1 / 39

電腦審計與安全

電腦審計與安全. CH 7 Planning for Continuity. Part Ⅱ. 指導老師:徐立群 報 告 者:邱淑娟. Outline. Incident Recovery Automated Response Disaster Recovery Planning Business Continuity Planning Model for a Consolidated Contingency Plan Law Enforcement Involvement. Incident Recovery 事件恢復. 適用階段:

melanie-rosales
Download Presentation

電腦審計與安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 電腦審計與安全 CH 7 Planning for Continuity Part Ⅱ 指導老師:徐立群 報 告 者:邱淑娟

  2. Outline • Incident Recovery • Automated Response • Disaster Recovery Planning • Business Continuity Planning • Model for a Consolidated Contingency Plan • Law Enforcement Involvement

  3. Incident Recovery事件恢復 • 適用階段: 當事件已在系統中受到控制,下一階段的IRP—“事件恢復”則必須立刻執行 • 主要任務: • 確認事件恢復所需的人力資源,並指派他們進行作業,同時告知員工所有損害的範圍都必須加以評估。 • 從電腦必須執行的過程中決定事件如何(How)發生與發生何事件(What)。事件必須在資料記錄之前或事件發生期間加以修復 • 修復弱點,找出防護上的缺點,並修復系統的資料與服務

  4. 一、Prioritization of Efforts效果的優先順序 • 隨著事件浮現,混亂與猜疑也隨之而來,由於各式各樣的攻擊都有可能影響所有人,因此,重點在於:系統的恢復。涉入的每個人都應該依據IRP的適當部份以恢復營運。

  5. 二、Damage Assessment損害評估 • 定義:事件損害評估(incident damage assessment)是立即衡量「機密」、「資訊的可獲取性」等等的破壞情況。 • 花費時間:依損失的範圍可能為數天或數週。 • 損壞程度:可能很小,如:受好奇的駭客窺探。也可能大至信用卡號偷竊、或成千上百的系統受到病毒與蠕蟲的感染。 • 瞭解損害型態、範圍與內容的資訊來源: 1、系統日誌 2、入侵偵測日誌 3、結構日誌與文件 4、事件反應的文件 5、詳細評估系統與資料倉儲的結果

  6. 二、Damage Assessment損害評估(續) • 與事件損害評估相關的是電腦鑑識(computer forensic)的領域。 • 電腦鑑識(Computer forensics)為收集、分析、保護電腦相關證據的過程。證據(Evidence)則提供其作用與意圖。電腦證據必須仔細收集、書面化並維持可接受的正式或非正式的處理程序。 • 組織在處理內部違反政策或行為準則時,採用非正式的處理程序。而當犯罪者受到司法審判時,則必須採用正式的證據或法定處理程序。

  7. 三、Recovery恢復 • 適用階段:一旦損害的範圍已決定,恢復的過程必須謹慎地開始。 • 步驟:恢復的過程比簡單的從失竊、損壞或受損檔案中重建(restoration)還來的複雜。主要有以下七個步驟: 1、確認使事件發生與散播的弱點所在,並解決之。 2、對付無法阻止事件發生的防禦機制,或者原本系統所漏失的機制,安裝、取代或升級之。 3、評估監控的能力(如果有的話)。 4、藉由備份恢復資料。(RAID) 5、修復使用中的服務與程序。 6、持續監控系統。 7、恢復組織對商業利益的信心。

  8. 三、Recovery恢復 (續) • 注意事項:在我們回覆到例行責任之前,IR小組必須實施事後複核(after-action review,AAR)。 • AAR之定義:所謂事後複核是指詳細檢驗最早至最後恢復的事件。所有的關鍵人員都會複核其紀錄,驗證IR文件的正確性。 • AAR的功用: 1、可書面化並視為訓練未來員工的實例。 2、可能藉此終止IR小組的行動。

  9. 四、Backup Media備份的工具 • 最普遍的備份工具包含了digital audio tapes(DAT)、quarter-inch catridge drives(QIC)、8mm tape與digital linear tape(DLT)。每種型態的磁帶都有優缺點。備份也可利用CD-ROM與DVD與特別的磁碟機或磁碟陣列等。

