第十六章业务连续性管理

第627页第16章业务连续性管理随着信息化的发展、企业、政府对信息系统运作的稳定性和可靠性的要求就越高。本章首先将从什么是业务连续性计划及BCP相关概念进行了介绍；然后介绍了应急响应概念、如何建立安全应急响应管理系统和应急响应流程以及针对事件的发生如何处理；最后介绍了灾难恢复计划相关概念和所使用的技术以及灾难恢复级别是如何定义和如何制定灾难恢复计划。本章内容适合参加信息安全高级管理师认证的读者。16.1概述16.1.1什么是业务连续性计划业务连续性计划(BusinessContinuityPlanning，缩写为BCP)，BCP可被定义为一种先知先觉的流程,它可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下，这些关键因素的作用都能正常而持续地发挥。BCP的目标是建立一种合理有效的成本控制方案，以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作而进行的成本投入。业务连续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。业务持续管理即BCM是一种整体管理流程，它能够确定可能发生的冲击及对企业运作造成的威胁，并提供一个架构来阻止或有效的抵消这些威胁，以保护股东的利益、公司的名誉及品牌。16.1.2BCP运作流程BCP运作共有6个阶段，分别为：1.项目初始化2.风险分析及业务影响3.策略及实施4.BCP开发5.培训计划6.测试及维护1.项目初始化(1)获得管理层的支持与投入为了确保该程序能够成功，高级管理层必须参与其中。BCP计划必须成为公司的战略性业务计划提供独立的预算。(2)建立团队必须建立一个团队，人员包括财务部，审计部，信息技术部，人事部，行政部等等。当灾难开始时，这些部门在继续扮演他们承担的支援角色的同时，也必须实施重大的机构转变以援助受影响的区域。法律部、公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。第628页2.风险分析及业务影响分析决定BCP需求的关键驱动力是企业能在灾难中承受多少金额的损失？业务影响分析的目的是回答以下问题：保护何种资产？(资产识别与评估)资产的威胁与脆弱点？(脆弱点和威胁评估)有没有控制措施？控制措施能否预防或减少潜在的威胁？(评估控制)投入金额/劳力的多少？(决定)投入资金的效率如何？(通讯和监控)当进行业务影响分析时，应考虑以下几方面：金额的影响：如果不采取相应的措施，则组织的经济损失是多少？客户的影响：如果发生业务中断，则组织会损失多少市场占有率。法律的影响：组织是否遵从法律的要求？内部依赖关系的影响：中断的业务是否会其他领域的关键业务？作为业务影响分析的一部分，应该评估业务允许中断的时间长短；组织能提供多常时间的信息；当信息重新可用时，允许损失的信息是多少？这些问题可以通过恢复时间目标（recoverytimeobjective(RTO)）和恢复点目标（recoverypointobjective(RPO)）来决定。BCP需求的另一个因素是“灾难实际发生的可能性”。此因素由威胁的级别和组织具有的薄弱点范围决定，威胁的程度取决于下列因素：有恶意性的破坏，如轰炸、纵火、工业间谍等。意外事故，如组织的办公场所、环境，内部系统和处理程序的质量。3．业务持续性策略及实施(1)业务持续性策略业务影响分析为制定业务持续性策略提供必要的信息，下来，根据提供的信息，可以确定多种满足组织业务持续管理的方案。必须为各种业务持续方案进行成本、效益及风险分析，包括：满足业务持续目标的能力影响的可能性安装设备的成本维护、测试及调用设备的成本中断对于技术、组织、文化和管理的干扰及未采取持续管理的潜在影响应该仔细考虑采取业务持续方案确实解决了具体的风险但不会增加其它风险。通过风险降低和业务持续方案成本的平衡来决定业务持续策略以降低风险达到业务持续的目标。