iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 8
1
Security

資安分析師的轉職升等之路系列 第 8

Day 8 明天過後 : BCP 也要納入資訊安全保護傘

  • 分享至 

  • xImage
  •  

昨天 Day 7 簡短分享2012年颶風珊迪驗證公司Continuity of Operations(COOP)計畫和Business Continuity Planning(BCP)企業永續運作計畫成效,對於之前高度參與COOP計畫的部門,MIS簡直變成超級英雄,原本以為無事可做一切停擺,沒想到在極為克難的情況下,資源有限的備援中心裡,完全恢復所有重要功能,有些員工甚至事後在走廊上遇見還小小抱怨:「你們太厲害了,原本以為能趁機一個星期不用上班,在家休息,誰知道這麼快就通知可以從家裡遠端連回公司系統,害我們沒能放假。」而之前沒有用心參與COOP計畫開會評估的部門,經歷這次慘痛教訓,紛紛主動詢問下次開會時間,提出要更新清單,提供新資料。

Business Continuity Planning (BCP)企業永續運作計畫包含以下五個步驟:

  1. Analysis: 這部分非常重要的就是Business Impact Analysis (BIA)營運衝擊分析表,需要評估什麼是重要必須優先回復的功能,什麼功能是次要的可以稍後回復。評估後可能決定「收發EMAIL」比「印表機能不能列印」重要必須優先恢復,另外需要評估RTO 和 RPO,例如需要在24小時內恢復讓員工能遠端連線(RTO = 24小時),Database內的資料必須恢復到前一天凌晨四點的備份(RPO)等等。
  2. Design: 前面依據各單位資料完成評估,接下來才能設計能達到要求的方案,例如決定資料備份時間,備援場所選定,熱、冷還是溫備援等等,
  3. Implementation: 依據前面的計畫執行,例如建立備援場所,建立資料備份,在備援場所設置各種設備並安裝軟體等等。
  4. Testing & Acceptance: 定期測試演練,確保事故發生時能正確迅速照計畫執行,尤其要測試資料備份是否能照計畫還原。我們曾經發生RTO 訂在一小時但是測試時發現資料備份需要三小時完整還原,那時候便要更改原先訂的一小時RTO,或尋找其他資料備份方案在一小時內完整還原資料。
  5. Maintenance: 定期更新計畫,通常每年或每兩年需要重新評估並更新計畫。

https://ithelp.ithome.com.tw/upload/images/20171227/20084806iz3xN9DiS8.jpg
*示意圖來自wikipedia

進行BCP的同時,資訊安全也是需要考量的一環。設計的方案仍舊必須遵守相關法規或公司內部資安政策,執行的時候也必須依據既有流程達到資安要求,不能因為事態緊急造成風險。由於備援場所平時沒有專門MIS人員在場,可能會造成資安上的疏忽,有些值得注意的考量為:

  1. 資料備份的時候,傳輸過程是否加密?
  2. 備份的資料儲存於何處?這些靜態的資料是否有加密保護?
  3. 備援場所的資安防護是否足夠?是否有外人進入機房的風險?

成為資安分析師研究COOP計畫後,我發現有一個機密檔案在網路硬碟上雖然管制重重,資料備份過程中也採用加密傳輸,但在還原的手續裡,其實有可能預覽檔案部分內容,造成資料外洩,所以就提出問題更新COOP計畫,改變資料備份方式。尤其現在雲端方案普及(見以下所附《網管人》專題報導),將資料備份至雲端或採用雲端為備援方案時,皆須將資安納入規畫考量中。

《網管人》專題報導
http://www.netadmin.com.tw/article_content.aspx?sn=1708010007

「桓寬曰:有備則制人,無備則制於人。
備與不備,只看皇上。
在下亦是一個喜歡殘局的人。」--燎原火《火鳳燎原》


上一篇
Day 7 有備無患 : 企業永續運作計畫(BCP)很重要
下一篇
Day 8 Bonus 企業永續運作計畫(BCP)補充資料
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言