)作用的，因此應(yīng)該將其納入那些可能制定計(jì)劃的相關(guān)部門的工作中。4步驟4：安全事件的報(bào)告提交策略根據(jù)安全事件的處理規(guī)則，安全事件越關(guān)鍵，需要的授權(quán)就越大。極端情形下，這意味著必須要及早報(bào)告給管理層，并使其參與其中以采取必要的措施，比如：禁止泄漏任何信息、報(bào)警、采用另一種可實(shí)現(xiàn)的替代辦法(可能成本較高)等。無(wú)論采

35、用哪種方法，都要求提前制定好提交策略，并制定在何種情況下要咨詢何人的規(guī)定。5步驟5：設(shè)置優(yōu)先級(jí)安全事件的產(chǎn)生，一般是各種不同的原因綜合在一起達(dá)到一定程度時(shí)發(fā)生的結(jié)果，安全事件產(chǎn)生的后果則會(huì)影響到不同的IT應(yīng)用領(lǐng)域，所以針對(duì)其采取的各種措施也應(yīng)該根據(jù)應(yīng)用領(lǐng)域的不同設(shè)置不同的優(yōu)先級(jí)。這種優(yōu)先級(jí)的設(shè)定取決于系統(tǒng)保護(hù)需求、IT應(yīng)用范圍以及機(jī)構(gòu)或公司對(duì)應(yīng)用系統(tǒng)的依賴性。因此正如確定保護(hù)需求一樣，要求提前制定好優(yōu)先級(jí)表，根據(jù)安全事件導(dǎo)致的災(zāi)難后果順序采取相應(yīng)的應(yīng)急措施。6步驟6：調(diào)查和評(píng)估安全事件的方法一旦收到與安全相關(guān)的非?，F(xiàn)象報(bào)告，必須一開始就判斷它是被看作本地安全問(wèn)題還是會(huì)構(gòu)成一個(gè)潛在的損失更大的安

36、全事件。在做判斷之前，有很多因素需要被確定和評(píng)估(潛在的和持續(xù)的損失程度、原因、哪個(gè)IT系統(tǒng)受到影響、要采取什么樣的即時(shí)措施等)。如果有必要，應(yīng)象提交策略中的規(guī)定那樣，咨詢上一級(jí)管理層。7步驟7：針對(duì)安全事件采取補(bǔ)救措施當(dāng)采取必要的安全補(bǔ)救措施時(shí)，必須牢牢記住這些措施的實(shí)施往往有時(shí)間限制。因此，措施本身也可能引發(fā)新問(wèn)題。將采取的措施用適當(dāng)?shù)姆绞酱鏅n是很重要的。進(jìn)一步說(shuō)，假定時(shí)間是人為確定的，還應(yīng)當(dāng)考慮如何處理這些人為因素。在某些情形下，可能要暗示當(dāng)事人。8步驟8：通知受影響各方如果安全事件沖擊的對(duì)象不僅僅限于機(jī)構(gòu)、公司和企業(yè)內(nèi)部個(gè)人，為控制損失，所有受影響的企業(yè)內(nèi)部各部門和外部機(jī)構(gòu)都應(yīng)該被通知

37、到。為提高通知速度，應(yīng)提早建立溝通渠道和執(zhí)行相關(guān)性分析。9步驟9：安全事件的評(píng)估為從發(fā)生的安全事件中汲取教訓(xùn)，應(yīng)當(dāng)規(guī)定評(píng)估安全事件處理過(guò)程的規(guī)則。這樣可以對(duì)改進(jìn)安全事件的處理效果或?qū)T安全概念有效性的理解做出結(jié)論。這里需要考慮以下幾個(gè)方面：（1）響應(yīng)時(shí)間；（2）對(duì)報(bào)告渠道的了解程度；（3）提交策略的有效性；（4）調(diào)查的有效性；（5）通知受影響各方的辦法。10步驟10：安全事件發(fā)現(xiàn)措施的使用安全事件越早發(fā)現(xiàn)和報(bào)告，采取的對(duì)策就越有效。應(yīng)該采用所有可以得到的自動(dòng)發(fā)現(xiàn)方法以減少因?yàn)橐蕾嚾硕鴰?lái)的響應(yīng)延遲。反病毒程序和日志/入侵探測(cè)分析系統(tǒng)就是這類方法的兩個(gè)實(shí)例。11步驟11：有效性測(cè)試為了衡量一個(gè)

