管理信息系统的持续性策略

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

5．5持续性策略
    管理者的一个重要任务是计划。IT和信息安全团体的管理者通常需要提供策略计划，以确保信息系统的持续可用。但对于管理者来说，发生某种形式的攻击的可能性非常高，无论是来自内部还是外部，蓄意还是无意，人为还是非人为，令人讨厌还是造成灾难。因此，机构内每个利益团体的管理者都必须准备好在发生成功的攻击时采取行动。
    对此类事件有许多不同的计划：业务持续性计划（BCP)、灾难恢复计划(DRP)、事故响应计划（IRP）和应急计划(CP)。在某些机构里，这些计划也可看做一个计划。在大型、复杂的机构里，这些计划表示独立但相关的计划功能，在范围、应用性和设计上不同。在小型机构里，安全管理员(或OA系统管理员河以进行一个简单的计划，由媒体备份、恢复策略，以及一些来自公司服务提供商的服务协议组成。但糟糕的现实情况是，许多机构的计划层次都不完善。
    本章把事件响应、灾难恢复和业务持续性计划作为应急计划的元素，如图5-21所示。应急计划(CP)是机构准备的一个完整计划，当发生威胁机构中信息和信息资产的安全的事件时，该计划可以预估、响应和恢复该事件，之后，把机构恢复到商务操作的正常模式。对CP的讨论开始于解释CP各元素之间的差别，找出每个元素起作用的点。机构需要制定灾难恢复计划、事故响应计划和业务持续性计划，作为整体CP的子集。事故是对机构协同信息资产的明确攻击，它可威胁资产的机密性、完整性或者可用性。事故响应计划(IRP)处理事故的识别、分类、响应和恢复。灾难恢复计划（DRP)是为灾难(自然或人为灾难）作准备，并从灾难中恢复。业务持续性计划（BCP）则确保发生灾难事故或灾难时重要的业务功能能够持续。这3种计划的基本功能如下所示：

    1．IRP关注的是立即响应，但如果攻击升级或成为灾难（如火灾、水灾、地震或整体中断L则就要进行灾难恢复和BCP。
2．DRP一般关注在灾难发生后，将系统恢复到较初状态，这一点与BCP紧密相关。
3．当损害很大或时间很长时，需要的不止是单纯的信息和信息资源的恢复，BCP就要与DRP同步进行。BCP在一可替代站点上重新建立重要的业务功能。
    一些专家认为，DRP和BCP的联系非常紧密，无法加以区分。然而，它们都有不同的作用和计划的需求。下面各节进一步区分这三类计划，说明它们在事故中何时起作用。图5-22阐述事件的发生次序，以及每个计划起作用的重叠时间。即使机构恢复了较初状态的操作，灾难恢复活动也会继续。

    上面描述了应急计划的每个元素，注意，应急计划和风险管理过程有许多类似之处。CP是风险管理活动的微观表现，它集中于特定的步骤，把所有的信息资产恢复到事故或灾难发生前的工作流状态。结果是该计划过程基本仿效了风险管理过程。
    在任何计划开始前，必须指定一个承担人或计划小组，在通常情况下，应为此组建应急计划小组。此小组的成员可由如下人员组成：
    ● 首脑：与任何战略性功能一样，CP项目必须有一个高层管理者，来支持、增强和签引项目资金。在CP项目中，此人可为CIO，理想人选则是CEO。
    ● 项目经理：首脑提供战略性预见，与机构的权力结构联系，但必须有人管理项目本身项目经理，可能是中层经理，甚至是CISO，他必须领导项目，确保使用可靠的项目计划过程，开发完整有效的项目计划，谨慎地管理项目资源，以达到项目的目标。
    ● 小组成员：此项目的小组成员应是各利益团体(如电子商务、信息技术和信息安全团体)的经理或代表。业务经理熟悉其领域的操作过程，所以应提供其活动的细节，说明他们能承受多大危险。项目小组的信息技术经理应熟悉可处于风险之中的系统和所需的IRP,DRP和BCP，以提供计划过程中的技术内容。信息安全经理需要监视项目的安全计划，提供威胁、漏洞、攻击的信息和计划过程中需要的恢复需求。
    应急计划项目小组所执行的主要项目工作模块如图5-23所示。在阅读本章的其余部分时，回顾此图解将有所助益，因为后面各节对应着该图描述的步骤。

