·246·第第55章章信信息息系系统统安安全全管管理理信息系统是复杂的系统,其安全的运行不仅与技术有关,还涉及人和制度.
因此,从用户的角度看,更需要强调三分技术、七分管理.
经过多年的实践和研究,各个国家以及组织,都已形成完善的信息安全管理体系和方法.
本章介绍信息系统管理中的一些主要环节.
5.
1信息系统应急响应"智者千虑,必有一失.
"尽管人们已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手.
系统遭受到一次入侵,就面临一次灾难.
这些影响信息系统安全的不正当行为就称为事件.
事件响应就是事件发生后所采取的措施和行动.
信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免.
因此,安全事件响应就成为一个与防火墙技术、入侵检测技术等同样重要的安全保障策略和手段.
1988年,莫里斯蠕虫以迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失.
这突如其来的灾难给人们敲响了警钟:面对人类对信息系统依赖程度的不断增强,对付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助.
1989年,在美国国防部的资助下,计算机紧急响应组/呼叫中心(ComputerEmergencyTeam/CallCenter,CERT/CC)成立.
从此紧急响应被摆到了人们的议事桌上.
一般说来,每个使用信息系统的组织都应当有一套应急响应机制.
该机制应包括4个基本环节.
(1)信息系统应急响应组织.
(2)信息系统安全保护制度.
(3)信息系统应急预案.
(4)信息系统应急演练.
5.
1.
1应急响应组织应急响应组织的主要工作如下.
(1)安全事件与软件安全缺陷分析研究.
(2)安全知识库(包括漏洞知识、入侵检测等)开发与管理.
(3)安全管理和应急知识的教育与培训.
(4)发布安全信息(如系统漏洞与补丁、病毒警告等).
(5)安全事件紧急处理.
应急响应组织包括应急保障领导小组和应急技术保障小组.
应急保障领导小组的主要·247·职责是领导与协调突发事件与自然灾害的应急处理.
应急技术保障小组主要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等.
当然其中有些工作也可以进行服务外包.
5.
1.
2信息系统安全保护制度信息系统安全保护制度主要包括如下4个方面的内容.
(1)信息系统安全责任制度.
(2)信息系统安全检测制度.
(3)信息系统安全报告制度.
(4)信息安全行为规范.
1.
信息系统安全责任制度信息系统安全责任制度包括如下几个方面.
1)责任到人例如,《广东省计算机信息系统安全保护管理规定》(经2003年3月31日广东省人民政府第十届4次常务会议通过,2003年4月8日广东省人民政府令第81号发布,自2003年6月1日起施行)要求:"计算机信息系统使用单位应当确定计算机安全管理责任人,建立健全安全保护制度,落实安全保护技术措施,保障本单位计算机信息系统安全,并协助公安机关做好安全保护管理工作.
"2)确定信息系统安全保护的重点部门例如,对于一个地区,应当把下列计算机信息系统使用单位为重点安全保护单位.
(1)县级以上国家机关、国防单位.
(2)银行、证券、能源、交通、邮电通信单位.
(3)国家及省重点科研、教育单位.
(4)国有大中型企业.
(5)互联单位、接入单位及重点网站.
(6)向公众提供上网服务的场所.
3)建立信息系统安全从业资质、证书制度例如,《广东省计算机信息系统安全保护管理规定》要求:(1)重点安全保护单位计算机安全管理责任人和信息审查员应当参加县级以上人民政府公安机关认可的安全技术培训,并取得安全技术培训合格证书.
(2)申请安全服务资质,应当具备以下条件.
①取得相应经营范围的营业执照.
②取得安全技术培训合格证书的专业技术人员不少于10人,其中大学本科以上学历的人员所占比例不少于70%.
③负责安全服务工作的管理人员应当具有两年以上从事计算机信息系统安全技术领·248·域企业管理工作经历,并取得安全技术培训合格证书.
④有与其从事的安全服务业务相适应的技术装备.
⑤有与其从事的安全服务业务相适应的组织管理制度.
⑥法律法规规定的其他条件.