38、安全事件處理管理系統(tǒng)的有效性，并且加強(qiáng)對(duì)這些管理任務(wù)的必需演練，應(yīng)該進(jìn)行一些演習(xí)和假想訓(xùn)練。由于這可能會(huì)需要大量的人力資源、干擾正常工作，因而必須限制在重點(diǎn)區(qū)域內(nèi)進(jìn)行。應(yīng)該在安全事件處理資料中保留上述步驟執(zhí)行的結(jié)果。對(duì)這些結(jié)果還應(yīng)當(dāng)定期更新，并以合適的方式通知各利害方。其余方面的控制：（1）是否對(duì)所有不同類型的安全事件制定好相應(yīng)的處理過(guò)程和規(guī)則？（2）制定的過(guò)程規(guī)則和上報(bào)渠道是否以文本形式加以說(shuō)明？（3）員工都知道這些嗎？應(yīng)急響應(yīng)策略1.策略制定計(jì)算機(jī)和信息安全開始于策略，結(jié)束于策略。信息安全策略是計(jì)算機(jī)和信息安全必需要素的最高層次的闡述，它包括建立安全保障需要的最基本的要求和必要的基礎(chǔ)設(shè)施。

39、策略里通常告訴用戶（可能是系統(tǒng)管理員）該做什么和不該做什么，并且明確了被發(fā)現(xiàn)沒(méi)有遵守該規(guī)定應(yīng)受到的懲罰。好的策略通常會(huì)表明組織對(duì)安全的態(tài)度組織是否愿意冒著較小的安全風(fēng)險(xiǎn)讓用戶有較大的訪問(wèn)自由，或者是寧愿寧愿用戶使用不方便，甚至喪失某些功能和性能也要保障較高安全，或者居于二者之間。策略是成功的計(jì)算機(jī)和信息安全工作中的一個(gè)重要部分，沒(méi)有明確的要求通常會(huì)帶來(lái)厄運(yùn)。以下幾類比較重要的事件響應(yīng)要求應(yīng)當(dāng)包含在信息安全策略里：批準(zhǔn)建立事件響應(yīng)機(jī)制（表明這是組織要求的功能）事件響應(yīng)的任務(wù)或者目的，以及范圍(如果需要) 給事件響應(yīng)的授權(quán)。對(duì)事件響應(yīng)的限制（在對(duì)事件響應(yīng)的過(guò)程中什么是允許的，什么是不允許的）與法律

40、部門的關(guān)系（是否應(yīng)當(dāng)讓法律執(zhí)行部門介入，如果是，在什么時(shí)候）只是簡(jiǎn)單地寫一個(gè)規(guī)定當(dāng)然并不能起多大作用，但事實(shí)上卻是治療“遺忘規(guī)定”的良方，爭(zhēng)取受影響的人的支持對(duì)掃除障礙很有必要。特別是要得到高層管理人員的批準(zhǔn)。如果沒(méi)有高層管理人員的支持，策略注定要失敗。讓一個(gè)規(guī)定起作用的一個(gè)最好的策略是讓受到影響的人看到來(lái)自高層管理人員的支持。2. 策略更新有一個(gè)策略條文很重要，但除去那些已經(jīng)過(guò)時(shí)了的策略。因此定期檢討一個(gè)組織的信息安全策略，特別是（在當(dāng)前情況下）與事件響應(yīng)相關(guān)的策略就很重要了。如果需要修改，就應(yīng)當(dāng)進(jìn)行相應(yīng)的改動(dòng)。新的事件類型不斷出現(xiàn)，就要求對(duì)與事件響應(yīng)有關(guān)的規(guī)定進(jìn)行修補(bǔ)；有的事件響應(yīng)的努力并