(2)实施设立组织及准备实施计划书实施备份安排实施降低风险的措施4.BCP开发开发业务持续计划之前，确定灾难发生的情况下执行的行动，你需要熟悉每天的操作任务。这意味这你需要熟悉每一个业务处理过程的基本文档。在开发业务持续计划之前，须考虑下列措施是否已经存在：变更控制流程最终用户的标准操作流程操作人员的具体需求和特殊外围设备需求第629页数据流图表及问题管理程序重要记录磁带备份/记录管理日常安排异地存储开发BCP计划时，需考虑在计划执行的七个阶段中为每个恢复小组分派任务：评估与声明通告应急反应过渡期处理抢救重新安置及启动重新正常运做5.培训计划一些员工需要的特殊培训如下：有紧急情况时可应用替代的技术流程当自动操作系统正在恢复时可替代的人工操作流程确保团队成员达到推动BCP所需能力的技术培训6.测试及维护进行演示及有规律的测试，增强信心及效率，确保其相关的文档时常更新。总之，组织没有业务持续计划就像是不设防，不可能阻止任何不可预测的破坏所造成的各种损失。所以公司必须认真的对待业务持续计划。16.2应急响应计划16.2.1应急响应概述16.2.1.1应急响应背景1988年Morris蠕虫事件直接导致了CERT/CC的诞生。美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划(NetworkedSystemsSurvivabilityProgram)的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（CSIRT）。在CERT/CC成立之后的14年里，共处理了28万多封Email，2万多个热线电话，其运行模式帮助了80多个CSIRT组织的建设。“进入21世纪，网络技术的高速发展，使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局，已经全面映射到开放的互联网体系中，由此形成了一个社会、技术一体化的复杂巨系统！”在首届“全国互联网应急处理研讨会‘2004”大会上，专家们描述出的国际互联网大环境，使我们深刻地认识到，完全杜绝互联网安全事件是不可能的，重要的是加强应急响应！在这一复杂巨系统中，国家公共管理职能开始向互联网世界全面渗透。就像物理世界面临着SARS、禽流感等病毒时，国家建立了整套的应急体系和处理能力一样，当互联网上蠕第630页虫、病毒、网络攻击日益泛滥时，同样需要这样一个体系对网络攻击事件进行紧急处理，包括事前监测、事中处理和事后的灾难恢复。因此，公共互联网应急体系已经成为国家应急体系的一个重要分支。正因为应急响应的重要战略地位，2004年1月9日～10日在北京召开的备受信息安全业界乃至社会各界关注的全国信息安全保障工作会议上，国家将强化应急体系、提高处理能力作为保障信息安全最重要的基础任务之一。2月11日～13日由信息产业部互联网应急处理协调办公室(简称CNCERT/CC)主办的“全国互联网应急处理研讨会‘2004”大会，正是这一精神的具体落实和体现。但是，与物理世界不完全一致的是，面对全球一体化的互联网环境，国家公共互联网应急体系的建立和应急处理能力的提高，并不能仅仅依靠政府的力量，而是需要世界各国相关组织在技术、资源、经验方面的共同合作，需要政府与企业、全社会每个人的互动！在互联网这样一个复杂的巨系统中，如何提高应急响应的处理水平确是摆在我们面前的巨大难题，这也正是次此会议的初衷——从理论方法学到实际运作经验，探讨如何在复杂巨系统中理清思路，提高应急响应水平的方法。“开放的互联网符合复杂巨系统的所有特征，我们要用综合集成的思维方式，考虑应急响应的管理方法。”对许多人而言，公共互联网应急响应的概念并不新鲜，也并不难理解，因为物理世界面对SARS的处理方法已经让人们充分地认识到了应急响应的必要性和紧急物理隔离的措施和方法。