企業(yè)比以往任何時期都依賴于把它和社會聯(lián)系在一起的電腦和系統(tǒng)。同時，為了企業(yè)有價值的信息或出于某些政治原因的攻擊也變得前所未有的復雜，這些攻擊給企業(yè)安全團隊增加了很大的壓力，因為保持關鍵系統(tǒng)無中斷地安全運行變得越來越難。

無論企業(yè)如何為安全做準備，安全團隊還是要面臨被攻擊的威脅，這時，他們需要權衡系統(tǒng)繼續(xù)運行被感染的風險有多大以及是否需要把目標系統(tǒng)關閉。安全團隊到底該如何決定?需要衡量哪些因素?

本文中，我們會研究一些常見的受到攻擊后需要關閉系統(tǒng)的情景，并討論在遇到這種情況時安全團隊該做哪些準備。

關閉系統(tǒng)的案例

遇到信息安全事件就關閉系統(tǒng)可能是最過激的選擇，但在特定的情況下也是最好的選擇。企業(yè)必須權衡保持系統(tǒng)運行來處理事件和關閉系統(tǒng)兩者所帶來的后果再決定。

當攻擊威脅到他人的生命安全，或者會導致企業(yè)和客戶受到嚴重損害時，這時就必須關閉整個或部分系統(tǒng)。例如，如果攻擊者有可能獲得調(diào)控交通紅綠燈的電腦系統(tǒng)控制權，那么最好是關閉系統(tǒng)，因為司機一般會把不能運行的交通燈視為停止信號。一旦攻擊者控制交通燈，后果是非?？膳碌?。

面對這些極端的案例很容易做出決定，但是企業(yè)實際面臨的大多數(shù)情況都不會這么極端。例如，一個系統(tǒng)感染了蠕蟲病毒，而且它正試圖攻擊其它本地系統(tǒng)。這時，從網(wǎng)絡中移除或關閉這個系統(tǒng)就可以阻止病毒蔓延到其它系統(tǒng)中。蠕蟲病毒從一個系統(tǒng)傳播到下一個系統(tǒng)非?？?，所以要很快做出決定。當然，這種決定也要取決于實施的安全性和可行性，要考慮是否有控制方法限制病毒只存在于已感染系統(tǒng)中，而不會傳播到整個系統(tǒng)。

如果受感染的系統(tǒng)不包含敏感數(shù)據(jù)而且只有可用性需求時，安全團隊可以對停機成本和遏制并修復感染系統(tǒng)的恢復成本做一個大致的計算，然后根據(jù)計算結果做出決定。也有一些情形是不需要關閉整個系統(tǒng)的。例如，當一個高價值系統(tǒng)正在處于調(diào)查中，關閉外部網(wǎng)絡連接來阻止攻擊者獲得額外的訪問往往是首選。

當然，在某些情況下，用關閉系統(tǒng)來響應一個信息安全事件也是最糟糕的選擇。如果攻擊者已經(jīng)損害了一個本地系統(tǒng)，關閉系統(tǒng)極有可能丟失一些有力證據(jù)。關閉網(wǎng)絡連接或者整個網(wǎng)絡，也有可能銷毀可以用于調(diào)查的證據(jù)。這時最好是保持系統(tǒng)運行，拔掉網(wǎng)絡連接，讓攻擊者不能再訪問系統(tǒng)，然后開始調(diào)查。當然每個企業(yè)都需要評估這樣做是否比關閉系統(tǒng)更值得。

關閉系統(tǒng)需做的準備

盡管關閉系統(tǒng)是最極端的選擇，但是企業(yè)可以做一些準備工作。首先，詳細掌握這個系統(tǒng)中所存儲的數(shù)據(jù)并且做一個業(yè)務影響分析(BIA)。BIA將記錄系統(tǒng)對于業(yè)務的重要性、系統(tǒng)用途和中斷帶來的影響。然后可以得出一份業(yè)務連續(xù)性和災難恢復計劃(BCDRP)，類似于一個事故應急預案，預案需要在事件發(fā)生前制定并定期進行測試。做好這些準備，當遇到必須關閉系統(tǒng)的情況時，隨手就有應急處理方案。

在關閉系統(tǒng)前，獲得相關部門的授權也是安全事件響應程序中關鍵的一部分。在制定BCDPR或事故應急預案時，要和必要的人員溝通，比如首席信息安全官、首席信息官、服務臺、企業(yè)老板和市場部，這樣他們對于關閉系統(tǒng)與否可以快速做出決定。比如，如果關閉系統(tǒng)會導致企業(yè)業(yè)務基本停止，高層管理人員必須提前知道這種情況。他們需要了解關閉系統(tǒng)對企業(yè)的影響、已經(jīng)做出的努力、修復系統(tǒng)的潛在成本和影響。每個人需要知道的詳細內(nèi)容是不同的，這取決于他們的職位和可用到的資源。

要知道，關閉系統(tǒng)實際上并不能保障系統(tǒng)的安全性，所以這不是安全事件響應程序中的最后一個步驟。不管是哪種安全問題造成此局面，在關閉系統(tǒng)之后，一定要及時補救，比如修復系統(tǒng)、改變配置或者限制訪問只對信任連接開放。補救這個步驟要花費的時間取決于BIA和BCDRP。停機造成最大影響的系統(tǒng)應該最快被修復。例如，一個Web服務器帶有一個Web應用程序，該應用程序很容易感染SQL漏洞。那么當開發(fā)補丁時，該應用程序需要停止。Web服務器需要建立一個Web應用程序防火墻或者更改配置來移除訪問，以便于在系統(tǒng)上運行命令。

當企業(yè)面臨網(wǎng)絡攻擊時，關閉系統(tǒng)是最極端的處理方式有時也是唯一的選擇。了解關閉特定系統(tǒng)或網(wǎng)絡連接會帶來的業(yè)務影響可以幫助企業(yè)決定是利用資源來修復已損害的系統(tǒng)，還是關閉系統(tǒng)。無論是哪種情況，確保有緊急事故預案和溝通渠道可以降低企業(yè)損失。