处理公司的资讯保安事故

它指在资讯系统及／或网络上的负面事情，对资讯的机密性丶完整性丶可用性丶不可否认性和认证等方面构成威胁。以下是负面事情的一些例子：

盗窃及爆窃

天然灾害，例如水灾丶台风丶暴雨

来自周遭环境的潜在危险

数据线路故障

系统当机

小包泛滥

未经授权接达或使用电脑系统的资源

未经授权使用他人帐户

未经授权使用系统权限

闯入 /入侵系统

大规模攻击

然而，天然灾害丶硬件 /软件失灵丶数据线故障丶电力中断等事故，并非以资讯保安事件处理，而是以系统维修及灾害应变措施看待。

何谓资讯保安事故?

资讯保安事故处理是指一套连贯的程序，管理在保安事故发生前丶发生时和发生后所执行的活动。

保安事故处理始于规划和准备资料及制定适当程序（例如升级处理和保安事故应变程序），以备日后遵照执行。

一旦侦测到保安事故，负责保安事故应变的各方须按照预定程序实施应变。保安事故过后，应采取跟进行动评估事故，并加强保安保护措施，以防止再度发生事故。

保安事故应变的目标

主要的目标是

将商业损失和随之而来的责任减至最低；

将可能发生的冲击，例如资料外泄丶资料受损和系统受袭等机会减至最低；

确保回应是有系统性和有效率的，并且可以迅速复原受影响的系统；

确保所需的资源，包括人手丶技术等都齐备；

确定负责的人士清楚知道他们的职责，并遵从事先订制的步骤处理事故；

确保应变的行动被认可和互相协调；

防止类似的袭击和破坏再次发生；以及

处理和法律有关的事项。

不论风险缓减措施如何优秀，将的冲击度和发生机率减至最低，但事故还是会出其不意地袭击你！所以你必需作好准备。

保安事故应变的法律和合约考虑

有些保安事故和罪行有关，例如窜改别人网页丶破坏伺服器丶发放垃圾电邮和盗取资料在香港都是违法的；但扫描连接埠便不属刑事罪行。所以你要留意不同的国家有关网上罪行的法例是不同的。如果事故涉及违法活动，你应该向执法机关报告。如果你不肯定，你亦可以向执法机关查询。

起诉入侵者的两难

你想起诉入侵者吗？如果是的话，你会否保持连接你的网络以便追踪入侵者的活动？这样做会否让入侵者继续袭击你的系统，造成更大的伤害？在恢复业务和追踪和起诉入侵者之间，你会怎样抉择？

不论你的答案是什麽，你都应该：

让管理层做决定。

根据事先制定的优先次序和条件实施。

确认决策过程的结构和通知执法机关。

搜集证据时的考虑

事故应变小组（又称 IRT）人员会接触第一手证据，例如日志档案和系统状态资料（例如系统时间，正在运作的过程和连接的电脑）。但最重要的是他们知道如何处理这些证据。以下是一些指引：

一件证据是一个事件或事实。

电子证据一定要尽快搜集。

保持证据的先后次序。一连串的证物是一段历史，可以在法庭上展示证据如何搜集丶分析丶运送和保存的时序。一连串清晰的证物表示它们是可信的。

收集证据时要根据一定的步骤，并使用适当的（没有受污染）工具。

证据要受到保护，不可以让未经授权的人接触证据，和不可以让证据被更改或破坏。要得到授权和有第三者在场才可以运送或复印证据。

事故应变小组人员应该记录行动和结果。他们应该应用收集证据的指引：

清楚及整齐地依时序记录事件，并标示当时的时间。可能的话用预先印制的表格去统一记录的格式。有需要时可使用录音和录像。

写下事实，而不是猜想或不肯定的推测。不清楚的和不小心的说话可能会削弱证据的说服力。

发现错误之后要立刻改正，并记录错误的原因。

追踪入侵者来源的考虑

恶意的入侵可能使技术人员产生强烈的反应。但是，不可以冲动地即时追捕入侵者而忽略减低保安的冲击。以下是一些建议：

反击？不要考虑这策略。发动袭击的一方可能也是被入侵的受害者；其次，欺诈技术会令人错误推测袭击的来源。而且根本没有法理基础进行报复。

保持低调。小心你的行为会令入侵者知道他已被发现。入侵者可能因此删除他的足迹或破坏整个系统。

你要熟悉技术性步骤和工具，确保追踪过程有效率和不被发现。

保安事故应变的六步曲

这个保安事故应变模型被分为六个步骤。成功的关键就是要有充足的准备。

提早作出恰当的计划可以确保回应行动为人所知丶互相协调和有系统地进行。这亦帮助管理层在追查保安事故和降低破坏程度时作出恰当而有效的决策。这计划包括加强保安防护丶适当地对事故作出回应丶复原系统和其他跟进行动。

