2015《公司战略》基础考点:信息系统安全管理
【东奥小编】现阶段进入2015年注会基础备考期,是全面梳理考点的宝贵时期,我们一起来学习2015《公司战略》基础考点:信息系统安全管理。
【内容导航】:
(一)信息系统安全管理概念
(二)信息系统安全管理策略
(三)应急响应与灾难恢复
【所属章节】:
本知识点属于《公司战略与风险管理》科目第八章管理信息系统的应用与管理第三节管理信息系统的管理的内容。
【知识点】:信息系统安全管理
(一)信息系统安全管理概念
1.信息系统的不安全因素及风险。
信息系统安全威胁是指对于信息系统的组成要素及其功能造成某种损害的潜在可能。
从不同的角度对于信息系统安全威胁的分类有以下几类。
(1)按照威胁的来源分类。
①自然灾害威胁。
②意外人为威胁。
③有意人为威胁。
(2)按照作用对象分类。
按照所作用的对象,可以将信息系统的威胁分为以下两种。
第一种,针对信息的威胁。针对信息(资源)的威胁又可以归结为以下几类:
①信息破坏:非法取得信息的使用权,删除、修改、插入、恶意添加或重发某些数据, 以影响正常用户对信息的正常使用。
②信息泄密:故意或偶然地非法侦收、截获、分析某些信息系统中的信息,造成系统数据泄密。
③假冒或否认:假冒某一可信任方进行通信或者对发送的数据事后予以否认。
第二种,针对系统的威胁。针对系统的威胁包括对系统硬件的威胁、对系统软件的威胁 和对于系统使用者的威胁。对于通信线路、计算机网络以及主机、光盘、磁盘等的盗窃和破 坏都是对于系统硬件(实体)的威胁;病毒等恶意程序是对系统软件的威胁;流氓软件等是对于系统使用者的威胁。
(3)按照威胁方法的分类。
按照威胁的手段,可以将信息系统的威胁分为以下六种:
第一种,信息泄露。信息泄露是指系统的敏感数据有意或无意地被未授权者知晓。
第二种,扫描。扫描是指利用特定的软件工具向目标发送特制的数据包,对响应进行分析,以了解目标网络或主机的特征。
第三种,入侵。入侵即非授权访问,是指没有经过授权(同意)就获得系统的访问权限或特权,对系统进行非正常访问,或擅自扩大访问权限越权访问系统信息。
第四种,拒绝服务。拒绝服务是指系统可用性因服务中断而遭到破坏。拒绝服务攻击常常通过用户进程消耗过多的系统资源造成系统阻塞或瘫痪。
第五种,抵赖(否认)。通信一方由于某种原因而实施的下列行为都称为抵赖:
①发方事后否认自己曾经发送过某些消息;
②收方事后否认自己曾经收到过某些消息;
③发方事后否认自己曾经发送过某些消息的内容;
④收方事后否认自己曾经收到过某些消息的内容。
第六种,滥用。滥用泛指一切对信息系统产生不良影响的活动,主要内容如下:
①传播恶意代码。
②复制重放。
③发布或传播不良信息。
2.信息系统的安全管理技术。
(1)通信保密,包括数据保密、认证技术和访问控制等。
数据保密就是隐蔽数据,防止信息被窃取,其方法有以下两种:
①数据加密,即隐蔽数据的可读性,将可读的数据转换为不可读数据,即将明文转换为密文,使非法者不能直接了解数据的内容。加密的逆过程称为解密。
②数据隐藏,即隐藏数据的存在性,将数据隐藏在一个容量更大的数据载体之中,形成隐秘载体,使非法者难以察觉其中隐藏有某些数据,或者难以从中提取被隐藏数据。
从认证的对象看,认证技术可以分为报文认证和身份认证。报文认证包括报文鉴别(主要用于数据完整性保护,也称为消息鉴别,即要鉴别报文在传输中有没有被删除、添加或篡改)和数字签名(主要用于抗抵赖性保护,能够验证签名者的身份,以及签名的日期和时间;能够用于证实被签报文的内容的真实性;签名可以由第三方验证,以解决双方在通信中的争议。),身份认证(如口令、指纹等)主要用于真实性保护。
访问控制是从系统资源安全保护的角度对要进行的访问进行授权控制。它从访问的角度将系统对象分为主体和客体两类。主体也称为访问发起者,主要指用户、用户组、进程以及服务等;客体也称资源,主要指文件、目录、机器等。授权就是赋予主体一定的权限(修改、查看等),赋予客体一定的访问属性(如读、写、添加、执行、发起链接等),同时在主体与客体之间建立一套安全访问规则,通过对客体的读出、写入、修改、删除、运行等管理,确保主体对客体的访问是经过授权的,同时要拒绝非授权的访问。
(2)信息防护技术。