4)信息安全奖惩制度例如,《广东省计算机信息系统安全保护管理规定》(2003)要求:"计算机信息系统使用单位应当将计算机信息系统安全保护工作纳入内部检查、考核、评比内容.
对在工作中成绩突出的部门和个人,应当给予表彰奖励.
对未依法履行安全保护职责或违反本单位安全保护制度的,应当依照有关规定对责任人员给予行政处分.
"2.
信息系统安全检测制度信息系统维护与管理人员要定期对信息系统进行安全检测,防患于未然,包括定期检查下列内容.
(1)系统重要部分的冗余或备份措施.
(2)计算机病毒防治措施.
(3)网络攻击防范、追踪措施.
(4)安全审计和预警措施.
(5)系统运行和用户使用日志记录保存60日以上措施.
(6)记录用户主叫电话号码和网络地址的措施.
(7)身份登记和识别确认措施.
(8)信息群发限制和有害数据防治措施.
3.
信息系统安全报告制度要建立信息系统安全报告制度,按照有关规定,向有关部门报告信息系统安全运行情况以及有关事件.
例如,《广东省计算机信息系统安全保护管理规定》(2003)要求"对计算机信息系统中发生的重大安全事故,使用单位应当采取应急措施,保留有关原始记录,在24小时内向当地县级以上人民政府公安机关报告".
4.
信息安全行为规范通常要求任何单位和个人不得利用计算机信息系统从事下列行为.
(1)制作、复制、查阅、传播有害信息.
(2)侵犯他人隐私,窃取他人账号,假冒他人名义发送信息,或者向他人发送垃圾信息.
(3)以营利或者非正常使用为目的,未经允许向第三方公开他人电子邮箱地址.
(4)未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据.
(5)危害计算机信息系统安全的其他行为.
·249·5.
1.
3信息系统应急预案1.
应急预案及基本内容应急预案是指根据不同的突发紧急事件类型和意外情形预先制定的处理方案.
应急预案一般要包括如下内容.
(1)执行应急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法).
(2)系统紧急事件类型及处理措施的详细说明.
(3)应急处理的具体步骤和操作顺序.
2.
常见安全事件举例应急预案要根据安全事件的类型进行对应的处理.
不同的组织中,信息系统安全事件的常见类型有所不同,工作人员应当根据行业性质和地域状况进行具体分析.
下面提供一些常见的安全事件类型供参考.
(1)物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等.
(2)网络通信类安全事件,如网络蠕虫侵害等.
(3)主机系统类安全事件,如计算机病毒、口令丢失等.
(4)应用系统类安全事件,如客户信息丢失等.
3.
应急事件处理的基本流程1)安全事件报警值班人员发现紧急情况,要及时报告.
报告要对安全事件进行准确描述并作书面记录.
按照安全事件的类型,安全事件呈报条例应依次报告:值班人员、应急工作组长、应急领导小组.
如果想进行任何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量,然后通知有关执法机构.
一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可能是非法的.
同时,还应通知有关人员,交换相关信息,必要时可以获得援助.
2)信息安全紧急事件认定信息系统发生下列事件之一,应视为紧急事件.
(1)信息系统硬件受到破坏性攻击,不能正常发挥其部分或全部功能.
(2)信息系统软件受到破坏性攻击,不能正常发挥其部分或全部功能.
(3)信息系统受到恶意程序攻击,局部或全部数据或功能受到损坏,或工作效率急剧降低.
(4)相关物理设备受到人为和自然灾害破坏,无法正常工作.
(5)出现意外停电而又无后备电源.
(6)关键岗位人员不能到位.
紧急事件发生后,应尽快确定安全事件的类型,以便启动相应的预案.
·250·3)启动应急预案(1)首先要能够找到应急预案.
(2)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大.
(3)控制事态发展.
4)恢复系统这部分内容将在5.
1.
4节中详细介绍.
5)应急工作总结召开会议,分析问题和解决方法,具体可参考ftp://ftp.
isi.
edu/in-notes/rfc2196.
txt.
(1)总结教训.
从记录中总结关于这起事故的教训,这有助于反思安全策略.