41、不成功，就要求對(duì)情況進(jìn)行分析，看某些要求是否合適。3. 事件的分類及處理優(yōu)先級(jí)并不是每個(gè)安全事件都是被優(yōu)先考慮的。一個(gè)小型病毒的發(fā)作只需要對(duì)幾臺(tái)PC機(jī)進(jìn)行殺毒就可以了，這與能蔓延至整個(gè)公司電子郵件服務(wù)器的大型病毒完全不同。一些針對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行掃描及阻塞服務(wù)器的“小型腳本語(yǔ)言”對(duì)服務(wù)器的影響，無(wú)法與一個(gè)DOS攻擊對(duì)該系統(tǒng)產(chǎn)生的影響相比。要想制定一個(gè)能適用于所有情況的優(yōu)先權(quán)及嚴(yán)重程度的標(biāo)準(zhǔn)是不可能的。一個(gè)安全事件的相對(duì)重要性是依據(jù)其對(duì)工作平臺(tái)及操作系統(tǒng)的影響再加上其在商業(yè)上產(chǎn)生的影響而決定的。從理論上講，由于使服務(wù)器與外網(wǎng)的斷開所造成的損失可能會(huì)比病毒造成的損害更大。作為危險(xiǎn)因素分析的一部分，公

42、司應(yīng)對(duì)他們的信息資源及相對(duì)有價(jià)值的資源有所認(rèn)識(shí)。這是進(jìn)行優(yōu)先權(quán)分析的第一步。高價(jià)值的資源應(yīng)被分配到高優(yōu)先權(quán)范圍。安全事件的嚴(yán)重程度及范圍都應(yīng)與處理方法相適應(yīng)。只影響一臺(tái)PC機(jī)的病毒與影響整個(gè)機(jī)構(gòu)所有機(jī)器的病毒完全不同的。很少擴(kuò)散的病毒危險(xiǎn)性小于以隨機(jī)地址擴(kuò)散而損壞數(shù)據(jù)庫(kù)或電子郵件的病毒。例如，機(jī)構(gòu)可以定義如下四個(gè)級(jí)別的嚴(yán)重程度。第一級(jí)別為單一地點(diǎn)（物理上的或非物理上的）及相對(duì)沖擊較小的事件。這種情況包括小型病毒安全事件，它不會(huì)對(duì)數(shù)據(jù)庫(kù)造成損壞以及對(duì)當(dāng)?shù)匚募?wù)器上帳戶的非授權(quán)操作。第二級(jí)別為對(duì)運(yùn)行造成嚴(yán)重?fù)p害的單一地方安全事件。例如，個(gè)人帳戶受到攻擊，或是關(guān)鍵設(shè)備被盜。第三級(jí)別為影響兩個(gè)或兩個(gè)

43、以上地點(diǎn)的安全事件（同樣，定義包括物理上的及邏輯上的地點(diǎn)），但其只造成較小沖擊。例如，網(wǎng)絡(luò)或電子郵件系統(tǒng)上的無(wú)損害病毒的擴(kuò)散。第四級(jí)別為對(duì)多地點(diǎn)造成巨大損害的安全事件。這需要進(jìn)行強(qiáng)制處理并定位于高優(yōu)先權(quán)狀態(tài)。例如：對(duì)重要的全球申請(qǐng)系統(tǒng)的非法入侵。其他的模式可根據(jù)其他機(jī)構(gòu)的具體情況進(jìn)行調(diào)整。例如，物理安全部門可以把物理上的資源作為優(yōu)先考慮的對(duì)象，并按它們的價(jià)值進(jìn)行調(diào)整。他們也可以按嚴(yán)重程度進(jìn)行分類，并可以同信息資源相匹配。如果公司有一個(gè)恢復(fù)商業(yè)運(yùn)作或?yàn)?zāi)難恢復(fù)的計(jì)劃，他們可以以恢復(fù)作為目的來(lái)進(jìn)行優(yōu)先權(quán)的分配。一個(gè)已投入使用并為管理者所接受的模式，遠(yuǎn)比一個(gè)新模式的作用效果要好得多。很明顯，對(duì)一次安全

