| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
处理安全事件七步骤
红伟 碰上安全事件的几率与日俱增,但别因为突如其来的安全事件而让整个IT部门慌了手脚。所以切勿等到陷入危机时才缓不济急地拟议应变计划,不妨根据本文讲述的七个步骤,拟定处理安全事件的标准流程。 处理安全事件首先要针对各种类型的安全事件拟议应变计划,这是保证系统恢复正常作业的关键。最常见的安全事件类型主要包括四种: * 档案权限(privileges)被动手脚:使用者因此获得较大的权限; * 资料遭篡改:档案被未授权的用户篡改; * 资料遭窃:资料从系统被移除; * 阻断服务:合法进入系统的权利遭拒。 往往一个安全事件涵盖数种类型。例如,网站内容被篡改就涵盖档案权限被动手脚以及资料遭篡改两项。 不同的事件需要不同的应变,不过不管什么事件,七大步骤均派得上用场。 步骤一:记录一切 一旦遇到事件,必须将所有与安全相关的信息一一记录下来。记录文件无须花俏,简单的Word文件搭配屏幕播放,就能发挥功效。记录的目的是抓牢一切信息,但不能破坏或污损潜在的证据。在进一步采取行动之前,我们要确认的确受到了安全攻击。 步骤二:与适当的人接洽 根据事件的严重性,第一通电话可能是打给服务供货商或公司内部的法律部门,开始连串的证据保护动作。事实上,在受到安全攻击时,人们第一反应多半是急于恢复受损系统,而忽视证据的保存。不管是哪一类型的事件,须拟出一套流程图,详列接洽的对象。 步骤三:阻止事件扩大 专心降低网络系统可能受到的伤害。确定安全事件是否还是处于进行式,是否应该严密监测。此外也要拿出决定意见,决定是否应该采取行动,制止事件扩大。 步骤四:确认漏洞所在 找到安全事件发生的原因,迅速制定应急策略,以免日后同样的事件重演。 步骤五:解决问题、修补伤害 想出解决办法后得切实落实,才能确保类似的安全事件不会死灰复燃。做法比较简单,例如下载操作系统的修补程序,或增加防火墙与路由器的设定。揪出安全漏洞后,得立刻修补事件造成的伤害。确定酿成事件的祸首已被摘除,系统运作正常。 步骤六:提高监测 当被安全事件拖累的系统恢复运作,我们不能以为就此万事大吉,还得继续监看后门,特别是在安全漏洞没有能立即修补的情况下,以免系统被黑客或计算机病毒一而再再而三地破坏。 步骤七:从事件学习教训 有的黑客会多次对同一对象发起进攻,所以要小心这类的黑客回头。我们应总结发生了什么事、发生的原因、该用什么办法确定它不会再发生,并将这一切归纳成文档资料,做为档案或员工培训资料。 总之,安全事件处理不该是事后被动应对,而是事前循序渐进完成规划。若规划详尽,碰到网络安全事件时,处理起来就能有条不紊,迅速解除安全危机。 |
||||||||||||||||||||||||||||||
