XX版CISP0304应急响应与灾难恢复v30.ppt

《XX版CISP0304应急响应与灾难恢复v30.ppt》由会员分享，可在线阅读，更多相关《XX版CISP0304应急响应与灾难恢复v30.ppt（81页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、PPT PPT文档演模板 文档演模板Office OfficePPT PPTXX 版-CISP0304 应急响应与灾难恢复_v302023/5/18XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT课程内容2知识体 知识域 知识子域 应急响应与灾难恢复 信息系统 灾难恢复 灾难恢复概况 信息安全应急响应管理过程 信息安全事件分类分级 灾难恢复管理过程 应急响应概况 计算机取证 灾难恢复 相关技术 灾难恢复能力 备份技术 备用场所XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office

2、OfficePPT PPT知识域：应急响应概况v 知识子域：信息安全事件分类分级 理解信息安全事件和应急响应的基本概念 了解国际和我国的信息安全应急响应组织 了解我国信息安全事件应急响应工作的进展情况、政策要求和相关标准 理解我国信息安全事件分类、分级方法XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT基本概念 GB/T 24363-2009 信息安全应急响应计划规范 信息安全事件 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件 应急响应 组织为了应对突发/

3、重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT GB/Z 20985-2007 信息安全事件管理指南 信息安全事件响应组 由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息安全事件相关的全部工作，有时小组可能有外部专家加入 CERT 计算机应急响应组 国际或国家公认的计算机应急响应组织 基本概念XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT国际信息安全应急响应组织美国计算

4、机紧急事件响应小组协调中心（Computer Emergency Response Team/Coordination Center,CERT/CC）事件响应与安全组织论坛（Forum of Incident Response and Security Teams,FIRST）亚太地区计算机应急响应组（Asia Pacific Computer Emergency Response Team,APCERT）欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association,TERENA)XX版CISP0304应急

5、响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT我国信息安全应急响应组织国家计算机网络应急技术处理协调中心（National Computer network Emergency Response technical Team/Coordination Center of China,CNCERT/CC）中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家86

6、3计划反计算机入侵和防病毒研究中心XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT应急响应组织的一般构成XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT国家政策要求和相关标准关于加强信息安全保障工作的意见（中办发200327号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”GB/T 24363-2

7、009信息安全应急响应计划规范 GB/T 20988-2007 信息系统灾难恢复规范 GB/Z 20985-2007 信息安全事件管理指南 GB/Z 20986-2007 信息安全事件分类分级指南 XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT我国信息安全事件分类方法 GB/Z 20986-2007信息安全事件分级分类指南 7个基本类别 有害程序事件：病毒、蠕虫、木马等 网络攻击事件：DOS、后门攻击、扫描、钓鱼等 信息破坏事件：信息被篡改、假冒、窃取等 信息内容安全事件：危害国家安全、社会稳定等 设备设施故障：软硬件

8、自身故障和人为非技术破坏等 灾害性事件：自然灾害、战争等 其他信息安全事件：不能归为以上6个类别的事件XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT我国信息安全事件分级方法分级要素 GB/Z 20986-2007信息安全事件分级分类指南XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT我国信息安全事件分级方法 GB/Z 20986特别重大事件 重 大事 件较 大事 件一 般事 件1级2级3级4级XX版CISP0304应急响应与灾难恢复v30PPT

9、PPT文档演模板 文档演模板Office OfficePPT PPT知识域：应急响应概况v 知识子域：信息安全应急响应管理过程 掌握信息安全应急响应阶段方法论 掌握准备、检测、遏制、根除等应急响应阶段的主要工作内容 掌握信息安全应急响应计划编制方法XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT应急响应六阶段第一阶段：准备让我们严阵以待第二阶段：检测对情况综合判断第三阶段：遏制制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复系统恢复常态第六阶段：跟踪总结还会有第二次吗XX版CISP0304应急响应与灾难恢复v30

10、PPT PPT文档演模板 文档演模板Office OfficePPT PPT第一阶段 准备预防为主微观 确定重要资产和风险，实施针对风险的防护措施 编制和管理应急响应计划 建立和训练应急响应组织 准备相关的资源 人力资源、财力资源、物质资源、技术资源、社会关系资源宏观 建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件，建立数据汇总分析的体系和能力 有关法律法规的制定XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT编制和管理应急响应计划应急响应计划，是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进