44、事件所帶來(lái)的后果進(jìn)行完全量化是不可能的。在前面的例子中，牽連到網(wǎng)絡(luò)服務(wù)器的安全事件，其嚴(yán)重程度可以歸為第二級(jí)別，但對(duì)商業(yè)性的企業(yè)來(lái)說(shuō)，其潛在沖擊可使其具有更高優(yōu)先權(quán)。當(dāng)需要對(duì)多個(gè)安全事件進(jìn)行響應(yīng)時(shí)，以一種模式作為依據(jù)可以幫助事件響應(yīng)組對(duì)優(yōu)先資源進(jìn)行更好的工作計(jì)劃和安排。應(yīng)急響應(yīng)責(zé)任當(dāng)制定應(yīng)急響應(yīng)責(zé)任的詳細(xì)規(guī)定時(shí)，應(yīng)該假設(shè)安全事件發(fā)生時(shí)的活動(dòng)順序。涉及到的工作組和個(gè)人的任務(wù)及職責(zé)也應(yīng)該被確定下來(lái)，并制定好適當(dāng)?shù)膹?qiáng)制執(zhí)行措施。下面的例子針對(duì)一些典型的受影響群體，給出一些做法。1. IT用戶任務(wù)：一旦覺(jué)察與安全相關(guān)的異常事件時(shí)，他們必須遵守適當(dāng)?shù)倪^(guò)程規(guī)則并報(bào)告這些異常事件。職責(zé)：IT用戶必須決定在當(dāng)

45、時(shí)的情況下采用何種合適的報(bào)告渠道。義務(wù)/指導(dǎo)：每一位IT用戶都有義務(wù)按照本單位的安全指南來(lái)報(bào)告任何與安全相關(guān)的異常事件。此外，所有的用戶都應(yīng)該得到一份書面的指令性文件，用以指導(dǎo)他當(dāng)發(fā)生異常事件時(shí)應(yīng)該采取的行動(dòng)，以及應(yīng)該向誰(shuí)匯報(bào)等事項(xiàng)。2. IT安全管理員：任務(wù)：接收與其負(fù)責(zé)的IT系統(tǒng)有關(guān)的異常事件報(bào)告。報(bào)告決定是立即采取行動(dòng)，還是按照提交策略向上一級(jí)報(bào)告。責(zé)任：一個(gè)IT管理員必須能夠確定是否真的產(chǎn)生了安全問(wèn)題，他是否可以獨(dú)立解決，是否需要根據(jù)提交計(jì)劃立即咨詢其他人，以及他應(yīng)該通知誰(shuí)等。義務(wù)/指導(dǎo)：應(yīng)該在職位描述及安全事件處理策略中指定。3. IT安全員/IT安全管理層任務(wù)：IT安全員接收安全事

46、件報(bào)告。負(fù)責(zé)調(diào)查和評(píng)估安全事件，并在其職責(zé)范圍內(nèi)選用適當(dāng)措施進(jìn)行處理。如果有必要，他負(fù)責(zé)組建安全事件處理小組或?qū)?wèn)題提交給上級(jí)管理層。職責(zé)：被授權(quán)對(duì)安全事件進(jìn)行評(píng)估，并可將事件提交給高級(jí)管理層。除此之外，他可以在授權(quán)范圍內(nèi)利用財(cái)務(wù)和人力資源獨(dú)立處理安全事件。義務(wù)/指導(dǎo)：根據(jù)IT安全管理層制定的“安全事件處理策略”，所有的IT安全員都承擔(dān)其處理安全事件的任務(wù)和職責(zé)。4. IT安全審計(jì)員任務(wù)：IT安全審計(jì)員必須定期檢查安全事件管理系統(tǒng)的有效性，并參與評(píng)估安全事件。職責(zé)：在管理層同意下，啟動(dòng)和實(shí)施預(yù)定義的檢查。義務(wù)/指導(dǎo)：見工作職責(zé)描述和“安全事件處理策略”規(guī)定。5. 公共關(guān)系/信息發(fā)布部門任務(wù)：在

47、發(fā)生嚴(yán)重安全事件的地方，除了信息發(fā)布部門之外，其他任何部門和個(gè)人都不能對(duì)公眾泄漏任何信息。這樣做的目的并不是為了掩蓋事件或者降低事件的嚴(yán)重程度，而是要以目標(biāo)化的方式解決問(wèn)題，避免相互矛盾的信息給企業(yè)帶來(lái)的形象損害。職責(zé)：信息發(fā)布部門必須和專家一起準(zhǔn)備與安全事件相關(guān)的信息，在發(fā)布之前必須得到高級(jí)管理層的同意。義務(wù)/指導(dǎo)：見工作職責(zé)描述和“安全事件處理策略”規(guī)定。6. 代理/公司管理層任務(wù)：嚴(yán)重安全事件發(fā)生時(shí)，應(yīng)該通知管理層。如果有必要，管理層要作出決定。職責(zé)：負(fù)總體責(zé)任，并對(duì)上述各工作小組負(fù)責(zé)。除此之外，當(dāng)懷疑有犯罪活動(dòng)時(shí)他們可以報(bào)警，起訴罪犯。義務(wù)/指導(dǎo)：管理層必須批準(zhǔn)“安全事件處理策略”和基

