资源目录

翻译：陈海燕，CISSP（phrackchen@hotmail.com）

(《计算机安全介绍：NIST手册》第十二章)

英文版PDF

注：以下内容因排版原因有所省略。

计算机系统会受到众多不幸事件的影响，从数据文件损坏到病毒，到自然灾害。可以通过标准的操作规程从这样一些不幸事件中恢复。例如，频繁发生的不幸事件（如错误删除文件）通常可以被很容易地修复（如通过备份文件进行恢复）。更严重的不幸事件如因自然灾害导致的停电一般由机构的应急计划处理。其它破坏事件是由恶意的技术活动（如创建病毒或系统黑客）导致的。

计算机安全事件可能由计算机病毒、其它恶意代码、内部或外部的系统入侵者导致。本章中使用它泛指由恶意的技术活动导致的那些事件。它可以特指那些在没有技术专家响应时会造成严重损害的事件。计算机安全事件这种定义的不确定性有些太强，在不同的机构或计算环境中所表示的可能会有所不同。

虽然黑客和恶意代码对系统和网络的威胁为人所知，但是这种有害事件的发生是无法预测的。大型网络（如互联网）上的安全事件，如入侵和服务中断对各种机构的计算能力都是有害的。最初遇到这种事件时，大多数机构都处于毫无准备的状态。但是当类似的事件再次发生时，就显示出制定快速发现和响应这种事件的常备能力通常是具有成本效益的。因为在未被发现时事件经常会“传播开来”增加了损失和对机构的伤害程度，这也是需要事件处理能力的一个原因。

事件处理与应急计划以及支持和运作紧密相连。事件处理能力可以被视为应急计划的组件，因为它提供了对正常处理过程中断提供快速有效响应的能力。广义地讲，应急计划涉及到所有可能会中断系统运作的事件。事件处理可以被考虑为应急计划中响应恶意技术威胁的部分。

本章描述机构可以如何通过建立计算机安全事件处理能力处理计算机安全事件（在其更大的计算机安全项目范畴内）。许多机构将处理事件作为其用户支持能力（在第14章讨论）或通用系统支持的一部分。

12.1 事件处理能力的好处
事件处理能力的首要好处是控制和修复事件带来的损害，并防止未来的损害。另外，建立事件处理能力还有不太明显的副作用。

12.1.1 控制和修复事件带来的损害
如果没有得到发现，恶意软件可能极大伤害机构的计算能力，其程度取决于技术及其关联性。事件处理能力为用户提供报告事件和适当响应以及协助提供恢复帮助的方法。预先储备技术能力（如培训人员和病毒识别软件）以备不时之需。另外，机构将与其它支持资源（如司法、技术和管理方面的）签订好重要合同来协助控制和恢复工作。

缺乏事件处理能力，出于好意的响应也可能使事情变得更糟。在有些情况下，人们无意中使反病毒软件感染病毒又将其散播到其它系统。当病毒在局域网（LAN）中传播时，在几个小时内大多数或全部的计算机都可能感染。另外，不协调进行工作就无法将病毒从局域网中彻底根除。

许多机构使用大型的内部局域网并将其连接到公用网络，如互联网。这样做，机构增加了暴露给入侵活动的机会，尤其是在机构具有较高知名度（如其涉及到一个有争议的程序）时。事件处理能力可以通过快速响应可疑事件以及在需要时协调负责官员和人员的事件处理来为机构带来很大利益。入侵活动，无论是黑客还是恶意代码经常都可以感染处于很多不同网络站点的众多系统；因此，处理事件可能会错综复杂，可能需要来自机构外部的信息。通过事先计划，这种联系就可以预先建立并改善响应速度，从而控制和减少损害。其它机构可能已经处理过类似的情况并可能提供快速恢复和减少损害方面的非常有用的指导。

