第十六章业务连续性管理.docx
《第十六章业务连续性管理.docx》由会员分享,可在线阅读,更多相关《第十六章业务连续性管理.docx(71页珍藏版)》请在冰豆网上搜索。
第十六章业务连续性管理
第16章业务连续性管理
随着信息化的发展、企业、政府对信息系统运作的稳定性和可靠性的要求就越高。
本章首先将从什么是业务连续性计划及BCP相关概念进行了介绍;然后介绍了应急响应概念、如何建立安全应急响应管理系统和应急响应流程以及针对事件的发生如何处理;最后介绍了灾难恢复计划相关概念和所使用的技术以及灾难恢复级别是如何定义和如何制定灾难恢复计划。
本章内容适合参加信息安全高级管理师认证的读者。
16.1概述
.1.1什么是业务连续性计划
业务连续性计划(BusinessContinuityPlanning,缩写为BCP),BCP可被定义为一种先知先觉的流程,它可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。
由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下,这些关键因素的作用都能正常而持续地发挥。
BCP的目标是建立一种合理有效的成本控制方案,以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作而进行的成本投入。
业务连续性对确保灾难发生时企业的生存是至关重要的,不过与之同等重要的是要保证企业日常的业务运行平稳有序。
业务持续管理即BCM是一种整体管理流程,它能够确定可能发生的冲击及对企业运作造成的威胁,并提供一个架构来阻止或有效的抵消这些威胁,以保护股东的利益、公司的名誉及品牌。
.1.2BCP运作流程
BCP运作共有6个阶段,分别为:
1.项目初始化
2.风险分析及业务影响
3.策略及实施
4.BCP开发
5.培训计划
6.测试及维护
1.项目初始化
(1)获得管理层的支持与投入
为了确保该程序能够成功,高级管理层必须参与其中。
BCP计划必须成为公司的战略性业务计划提供独立的预算。
(2)建立团队
必须建立一个团队,人员包括财务部,审计部,信息技术部,人事部,行政部等等。
当灾难开始时,这些部门在继续扮演他们承担的支援角色的同时,也必须实施重大的机构转变以援助受影响的区域。
法律部、公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。
2.风险分析及业务影响分析
决定BCP需求的关键驱动力是"企业能在灾难中承受多少金额的损失"?
业务影响分析的目的是回答以下问题:
∙保护何种资产?
(资产识别与评估)
∙资产的威胁与脆弱点?
(脆弱点和威胁评估)
∙有没有控制措施?
控制措施能否预防或减少潜在的威胁?
(评估控制)
∙投入金额/劳力的多少?
(决定)
∙投入资金的效率如何?
(通讯和监控)
当进行业务影响分析时,应考虑以下几方面:
∙金额的影响:
如果不采取相应的措施,则组织的经济损失是多少?
∙客户的影响:
如果发生业务中断,则组织会损失多少市场占有率。
∙法律的影响:
组织是否遵从法律的要求?
∙内部依赖关系的影响:
中断的业务是否会其他领域的关键业务?
∙作为业务影响分析的一部分,应该评估业务允许中断的时间长短;
∙组织能提供多常时间的信息;当信息重新可用时,允许损失的信息是多少?
