灾难恢复与数据.ppt

《灾难恢复与数据.ppt》由会员分享，可在线阅读，更多相关《灾难恢复与数据.ppt（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、蓝盾信息安全技盾信息安全技术股份有限公司股份有限公司灾难恢复与数据备份灾难恢复与数据备份培训部培训部 副总监副总监 徐俊博士徐俊博士1.概述概述2.业务持续性计划业务持续性计划3.灾难恢复计划灾难恢复计划4.应急响应计划应急响应计划5.数据备份及实验数据备份及实验6.案例应用及分析案例应用及分析1.概述（1/3）业务连续性计划 BCP（Business Continuity PlanningBusiness Continuity Planning）：是一种策略规划，当灾难发生时致使企业主要业务是一种策略规划，当灾难发生时致使企业主要业务或服务中断时，业务连续性计划可确保迅速恢复主要业或服务中断

2、时，业务连续性计划可确保迅速恢复主要业务的正常与持续运作。业务连续性计划不仅包含计算机务的正常与持续运作。业务连续性计划不仅包含计算机系统的恢复计划、还包括关键业务的持续运作计划，如系统的恢复计划、还包括关键业务的持续运作计划，如恢复组织、人力资源、对外沟通等。恢复组织、人力资源、对外沟通等。灾难恢复计划DRP(DRP(Disaster Recovery Planning)：是是对企业的信息系统进行相应的冲击分析及风险分析并将对企业的信息系统进行相应的冲击分析及风险分析并将其量化，以确定其量化，以确定ITIT系统面对灾难事故时的预防和恢复策系统面对灾难事故时的预防和恢复策略，开发并制定相应的略

3、，开发并制定相应的ITIT系统恢复计划、管理方法和流系统恢复计划、管理方法和流程，以减轻灾难对于企业程，以减轻灾难对于企业ITIT系统的不利影响。系统的不利影响。1.概述(2/3)BCP和和DR包含：准备、测试和对于关键业包含：准备、测试和对于关键业务保护以及网络服务失效的更新行为。务保护以及网络服务失效的更新行为。必须理解当主要业务操作规程再以外事件造必须理解当主要业务操作规程再以外事件造成中断时所采取的保护行为。成中断时所采取的保护行为。1.概述(3/3)BCPBCP过程包含：过程包含：计划和范围的初始化；计划和范围的初始化；业务影响分析；业务影响分析；业务可持续计划开发；业务可持续计划开

4、发；DRPDRP过程包含：过程包含：灾难恢复计划步骤；灾难恢复计划步骤；测试灾难恢复计划；测试灾难恢复计划；灾难恢复计划程序；灾难恢复计划程序；两者的主要区别：两者的主要区别：BCPBCP强调使关键业务经得起不同的意外事件的影响强调使关键业务经得起不同的意外事件的影响DRPDRP强调对于强调对于灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取的行为和措施的行为和措施1.概述概述2.业务持续性计划业务持续性计划3.灾难恢复计划灾难恢复计划4.应急响应计划应急响应计划5.数据备份及实验数据备份及实验6.案例应用及分析案例应用及分析2、业务

5、可持续计划 业务可持续计划是为了防止正常业务行为的中业务可持续计划是为了防止正常业务行为的中断而被建立的计划。当面对由于自然或人为造成的故断而被建立的计划。当面对由于自然或人为造成的故障或灾难以及由此造成的财产损和正常业务不能正常障或灾难以及由此造成的财产损和正常业务不能正常使用时，使用时，BCPBCP主要被设计用来保护关键业务步骤。主要被设计用来保护关键业务步骤。BCPBCP是最小化对于业务的干扰效果和使业务能恢复正常运是最小化对于业务的干扰效果和使业务能恢复正常运行的计划。行的计划。BCPBCP的目标是：最小化业务中断事件对公司造成的影的目标是：最小化业务中断事件对公司造成的影响。响。BC

6、PBCP的主要目标：减小财产损失风险和增强公司对于的主要目标：减小财产损失风险和增强公司对于意外事件造成的业务中断的恢复能力。意外事件造成的业务中断的恢复能力。BCPBCP的作用：的作用：BCPBCP将帮助企业最小化由于意外事件造成将帮助企业最小化由于意外事件造成的损失成本和减轻相关的风险。的损失成本和减轻相关的风险。BCP应当检查企业所有关键信息处理步骤例如：例如：本地和广域网络和网络服务；本地和广域网络和网络服务；远程通讯和数据通讯链路；远程通讯和数据通讯链路；工作站和工作空间；工作站和工作空间；应用、软件和数据；应用、软件和数据；存储媒体和信息记录存放场地；存储媒体和信息记录存放场地；员