信息防护技术有防火墙技术,信息系统安全审计和报警,数据容错、容灾和备份等。
防火墙是设置在可信任的内部网络与不可信任的外界之间的一道屏障。它可以屏蔽非法请求,一定程度地防止跨权限访问并产生安全报警,有效地监控了内部网和互联网之间的任何活动。
信息系统安全审计(按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。相当于飞机上的“黑匣子”)和报警是信息系统安全中一项极为重要的安全服务措施。它有如下功能:
①记录与系统安全活动有关的全部或部分信息;
②对所有记录的信息进行分析、评价、审查,发现系统的安全隐患;
③对潜在的攻击者进行威慑或警告;
④出现安全事故后,追查造成安全事故的原因并落实对安全事故负责的实体或机构,为信息系统安全策略的调整和修改提供建议。
安全审计和报警不可分割。但是安全审计不直接阻止安全违规。安全报警一般在安全相关事件达到某一或一些预定义域值时发出。
数据容错、容灾和备份是信息系统安全的重要保障。为了保证系统的可靠性,经过长期的摸索,人们总结出三种方法,即避错、纠错和容错。错误没有办法完全避免,纠错作为避错的补充,在系统出现故障时起作用,而容错是指硬件故障或软件错误时,系统仍能执行一组规定的程序或程序不会因为系统的故障而中断或被修改,并且执行结果也不包含因故障而引起的差错。
数据容灾系统,对于IT而言,就是为计算机信息系统提供的一个能应付各种灾难的环境。当计算机系统在遭受如火灾、水灾、地震、战争等不可抗拒的自然灾难以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时,容灾系统将保证用户数据的安全性(数据容灾)。
从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保证。
(3)信息保障,即信息系统安全风险评估。
系统的安全强度可以通过风险大小衡量。科学地分析信息系统的风险,综合平衡风险和代价的过程就是信息系统安全风险评估。世界各国信息化的经验表明:
①不计代价、片面地追求系统安全是不切实际的;
②不考虑风险存在的信息系统是危险的,是要付出代价,甚至是灾难性代价的;
③所有的信息系统建设的生命周期都应当从安全风险评估开始。
通过信息系统安全风险评估,组织可以达到如下目的:
①了解组织信息系统的管理和安全现状。
②确定资产威胁源的分布,如入侵者、内部人员、自然灾害等;确定其实施的可能性;分析威胁发生后,资产的价值损失、敏感性和严重性,确定相应级别;确定最敏感、最重要资产在威胁发生后的损失。
③了解系统的脆弱性分布。
④明晰组织的安全需求,指导建立安全管理框架,合理规划安全建设计划。
信息系统安全风险评估应选择恰当的时机。信息系统安全风险评估是信息系统每个生命周期的起点和动因。具体地说,应当在下面的一些时机进行:
①要设计规划或升级到新的信息系统时;
②给目前的信息系统增加新的应用或新的扩充(包括进行互联)时;
③发生一次安全事件后;
④组织具有结构性变动时;
⑤按照规定或某些特殊要求对信息系统的安全进行评估时。
信息系统安全风险评估的准则有:
①规范性原则,具有三层含义:
1)评估方案和实施,要根据有关标准进行。
2)选择的评估部门需要被国家认可,并具有一定等级的资质。
3)评估过程和文档要规范。
②整体性原则,评估要从业务的整体需求出发,不能局限于某些局部。
③最小影响原则,具有两层含义:
1)评估要有充分的计划性,不对系统运行产生显著影响。
2)所使用的评估工具要经过多次使用考验,具有很好的可控性。
④保密性原则,具有三层含义:
1)对评估数据严格保密。
2)不得泄露参评人员资料。
3)不得使用评估数据对被评方造成利益损失。
信息系统安全风险评估应采用恰当的模式。安全风险评估模式是进行安全风险评估时应当遵循的操作过程和方式。以下是几种常用的风险评估模式。
①基线评估。采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
这种评估模式需要的资源少,评估周期短,操作简单,是最经济有效的风险评估模式。但是,基线水平的高低确定困难。
②详细评估。详细评估要求对信息系统中的所有资源都进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。