这些问题可以通过恢复时间目标(recoverytimeobjective(RTO))和恢复点目标(recoverypointobjective(RPO))来决定。
BCP需求的另一个因素是“灾难实际发生的可能性”。
此因素由威胁的级别和组织具有的薄弱点范围决定,威胁的程度取决于下列因素:
∙有恶意性的破坏,如轰炸、纵火、工业间谍等。
∙意外事故,如组织的办公场所、环境,内部系统和处理程序的质量。
3.业务持续性策略及实施
(1)业务持续性策略
业务影响分析为制定业务持续性策略提供必要的信息,下来,根据提供的信息,可以确定多种满足组织业务持续管理的方案。
必须为各种业务持续方案进行成本、效益及风险分析,包括:
∙满足业务持续目标的能力
∙影响的可能性
∙安装设备的成本
∙维护、测试及调用设备的成本
∙中断对于技术、组织、文化和管理的干扰及未采取持续管理的潜在影响
∙应该仔细考虑采取业务持续方案确实解决了具体的风险但不会增加其它风险。
通过风险降低和业务持续方案成本的平衡来决定业务持续策略以降低风险达到业务持续的目标。
(2)实施
∙设立组织及准备实施计划书
∙实施备份安排
∙实施降低风险的措施
4.BCP开发
开发业务持续计划之前,确定灾难发生的情况下执行的行动,你需要熟悉每天的操作任务。
这意味这你需要熟悉每一个业务处理过程的基本文档。
在开发业务持续计划之前,须考虑下列措施是否已经存在:
∙变更控制流程
∙最终用户的标准操作流程
∙操作人员的具体需求和特殊外围设备需求
∙数据流图表及问题管理程序
∙重要记录
∙磁带备份/记录管理日常安排
∙异地存储
开发BCP计划时,需考虑在计划执行的七个阶段中为每个恢复小组分派任务:
∙评估与声明
∙通告
∙应急反应
∙过渡期处理
∙抢救
∙重新安置及启动
∙重新正常运做
5.培训计划
一些员工需要的特殊培训如下:
∙有紧急情况时可应用替代的技术流程
∙当自动操作系统正在恢复时可替代的人工操作流程
∙确保团队成员达到推动BCP所需能力的技术培训
6.测试及维护
进行演示及有规律的测试,增强信心及效率,确保其相关的文档时常更新。
总之,组织没有业务持续计划就像是不设防,不可能阻止任何不可预测的破坏所造成的各种损失。
所以公司必须认真的对待业务持续计划。
16.2应急响应计划
.2.1应急响应概述
16.2.1.1应急响应背景
1988年Morris蠕虫事件直接导致了CERT/CC的诞生。
美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。
目前,CERT/CC是DoD资助下的抗毁性网络系统计划(NetworkedSystemsSurvivabilityProgram)的一部分,下设三个部门:
事件处理、脆弱性处理、计算机安全应急响应组(CSIRT)。
在CERT/CC成立之后的14年里,共处理了28万多封Email,2万多个热线电话,其运行模式帮助了80多个CSIRT组织的建设。
“进入21世纪,网络技术的高速发展,使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局,已经全面映射到开放的互联网体系中,由此形成了一个社会、技术一体化的复杂巨系统!
”在首届“全国互联网应急处理研讨会‘2004”大会上,专家们描述出的国际互联网大环境,使我们深刻地认识到,完全杜绝互联网安全事件是不可能的,重要的是加强应急响应!
在这一复杂巨系统中,国家公共管理职能开始向互联网世界全面渗透。
就像物理世界面临着SARS、禽流感等病毒时,国家建立了整套的应急体系和处理能力一样,当互联网上蠕虫、病毒、网络攻击日益泛滥时,同样需要这样一个体系对网络攻击事件进行紧急处理,包括事前监测、事中处理和事后的灾难恢复。
因此,公共互联网应急体系已经成为国家应急体系的一个重要分支。
正因为应急响应的重要战略地位,2004年1月9日~10日在北京召开的备受信息安全业界乃至社会各界关注的全国信息安全保障工作会议上,国家将强化应急体系、提高处理能力作为保障信息安全最重要的基础任务之一。
2月11日~13日由信息产业部互联网应急处理协调办公室(简称CNCERT/CC)主办的“全国互联网应急处理研讨会‘2004”大会,正是这一精神的具体落实和体现。
但是,与物理世界不完全一致的是,面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动!