(2)计算事件的代价.
计算事件代价有助于让组织认识到安全的重要性.
(3)改进安全策略.
6)撰写安全事件报告安全事件报告的内容包括以下部分.
(1)安全事件发生的日期、时间.
(2)安全事件处理参加的人员.
(3)事件发现的途径.
(4)事件类型.
(5)事件涉及范围.
(6)现场记录.
(7)事件导致的损失和影响.
(8)事件处理过程.
(9)使用的技术和工具.
(10)经验和教训.
5.
1.
4灾难恢复灾难恢复是安全事件应急预案中特别重要的部分,从发现入侵的那一刻起,所有工作就都围绕它进行.
1.
灾难恢复的内容灾难恢复中应当包括如下几项内容.
1)与高层管理人员协商系统恢复的步骤应当符合组织的安全预案.
如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合.
2)夺回系统控制权为了夺回对被入侵系统的控制权,先需要将被入侵系统从网络上断开,包括拨号连接.
·251·如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行的恢复工作.
进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程.
因此想要继续追踪入侵者时,可以先不夺回系统控制权,以免被入侵者发现.
但是,也要采取其他一些措施,避免入侵蔓延.
3)复制一份被入侵系统的映像在进行入侵分析之前,最好对被入侵系统进行备份(如使用UNIX命令dd).
这个备份在恢复失败时非常有用.
4)入侵评估入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查.
下面介绍围绕这些工作进行的调查工作.
(1)详细审查系统日志文件和显示器输出,检查异常现象.
(2)入侵者遗留物分析,包括以下几方面.
①检查入侵者对系统文件和配置文件的修改.
②检查被修改的数据.
③检查入侵者留下的工具和数据.
④检查网络监听工具.
(3)其他,如网络的周边环境和涉及的远程站点.
5)清除后门后门是入侵者为下次攻击设下的埋伏,包括修改了的配置文件、系统木马程序、修改了的系统内核等.
6)查阅CERT的安全建议、安全总结和供应商的安全提示查阅CERT以往的安全建议和总结以及供应商的安全提示,一定要安装所有的安全补丁.
(1)CERT安全建议:见http://www.
cert.
org/advisories/.
(2)CERT安全总结:见http://www.
cert.
org/advisories/.
(3)供应商安全提示:见ftp://ftp.
cert.
org/pub/cert_bulletins/.
7)记录恢复过程中所有的步骤毫不夸张地讲,记录恢复过程中采取的每一步措施都是非常重要的.
恢复一个被入侵的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人做出一些草率的决定.
记录恢复过程的每一步可以帮助自己避免做出草率的决定,还可以留作以后参考,也可能给法律调查提供帮助.
8)系统恢复各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复.
对于服务器和数据库等特别重要的设备,则需要单独订立紧急恢复预案.
·252·(1)操作系统恢复.
①安装干净的操作系统版本.
如果主机被入侵,就应当考虑系统中的任何东西都可能被攻击者修改过了,包括内核、二进制可执行文件、数据文件、正在运行的进程以及内存.
通常,需要从发布介质上重装操作系统,然后在重新连接到网络上之前,安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响.
只找出并修补被攻击者利用的安全缺陷是不够的.
建议使用干净的备份程序备份整个系统.
然后重装系统.
②取消不必要的服务.
只配置系统要提供的服务,取消那些没有必要的服务.
检查并确信其配置文件没有脆弱性以及该服务是否可靠.
通常,最保守的策略是取消所有的服务,只启动所需要的服务.
③安装供应商提供的所有补丁.
建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次入侵,这是最重要的一步.
④安装所有需要的驱动程序.
⑤安装所有需要的服务软件包.
⑥安装备份软件及其修补程序.
显然,用手工进行服务器的恢复是非常麻烦的.
如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘来恢复服务器,就便利多了.
(2)数据库系统的恢复.
数据库恢复是指通过技术手段,将保存在数据库中丢失的电子数据进行抢救和恢复的技术,其中包括:①数据文件恢复:把备份文件恢复到原来位置.
②控制文件恢复:控制文件受损时,要将其恢复到原位重新启动.