5．5．1 业务影响分析
    CP过程开发的第一阶段是业务影响分析(BIA)。BIA研究和评估各种攻击对机构产生的影响。BIA在风险评估过程停止时开始。它首先在第4章风险管理过程所标识的威胁和漏洞优先级列表中，加入关键信息。BIA是较初计划阶段的重要组成部分，因为它提供了每个攻击可能对机构产生的潜在影响的详细结果，可设计机构为响应攻击尔必须采取的措施，使攻击所造成的损失达到较小，并从攻击结果中恢复，返回到正常的操作。BIA和第4章讨论的风险管理过程之间的基本差别之一是，风险管理方法识别出威胁、漏洞和攻击，并判定保护信息可以采取的控制。BIA则假定这些控制己被忽略、已经失败，或无法阻止攻击，攻击是成功的。这时，需要回答的问题是：如果攻击成功，我们该怎么做?很明显，机构的安全组应尽其所能来阻止攻击，但正如所见，某些攻击不可能停止，如自然灾害、与服务器提供商的服务质量差、人为失败或错误和蓄意的破坏行为。
    CP小组在下列阶段进行BIA，这些阶段如图5-23所示，其描述在下面各节给出：
    (1)威胁攻击的识别和分级
    (2)业务单元分析
    (3)攻击成功场景的开发
    (4)潜在损坏的评估
    (5)从属计划分类
    1．威胁攻击的识别和分级
    如果觉得本节的内容很熟悉，这是因为我们已经在本书前面的风险讦估中学习了如何对机构面临的威胁进行识别和划分优先级。已完成该过程的机构，只需更新较近发展的威胁列表，再添加一个信息：攻击的剖析。攻击剖析是对攻击期间发生的行为的详细描述。攻击剖析中的内容条目如表5—2所示，它包括攻击的初步迹象、攻击行为和结果。必须对机构面临的每个严重威胁都进行这些剖析，不管它是自然还是人为、蓄意还是偶然的威胁。知道黑客的行为属于何种类型是很重要的，就像必须知道员工对数据项犯了什么错误，或何种天气条件预示出即将出现龙卷风还是飓风。攻击剖析在后期计划阶段很有用，它是攻击的指示器。这里用来判定成功的攻击对业务单元造成的破坏程度。

    2．业务单元分析
    BIA的第二个主要任务是分析机构中的业务功能，并划分优先级。这一系列任务可识别机构各单元(部门、分部、分公司、小组或其他单元)的功能，划分其优先级，以判定哪个单元对机构的持续性操作较为重要。每个单元还独立地评估，以确定其功能对整个机构的重要程度。例如，恢复操作先恢复的是汀部门中的网络操作，再在人事部考虑雇佣人员的问题。另外，应先恢复制造厂的装配线功能，再考虑该装配线的维护跟踪系统。这并不是说，人事部的功能和装配线的维护对业务就不重要，而是如果不迅速恢复机构的主盈利业务，则其他功能的恢复也没有必要。
    3．攻击成功场景的开发
    剖析了威胁攻击，对业务功能划分了优先级后，业务影响分析小组就必须创建一系列场景，描述对每个级别的功能区域进行成功攻击的影响。这可能是一个很漫长和详细的过程，因为成功的威胁可能影响到许多功能。攻击的剖析应包含描述典型攻击的场景，涉及攻击方法、攻击的指示器和造成的广泛后果。一旦完成攻击的剖析，业务功能的细节就可和攻击剖析结合在一起。然后在攻击的剖析中加入带有更多细节的攻击成功场景，且包括可能的结果。这些可能的结果应描述每种类型的攻击对某一业务功能区域造成的较好、较坏和较可能的影响。此级别的细节允许计划者对每个业务功能进行详细分析。
4．潜在破坏的评估
从上面开发出的攻击成功场景中，BIA计划小组必须估计较好、较坏和较可能情形的成本。此阶段不是判定花在保护信息资产的费用，因为这是在风险管理期间分析的。本阶段应确定从每种可能的情况中恢复所必须采取的行动。这些成本包括响应小组的行动成本，它在后续部分会介绍，响应小组负责从事故或灾难中迅速有效地恢复。这些成本评估还可以使机构各利益团体的管理人员了解计划和恢复工作的重要性。评估的较终结果称为攻击场景结束事件。
5．从属计划分类
评估了潜在的破坏，估价了每个场景和攻击场景结束事件后，就必须开发从属计划，或从已存在的计划中找出一个。这些从属计划考虑的是每个攻击场景的识别、反应和恢复。攻击场景结束事件归类为灾难事件或非灾难事件，大多数攻击都不是灾难性的，因此可划归到事故响