在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题,这也正是次此会议的初衷——从理论方法学到实际运作经验,探讨如何在复杂巨系统中理清思路,提高应急响应水平的方法。
“开放的互联网符合复杂巨系统的所有特征,我们要用综合集成的思维方式,考虑应急响应的管理方法。
”
对许多人而言,公共互联网应急响应的概念并不新鲜,也并不难理解,因为物理世界面对SARS的处理方法已经让人们充分地认识到了应急响应的必要性和紧急物理隔离的措施和方法。
然而,当现代社会越来越依赖大规模的网络系统时,按照常规的方式已经不能有效处理网络紧急事件了:
计算机蠕虫病毒已经成功实现智能化,开始主动寻找设备进行攻击;感染速度越来越快,能在数小时内传遍全球;应急响应却越来越慢,网络攻击采取伪造地址方式,难以追踪到真实的病毒制造者;而进行完全的物理隔离在互联互通时代越来越行不通……于是,理想与现实的反差越来越大!
中国工程院院士何德全认为,这是因为,互联网世界已经构成了一个“复杂巨系统”!
“复杂巨系统具有四个重要特征,而开放的互联网体系完全符合这四个特征:
首先是‘巨’,即子系统数目巨多,不是千万级数量概念,而是数亿级数量概念;第二是复杂,子系统与子系统之间是高度非线性的内部关系结构;三是自组织,互联网没有统一的领导,而是依靠统一的协议进行连接;四是开放,任何系统只要符合协议规范,就可以没有任何限制地任意连入全球网络系统。
”
在这种复杂巨系统中,虽然很多企业自己提早做了应急预案,但在具体实施中很难实现理想的效果。
为什么呢?
因为目前的应急管理无法适应复杂巨系统的要求:
首先是缺少知识层次上的应急响应的全生命周期管理;其次是做出的应急计划都是线性、彼此完全分割的,只有任务的分解而没有综合集成,基本无法完成有效的应急响应。
预案不是简单做完了就行的,而应该随着过程、环境的变化而不断变化,不应该是线性的,而应该是非线性的防灾计划。
16.2.1.2信息安全与应急响应的关系
对于一个单位或组织来说,信息和其他重要的商业资产一样都具有价值,因此要给于适当的保护。
信息安全保护信息免受各方面的威胁,以达到确保商业连续性,尽量减小商业损失并且尽量增加投资回报率和商业机会的目的。
信息能够以多种形式存在。
可以打印或写在纸上,以电子形式存储,通过邮寄或使用电子方式传播,用影片显示或口头转述。
无论信息表现为何种形式,或以何种方式分享或储存,都应该对其进行适当的保护。
信息安全的特点被总结成保护:
a)保密性:
确保只有被授权的人才可以访问信息;
b)完整性:
确保信息和信息处理方法的准确性和完整性;
c)可用性:
确保在需要时,被授权的用户可以访问信息和相关的资产。
信息安全可以通过实行一套控制措施来实现。
控制措施除实施安全产品外,还要有必要的紧急事件的响应和灾难事件的备份与恢复机制,如2003年1月25日爆发的sqlslammer蠕虫事件,组织中如果没有很好的应急响应流程和方法,就会给组织带来很大的损失。
如图16-1应急响应属于风险管理的一部分。
图16-1应急响应组成
在信息安全中,对于一个组织来说,最重要的就是保持组织的业务连续性,如图16-2清晰地说明了维持业务连续性要制定的相关计划,其中很重要的内容就是事件响应计划。
图16-2业务连续性计划
因此,下面的章节会讨论应急响应的相关术语及如何有效的建立应急响应小组等,帮助组织建立自己的应急小组,以辅助组织实现自己的安全目标。
16.2.1.3我国的应急响应体制现状
红色代码事件推动了我国应急处理体系的形成,对跨国的计算机攻击事件的处理推动了国际应急组织的合作,我们已经实现从应急组织向应急体系的转变。
早在SARS出现之前,早在物理世界的疾病应急体系建立之前,信息产业部就已经着手建立公共互联网应急体系,在组织结构、人员组成、响应技术方面进行了综合投资和考虑。
