计算机安全事件处理

计算机安全事件处理

翻译：陈海燕，CISSP（phrackchen@）

(《计算机安全介绍：NIST手册》第十二章)

英文版PDF

注：以下内容因排版原因有所省略。

计算机系统会受到众多不幸事件的影响，从数据文件损坏到病毒，到自然灾害。可以通过标准的操作规程从这样一些不幸事件中恢复。例如，频繁发生的不幸事件（如错误删除文件）通常可以被很容易地修复（如通过备份文件进行恢复）。更严重的不幸事件如因自然灾害导致的停电一般由机构的应急计划处理。其它破坏事件是由恶意的技术活动（如创建病毒或系统黑客）导致的。

计算机安全事件可能由计算机病毒、其它恶意代码、内部或外部的系统入侵者导致。本章中使用它泛指由恶意的技术活动导致的那些事件。它可以特指那些在没有技术专家响应时会造成严重损害的事件。计算机安全事件这种定义的不确定性有些太强，在不同的机构或计算环境中所表示的可能会有所不同。

虽然黑客和恶意代码对系统和网络的威胁为人所知，但是这种有害事件的发生是无法预测的。大型网络（如互联网）上的安全事件，如入侵和服务中断对各种机构的计算能力都是有害的。最初遇到这种事件时，大多数机构都处于毫无准备的状态。但是当类似的事件再次发生时，就显示出制定快速发现和响应这种事件的常备能力通常是具有成本效益的。因为在未被发现时事件经常会“传播开来”增加了损失和对机构的伤害程度，这也是需要事件处理能力的一个原因。

事件处理与应急计划以及支持和运作紧密相连。事件处理能力可以被视为应急计划的组件，因为它提供了对正常处理过程中断提供快速有效响应的能力。广义地讲，应急计划涉及到所有可能会中断系统运作的事件。事件处理可以被考虑为应急计划中响应恶意技术威胁的部分。

本章描述机构可以如何通过建立计算机安全事件处理能力处理计算机安全事件（在其更大的计算机安全项目范畴内）。许多机构将处理事件作为其用户支持能力（在第14章讨论）或通用系统支持的一部分。

12.1 事件处理能力的好处

事件处理能力的首要好处是控制和修复事件带来的损害，并防止未来的损害。另外，建立事件处理能力还有不太明显的副作用。

12.1.1 控制和修复事件带来的损害

如果没有得到发现，恶意软件可能极大伤害机构的计算能力，其程度取决于技术

及其关联性。事件处理能力为用户提供报告事件和适当响应以及协助提供恢复帮助的方法。预先储备技术能力（如培训人员和病毒识别软件）以备不时之需。另外，机构将与其它支持资源（如司法、技术和管理方面的）签订好重要合同来协助控制和恢复工作。

缺乏事件处理能力，出于好意的响应也可能使事情变得更糟。在有些情况下，人们无意中使反病毒软件感染病毒又将其散播到其它系统。当病毒在局域网（LAN）中传播时，在几个小时内大多数或全部的计算机都可能感染。另外，不协调进行工作就无法将病毒从局域网中彻底根除。

许多机构使用大型的内部局域网并将其连接到公用网络，如互联网。这样做，机构增加了暴露给入侵活动的机会，尤其是在机构具有较高知名度（如其涉及到一个有争议的程序）时。事件处理能力可以通过快速响应可疑事件以及在需要时协调负责官员和人员的事件处理来为机构带来很大利益。入侵活动，无论是黑客还是恶意代码经常都可以感染处于很多不同网络站点的众多系统；因此，处理事件可能会错综复杂，可能需要来自机构外部的信息。通过事先计划，这种联系就可以预先建立并改善响应速度，从而控制和减少损害。其它机构可能已经处理过类似的情况并可能提供快速恢复和减少损害方面的非常有用的指导。

12.1.2 防止未来损害

事件处理能力也协助机构防止（或至少减少）未来事件带来的损害。可以通过对事件的深入研究获得机构威胁和缺陷方面更好的理解，以便部署更有效的防范措施。另外，可以通过外部联络（通过事件处理能力建立的）得到威胁和缺陷的早期警告。已经部署到位的机制将为用户提供风险警告。