7、工职责和生产过程；员工职责和生产过程；BCPBCP和和DRPDRP处理的优先级别：处理的优先级别：BCP和DRP的优先考虑的因素是：人 造成业务中断的事件大部分会造成业务中断的事件，在物理安全域大部分会造成业务中断的事件，在物理安全域中文档都作了详细的描述。这里我们主要考虑中文档都作了详细的描述。这里我们主要考虑的是这样的事件：不是由于自然灾难造成的就的是这样的事件：不是由于自然灾难造成的就是由于人为破坏所造成的，事件发生的实质是是由于人为破坏所造成的，事件发生的实质是对企业业务的持续造成现实的威胁。所有的事对企业业务的持续造成现实的威胁。所有的事件都是已经发生，且不能象运行安全中讨论的件都是

8、已经发生，且不能象运行安全中讨论的采取任何预防性的控制手段来控制。采取任何预防性的控制手段来控制。业务持续计划被设计来最小化上述破坏事件造业务持续计划被设计来最小化上述破坏事件造成的损失，同时便于迅速的完全恢复组织的业成的损失，同时便于迅速的完全恢复组织的业务运作能力。务运作能力。造成业务中断的事件的简单列表自然因素造成对业务持续有破坏作用的事件：火灾火灾 、爆炸爆炸 、危险物质泄漏危险物质泄漏 、生化毒素的威胁；生化毒素的威胁；地震地震 、风暴风暴 、洪水洪水 、自然因素造成的火灾；自然因素造成的火灾；电力系统电力供应中断或其它的系统功能失效；电力系统电力供应中断或其它的系统功能失效；人为因

9、素造成对业务持续有破坏作用的事件：轰炸轰炸 、蓄意人为破坏蓄意人为破坏 、其它有目的的攻击；其它有目的的攻击；罢工罢工 、怠工；、怠工；由于操作人员撤离危险环境造成的功能失效，或其它自然由于操作人员撤离危险环境造成的功能失效，或其它自然或人为造成的功能失效的情况；通信基础不可用或者与或人为造成的功能失效的情况；通信基础不可用或者与测试相关的过载（包括大部分的管理控制功能失效）测试相关的过载（包括大部分的管理控制功能失效）BCP的四个主要元素范围和计划的初始化；范围和计划的初始化；这个阶段标志着这个阶段标志着BCPBCP过程的开始，它必须限定计划的过程的开始，它必须限定计划的范围和计划涉及的各项

10、线定因素。范围和计划涉及的各项线定因素。业务影响分析(BIA Business Impact Assessment)；被用来帮助各业务单元理解紧急事件对于业务造成被用来帮助各业务单元理解紧急事件对于业务造成的影响，这个阶段还包含漏洞分析。的影响，这个阶段还包含漏洞分析。业务持续计划发展；利用利用BIABIA信息来发展业务持续计划，这个过程包括计信息来发展业务持续计划，这个过程包括计划执行、计划测试、计划运行当中的维护。划执行、计划测试、计划运行当中的维护。业务持续计划的批准和执行；这个阶段包括最终由企业的最高管理者签署，建这个阶段包括最终由企业的最高管理者签署，建立全企业对于立全企业对于BCP

11、BCP意识，执行根据变化更新处理步骤的计划维意识，执行根据变化更新处理步骤的计划维护工作。护工作。业业 务务 影影 响响 分分 析析目 的：BIABIA目的是建立用来帮助理解对业务持续运行有影响的目的是建立用来帮助理解对业务持续运行有影响的各种意外事件。影响可能是资金方面的（需要量化），操作方面各种意外事件。影响可能是资金方面的（需要量化），操作方面的（需要定性），漏洞分析也常常是的（需要定性），漏洞分析也常常是BIABIA的一部分。的一部分。目 标：危险程度分类危险程度分类 -每个关键的业务运行单元都需要被标记和每个关键的业务运行单元都需要被标记和赋予一个优先权，并且对会造成影响的事件作一个

12、评价。赋予一个优先权，并且对会造成影响的事件作一个评价。“时效时效是优先处理要考虑的因素是优先处理要考虑的因素”停工期评估停工期评估 BIABIA被用来评价企业业务运行所能容且维持公被用来评价企业业务运行所能容且维持公司可生存的最大停工时间司可生存的最大停工时间 (MTD-Maximum Tolerable Time)(MTD-Maximum Tolerable Time)，在企业所有业务没有恢复的情况下在企业所有业务没有恢复的情况下,多长的时期是企业关键业务多长的时期是企业关键业务所能停顿的。通过所能停顿的。通过BIABIA可以发现，时间不象我们设想的那么长。可以发现，时间不象我们设想的那么

