市场营销第十六章业务连续性管理

1、第722页 第627页 业务连续性管理随着信息化的发展、企业、政府对信息系统运作的稳定性和可靠性的要求就越高。本章首先将从什么是业务连续性计划及BCP相关概念进行了介绍；然后介绍了应急响应概念、如何建立安全应急响应管理系统和应急响应流程以及针对事件的发生如何处理；最后介绍了灾难恢复计划相关概念和所使用的技术以及灾难恢复级别是如何定义和如何制定灾难恢复计划。本章内容适合参加信息安全高级管理师认证的读者。概述什么是业务连续性计划业务连续性计划(Business Continuity Planning，缩写为BCP)，BCP可被定义为一种先知先觉的流程, 它可以帮助企业确认影响业务发展的关键性因素及

2、其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下，这些关键因素的作用都能正常而持续地发挥。BCP的目标是建立一种合理有效的成本控制方案，以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作而进行的成本投入。业务连续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。业务持续管理即BCM是一种整体管理流程，它能够确定可能发生的冲击及对企业运作造成的威胁，并提供一个架构来阻止或有效的抵消这些威胁，以保护股东的利益、公司的名誉及品牌。 BCP运作流程BCP运作共有6个阶段，分别为： 1. 项目初始化 2. 风险分析及业

3、务影响 3. 策略及实施 4. BCP开发 5. 培训计划 6. 测试及维护 1. 项目初始化(1) 获得管理层的支持与投入 为了确保该程序能够成功，高级管理层必须参与其中。BCP计划必须成为公司的战略性业务计划提供独立的预算。(2) 建立团队必须建立一个团队，人员包括财务部，审计部，信息技术部，人事部，行政部等等。当灾难开始时，这些部门在继续扮演他们承担的支援角色的同时，也必须实施重大的机构转变以援助受影响的区域。法律部、公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。2. 风险分析及业务影响分析决定BCP需求的关键驱动力是企业能在灾难中承受多少金额的损失？业务影响分析的目的是

4、回答以下问题： 保护何种资产？(资产识别与评估) 资产的威胁与脆弱点？(脆弱点和威胁评估) 有没有控制措施？控制措施能否预防或减少潜在的威胁？(评估控制) 投入金额/劳力的多少？(决定) 投入资金的效率如何？(通讯和监控) 当进行业务影响分析时，应考虑以下几方面： 金额的影响：如果不采取相应的措施，则组织的经济损失是多少？ 客户的影响：如果发生业务中断，则组织会损失多少市场占有率。法律的影响：组织是否遵从法律的要求？ 内部依赖关系的影响：中断的业务是否会其他领域的关键业务？ 作为业务影响分析的一部分，应该评估业务允许中断的时间长短； 组织能提供多常时间的信息；当信息重新可用时，允许损失的信息是

5、多少？这些问题可以通过恢复时间目标（recovery time objective (RTO)）和恢复点目标（recovery point objective (RPO)）来决定。 BCP需求的另一个因素是“灾难实际发生的可能性”。此因素由威胁的级别和组织具有的薄弱点范围决定，威胁的程度取决于下列因素： 有恶意性的破坏，如轰炸、纵火、工业间谍等。 意外事故，如组织的办公场所、环境，内部系统和处理程序的质量。3业务持续性策略及实施(1) 业务持续性策略业务影响分析为制定业务持续性策略提供必要的信息，下来，根据提供的信息，可以确定多种满足组织业务持续管理的方案。必须为各种业务持续方案进行成本、效益

6、及风险分析，包括： 满足业务持续目标的能力 影响的可能性 安装设备的成本 维护、测试及调用设备的成本 中断对于技术、组织、文化和管理的干扰及未采取持续管理的潜在影响 应该仔细考虑采取业务持续方案确实解决了具体的风险但不会增加其它风险。通过风险降低和业务持续方案成本的平衡来决定业务持续策略以降低风险达到业务持续的目标。 (2) 实施设立组织及准备实施计划书 实施备份安排 实施降低风险的措施 4. BCP开发 开发业务持续计划之前，确定灾难发生的情况下执行的行动，你需要熟悉每天的操作任务。这意味这你需要熟悉每一个业务处理过程的基本文档。在开发业务持续计划之前，须考虑下列措施是否已经存在： 变更控制

7、流程 最终用户的标准操作流程 操作人员的具体需求和特殊外围设备需求 数据流图表及问题管理程序 重要记录 磁带备份/记录管理日常安排 异地存储 开发BCP计划时，需考虑在计划执行的七个阶段中为每个恢复小组分派任务： 评估与声明 通告 应急反应 过渡期处理 抢救 重新安置及启动 重新正常运做 5. 培训计划 一些员工需要的特殊培训如下： 有紧急情况时可应用替代的技术流程 当自动操作系统正在恢复时可替代的人工操作流程 确保团队成员达到推动BCP所需能力的技术培训 6. 测试及维护进行演示及有规律的测试，增强信心及效率，确保其相关的文档时常更新。 总之，组织没有业务持续计划就像是不设防，不可能阻止任何

8、不可预测的破坏所造成的各种损失。所以公司必须认真的对待业务持续计划。应急响应计划应急响应概述应急响应背景1988年Morris蠕虫事件直接导致了CERT/CC的诞生。美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（CSIRT）。在CERT/CC 成立之后的14年里，共处理了28万多封Email，2万多个