48、于策略的安全應(yīng)急計(jì)劃，作為計(jì)劃的一部分，各管理層應(yīng)明確其在安全事件處理中的角色。7. 安全事件小組除了上述工作小組之外，當(dāng)有困難或發(fā)生嚴(yán)重的安全事件時(shí)，必須在有限的時(shí)間里組織安全事件應(yīng)急小組來(lái)處理安全事件。這一般由IT安全員負(fù)責(zé)實(shí)施。即使安全事件應(yīng)急小組只是為滿足特殊的安全事件需要而設(shè)置的，但為保證盡可能快地響應(yīng)安全事件，其成員必須被提前安排并被告知分配的任務(wù)。安全事件應(yīng)急小組的成員應(yīng)該被授權(quán)在其職責(zé)范圍內(nèi)完成其相應(yīng)的任務(wù)。整個(gè)過(guò)程一定要有書面的詳細(xì)規(guī)定，并經(jīng)管理層授權(quán)。特別要注意的是：必須指定小組的負(fù)責(zé)人。根據(jù)安全事件的類型，安全事件應(yīng)急小組的成員應(yīng)包括以下各部門的成員：（1）機(jī)構(gòu)/公司管理

49、層；（2）IT安全管理層/IT安全員；（3）IT部門的領(lǐng)導(dǎo)；（4）信息發(fā)布部門；（5）數(shù)據(jù)保密員；（6）法律顧問(wèn)；（7）工會(huì)。如果有必要，還要召集其它部門，比如：專家部門(部門負(fù)責(zé)人，IT安全員)、IT管理員、提供現(xiàn)場(chǎng)服務(wù)的部門，一般服務(wù)部門，組織，人力資源部門及消防員等。必須事先對(duì)安全事件帶來(lái)的一些額外工作如何處理做明確的闡述，比如是否需要根據(jù)安全事件處理時(shí)間的延長(zhǎng)進(jìn)行加班、周末工作等。要采取措施確保在正常工時(shí)之外，若有必要，應(yīng)急小組可以使用辦公樓。其余控制：（1）有沒(méi)有指定安全事件應(yīng)急小組；（2）是否對(duì)各成員執(zhí)行的任務(wù)進(jìn)行講解和說(shuō)明；（3）由什么人來(lái)協(xié)調(diào)這些措施；（4）災(zāi)難恢復(fù)管理小組的組

50、成最近的一次變化發(fā)生在何時(shí)。安全應(yīng)急程序規(guī)則及報(bào)告渠道1. 處理規(guī)則許多安全事件僅僅是因?yàn)闆Q定得過(guò)于倉(cāng)促，因而采取了不合適的應(yīng)對(duì)行為進(jìn)而演變?yōu)閲?yán)重問(wèn)題。比如那些可以幫助我們了解整個(gè)事件的數(shù)據(jù)被刪除等。必須明確區(qū)分應(yīng)用于所有可能安全事件的一般性規(guī)則與IT特有的規(guī)則之間的不同?？梢詾樗蓄愋偷呐c安全相關(guān)的異常現(xiàn)象規(guī)定以下通用的過(guò)程規(guī)則：（1）所有當(dāng)事人應(yīng)該保持鎮(zhèn)定并不要倉(cāng)促采取行動(dòng)；（2）對(duì)出現(xiàn)的異?，F(xiàn)象應(yīng)該按照應(yīng)急計(jì)劃立即報(bào)告；（3）除非授權(quán)人要求，否則不能采取應(yīng)對(duì)措施；（4）所有現(xiàn)場(chǎng)因素必須被坦率、透明、無(wú)遮掩地解釋，以盡量減小損失；（5）應(yīng)根據(jù)個(gè)人經(jīng)驗(yàn)，對(duì)受影響的組織內(nèi)外各方的損失潛在程度、