12.1.2 防止未来损害
事件处理能力也协助机构防止（或至少减少）未来事件带来的损害。可以通过对事件的深入研究获得机构威胁和缺陷方面更好的理解，以便部署更有效的防范措施。另外，可以通过外部联络（通过事件处理能力建立的）得到威胁和缺陷的早期警告。已经部署到位的机制将为用户提供风险警告。

事件处理机制可以使机构通过所经历的事件进行学习。可以收集以往事件的数据（和所采取的矫正方法）。可以对事件的模式进行分析，例如哪些病毒是最常见的，哪些矫正行动是最成功的，什么系统和信息会成为黑客的目标。这个过程也可以辨别缺陷，例如使用新的软件包或补丁是否会损害系统。关于所发生威胁的类型和所出现的缺陷方面的知识都可以协助确定安全解决方案。这些信息在创建培训和意识培养项目以帮助减小损失可能性方面时也会被证明是有用的。事件处理能力通过为用户提供信息协助培训和意识培养项目，这些信息包括（1）可以帮助避免事件的措施（如病毒扫描）和（2）事件发生时应该采取的行动。

当然，机构防止未来损失的尝试并非在真空中进行。良好的事件处理能力会与机构外的伙伴建立联系。这可以使机构获得尚未经历过的威胁和缺陷的早期预警。可以采取早期防范措施（通常比修复损害更具有成本效益）减少未来的损失。与机构外部分享信息也可以使他人从机构的经历中得到教益。

12.1.3 副作用
最后，建立事件处理能力还会以意想不到的方式帮助机构。这里讨论三点。

使用威胁和缺陷数据。事件处理可以很大程度上加强风险评估过程。事件处理能力能够让机构收集在风险评估和防范措施选择（如设计新系统时）中有用的威胁数据。可以通过记录和分析事件来确定是否有问题重复发生（或出现其它事件发生模式时是否显示出有黑客的攻击），如果孤立地看待每一个事件这些情况就可能被忽视。机构中事件的数量和类型的统计数据可以被用于风险评估过程以便指示出缺陷和威胁。

加强内部沟通和机构的准备。机构经常发现事件处理能力加强了内部沟通和机构响应各类事件的准备，而不仅仅是计算机安全事件。内部沟通将得到改善；管理行为得以更好的组织来接收信息；会预先建立起与公共事务、司法官员、执法部门和其它团体的联系。所建立的事件报告体系也可以被用于其它目的。

加强培训和意识培养项目。机构的培训过程还可以从事件处理经验中得到好处。通过事件报告，受训者可以更好地理解所需的安全知识。培训者可以使用真实的事件生动地描述计算机安全的重要性。根据事件处理人员提供的当前威胁和控制信息，所制定的培训为用户提供了更加针对当前需求的内容，从而减少事件对机构构成风险。

12.2 成功的事件处理能力的特点
成功的事件处理能力有几个特点：

• 对其所服务群体的了解；
• 得到教育的群体；
• 集中的通信方法；
• 所需的专业技术；
• 与其它事件处理相关团体的联系（如果需要）。

12.2.1 定义服务对象群体
群体包括计算机用户和程序管理者。与其它客户－供应商关系一样，如果所提供的服务是有价值的，群体将倾向于利用这种能力。

群体不总是针对机构整体。例如，机构可能使用几种类型的计算机和网络，但是可能因成本的原因决定只对个人计算机用户提供事件处理能力。如果是这样，可能是因为机构觉得计算机病毒带来的风险比其它平台的恶意技术威胁更大。或者由多个站点组成的大型机构可能认为一些站点当前的计算机安全工作不需要事件处理能力，而另一些站点需要（可能是由于处理的重要性）。

12.2.2 培训对象群体
用户需要了解、接受并信任事件处理能力否则就不会使用。通过培训和意识培养项目，用户会逐渐了解这些能力以及怎样发现和报告事件。用户对服务价值的认可将使其运作更可靠。

12.2.3 集中的报告和通信
成功的事件处理需要用户能够以方便和直接的方式向事件处理小组报告事件；这被称为集中报告。成功的事件处理能力依赖于及时的报告。如果事件报告困难或者耗时，可能就无法充分发挥事件处理能力。通常，某种形式的热线配以传呼做为备份是不错的方式。