  10. TECHNICAL DETAIL—Data Storage and Management 資料倉儲與管理 ~1/2~ • 目的:為了更清楚瞭解事件反應或災害回覆資料過程的狀況 • 備份的型態: 三種—完整型(full)、動差型(differential)、增量型(incremental) • 1、完整備份(full backup)-- • 定義:充分且完整的備份整個系統,包含應用程式、作業系統要素與資料。 • 優點:可看出組織系統的整體概觀 • 缺點:需要大型的媒體儲存、備份耗時 • 2、動差備份(differential backup)-- • 定義:儲存最近完整備份後改變(changed)或增加(added)的檔案 • 優點:速度較快、儲存空間小於完整備份 • 缺點:每天的動差備份大於且速度慢於前一天

  11. TECHNICAL DETAIL—Data Storage and Management 資料倉儲與管理 • 3、增量備份(incremental backup)-- • 定義:只有儲存當天修改的檔案 • 優點:比動差備份所需的空間、時間還少 • 缺點:當事件發生時,許多備份檔都需跟著修正以修復整個系統 • 備份排程(schedualing): • 最普遍的排程為”每日on-site,增量備份”或”每週off-site完整備份的動差備份”。大多數的備份都在黃昏進行,因為此時系統的使用率較低,使用者中斷的可能性較低。當然,也有其他的備份方法,例如祖父子三代檔、河內之塔。 • 忠告: • 1、on-site與off-site的儲存資料必須受到安全保護。 • 2、存放磁帶的環境必須符合一定條件。

  12. 動差備份vs增量備份 動差備份 日~五 日~二 增量備份 二 五 星期日 星期二 星期五 完整備份 如果某個備份損壞,前幾天的備份存的幾乎是相同的資訊。 當事件發生時,許多備份檔都需跟著修正以修復整個系統

  13. TECHNICAL DETAILS System Backups and Recovery—General Strategies 系統備份與恢復(一般策略) • 祖父子三代檔 • 假設備份在每天晚上執行,每週使用五個磁帶,這個方法根據15個磁帶策略 • 第一週 使用前五個磁帶(設為A) • 第二週 使用後五個磁帶(設為B) • 第三週 使用最後五個磁帶(設為C) • 第四週 A磁帶重複使用 • 第五週 B磁帶重複使用 • 第六週 C磁帶重複使用 • 每二到三個月,磁帶會從此循環中抽離並永久存檔,緊接者使用新的磁帶。這種方法可使磁帶的磨損情況較平均,且可避免磁帶損壞。

  14. 備份在每天晚上執行,每週使用五個磁帶,這個方法採用15個磁帶策略備份在每天晚上執行,每週使用五個磁帶,這個方法採用15個磁帶策略 祖父子三代檔 B C A B C A 磁帶 5 5 5 5 5 5 週次 5 6 1 2 3 4 每二到三個月,磁帶會從此循環中抽離並永久存檔,緊接者使用新的磁帶。這種方法可使磁帶的磨損情況較平均,且可避免磁帶損壞。

  15. TECHNICAL DETAILS System Backups and Recovery—General Strategies 系統備份與恢復(一般策略) • 河內之塔 • 河內之塔較為複雜,因其根據數學運算原則而產生。在這種方法下,不同的磁帶使用的次數不同。這種策略假設每週使用五個磁帶,每天晚上進行備份。 • 第一天晚上 使用磁帶A • 第二天晚上 使用磁帶B • 第三天晚上 重複使用磁帶A • 第四天晚上 使用磁帶C • 第五天晚上 重複使用磁帶A • 第六天晚上 重複使用磁帶B • 第七天晚上 重複使用磁帶A • 第八天晚上 使用磁帶D • 磁帶A在”第一次使用磁帶之增量備份”後使用,必須緊密的監控,因為使用率高,磨損率也比其他磁帶高。 • 第九天晚上 重複使用磁帶A • 第十天晚上 重複使用磁帶B • 第十一天晚上 重複使用磁帶A • 第十二天晚上 重複使用磁帶C • 第十三天晚上 重複使用磁帶A • 第十四天晚上 重複使用磁帶B • 第十五天晚上 重複使用磁帶A • 第十六天晚上 重複使用磁帶E