13、长。业务需求业务需求 -关键业务所需要的资源，在关键业务所需要的资源，在BIABIA阶段也必须被阶段也必须被标示。对于时间敏感的关键业务，将被分配更多的资源。标示。对于时间敏感的关键业务，将被分配更多的资源。BIA的四个主要步骤（一）收集相关的分析（一）收集相关的分析资料料（二）（二）执行漏洞分析行漏洞分析（三）（三）汇总、分析信息、分析信息（四）将（四）将总结写成文档，并且提出建写成文档，并且提出建议业务持续计划的发展 业务持续计划的发展引用业务持续计划的发展引用BIABIA阶段收集的信息来建立恢复战略计划阶段收集的信息来建立恢复战略计划以达到支持关键业务功能的目的。我们使用以达到支持关键业

14、务功能的目的。我们使用BIABIA收集的信息描述出业务收集的信息描述出业务持续计划的战略。持续计划的战略。这个阶段包含两个主要步骤：这个阶段包含两个主要步骤：定义业务持续战略；定义业务持续战略；文档化业务持续战略；文档化业务持续战略；定义业务持续战略定义业务持续战略 为了定义为了定义BCPBCP战略，从战略，从BIABIA收集的信息用来为企业建立持续战略。这收集的信息用来为企业建立持续战略。这是个非常大的任务，许多企业元素必须被包含在持续战略。例如：是个非常大的任务，许多企业元素必须被包含在持续战略。例如：计计 算：战略需要保护的硬件、软件、通讯线路、应用和数据；算：战略需要保护的硬件、软件、

15、通讯线路、应用和数据；设设 备：战略需要强调的建筑物，计算机和远程的设备；备：战略需要强调的建筑物，计算机和远程的设备；人人 员员:操作员，管理人员，技术支持人员将在持续战略中定义不同操作员，管理人员，技术支持人员将在持续战略中定义不同的角色；的角色；补给和装备：文件、补给和装备：文件、forms forms，HVAC,HVAC,指定的安全设备必需在持续被指定的安全设备必需在持续被定义用途；定义用途；文档化持续战略，文档化持续战略简单的引用在持续战略定义阶段文档化持续战略，文档化持续战略简单的引用在持续战略定义阶段的文档结果。的文档结果。业务持续计划批准和执行业务持续计划批准和执行 在最后的阶

16、段在最后的阶段BCPBCP被执行。计划必需存在执行的被执行。计划必需存在执行的“路标路标”。执行在这列不仅仅是指执行一个灾难假想和。执行在这列不仅仅是指执行一个灾难假想和测试计划，并且计划执行还引用下面的步骤：测试计划，并且计划执行还引用下面的步骤：1 1、被最高管理人员批准；被最高管理人员批准；明确高级管理人员的职责，（对于计划负有全部明确高级管理人员的职责，（对于计划负有全部的责任），为什么由他批准？（监督、执行、决定）的责任），为什么由他批准？（监督、执行、决定）2 2、建立全企业的业务持续计划的认知感；建立全企业的业务持续计划的认知感；认知感的重要性，组织恢复的能力是由不同独立认知感的

17、重要性，组织恢复的能力是由不同独立的部门合作完成的，的部门合作完成的，计划的认知感强调组织对雇员承担的义务计划的认知感强调组织对雇员承担的义务 对于部分计划执行人员进行不要的特殊训练，使对于部分计划执行人员进行不要的特殊训练，使他们能完成自己的任务（他们能完成自己的任务（quality training)quality training)模拟训练的模拟训练的好处是能感知好处是能感知BCPBCP过程的兴趣增加和人员承担的义务过程的兴趣增加和人员承担的义务业务持续计划批准和执行业务持续计划批准和执行3 3、维护业务执行计划，在需要的情况下更新业务持续计、维护业务执行计划，在需要的情况下更新业务持续

18、计划划 BCPBCP经常会变得过时：同经常会变得过时：同DRPDRP计划被很快荒废计划被很快荒废一样，由于公司重组，计划中的关键业务可能和现实的一样，由于公司重组，计划中的关键业务可能和现实的业务情况不符。最常见的情况是：网络和计算基础的变业务情况不符。最常见的情况是：网络和计算基础的变化，包括硬件、软件和其它组件。可管理的理由是：麻化，包括硬件、软件和其它组件。可管理的理由是：麻烦的计划不容易被更新（适应新的情况），人员的遗忘烦的计划不容易被更新（适应新的情况），人员的遗忘或缺乏兴趣，员工轮换岗位，无论何种原因，计划维护或缺乏兴趣，员工轮换岗位，无论何种原因，计划维护技巧将来必需被使用以确保

