信息安全管理之应急计划的组成部分事故探测二

确定的征兆n以下描述的5种类型的候选事件是真正事故的确定的征兆。 也就是说，它们能清楚地表明事故正在进行或已经发生。在这些情况下，必须采

取迅速的应对措施。

①隐匿账号的使用：许多网络服务器都保留有默认账号，并且还存在这样一些账号：属于前任员工的、不享有远程访问权限的休假员工的，或是用于系统测试的虚拟账号。如果有任何使用这些账号访问系统资源、查询服务器或参与其他活动，就几乎可以肯定一个事故已经发生。

②曰志的变更：明智的系统管理员会把系统日志与数据一同备份。作为常规事故扫描的一部分，系统管理员可以将这些日志与联机版本相比较，以确定它们是否被更改。如果被更改，而系统管理员又不能完全确定这是一个授权人员的作为，那么事故就已经发生了。

③黑客工具的出现：网络管理员有时使用系统漏洞或网络评估工具来扫描内部的计算机和网络，以确定黑客会在此发现什么。这些工具过去常用来进行攻击态势研究。但它们却时常被员工、承包人或外来人员使用，他们通过访问本地网络来侵入系统。为了解决这类问题，许多机构完全禁止在没有得到CISO许可的情况下而使用这些工具的行为，这使得任何未授权的安装都违反规定。大多数进行渗透测试操作的机构都要求把所有这类工具的使用限制在特定系统中， 这样就使得人们不能在一般网络上使用这类工具，除非正在进行活动的渗透测试。

④助手或伙伴的通知：如果一个商业伙伴或另一个有关机构报告说有一个来自你的计算机系统的攻击，那么，事故就已经发生了。

⑤黑客的通知：一些黑客喜欢捉弄他们的攻击目标。一个机构的网页如果遭到损坏，这就是一个事故；如果机构遭到勒索，要求用金钱来交换其客户的信用卡信息，那么，事故也已经发生了。

发生真正的事故。一旦下列真正事故被确定后，必须立即采取相应的应对措施：

④可用性丧失：信息或信息系统变得不可用。

②完整性丧失：用户报告说出现了被破坏的数据文件、垃圾数据或看似错误的数据。

③机密性丧失：你被告知敏感信息泄露，或你认为受到保护的信息被泄露。

④违反政策：如果机构的处理信息或信息安全的政策被违反，则事故发生。 
       ⑤违反法律：如果有人违反法律，破坏机构信息资源，则事故发生。