時至今日，企業(yè)乃至整個社會對于計算機及業(yè)務(wù)系統(tǒng)的依賴性已經(jīng)達到史無前例的程度。與此同時，攻擊者們也開始將目標指向企業(yè)中的有價值的信息，此類趨勢令安全形式更加復雜，并給企業(yè)安全團隊保障關(guān)鍵系統(tǒng)安全運行及避免系統(tǒng)中斷帶來了巨大壓力。

有時候，無論企業(yè)用戶如何從安全角度出發(fā)進行準備，遭遇的攻擊活動始終有可能令業(yè)務(wù)系統(tǒng)陷入困境，安全團隊則往往需要展開激烈討論、決定是否需要關(guān)閉受感染或被攻擊者盯上的系統(tǒng)。如何才能科學準確做出停機決策?安全人員需要考量哪些因素?

在本文中，我們將一同探討一些有可能引發(fā)系統(tǒng)停機的常見情況，并研究如何提前為此做好準備。

什么情況下系統(tǒng)應該停機

在面對信息安全事故時將關(guān)閉系統(tǒng)作為對策聽起來似乎過于極端，但在某些情況下卻很可能算是最佳選擇。為了權(quán)衡是否有必要關(guān)閉系統(tǒng)，技術(shù)部門必須認真評估停機后可能引發(fā)的各類后果。

在某些情況下，全局系統(tǒng)(或者部分系統(tǒng))受到干擾有可能危及他人生命財產(chǎn)安全或者令企業(yè)自身及某些客戶遭受嚴重損失。在這類情況下，系統(tǒng)停機無疑應該成為最優(yōu)先的應對措施。舉例來說，如果攻擊者掌握了城市交通燈的控制權(quán)，那么立即關(guān)閉該系統(tǒng)絕對是最好的選擇。大部分司機都能在指示燈失靈時做出正確判斷，相比之下聽任攻擊者掌握交通控制權(quán)顯然會帶來極為可怕的后果。

不過前面舉的例子太過極端，大家也很容易做出決策;企業(yè)用戶所面臨的大部分狀況都不可能如此激烈。

例如，一套被蠕蟲病毒感染了的系統(tǒng)有可能對其它本地系統(tǒng)發(fā)起攻擊，這時將該系統(tǒng)從網(wǎng)絡(luò)中移除或者將其關(guān)閉能夠有效阻止蠕蟲向其它系統(tǒng)的擴散。蠕蟲病毒在不同系統(tǒng)之間的傳播速度非常驚人，因此大家必須盡快做出系統(tǒng)關(guān)閉決定。是否最終采取這樣的決定還要看業(yè)務(wù)體系的實際安全性及可用性控制能力，包括是否能將安全問題控制在單一賬戶內(nèi)而非使其擴散至整套系統(tǒng)當中。

對于那些不涉及敏感數(shù)據(jù)而只與可用性要求相關(guān)的系統(tǒng)，安全團隊做起決策來就要輕松得多：只需要對停機與受感染系統(tǒng)恢復兩種方案的綜合成本進行匯總，并以數(shù)字為依據(jù)做出決定即可。舉例來說，雖然攻擊者暫時只能控制外部網(wǎng)絡(luò)連接，但及時將其關(guān)閉可防止犯罪分子進一步侵襲高價值系統(tǒng)，這樣的決策往往是比較激進但最優(yōu)先的處理方式。

當然，對于某些信息安全事故來說，關(guān)閉系統(tǒng)也可能成為最不科學、后果最嚴重的選項。如果某位攻擊者已經(jīng)突破了一套本地系統(tǒng)，那么系統(tǒng)關(guān)閉很可能破壞掉有助于揪出犯罪分子的有價值線索。另外，關(guān)閉所有網(wǎng)絡(luò)連接或者全局網(wǎng)絡(luò)體系也可能破壞調(diào)查工作必要的證據(jù)。對于安全人員來說，最好的辦法是在系統(tǒng)運行的同時直接拔掉網(wǎng)絡(luò)連接，這樣攻擊者將無法繼續(xù)訪問系統(tǒng)。個別企業(yè)能夠在這樣封閉的環(huán)境中進行取證，從而防止有價值信息遭到破壞。

系統(tǒng)停機前應做哪些準備

雖然關(guān)閉系統(tǒng)是一步釜底抽薪的高招，但企業(yè)在實際著手之前也要進行一系列準備工作。

首先，弄清楚系統(tǒng)中保存著哪些數(shù)據(jù)并分析數(shù)據(jù)會給業(yè)務(wù)帶來哪些影響。業(yè)務(wù)影響分析會記錄下各個系統(tǒng)對業(yè)務(wù)流程的重要性、系統(tǒng)的實際作用以及系統(tǒng)中斷可能帶來的潛在問題。

接下來登場的是業(yè)務(wù)連續(xù)性與災難恢復計劃，這類似于一套事故應急預案，需要在事故發(fā)生之前制定完成并進行定期測試。因此一旦系統(tǒng)停機成為最佳選擇，大家手頭必須保有一套早已制定完善的執(zhí)行流程。

在關(guān)閉系統(tǒng)之前，安全事件響應規(guī)程中的重要部分在于獲得方方面面的相關(guān)授權(quán)。在開發(fā)業(yè)務(wù)連續(xù)性與災難恢復計劃或者事故應急預案時，我們必須預留與相關(guān)人士直接交流的通道，其中包括企業(yè)首席信息安全官、首席信息官、咨詢服務(wù)臺、企業(yè)老總以及營銷部門等，這將有效幫助大家快速做出明智決定、縮短系統(tǒng)關(guān)閉的討論流程。如果系統(tǒng)關(guān)閉會立即中止業(yè)務(wù)流程，企業(yè)管理者必須提前得到通知。他們還需要了解系統(tǒng)停機給企業(yè)造成的影響，包括對正在進行的事務(wù)、潛在運營成本以及管理的影響等。到底哪些人士需要了解哪些信息，則取決于企業(yè)的組織結(jié)構(gòu)以及可資調(diào)配的資源。

最后，請大家牢記一點：系統(tǒng)停機并不一定能起到促進系統(tǒng)安全的作用，而且也不該被視為安全事故應急預案中的最后處理手段。在關(guān)閉系統(tǒng)之后，大家首先要做的是補救由安全引起的后續(xù)問題。具體整治工作可能包括系統(tǒng)修復、配置變更或者只允許來自受信連接的訪問。這一步驟的處理時間取決于業(yè)務(wù)影響分析以及業(yè)務(wù)連續(xù)性與災難恢復規(guī)劃的處理結(jié)果。

如果停機會對系統(tǒng)造成嚴重影響，那么我們需要盡快組織恢復工作。舉例來說，如果某臺Web服務(wù)器中的Web應用程序受到SQL注入漏洞的影響而必須關(guān)閉，那么我們在開發(fā)補丁的同時必須對Web應用的防火墻設(shè)置或配置進行更改，從而阻止Web服務(wù)器運行任何來自該系統(tǒng)的命令。

結(jié)論

對于遭受攻擊活動困擾的企業(yè)來說，最為激烈的反應措施有時候恰恰是最理想、最有效的處理手段。了解特定系統(tǒng)或者網(wǎng)絡(luò)停機給業(yè)務(wù)造成的影響，我們才能夠了解將資源投入哪些領(lǐng)域能夠切實保護系統(tǒng)、關(guān)閉系統(tǒng)的決策是否合理。無論特定情況下哪種處理方式最理想，大家都應該保證在計劃實際執(zhí)行前將溝通渠道部署到位。高效的交流機制是將事故負面影響降至最低的重中之重。