安全事件响应程序：何时该关闭系统

企业比以往任何时期都依赖于把它和社会联系在一起的电脑和系统。同时，为了企业有价值的信息或出于某些政治原因的攻击也变得前所未有的复杂，这些攻击给企业安全团队增加了很大的压力，因为保持关键系统无中断地安全运行变得越来越难。

无论企业如何为安全做准备，安全团队还是要面临被攻击的威胁，这时，他们需要权衡系统继续运行被感染的风险有多大以及是否需要把目标系统关闭。安全团队到底该如何决定?需要衡量哪些因素?

本文中，我们会研究一些常见的受到攻击后需要关闭系统的情景，并讨论在遇到这种情况时安全团队该做哪些准备。

关闭系统的案例

遇到信息安全事件就关闭系统可能是最过激的选择，但在特定的情况下也是最好的选择。企业必须权衡保持系统运行来处理事件和关闭系统两者所带来的后果再决定。

当攻击威胁到他人的生命安全，或者会导致企业和客户受到严重损害时，这时就必须关闭整个或部分系统。例如，如果攻击者有可能获得调控交通红绿灯的电脑系统控制权，那么最好是关闭系统，因为司机一般会把不能运行的交通灯视为停止信号。一旦攻击者控制交通灯，后果是非常可怕的。

面对这些极端的案例很容易做出决定，但是企业实际面临的大多数情况都不会这么极端。例如，一个系统感染了蠕虫病毒，而且它正试图攻击其它本地系统。这时，从网络中移除或关闭这个系统就可以阻止病毒蔓延到其它系统中。蠕虫病毒从一个系统传播到下一个系统非常快，所以要很快做出决定。当然，这种决定也要取决于实施的安全性和可行性，要考虑是否有控制方法限制病毒只存在于已感染系统中，而不会传播到整个系统。

如果受感染的系统不包含敏感数据而且只有可用性需求时，安全团队可以对停机成本和遏制并修复感染系统的恢复成本做一个大致的计算，然后根据计算结果做出决定。也有一些情形是不需要关闭整个系统的。例如，当一个高价值系统正在处于调查中，关闭外部网络连接来阻止攻击者获得额外的访问往往是首选。

当然，在某些情况下，用关闭系统来响应一个信息安全事件也是最糟糕的选择。如果攻击者已经损害了一个本地系统，关闭系统极有可能丢失一些有力证据。关闭网络连接或者整个网络，也有可能销毁可以用于调查的证据。这时最好是保持系统运行，拔掉网络连接，让攻击者不能再访问系统，然后开始调查。当然每个企业都需要评估这样做是否比关闭系统更值得。

关闭系统需做的准备

尽管关闭系统是最极端的选择，但是企业可以做一些准备工作。首先，详细掌握这个系统中所存储的数据并且做一个业务影响分析(BIA)。BIA将记录系统对于业务的重要性、系统用途和中断带来的影响。然后可以得出一份业务连续性和灾难恢复计划(BCDRP)，类似于一个事故应急预案，预案需要在事件发生前制定并定期进行测试。做好这些准备，当遇到必须关闭系统的情况时，随手就有应急处理方案。

在关闭系统前，获得相关部门的授权也是安全事件响应程序中关键的一部分。在制定BCDPR或事故应急预案时，要和必要的人员沟通，比如首席信息安全官、首席信息官、服务台、企业老板和市场部，这样他们对于关闭系统与否可以快速做出决定。比如，如果关闭系统会导致企业业务基本停止，高层管理人员必须提前知道这种情况。他们需要了解关闭系统对企业的影响、已经做出的努力、修复系统的潜在成本和影响。每个人需要知道的详细内容是不同的，这取决于他们的职位和可用到的资源。

要知道，关闭系统实际上并不能保障系统的安全性，所以这不是安全事件响应程序中的最后一个步骤。不管是哪种安全问题造成此局面，在关闭系统之后，一定要及时补救，比如修复系统、改变配置或者限制访问只对信任连接开放。补救这个步骤要花费的时间取决于BIA和BCDRP。停机造成最大影响的系统应该最快被修复。例如，一个Web服务器带有一个Web应用程序，该应用程序很容易感染SQL漏洞。那么当开发补丁时，该应用程序需要停止。Web服务器需要建立一个Web应用程序防火墙或者更改配置来移除访问，以便于在系统上运行命令。

当企业面临网络攻击时，关闭系统是最极端的处理方式有时也是唯一的选择。了解关闭特定系统或网络连接会带来的业务影响可以帮助企业决定是利用资源来修复已损害的系统，还是关闭系统。无论是哪种情况，确保有紧急事故预案和沟通渠道可以降低企业损失。