19、计划维持在可用和最新。技巧将来必需被使用以确保计划维持在可用和最新。重要的两点：维护过程维护过程 保持计划版本的唯一性保持计划版本的唯一性1.概述概述2.业务持续性计划业务持续性计划3.灾难恢复计划灾难恢复计划4.应急响应计划应急响应计划5.数据备份及实验数据备份及实验6.案例应用及分析案例应用及分析2、灾 难 恢 复 计 划 灾难恢复计划是一个全面的状态，它包括在事前，灾难恢复计划是一个全面的状态，它包括在事前，事中，和灾难对信息系统资源造成重大损失后所采取事中，和灾难对信息系统资源造成重大损失后所采取的行动。灾难恢复计划是对于紧急事件的应对过程。的行动。灾难恢复计划是对于紧急事件的应对过程

20、。在中断的情况下提供后备的操作，在事后处理恢复和在中断的情况下提供后备的操作，在事后处理恢复和抢救工作抢救工作 主要目标：有能力在另外的站点提供关键步主要目标：有能力在另外的站点提供关键步骤，并且在一个时间段内恢复主站的正常运行。通过骤，并且在一个时间段内恢复主站的正常运行。通过迅速的恢复步骤来最小化企业的损失。迅速的恢复步骤来最小化企业的损失。提示：有些公司不需要灾难恢复计划，由于提示：有些公司不需要灾难恢复计划，由于公司的关键业务能够抵挡意外事件的冲击。公司的关键业务能够抵挡意外事件的冲击。灾 难 恢 复 计 划灾难恢复计划的目标和目的：灾难恢复计划的目标和目的：DRPDRP主要目标是提供

21、有组织的果断方式来应对主要目标是提供有组织的果断方式来应对中断时间的发生。中断时间的发生。DRPDRP的目标是减少危机发生时的混乱和增强组的目标是减少危机发生时的混乱和增强组织处理危机的能力。织处理危机的能力。明显的，在事故发生的现场，组织明显的，在事故发生的现场，组织没有机会从容的建立和执行恢复计划，因此，没有机会从容的建立和执行恢复计划，因此，大量的预先计划和测试将决定组织对于灾难的大量的预先计划和测试将决定组织对于灾难的抵抗能力抵抗能力 灾 难 恢 复 计 划 DRPDRP目的很多，但是每一点都非常重要，目的很多，但是每一点都非常重要，DRPDRP目的可目的可能包含下列几点：能包含下列几

22、点：在由于主要的计算机和服务器不可用的情况下保在由于主要的计算机和服务器不可用的情况下保护组织；护组织；在由于延迟提供服务的情况下最小化其组织的风在由于延迟提供服务的情况下最小化其组织的风险；险；通过测试和模拟环境来担保可信系统的可靠性；通过测试和模拟环境来担保可信系统的可靠性；在灾难发生时最小化做出决定的时间；在灾难发生时最小化做出决定的时间；在这里我们主要检查在这里我们主要检查DRPDRP的下列领域的下列领域DRPDRP的步骤的步骤测试测试DRPDRP灾难恢复程序灾难恢复程序灾 难 恢 复 计 划灾难恢复计划步骤灾难恢复计划步骤 这个阶段包含恢复计划的建立和发展，这和这个阶段包含恢复计划的

23、建立和发展，这和BCPBCP过程有些相似。然而，在过程有些相似。然而，在BCPBCP中，我们包含了中，我们包含了BIABIA和对于企业和对于企业维持持续的关键范围和资金生存能力损失尺度标示，在维持持续的关键范围和资金生存能力损失尺度标示，在DRPDRP中，中，我们假设标示性的工作已经完成并且基本原理已经建立。下我们假设标示性的工作已经完成并且基本原理已经建立。下面的工作是定义我们需要执行的步骤来在实际灾难发生时保面的工作是定义我们需要执行的步骤来在实际灾难发生时保护业务。护业务。在灾难计划处理阶段将采取如下的步骤：在灾难计划处理阶段将采取如下的步骤：数据处理连续计划数据处理连续计划Data P