整个国家的应急体系都在建设中,不仅包括互联网应急体系,还包括广电系统、医疗卫生系统、煤炭系统等应急体系,但信息产业部走在了前面,公共互联网应急体系的经验值得推广。
据CNCERT/CC主任方滨兴介绍,中国CNCERT组织自2003年7月正式成立以来,目前已经在全国各地建立了31个分中心,授权10家信息安全产品和服务供应商作为重要的技术、服务合作伙伴,除此而外,信息产业部还要求国内的10家骨干互联网运营企业(包括6家电信运营商和4个公共信息网)成立自己的应急响应中心(CERT),这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户,成为了CNCERT/CC的主要联系成员,由此形成了一个立体交错的应急体系,形成了信息上下畅通传递的通报制度。
这套体系不仅在中国,在世界也是独一无二的。
通过这套体系,2003年,在SQL病毒、口令蠕虫和冲击波病毒泛滥致使成千上万台服务器遭受重创、435台中国的主机网页遭到篡改、各种DDoS攻击严重的恶劣的互联网环境下,CNCERT/CC有效及时地将应急方法推广下去,使这些攻击得到有效的遏止。
此外,互联网攻击全球化的特征,使各个国家的CERT组织必须在深层次上展开合作,才能形成全球一体化的反应体系,在这个体系中,各国的CERT组织均是其中重要的一个成员。
CNCERT/CC也一样,目前与国际应急响应组织建立了广泛的技术、交流的合作关系,并在与国际交流中,在职责、组织结构和技术水平上不断进行完善。
在法律规范上,虽然目前关于互联网应急响应的国际公约还不成熟,但是联合国已经提出,国家与国家之间在互联网应急上要相互协作。
在技术手段上,为了实现应急响应的监测、响应和恢复三大职责,各个运营商,包括中国移动、中国电信、中国教育网等,都已积极建立自己的互联网监测平台,并连入CNCERT/CC的监测平台上。
而国家对信息安全监测和预警技术也给予了充分的投资,国家863项目的917监测平台正是在国家层面上建立起的试点性的监测项目,通过自愿加入的原则吸收成员单位,及时发现互联网上的攻击行为和新的病毒爆发情况。
目前的监测还仅限于流量异常监测、及时发现网络攻击和新型蠕虫病毒,但是,在未来,我们必然会实现更加细粒度的监测和网络安全应急响应。
正因为互联网全球化的特征,公共互联网的应急响应才具备国际化的特征,需要更多的国际应急响应组织参与到体系当中,共同进行技术的合作、经验的交流。
16.2.1.4应急响应的国际组织结构
计算机应急处理的国际组织惯称为:
CERT(计算机紧急响应小组),也有的被称为
CSIRT(计算机安全事件响应小组)。
在美国的推动下,全世界几十个国家和地区都成立了CERT或类似的组织。
1990年11
月,在美国、英国等的发起下,一些国家的CERT组织参与成立了“计算机事件响应与安
全工作组论坛”,简称FIRST。
它的基本目的是使各成员能就安全漏洞、安全技术、安
全管理等方面进行交流与合作,以实行国际间的信息共享、技术共享,最终达到联合防
范计算机网络上攻击的目标。
截止到目前,全球有30个国家和地区的CERT组织加入到了FIRST组织中。
2002年3月CNCERT/CC与澳大利亚的AusCERT就亚太地区各应急处理组织之间如何协作处理安全事件进行了讨论,并合作草拟了建立亚太地区应急处理工作组(APCERT)的提议,提交亚太地区安全事件响应协调会议讨论,形成了成立APCERT组织的声明(征求意见稿),并决定成立工作组来负责对该声明进行修订。
CNCERT/CC的代表刘欣然博士作为工作组成员参与了该声明的后续修订工作。
2003年3月24~25日,在中国台北召开的APSIRC2003会议上,APCERT声明获得了所有成员的一致通过,正式宣告亚太地区应急响应工作组APCERT的成立。
各参会代表投票选举了APCERT指导委员会的成员单位,CNCERT/CC与澳大利亚的AusCERT、日本的
JPCERT/CC、韩国的KrCERT/CC、中国香港的HKCERT、新加坡的SingCERT、马来西亚的MyCERT入选,负责APCERT日常工作。
