管理信息系统风险的缓解和恢复

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

4．5．4 缓解
    缓解是一种控制方法，它试图通过规划和预先的准备工作，来减少漏洞造成的影响。这种方法包括3类计划：事件响应计划(1RP)、灾难恢复计划(DRP)和业务持续性计划(BCP)。每种计划都取决于尽快检测和响应攻击的能力，依赖于其他计划的建立和质量。缓解起源于早期发现的攻击和机构快速、高效的响应能力。
事件响应计划
在事件进行过程中，机构可以并且应该采取的行动称为事件响应计划(1RP)。IRP提供了受害者在事件进行过程中所提出问题的答案，比如“现在我该怎么办?”例如，OA系统管理员注意到，有人未经授权就从服务器上复制信息，这表明潜在的黑客或者未授权的员工违反了政策。管理员首先应该怎么办?他应该通知谁?他应提供什么证明?IRP提供了这些答案。
    例如，在严重爆发病毒或者蠕虫的事件中，IRP可以用来评估即将造成损害的可能性，并通知各个利益团体(1T、信息管理安全、机构管理人员和用户)的主要决策者。IRP还能让机构采取预定的具体措施，或特别的反应措施。
4．5．5灾难恢复计划
    较常见的缓解过程是灾难恢复计划(DRP)。媒介备份策略只是灾难恢复计划的主要部分，全部计划应包括从事件中恢复的所有行动。DRP可以包括一些策略，在灾难发生之前或者过程中限制造成的损失。一旦灾难停止，这些策略就要全面部署下去。DRP通常包括通过恢复过程中的所有准备、限制灾难过程中损失的策略，以及烟雾散尽、尘埃落定或者洪水退却后应遵循的详细步骤。
    DRP和IRP计划在某种程度上有点重叠。许多人认为，DRP是IRP中控制灾难事件的一个子部分。IRP还应足够灵活，才能在接近灾难的情况下使用，但仍需要有协调和规划好的措施。DRP和IRP的一些决策和行动是相同的，但它们的紧迫程度和结果明显不同。DRP更关注事先完成的准备工作和事件发生后采取的行动。而IRP集中于情报收集、信息分析、联合决策的制定，以及紧急、具体的行动。
    业务持续性计划
    缓解策略的第3种计划是业务持续性计划(BCP)。BCP在3个计划中是较关键的，也是时间较长的。如果发生灾难性事件，例如损失了整个数据库、建筑物或者操作中心，BCP可以保证业务的继续。当灾难的范围和比例超过了DRP恢复操作的能力时，BCP拥有确保继续机构业务所需的步骤。这包括启动下级数据中心、热点网站或业务恢复站点的准备步骤。这些管理信息系统可使机构继续运营，较大限度地减少服务的中断。许多公司都提供这种服务，以对抗意外灾难事故，诸如火灾、水灾、地震以及大多数自然灾害。
    表4-10总结了这3种缓解计划，并给出了实例。

4．5．6 接受
与缓解不同，接受风险是选择对漏洞不采取任何保护措施，接受漏洞带来的结果。这可能是一个明智的业务决策，也可能不是。这种策略的有效使用只有在机构：
● 确定了风险等级
● 评估了攻击的可能性
● 估计了攻击带来的潜在破坏
● 进行了全面的成本效益分析
● 评估了使用每种控制的可行性
● 认定某些功能、服务、信息或者资产不值得保护
这种控制，或者说不进行控制，是基于这样一种结论：保护资产的成本抵不上安全措施的开销。例如，假定机构每年将花费100000美元来保护一台服务器，而安全评估的结果是，机构花上10000美元，便可以替换服务器中包含的信息，替换服务器本身，并且包括相关的恢复费用。此时，管理人员就会进行替换，节省正常情况下保护这项资产的资金。
如果机构中每个已识别的漏洞都通过接受策略来处理，就说明该机构没有能力采取安全措施，总体上对安全是漠不关心的。机构不能将无知当作一种福气，以不知道有责任保护员工和客户的信息为借口，来避免被起诉。管理人员不能认为，如果他们不保护信息，攻击者就会觉得通过攻击不会获得有价值的信息。这种方法所造成的风险远远超过了其所获得的价值，其结果只能是悔恨，因为漏洞会造成无穷无尽的协同信息安全失误。人们常常根据一些专家的判断错误地选择接受策略，而这组专家的意见与那组专家的意见不同，这种推断可能非常冒险。
理解了用于控制风险的4种策略，下面需要学习过程的下一步：选择正确的策略，防范特定信息资产中的特定漏洞。