24、rocessing Continuity PlanningData Processing Continuity Planning 针对灾难的计划和建立拷贝数据的计划针对灾难的计划和建立拷贝数据的计划数据恢复计划维护数据恢复计划维护Data Recovery Plan MaintenanceData Recovery Plan Maintenance 保持计划的时效性和相关性保持计划的时效性和相关性Http:/www.isc2.org Http:/www.isc2.org 提供数据恢复计划软件提供数据恢复计划软件数据处理连续计划常见的可选的处理类型：常见的可选的处理类型：Mutual aid a

25、greements Mutual aid agreements 互助协议互助协议 Subscription services Subscription services 定购服务定购服务 Multiple center Multiple center 若干中心若干中心 Service bureaus-Service bureaus-服务局（？）服务局（？）Other data center backup Other data center backup alternatives alternatives 其它数据可选备份其它数据可选备份灾难恢复计划维护灾难恢复计划维护由于业务实际情况变更引起与

26、现实情况不符合，因此需要计划更新由于业务实际情况变更引起与现实情况不符合，因此需要计划更新维护。维护。无论何种原因，灾难恢复技术能在外部使用，以确保计划维持在最无论何种原因，灾难恢复技术能在外部使用，以确保计划维持在最新的可用状态，采取的行动新的可用状态，采取的行动:在工作任务说明中描述灾难恢复计划在工作任务说明中描述灾难恢复计划更新，建立审计过程来报告站点的变化，必须保证没有多个灾难恢更新，建立审计过程来报告站点的变化，必须保证没有多个灾难恢复计划存在。复计划存在。目标目标 ：测试人员对于模拟灾难的响应能力。：测试人员对于模拟灾难的响应能力。方法：方法：并行测试并行测试 对于恢复计划的完全测

27、试，利用所有的人员来从事这项对于恢复计划的完全测试，利用所有的人员来从事这项测试，主要不同于中断测试的地方是不中断正常的生产过程。测试测试，主要不同于中断测试的地方是不中断正常的生产过程。测试在同正式生产环境并行的条件下进行，测试主要目的是关键业务能在同正式生产环境并行的条件下进行，测试主要目的是关键业务能在备份站点上运行，系统能重新在备份站点上布置。测试进行后，在备份站点上运行，系统能重新在备份站点上布置。测试进行后，事物处理结果和其他因素将用来做比较。这是最为通用的测试方法事物处理结果和其他因素将用来做比较。这是最为通用的测试方法全中断测试全中断测试 模拟真实灾难发生时对于业务造成中断的情

28、况，停止模拟真实灾难发生时对于业务造成中断的情况，停止正常的业务来测试，测试的要点包括紧急服务。这是一种引起人们正常的业务来测试，测试的要点包括紧急服务。这是一种引起人们惊慌的测试。也是最好的测试方式。惊慌的测试。也是最好的测试方式。五种主要的灾难恢复测试类型五种主要的灾难恢复测试类型LEVELTYEPDESCRIPTION1ChecklistCopies of plan are distributed to management for review2Structued walk-throughBusiness unit management meets to review the plan

29、3 SimulationAll support personnel meet in a practice execution session4Parallel TestCritical systme are run at an alternate site5Full-interruption TestNormarl production shut down,with real disater recovery processes灾难恢复步骤灾难恢复计划的主要元素：灾难恢复小组灾难恢复小组拯救小组拯救小组正常运行恢复正常运行恢复其它的恢复事项其它的恢复事项1.概述概述2.业务持续性计划业务持续性

30、计划3.灾难恢复计划灾难恢复计划4.应急响应计划应急响应计划5.数据备份及实验数据备份及实验6.案例应用及分析案例应用及分析应急响应计划概况概况 应急组织应急组织 应急预案应急预案 应急事件处理流程应急事件处理流程 应急响应技术与工具应急响应技术与工具概念应急响应（应急响应（Incident Response/Emergency Incident Response/Emergency ResponseResponse）通常是指一个组织为了应对各种意）通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和

31、损失，采取的措施，其目的是避免、降低危害和损失，以及从危害和损失中恢复。计算机及网络攻击以及从危害和损失中恢复。计算机及网络攻击应急响应就是针对计算机攻击及网络攻击事件应急响应就是针对计算机攻击及网络攻击事件所采取的应急措施。所采取的应急措施。事件（事件（IncidentIncident）的定义：违反安全策略的行）的定义：违反安全策略的行为，这里虽说的安全策略可能是明确规定的，为，这里虽说的安全策略可能是明确规定的，也可以是引申出来的。（也可以是引申出来的。（The act of The act of violating an explicit or implied security viol