准备

计划能提供从上而下的事故应变管理模式，保证回应的质素和时间。

决定内部政策。

确保事故应变策略和公司的相容，事故应变小组有足够的权力进行保安行动，例如在重要时刻将公司的伺服器关闭。

界定事故应变小组和参与保安事故处理过程的人的角色和责任。

界定其他职员的角色和责任，并将决定通知管理人员。

建立一个列表，显示资讯资产和服务的优先次序和可以接受的关闭时间。

建立汇报机制丶升级处理程序和保安事故应变程序。这些程式都应该通知每一个职员，包括人事丶管理部门，让他们参与和遵守。

建立预警系统，例如维持一个足够应付日常工作需要的简单技术环境和容易使用的服务台。

建立和维护良好的备份策略。

建立和维护良好的紧急事故联络电话表。

从 HKCERT和其他 CERT中心更新指引丶检核表和工具。

透过培训和分享建立事故应变小组的知识和技术。

提供足够的培训，确保职员懂得处理紧急保安事故。

教育用户紧急应变步骤和报告事故的方法。

将电脑系统的时钟同步。

建立一个电脑系统监控和警报机制，例如安装入侵侦测系统丶抗恶意软件和内容过滤工具丶开启系统及网络审计记录功能，以及定期利用保安扫描工具进行保安检查。

侦测及确认

监控不正常事件，例如错误讯息丶日志记录中的可疑事件丶不正常的效能表现和容量不寻常地增加。

决定问题的种类和冲击的程度。

用标准事故记录表格作记录。

参考搜集证据指引处理资料。

证实确有其事后，马上把受影响的系统全面备份，并存放在一个安全的地方。

保留事故的记录，例如审计日志，帐户日志等等。

通知在紧急事故联络电话表上的高层管理人员和其他有关人士（包括 IRT丶互联网服务供应商丶网络服务供应商）以及通知系统拥有者。执行「有需要才知道」政策，需要时使用另外的安全通讯频道。

制止情况恶化

这阶段的行动包括：

评估因事故对系统内的数据和资料冲击程度，确定有关资料是否已经被破坏或感染；

保护敏感或重要的资料和系统，例如将重要资料转移到其他和受影响系统或网络完全分隔的媒体（或其他系统）；

决定受影响系统的作业状态；

制作受影响系统的映像，作为以后跟进行动的证据；

记录在这阶段进行过的一切行动；以及

检查所有透过分享网络服务或其他信任连系和受影响系统有连系的系统。

这阶段其中一个重要的决策是继续还是停止受影响系统的运作。这大部份是根据事故的严重性丶系统的要求和对公司的形象的影响，以及预设的目标和事故处理计划的优先次序。

所需的行动包括：

暂时关闭或分隔受影响的主机或系统，避免对其他相连的系统产生伤害。这在可能传播得特别快的事故丶载有敏感资料的电脑或防止受影响系统被人利用进行其他袭击等情况下适用；

停止受影响的伺服器的运作；

关闭系统的部份功能；

移除用户的使用或登入权；

继续运作以采集更多的证据。这可能只适用于担当非重要任务的系统。这些系统可以承担相当程度的服务中断风险或资料破坏。但这做法需要特别小心的处理和在严谨的监控下进行。

禁止任何人接触电掣丶储存媒体和电话，以保护电脑证据。

评估继续停止运作和停止时间超过可接受程度的风险。管理层应该考虑 IRT的建议，决定是否启动灾难复原计划。

知会系统拥有者最新的状态，以获得到他们的信任和令他们放心。

根除

根除的目标是完全排除或缓减保安事故的来源。在这阶段，根据事故的性质和系统的要求，你可能需要进行以下的行动：

停止或取消所有入侵者正在运行的程式，藉此将他赶走。

删除所有入侵者制造的假档案。系统管理员可能要先将这些假档案储存，以帮助调查。

删除所有由入侵者安装的和。

为所有作业系统丶伺服器和网络工具的安装。你应彻底测试修补后的系统才把它投入正常服务。

改正所有系统和网络的设定，例如和路由器的不正确设定。

如果事件由恶意软件感染引起，依照防恶意软件供应商的建议在所有被感染的系统和媒体上删除恶意软件。

确保后备系统没有被感染，以避免使用后备系统复原时再被感染。

使用保安工具帮助根除事故的来源，例如使用保安扫描工具侦测入侵和使用建议的保安方案，并经常更新这些工具的入侵特征资料库。

更新所有登入帐户的，因为入侵者可能已经取得这些资料。

当系统支援人员不肯定对重要系统的破坏程度，或太难完全清理受感染系统时，他们可能需要重新格式化所有受感染的媒体，然后将备份资料重新安装。

复原

这阶段的目的是将系统复原至正常运作状态。工作包括：

进行损坏的评估。

从可靠的备份媒体，重新安装受破坏的系统。

根据需要的优先次序，逐步执行原有的功能和服务，例如先恢复最基本或最多人使用的的服务。

确保系统成功地恢复至正常运作状态。

预先通知所有有关机构和人士，例如网络操作人员丶网络管理员丶高级管理人员和其他参与应变行动的人士有关系统将恢复运作的消息。

终止不必要的服务。

记录所有进行过的行动。

事后的跟进

跟进的目的是从事故中汲取教训，改良系统的运作。在事故发生之后应该尽快跟进，管理层丶用户和在现场的 IRT都应该参与。

进行事后检讨，找出需要改善的地方，例如：

检讨现行的设定和步骤是否足够。

检讨是否需要给予用户更多培训。

决定是否需要由外来专家进行保安审计。

决定是否就事故进行法律行动。

所有参与的人士应该对事后检讨分析报告提供意见。

向管理层提交一个包括改善建议的行政报告。

管理层应评估这报告，并选择建议去执行，管理层应呜谢或奖励举报事故和参与事故应变的人员。

事故的跟进的下一步是回到事故应变循环的第一步「准备」，执行被选择的建议，进行另一周期的持续改善工作。

保安事故应变的有用连结