然而，当现代社会越来越依赖大规模的网络系统时，按照常规的方式已经不能有效处理网络紧急事件了：计算机蠕虫病毒已经成功实现智能化，开始主动寻找设备进行攻击；感染速度越来越快，能在数小时内传遍全球；应急响应却越来越慢，网络攻击采取伪造地址方式，难以追踪到真实的病毒制造者；而进行完全的物理隔离在互联互通时代越来越行不通……于是，理想与现实的反差越来越大！中国工程院院士何德全认为，这是因为，互联网世界已经构成了一个“复杂巨系统”！“复杂巨系统具有四个重要特征，而开放的互联网体系完全符合这四个特征:首先是‘巨’，即子系统数目巨多，不是千万级数量概念，而是数亿级数量概念；第二是复杂，子系统与子系统之间是高度非线性的内部关系结构；三是自组织，互联网没有统一的领导，而是依靠统一的协议进行连接；四是开放，任何系统只要符合协议规范，就可以没有任何限制地任意连入全球网络系统。”在这种复杂巨系统中，虽然很多企业自己提早做了应急预案，但在具体实施中很难实现理想的效果。为什么呢？因为目前的应急管理无法适应复杂巨系统的要求：首先是缺少知识层次上的应急响应的全生命周期管理；其次是做出的应急计划都是线性、彼此完全分割的，只有任务的分解而没有综合集成，基本无法完成有效的应急响应。预案不是简单做完了就行的，而应该随着过程、环境的变化而不断变化，不应该是线性的，而应该是非线性的防灾计划。16.2.1.2信息安全与应急响应的关系对于一个单位或组织来说，信息和其他重要的商业资产一样都具有价值，因此要给于适当的保护。信息安全保护信息免受各方面的威胁，以达到确保商业连续性，尽量减小商业损失并且尽量增加投资回报率和商业机会的目的。信息能够以多种形式存在。可以打印或写在纸上，以电子形式存储，通过邮寄或使用电子方式传播，用影片显示或口头转述。无论信息表现为何种形式，或以何种方式分享或储存，都应该对其进行适当的保护。信息安全的特点被总结成保护：第631页a）保密性：确保只有被授权的人才可以访问信息；b）完整性：确保信息和信息处理方法的准确性和完整性；c）可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。信息安全可以通过实行一套控制措施来实现。控制措施除实施安全产品外，还要有必要的紧急事件的响应和灾难事件的备份与恢复机制，如2003年1月25日爆发的sqlslammer蠕虫事件，组织中如果没有很好的应急响应流程和方法，就会给组织带来很大的损失。如图16-1应急响应属于风险管理的一部分。图16-1应急响应组成在信息安全中，对于一个组织来说，最重要的就是保持组织的业务连续性，如图16-2清晰地说明了维持业务连续性要制定的相关计划，其中很重要的内容就是事件响应计划。图16-2业务连续性计划因此，下面的章节会讨论应急响应的相关术语及如何有效的建立应急响应小组等，帮助组织建立自己的应急小组，以辅助组织实现自己的安全目标。16.2.1.3我国的应急响应体制现状红色代码事件推动了我国应急处理体系的形成，对跨国的计算机攻击事件的处理推动了国际应急组织的合作，我们已经实现从应急组织向应急体系的转变。早在SARS出现之前，早在物理世界的疾病应急体系建立之前，信息产业部就已经着手建立公共互联网应急体系，在组织结构、人员组成、响应技术方面进行了综合投资和考虑。整个国家的应急体系都在建设中，不仅包括互联网应急体系，还包括广电系统、医疗卫生系第632页统、煤炭系统等应急体系，但信息产业部走在了前面，公共互联网应急体系的经验值得推广。据CNCERT/CC主任方滨兴介绍，中国CNCERT组织自2003年7月正式成立以来，目前已经在全国各地建立了31个分中心，授权10家信息安全产品和服务供应商作为重要的技术、服务合作伙伴，除此而外，信息产业部还要求国内的10家骨干互联网运营企业(包括6家电信运营商和4个公共信息网)成立自己的应急响应中心(CERT)，这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户，成为了CNCERT/CC的主要联系成员，由此形成了一个立体交错的应急体系，形成了信息上下畅通传递的通