  16. 河內之塔(補充) 起源:1883年,一位法國的數學家 Edouard Lucas 教授在歐洲的一份雜誌上介紹了一個相當吸引人的難題──迷人的智力遊戲。這個遊戲名為河內塔(Tower of Hanoi),它源自古印度神廟中的一段故事 故事:古老的印度,有一座神廟,據說它是宇宙的中心。在廟宇中放置了一塊上面插有三根長木釘的木板,在其中的一根木釘上,從上至下被放置了64片直徑由小至大的圓環形金屬片。古印度教的天神指示祂的僧侶們將64片的金屬片移至三根木釘中的其中一根上。規定在每次的移動中,只能搬移一片金屬片,並且在過程中必須保持金屬片由上至下是直徑由小至大的次序,也就是說不論在那一根木釘上,圓環形的金屬片都是直徑較小的被放在上層。直到有一天,僧侶們能將64片的金屬片依規則從指定的木釘上全部移動至另一根木釘上,那麼,世界末日即隨之來到,世間的一切終將被毀滅,萬物都將至極樂世界。

  17. TECHNICAL DETAILS System Backups and Recovery—RAID 系統備份與恢復(磁碟陣列)1/3 • 特色:RAID使用許多硬碟以儲存資訊。可將資料散開且極小化單 一磁帶損壞的影響。 • RAID Level 0 磁碟等量分割、組合 並沒有多餘的儲存形式,通常用在連接較小的磁碟容量至較少或較大的容量。當一個磁碟損壞所有的資料都無法使用。 • RAID Level 1 磁碟鏡像、複製 • 通常稱為磁碟鏡像(mirroring),在電腦系統中使用兩個磁碟。電腦同時在兩個磁碟儲存資料,當主磁碟損壞時可以提供備份資料。這是一個相當而過且無效率的方法。鏡像的變化稱為複製(duplexing),在鏡像中,同一個磁碟管理者管理兩個磁碟,但複製的磁碟有個別的管理者。鏡像通常在高度利用的系統中用以產生作業系統的複製檔。

  18. TECHNICAL DETAILS System Backups and Recovery—RAID 系統備份與恢復(磁碟陣列)2/3 • RAID Level 2包含錯誤校正碼的等量磁碟分割組合 • 為磁碟等量分割的特殊型態,並未廣泛使用。他採用特別的數學等量編碼(Hamming Code)以在多個檔案磁碟中儲存分割的資料,此外,在個別的錯誤更正磁碟中對應多餘的錯誤更正碼。這個方法允許的事件的重建資料列入或者多餘的資訊,或者同等的多餘資訊因此消失。RAID Level2在企業並不採用。 • RAID Levels 3 and 4 • RAID 3為位元層級(byte-level)、RAID 4為區塊層級分割的資料。資料用於資料磁碟中並存檔於各部門,同樣的資訊儲存於個別的磁碟中。與RAID0相似的是,-他大量使用於資料中,但同樣的磁碟獨立運作提供出錯時的修復。

  19. TECHNICAL DETAILS System Backups and Recovery—RAID 系統備份與恢復(磁碟陣列)3/3 • RAID Leval 5 • 此種型態的RAID廣泛在各企業中使用,因為他可以權衡安全與冗贅並平衡取得與運作系統的成本。與Level 3與Level 4相似的是根據複製的(multiple)磁碟分割檔案,除了未用於同等的磁碟外。RAID也可被hot swapped,意指他們可被取代但不會使整個系統癱瘓。 • RAID Level 6為RAID 1與RAID 5的合併 • RAID Level 7 • 與RAID 5不同的是他將陣列的工作以單一虛擬的磁碟進行。RAID 7有時候以特殊的軟體進行,超過RAID 5的硬體。 • RAID Level 10為RAID 1與RAID 0的連結 • 其他多餘的資訊可由整個伺服器的鏡像提供,稱之為redundant servers或server fault tolerance