集中通信对于访问或分配事件处理工作的相关信息是非常有益的。例如，如果通过网络将用户联系在一起，事件处理能力就可以使用网络来及时发送公告和其它信息。用户可以利用网络获得存储在服务器上的信息并通过电子邮件与事件响应团队联络。

12.2.4 技术平台和通信的专业技术
组成事件处理能力的技术成员需要特定的知识、技巧和能力。技术成员的适当资质可以包括：

• 具有部分或全部服务群体核心技术的专家级工作能力；
• 在团队中工作的能力；
• 与不同类型用户，从系统管理员到不熟练的用户到执法官员进行有效沟通的能力；
• 需要时24小时响应的能力；
• 以及随时出差的能力（当然，这取决于被服务群体的物理位置）。

12.2.5 与其它机构联络
由于增加了计算机的连接，网络的入侵活动可以影响到许多机构，有时包括国外的机构。所以，机构的事件处理小组可能需要与其服务群体之外的其它团队或安全组织一道工作来有效地处理事件。另外，小组可能需要在不同时间与其它团队共享知识。因此，与其它相关同行以及支持机构建立联系和联络对于事件处理能力的成功是很关键的。

对事件处理尤其重要的是与调查机关，如联邦（例如FBI）、州、地方执法部门建立联系。影响到计算机犯罪的法律在不同的地方和州是不同的，一些行为是州（而不是联邦）规定的罪行。团队熟悉当前法律并且与执法部门和调查机关建立联络是很重要的。

事件也可能引起媒体的注意并且对机构的形象产生非常负面的影响。事件处理能力可能需要与机构的公共关系部门紧密合作，这些部门得到过与新闻媒体打交道的培训。在将信息提供给新闻界的过程中，很重要的是（1）不要为攻击者提供信息使机构处于更威胁境地以及（2）正确保护潜在的法律证据。

12.3 事件处理的技术支持
快速和方便地分发信息的技术方法极大地增强了事件处理能力。

12.3.1 事件集中报告的通信
报告事件的技术能力是极端重要的，因为不知道事件就谈不上响应。幸运的是，很多机构已经拥有这些技术方法。

为了快速响应服务群体的问题，一条电话“热线”就是既有用又方便的。一些机构可能已经有一些用于紧急情况或用于获得其它方面帮助的热线；也许可以将其用于事件处理，这样做是具有成本效益的。可能有必要提供24小时响应的热线。这可以通过对应答中心人员进行安排以提供非工作时间的应答服务，或使用应答设备和个人寻呼的组合来完成。

如果可以提供联络事件处理小组的额外机制，就可能增加小组的可用性从而有利于事件处理工作。将邮件转发到小组成员的集中电子邮件地址使服务群体可以更方便地与小组交互信息。为用户提供传真号码可能也有帮助。

12.3.2 快速通信设施
某些形式的快速通信对于与服务群体以及管理官员和外部机构进行通讯是很重要的。小组可能需要快速发送安全建议或收集信息，这样通常就非常需要诸如电子邮件之类的方便的通信方式。使用电子邮件，小组可以容易地将信息发到服务群体的各个分组，如系统管理员或网络管理员，并在需要的时候向整个服务群体广播一般警告。如果已经有这样的联络方式，电子邮件具有较小负荷并且易于使用。（但是，电子邮件系统本身也可能遭到攻击，就像在1988年互联网蠕虫事件中一样。）

虽然有电子邮件的替代方式，但是它们很可能会增加响应时间。电子公告板系统（BBS）对于分发信息是很不错的，特别是在它为鼓励用户使用而具有比较方便的用户界面时。网络BBS比需要终端和调制解调器的BBS访问起来更方便，所以后者只是做为没有充足网络连接机构的选择。另外还可以使用电话、物理公告板以及传单。