11、行维持或恢复的策略和规程应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段（1）应急响应需求分析和应急响应策略的确定（2）编制应急响应计划文档（3）应急响应计划的测试、培训、演练和维护应急响应计划主要内容 总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第二阶段 检测检测事件、确定事件性质和处理人微观 进行监测、报告及信息收集 确定事件类别和级别 指定事件处理人，进行初步响应 评估事件的影响范围 事件通告（信息通报、信息上报、信息披露）

12、宏观：通过汇总，确定是否发生了全网的大规模事件 确定应急等级，以决定启动哪一级应急方案XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第三阶段 遏制限制事件影响的范围、损失微观 启动应急响应计划 确定适当的响应方式 实施遏制行动 要求用户按应急行为规范要求配合遏制工作宏观 确保封锁方法对各网业务影响最小 通过协调争取各网一致行动，实施隔离 汇总数据，估算损失和隔离效果XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第四阶段 根除长期的补救措施微观

13、详细分析，确定原因 实施根除措施，消除原因宏观 加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题 加强检测工作，发现和清理行业与重点部门的问题XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第五阶段 恢复微观 根据破坏程度决定是在原系统还是备份系统中恢复 按恢复优先顺序恢复系统和业务运行 可能需要执行以下事务性步骤和技术性恢复操作 获得访问相关区域和资源的授权 获取备份介质等相关资源 恢复系统数据 启用备份系统 重建主系统宏观 持续汇总分析，判断遏制、根除效果 通过汇总分析的结果判断仍然受影响的终端的规模 适当时解

14、除封锁措施XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第六阶段 跟踪总结 关注系统恢复以后的安全状况，记录跟踪结果 评估损失、响应措施效果 分析和总结经验、教训 重新评估和修改安全策略、措施和应急响应计划 对进入司法程序的事件，进行进一步调查，打击违法犯罪活动 编制并提交应急响应报告 处理人 时间和时段 地点 工作量 事件的类类别、级别 对事件的处置情况 损失 经验、教训XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT知识域：应急响应概况v 知

15、识子域：计算机取证 了解计算机取证的概念和目的 了解计算机取证的基本步骤XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT计算机取证的概念、目的、原则v 计算机取证 使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动 提取和保护的是电子证据，相关工作主要围绕两个方面进行：证据的获取和证据的分析v 目的 查找肇事者、推断犯罪过程、判断受害者损失程度、提供法律支持 原则 合法原则、充分授权原则、优先保护证据原则、全程监督原则XX版CISP0304应急响应与灾难恢复v30PPT P

16、PT文档演模板 文档演模板Office OfficePPT PPT计算机取证的步骤XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT计算机取证-准备v 获取授权 取证工作获得明确的授权（授权书）v 目标明确 对取证的目的有清晰的认识v 工具准备 对取证环境的了解及需要准备的工具v 软件准备 对取证的软件进行过有效的验证v 介质准备 确保有符合要求的干净的介质可用于取证XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT计算机取证-保护v保证数据安全性 制

17、作磁盘映像不在原始磁盘上操作v保证数据完整性 取证中不使用可能破坏完整性的操作v 第三方监督 所有操作都有第三方在场监督XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT计算机取证-提取v优先提取易消失的证据 内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存v文件系统 数据恢复、隐藏文件、加密文件、系统日志v 应用系统 系统日志XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT计算机取证-分析及提交v 证据在什么地方？日志、删除的文件、临时文

18、件、缓存v 从证据中能发现什么？v 如何关联证据？v 电子取证提交 必须与现实取证结合，文档化很重要XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT知识域：信息系统灾难恢复v 知识子域：灾难恢复概况 了解灾难恢复的历史和背景、进展情况、政策要求和相关标准 理解业务连续性管理与灾难恢复相关的基本概念 了解灾难恢复组织的一般结构和职责 理解组织应依据自身业务特点制定适宜的灾难恢复战略 理解编制详细准确的备份策略和恢复步骤文档是成功恢复的基础，理解恢复性测试的重要性XX版CISP0304应急响应与灾难恢复v30PPT PPT文