③文件系统恢复:在大型操作系统中,可能会因介质受损导致文件系统被破坏.
数据库恢复的一般步骤如下.
①将介质重新初始化.
②重新创建文件系统.
③利用备份完整地恢复数据库中的数据.
④启动数据库系统.
(3)数据恢复.
谨慎使用备份数据.
在从备份中恢复数据时,要确信备份主机没有被入侵.
一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用.
例如,备份中的用户的home目录(UNIX/Linux系统中有一个/home目录,通常用来保存用户的文件,并且一个用户登录系统并进入后所处的位置就是/home目录)、数据文件、hosts文件(hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将一些常用的网址域名对应的IP地址建立一个关联"数据库")中也许藏有特洛伊木马程序.
9)改变密码在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码.
·253·10)加固系统和网络的安全(1)根据CERT的配置指南检查系统的安全性.
CERT的UNIX/NT配置指南可以帮助用户检查系统中容易被入侵者利用的配置问题.
具体可查阅以下两个网络资源:http://www.
cert.
org/tech_tips/unix_configuration_guidelines.
htmlhttp://www.
cert.
org/tech_tips/win_configuration_guidelines.
html查阅安全工具文档可以参考http://www.
cert.
org/tech_tips/security_tools.
html.
(2)安装安全工具.
在将系统连接到网络上之前,一定要安装所有选用的安全工具.
同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全的地方,以便以后对系统进行检查.
(3)打开日志.
启动日志(logging)/检查(auditing)/记账(accounting)程序,将它们设置到准确的级别,例如sendmail日志应该是9级或者更高.
要经常备份日志文件,或者将日志写到另外的计算机、一个只能增加的文件系统或者一个安全的日志主机.
(4)配置防火墙对网络进行防御.
可以参考http://www.
cert.
org/tech_tips/packet_filtering.
html.
(5)重新连接到Internet.
完成以上步骤以后,就可以把系统重新连入Internet了.
应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加.
2.
灾难恢复级别2007年7月,国务院信息化工作办公室下发了《信息系统灾难恢复规范》,并于2007年11月1日开始正式实施.
这是中国灾难备份与恢复行业的第一个国家标准,也是各行各业进行灾备建设的重要参考性文件.
GB/T20988—2007《信息安全技术信息系统灾难恢复规范》将灾难恢复能力划分为如图5.
1所示的6级.
图5.
1信息系统灾难恢复级别等级一:基本支持.
要求数据备份系统能够保证每周至少进行一次数据备份,备份介质能够提供场外存放.
对于备用数据处理系统和备用网络系统,没有具体要求.
·254·等级二:备用场地支持.
在满足等级一的条件基础上,要求配备灾难恢复所需的部分数据处理设备,或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地;要求配备部分通信线路和相应的网络设备,或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地.
等级三:电子传输和设备支持.
要求每天至少进行一次完全数据备份,备份介质场外存放,同时每天多次利用通信网络将关键数据定时批量传送至备用场地.
配备灾难恢复所需的部分数据处理设备、通信线路和相应的网络设备.
等级四:电子传输及完整设备支持.
在等级三的基础上,要求配置灾难恢复所需的所有数据处理设备、通行线路和相应的网络设备,并且处于就绪或运行状态.
等级五:实时数据传输及完整设备支持.
除要求每天至少进行一次完全数据备份,备份介质场外存放外,还要求采用远程数据复制技术,利用通信网络将关键数据实时复制到备用场地.
等级六:数据零丢失和远程集群支持.
要求实现远程实时备份,数据零丢失;备用数据处理系统具备与生产数据处理系统一致的处理能力,应用软件是"集群的",可实时无缝切换.
中国软件评测中心信息安全专家认为,灾难恢复能力等级越高,对于信息系统的保护效果越好,但同时成本也会急剧上升.
因此,需要根据成本风险平衡原则(即灾难恢复资源的成本与风险可能造成的损失之间取得平衡),确定业务系统的合理的灾难恢复能力等级.
对于多个业务系统,不同业务可采用不同的灾难恢复策略.
信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系,各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标要求.