12.3.3 安全通信设施
事件的范围从微不足道到涉及到国家安全。在交换事件信息时经常建议使用加密通信。这将帮助防止事件相关信息违背意愿的分发。语音、传真和电子邮件通信也可以使用加密技术。

12.4 相互关系
事件处理能力通常依赖于本手册中提到的其它防范措施。最明显的是与应急计划的其它部分紧密相连。下面的段落详述了一些最重要的关系。

应急计划 如本章介绍中论述的那样，事件处理能力可以被视为应急计划的组件，它处理和响应诸如病毒或黑客之类的技术威胁。与应急计划工作中的其它部分进行紧密协调是有必要的，特别是在为系统资源严重不可用事件进行应急处理计划时。

支持和运行 事件处理还与支持和运行紧密相连，尤其是用户支持和备份。例如，出于效率和节约成本的目的，事件处理能力经常与用户“支持系统”合作。从事件中恢复时还可能需要系统资源的备份。

培训和意识培养 培训和意识培养项目可以得益于事件处理期间获得的教训。事件处理成员可以协助评估用户对当前威胁和缺陷的意识级别。这些成员可能还可以帮助培训系统管理员、系统操作员以及其它用户和系统人员。了解安全防范知识（通过这样的培训）协助减少未来的事件。培训用户汇报什么和如何汇报也是很重要的。

风险管理 风险分析过程会得益于表现所发生事件数量和类型以及有效防止事件的控制类型的统计数据和日志。这些信息可以被用于帮助选择适当的安全控制和措施。

12.5 费用考虑
计划事件处理能力时要考虑一些开办成本和经费问题。因为事件处理能力的成功非常依赖于用户对其价值的理解以及是否使用，所以这种能力能够满足用户的需求是非常重要的。两个重要的经费问题是：

人员 事件处理能力在计划中可能至少需要一位管理者以及一位或多位技术人员（或能力相当的人员）来完成项目目标。但是依据工作范围的不同，可能不需要全职人员。在某些情况下，可能需要一些兼职或待命人员。这些人员执行事件处理任务可能是做为其正常岗位职责以外的附加工作。

教育和培训 事件处理人员需要跟上计算机系统和安全发展的现状。需要制定响应预算以便其能够参加会议、安全课程以及其它持续教育活动。如果机构位于多个不同的地理位置，可能就需要往返于其它事件处理站点的旅差费。

参考书目
Brand, Russell L. Coping With the Threat of Computer Security Incidents: A Primer from Prevention Through Recovery. July 1989.

Fedeli, Alan. "Organizing a Corporate Anti-Virus Effort." Proceedings of the Third Annual Computer VIRUS Clinic, Nationwide Computer Corp. March 1990.

Holbrook, P., and J. Reynolds, eds. Site Security Handbook. RFC 1244 prepared for the Internet Engineering Task Force, 1991. FTP from csrc.nist.gov:/put/secplcy/rfc1244.txt.

National Institute of Standards and Technology. "Establishing a Computer Security Incident Response Capability." Computer Systems Laboratory Bulletin. Gaithersburg, MD. February 1992.

Padgett, K. Establishing and Operating an Incident Response Team. Los Alamos, NM: Los Alamos National Laboratory, 1992.

Pethia, Rich, and Kenneth van Wyk. Computer Emergency Response - An International Problem. 1990.

Quarterman, John. The Matrix - Computer Networks and Conferencing Systems Worldwide. Digital Press, 1990.

Scherlis, William, S. Squires, and R. Pethia. Computer Emergency Response. 1989.

Schultz, E., D. Brown, and T. Longstaff. Responding to Computer Security Incidents: Guidelines for Incident Handling. University of California Technical Report UCRL-104689, 1990.

Proceedings of the Third Invitational Workshop on Computer Security Incident Response. August 1991.

Wack, John. Establishing an Incident Response Capability. Special Publication 800-3. Gaithersburg, MD: National Institute of Standards and Technology. November 1991.