在美国的推动下,全世界几十个国家和地区都成立了CERT或类似的组织。
1990年11月,在美国、英国等的发起下,一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”,简称FIRST。
亚太地区应急响应工作组称为APCERT,作为APCERT的指导委员会成员单位,澳大利亚、日本、韩国和中国香港的CERT组织代表参加了这次会议,他们在应急体系的建设、应急方法的采用、职责和功能上虽然有着高度的一致,但地区特色依然浓厚,存在很大的地区差异。
但由于应急响应全球合作的特征,这些CERT
组织间进行有效的沟通和经验交流,将对全球一体化地反击公共互联网威胁起到巨大的作用。
从组织结构来说,这些CERT组织无一例外是由该国家或地区的政府倡导成立,大部分CERT组织的经费来源于政府,也有一些经费来自于信息安全培训和成员的赞助,他们一般的任务在于进行互联网上的异常监测,及时发现异常流量并进行早期的预警,协调事件的处理,通过公告和信息论坛的形式进行信息安全普及教育。
某些国家还开展了内容监测,并通过政府、ISP、公众、CERT组织共同参与的方式对紧急事件进行响应。
澳大利亚的CERT组织(AusCERT)在澳洲重要基础设施的保护中发挥着重要作用,AusCERT的MarkMcPherson先生认为,应急技术是CERT组织最重要的内容,只有让成员单位相信通过自己的技术能得到真实的好处,能在“黄金时间”内得到有效的预警信息,提前预防,才能使CERT真正发挥作用。
目前,AusCERT的经费来自三方面:
政府、成员单位和信息安全普及培训。
中国香港地区的CERT组织(HKCERT/CC)由香港生产力促进局运作,其主要职责则在于协调处理和预防以中小企业为目标的网络攻击。
工作重点在于协调,而不是研发。
HKCERT的梁兆昌介绍,对应急事件的协调可能比应急事件本身更重要,因为,协调是为了保证当事件到来时能有效地沟通,确保事件的统一化处理。
因此,HKCERT与各国的CERT组织保持着密切的沟通,通过研讨会、论坛以及应急事件描述与交换形式(IODEF)工作组的交流,及时对各类攻击进行预警。
日本的CERT组织(JPCERT/CC)除了上述一些职责外,还增加了信息安全技术普及和信息安全趋势分析职能。
JPCERT的YurieIto女士介绍,JPCERT非常重视信息安全技术,目前,来自不同的ISP和厂商的30名信息安全专家是该组织的专业顾问。
此外,JPCERT还建立了一个互联网扫描数据获得系统(ISDAS),该系统已将几十个探针直接安装在自愿加入该系统的用户端,随时监测互联网上的流量和内容异常,以便第一时间发现网络上的攻击。
而韩国的CERT组织(KrCERT/CC)则在现有的基础职责基础之上,正在努力开拓一些新领域的应急响应,KrCERT的JunguKang先生介绍,目前KrCERT正在开发对病毒自动进行分类、统计的系统;开发在P2P和无线网络领域里发展应急响应技术以及开发针对攻击的早期预警系统。
在公共互联网的应急响应方面,各个国家的CERT组织的职责、任务、甚至包括体系结构并不完全一致,国际上也并没有要求必须进行完全的统一。
但是,这些CERT组织共同的目标是通过发展信息安全应急技术,对互联网攻击进行有效预警。
此外,各国CERT一个共同的作法是密切保持国际组织间的合作,保持对攻击信息的有效沟通,为此,正在发展中的紧急事件描述与交换形式(IODEF)就成为一项重要的内容,虽然目前它尚未成为正式的标准,但显然,包括日本、韩国在内的一些国家的CERT组织正在采用它,由于信息沟通在应急响应中的作用日益重要,IODEF的价值就日益突出。
但是,遗憾的是IODEF目前不适用于中文,这对CNCERT/CC与国际交流将产生不利的影响,相信不久之后这种情况会得到改观。
为了紧急应对公共互联网安全事件,各国的政府、运营商、企业、个人开始了全球总动员!