9、热线电话，其运行模式帮助了80多个CSIRT组织的建设。“进入21世纪，网络技术的高速发展，使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局，已经全面映射到开放的互联网体系中，由此形成了一个社会、技术一体化的复杂巨系统！”在首届“全国互联网应急处理研讨会2004”大会上，专家们描述出的国际互联网大环境，使我们深刻地认识到，完全杜绝互联网安全事件是不可能的，重要的是加强应急响应！ 在这一复杂巨系统中，国家公共管理职能开始向互联网世界全面渗透。就像物理世界面临着SARS、禽流感等病毒时，国家建立了整套的应急体系和处理能力一样，当互联网上蠕虫、病毒、网络攻

10、击日益泛滥时，同样需要这样一个体系对网络攻击事件进行紧急处理，包括事前监测、事中处理和事后的灾难恢复。因此，公共互联网应急体系已经成为国家应急体系的一个重要分支。正因为应急响应的重要战略地位，2004年1月9日10日在北京召开的备受信息安全业界乃至社会各界关注的全国信息安全保障工作会议上，国家将强化应急体系、提高处理能力作为保障信息安全最重要的基础任务之一。2月11日13日由信息产业部互联网应急处理协调办公室(简称CNCERT/CC)主办的“全国互联网应急处理研讨会2004”大会，正是这一精神的具体落实和体现。但是，与物理世界不完全一致的是，面对全球一体化的互联网环境，国家公共互联网应急体系的

11、建立和应急处理能力的提高，并不能仅仅依靠政府的力量，而是需要世界各国相关组织在技术、资源、经验方面的共同合作，需要政府与企业、全社会每个人的互动！在互联网这样一个复杂的巨系统中，如何提高应急响应的处理水平确是摆在我们面前的巨大难题，这也正是次此会议的初衷从理论方法学到实际运作经验，探讨如何在复杂巨系统中理清思路，提高应急响应水平的方法。“开放的互联网符合复杂巨系统的所有特征，我们要用综合集成的思维方式，考虑应急响应的管理方法。”对许多人而言，公共互联网应急响应的概念并不新鲜，也并不难理解，因为物理世界面对SARS的处理方法已经让人们充分地认识到了应急响应的必要性和紧急物理隔离的措施和方法。然而

12、，当现代社会越来越依赖大规模的网络系统时，按照常规的方式已经不能有效处理网络紧急事件了：计算机蠕虫病毒已经成功实现智能化，开始主动寻找设备进行攻击；感染速度越来越快，能在数小时内传遍全球；应急响应却越来越慢，网络攻击采取伪造地址方式，难以追踪到真实的病毒制造者；而进行完全的物理隔离在互联互通时代越来越行不通于是，理想与现实的反差越来越大！中国工程院院士何德全认为，这是因为，互联网世界已经构成了一个“复杂巨系统”！“复杂巨系统具有四个重要特征，而开放的互联网体系完全符合这四个特征:首先是巨，即子系统数目巨多，不是千万级数量概念，而是数亿级数量概念；第二是复杂，子系统与子系统之间是高度非线性的内部

13、关系结构；三是自组织，互联网没有统一的领导，而是依靠统一的协议进行连接；四是开放，任何系统只要符合协议规范，就可以没有任何限制地任意连入全球网络系统。”在这种复杂巨系统中，虽然很多企业自己提早做了应急预案，但在具体实施中很难实现理想的效果。为什么呢？因为目前的应急管理无法适应复杂巨系统的要求：首先是缺少知识层次上的应急响应的全生命周期管理；其次是做出的应急计划都是线性、彼此完全分割的，只有任务的分解而没有综合集成，基本无法完成有效的应急响应。预案不是简单做完了就行的，而应该随着过程、环境的变化而不断变化，不应该是线性的，而应该是非线性的防灾计划。信息安全与应急响应的关系对于一个单位或组织来说，

14、信息和其他重要的商业资产一样都具有价值，因此要给于适当的保护。信息安全保护信息免受各方面的威胁，以达到确保商业连续性，尽量减小商业损失并且尽量增加投资回报率和商业机会的目的。信息能够以多种形式存在。可以打印或写在纸上，以电子形式存储，通过邮寄或使用电子方式传播，用影片显示或口头转述。无论信息表现为何种形式，或以何种方式分享或储存，都应该对其进行适当的保护。信息安全的特点被总结成保护：保密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。信息安全可以通过实行一套控制措施来实现。控制措施除实施安全产品外

15、，还要有必要的紧急事件的响应和灾难事件的备份与恢复机制，如2003年1月25日爆发的sql slammer蠕虫事件，组织中如果没有很好的应急响应流程和方法，就会给组织带来很大的损失。如图16-1应急响应属于风险管理的一部分。图16-1应急响应组成在信息安全中，对于一个组织来说，最重要的就是保持组织的业务连续性，如图16-2清晰地说明了维持业务连续性要制定的相关计划，其中很重要的内容就是事件响应计划。图16-2业务连续性计划因此，下面的章节会讨论应急响应的相关术语及如何有效的建立应急响应小组等，帮助组织建立自己的应急小组，以辅助组织实现自己的安全目标。我国的应急响应体制现状红色代码事件推动了我国

16、应急处理体系的形成，对跨国的计算机攻击事件的处理推动了国际应急组织的合作，我们已经实现从应急组织向应急体系的转变。早在SARS出现之前，早在物理世界的疾病应急体系建立之前，信息产业部就已经着手建立公共互联网应急体系，在组织结构、人员组成、响应技术方面进行了综合投资和考虑。整个国家的应急体系都在建设中，不仅包括互联网应急体系，还包括广电系统、医疗卫生系统、煤炭系统等应急体系，但信息产业部走在了前面，公共互联网应急体系的经验值得推广。据CNCERT/CC主任方滨兴介绍，中国CNCERT组织自2003年7月正式成立以来，目前已经在全国各地建立了31个分中心，授权10家信息安全产品和服务供应商作为重要