  20. Automated Response自動反應 • 陷阱與追蹤(trap and trace) 使用與資源相連的方法偵測入侵,然後將事件追蹤至其來源。 • 優點: 安全不再侷限於防禦,安全的管理者也可站在積極的角度追蹤犯罪者,並在適當的授權之下將他們擊倒。 • 缺點: 較不謹慎的管理者可能試圖back hack(反侵入)或侵入駭客的系統,以找出駭客所有可能侵入的方法。而狡猾的駭客可能會使用IP 愚弄(spoofing)、侵害系統,或採用其他技術去除追蹤系統。最後使管理者本身成為駭客,抓駭客的任務失敗。

  21. Automated Response自動反應 • Honeypots:指的是電腦伺服器安裝類似的生產系統,當中包含了許多駭客想竊取的資訊。當駭客入侵系統時,警報系統會響起,管理人員會因此注意。 • Honeynets:作用的方法近似,但他們包含了網路系統,而成為內容更豐富、更明顯的目標。 • 引誘(Enticement):指的是藉由關鍵地點放置誘人的位元而吸引注意的過程。 • 誘捕(Entrapment):指的是引誘某人犯罪並加以定罪的行為。 • 我們很難估計系統平均使用者的影響,特別當某人進入系統瀏覽資訊時。這也稱之為”黃蜂陷阱症狀”(wasp trap syndrome)。 • 省思:法律問題 合法 不合法

  22. Disaster Recovery Planning災害回覆計畫 • 定義:規劃用於災害回覆的準備工作,無論是天然的或是人為的。 • 目的:使企業整體恢復至災害發生之前的狀況。 • 要點: 1、必須確定清楚的優先順序。 2、在角色與責任間必須有明確的授權。 3、必須草擬警戒名冊並通知關鍵人員。 4、必須將災害的過程書面化。 5、如果可以的話,減輕災害對組織營運的影響力。

  23. Crisis Management危機管理 • 事件與災害的差異:範圍不同 • 危機管理(crisis management):災害期間與之後所執行的工作稱之 • 危機管理與事件反應最大的不同在於(1)他首先焦點於相關人員(2)他表彰企業的可行性。 • 危機管理的主要領域包含了: 1、核對人員與總人數 2、檢查警戒名冊 3、檢查緊急狀況資訊卡

  24. Recovery Operations恢復營運 • 由於我們無法描述正確的過程,災害回覆的反應可能差異相當大 • 如果組織的設備無法挽救,則執行替代方案直到新設備取得為止。 • 當核心部份遭受災害,威脅組織生存時,因災害而恢復交易的過程將演變為企業永續規劃。

  25. Business Continuity Planning企業永續規劃 • 定義:指在災害期間重建危機企業的營運,而其災害影響營運的核心部份。 • 適用產業:製造業與零售業,因為他們是以實體資產交易,當災害發生時,通常無法重新營運。(小型公司或財務績效健全的公司可不採用,因為在實體設備被修復之前,停止營運有轉寰餘地, )

  26. Developing Continuity Programs (BCPs) 發展永續程式 • 企業的持續程式書面化為BCP,表彰持續規劃過程的功用 • BCP的發展比IRP或DRP簡單,因為他主要包含了選擇持續性策略與整合離線資料倉儲與恢復的效果以達到策略。 • BCP的某些要素必須已經整合至組織的正常營運 • BCP的第一部份是在聯合DRP/BCP計畫已發展時執行。確認危機企業的效果與需要的資源尚待BCP基礎的支持。

  27. Continuity Strategies 永續性策略 • 當規劃企業持續性時有許多策略可供選擇。決定這些選擇的主要因素通常耗費成本。隨著修復的範圍與速度增加,成本也跟者增加。 • 一般來說有三種獨立的選擇方案:hot sites、warm sites與cold site,與三個共享的效果:time-share、service bureaus與mutual agreements。 當規劃企業持續性時有許多策略可供選擇。決定這些選擇的主要因素通常耗費成本。隨著修復的範圍與速度增加,成本也跟者增加。 一般來說有三種獨立的選擇方案:hot sites、warm sites與cold site,與三個共享的效果:time-share、service bureaus與mutual agreements。 Hot sites Warm sites Cold sites Time-share Service bureaus Mutual agreement 獨立的 共享的