51、后續(xù)損失結(jié)果進(jìn)行初步評(píng)估；（6）沒(méi)有經(jīng)過(guò)授權(quán)，有關(guān)安全事件的信息不能泄漏給第三方。必須以適當(dāng)?shù)姆绞綄⑦@些通用的處理規(guī)則告知機(jī)構(gòu)或公司里的所有可能受到影響的員工。除此之外，對(duì)那些已經(jīng)受到影響的人員，尤其是那些當(dāng)發(fā)生安全事件時(shí)需要他們做出最早決定或采取最早措施的人，要為他們提供相應(yīng)的處理規(guī)則，這些人中包括IT管理員、IT應(yīng)用負(fù)責(zé)人和 IT安全管理員等。2. 報(bào)告渠道一旦制定好處理規(guī)則，報(bào)告渠道也要確定好。我們建議按下面的線索開始進(jìn)行：（1）如果發(fā)生不可抗力比如火災(zāi)、水災(zāi)、停電、入侵和盜竊，要告知相關(guān)的本地服務(wù)部門(消防部門、現(xiàn)場(chǎng)技術(shù)服務(wù)、入口控制員工、安全保衛(wèi)等)；（2）如果發(fā)生硬件故障或IT系統(tǒng)

52、操作出現(xiàn)異常，應(yīng)該告知具體負(fù)責(zé)的IT管理人員；（3）如果懷疑是故意行為而且不能用任何別的方法解釋(比如數(shù)據(jù)操作、未授權(quán)操作、懷疑有間諜或破壞)，必須告知IT安全員或IT安全管理層。尤為重要的讓全體員工知曉在發(fā)生各種安全事件時(shí)該與誰(shuí)聯(lián)系以及使用什么報(bào)告渠道，比如在內(nèi)部黃頁(yè)和內(nèi)部網(wǎng)上包含相關(guān)人的名字表、電話號(hào)碼和電子郵件地址。無(wú)論如何，應(yīng)該使得員工管理的手續(xù)不困難，過(guò)程不冗長(zhǎng)，必須針對(duì)這些工作建立快速、安全的溝通聯(lián)系方式，溝通雙方的真實(shí)性必須得到保障，有關(guān)懷疑事件的報(bào)告信息也必須保密。要告知所有員工有關(guān)安全事件的信息只能透過(guò)IT安全管理層透露給第三方。要經(jīng)常對(duì)處理規(guī)則進(jìn)行演練，以檢查這些處理安全事

53、件的規(guī)則是否合適、是否易于實(shí)現(xiàn)以及是否為所有員工所了解。有關(guān)安全事件的經(jīng)驗(yàn)顯示：一個(gè)良好的操作環(huán)境、一個(gè)方便的提示和一個(gè)快捷便利的安全事件報(bào)告渠道對(duì)于及時(shí)、有效地處理安全事件是多么的重要。要把處理規(guī)則和報(bào)告計(jì)劃告知給所有受影響的員工，一個(gè)比較有效的方法就是提交一個(gè)由管理層簽字的信息清單，在上面概括了最重要的信息，可以將其放在工作間作或內(nèi)部網(wǎng)上。例如這種信息清單可以放在IT系統(tǒng)保護(hù)手冊(cè)光盤的幫助一欄里。建議不僅僅用電子版發(fā)布它，還需要利用其他途徑讓員工們清楚了解，因?yàn)殡娮影姹疽部赡苁馨踩录绊?。?dāng)組織內(nèi)部發(fā)生變化時(shí)，所有關(guān)于潛在安全事件的信息都將被及時(shí)更新，這樣就可以保證處理規(guī)則可用、報(bào)告渠道

