企業(yè)比以往任何時(shí)期都依賴于把它和社會(huì)聯(lián)系在一起的電腦和系統(tǒng)。同時(shí)，為了企業(yè)有價(jià)值的信息或出于某些政治原因的攻擊也變得前所未有的復(fù)雜，這些攻擊給企業(yè)安全團(tuán)隊(duì)增加了很大的壓力，因?yàn)楸３株P(guān)鍵系統(tǒng)無(wú)中斷地安全運(yùn)行變得越來(lái)越難。

無(wú)論企業(yè)如何為安全做準(zhǔn)備，安全團(tuán)隊(duì)還是要面臨被攻擊的威脅，這時(shí)，他們需要權(quán)衡系統(tǒng)繼續(xù)運(yùn)行被感染的風(fēng)險(xiǎn)有多大以及是否需要把目標(biāo)系統(tǒng)關(guān)閉。安全團(tuán)隊(duì)到底該如何決定?需要衡量哪些因素?

本文中，我們會(huì)研究一些常見的受到攻擊后需要關(guān)閉系統(tǒng)的情景，并討論在遇到這種情況時(shí)安全團(tuán)隊(duì)該做哪些準(zhǔn)備。

關(guān)閉系統(tǒng)的案例

遇到信息安全事件就關(guān)閉系統(tǒng)可能是最過(guò)激的選擇，但在特定的情況下也是最好的選擇。企業(yè)必須權(quán)衡保持系統(tǒng)運(yùn)行來(lái)處理事件和關(guān)閉系統(tǒng)兩者所帶來(lái)的后果再?zèng)Q定。

當(dāng)攻擊威脅到他人的生命安全，或者會(huì)導(dǎo)致企業(yè)和客戶受到嚴(yán)重?fù)p害時(shí)，這時(shí)就必須關(guān)閉整個(gè)或部分系統(tǒng)。例如，如果攻擊者有可能獲得調(diào)控交通紅綠燈的電腦系統(tǒng)控制權(quán)，那么最好是關(guān)閉系統(tǒng)，因?yàn)樗緳C(jī)一般會(huì)把不能運(yùn)行的交通燈視為停止信號(hào)。一旦攻擊者控制交通燈，后果是非?？膳碌?。

面對(duì)這些極端的案例很容易做出決定，但是企業(yè)實(shí)際面臨的大多數(shù)情況都不會(huì)這么極端。例如，一個(gè)系統(tǒng)感染了蠕蟲病毒，而且它正試圖攻擊其它本地系統(tǒng)。這時(shí)，從網(wǎng)絡(luò)中移除或關(guān)閉這個(gè)系統(tǒng)就可以阻止病毒蔓延到其它系統(tǒng)中。蠕蟲病毒從一個(gè)系統(tǒng)傳播到下一個(gè)系統(tǒng)非常快，所以要很快做出決定。當(dāng)然，這種決定也要取決于實(shí)施的安全性和可行性，要考慮是否有控制方法限制病毒只存在于已感染系統(tǒng)中，而不會(huì)傳播到整個(gè)系統(tǒng)。

如果受感染的系統(tǒng)不包含敏感數(shù)據(jù)而且只有可用性需求時(shí)，安全團(tuán)隊(duì)可以對(duì)停機(jī)成本和遏制并修復(fù)感染系統(tǒng)的恢復(fù)成本做一個(gè)大致的計(jì)算，然后根據(jù)計(jì)算結(jié)果做出決定。也有一些情形是不需要關(guān)閉整個(gè)系統(tǒng)的。例如，當(dāng)一個(gè)高價(jià)值系統(tǒng)正在處于調(diào)查中，關(guān)閉外部網(wǎng)絡(luò)連接來(lái)阻止攻擊者獲得額外的訪問(wèn)往往是首選。

