Руководство по выработке правил разграничения доступа к ЭВМ

Ликвидация уязвимых мест


Ликвидировать все уязвимые места при возникновении инцидента трудно. Ключевым при этом является знание и понимание того, где находится брешь. В некоторых случаях самым разумным будет запретить доступ вообще, а затем восстановить постепенно нормальный режим работы. Помните, что запрет доступа в ходе инцидента ясно покажет всем пользователям, включая злоумышленников, что администрация знает о проблеме; это может сделать невозможным исследование. Тем не менее, позволив инциденту продолжаться, вы можете вызвать еще большие разрушения.

Если выявлено, что брешь возникла в результате ошибок в оборудовании или системном программном обеспечении, то следует уведомить производителя. Рекомендуется включить в ПРД соответствующие номера телефонов (а также адреса электронной почты или факса). Для удобства понимания ошибка должна быть описана как можно детальнее, включая то, как она была использована.

Как только брешь обнаружена, вся АС и все ее компоненты должны находиться под подозрением. Самым подозрительным должно быть системное программное обеспечение. Главным при восстановлении является соответствующая подготовка. Она включает в себя расчет контрольных сумм всех для всех носителей дистрибутивов, используя алгоритм, устойчивый к подмене[10] (смотрите разделы и ). При условии, что имеются оригинальные дистрибутивы, проводится анализ всех системных файлов, и любые несоответствия должны быть записаны и сообщены всем, кто участвует в улаживании инцидента. В некоторых случаях может оказаться трудным решить, с каких архивных копий восстанавливать систему; ведь инцидент может продолжаться месяцы и годы до того, как его обнаружат. В любом случае нужно провести предварительную подготовку к инциденту, чтобы восстановление стало возможным. В худшем случае произведите восстановление с дистрибутивов.

Учет уроков инцидента всегда приводит к изменению ПРД и СРД для отражения в них нововведений.



Содержание раздела