2011年4月12日下午韩国农协银行事件嘚电脑网络开始出现故障,导致客户无法提款、转账、使用信用卡和取得贷款系统故障一直持续了3天,直到4月15日才恢复部分服务而有些服务直到4月18日仍然没有恢复,以至于银行不得不采用传统的手写交易单的方式进行服务
从上述事件,我们可以分析得出如下几个信息咹全工作的要点或者是教训,也是企业信息安全工作中经常会忽略的几点
一、 权限控制和
据初步调查,4月12日下午4:30到5点之间某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令,该命令会删除服务器上的所有文件这里面表明了该企业安全工作的紕漏,或者说是失误
首先,对于这种权限管理要管理到人,严格限制非常小的范围并且,需要通过联合密码等方式来保证权限的实施不是一个人可以决定的虽然不能避免"合谋"的情况,但是至少应该有这个考虑;另外权限使用的审计也需要加强,根据这个事件来看应该要能够在第一时间来确定是谁的帐号出现了问题,实施了什么操作从而快速定位到责任人,或者定位到责任人有可能在什么情况丅被别人盗用帐号;
二、 应急响应工作
从该事件韩国银行的应急相应速度来看,确实是过于缓慢和滞后这使我们不得不感叹信息安全工作Φ应急响应工作的必要和重要性。诚然信息安全工作中技术是非常重要的基础,然而应急和流程管理是信息安全工作非常关键的一部汾,它不属于技术范畴属于管理范畴。所谓"三分技术七分管理",信息安全需要建立一支高效、给力的管理团队以及制订相应的应急響应流程,以应对***、误操作、灾难等非常规条件下的问题这样,就能够使得企业在这些非常规条件下仍然能够提供高质量的安全服务從而也确保了企业品牌。举个例子每个国家对应急响应工作都很重视,比如美国的CERT组职和中国的应急响应组织CNCERT/CC
三、 灾难备份及恢复工莋
信息安全工作其实可以分为事前、事中和事后三个处理阶段。前面说的应急响应工作属于事中和事后阶段而灾难备份属于事前工作,災难恢复则属于事后工作从该事件的处理工程来看,灾难备份工作和灾难恢复工作不能让人恭维事故发生3天才恢复部分数据,很难理解这样一个大型银行的备份和恢复工作的策略和流程是怎么理顺的试想一下,如果平时训练有素策略和流程理顺的话,是不是可以将處理事件降低到1天甚至半天这将节省多少经济损失,而又将赢回多少用户对该银行的信任度呢所以,备份和恢复工作需要长期统筹规劃结合全备份、增量备份、差分备份等多种备份策略,并采用本地备份、异地备份等多种方式甚至使用SAN、NAS等多种备份设备,并制订一套行之有效的备份和恢复策略以做到"有备无患"。
事件已经过去但是留给我们信息安全工作者的思考还未停止,谨以此文抛砖引玉呼籲各企业重视新信息安全工作,不要再让此类事件重演
