從韓國農協銀行事件談信息安全工作的要點
原創【51CTO.com 獨家特稿】2011年4月12日下午,農協銀行的電腦網絡開始出現故障,導致客戶無法提款、轉賬、使用信用卡和取得貸款。系統故障一直持續了3天,直到4月15日才恢復部分服務,而有些服務直到4月18日仍然沒有恢復,以至于銀行不得不采用傳統的手寫交易單的方式進行服務。
從上述事件,我們可以分析得出如下幾個信息安全工作的要點,或者是教訓,也是企業信息安全工作中經常會忽略的幾點。
一、 權限控制和審計
據初步調查,4月12日下午4:30到5點之間,某人在外包團隊中一位雇員的筆記本對銀行核心系統的275臺服務器下達了rm.dd命令,該命令會刪除服務器上的所有文件。這里面表明了該企業安全工作的紕漏,或者說是失誤。
首先,對于這種權限管理,要管理到人,嚴格限制非常小的范圍。并且,需要通過聯合密碼等方式來保證權限的實施不是一個人可以決定的,雖然不能避免"合謀"的情況,但是至少應該有這個考慮;另外,權限使用的審計也需要加強,根據這個事件來看,應該要能夠在第一時間來確定是誰的帳號出現了問題,實施了什么操作,從而快速定位到責任人,或者定位到責任人有可能在什么情況下被別人盜用帳號;
二、 應急響應工作
從該事件韓國銀行的應急相應速度來看,確實是過于緩慢和滯后。這使我們不得不感嘆信息安全工作中應急響應工作的必要和重要性。誠然,信息安全工作中技術是非常重要的基礎,然而,應急和流程管理是信息安全工作非常關鍵的一部分,它不屬于技術范疇,屬于管理范疇。所謂"三分技術,七分管理",信息安全需要建立一支高效、給力的管理團隊,以及制訂相應的應急響應流程,以應對攻擊、誤操作、災難等非常規條件下的問題。這樣,就能夠使得企業在這些非常規條件下仍然能夠提供高質量的安全服務,從而也確保了企業品牌。舉個例子,每個國家對應急響應工作都很重視,比如美國的CERT組職和中國的應急響應組織CNCERT/CC。
三、 災難備份及恢復工作
信息安全工作其實可以分為事前、事中和事后三個處理階段。前面說的應急響應工作屬于事中和事后階段。而災難備份屬于事前工作,災難恢復則屬于事后工作。從該事件的處理工程來看,災難備份工作和災難恢復工作不能讓人恭維。事故發生3天才恢復部分數據,很難理解這樣一個大型銀行的備份和恢復工作的策略和流程是怎么理順的。試想一下,如果平時訓練有素,策略和流程理順的話,是不是可以將處理事件降低到1天甚至半天,這將節省多少經濟損失,而又將贏回多少用戶對該銀行的信任度呢?所以,備份和恢復工作需要長期統籌規劃,結合全備份、增量備份、差分備份等多種備份策略,并采用本地備份、異地備份等多種方式,甚至使用SAN、NAS等多種備份設備,并制訂一套行之有效的備份和恢復策略,以做到"有備無患"。
事件已經過去,但是留給我們信息安全工作者的思考還未停止,謹以此文拋磚引玉,呼吁各企業重視新信息安全工作,不要再讓此類事件重演。
【51CTO.com獨家特稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
