時(shí)至今日，企業(yè)乃至整個(gè)社會(huì)對(duì)于計(jì)算機(jī)及業(yè)務(wù)系統(tǒng)的依賴(lài)性已經(jīng)達(dá)到史無(wú)前例的程度。與此同時(shí)，攻擊者們也開(kāi)始將目標(biāo)指向企業(yè)中的有價(jià)值的信息，此類(lèi)趨勢(shì)令安全形式更加復(fù)雜，并給企業(yè)安全團(tuán)隊(duì)保障關(guān)鍵系統(tǒng)安全運(yùn)行及避免系統(tǒng)中斷帶來(lái)了巨大壓力。

有時(shí)候，無(wú)論企業(yè)用戶(hù)如何從安全角度出發(fā)進(jìn)行準(zhǔn)備，遭遇的攻擊活動(dòng)始終有可能令業(yè)務(wù)系統(tǒng)陷入困境，安全團(tuán)隊(duì)則往往需要展開(kāi)激烈討論、決定是否需要關(guān)閉受感染或被攻擊者盯上的系統(tǒng)。如何才能科學(xué)準(zhǔn)確做出停機(jī)決策?安全人員需要考量哪些因素?

在本文中，我們將一同探討一些有可能引發(fā)系統(tǒng)停機(jī)的常見(jiàn)情況，并研究如何提前為此做好準(zhǔn)備。

什么情況下系統(tǒng)應(yīng)該停機(jī)

在面對(duì)信息安全事故時(shí)將關(guān)閉系統(tǒng)作為對(duì)策聽(tīng)起來(lái)似乎過(guò)于極端，但在某些情況下卻很可能算是最佳選擇。為了權(quán)衡是否有必要關(guān)閉系統(tǒng)，技術(shù)部門(mén)必須認(rèn)真評(píng)估停機(jī)后可能引發(fā)的各類(lèi)后果。

在某些情況下，全局系統(tǒng)(或者部分系統(tǒng))受到干擾有可能危及他人生命財(cái)產(chǎn)安全或者令企業(yè)自身及某些客戶(hù)遭受?chē)?yán)重?fù)p失。在這類(lèi)情況下，系統(tǒng)停機(jī)無(wú)疑應(yīng)該成為最優(yōu)先的應(yīng)對(duì)措施。舉例來(lái)說(shuō)，如果攻擊者掌握了城市交通燈的控制權(quán)，那么立即關(guān)閉該系統(tǒng)絕對(duì)是最好的選擇。大部分司機(jī)都能在指示燈失靈時(shí)做出正確判斷，相比之下聽(tīng)任攻擊者掌握交通控制權(quán)顯然會(huì)帶來(lái)極為可怕的后果。

不過(guò)前面舉的例子太過(guò)極端，大家也很容易做出決策;企業(yè)用戶(hù)所面臨的大部分狀況都不可能如此激烈。

例如，一套被蠕蟲(chóng)病毒感染了的系統(tǒng)有可能對(duì)其它本地系統(tǒng)發(fā)起攻擊，這時(shí)將該系統(tǒng)從網(wǎng)絡(luò)中移除或者將其關(guān)閉能夠有效阻止蠕蟲(chóng)向其它系統(tǒng)的擴(kuò)散。蠕蟲(chóng)病毒在不同系統(tǒng)之間的傳播速度非常驚人，因此大家必須盡快做出系統(tǒng)關(guān)閉決定。是否最終采取這樣的決定還要看業(yè)務(wù)體系的實(shí)際安全性及可用性控制能力，包括是否能將安全問(wèn)題控制在單一賬戶(hù)內(nèi)而非使其擴(kuò)散至整套系統(tǒng)當(dāng)中。

對(duì)于那些不涉及敏感數(shù)據(jù)而只與可用性要求相關(guān)的系統(tǒng)，安全團(tuán)隊(duì)做起決策來(lái)就要輕松得多：只需要對(duì)停機(jī)與受感染系統(tǒng)恢復(fù)兩種方案的綜合成本進(jìn)行匯總，并以數(shù)字為依據(jù)做出決定即可。舉例來(lái)說(shuō)，雖然攻擊者暫時(shí)只能控制外部網(wǎng)絡(luò)連接，但及時(shí)將其關(guān)閉可防止犯罪分子進(jìn)一步侵襲高價(jià)值系統(tǒng)，這樣的決策往往是比較激進(jìn)但最優(yōu)先的處理方式。

