【51CTO.com 獨(dú)家特稿】2011年4月12日下午，農(nóng)協(xié)銀行的電腦網(wǎng)絡(luò)開始出現(xiàn)故障，導(dǎo)致客戶無法提款、轉(zhuǎn)賬、使用信用卡和取得貸款。系統(tǒng)故障一直持續(xù)了3天，直到4月15日才恢復(fù)部分服務(wù)，而有些服務(wù)直到4月18日仍然沒有恢復(fù)，以至于銀行不得不采用傳統(tǒng)的手寫交易單的方式進(jìn)行服務(wù)。

從上述事件，我們可以分析得出如下幾個(gè)信息安全工作的要點(diǎn)，或者是教訓(xùn)，也是企業(yè)信息安全工作中經(jīng)常會(huì)忽略的幾點(diǎn)。

一、 權(quán)限控制和審計(jì)

據(jù)初步調(diào)查，4月12日下午4:30到5點(diǎn)之間，某人在外包團(tuán)隊(duì)中一位雇員的筆記本對(duì)銀行核心系統(tǒng)的275臺(tái)服務(wù)器下達(dá)了rm.dd命令，該命令會(huì)刪除服務(wù)器上的所有文件。這里面表明了該企業(yè)安全工作的紕漏，或者說是失誤。

首先，對(duì)于這種權(quán)限管理，要管理到人，嚴(yán)格限制非常小的范圍。并且，需要通過聯(lián)合密碼等方式來保證權(quán)限的實(shí)施不是一個(gè)人可以決定的，雖然不能避免"合謀"的情況，但是至少應(yīng)該有這個(gè)考慮；另外，權(quán)限使用的審計(jì)也需要加強(qiáng)，根據(jù)這個(gè)事件來看，應(yīng)該要能夠在第一時(shí)間來確定是誰(shuí)的帳號(hào)出現(xiàn)了問題，實(shí)施了什么操作，從而快速定位到責(zé)任人，或者定位到責(zé)任人有可能在什么情況下被別人盜用帳號(hào)；

二、 應(yīng)急響應(yīng)工作

從該事件韓國(guó)銀行的應(yīng)急相應(yīng)速度來看,確實(shí)是過于緩慢和滯后。這使我們不得不感嘆信息安全工作中應(yīng)急響應(yīng)工作的必要和重要性。誠(chéng)然，信息安全工作中技術(shù)是非常重要的基礎(chǔ)，然而，應(yīng)急和流程管理是信息安全工作非常關(guān)鍵的一部分，它不屬于技術(shù)范疇，屬于管理范疇。所謂"三分技術(shù)，七分管理"，信息安全需要建立一支高效、給力的管理團(tuán)隊(duì)，以及制訂相應(yīng)的應(yīng)急響應(yīng)流程，以應(yīng)對(duì)攻擊、誤操作、災(zāi)難等非常規(guī)條件下的問題。這樣，就能夠使得企業(yè)在這些非常規(guī)條件下仍然能夠提供高質(zhì)量的安全服務(wù)，從而也確保了企業(yè)品牌。舉個(gè)例子，每個(gè)國(guó)家對(duì)應(yīng)急響應(yīng)工作都很重視，比如美國(guó)的CERT組職和中國(guó)的應(yīng)急響應(yīng)組織CNCERT/CC。

三、 災(zāi)難備份及恢復(fù)工作

信息安全工作其實(shí)可以分為事前、事中和事后三個(gè)處理階段。前面說的應(yīng)急響應(yīng)工作屬于事中和事后階段。而災(zāi)難備份屬于事前工作，災(zāi)難恢復(fù)則屬于事后工作。從該事件的處理工程來看，災(zāi)難備份工作和災(zāi)難恢復(fù)工作不能讓人恭維。事故發(fā)生3天才恢復(fù)部分?jǐn)?shù)據(jù)，很難理解這樣一個(gè)大型銀行的備份和恢復(fù)工作的策略和流程是怎么理順的。試想一下，如果平時(shí)訓(xùn)練有素，策略和流程理順的話，是不是可以將處理事件降低到1天甚至半天，這將節(jié)省多少經(jīng)濟(jì)損失，而又將贏回多少用戶對(duì)該銀行的信任度呢？所以，備份和恢復(fù)工作需要長(zhǎng)期統(tǒng)籌規(guī)劃，結(jié)合全備份、增量備份、差分備份等多種備份策略，并采用本地備份、異地備份等多種方式，甚至使用SAN、NAS等多種備份設(shè)備，并制訂一套行之有效的備份和恢復(fù)策略，以做到"有備無患"。

事件已經(jīng)過去，但是留給我們信息安全工作者的思考還未停止，謹(jǐn)以此文拋磚引玉，呼吁各企業(yè)重視新信息安全工作，不要再讓此類事件重演。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 信息安全的核心之密碼技術(shù) 上
2. 從韓國(guó)農(nóng)協(xié)銀行癱瘓?jiān)倏窗踩c災(zāi)備的重要性
3. 透過韓國(guó)農(nóng)協(xié)銀行事件再談數(shù)據(jù)庫(kù)安全
4. CISO（首席信息安全官）所需要的四種技能