  28. Continuity Strategies 永續性策略 • Hot sites 1、定義:完整安裝電腦設備。包含了所有服務、溝通環節與實體廠房 作業,包含暖氣與空調。 2、優點: a.複製電腦資源、周邊設備、電話系統、應用系統與工作站 b.為意外事故規劃的縮影,只複製最新資料的備份而與原始資料產 生相同的效用。 c. 可在幾分鐘之內完整運作。 3、 缺點:a. 比其他資訊來的昂貴 b. 與實體與資訊安全相同地,必須對所有的系統與設備 提供定期維修與保養 4、適用情況:如果組織容量較大且進行即時修復時,採用hot site較好

  29. Continuity Strategies 永續性策略 • Warm Sites 1、定義:與hot site一樣提供許多服務與選擇,但一般來說並不包含公 司需要的真實應用程式,或者應用程式不會被安裝與裝配。 Warm site通常包含了電腦設備與伺服器等周邊設備,但不包 含客戶工作站。 2、優點:Warm site有許多hot site的優點,但成本較低 3、缺點:可能需要好幾個小時來達成完整的作業。(耗時) • Cold sites 1、定義:僅提供基本的服務與設備,並不提供硬體或週邊設備。 基本 的cold site是個空的空間只有暖氣、空調與電力等。 2、優點:成本低、不需包含組織共享的空間與設備 3、缺點:為最低的要求,幾乎無太大效用。某些組織認為與其付費於 cold site倒不如租新的空間。

  30. Continuity Strategies 永續性策略 • Time-shares • 定義:可應用於hot、warm、cold site,並可與企業合夥人或關係組 織相連結。允許組織提供災害回覆與企業持續選擇,而可減 低整體的成本。 • 優點:所選擇的型態一視同仁(hot、warm、cold) • 缺點:a.可能超過一個組織運用time-share時需要同樣的能力。 b.所有進入的組織都必須有儲存的設備與資料,在轉讓配 置time-share時,相關的協議必須一個或多個個體決定 隱瞞協議或轉換其選擇 • 舉例:這與一群朋友同意共同租一棟公寓的情況一樣。某人只 希望組織維持友善,因為他們都曾實際接觸其他人的資料。

  31. Continuity Strategies 永續性策略 • Service Bureaus • 定義:為以提供服務賺取收入的服務代理機構。在災害恢復與持續規劃的情況下,此服務可以在災害事件中提供實體設備。這些型態的代理機構也以收費的方式提供離線資料倉儲。在service bureaus中,必須仔細建立合約,特別針對組織需求,而不是針對設備的效用。服務協議通常保證所需的空間,即使在災害事件散播後,service bureaus必須取得額外的空間。 • 舉例:這很像汽車保險策略的租賃契約條款。 • 缺點: 1、當利率上升或隨著service bureaus的生存力提高時,必須重新協議。2、相當昂貴。

  32. Continuity Strategies 永續性策略 • Mutual Agreements • 定義:為介於兩個或更多組織之間的合約,合約中明訂當其他公司有災害事件時應如何協助。合約中規定每個組織有義務提供需要的設備、資源與服務,直到接收的組織可從災害中恢復正常。 • 舉例:這種型態的安排,很像搬至親戚或朋友家:你的到來並不會持續太長的時間。 • 可能的問題:當這將被視為可行的解決方法時,有許多組織對於是否提供雙倍的服務與資源方面可能會有所猶豫(即使是短期的),我們如何得知其他協議的個體需要他們呢?如果你需要這種幫助的話,這樣的安排被認為是理想的。 • 適用情況:相同母公司間的共同協議、下屬與上級之間、或公司合夥人間將會是一項成本效益的解決方法。

  33. Continuity Strategies 永續性策略 • Other Options 仍然有其他替代方案: 1、如rolling mobile site裝配於追蹤器、拖車或可存放的資源上。當中包含了租賃倉儲的領域,他會維持複製或二次產生的設備以擷取緊急事件。這些替代方案類似冷戰時期(爭取原料以用於戰爭之中)的POM-CUS(將海外原料裝配至單位)。 2、組織也可立即與預置構建的建築物立約者立約,暫 時性的設備(或活動辦公室)在災害事件中可取代單一地點的辦公室。無論如何,這些替代方案在評估策略時都必須仔細考量。