32、ating an explicit or implied security policypolicy。）。）事件种类完整性受损完整性受损拒绝服务拒绝服务滥用滥用损害（如病毒毁坏数据）损害（如病毒毁坏数据）入侵入侵应急响应的提出计算机安全应急响应的提出：计算机安全应急响应的提出：19881988年年MorrisMorris蠕虫席卷全蠕虫席卷全球球CERT/CCCERT/CC（Computer Emergence Response TetimComputer Emergence Response TetimCoordination Center,Coordination Center,计算机安全应

33、急响应小组协调计算机安全应急响应小组协调中心）：负责在日常完成安全保障和紧急情况下的安全中心）：负责在日常完成安全保障和紧急情况下的安全应急响应任务的组织其目的是建立一个单一的应急响应任务的组织其目的是建立一个单一的InternetInternet社区组织，协调社区组织，协调InternetInternet上的妥全事件响应上的妥全事件响应FIRSTFIRST（Forum of Incident Response and Forum of Incident Response and SecurityTeamsSecurityTeams，应急响应和安全团队论坛）：把政府、，应急响应和安全团队论坛）

34、：把政府、商业机构和妥全学术组织的安全应急响应团队联合起来商业机构和妥全学术组织的安全应急响应团队联合起来组成一个有机的整体目标是在事件预防中培养合作和组成一个有机的整体目标是在事件预防中培养合作和协调，推动安全事件快速响应同时促进在会员间的大范协调，推动安全事件快速响应同时促进在会员间的大范围信息共享围信息共享应急组织（1/5）国内国际著名的应急响应组织国内国际著名的应急响应组织 19881988年的莫里斯蠕虫事件之后的一个星期内，美国国防部年的莫里斯蠕虫事件之后的一个星期内，美国国防部资助卡内基梅隆大学（资助卡内基梅隆大学（CMUCMU）的软件工程研究所成立了计算机）的软件工程研究所成立了

35、计算机紧急响应组协调中心（紧急响应组协调中心（CERT/CCCERT/CC），是第一个应急响应组。），是第一个应急响应组。中国，中国，19991999年在清华大学成立了中国教育和科研网紧急响年在清华大学成立了中国教育和科研网紧急响应组（应组（CCERTCCERT），是中国大陆第一个计算机安全应急响应组。），是中国大陆第一个计算机安全应急响应组。建立目标建立目标 根据事件的严重程度和影响程度根据事件的严重程度和影响程度,向用户或相应部门进行向用户或相应部门进行报警或通知报警或通知;普及安全知识，教育系统管理员，提高用户的安全意识；普及安全知识，教育系统管理员，提高用户的安全意识；提供咨询服务，接

36、受委托帮助参于系统安全配置管理，或提供咨询服务，接受委托帮助参于系统安全配置管理，或者根据请求对系统的安全管理提供建议；者根据请求对系统的安全管理提供建议；计算机攻击及网络攻击事件的紧急响应，避免、降低危害计算机攻击及网络攻击事件的紧急响应，避免、降低危害和损失，以及从危害和损失中恢复；和损失，以及从危害和损失中恢复；进一步调查进一步调查,确定入侵者的真实来源和其他详细信息确定入侵者的真实来源和其他详细信息.应急组织（2/5）组织结构 应急响应核心组（应急响应核心组（ERCTERCT）安全应急响应小组（安全应急响应小组（SIRTSIRT）安全调查员（安全调查员（SISI）应用所有者（应用所有者

37、（AOAO）应用开发人员应用开发人员/管理员（管理员（AAAA）系统所有者系统所有者/管理员（管理员（SASA）网络管理员（网络管理员（NANA）防火墙管理员（防火墙管理员（FAFA）安全顾问（安全顾问（SCSC）应急组织（3/5）基基础设施施分布式入侵分布式入侵检测系系统 认证服服务系系统 协同事件同事件处理系理系统 安全安全资源管理系源管理系统（WWW、FTP）安全通信系安全通信系统(Mailing List)应急组织（4/5）管理管理规范范应急响急响应组章程章程 安全事件安全事件处理操作理操作规范范 事件事件汇总报告制度告制度 安全事件的安全事件的预警与通告警与通告 技技术交流与培交流与

38、培训应急组织（5/5）职能能 事件事件处理理;安全公告安全公告;安全安全监控控;安全安全评估估;安全咨安全咨询;安全状况安全状况报告告;教育培教育培训;安全工具安全工具发布布;协作作协调;应急预案应急预案应急急预案是开展案是开展应急响急响应行行动的行的行动计划和划和实施指施指南。南。应急响急响应预案案实际上是一个透明和上是一个透明和标准化的反准化的反应程程序序,使使应急响急响应活活动能按照能按照预先周密的先周密的计划和最有效划和最有效的的实施步施步骤有条不紊地有条不紊地进行。行。这些些计划和步划和步骤是快速是快速响响应和有效防和有效防护的基本保的基本保证。应急急预案，案，应该有系有系统完整的完

