談計算機安全事件的應急處理方法

張大胤/黑龍江技師學院

談計算機安全事件的應急處理方法

張大胤/黑龍江技師學院

計算機安全是指計算機資產安全，即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。一旦找到導致安全事件的原因，就要選擇并實施針對它們的應急處理方法。首先要控制事件繼續發展并解決問題，然后再恢復事務狀態。

計算機；安全；事件；應急；處理

計算機系統會受到眾多不幸事件的影響，從數據文件損壞到病毒，到自然災害?？梢酝ㄟ^標準的操作規程從這樣一些不幸事件中恢復。

一、提供必要的專業知識

為查明和處理安全方面的弱點，必須擁有相關的技術知識，因此要么培訓員工，要么找專家。為此，要準備一份聯系地址表，包含各領域的內外部專家，這樣就可以直接去尋求他們的意見，不用再耽誤時間。

二、安全恢復的運作

要去除安全弱點，首先應將這些弱點所涉及的IT系統斷開與網絡的連接，然后再將那些能提供已發生事件的性質和原因的信息文件（尤其是所有相關的日志文件）做備份。由于整個IT系統應該被視為不安全或已經被入侵，因此要檢查操作系統和所有應用是否已發生改變。除了程序之外，還應該檢查配置文件和用戶文件，以防被操縱。在這里使用校驗和程序比較合適。這預示著，有關的校驗和程序應該被事先確定，并且已經被永久保存。比如為保證敵方留下的特洛伊木馬已被刪除，應該從寫保護的數據介質中恢復原始文件。

三、文檔

在處理安全問題時的所有動作都應該被盡可能詳細地記錄歸檔，以便實現下列目標：保留發生事情的細節；能夠追溯發生的問題；能夠修正因為匆忙行動可能帶來的問題或錯誤；在已知的問題再次發生時能迅速解決；能夠消除安全弱點，準備預防措施；如果要提起訴訟，便于收集證據。這種文檔不僅包含對有關行動的詳細描述和時間記錄，也包含受影響IT系統的日志文件。

四、對故意行為的反應

當入侵者發起安全事件時，首先要決定是靜觀攻擊還是盡快采取措施。當然也可以試圖去抓住入侵者的“黑手”，但是可能會冒很大的風險，因為在試圖抓住對方的同時，對方可能會破壞、入侵或讀取數據。安全問題的調查結果表明，這種情況在組織內部經常發生，它可能是因為忽視、不合適的工作過程或技術問題而造成的，也可能是沒有仔細觀察安全措施或故意行為的結果。在因為內部原因而產生問題的地方，必須調查清楚觸發的原由。問題經常起源于不適當或不完整的過程，因此要對過程進行修改、補充或采取其他措施。如果因為故意行為或忽略而產生安全問題，就應該采取適當的紀律措施加以控制。

五、報告和總結階段

根據安全事件的處理規則，安全事件越關鍵，需要的授權就越大。報告階段可能貫穿于極端情形下，這意味著必須要及早報告給管理層，并使其參與其中以采取必要的措施。無論采用哪種方法，都要求提前制定好提交策略，并制定在何種情況下要咨詢何人的規定?？偨Y是最后一個階段，但卻是絕對不能夠忽略的重要階段。這個階段的目標是回顧并整理發生事件的各種相關信息，盡可能地把所有情況記錄到文檔中。這些記錄的內容，不僅對有關部門的其他處理工作具有重要意義，而且對將來應急工作的開展也是非常重要的積累。

六、安全應急的調查

調查安全事件的第一步是弄清楚下列因素：安全事件可能影響什么IT系統和IT應用；通過IT系統網絡是否還會產生后續的損害；哪些IT系統和IT應用絕對不會受到損害和后續損害；安全事件導致的直接損害或后續損害的程度如何，應特別留意各種IT系統和IT應用之間的相關性；能觸發安全事件的可能因素；安全事件發生在什么時候，在哪個地方，由于在探測到安全事件時它很可能已經發生一段時間了，因此應維護好日志文件，但要保證它們沒有被入侵；是否只有內部IT用戶受到安全事件的影響，或者外部第三方也受到影響；有多少關于安全事件的信息已經被泄露給公眾。

如果安全事件已經引起嚴重的后果，那么它必須要被提交給上一級管理層。澄清這些因素后，必須確定可選方案，方案中將包含立即措施和補充措施。在這兒也應該考慮從前確定的優先級分配，還必須對實施這些步驟所需的時間、解決這些問題和恢復正常運作所需的成本和資源進行估計。

七、與安全應急有關的補救措施

一旦找到導致安全事件的原因，就要選擇并實施針對它們的應急措施。首先要控制事件繼續發展并解決問題，然后再恢復事務狀態。

八、對安全應急響應的評估

安全應急的評估是一項復雜的工作，涉及安全管理、技術、運行以及評估標準、評估實施等諸多方面，存在著國家、電信運營企業和用戶等多角度的不同需求。安全應急評估標準還要隨著安全事件的變化而不斷地完善和發展。評估指標體系的研究、建立同樣面臨著這些問題，需要開展持續的階段性研究，針對各種變化適時地加以改進。

九、安全應急中的預防

從實際應用上看，即使采用了種種安全防御手段，也不能說就萬無一失或絕對安全。對于很多與安全相關的異常現象，可以通過使用適當的技術在早期自動地發現。這些發現手段通常都會增加發現的可靠性，并減少從事件發生到被發現之間的時間。因此還需要有一些預防措施，以保證當系統出現故障時，能以最快的速度恢復正常，將損失程度降到最低。

不是所有的安全事件都可以用技術手段立即發現，組織措施也是經常必用的。自動發現措施的可靠性通常依賴于他們的更新程度和適應實際環境的程度。發現措施的有效性緊密依賴于從事這些任務的人的可靠性，也緊密依賴于這些措施在實際運行過程中實施的簡易程度。

另外，為了衡量一個安全事件處理管理系統的有效性，加強對這些管理任務的演練，應該進行一些演習和假想訓練。由于這可能會需要大量的人力資源，或干擾正常工作，因此必須限制在重點區域內進行。應該在安全事件處理資料中保留上述步驟執行的結果。對這些結果還應當定期更新，并以合適的方式通知各利害方。為維護安全應急響應管理系統的有效性，需要定期對管理系統進行檢查，并對其中的措施進行測試。為測試管理系統的效率，應該模擬損害事件以檢查定義的過程是否能工作，或者它是否實際可行。如果不可行，應該做適當的修改。為測試這點，要進行公開和未公開的演練實踐。當演練實踐在未公開狀態下進行時，要保證在任何情況下都不能觸發可能導致損害IT系統、數據或其他系統的動作，不管這種損害是永久的還是修正起來很困難的。在開始演練實踐前，需要認真考慮提前通知誰。要保證演練實踐是經過管理層授權的。