  34. Continuity Strategies 永續性策略 • Off-Site Disaster Data Storage • Electronic vaulting 遠端電子備份 定義:移轉大批次的資料至離線的設備則稱之。這些移轉通常透過租賃線或付費的服務。接收的伺服器歸檔資料,直到下一個收到的electronic-vaulting過程收到為止。某些災害回覆公司會將electronic service特殊化。 • Remote journaling 遠端日誌 定義:將線上交易轉至離線的設備稱之。與electronic vaulting不同的是(1)只在交易轉換時發生,並不將資料歸檔。(2)轉換是即時的。Electronic vaulting較類似傳統備份,會將整批資料離線儲存,但remote journaling包含了系統階層的活動,較類似server fault tolerance,將檔案同時寫入兩個不同的地點。 • Database shadowing 定義:為remote journaling的改良,database shadowing不只複製過程、 即時資料倉儲,也在遠端多個伺服器中複製資料庫。這連結了之前提到的server fault tolerance,同時產生三個或更多的資料庫備份。

  35. Model for a Consolidated Contingency Plan統一的意外事故計畫模式 • 因為IR、DR與BCP有共同的特質,整個災害規劃過程包含於每個項目裡面。統一的災害規劃過程有以下六個步驟: 1、確認任務或危及企業的功能: 2、確認支持危機功能的資源: 3、預期潛在的危機或災害: 4、選擇意外事故規劃策略: 5、完成危機處理策略: 6、測試與修改策略:

  36. Law Enforcement Involvement法令強制涉入 • Local,State,or Federal Authorities 當地、州或聯邦權威機構 實例: 1、美國秘密服務(U.S Secret Service)處理美國偽幣、偽卡、身份資料竊取 等罪刑。 2、US Treasury Department當中有銀行舞弊調查單位,同樣地SEC有調查與舞 弊控制單位。 3、一般來說比較偏好對”國家基礎建設”或”經濟”有重大影響的事件。 State Investigative Services 州調查服務 每個州都有他們本身FBI的形式。在美國喬治亞州,稱為Georgia Bureau of Investigation。GBI逮捕個人、提供逮捕令,且一般來說強制法律適當調整為由州或任何州內的代理機構執行。GBI在追捕犯罪與執行州法時,也幫助州法強制執行公務。 Local Law Enforcement 當地法律涉入 當地法律強制機構很少有電腦犯罪的任務執行,但調查(偵測)單位有處理犯罪的能力、能處理一般的犯罪活動,如:實體偷竊或侵佔、財產損壞與逮捕並處理電腦相關犯罪的可疑事件。

  37. Law Enforcement Involvement法令強制涉入 • Benefits and Drawbacks of Law Enforcement Involvement 法令強制涉入的優缺點 • 優點: 1、有較好的裝備以處理證據。 2、將授權與傳訊的事件書面化,對於取得證人的陳述、口供書與其他文件較熟練 3、法律強制執行的個人事項可能為「安全管理員與電腦犯罪的相關性」,因此,在你宣告可能涉案前,瞭解當地與州法的強制安全法是相當重要的。 4、許多州與聯邦機構甚至提供「體驗程式」(如FBI的國家資訊保護中心等機構所提供的程式),可體驗安全管理員所面臨的挑戰。

  38. Law Enforcement Involvement法令強制涉入 • 缺點: 1、組織對與整個事件(如收集資訊、證據與追捕可疑人物)失去 完整的控制。組織有可能只是想責備且驅逐可能的犯罪者。但當法律強制涉入時,這些有可能變成公共紀錄的事項。而組織可能無法在數週甚至數月被通知進度。 2、組織重要的設備可能被視為證據、被移動、存放、保存,直到所有的檢驗支持犯罪事件後才能使用。然而,如果組織偵測犯罪行為,他們有義務配合強制執行公務。 • 建議: 得靠安全管理員尋求法律強制執行的問題以決定每個機構涉入的時機,以及每個機構所表彰的犯罪。

  39. ~ The End ~

More Related