39、整的设计、标准化的文本文准化的文本文件、行之有效的操作程序和持件、行之有效的操作程序和持续改改进的运行机制。的运行机制。按照系按照系统论的思想的思想,应急响急响应预案是一个开放、复案是一个开放、复杂和和庞大的系大的系统,应急急预案的案的设计和和组织实施施应遵循体遵循体系要素构成和持系要素构成和持续改改进的指的指导思想。思想。应急事件处理流程应急事件处理流程准准备工作工作 事件事件认定定 控制事控制事态发展展 事件消除事件消除 事件恢复事件恢复 事件追踪事件追踪 应急响应技术与工具应急响应技术与工具漏洞漏洞检测技技术及相关工具及相关工具 监听技听技术及相关工具及相关工具 日志分析技日志分析技术及

40、相关工具及相关工具 路由控制技路由控制技术及相关工具及相关工具 反向追踪技反向追踪技术及相关工具及相关工具 应急响应的资源应急响应的资源Incident Response,Electronic Discovery,and Computer Forensics,http:/Security Focus,http:/The Federal Computer Incident Response Center(FedCIRC),http:/The Canadian Office of Critical Infrastructure Protection and Emergency Preparedne

41、ss,http:/Incident Handling Links&Documents(75 links),http:/incidents/links SEI:Handbook for Computer Security Incident Response Teams,CERT/CC:Computer Security Incident Response,http:/CERT/CC:Responding to Intrusions,AuCERT:Forming an Incident Response Team,http:/=2252&cid=1920 SANS:S.C.O.R.E,http:/

42、score/1.概述概述2.业务持续性计划业务持续性计划3.灾难恢复计划灾难恢复计划4.应急响应计划应急响应计划5.数据备份及实验数据备份及实验6.案例应用及分析案例应用及分析数据备份数据备份数据数据备份与灾份与灾难恢复密不可分，数据恢复密不可分，数据备份份是灾是灾难恢复的前提和基恢复的前提和基础，而灾，而灾难恢复是恢复是在此基在此基础之上的具体之上的具体应用用突突难恢复：能恢复：能够在灾在灾难性事故性事故发生生时利用利用已已备份的数据或其他手段，及份的数据或其他手段，及时对原系原系统进行恢复，以保行恢复，以保证数据的安全性以及数据的安全性以及业务的持的持续运运转数据数据备份不份不仅仅是是简单

43、的文件复制，也不的文件复制，也不等于文件的永久性等于文件的永久性归档。档。要求有一种高速、大容量的存要求有一种高速、大容量的存储介介质将所将所有的文件（网有的文件（网络系系统、应用用软件和用件和用户数数据）据）进行全面的复制与管理。行全面的复制与管理。个人数据备份个人数据备份个人数据个人数据备份：份：对个人个人电脑硬硬盘中的数据中的数据进行行备份。份。特点：特点：对单机数据进行备份、数据连不大对单机数据进行备份、数据连不大无长期保存需求，备份仅仅是为了防止数据丢失无长期保存需求，备份仅仅是为了防止数据丢失无专业数据库应用无专业数据库应用系统可随时停机系统可随时停机手工恢复数据手工恢复数据个人个

44、人电脑中需要中需要备份的数据包括操作系份的数据包括操作系统、应用用软件与各种文件。件与各种文件。数据备份的类型数据备份的类型按照备份的数据量分类（按照备份的数据量分类（1/3）完全完全备份：整个系份：整个系统全面完整的全面完整的备份，包份，包括所有括所有应用、操作系用、操作系统和数据。和数据。优点：点：恢复时间最短恢复时间最短操作最方便（使用灾难发生前一天的备份，操作最方便（使用灾难发生前一天的备份，就可以恢复丢失的数据）就可以恢复丢失的数据）最可靠最可靠缺点：缺点：备份中存在大量重复数据，增加用户成本备份中存在大量重复数据，增加用户成本备份数据量大，耗时太长备份数据量大，耗时太长数据备份的类