17、的技术、服务合作伙伴，除此而外，信息产业部还要求国内的10家骨干互联网运营企业(包括6家电信运营商和4个公共信息网)成立自己的应急响应中心(CERT)，这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户，成为了CNCERT/CC的主要联系成员，由此形成了一个立体交错的应急体系，形成了信息上下畅通传递的通报制度。这套体系不仅在中国，在世界也是独一无二的。通过这套体系，2003年，在SQL病毒、口令蠕虫和冲击波病毒泛滥致使成千上万台服务器遭受重创、435台中国的主机网页遭到篡改、各种DDoS攻击严重的恶劣的互联网环境下，CNCERT/CC有效及时地将应急方法推广下去，使这些攻击得到有效

18、的遏止。此外，互联网攻击全球化的特征，使各个国家的CERT组织必须在深层次上展开合作，才能形成全球一体化的反应体系，在这个体系中，各国的CERT组织均是其中重要的一个成员。CNCERT/CC也一样，目前与国际应急响应组织建立了广泛的技术、交流的合作关系，并在与国际交流中，在职责、组织结构和技术水平上不断进行完善。在法律规范上，虽然目前关于互联网应急响应的国际公约还不成熟，但是联合国已经提出，国家与国家之间在互联网应急上要相互协作。在技术手段上，为了实现应急响应的监测、响应和恢复三大职责，各个运营商，包括中国移动、中国电信、中国教育网等，都已积极建立自己的互联网监测平台，并连入CNCERT/CC

19、的监测平台上。而国家对信息安全监测和预警技术也给予了充分的投资，国家863项目的917监测平台正是在国家层面上建立起的试点性的监测项目，通过自愿加入的原则吸收成员单位，及时发现互联网上的攻击行为和新的病毒爆发情况。目前的监测还仅限于流量异常监测、及时发现网络攻击和新型蠕虫病毒，但是，在未来，我们必然会实现更加细粒度的监测和网络安全应急响应。正因为互联网全球化的特征，公共互联网的应急响应才具备国际化的特征，需要更多的国际应急响应组织参与到体系当中，共同进行技术的合作、经验的交流。应急响应的国际组织结构计算机应急处理的国际组织惯称为：CERT (计算机紧急响应小组)，也有的被称为CSIRT (计算

20、机安全事件响应小组)。在美国的推动下，全世界几十个国家和地区都成立了CERT或类似的组织。1990年11月，在美国、英国等的发起下，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，简称FIRST。它的基本目的是使各成员能就安全漏洞、安全技术、安全管理等方面进行交流与合作，以实行国际间的信息共享、技术共享，最终达到联合防范计算机网络上攻击的目标。截止到目前，全球有30个国家和地区的CERT组织加入到了FIRST组织中。2002年3月CNCERT/CC与澳大利亚的AusCERT就亚太地区各应急处理组织之间如何协作处理安全事件进行了讨论，并合作草拟了建立亚太地区应急处理工作组(A

21、PCERT)的提议，提交亚太地区安全事件响应协调会议讨论，形成了成立APCERT组织的声明(征求意见稿)，并决定成立工作组来负责对该声明进行修订。CNCERT/CC的代表刘欣然博士作为工作组成员参与了该声明的后续修订工作。2003年3月2425日，在中国台北召开的APSIRC2003会议上，APCERT声明获得了所有成员的一致通过，正式宣告亚太地区应急响应工作组APCERT的成立。各参会代表投票选举了APCERT指导委员会的成员单位，CNCERT/CC与澳大利亚的AusCERT、日本的JPCERT/CC、韩国的KrCERT/CC、中国香港的HKCERT、新加坡的SingCERT、马来西亚的My

22、CERT入选，负责APCERT日常工作。在美国的推动下，全世界几十个国家和地区都成立了CERT或类似的组织。1990年11月，在美国、英国等的发起下，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，简称FIRST。亚太地区应急响应工作组称为APCERT，作为APCERT的指导委员会成员单位，澳大利亚、日本、韩国和中国香港的CERT组织代表参加了这次会议，他们在应急体系的建设、应急方法的采用、职责和功能上虽然有着高度的一致，但地区特色依然浓厚，存在很大的地区差异。但由于应急响应全球合作的特征，这些CERT组织间进行有效的沟通和经验交流，将对全球一体化地反击公共互联网威胁起到巨

23、大的作用。从组织结构来说，这些CERT组织无一例外是由该国家或地区的政府倡导成立，大部分CERT组织的经费来源于政府，也有一些经费来自于信息安全培训和成员的赞助，他们一般的任务在于进行互联网上的异常监测，及时发现异常流量并进行早期的预警，协调事件的处理，通过公告和信息论坛的形式进行信息安全普及教育。某些国家还开展了内容监测，并通过政府、ISP、公众、CERT组织共同参与的方式对紧急事件进行响应。澳大利亚的CERT组织(AusCERT)在澳洲重要基础设施的保护中发挥着重要作用，AusCERT的Mark McPherson先生认为，应急技术是CERT组织最重要的内容，只有让成员单位相信通过自己的技

24、术能得到真实的好处，能在“黄金时间”内得到有效的预警信息，提前预防，才能使CERT真正发挥作用。目前，AusCERT的经费来自三方面：政府、成员单位和信息安全普及培训。中国香港地区的CERT组织(HKCERT/CC)由香港生产力促进局运作，其主要职责则在于协调处理和预防以中小企业为目标的网络攻击。工作重点在于协调，而不是研发。HKCERT的梁兆昌介绍，对应急事件的协调可能比应急事件本身更重要，因为，协调是为了保证当事件到来时能有效地沟通，确保事件的统一化处理。因此，HKCERT与各国的CERT组织保持着密切的沟通，通过研讨会、论坛以及应急事件描述与交换形式(IODEF)工作组的交流，及时对各类