5.
1.
5信息系统应急演练信息系统突发事件的发生是非常随机的.
对于一个管理健全的信息系统,突发事件的发生概率极低.
但是一旦发生就是一个非常大的灾难.
这时,即使是有完美的应急预案,也会因为不太熟练或手忙脚乱,而贻误时机或处理不到位而造成系统损失.
因此,光有安全管理制度、应急领导组织和应急预案还是不够,还需要通过应急演练提高应急处理的响应能力、灾难恢复能力和处置能力.
应急演练一般包含如下内容.
(1)明确应急演练的指导思想.
(2)成立应急演练组织.
(3)制定应急演练方案.
1.
应急演练的指导思想信息系统灾备演练对于检验信息系统灾难恢复预案的适用性、有效性,提升灾备系统的实际恢复能力具有重要意义.
因此,应急演练不能看作仅仅是演练,而应该当作一次实战.
要从实战出发,认真对待.
·255·2.
应急演练组织机构应急演练的组织一般分为应急演练指挥部和应急演练工作组.
1)应急演练指挥部应急演练指挥部的职责是:负责信息系统突发事件应急演练的指挥、组织协调和过程控制;向上级部门报告应急演练进展情况和总结报告,确保演练工作达到预期目的.
2)应急演练工作组应急演练工作组的职责如下.
(1)负责信息系统突发事件应急演练的具体工作,对信息系统突发事件应急演练业务影响情况进行分析和评估.
(2)收集分析信息系统突发事件应急演练处置过程中的数据信息和记录.
(3)向应急指挥部报告应急演练进展情况和事态发展情况.
(4)做好后勤保障工作,提供应急演练所需人力和物力等资源保障.
(5)做好对受影响客户的解释和安抚工作.
(6)做好秩序维护、安全保障支援等工作.
(7)建立与电力、通信、公安等相关外部机构的应急演练协调机制和应急演练联动机制.
(8)其他为降低事件负面影响或损失提供的应急支持保障等.
3.
制定演练方案演练方案包含如下内容.
(1)演练时间.
(2)选定演练目的.
(3)确定演练内容.
4.
演练准备工作(1)组织员工学习信息安全的有关规范和本组织的信息系统突发事件应急预案.
(2)提高员工对于突发事件的应急处置意识,熟悉在突发事件中各自的职责和任务.
(3)明确责任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效果.
(4)制定演练详细时间安排表.
5.
应急演练的实施根据演练方案开展演练.
6.
总结汇报演练结束后,要对演练进行总结,对演练中出现的问题要及时上报并进行整改.
EtherNetservers是一家成立于2013年的英国主机商,提供基于OpenVZ和KVM架构的VPS,数据中心包括美国洛杉矶、新泽西和杰克逊维尔,商家支持使用PayPal、支付宝等付款方式,提供 60 天退款保证,这在IDC行业来说很少见,也可见商家对自家产品很有信心。有需要便宜VPS、多IP VPS的朋友可以关注一下。优惠码SUMMER-VPS-15 (终身 15% 的折扣)SUMMER-...
SugarHosts 糖果主机商也算是比较老牌的主机商,从2009年开始推出虚拟主机以来,目前当然还是以虚拟主机为主,也有新增云服务器和独立服务器。早年很多网友也比较争议他们家是不是国人商家,其实这些不是特别重要,我们很多国人商家或者国外商家主要还是看重的是品质和服务。一晃十二年过去,有看到SugarHosts糖果主机商12周年的促销活动。如果我们有需要香港、美国、德国虚拟主机的可以选择,他们家的...
乌云数据主营高性价比国内外云服务器,物理机,本着机器为主服务为辅的运营理念,将客户的体验放在第一位,提供性价比最高的云服务器,帮助各位站长上云,同时我们深知新人站长的不易,特此提供永久免费虚拟主机,已提供两年之久,帮助了上万名站长从零上云官网:https://wuvps.cn迎国庆豪礼一多款机型史上最低价,续费不加价 尽在wuvps.cn香港cera机房,香港沙田机房,超低延迟CN2线路地区CPU...