當(dāng)然，對(duì)于某些信息安全事故來(lái)說(shuō)，關(guān)閉系統(tǒng)也可能成為最不科學(xué)、后果最嚴(yán)重的選項(xiàng)。如果某位攻擊者已經(jīng)突破了一套本地系統(tǒng)，那么系統(tǒng)關(guān)閉很可能破壞掉有助于揪出犯罪分子的有價(jià)值線(xiàn)索。另外，關(guān)閉所有網(wǎng)絡(luò)連接或者全局網(wǎng)絡(luò)體系也可能破壞調(diào)查工作必要的證據(jù)。對(duì)于安全人員來(lái)說(shuō)，最好的辦法是在系統(tǒng)運(yùn)行的同時(shí)直接拔掉網(wǎng)絡(luò)連接，這樣攻擊者將無(wú)法繼續(xù)訪(fǎng)問(wèn)系統(tǒng)。個(gè)別企業(yè)能夠在這樣封閉的環(huán)境中進(jìn)行取證，從而防止有價(jià)值信息遭到破壞。

系統(tǒng)停機(jī)前應(yīng)做哪些準(zhǔn)備

雖然關(guān)閉系統(tǒng)是一步釜底抽薪的高招，但企業(yè)在實(shí)際著手之前也要進(jìn)行一系列準(zhǔn)備工作。

首先，弄清楚系統(tǒng)中保存著哪些數(shù)據(jù)并分析數(shù)據(jù)會(huì)給業(yè)務(wù)帶來(lái)哪些影響。業(yè)務(wù)影響分析會(huì)記錄下各個(gè)系統(tǒng)對(duì)業(yè)務(wù)流程的重要性、系統(tǒng)的實(shí)際作用以及系統(tǒng)中斷可能帶來(lái)的潛在問(wèn)題。

接下來(lái)登場(chǎng)的是業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃，這類(lèi)似于一套事故應(yīng)急預(yù)案，需要在事故發(fā)生之前制定完成并進(jìn)行定期測(cè)試。因此一旦系統(tǒng)停機(jī)成為最佳選擇，大家手頭必須保有一套早已制定完善的執(zhí)行流程。

在關(guān)閉系統(tǒng)之前，安全事件響應(yīng)規(guī)程中的重要部分在于獲得方方面面的相關(guān)授權(quán)。在開(kāi)發(fā)業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃或者事故應(yīng)急預(yù)案時(shí)，我們必須預(yù)留與相關(guān)人士直接交流的通道，其中包括企業(yè)首席信息安全官、首席信息官、咨詢(xún)服務(wù)臺(tái)、企業(yè)老總以及營(yíng)銷(xiāo)部門(mén)等，這將有效幫助大家快速做出明智決定、縮短系統(tǒng)關(guān)閉的討論流程。如果系統(tǒng)關(guān)閉會(huì)立即中止業(yè)務(wù)流程，企業(yè)管理者必須提前得到通知。他們還需要了解系統(tǒng)停機(jī)給企業(yè)造成的影響，包括對(duì)正在進(jìn)行的事務(wù)、潛在運(yùn)營(yíng)成本以及管理的影響等。到底哪些人士需要了解哪些信息，則取決于企業(yè)的組織結(jié)構(gòu)以及可資調(diào)配的資源。

最后，請(qǐng)大家牢記一點(diǎn)：系統(tǒng)停機(jī)并不一定能起到促進(jìn)系統(tǒng)安全的作用，而且也不該被視為安全事故應(yīng)急預(yù)案中的最后處理手段。在關(guān)閉系統(tǒng)之后，大家首先要做的是補(bǔ)救由安全引起的后續(xù)問(wèn)題。具體整治工作可能包括系統(tǒng)修復(fù)、配置變更或者只允許來(lái)自受信連接的訪(fǎng)問(wèn)。這一步驟的處理時(shí)間取決于業(yè)務(wù)影響分析以及業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)規(guī)劃的處理結(jié)果。

如果停機(jī)會(huì)對(duì)系統(tǒng)造成嚴(yán)重影響，那么我們需要盡快組織恢復(fù)工作。舉例來(lái)說(shuō)，如果某臺(tái)Web服務(wù)器中的Web應(yīng)用程序受到SQL注入漏洞的影響而必須關(guān)閉，那么我們?cè)陂_(kāi)發(fā)補(bǔ)丁的同時(shí)必須對(duì)Web應(yīng)用的防火墻設(shè)置或配置進(jìn)行更改，從而阻止Web服務(wù)器運(yùn)行任何來(lái)自該系統(tǒng)的命令。

結(jié)論

對(duì)于遭受攻擊活動(dòng)困擾的企業(yè)來(lái)說(shuō)，最為激烈的反應(yīng)措施有時(shí)候恰恰是最理想、最有效的處理手段。了解特定系統(tǒng)或者網(wǎng)絡(luò)停機(jī)給業(yè)務(wù)造成的影響，我們才能夠了解將資源投入哪些領(lǐng)域能夠切實(shí)保護(hù)系統(tǒng)、關(guān)閉系統(tǒng)的決策是否合理。無(wú)論特定情況下哪種處理方式最理想，大家都應(yīng)該保證在計(jì)劃實(shí)際執(zhí)行前將溝通渠道部署到位。高效的交流機(jī)制是將事故負(fù)面影響降至最低的重中之重。