25、攻击进行预警。日本的CERT组织(JPCERT/CC)除了上述一些职责外，还增加了信息安全技术普及和信息安全趋势分析职能。JPCERT的Yurie Ito女士介绍，JPCERT非常重视信息安全技术，目前，来自不同的ISP和厂商的30名信息安全专家是该组织的专业顾问。此外，JPCERT还建立了一个互联网扫描数据获得系统(ISDAS)，该系统已将几十个探针直接安装在自愿加入该系统的用户端，随时监测互联网上的流量和内容异常，以便第一时间发现网络上的攻击。而韩国的CERT组织(KrCERT/CC)则在现有的基础职责基础之上，正在努力开拓一些新领域的应急响应，KrCERT的Jungu Kang先生介绍，

26、目前KrCERT正在开发对病毒自动进行分类、统计的系统；开发在P2P和无线网络领域里发展应急响应技术以及开发针对攻击的早期预警系统。在公共互联网的应急响应方面，各个国家的CERT组织的职责、任务、甚至包括体系结构并不完全一致，国际上也并没有要求必须进行完全的统一。但是，这些CERT组织共同的目标是通过发展信息安全应急技术，对互联网攻击进行有效预警。此外，各国CERT一个共同的作法是密切保持国际组织间的合作，保持对攻击信息的有效沟通，为此，正在发展中的紧急事件描述与交换形式(IODEF)就成为一项重要的内容，虽然目前它尚未成为正式的标准，但显然，包括日本、韩国在内的一些国家的CERT组织正在采用

27、它，由于信息沟通在应急响应中的作用日益重要，IODEF的价值就日益突出。但是，遗憾的是IODEF目前不适用于中文，这对CNCERT/CC与国际交流将产生不利的影响，相信不久之后这种情况会得到改观。为了紧急应对公共互联网安全事件，各国的政府、运营商、企业、个人开始了全球总动员！2003年2月，信息产业部批准将1999年成立的“国家计算机网络与信息安全管理中心因特网应急小组协调办公室”更名为“信息产业部互联网应急处理协调办公室”。2003年7月14日，中编办正式批复成立了国家计算机网络应急技术处理协调中心，这是计算机应急响应的处理中心，简称CNCERT/CC。国内外现有安全事件应急响应组织大概可以

28、分5类：1. 第一类是网络服务提供商的IRT组织，如CERNET的CCERT，主要为CERNET的接入用户提供增值的服务；2. 第二类为企业或政府组织的IRT组织，如美国联邦的FedCIRC、美国银行的BACIRT（Bank of America CIRT）等；3. 第三类是厂商IRT，如Sun、Cisco等公司的响应组，主要为本公司产品的安全问题提供响应和支持；4. 第四类为商业化的IRT，面向全社会提供商业化的安全救援服务；5. 第五类是一些国内或国际间的协调组织如FIRST、CN-CERT/CC等。有些IRT既是协调组织，同时又提供服务，如CERT/CC。IRT组织不仅仅坐等安全事件发生

29、以后才去补救，未雨绸缪、防患于未然也是IRT组织的重要服务内容。所以，一般还提供安全公告、安全咨询、风险评估、入侵检测、安全技术的教育与培训、入侵追踪等多种服务。就应急响应服务本身而言，由于它具有以下特点使得这一服务非常困难：(1) 技术的复杂性与专业性； (2) 知识和经验的依赖性； (3) 事件的突发性强； (4) 需要广泛的协调与合作。应急响应相关术语事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应，网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。应急响应计划：被设计用于在紧急情况、系统故障

30、或灾难事件中在备用站点维持和恢复包括计算机运行在内的业务运行的策略和规程。下图16-3是应急响应计划过程图。图16-3应急响应计划过程应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。安全应急响应管理系统的建立应急响应目标随着IT技术越来越多地应用到机构或公司的业务中，IT系统的应急响应功能变得更加关键。因而IT安全管理的主要功能就是采取足够的主动措施解决各类安全事件。安全事件可能被许多不同的事件触发并破坏单个IT系统或整个网络的可用性、完整性、数据的保密性。IT安全管理系统要特别注重响应、处理安全事件，因为安全事件可能带来重大破坏。那些引发或可能引发

31、本地小范围破坏的安全问题应该就地解决，以避免加重IT安全管理系统的负担。安全事件的处理最终是由IT安全管理系统负责，并且是以保证以下各项为目标的：（1）响应能力，确保安全事件和安全问题能被及时地发现并报告给适当的负责人；（2）决断能力，判断是否是本地安全问题抑或构成一个安全事件；（3）行动能力，在发生安全事件时基于一个很短的提示就能采取必要的措施；（4）减少损失，立即通知企业内其它可能受影响的部门；（5）效率，实践和监控处理安全事件的能力。为实现这些目标，必须建立一个管理系统来处理安全事件。这时管理层有必要参与进来并最终让管理系统发挥作用，以提高对IT安全问题的认识，合理分配决定权，更好地支持