这种评估模式集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。但是,这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入,最后获得的结果有可能有一定的时间滞后。
③组合评估。组合评估是上述两种模式的结合。它首先对所有信息系统进行一次较高级别的安全分析,并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。然后对非常重要业务或面临严重风险的部分进行详细评估分析,对其他部分进行基线评估分析。这种评估模式注意了耗费与效率之间的平衡,还注意了高风险系统的安全防范。
3.信息安全道德规范。
信息系统作为信息技术的一种应用形式,它所涉及的道德问题主要包括隐私问题、正确性问题、产权问题和存取权问题。
(1)隐私问题。信息技术强大的信息搜集能力为组织提供全方位服务的同时,应该考虑信息收集对人的隐私权的尊重。
(2)正确性问题。正确性问题是指关于谁有责任保证信息的权威性、可信性和正确性,以及谁来统计和解决错误等问题。
(3)产权问题。产权问题主要涉及谁拥有信息,什么是信息交换的公平价值,谁拥有传输信息的渠道,如何分配这些稀有的资源等问题。
(4)存取权问题。存取权问题应该规定什么人对什么信息有特权取得,在什么条件下有什么安全保障。
一些在国际上有影响力的组织推出的关于企业的道德标准值得学习和借鉴。下面以数据处理管理联盟(Data Processing Managemengt Association,DPMA)的标准为例说明。DPMA专业标准包括针对业主、针对社会的和针对专业的内容。
(二)信息系统安全管理策略
1.基于网络的安全策略。
管理者为防止对网络的非法访问或非授权用户使用的情况发生,应采取以下策略。
(1)监视日志。
①读取日志,根据日志的内容至少可确定访问者的情况;
②确保日志本身的安全;
③对日志进行定期检查;
④应将日志保存到下次检查时。
(2)对不正当访问的检测功能。
当出现不正当访问时应设置能够将其查出并通知风险管理者的检测功能。
①设置对网络及主机等工作状态的监控功能;
②若利用终端进行访问,则对该终端设置指定功能;
③设置发现异常情况时能够使网络、主机等停止工作的功能。
(3)口令。
对依据口令进行认证的网络应采取以下策略:
①用户必须设定口令,并努力做到保密;
②若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
③指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能;
④限制口令的输入次数,采取措施使他人难以推测口令;
⑤用户一旦忘记口令,就提供口令指示,确认后口令恢复;
⑥对口令文本采取加密方法,努力做到保密;
⑦在网络访问登录时,进行身份识别和认证;
⑧对于认证方法,应按照信息系统的安全需求进行选择;
⑨设定可以确认前次登录日期与时间的功能。
(4)用户身份识别(用户ID)管理
①对于因退职、调动、长期出差或留学而不再需要或长期不使用的用户ID予以注销;
②对长期未进行登记的用户以书面形式予以通知。
(5)加密。
①进行通信时根据需要对数据实行加密;
②要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
(6)数据交换。
①在进行数据交换之前,对欲进行通信的对象进行必要的认证;
②以数字签名等形式确认数据的完整性;
③设定能够证明数据发出和接收以及可以防止欺骗的功能;
④在前三步利用加密操作的情况下,对用户的密钥进行集中管理时,要寻求妥善的管理方法。
(7)灾害策略。
为防止因灾害、事故造成线路中断,有必要做成热备份线路。
2.基于主机的安全策略。
管理者为防止发生对主机非法访问或未授权用户使用等情况,应采取以下策略。
(1)监视日志
①读取日志,根据日志的内容至少可确定访问者的情况;
②确保日志本身的安全;
③对日志进行定期检查;
④应将日志保存到下次检查时;
⑤具备检测不正当访问的功能;
⑥设置出现不正当访问时,能够将其查出并通知风险管理者的功能。