54、暢通。3. 其它控制：（1）對(duì)各種不同類型的安全事件是否定義了處理規(guī)則；（2）是不是所有人都了解；（3）這些信息最近一次更新的時(shí)間。安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性測(cè)試為保證安全應(yīng)急響應(yīng)管理系統(tǒng)的有效性，需要經(jīng)常定期對(duì)管理系統(tǒng)進(jìn)行檢查，并對(duì)其中的措施進(jìn)行測(cè)試。檢查內(nèi)容包括：（1）它們是否被涉及的員工所了解？（2）在發(fā)生安全事件、應(yīng)用不能正常運(yùn)行時(shí)，它是否可行？（3）它們是否能被納入操作過(guò)程？為測(cè)試管理系統(tǒng)的效率，應(yīng)該模擬損害事件以檢查定義的過(guò)程是否能工作，或者它是否實(shí)際可行。如果不實(shí)際可行，應(yīng)該作適當(dāng)?shù)男薷?。為測(cè)試這點(diǎn)，要進(jìn)行公開和未公開的演練實(shí)踐。當(dāng)演練實(shí)踐在未公開狀態(tài)下進(jìn)行時(shí)，要保證在任何情況

55、下都不能觸發(fā)可能導(dǎo)致?lián)p害IT系統(tǒng)、數(shù)據(jù)或其它系統(tǒng)的動(dòng)作，不管這種損害是永久的還是修正起來(lái)很困難的。在開始演練實(shí)踐前，需要認(rèn)真考慮提前通知誰(shuí)。要保證演練實(shí)踐是經(jīng)過(guò)管理層授權(quán)的。有些時(shí)候不通知某些特定的人群也是有益的，比如，入口控制人員或管理員。但是，必須采取措施防止情況失控。應(yīng)避免驚動(dòng)警察、消防部門，避免切斷機(jī)構(gòu)或公司的網(wǎng)絡(luò)連接。例如：（1）可以給企業(yè)或機(jī)構(gòu)的總機(jī)打電話，假裝成一個(gè)已進(jìn)入內(nèi)部網(wǎng)的黑客。另外一個(gè)方法是，你可以假裝是記者，聲稱聽說(shuō)黑客已經(jīng)進(jìn)入內(nèi)部網(wǎng)并已拷貝了秘密數(shù)據(jù)，同時(shí)還要給那些發(fā)生安全事件時(shí)應(yīng)該被召集的人，比如信息發(fā)布部門或IT部門的領(lǐng)導(dǎo)打電話。這么做的目的是試探是否會(huì)出現(xiàn)內(nèi)部混

56、亂，或者，在這種情況下是否已經(jīng)有目的地采取了合適的行動(dòng)。（2）在一天之內(nèi)可以對(duì)感染計(jì)算機(jī)病毒時(shí)采取的所有動(dòng)作及報(bào)告渠道進(jìn)行檢測(cè)。不必提前通知所有相關(guān)人員和部門，只是在他們需要知道這一事件的最后一刻通知他們即可。其余控制：（1）最近進(jìn)行過(guò)什么演練實(shí)踐？（2）這些演練實(shí)踐提前得到了管理層同意嗎？應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)一般的流程是準(zhǔn)備檢測(cè)抑制根除恢復(fù)跟蹤，1. 準(zhǔn)備準(zhǔn)備就是要做好安全保障工作，從微觀上講就是一要建立應(yīng)急預(yù)案，其中包括準(zhǔn)備高效的事件處理流程，完善的信息發(fā)布和匯報(bào)流程；其二要建立應(yīng)急組織，要獲得處理問(wèn)題必須的資源和人員，同時(shí)指定一個(gè)應(yīng)急責(zé)任人給予必要的資源和權(quán)力；其三就是要建立應(yīng)急響應(yīng)活動(dòng)

57、的技術(shù)平臺(tái)，通過(guò)掃描、風(fēng)險(xiǎn)分析、打補(bǔ)丁增強(qiáng)原有系統(tǒng)的安全性，同時(shí)建立全局監(jiān)控系統(tǒng)。從宏觀上講，要建立協(xié)作體系件，建立數(shù)據(jù)匯總分析的體系和能力，制定相關(guān)的制度規(guī)范。2. 檢測(cè)檢測(cè)是確定事件是已經(jīng)發(fā)生還是在進(jìn)行當(dāng)中，從微觀上講第一要確定事件的性質(zhì)，其影響的嚴(yán)重程度及計(jì)劃采用什么樣的專用資源來(lái)修復(fù)？第二要作出初步動(dòng)作和響應(yīng)，其中包括選擇檢測(cè)工具，分析異?，F(xiàn)象，激活審計(jì)功能記錄所發(fā)生事件，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別最后估計(jì)安全事件的范圍。從宏觀上講，要通過(guò)匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件，確定應(yīng)急等級(jí)，以決定啟動(dòng)哪一級(jí)應(yīng)急方案。3. 抑制抑制就是要限制攻擊的范圍，同時(shí)限制潛在的損失和破壞，從微觀