32、安全目标。下面描述的步骤为如何建立一个管理系统来处理安全事件提供了一个建议1步骤1安全指南内容对安全事件的处理是IT安全管理的一个方面，因此应该被列入安全指南及机构或公司的安全策略中。这些文件必须包括用户和受害单位报告给安全负责人的安全事件及安全问题。除此之外，还必须有对决断过程的描述并按照规定的过程动员员工。同时，安全指南内容也是管理层支持IT安全的一个证明。2步骤2职责规范本步骤中必须规定在安全事件发生时谁应该承担什么责任。比如，下面各工作组可能有这些职责：（1）IT用户：报告安全问题和安全事件。（2）IT管理员：接收报告、采取初步行动，根据得到的报告判断是一个安全问题还是一个安全事件，并

33、将它提交高层。（3）负责IT应用人员：参与决策过程，根据自己对IT应用要求的保护程度评估选择措施。（4）IT安全员或IT安全管理层：接收报告，判断是安全问题抑或安全事件，并采取必要步骤。（5）安全事件队伍：由IT管理员，IT用户，IT安全员以及公关人员和可能的管理层。处理安全事件。（6）IT安全审计员：复查管理系统并评估安全事件。（7）管理层：做最后决定。这些职责必须被定义好并被有效实施。3步骤3：处理安全事件的过程规则和报告渠道为有效地处理安全事件，让那些受到安全事件影响的部门以正确而稳健的方式来做出反应是很关键的，并且要立即将事件报告。因此必须定义必要的过程规则(包括保持镇定、报告责任、提

34、供到场环境信息的义务等)，并据此培训IT用户，其中要特别注意确定好那些IT安全问题或事件的报告对象。在发生安全事件时，那些准备采取的行动指示(比如，出现计算机病毒，内部人员操作数据，外部黑客试图入侵等)可以提前起草好。一旦发生紧急情况，人们能够迅速地反应以减少损失。由于这些准备工作并不是毫无作用的，因此应该将其纳入那些可能制定计划的相关部门的工作中。4步骤4：安全事件的报告提交策略根据安全事件的处理规则，安全事件越关键，需要的授权就越大。极端情形下，这意味着必须要及早报告给管理层，并使其参与其中以采取必要的措施，比如：禁止泄漏任何信息、报警、采用另一种可实现的替代办法(可能成本较高)等。无论采

35、用哪种方法，都要求提前制定好提交策略，并制定在何种情况下要咨询何人的规定。5步骤5：设置优先级安全事件的产生，一般是各种不同的原因综合在一起达到一定程度时发生的结果，安全事件产生的后果则会影响到不同的IT应用领域，所以针对其采取的各种措施也应该根据应用领域的不同设置不同的优先级。这种优先级的设定取决于系统保护需求、IT应用范围以及机构或公司对应用系统的依赖性。因此正如确定保护需求一样，要求提前制定好优先级表，根据安全事件导致的灾难后果顺序采取相应的应急措施。6步骤6：调查和评估安全事件的方法一旦收到与安全相关的非常现象报告，必须一开始就判断它是被看作本地安全问题还是会构成一个潜在的损失更大的安

36、全事件。在做判断之前，有很多因素需要被确定和评估(潜在的和持续的损失程度、原因、哪个IT系统受到影响、要采取什么样的即时措施等)。如果有必要，应象提交策略中的规定那样，咨询上一级管理层。7步骤7：针对安全事件采取补救措施当采取必要的安全补救措施时，必须牢牢记住这些措施的实施往往有时间限制。因此，措施本身也可能引发新问题。将采取的措施用适当的方式存档是很重要的。进一步说，假定时间是人为确定的，还应当考虑如何处理这些人为因素。在某些情形下，可能要暗示当事人。8步骤8：通知受影响各方如果安全事件冲击的对象不仅仅限于机构、公司和企业内部个人，为控制损失，所有受影响的企业内部各部门和外部机构都应该被通知

37、到。为提高通知速度，应提早建立沟通渠道和执行相关性分析。9步骤9：安全事件的评估为从发生的安全事件中汲取教训，应当规定评估安全事件处理过程的规则。这样可以对改进安全事件的处理效果或对IT安全概念有效性的理解做出结论。这里需要考虑以下几个方面：（1）响应时间；（2）对报告渠道的了解程度；（3）提交策略的有效性；（4）调查的有效性；（5）通知受影响各方的办法。10步骤10：安全事件发现措施的使用安全事件越早发现和报告，采取的对策就越有效。应该采用所有可以得到的自动发现方法以减少因为依赖人而带来的响应延迟。反病毒程序和日志/入侵探测分析系统就是这类方法的两个实例。11步骤11：有效性测试为了衡量一个

38、安全事件处理管理系统的有效性，并且加强对这些管理任务的必需演练，应该进行一些演习和假想训练。由于这可能会需要大量的人力资源、干扰正常工作，因而必须限制在重点区域内进行。应该在安全事件处理资料中保留上述步骤执行的结果。对这些结果还应当定期更新，并以合适的方式通知各利害方。其余方面的控制：（1）是否对所有不同类型的安全事件制定好相应的处理过程和规则？（2）制定的过程规则和上报渠道是否以文本形式加以说明？（3）员工都知道这些吗？应急响应策略1.策略制定计算机和信息安全开始于策略，结束于策略。信息安全策略是计算机和信息安全必需要素的最高层次的阐述，它包括建立安全保障需要的最基本的要求和必要的基础设施。

39、策略里通常告诉用户（可能是系统管理员）该做什么和不该做什么，并且明确了被发现没有遵守该规定应受到的惩罚。好的策略通常会表明组织对安全的态度组织是否愿意冒着较小的安全风险让用户有较大的访问自由，或者是宁愿宁愿用户使用不方便，甚至丧失某些功能和性能也要保障较高安全，或者居于二者之间。策略是成功的计算机和信息安全工作中的一个重要部分，没有明确的要求通常会带来厄运。以下几类比较重要的事件响应要求应当包含在信息安全策略里：批准建立事件响应机制（表明这是组织要求的功能）事件响应的任务或者目的，以及范围(如果需要) 给事件响应的授权。对事件响应的限制（在对事件响应的过程中什么是允许的，什么是不允许的）与法律