(2)口令。
对依据口令进行认证的主机等应采取以下策略:
①用户必须设定口令,并努力做到保密;
②若用户设定口令时,应指导他们尽量避免设定易于猜测的词语,并在系统上设置拒绝这种口令的机制;
③指导用户每隔适当时间就更改口令,并在系统中设置促使更改的功能;
④限制口令的输入次数,采取措施使他人难以推测口令;
⑤用户一旦忘记口令,就提供口令指示,确认后口令恢复;
⑥对口令文本采取加密方法,努力做到保密。
(3)对主机的访问。
①在记录日志时进行识别和认证;
②对于认证方法,按照信息系统所需的安全要求进行选择;
③设置可以确认前次日志记录日期的功能;
④根据安全方针,除了对主机的访问加以控制外,对数据库的数据、移动存储设备也应分别进行控制;
⑤为确保访问控制等功能的安全,有必要选择具有相应功能的操作系统。
(4)安全漏洞。
①采用专用软件,对是否存在安全漏洞进行检测;
②发现安全漏洞时,要采取措施将其清除。
(5)加密。
①在保管数据时,要根据需要对数据进行加密;
②要切实做好密钥的保管工作,特别是对用户密钥进行集中保管时要采取妥善的保管措施。
(6)对主机的管理。
①应采取措施使各装置不易拆卸、安装或搬运;
②要采取措施,避免显示屏上的信息让用户以外的人直接得到或易于发现。
(7)预防灾害策略。
①根据需要将装置做成热备份的,要设置替代功能;
②设置自动恢复功能。
3.基于设施的安全策略。
管理者为了防止重要的计算机主机系统设施不受外部人员的侵入或遭受灾害,应采取以下办法。
(1)授予资格。
①建立进入设施的资格(以下称资格);
②资格授予最小范围的必需者,并限定资格的有效时间;
③资格仅授予个人;
④授予资格时,要注明可能进入的设施范围及进入设施的目的。
(2)建立身份标识。
①对拥有资格的人员发给记有资格的有效期、可进入的设施范围及进入的目的等事项的身份标识和IC卡等(以下称身份证)
②制作标识的材料应采用不易伪造的材料,另外要严格管理标识原件(指存档的),不使之丢失。当有资格的人员标识遗失或损坏时,应立即报告安全总负责人,并当即宣布该标识无效。
(3)设施出入管理。
①为获准进入设施,要提交身份标识确认资格;
②限定允许出入设施的期限;
③将允许进入人员的姓名、准许有效期限、可进入的设施范围、进入目的以及进入设施的许可(以下称许可)等记录下来并妥善保存;
④允许进入的人员发给徽章等进入设施的标志,并将该标志佩戴在明显的位置;
⑤进入设施的标志应按照身份标识中的②~④项要求执行;
⑥在建筑物或计算机房的出入口处查验是否具有资格和许可;
⑦当从设施中搬出或搬入物资时,都应对该物资和搬运工作进行查验;
⑧物资搬运出入时,应记录负责人的姓名、物资名称、数量、搬运出入时间等,并保存;
⑨保安人员负责出入管理。
(4)防范措施。
①限定设施出入口的数量,设置进行身份确认的措施;
②在设施内装设报警和防范摄像装置,以便在发现侵入时采取必要的防范措施;
③在建筑物、机房及外设间、配电室、空调室、主配电室、中间配电室、数据保存室等的入口处设置报警装置,以便在发现侵入时采取必要的防范措施;
④让保安人员在设施内外进行巡视。
(5)灭害策略。
①设施的地点应尽可能选在自然灾害较少的地方;
②建筑物应选择抗震、防火结构;
③各种设备都应采取措施,防止因地震所导致的移动、翻倒或振动;
④内装修应使用耐燃材料,采取防火措施;
⑤对电源设备要采取防止停电措施;
⑥对空气调节装置要采取防火和防水措施,使用水冷或热式空调设备时要采取防水的措施。
4.基于数据管理的安全策略。
(1)数据管理。
①当重要数据的日志不再使用时,应先将数据淸除,再将存储介质破坏,随后立即将该记录文件销毁;
②对记录有重要数据的记录文件应采取措施,做好保管场所携带出入的管理,将数据用密码保护;
③对移动存储介质,根据需要应采取数据加密或物理方法禁止写入等措施。
(2)数据备份。
应定期或尽可能频繁地进行备份。备份介质应制定妥善的保存办法、保存期限,与原介质在不同地方保管。
(3)审计。
①应从信息系统的安全性、可信度、保全性和预防犯罪的角度进行审计;
②制定审计的方法并制成手册;
③有计划、定期地进行审计,若有重大事故发生或认为有危险发生时,应随时进行审计;
④提交审计报告;
