谈计算机安全事件的应急处理方法

张大胤/黑龙江技师学院

谈计算机安全事件的应急处理方法

张大胤/黑龙江技师学院

计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。一旦找到导致安全事件的原因，就要选择并实施针对它们的应急处理方法。首先要控制事件继续发展并解决问题，然后再恢复事务状态。

计算机；安全；事件；应急；处理

计算机系统会受到众多不幸事件的影响，从数据文件损坏到病毒，到自然灾害。可以通过标准的操作规程从这样一些不幸事件中恢复。

一、提供必要的专业知识

为查明和处理安全方面的弱点，必须拥有相关的技术知识，因此要么培训员工，要么找专家。为此，要准备一份联系地址表，包含各领域的内外部专家，这样就可以直接去寻求他们的意见，不用再耽误时间。

二、安全恢复的运作

要去除安全弱点，首先应将这些弱点所涉及的IT系统断开与网络的连接，然后再将那些能提供已发生事件的性质和原因的信息文件（尤其是所有相关的日志文件）做备份。由于整个IT系统应该被视为不安全或已经被入侵，因此要检查操作系统和所有应用是否已发生改变。除了程序之外，还应该检查配置文件和用户文件，以防被操纵。在这里使用校验和程序比较合适。这预示着，有关的校验和程序应该被事先确定，并且已经被永久保存。比如为保证敌方留下的特洛伊木马已被删除，应该从写保护的数据介质中恢复原始文件。

三、文档

在处理安全问题时的所有动作都应该被尽可能详细地记录归档，以便实现下列目标：保留发生事情的细节；能够追溯发生的问题；能够修正因为匆忙行动可能带来的问题或错误；在已知的问题再次发生时能迅速解决；能够消除安全弱点，准备预防措施；如果要提起诉讼，便于收集证据。这种文档不仅包含对有关行动的详细描述和时间记录，也包含受影响IT系统的日志文件。

四、对故意行为的反应

当入侵者发起安全事件时，首先要决定是静观攻击还是尽快采取措施。当然也可以试图去抓住入侵者的“黑手”，但是可能会冒很大的风险，因为在试图抓住对方的同时，对方可能会破坏、入侵或读取数据。安全问题的调查结果表明，这种情况在组织内部经常发生，它可能是因为忽视、不合适的工作过程或技术问题而造成的，也可能是没有仔细观察安全措施或故意行为的结果。在因为内部原因而产生问题的地方，必须调查清楚触发的原由。问题经常起源于不适当或不完整的过程，因此要对过程进行修改、补充或采取其他措施。如果因为故意行为或忽略而产生安全问题，就应该采取适当的纪律措施加以控制。

五、报告和总结阶段

根据安全事件的处理规则，安全事件越关键，需要的授权就越大。报告阶段可能贯穿于极端情形下，这意味着必须要及早报告给管理层，并使其参与其中以采取必要的措施。无论采用哪种方法，都要求提前制定好提交策略，并制定在何种情况下要咨询何人的规定。总结是最后一个阶段，但却是绝对不能够忽略的重要阶段。这个阶段的目标是回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。这些记录的内容，不仅对有关部门的其他处理工作具有重要意义，而且对将来应急工作的开展也是非常重要的积累。

六、安全应急的调查

调查安全事件的第一步是弄清楚下列因素：安全事件可能影响什么IT系统和IT应用；通过IT系统网络是否还会产生后续的损害；哪些IT系统和IT应用绝对不会受到损害和后续损害；安全事件导致的直接损害或后续损害的程度如何，应特别留意各种IT系统和IT应用之间的相关性；能触发安全事件的可能因素；安全事件发生在什么时候，在哪个地方，由于在探测到安全事件时它很可能已经发生一段时间了，因此应维护好日志文件，但要保证它们没有被入侵；是否只有内部IT用户受到安全事件的影响，或者外部第三方也受到影响；有多少关于安全事件的信息已经被泄露给公众。

如果安全事件已经引起严重的后果，那么它必须要被提交给上一级管理层。澄清这些因素后，必须确定可选方案，方案中将包含立即措施和补充措施。在这儿也应该考虑从前确定的优先级分配，还必须对实施这些步骤所需的时间、解决这些问题和恢复正常运作所需的成本和资源进行估计。

七、与安全应急有关的补救措施

一旦找到导致安全事件的原因，就要选择并实施针对它们的应急措施。首先要控制事件继续发展并解决问题，然后再恢复事务状态。

八、对安全应急响应的评估

安全应急的评估是一项复杂的工作，涉及安全管理、技术、运行以及评估标准、评估实施等诸多方面，存在着国家、电信运营企业和用户等多角度的不同需求。安全应急评估标准还要随着安全事件的变化而不断地完善和发展。评估指标体系的研究、建立同样面临着这些问题，需要开展持续的阶段性研究，针对各种变化适时地加以改进。

九、安全应急中的预防

从实际应用上看，即使采用了种种安全防御手段，也不能说就万无一失或绝对安全。对于很多与安全相关的异常现象，可以通过使用适当的技术在早期自动地发现。这些发现手段通常都会增加发现的可靠性，并减少从事件发生到被发现之间的时间。因此还需要有一些预防措施，以保证当系统出现故障时，能以最快的速度恢复正常，将损失程度降到最低。

不是所有的安全事件都可以用技术手段立即发现，组织措施也是经常必用的。自动发现措施的可靠性通常依赖于他们的更新程度和适应实际环境的程度。发现措施的有效性紧密依赖于从事这些任务的人的可靠性，也紧密依赖于这些措施在实际运行过程中实施的简易程度。

另外，为了衡量一个安全事件处理管理系统的有效性，加强对这些管理任务的演练，应该进行一些演习和假想训练。由于这可能会需要大量的人力资源，或干扰正常工作，因此必须限制在重点区域内进行。应该在安全事件处理资料中保留上述步骤执行的结果。对这些结果还应当定期更新，并以合适的方式通知各利害方。为维护安全应急响应管理系统的有效性，需要定期对管理系统进行检查，并对其中的措施进行测试。为测试管理系统的效率，应该模拟损害事件以检查定义的过程是否能工作，或者它是否实际可行。如果不可行，应该做适当的修改。为测试这点，要进行公开和未公开的演练实践。当演练实践在未公开状态下进行时，要保证在任何情况下都不能触发可能导致损害IT系统、数据或其他系统的动作，不管这种损害是永久的还是修正起来很困难的。在开始演练实践前，需要认真考虑提前通知谁。要保证演练实践是经过管理层授权的。