19、档演模板 文档演模板Office OfficePPT PPT灾难恢复的历史和背景 v 20世纪90年代末期，开始关注数据安全，进行数据的备份。但当时，不论从灾难恢复理论水平，重视程度，从业人员数量质量，还是技术水平方面都还很不成熟。v 2000年，“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注，但“9.11”事件所引起的震动真正地引起了大家对灾难恢复的关注XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT我国灾难恢复进展情况v 各行业用户对信息安全的建设越来越重视投入呈现稳定增长的态势。但，大部分单位还没有有效

20、的灾难恢复策略 没有建立统一的业务连续管理机制 v 随着国内信息化建设的不断完善、数据大集中的开展和国家对灾难恢复工作的高度重视，越来越多的单位和部门认识到灾难恢复的重要性和必要性，开展灾难恢复建设的时机已基本成熟v 一些大型行业已建设或启动灾备中心建设XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT我国国内灾难恢复的国家政策和标准 v 2003年，国家信息化领导小组关于加强信息安全保障工作的意见，要求：各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定和不断完善信息安全应急处置预案 v 2004年，国信办

21、关于做好重要信息系统灾难备份工作的通知，强调了“统筹规划、资源共享、平战结合”的灾备工作原则 v 2005年，国务院信息化办公室重要信息系统灾难恢复指南v 2007年，信息安全技术信息系统灾难恢复规范（GB/T 209882007）XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复相关基本概念v 灾难（disaster）由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行SARSv灾难备份(backu

22、p for disaster recovery)为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程v灾难恢复(disaster recovery)为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT规划和预案（GB/T 20988）v 灾难恢复规划（disaster recovery planning）为了减少灾难带来的损失和保证信息系统所

23、支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。v 灾难恢复预案（disaster recovery plan）定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPTBCP和BCM（GB/T 20988）v 业务连续性规划（Business Continuity Planning，BCP）是灾难事件的预防和反应机制，是一系列事先制定的策略和规划，确保单位在面临突发的灾难事件

24、时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续。业务连续规划不仅仅包括对信息系统的恢复，而且包括关键业务运作、人员及其它重要资源等的恢复和持续v 业务连续性管理（Business Continuity Management，BCM）为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理，以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePP

25、T PPTv RPORecovery Point Objective，恢复点目标 定义：灾难发生后，系统和数据必须恢复到的时间点要求 代表了当灾难发生时允许丢失的数据量v RTORecovery Time Objective，恢复时间目标 定义：灾难发生后，信息系统和业务功能从停顿到必须恢复的时间要求 代表了企业能容忍的信息系统和业务功能恢复的时间恢复点目标-RPO/恢复时间目标-RTO 秒 分 小时 日 周 秒 分 小时 日 周 恢复点 恢复点 恢复时间 恢复时间XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT主中心与

26、灾难备份中心、主系统与灾难备份系统v 主中心(主站点/生产中心)，是指主系统所在的数据中心v 灾难备份中心（备用站点），是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生产设施 v 主系统（生产系统），是指正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络v 灾难备份系统，是指用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office Offi

27、cePPT PPT灾难恢复组织v 灾难恢复组织应由管理、业务、技术和行政后勤等人员组成，通常会分为灾难恢复规划领导小组、灾难恢复规划实施组和灾难恢复规划日常运行组等角色v 可聘请外部专家协助灾难恢复规划工作，也可委托外部机构承担实施组和运行组的部分或全部工作 一般的灾难恢复组织结构XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复战略v 合适的数据备份及恢复战略是避免丢失重要数据、有效恢复和满足业务运营需要的保证v 组织应根据自身的业务性质、数据特点、信息系统规模、业务影响分析的结果（主要是RTO、RPO这两个指标

28、），来制定适当的备份及恢复战略v 比如，实时性业务与非实时性业务的的战略应完全不同v 备份及恢复战略的不同，将决定组织选择不同的存储技术、备份技术、备用场所XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT备份策略和恢复步骤及测试v 备份、备份数据的测试，是恢复的基础v 应识别所有需要备份的数据项，编制诸如备份策略和恢复步骤的文档，分别描述每一备份项的备份策略、详细恢复步骤、测试要求v 因为不同类型的数据，其特点不同，备份策略和恢复步骤可能完全不同v 恢复步骤应足够详细XX版CISP0304应急响应与灾难恢复v30PPT