40、部门的关系（是否应当让法律执行部门介入，如果是，在什么时候）只是简单地写一个规定当然并不能起多大作用，但事实上却是治疗“遗忘规定”的良方，争取受影响的人的支持对扫除障碍很有必要。特别是要得到高层管理人员的批准。如果没有高层管理人员的支持，策略注定要失败。让一个规定起作用的一个最好的策略是让受到影响的人看到来自高层管理人员的支持。2. 策略更新有一个策略条文很重要，但除去那些已经过时了的策略。因此定期检讨一个组织的信息安全策略，特别是（在当前情况下）与事件响应相关的策略就很重要了。如果需要修改，就应当进行相应的改动。新的事件类型不断出现，就要求对与事件响应有关的规定进行修补；有的事件响应的努力并

41、不成功，就要求对情况进行分析，看某些要求是否合适。3. 事件的分类及处理优先级并不是每个安全事件都是被优先考虑的。一个小型病毒的发作只需要对几台PC机进行杀毒就可以了，这与能蔓延至整个公司电子邮件服务器的大型病毒完全不同。一些针对网络服务器进行扫描及阻塞服务器的“小型脚本语言”对服务器的影响，无法与一个DOS攻击对该系统产生的影响相比。要想制定一个能适用于所有情况的优先权及严重程度的标准是不可能的。一个安全事件的相对重要性是依据其对工作平台及操作系统的影响再加上其在商业上产生的影响而决定的。从理论上讲，由于使服务器与外网的断开所造成的损失可能会比病毒造成的损害更大。作为危险因素分析的一部分，公

42、司应对他们的信息资源及相对有价值的资源有所认识。这是进行优先权分析的第一步。高价值的资源应被分配到高优先权范围。安全事件的严重程度及范围都应与处理方法相适应。只影响一台PC机的病毒与影响整个机构所有机器的病毒完全不同的。很少扩散的病毒危险性小于以随机地址扩散而损坏数据库或电子邮件的病毒。例如，机构可以定义如下四个级别的严重程度。第一级别为单一地点（物理上的或非物理上的）及相对冲击较小的事件。这种情况包括小型病毒安全事件，它不会对数据库造成损坏以及对当地文件服务器上帐户的非授权操作。第二级别为对运行造成严重损害的单一地方安全事件。例如，个人帐户受到攻击，或是关键设备被盗。第三级别为影响两个或两个

43、以上地点的安全事件（同样，定义包括物理上的及逻辑上的地点），但其只造成较小冲击。例如，网络或电子邮件系统上的无损害病毒的扩散。第四级别为对多地点造成巨大损害的安全事件。这需要进行强制处理并定位于高优先权状态。例如：对重要的全球申请系统的非法入侵。其他的模式可根据其他机构的具体情况进行调整。例如，物理安全部门可以把物理上的资源作为优先考虑的对象，并按它们的价值进行调整。他们也可以按严重程度进行分类，并可以同信息资源相匹配。如果公司有一个恢复商业运作或灾难恢复的计划，他们可以以恢复作为目的来进行优先权的分配。一个已投入使用并为管理者所接受的模式，远比一个新模式的作用效果要好得多。很明显，对一次安全

44、事件所带来的后果进行完全量化是不可能的。在前面的例子中，牵连到网络服务器的安全事件，其严重程度可以归为第二级别，但对商业性的企业来说，其潜在冲击可使其具有更高优先权。当需要对多个安全事件进行响应时，以一种模式作为依据可以帮助事件响应组对优先资源进行更好的工作计划和安排。应急响应责任当制定应急响应责任的详细规定时，应该假设安全事件发生时的活动顺序。涉及到的工作组和个人的任务及职责也应该被确定下来，并制定好适当的强制执行措施。下面的例子针对一些典型的受影响群体，给出一些做法。1. IT用户任务：一旦觉察与安全相关的异常事件时，他们必须遵守适当的过程规则并报告这些异常事件。职责：IT用户必须决定在当

45、时的情况下采用何种合适的报告渠道。义务/指导：每一位IT用户都有义务按照本单位的安全指南来报告任何与安全相关的异常事件。此外，所有的用户都应该得到一份书面的指令性文件，用以指导他当发生异常事件时应该采取的行动，以及应该向谁汇报等事项。2. IT安全管理员：任务：接收与其负责的IT系统有关的异常事件报告。报告决定是立即采取行动，还是按照提交策略向上一级报告。责任：一个IT管理员必须能够确定是否真的产生了安全问题，他是否可以独立解决，是否需要根据提交计划立即咨询其他人，以及他应该通知谁等。义务/指导：应该在职位描述及安全事件处理策略中指定。3. IT安全员/IT安全管理层任务：IT安全员接收安全事

46、件报告。负责调查和评估安全事件，并在其职责范围内选用适当措施进行处理。如果有必要，他负责组建安全事件处理小组或将问题提交给上级管理层。职责：被授权对安全事件进行评估，并可将事件提交给高级管理层。除此之外，他可以在授权范围内利用财务和人力资源独立处理安全事件。义务/指导：根据IT安全管理层制定的“安全事件处理策略”，所有的IT安全员都承担其处理安全事件的任务和职责。4. IT安全审计员任务：IT安全审计员必须定期检查安全事件管理系统的有效性，并参与评估安全事件。职责：在管理层同意下，启动和实施预定义的检查。义务/指导：见工作职责描述和“安全事件处理策略”规定。5. 公共关系/信息发布部门任务：在

