第 10章 . 事件响应

如果系统安全被危及了,就有必要进行事件响应(incident response)。快速有效地对问题采取相应的行动是安全组的职责。

10.1. 事件响应的定义

事件响应是对问题和事件的有计划的反应。从信息安全的角度讲,它是指安全小组在某个黑客已经攻破了防火墙,当前正在嗅探内部网络的交通时所采取的行动。该事件是对安全性的一种破坏。对它的响应就应该包括:安全小组在试图保证数据完好性的同时如何反应;他们采取哪些行动来减少损失;以及他们何时能够恢复资源。

想一想你自己所在的机构,想一想它在各方各面上有多大程度要依赖于科技和计算机系统。如果其中出现了漏洞或弱点,想像一下潜在的灾难性结果。除了最明显的系统停用和数据失窃以外,还可能会出现数据损害、身份失窃(从在线人事记录中)、消极媒介宣传、甚至由于顾客和商业伙伴在获悉攻击真相后采取消极态度所导致的灾难性财政结果。

对已往安全破坏(内部和外部)的研究表明,安全破坏有时会导致公司破产。安全破坏会使资源不可用,还会导致数据被损或被窃。但是我们不能忽略那些很难用金钱来衡量的问题,如消极宣传。要真正了解有效的事件响应的重要性,组织机构必须要计算安全破坏会给它带来的损失,以及它会如何短期和长期地受其影响。