58、上講第一要初步分析，重點(diǎn)是確定適當(dāng)?shù)姆怄i方法，包括將網(wǎng)絡(luò)斷開；修改防火墻和路由器的過(guò)濾規(guī)則；拒絕來(lái)自發(fā)起攻擊的主機(jī)的所有的流量；封鎖或刪除被攻擊的登錄賬號(hào)；關(guān)閉被利用的服務(wù)；完全關(guān)閉所有系統(tǒng)等。第二要確定封鎖操作帶來(lái)的風(fēng)險(xiǎn)，第三可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)對(duì)象選擇。從宏觀上講，要確保封鎖方法對(duì)各網(wǎng)業(yè)務(wù)影響最小，通過(guò)協(xié)調(diào)爭(zhēng)取各網(wǎng)一致行動(dòng)，實(shí)施隔離，匯總數(shù)據(jù)，估算損失和隔離效果。4. 根除根除就是要尋找長(zhǎng)期的補(bǔ)救措施，找出事件根源并徹底根除，從微觀上講第一要詳細(xì)分析，確定原因；第二要分析漏洞，并修補(bǔ)漏洞；第三重新審視安全保障策略，包括修改安全策略，加強(qiáng)防范措施等。從宏觀上要加強(qiáng)宣傳，公布

59、危害性和解決辦法，呼吁用戶解決終端的問(wèn)題，加強(qiáng)檢測(cè)工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問(wèn)題。5.恢復(fù)恢復(fù)就是要將被攻擊的系統(tǒng)由備份來(lái)恢復(fù)，從微觀上講第一是要把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等徹底地還原到它們正常的任務(wù)狀態(tài)；第二是安全措施實(shí)施后，重新數(shù)據(jù)備份；第三是使服務(wù)重新上線，持續(xù)監(jiān)控。從宏觀上看要持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況，根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性，通過(guò)匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模適當(dāng)?shù)臅r(shí)候解除封鎖措施?；謴?fù)會(huì)涉及以下幾個(gè)流程：(1) 系統(tǒng)恢復(fù) 從備份中恢復(fù)系統(tǒng)。有的安全事件，例如惡意代碼事件，可能需要依靠備份進(jìn)行全面的操作系統(tǒng)恢復(fù)方可根除。在這種情況下

60、，有必要首先檢查備份的完整無(wú)誤性。一般應(yīng)該使用在系統(tǒng)遭受攻擊前所制作的最新備份。 確?；謴?fù)過(guò)程中不含有已遭修改的代碼。如果在系統(tǒng)受到攻擊前，沒(méi)有進(jìn)行備份，那么必須重新裝載系統(tǒng)，使用補(bǔ)丁，或是使用一個(gè)未受攻擊的近似系統(tǒng)的備份在系統(tǒng)恢復(fù)過(guò)程中應(yīng)盡一切可能使其不含有已被修改的代碼。(2) 檢驗(yàn)系統(tǒng)恢復(fù)一旦系統(tǒng)恢復(fù)確認(rèn)以后，檢驗(yàn)一下操作是否有效，系統(tǒng)是否已回到正常運(yùn)行狀態(tài)。確認(rèn)理想的情況是專門有一個(gè)系統(tǒng)測(cè)試計(jì)劃對(duì)系統(tǒng)進(jìn)行評(píng)估。通常情況是系統(tǒng)照常運(yùn)行任務(wù)，同時(shí)應(yīng)用網(wǎng)絡(luò)記錄器和系統(tǒng)日志文件對(duì)其進(jìn)行監(jiān)控。有時(shí)，用來(lái)彌補(bǔ)某個(gè)漏洞的補(bǔ)丁或技術(shù)會(huì)導(dǎo)致系統(tǒng)的運(yùn)行情況與發(fā)生安全事件前有所不同。(3) 決定何時(shí)恢復(fù)運(yùn)行