47、发生严重安全事件的地方，除了信息发布部门之外，其他任何部门和个人都不能对公众泄漏任何信息。这样做的目的并不是为了掩盖事件或者降低事件的严重程度，而是要以目标化的方式解决问题，避免相互矛盾的信息给企业带来的形象损害。职责：信息发布部门必须和专家一起准备与安全事件相关的信息，在发布之前必须得到高级管理层的同意。义务/指导：见工作职责描述和“安全事件处理策略”规定。6. 代理/公司管理层任务：严重安全事件发生时，应该通知管理层。如果有必要，管理层要作出决定。职责：负总体责任，并对上述各工作小组负责。除此之外，当怀疑有犯罪活动时他们可以报警，起诉罪犯。义务/指导：管理层必须批准“安全事件处理策略”和基

48、于策略的安全应急计划，作为计划的一部分，各管理层应明确其在安全事件处理中的角色。7. 安全事件小组除了上述工作小组之外，当有困难或发生严重的安全事件时，必须在有限的时间里组织安全事件应急小组来处理安全事件。这一般由IT安全员负责实施。即使安全事件应急小组只是为满足特殊的安全事件需要而设置的，但为保证尽可能快地响应安全事件，其成员必须被提前安排并被告知分配的任务。安全事件应急小组的成员应该被授权在其职责范围内完成其相应的任务。整个过程一定要有书面的详细规定，并经管理层授权。特别要注意的是：必须指定小组的负责人。根据安全事件的类型，安全事件应急小组的成员应包括以下各部门的成员：（1）机构/公司管理

49、层；（2）IT安全管理层/IT安全员；（3）IT部门的领导；（4）信息发布部门；（5）数据保密员；（6）法律顾问；（7）工会。如果有必要，还要召集其它部门，比如：专家部门(部门负责人，IT安全员)、IT管理员、提供现场服务的部门，一般服务部门，组织，人力资源部门及消防员等。必须事先对安全事件带来的一些额外工作如何处理做明确的阐述，比如是否需要根据安全事件处理时间的延长进行加班、周末工作等。要采取措施确保在正常工时之外，若有必要，应急小组可以使用办公楼。其余控制：（1）有没有指定安全事件应急小组；（2）是否对各成员执行的任务进行讲解和说明；（3）由什么人来协调这些措施；（4）灾难恢复管理小组的组

50、成最近的一次变化发生在何时。安全应急程序规则及报告渠道1. 处理规则许多安全事件仅仅是因为决定得过于仓促，因而采取了不合适的应对行为进而演变为严重问题。比如那些可以帮助我们了解整个事件的数据被删除等。必须明确区分应用于所有可能安全事件的一般性规则与IT特有的规则之间的不同。可以为所有类型的与安全相关的异常现象规定以下通用的过程规则：（1）所有当事人应该保持镇定并不要仓促采取行动；（2）对出现的异常现象应该按照应急计划立即报告；（3）除非授权人要求，否则不能采取应对措施；（4）所有现场因素必须被坦率、透明、无遮掩地解释，以尽量减小损失；（5）应根据个人经验，对受影响的组织内外各方的损失潜在程度、

51、后续损失结果进行初步评估；（6）没有经过授权，有关安全事件的信息不能泄漏给第三方。必须以适当的方式将这些通用的处理规则告知机构或公司里的所有可能受到影响的员工。除此之外，对那些已经受到影响的人员，尤其是那些当发生安全事件时需要他们做出最早决定或采取最早措施的人，要为他们提供相应的处理规则，这些人中包括IT管理员、IT应用负责人和 IT安全管理员等。2. 报告渠道一旦制定好处理规则，报告渠道也要确定好。我们建议按下面的线索开始进行：（1）如果发生不可抗力比如火灾、水灾、停电、入侵和盗窃，要告知相关的本地服务部门(消防部门、现场技术服务、入口控制员工、安全保卫等)；（2）如果发生硬件故障或IT系统

52、操作出现异常，应该告知具体负责的IT管理人员；（3）如果怀疑是故意行为而且不能用任何别的方法解释(比如数据操作、未授权操作、怀疑有间谍或破坏)，必须告知IT安全员或IT安全管理层。尤为重要的让全体员工知晓在发生各种安全事件时该与谁联系以及使用什么报告渠道，比如在内部黄页和内部网上包含相关人的名字表、电话号码和电子邮件地址。无论如何，应该使得员工管理的手续不困难，过程不冗长，必须针对这些工作建立快速、安全的沟通联系方式，沟通双方的真实性必须得到保障，有关怀疑事件的报告信息也必须保密。要告知所有员工有关安全事件的信息只能透过IT安全管理层透露给第三方。要经常对处理规则进行演练，以检查这些处理安全事

53、件的规则是否合适、是否易于实现以及是否为所有员工所了解。有关安全事件的经验显示：一个良好的操作环境、一个方便的提示和一个快捷便利的安全事件报告渠道对于及时、有效地处理安全事件是多么的重要。要把处理规则和报告计划告知给所有受影响的员工，一个比较有效的方法就是提交一个由管理层签字的信息清单，在上面概括了最重要的信息，可以将其放在工作间作或内部网上。例如这种信息清单可以放在IT系统保护手册光盘的帮助一栏里。建议不仅仅用电子版发布它，还需要利用其他途径让员工们清楚了解，因为电子版本也可能受安全事件影响。当组织内部发生变化时，所有关于潜在安全事件的信息都将被及时更新，这样就可以保证处理规则可用、报告渠道