⑤安全总负责人应根据审计结果迅速采取必要的措施。
5.信息系统开发、运行和维护中的安全策略。
(1)开发中的安全策略。
①采取措施防止将基础数据泄露给从事开发以外的其他人员;
②制定专门的系统设计文档;
③制定专门的运行和维护手册;
④运行手册中应制定出危机范围和风险应对策略。
(2)运行中的安全策略。
①根据手册操作;
②记录运行情况日志。
(3)维护中的安全策略。
①根据手册操作;
②记录维护情况日志。
6.基于安全事件的安全策略。
管理者在发现犯罪事件时能确保与有关部门取得联系,为危机进行切实应对,从而确保安全,应采取以下策略。
(1)发现攻击时应采取的管理措施
①发现对用户等进行攻击、事故或侵害等其他信息系统安全的行为或事件(以下简称攻击)时,有义务立即向危机管理负责人报告;
②应将受到攻击的对象、非法访问的结果、出入时的日志以及其后审计或调查所需的信息等,作为发现攻击行为的状态保存下来;
③及时向相关部门通报;
④发现非法访问行为且需要得到相关部门援助时,提出申请;
⑤调查结束,在进行系统恢复时,应将操作过程记录下来。
(2)组织体制。
为明确责任和权限应建立以下体制:
①日常事务体制:设立专职的安全总负责人和审计负责人;
②风险管理体制:设专职的风险管理责任人、风险管理设备执行人和其他责任人。
(3)教育及培训。
①将风险发生时的防范措施制成手册,发给用户并进行定期训练;
②让用户了解风险对社会带来较大的危害,从而提高安全意识;
③对用户策略实施情况进行审计,对措施不完备的地方加以改进。
7.与开放性网络连接的信息系统应追加的安全措施。
对于信息系统来说,除了前面所述安全策略之外,从预防非法访问、计算机病毒侵入的角度来看,与互联网等开放性网络连接,还应追加下列安全措施。
(1)一般措施。
网络系统考虑通过开放性网络引入的不正当访问和恶意程序侵入,应当追加如下措施。
①开放性网络的连接应限定在最小范围的功能、线路和主机;
②与开放性网络连接时,应采取措施预防对信息系统进行不正当的访问;
③利用防火墙时,应设定适当的条件;
④使用计算机系统时,应采取一定的安全措施,确保该信息系统的安全;
⑤关于网络结构等重要信息除非必要时,不得公开。
(2)监视措施。
应当设置对线路负荷状况的监视功能。发现异常情况时,应根据需要使之与相连接的开放性网络断开。
(3)安全事件应对措施。
在确保攻击发生时能与相关部门取得联系。对危机进行准确应对的同时,还应采取如下措施:
①与相关机构合作,把握受侵害的情况,采取措施,防止侵害的扩大;
②对攻击进行分析,查明原因,与相关机构合作采取措施,防止攻击再次发生;
③限定用户,即尽可能将可通过开放性网络进行访问的用户(数)加以限制;
④信息收集,即平时要注意收集通过开放性网络进行非法访问的信息。
(三)应急响应与灾难恢复
一般来说,每个使用信息系统的组织都应当有一套应急响应机制。这个机制包括三个环节,即应急响应组织、紧急预案、灾难恢复。
1.应急响应组织。
应急响应组织的主要工作有:
(1)安全事件与软件安全缺陷分析研究;
(2)安全知识库(包括漏洞知识、入侵检测等)的开发与管理;
(3)安全管理和应急知识的教育与培训;
(4)发布安全信息(如系统漏洞与补丁、病毒警告等);
(5)安全事件紧急处理
应急响应组织包括应急保障领导小组和应急技术保障小组。
应急保障领导小组的主要职责是领导与协调突发事件及自然灾害的应急处理。
应急技术保障小组主要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。
2.紧急预案。
(1)紧急预案及基本内容。
应急预案是指根据不同的突发紧急事件类型和意外情形预先制定的处理方案。
应急预案一般包括如下内容:
①执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);
②系统紧急事件类型及处理措施的详细说明;
③应急处理的具体步骤和操作顺序。
(2)常见安全事件。
紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:
①物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾和水灾等;