當(dāng)然，在某些情況下，用關(guān)閉系統(tǒng)來(lái)響應(yīng)一個(gè)信息安全事件也是最糟糕的選擇。如果攻擊者已經(jīng)損害了一個(gè)本地系統(tǒng)，關(guān)閉系統(tǒng)極有可能丟失一些有力證據(jù)。關(guān)閉網(wǎng)絡(luò)連接或者整個(gè)網(wǎng)絡(luò)，也有可能銷毀可以用于調(diào)查的證據(jù)。這時(shí)最好是保持系統(tǒng)運(yùn)行，拔掉網(wǎng)絡(luò)連接，讓攻擊者不能再訪問(wèn)系統(tǒng)，然后開始調(diào)查。當(dāng)然每個(gè)企業(yè)都需要評(píng)估這樣做是否比關(guān)閉系統(tǒng)更值得。

關(guān)閉系統(tǒng)需做的準(zhǔn)備

盡管關(guān)閉系統(tǒng)是最極端的選擇，但是企業(yè)可以做一些準(zhǔn)備工作。首先，詳細(xì)掌握這個(gè)系統(tǒng)中所存儲(chǔ)的數(shù)據(jù)并且做一個(gè)業(yè)務(wù)影響分析(BIA)。BIA將記錄系統(tǒng)對(duì)于業(yè)務(wù)的重要性、系統(tǒng)用途和中斷帶來(lái)的影響。然后可以得出一份業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃(BCDRP)，類似于一個(gè)事故應(yīng)急預(yù)案，預(yù)案需要在事件發(fā)生前制定并定期進(jìn)行測(cè)試。做好這些準(zhǔn)備，當(dāng)遇到必須關(guān)閉系統(tǒng)的情況時(shí)，隨手就有應(yīng)急處理方案。

在關(guān)閉系統(tǒng)前，獲得相關(guān)部門的授權(quán)也是安全事件響應(yīng)程序中關(guān)鍵的一部分。在制定BCDPR或事故應(yīng)急預(yù)案時(shí)，要和必要的人員溝通，比如首席信息安全官、首席信息官、服務(wù)臺(tái)、企業(yè)老板和市場(chǎng)部，這樣他們對(duì)于關(guān)閉系統(tǒng)與否可以快速做出決定。比如，如果關(guān)閉系統(tǒng)會(huì)導(dǎo)致企業(yè)業(yè)務(wù)基本停止，高層管理人員必須提前知道這種情況。他們需要了解關(guān)閉系統(tǒng)對(duì)企業(yè)的影響、已經(jīng)做出的努力、修復(fù)系統(tǒng)的潛在成本和影響。每個(gè)人需要知道的詳細(xì)內(nèi)容是不同的，這取決于他們的職位和可用到的資源。

要知道，關(guān)閉系統(tǒng)實(shí)際上并不能保障系統(tǒng)的安全性，所以這不是安全事件響應(yīng)程序中的最后一個(gè)步驟。不管是哪種安全問(wèn)題造成此局面，在關(guān)閉系統(tǒng)之后，一定要及時(shí)補(bǔ)救，比如修復(fù)系統(tǒng)、改變配置或者限制訪問(wèn)只對(duì)信任連接開放。補(bǔ)救這個(gè)步驟要花費(fèi)的時(shí)間取決于BIA和BCDRP。停機(jī)造成最大影響的系統(tǒng)應(yīng)該最快被修復(fù)。例如，一個(gè)Web服務(wù)器帶有一個(gè)Web應(yīng)用程序，該應(yīng)用程序很容易感染SQL漏洞。那么當(dāng)開發(fā)補(bǔ)丁時(shí)，該應(yīng)用程序需要停止。Web服務(wù)器需要建立一個(gè)Web應(yīng)用程序防火墻或者更改配置來(lái)移除訪問(wèn)，以便于在系統(tǒng)上運(yùn)行命令。

當(dāng)企業(yè)面臨網(wǎng)絡(luò)攻擊時(shí)，關(guān)閉系統(tǒng)是最極端的處理方式有時(shí)也是唯一的選擇。了解關(guān)閉特定系統(tǒng)或網(wǎng)絡(luò)連接會(huì)帶來(lái)的業(yè)務(wù)影響可以幫助企業(yè)決定是利用資源來(lái)修復(fù)已損害的系統(tǒng)，還是關(guān)閉系統(tǒng)。無(wú)論是哪種情況，確保有緊急事故預(yù)案和溝通渠道可以降低企業(yè)損失。