29、PPT文档演模板 文档演模板Office OfficePPT PPT知识域：信息系统灾难恢复v 知识子域：灾难恢复管理过程 掌握灾难恢复管理工作的主要内容 掌握灾难恢复规划过程：灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理 理解同城和异地灾难备份中心的优缺点XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复管理工作的主要内容v 灾难恢复规划v 灾难备份中心的日常运行v 灾难发生后的应急响应v 关键业务功能在灾难备份中心的恢复和运行v 主系统的灾后重建v 灾难恢复的外部协作v 灾难恢复

30、的审计和备案XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复规划v 灾难恢复规划：是一个周而复始的、持续改进的过程，包含以下四个阶段 灾难恢复需求分析 灾难恢复策略制定 灾难恢复策略实现 灾难恢复预案的制定和管理XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复规划管理过程业务影响分析制定灾难恢复策略实现灾难恢复策略灾难恢复预案的制定、落实和管理分析业务功能和相关资源配置评估中断影响确定灾难恢复资源获取方式确定对灾难恢复资源的要求选择

31、和建设灾难备份中心实现灾难备份系统技术方案实现专业技术支持能力实现运行维护管理能力制定灾难恢复预案教育、培训和演练灾难恢复预案更新维护灾难恢复预案风险分析标识资产标识威胁标识脆弱性标识现有控制分析风险灾难恢复需求分析灾难恢复策略制定灾难恢复预案制定和管理灾难恢复策略实现确定灾难恢复目标确定关键业务及恢复优先顺序确定RTO/RPOXX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT1.灾难恢复需求分析v 风险分析v 业务影响分析（BIA）v 确定灾难恢复目标 恢复时间XX版CISP0304应急响应与灾难恢复v30PPT PPT

32、文档演模板 文档演模板Office OfficePPT PPTv 明确关键业务功能和支持关键业务功能的关键应用系统v 明确系统中断对业务的损失和影响v 明确各业务系统的恢复目标和内外部依赖关系v 确定各业务功能灾难恢复指标（RTO/RPO）v 明确各业务功能恢复的最小资源需求及恢复策略业务影响分析（BIA）XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT确定灾难恢复目标XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT2.灾难恢复策略制定 数据备份系

33、统 备用数据处理系统 备用网络系统 备用基础设施 专业技术支持能力 运行维护管理能力 灾难恢复预案 恢复要素 策略制定主要内容1.确定所需的灾难恢复资源2.明确恢复资源的获取方式3.明确对恢复资源的具体要求(需要具备的灾难恢复能力等级)XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT例如：灾难恢复资源的获取方式v 备用基础设施 由单位所有或运行 多方共建或通过互惠协议获取 租用商业化灾难备份中心的基础设施v 备用数据处理系统 事先与厂商签订紧急供货协议 事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库 利用

34、商业化灾难备份中心或签有互惠协议的机构已有的兼容设备 XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT例如：确定灾难恢复等级各要素的要求 v 数据备份系统 数据备份的范围 数据备份的时间间隔 数据备份的技术及介质 数据备份线路的速率及相关通信设备的规格和要求v 备用基础设施 与生产中心的距离要求 场地和环境（如面积、温度、湿度、防火、电力和工作时间等）要求 运行和管理要求XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT3、灾难恢复策略实现v 灾难备

35、份中心的选择和建设 选址原则 基础设施要求v 灾难备份系统技术方案的实现 技术方案的设计、验证、开发、安装和测试v 专业技术支持能力的实现 明确灾难恢复策略的要求 建立技术支持组织，定期技能培训v 运行维护管理能力的实现 灾难备份中心应建立各种操作规程和管理制度 保证备份的及时性和有效性 保证有效的应急响应、处理能力XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难备份中心的选择和建设v 选址原则 避免灾难备份中心与生产中心同时遭受同类风险 具备通信、电力资源和交通条件 统筹规划、资源共享、平战结合v 基础设施要求 计