45、型数据备份的类型 按照备份的数据量分类（按照备份的数据量分类（2/3）增量增量备份：只份：只备份上次份上次备份后有份后有变化的数化的数据。据。优点：点：备份时间短备份时间短占用空间较少占用空间较少缺点：缺点：系统恢复时间长（如果事故发生，则需要多系统恢复时间长（如果事故发生，则需要多个备份以恢复整个系统）个备份以恢复整个系统）数据备份的类型数据备份的类型按照备份的数据量分类（按照备份的数据量分类（3/3）差异差异备份：份：对所有上次完全所有上次完全备份后已被份后已被修改或添加的文件的存修改或添加的文件的存储。优点：点：系统恢复时间很短系统恢复时间很短缺点：缺点：备份时间长备份时间长占用空间多占

46、用空间多每个日常差异备份都要比以前的备份大并每个日常差异备份都要比以前的备份大并且速度慢且速度慢按需按需备份：根据份：根据临时需要有需要有选择的的进行行数据数据备份份数据备份的类型数据备份的类型按照备份状态分类按照备份状态分类物理物理备份：将份：将实际物理数据物理数据库又件从一又件从一处复制到另一复制到另一处的的备份。份。冷冷备份（脱机份（脱机备份）：以正常方式关份）：以正常方式关闭数数据据库，并，并对数据数据库的所有又件的所有又件进行行备份份。缺点：需要一定的时间来完成，在备份期缺点：需要一定的时间来完成，在备份期间，最终用户无法访问数据库；不易做到间，最终用户无法访问数据库；不易做到实时备

47、份实时备份 热备份（份（联机机备份）：在数据份）：在数据库打开和用打开和用户对数据数据库进行操作的情况下行操作的情况下进行的行的备份份。逻辑备份：将某个数据份：将某个数据库的的记录读出并出并将其写入到一个文件中、将其写入到一个文件中、这是是经常使用常使用的一种的一种备份方式。份方式。数据备份的类型数据备份的类型按照备份的层次分类按照备份的层次分类硬件冗余：目前的硬件冗余技硬件冗余：目前的硬件冗余技术有双机容有双机容错、磁、磁盘双工、双工、廉价冗余磁廉价冗余磁盘阵列（列（Redundant Array of Inexpeilsive Disks.RAID)与磁与磁盘镜像等多种形式像等多种形式。优

48、点：使系点：使系统具有充分的容具有充分的容错能力，提高系能力，提高系统的可靠性。的可靠性。缺点：缺点：不能解决因病毒或人为误操作引起的数据丢失以及不能解决因病毒或人为误操作引起的数据丢失以及系统瘫痪等灾难系统瘫痪等灾难如果错误数据也写入备份磁盘，硬件冗余也会无能如果错误数据也写入备份磁盘，硬件冗余也会无能为力为力 理想的理想的备份系份系统应使用硬件答使用硬件答错和和软件件备份相份相结合的合的方式方式。数据备份的类型数据备份的类型按照备份的地点分类按照备份的地点分类本地本地备份：通份：通过磁磁带机、外置硬机、外置硬盘、光、光盘等等设备在本地在本地进行数据行数据备份份异地异地备份：将数据份：将数据

49、备份至企份至企业生生产中心中心以外的地点以外的地点重要数据重要数据备份一般要求一份数据至少份一般要求一份数据至少应有两个拷有两个拷贝，一份拷，一份拷贝放在生放在生产中心，以中心，以保保证数据的正常恢复；另一份数据的正常恢复；另一份则要异地要异地保存，以保保存，以保证在本地在本地应用出用出现灾灾难后的后的数据恢复，使得数据恢复，使得业务可以可以连续性开展。性开展。数据备份系统的基本构成数据备份系统的基本构成好的数据好的数据备份系份系统应该具具备的基本要素：的基本要素：稳定性稳定性全面性全面性可管理性可管理性数据数据备份系份系统的基本的基本组成成存储介质存储介质硬件设备硬件设备备份管理软件备份管理

50、软件备份策略备份策略存储介质（存储介质（1/3）磁磁盘存存储介介质：采用了采用了“磁表面存磁表面存储”技技术是用某些磁性材料是用某些磁性材料薄薄地涂在金属薄薄地涂在金属铝或塑料表面以作或塑料表面以作为磁磁载体体来存来存储信息的硬磁信息的硬磁盘和和软磁磁盘 在外存储器中，硬盘的存取速度最快在外存储器中，硬盘的存取速度最快磁盘阵列中较大的磁盘数目将会增大磁盘磁盘阵列中较大的磁盘数目将会增大磁盘故障的危险性故障的危险性与其他存储技术相比，硬盘存储所需的费与其他存储技术相比，硬盘存储所需的费用极其昂贵用极其昂贵硬盘存储更适合容量小而且备份数据需要硬盘存储更适合容量小而且备份数据需要买时读取的系统买时读