②网络通信类安全事件,如网络蠕虫侵害等;
③主机系统类安全事件,如计算机病毒、口令丢失等;
④应用系统类安全事件,如客户信息丟失等。
(3)应急事件处理的基本流程。
①安全事件报警。
值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。
②安全事件确认。
确定安全事件的类型,以便启动相应的预案。
③启动紧急预案。
首先要能够找到紧急预案,其次保护现场证据(如系统事件、处理者采取的行动与外界的沟通等),避免灾害扩大。
④恢复系统。包括:
第一,安装干净的操作系统版本。如果主机被侵入,就应当考虑系统中的任何东西都可能被攻击者修改过了,包括内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后再重新连接到网络上之前安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。建议使用干净的备份程序备份整个系统,然后重装系统。
第二,取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动自己需要的服务。
第三,安装供应商提供的所有补丁,建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次入侵,这是最重要的一步。
第四,查阅计算机安全应急响应组的安全建议、安全总结和供应商的安全提示。
第五,谨慎使用备份数据。在从备份中恢复数据时,要确认备份主机没有被入侵。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。
第六,改变密码。在弥补了安全漏洞或者解决了配置问题之后,建议改变系统中所有账户的密码。
⑤加强系统和网络的安全。
⑥进行应急工作总结。
⑦撰写安全事件报告。
3.灾难恢复。
灾难恢复是安全事件应急预案中特别重要的部分。从发现入侵的时刻起就应进行处理。
灾难恢复应当包括如下几项内容:
(1)与高层管理人员协商。恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。
(2)夺回系统控制权。为了夺回对被入侵系统的控制权,先要将入侵从网络上断开,包括拨号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行的恢复工作。进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。
(3)复制一份被侵入系统的映像。在进行入侵分析之前,最好对被入侵系统进行备份。 这个备份在恢复失败时非常有用。
(4)入侵评估。入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。
①详细审查系统日志文件和显示器输出,检查异常现象。
②入侵者遗留物分析。包括:检查入侵者对系统文件和配置文件的修改;检查被修改的数据;检查入侵者留下的工具和数据;检查网络监听工具。
③其他,如网络的周边环境和涉及的远程站点。
(5)清除后门。后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、系统木马程序、修改了的系统内核等。
(6)记录恢复过程中所有的步骤。记录恢复过程中采取的每一步措施是非常重要的。 恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人做出一些草率的决定。记录自己所做的每一步可以帮助避免做出草率的决定,还可以留作以后的参考,还可能对法律调查提供帮助。
(7)系统恢复。各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要的设备,则要单独订立紧急恢复预案。
①服务器的恢复。—旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,用来恢复服务器,就便利多了。
②数据库系统的恢复。数据库系统恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。