从韩国农协银行事件谈信息安全工作的要点

2011年4月12日下午，农协银行的电脑网络开始出现故障，导致客户无法提款、转账、使用信用卡和取得贷款。系统故障一直持续了3天，直到4月15日才恢复部分服务，而有些服务直到4月18日仍然没有恢复，以至于银行不得不采用传统的手写交易单的方式进行服务。

从上述事件，我们可以分析得出如下几个信息安全工作的要点，或者是教训，也是企业信息安全工作中经常会忽略的几点。

一、 权限控制和审计

据初步调查，4月12日下午4:30到5点之间，某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令，该命令会删除服务器上的所有文件。这里面表明了该企业安全工作的纰漏，或者说是失误。

首先，对于这种权限管理，要管理到人，严格限制非常小的范围。并且，需要通过联合密码等方式来保证权限的实施不是一个人可以决定的，虽然不能避免"合谋"的情况，但是至少应该有这个考虑；另外，权限使用的审计也需要加强，根据这个事件来看，应该要能够在第一时间来确定是谁的帐号出现了问题，实施了什么操作，从而快速定位到责任人，或者定位到责任人有可能在什么情况下被别人盗用帐号；

二、 应急响应工作

从该事件韩国银行的应急相应速度来看,确实是过于缓慢和滞后。这使我们不得不感叹信息安全工作中应急响应工作的必要和重要性。诚然，信息安全工作中技术是非常重要的基础，然而，应急和流程管理是信息安全工作非常关键的一部分，它不属于技术范畴，属于管理范畴。所谓"三分技术，七分管理"，信息安全需要建立一支高效、给力的管理团队，以及制订相应的应急响应流程，以应对攻击、误操作、灾难等非常规条件下的问题。这样，就能够使得企业在这些非常规条件下仍然能够提供高质量的安全服务，从而也确保了企业品牌。举个例子，每个国家对应急响应工作都很重视，比如美国的CERT组职和中国的应急响应组织CNCERT/CC。

三、 灾难备份及恢复工作

信息安全工作其实可以分为事前、事中和事后三个处理阶段。前面说的应急响应工作属于事中和事后阶段。而灾难备份属于事前工作，灾难恢复则属于事后工作。从该事件的处理工程来看，灾难备份工作和灾难恢复工作不能让人恭维。事故发生3天才恢复部分数据，很难理解这样一个大型银行的备份和恢复工作的策略和流程是怎么理顺的。试想一下，如果平时训练有素，策略和流程理顺的话，是不是可以将处理事件降低到1天甚至半天，这将节省多少经济损失，而又将赢回多少用户对该银行的信任度呢？所以，备份和恢复工作需要长期统筹规划，结合全备份、增量备份、差分备份等多种备份策略，并采用本地备份、异地备份等多种方式，甚至使用SAN、NAS等多种备份设备，并制订一套行之有效的备份和恢复策略，以做到"有备无患"。

事件已经过去，但是留给我们信息安全工作者的思考还未停止，谨以此文抛砖引玉，呼吁各企业重视新信息安全工作，不要再让此类事件重演。

本文出自 “卓越始于足下” 博客，请务必保留此出处http://patterson.blog.51cto.com/1060257/553764