54、畅通。3. 其它控制：（1）对各种不同类型的安全事件是否定义了处理规则；（2）是不是所有人都了解；（3）这些信息最近一次更新的时间。安全应急响应管理系统的有效性测试为保证安全应急响应管理系统的有效性，需要经常定期对管理系统进行检查，并对其中的措施进行测试。检查内容包括：（1）它们是否被涉及的员工所了解？（2）在发生安全事件、应用不能正常运行时，它是否可行？（3）它们是否能被纳入操作过程？为测试管理系统的效率，应该模拟损害事件以检查定义的过程是否能工作，或者它是否实际可行。如果不实际可行，应该作适当的修改。为测试这点，要进行公开和未公开的演练实践。当演练实践在未公开状态下进行时，要保证在任何情况

55、下都不能触发可能导致损害IT系统、数据或其它系统的动作，不管这种损害是永久的还是修正起来很困难的。在开始演练实践前，需要认真考虑提前通知谁。要保证演练实践是经过管理层授权的。有些时候不通知某些特定的人群也是有益的，比如，入口控制人员或管理员。但是，必须采取措施防止情况失控。应避免惊动警察、消防部门，避免切断机构或公司的网络连接。例如：（1）可以给企业或机构的总机打电话，假装成一个已进入内部网的黑客。另外一个方法是，你可以假装是记者，声称听说黑客已经进入内部网并已拷贝了秘密数据，同时还要给那些发生安全事件时应该被召集的人，比如信息发布部门或IT部门的领导打电话。这么做的目的是试探是否会出现内部混

56、乱，或者，在这种情况下是否已经有目的地采取了合适的行动。（2）在一天之内可以对感染计算机病毒时采取的所有动作及报告渠道进行检测。不必提前通知所有相关人员和部门，只是在他们需要知道这一事件的最后一刻通知他们即可。其余控制：（1）最近进行过什么演练实践？（2）这些演练实践提前得到了管理层同意吗？应急响应流程应急响应一般的流程是准备检测抑制根除恢复跟踪，1. 准备准备就是要做好安全保障工作，从微观上讲就是一要建立应急预案，其中包括准备高效的事件处理流程，完善的信息发布和汇报流程；其二要建立应急组织，要获得处理问题必须的资源和人员，同时指定一个应急责任人给予必要的资源和权力；其三就是要建立应急响应活动

57、的技术平台，通过扫描、风险分析、打补丁增强原有系统的安全性，同时建立全局监控系统。从宏观上讲，要建立协作体系件，建立数据汇总分析的体系和能力，制定相关的制度规范。2. 检测检测是确定事件是已经发生还是在进行当中，从微观上讲第一要确定事件的性质，其影响的严重程度及计划采用什么样的专用资源来修复？第二要作出初步动作和响应，其中包括选择检测工具，分析异常现象，激活审计功能记录所发生事件，提高系统或网络行为的监控级别最后估计安全事件的范围。从宏观上讲，要通过汇总，确定是否发生了全网的大规模事件，确定应急等级，以决定启动哪一级应急方案。3. 抑制抑制就是要限制攻击的范围，同时限制潜在的损失和破坏，从微观

58、上讲第一要初步分析，重点是确定适当的封锁方法，包括将网络断开；修改防火墙和路由器的过滤规则；拒绝来自发起攻击的主机的所有的流量；封锁或删除被攻击的登录账号；关闭被利用的服务；完全关闭所有系统等。第二要确定封锁操作带来的风险，第三可列出若干选项，讲明各自的风险，由服务对象选择。从宏观上讲，要确保封锁方法对各网业务影响最小，通过协调争取各网一致行动，实施隔离，汇总数据，估算损失和隔离效果。4. 根除根除就是要寻找长期的补救措施，找出事件根源并彻底根除，从微观上讲第一要详细分析，确定原因；第二要分析漏洞，并修补漏洞；第三重新审视安全保障策略，包括修改安全策略，加强防范措施等。从宏观上要加强宣传，公布

59、危害性和解决办法，呼吁用户解决终端的问题，加强检测工作，发现和清理行业与重点部门的问题。5.恢复恢复就是要将被攻击的系统由备份来恢复，从微观上讲第一是要把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态；第二是安全措施实施后，重新数据备份；第三是使服务重新上线，持续监控。从宏观上看要持续汇总分析，了解各网的运行情况，根据各网的运行情况判断隔离措施的有效性，通过汇总分析的结果判断仍然受影响的终端的规模适当的时候解除封锁措施。恢复会涉及以下几个流程：(1) 系统恢复 从备份中恢复系统。有的安全事件，例如恶意代码事件，可能需要依靠备份进行全面的操作系统恢复方可根除。在这种情况下

60、，有必要首先检查备份的完整无误性。一般应该使用在系统遭受攻击前所制作的最新备份。 确保恢复过程中不含有已遭修改的代码。如果在系统受到攻击前，没有进行备份，那么必须重新装载系统，使用补丁，或是使用一个未受攻击的近似系统的备份在系统恢复过程中应尽一切可能使其不含有已被修改的代码。(2) 检验系统恢复一旦系统恢复确认以后，检验一下操作是否有效，系统是否已回到正常运行状态。确认理想的情况是专门有一个系统测试计划对系统进行评估。通常情况是系统照常运行任务，同时应用网络记录器和系统日志文件对其进行监控。有时，用来弥补某个漏洞的补丁或技术会导致系统的运行情况与发生安全事件前有所不同。(3) 决定何时恢复运行