事件处理机制可以使机构通过所经历的事件进行学习。可以收集以往事件的数据（和所采取的矫正方法）。可以对事件的模式进行分析，例如哪些病毒是最常见的，哪些矫正行动是最成功的，什么系统和信息会成为黑客的目标。这个过程也可以辨别缺陷，例如使用新的软件包或补丁是否会损害系统。关于所发生威胁的类型和所出现的缺陷方面的知识都可以协助确定安全解决方案。这些信息在创建培训和意识培养项目以帮助减小损失可能性方面时也会被证明是有用的。事件处理能力通过为用户提供信息协助培训和意识培养项目，这些信息包括（1）可以帮助避免事件的措施（如病毒扫描）和（2）事件发生时应该采取的行动。

当然，机构防止未来损失的尝试并非在真空中进行。良好的事件处理能力会与机构外的伙伴建立联系。这可以使机构获得尚未经历过的威胁和缺陷的早期预警。可以采取早期防范措施（通常比修复损害更具有成本效益）减少未来的损失。与机构外部分享信息也可以使他人从机构的经历中得到教益。

12.1.3 副作用

最后，建立事件处理能力还会以意想不到的方式帮助机构。这里讨论三点。

使用威胁和缺陷数据。事件处理可以很大程度上加强风险评估过程。事件处理能力能够让机构收集在风险评估和防范措施选择（如设计新系统时）中有用的威胁数据。可以通过记录和分析事件来确定是否有问题重复发生（或出现其它事件发

生模式时是否显示出有黑客的攻击），如果孤立地看待每一个事件这些情况就可能被忽视。机构中事件的数量和类型的统计数据可以被用于风险评估过程以便指示出缺陷和威胁。

加强内部沟通和机构的准备。机构经常发现事件处理能力加强了内部沟通和机构响应各类事件的准备，而不仅仅是计算机安全事件。内部沟通将得到改善；管理行为得以更好的组织来接收信息；会预先建立起与公共事务、司法官员、执法部门和其它团体的联系。所建立的事件报告体系也可以被用于其它目的。

加强培训和意识培养项目。机构的培训过程还可以从事件处理经验中得到好处。通过事件报告，受训者可以更好地理解所需的安全知识。培训者可以使用真实的事件生动地描述计算机安全的重要性。根据事件处理人员提供的当前威胁和控制信息，所制定的培训为用户提供了更加针对当前需求的内容，从而减少事件对机构构成风险。

12.2 成功的事件处理能力的特点

成功的事件处理能力有几个特点：

∙对其所服务群体的了解；

∙得到教育的群体；

∙集中的通信方法；

∙所需的专业技术；

∙与其它事件处理相关团体的联系（如果需要）。

12.2.1 定义服务对象群体

群体包括计算机用户和程序管理者。与其它客户－供应商关系一样，如果所提供的服务是有价值的，群体将倾向于利用这种能力。

群体不总是针对机构整体。例如，机构可能使用几种类型的计算机和网络，但是可能因成本的原因决定只对个人计算机用户提供事件处理能力。如果是这样，可能是因为机构觉得计算机病毒带来的风险比其它平台的恶意技术威胁更大。或者由多个站点组成的大型机构可能认为一些站点当前的计算机安全工作不需要事件处理能力，而另一些站点需要（可能是由于处理的重要性）。

12.2.2 培训对象群体

用户需要了解、接受并信任事件处理能力否则就不会使用。通过培训和意识培养项目，用户会逐渐了解这些能力以及怎样发现和报告事件。用户对服务价值的认可将使其运作更可靠。

12.2.3 集中的报告和通信

成功的事件处理需要用户能够以方便和直接的方式向事件处理小组报告事件；这被称为集中报告。成功的事件处理能力依赖于及时的报告。如果事件报告困难或者耗时，可能就无法充分发挥事件处理能力。通常，某种形式的热线配以传呼做为备份是不错的方式。