企業比以往任何時期都依賴于把它和社會聯系在一起的電腦和系統。同時，為了企業有價值的信息或出于某些政治原因的攻擊也變得前所未有的復雜，這些攻擊給企業安全團隊增加了很大的壓力，因為保持關鍵系統無中斷地安全運行變得越來越難。

無論企業如何為安全做準備，安全團隊還是要面臨被攻擊的威脅，這時，他們需要權衡系統繼續運行被感染的風險有多大以及是否需要把目標系統關閉。安全團隊到底該如何決定?需要衡量哪些因素?

本文中，我們會研究一些常見的受到攻擊后需要關閉系統的情景，并討論在遇到這種情況時安全團隊該做哪些準備。

關閉系統的案例

遇到信息安全事件就關閉系統可能是最過激的選擇，但在特定的情況下也是最好的選擇。企業必須權衡保持系統運行來處理事件和關閉系統兩者所帶來的后果再決定。

當攻擊威脅到他人的生命安全，或者會導致企業和客戶受到嚴重損害時，這時就必須關閉整個或部分系統。例如，如果攻擊者有可能獲得調控交通紅綠燈的電腦系統控制權，那么最好是關閉系統，因為司機一般會把不能運行的交通燈視為停止信號。一旦攻擊者控制交通燈，后果是非常可怕的。

面對這些極端的案例很容易做出決定，但是企業實際面臨的大多數情況都不會這么極端。例如，一個系統感染了蠕蟲病毒，而且它正試圖攻擊其它本地系統。這時，從網絡中移除或關閉這個系統就可以阻止病毒蔓延到其它系統中。蠕蟲病毒從一個系統傳播到下一個系統非常快，所以要很快做出決定。當然，這種決定也要取決于實施的安全性和可行性，要考慮是否有控制方法限制病毒只存在于已感染系統中，而不會傳播到整個系統。

如果受感染的系統不包含敏感數據而且只有可用性需求時，安全團隊可以對停機成本和遏制并修復感染系統的恢復成本做一個大致的計算，然后根據計算結果做出決定。也有一些情形是不需要關閉整個系統的。例如，當一個高價值系統正在處于調查中，關閉外部網絡連接來阻止攻擊者獲得額外的訪問往往是首選。

當然，在某些情況下，用關閉系統來響應一個信息安全事件也是最糟糕的選擇。如果攻擊者已經損害了一個本地系統，關閉系統極有可能丟失一些有力證據。關閉網絡連接或者整個網絡，也有可能銷毀可以用于調查的證據。這時最好是保持系統運行，拔掉網絡連接，讓攻擊者不能再訪問系統，然后開始調查。當然每個企業都需要評估這樣做是否比關閉系統更值得。

關閉系統需做的準備

盡管關閉系統是最極端的選擇，但是企業可以做一些準備工作。首先，詳細掌握這個系統中所存儲的數據并且做一個業務影響分析(BIA)。BIA將記錄系統對于業務的重要性、系統用途和中斷帶來的影響。然后可以得出一份業務連續性和災難恢復計劃(BCDRP)，類似于一個事故應急預案，預案需要在事件發生前制定并定期進行測試。做好這些準備，當遇到必須關閉系統的情況時，隨手就有應急處理方案。

在關閉系統前，獲得相關部門的授權也是安全事件響應程序中關鍵的一部分。在制定BCDPR或事故應急預案時，要和必要的人員溝通，比如首席信息安全官、首席信息官、服務臺、企業老板和市場部，這樣他們對于關閉系統與否可以快速做出決定。比如，如果關閉系統會導致企業業務基本停止，高層管理人員必須提前知道這種情況。他們需要了解關閉系統對企業的影響、已經做出的努力、修復系統的潛在成本和影響。每個人需要知道的詳細內容是不同的，這取決于他們的職位和可用到的資源。

要知道，關閉系統實際上并不能保障系統的安全性，所以這不是安全事件響應程序中的最后一個步驟。不管是哪種安全問題造成此局面，在關閉系統之后，一定要及時補救，比如修復系統、改變配置或者限制訪問只對信任連接開放。補救這個步驟要花費的時間取決于BIA和BCDRP。停機造成最大影響的系統應該最快被修復。例如，一個Web服務器帶有一個Web應用程序，該應用程序很容易感染SQL漏洞。那么當開發補丁時，該應用程序需要停止。Web服務器需要建立一個Web應用程序防火墻或者更改配置來移除訪問，以便于在系統上運行命令。

當企業面臨網絡攻擊時，關閉系統是最極端的處理方式有時也是唯一的選擇。了解關閉特定系統或網絡連接會帶來的業務影響可以幫助企業決定是利用資源來修復已損害的系統，還是關閉系統。無論是哪種情況，確保有緊急事故預案和溝通渠道可以降低企業損失。