從韓國農(nóng)協(xié)銀行事件談信息安全工作的要點
原創(chuàng)【51CTO.com 獨家特稿】2011年4月12日下午,農(nóng)協(xié)銀行的電腦網(wǎng)絡(luò)開始出現(xiàn)故障,導(dǎo)致客戶無法提款、轉(zhuǎn)賬、使用信用卡和取得貸款。系統(tǒng)故障一直持續(xù)了3天,直到4月15日才恢復(fù)部分服務(wù),而有些服務(wù)直到4月18日仍然沒有恢復(fù),以至于銀行不得不采用傳統(tǒng)的手寫交易單的方式進行服務(wù)。
從上述事件,我們可以分析得出如下幾個信息安全工作的要點,或者是教訓(xùn),也是企業(yè)信息安全工作中經(jīng)常會忽略的幾點。
一、 權(quán)限控制和審計
據(jù)初步調(diào)查,4月12日下午4:30到5點之間,某人在外包團隊中一位雇員的筆記本對銀行核心系統(tǒng)的275臺服務(wù)器下達了rm.dd命令,該命令會刪除服務(wù)器上的所有文件。這里面表明了該企業(yè)安全工作的紕漏,或者說是失誤。
首先,對于這種權(quán)限管理,要管理到人,嚴(yán)格限制非常小的范圍。并且,需要通過聯(lián)合密碼等方式來保證權(quán)限的實施不是一個人可以決定的,雖然不能避免"合謀"的情況,但是至少應(yīng)該有這個考慮;另外,權(quán)限使用的審計也需要加強,根據(jù)這個事件來看,應(yīng)該要能夠在第一時間來確定是誰的帳號出現(xiàn)了問題,實施了什么操作,從而快速定位到責(zé)任人,或者定位到責(zé)任人有可能在什么情況下被別人盜用帳號;
二、 應(yīng)急響應(yīng)工作
從該事件韓國銀行的應(yīng)急相應(yīng)速度來看,確實是過于緩慢和滯后。這使我們不得不感嘆信息安全工作中應(yīng)急響應(yīng)工作的必要和重要性。誠然,信息安全工作中技術(shù)是非常重要的基礎(chǔ),然而,應(yīng)急和流程管理是信息安全工作非常關(guān)鍵的一部分,它不屬于技術(shù)范疇,屬于管理范疇。所謂"三分技術(shù),七分管理",信息安全需要建立一支高效、給力的管理團隊,以及制訂相應(yīng)的應(yīng)急響應(yīng)流程,以應(yīng)對攻擊、誤操作、災(zāi)難等非常規(guī)條件下的問題。這樣,就能夠使得企業(yè)在這些非常規(guī)條件下仍然能夠提供高質(zhì)量的安全服務(wù),從而也確保了企業(yè)品牌。舉個例子,每個國家對應(yīng)急響應(yīng)工作都很重視,比如美國的CERT組職和中國的應(yīng)急響應(yīng)組織CNCERT/CC。
三、 災(zāi)難備份及恢復(fù)工作
信息安全工作其實可以分為事前、事中和事后三個處理階段。前面說的應(yīng)急響應(yīng)工作屬于事中和事后階段。而災(zāi)難備份屬于事前工作,災(zāi)難恢復(fù)則屬于事后工作。從該事件的處理工程來看,災(zāi)難備份工作和災(zāi)難恢復(fù)工作不能讓人恭維。事故發(fā)生3天才恢復(fù)部分?jǐn)?shù)據(jù),很難理解這樣一個大型銀行的備份和恢復(fù)工作的策略和流程是怎么理順的。試想一下,如果平時訓(xùn)練有素,策略和流程理順的話,是不是可以將處理事件降低到1天甚至半天,這將節(jié)省多少經(jīng)濟損失,而又將贏回多少用戶對該銀行的信任度呢?所以,備份和恢復(fù)工作需要長期統(tǒng)籌規(guī)劃,結(jié)合全備份、增量備份、差分備份等多種備份策略,并采用本地備份、異地備份等多種方式,甚至使用SAN、NAS等多種備份設(shè)備,并制訂一套行之有效的備份和恢復(fù)策略,以做到"有備無患"。
事件已經(jīng)過去,但是留給我們信息安全工作者的思考還未停止,謹(jǐn)以此文拋磚引玉,呼吁各企業(yè)重視新信息安全工作,不要再讓此類事件重演。
【51CTO.com獨家特稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】
【編輯推薦】