36、算机机房应符合有关国家标准 工作辅助设施和生活设施要符合灾难恢复目标的要求XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难备份中心的选择和建设v同城和异地 同城 异地含义指灾难备份中心与生产中心处于同一区域性风险威胁的地点，但又有一定距离的地点，例如在数十公里以内灾难备份中心不会同时遭受与生产中心同一区域性风险威胁的地点，例如距离生产中心在数百公里以上优点技术上可以支持同步的数据实时备份方式、便于运营管理和灾难演练对地震、地区停电、战争等大规模灾难防范能力较强缺点抵御灾难能力方面有局限性，对地震、地区停电、战争等大规

37、模灾难防范能力较弱技术上只能支持异步或者定点拷贝的数据复制方式、运营管理和灾难演练的成本较高XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难备份系统技术方案的实现v 三个主要步骤：技术方案的设计，技术方案的验证、确认和系统开发，系统安装和测试v 典型的灾难备份系统技术方案架构XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT专业技术支持能力的实现、运行维护管理能力的实现v 灾难备份中心应建立相应的技术支持组织，定期对技术支持人员进行技能的教育和培

38、训，以实现专业技术支持能力v 灾难备份中心应建立各种操作规程和管理制度，以实现运行维护管理能力XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT4、灾难恢复预案的制定和管理v 灾难恢复预案的制定v 灾难恢复预案的教育、培训和演练v 灾难恢复预案的管理XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复预案的制定v 灾难恢复预案包括的主要内容 确定风险场景 描述可能受到的业务影响 描述使用的预防性策略 描述灾难恢复策略 识别和排列关键应用系统 行动

39、计划 团队和人员的职责 联络清单 所需资源配置XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复预案的制定v 制定灾难恢复预案的原则 完整性 易用性 明确性 有效性 兼容性v制定灾难恢复预案的一般流程 制定框架 起草 评审 修订 测试 完善 审核和批准XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复预案的教育、培训和演练目的：在灾难来临前使相关人员了解灾难恢复的目标和流程，熟悉恢复操作规程v 教育：在规划初期即开始进行灾难恢复观念的宣

40、传教育v 培训：评估培训需求，确定培训的频次和范围，开发培训课程，保留培训记录v 演练：制定演练计划，说明演练场景，记录演练过程，编制演练报告XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT演练与演习的类型v 演练和演习的主要方式 桌面演练 模拟演练 实战演练等v 根据演练和演习的深度，可分为 数据级演练 应用级演练 业务级演练等v 根据演练和演习的准备情况，可分为 计划内的演练和演习 计划外的演练和演习等XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT

41、PPT灾难恢复预案的管理v 按以下原则保存和分发 指派专人负责 制作多份拷贝，保存在不同地点 分发给参与恢复工作的所有人员 每次修订后统一更新所有拷贝 按有关规定销毁旧版本v 为保证预案的有效性 在发生各种变化后，及时更新预案 在测试、演练、灾难发生后实际执行过预案以后，评估并修订 定期评审和修订XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT知识域：信息系统灾难恢复v 知识子域：灾难恢复能力 掌握国家有关标准对信息系统灾难恢复能力级别的划分 理解各恢复能力级别对各类灾难恢复资源要素的指标要求 掌握确定组织自身所需灾难恢

42、复能力级别的方法XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT灾难恢复资源要素与恢复能力等级划分 专业技术支持能力 运行维护管理能力XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第1级 基本支持要素 要求数据备份系统 a)完全数据备份至少每周一次b)备份介质场外存放备用数据处理系统 备用网络系统 备用基础设施 a)有符合介质存放条件的场地专业技术支持能力 运行维护管理能力 a)有介质存取、验证和转储管理制度b)按介质特性对备份数据进行定期的有效

43、性验证灾难恢复预案 有相应的经过完整测试和演练的灾难恢复预案64XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第2级 备用场地支持要素 要求数据备份系统 a)完全数据备份至少每周一次b)备份介质场外存放备用数据处理系统 配备灾难恢复所需的部分备用数据处理设备，或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地备用网络系统 配备部分通信线路和相应的网络设备，或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地备用基础设施 a)有符合介质存放条件的场地b)有满足信息系统和关键业务功能恢复运作要求的场地专