2003年2月,信息产业部批准将1999年成立的“国家计算机网络与信息安全管理中心因特网应急小组协调办公室”更名为“信息产业部互联网应急处理协调办公室”。
2003年7月14日,中编办正式批复成立了国家计算机网络应急技术处理协调中心,这是计算机应急响应的处理中心,简称CNCERT/CC。
国内外现有安全事件应急响应组织大概可以分5类:
1.第一类是网络服务提供商的IRT组织,如CERNET的CCERT,主要为CERNET的接入用户提供增值的服务;
2.第二类为企业或政府组织的IRT组织,如美国联邦的FedCIRC、美国银行的BACIRT(BankofAmericaCIRT)等;
3.第三类是厂商IRT,如Sun、Cisco等公司的响应组,主要为本公司产品的安全问题提供响应和支持;
4.第四类为商业化的IRT,面向全社会提供商业化的安全救援服务;
5.第五类是一些国内或国际间的协调组织如FIRST、CN-CERT/CC等。
有些IRT既是协调组织,同时又提供服务,如CERT/CC。
IRT组织不仅仅坐等安全事件发生以后才去补救,未雨绸缪、防患于未然也是IRT组织的重要服务内容。
所以,一般还提供安全公告、安全咨询、风险评估、入侵检测、安全技术的教育与培训、入侵追踪等多种服务。
就应急响应服务本身而言,由于它具有以下特点使得这一服务非常困难:
(1)技术的复杂性与专业性;
(2)知识和经验的依赖性;
(3)事件的突发性强;
(4)需要广泛的协调与合作。
16.2.1.5应急响应相关术语
事件响应:
对发生在计算机系统或网络上的威胁安全的事件进行响应。
事件响应是信息安全生命周期的必要组成部分。
这个生命周期包括:
对策、检测和响应,网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。
应急响应计划:
被设计用于在紧急情况、系统故障或灾难事件中在备用站点维持和恢复包括计算机运行在内的业务运行的策略和规程。
下图16-3是应急响应计划过程图。
图16-3应急响应计划过程
应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。
.2.2安全应急响应管理系统的建立
16.2.2.1应急响应目标
随着IT技术越来越多地应用到机构或公司的业务中,IT系统的应急响应功能变得更加关键。
因而IT安全管理的主要功能就是采取足够的主动措施解决各类安全事件。
安全事件可能被许多不同的事件触发并破坏单个IT系统或整个网络的可用性、完整性、数据的保密性。
IT安全管理系统要特别注重响应、处理安全事件,因为安全事件可能带来重大破坏。
那些引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重IT安全管理系统的负担。
安全事件的处理最终是由IT安全管理系统负责,并且是以保证以下各项为目标的:
(1)响应能力,确保安全事件和安全问题能被及时地发现并报告给适当的负责人;
(2)决断能力,判断是否是本地安全问题抑或构成一个安全事件;
(3)行动能力,在发生安全事件时基于一个很短的提示就能采取必要的措施;
(4)减少损失,立即通知企业内其它可能受影响的部门;
(5)效率,实践和监控处理安全事件的能力。
为实现这些目标,必须建立一个管理系统来处理安全事件。
这时管理层有必要参与进来并最终让管理系统发挥作用,以提高对IT安全问题的认识,合理分配决定权,更好地支持安全目标。
下面描述的步骤为如何建立一个管理系统来处理安全事件提供了一个建议
1.步骤1安全指南内容
对安全事件的处理是IT安全管理的一个方面,因此应该被列入安全指南及机构或公司的安全策略中。
这些文件必须包括用户和受害单位报告给安全负责人的安全事件及安全问题。
除此之外,还必须有对决断过程的描述并按照规定的过程动员员工。
同时,安全指南内容也是管理层支持IT安全的一个证明。
2.步骤2职责规范
本步骤中必须规定在安全事件发生时谁应该承担什么责任。
比如,下面各
升级会员 