44、业技术支持能力 运行维护管理能力 a)有介质存取、验证和转储管理制度b)按介质特性对备份数据进行定期的有效性验证c)有备用站点管理制度d)与相关厂商有符合灾难恢复时间要求的紧急供货协议e)与相关运营商有符合灾难恢复时间要求的备用通信线路协议灾难恢复预案 a)有相应的经过完整测试和演练的灾难恢复预案。XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第3级 电子传输和部分设备支持要素 要求数据备份系统a)完全数据备份至少每天一次b)备份介质场外存放c)每天多次利用通信网络将关键数据定时批量传送至备用场地备用数据处理系统 配备

45、灾难恢复所需的部分数据处理设备备用网络系统 配备部分通信线路和相应的网络设备备用基础设施a)有符合介质存放条件的场地 b)有满足信息系统和关键业务功能恢复运作要求的场地66XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第3级 电子传输和部分设备支持要素 要求专业技术支持能力 在备用站点有专职的计算机机房运行管理人员运行维护管理能力a)有介质存取、验证和转储管理制度b)按介质特性对备份数据进行定期的有效性验证c)有备用计算机机房管理制度d)有备用数据处理设备硬件维护管理制度e)有电子传输数据备份系统运行管理制度灾难恢复预

46、案 有相应的经过完整测试和演练的灾难恢复预案67XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第4级 电子传输及完整设备支持要素 要求数据备份系统a)完全数据备份至少每天一次b)备份介质场外存放c)每天多次利用通信网络将关键数据定时批量传送至备用场地 备用数据处理系统配备灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态备用网络系统a)配备灾难恢复所需的通信线路b)配备灾难恢复所需的网络设备，并处于就绪状态 备用基础设施a)有符合介质存放条件的场地b)有符合备用数据处理系统和备用网络设备运行要求的场地c)有满足关

47、键业务功能恢复运作要求的场地d)以上场地应保持7x24小时运作68XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第4级 电子传输及完整设备支持要素 要求专业技术支持能力在备用站点有：a)7x24小时专职计算机机房管理人员b)专职数据备份技术支持人员c)专职硬件、网络技术支持人员运行维护管理能力a)有介质存取、验证和转储管理制度b)按介质特性对备份数据进行定期的有效性验证c)有备用计算机机房运行管理制度d)有硬件和网络运行管理制度e)有电子传输数据备份系统运行管理制度灾难恢复预案 有相应的经过完整测试和演练的灾难恢复预案

48、69XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第5级实时数据传输及完整设备支持要素 要求数据备份系统a)完全数据备份至少每天一次b)备份介质场外存放c)采用远程数据复制技术，并利用通信网络将关键数据实时复制到备份场地备用数据处理系统配备灾难恢复所需的全部数据处理设备，并处于就绪或运行状态备用网络系统a)配备灾难恢复所需的通信线路b)配备灾难恢复所需的网络设备，并处于就绪状态c)具备通信网络自动或集中切换能力备用基础设施a)有符合介质存放条件的场地b)有符合备用数据处理系统和备用网络设备运行要求的场地c)有满足关键业

49、务功能恢复运作要求的场地d)以上场地应保持7x24小时运作70XX版CISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第5级实时数据传输及完整设备支持要素 要求专业技术支持能力在备用站点7x24小时有专职的：a)计算机机房管理人员b)数据备份技术支持人员c)硬件、网络技术支持人员运行维护管理能力a)有介质存取、验证和转储管理制度b)按介质特性对备份数据进行定期的有效性验证c)有备用计算机机房运行管理制度d)有硬件和网络运行管理制度e)有实时数据备份系统运行管理制度灾难恢复预案 有相应的经过完整测试和演练的灾难恢复预案71XX版C

50、ISP0304应急响应与灾难恢复v30PPT PPT文档演模板 文档演模板Office OfficePPT PPT第6级数据零丢失和远程集群支持要素 要求数据备份系统a)完全数据备份至少每天一次b)备份介质场外存放c)远程实时备份，实现数据零丢失备用数据处理系统a)备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容b)应用软件是“集群的”，可实时无缝切换c)具备远程集群系统的实时监控和自动切换能力备用网络系统a)配备与生产系统相同等级的通信线路和网络设备b)备用网络处于运行状态c)最终用户可通过网络同时接入主、备中心备用基础设施a)有符合介质存放条件的场地b)有符合备用数据处理系统