CISP应急响应与灾难恢复知识点标注实用.pptx
《CISP应急响应与灾难恢复知识点标注实用.pptx》由会员分享,可在线阅读,更多相关《CISP应急响应与灾难恢复知识点标注实用.pptx(80页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、课程内容1知识体知识域知识子域应急响应与灾难恢复信息系统灾难恢复灾难恢复概况信息安全应急响应管理过程信息安全事件分类分级灾难恢复管理过程应急响应概况计算机取证灾难恢复相关技术灾难恢复能力备份技术备用场所第1页/共80页知识域:应急响应概况v知识子域:信息安全事件分类分级理解信息安全事件和应急响应的基本概念了解国际和我国的信息安全应急响应组织了解我国信息安全事件应急响应工作的进展情况、政策要求和相关标准理解我国信息安全事件分类、分级方法2第2页/共80页基本概念3GB/T 24363-2009 GB/T 24363-2009 信息安全应急响应计划规范信息安全应急响应计划规范信息安全事件信息安全事
2、件 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件应急响应应急响应 组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施第3页/共80页4GB/Z 20985-2007 GB/Z 20985-2007 信息安全事件管理指南信息安全事件管理指南信息安全事件响应组信息安全事件响应组 由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安全事件相关的全部工作,有时小组可能有外部专家加入CERT CERT 计算机应急响应组计算机应急响应组国际或国家公认的计算机应急响应组织 基本概念基本概念第4页/共8
3、0页国际信息安全应急响应组织5美国计算机紧急事件响应小组协调中心 (Computer Emergency Response Team/Coordination Center,CERT/CC)事件响应与安全组织论坛(Forum of Incident Response and Security Teams,FIRST)亚太地区计算机应急响应组(Asia Pacific Computer Emergency Response Team,APCERT)欧洲计算机网络研究教育协会(Trans-European Research and Education Networking Association,
4、TERENA)第5页/共80页我国信息安全应急响应组织6国家计算机网络应急技术处理协调中心 (National Computer network Emergency Response technical Team/Coordination Center of China,CNCERT/CC)中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心第6页/共80页应急响应组织
5、的一般构成7第7页/共80页国家政策要求和相关标准8关于加强信息安全保障工作的意见(中办发200327号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准”GB/T 24363-2009信息安全应急响应计划规范 GB/T 20988-2007 信息系统灾难恢复规范 GB/Z 20985-2007 信息安全事件管理指南 GB/Z 20986-2007 信息安全事件分类分级指南 第8页/共80页我国信息安全事件分类方法9GB/Z 20986-2007
6、信息安全事件分级分类指南7 7个基本类别个基本类别有害程序事件:病毒、蠕虫、木马等网络攻击事件:DOS、后门攻击、扫描、钓鱼等信息破坏事件:信息被篡改、假冒、窃取等信息内容安全事件:危害国家安全、社会稳定等设备设施故障:软硬件自身故障和人为非技术破坏等灾害性事件:自然灾害、战争等其他信息安全事件:不能归为以上6个类别的事件第9页/共80页我国信息安全事件分级方法10分级要素 GB/Z 20986-2007信息安全事件分级分类指南系统重要程度系统安全损失社会影响第10页/共80页我国信息安全事件分级方法 GB/Z 2098611特别重大事件 重 大事 件较 大事 件一 般事 件1级2级3级4级第
7、11页/共80页知识域:应急响应概况v知识子域:信息安全应急响应管理过程掌握信息安全应急响应阶段方法论掌握准备、检测、遏制、根除等应急响应阶段的主要工作内容掌握信息安全应急响应计划编制方法1212第12页/共80页应急响应六阶段13第一阶段:第一阶段:准备准备让我们严阵以待第二阶段:第二阶段:检测检测对情况综合判断第三阶段:第三阶段:遏制遏制制止事态的扩大第四阶段:第四阶段:根除根除彻底的补救措施第五阶段:第五阶段:恢复恢复系统恢复常态第六阶段:第六阶段:跟踪总结跟踪总结还会有第二次吗第13页/共80页第一阶段 准备14预防为主微观确定重要资产和风险,实施针对风险的防护措施编制和管理应急响应计
8、划建立和训练应急响应组织准备相关的资源人力资源、财力资源、物质资源、技术资源、社会关系资源宏观建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件,建立数据汇总分析的体系和能力有关法律法规的制定第14页/共80页编制和管理应急响应计划15应急响应计划,是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段(1)应急响应需求分析和应急响应策略的确定(2)编制应急响应计划文档(3)应急响应计划的测试、培训、演练和维护应急响应计划主要内容总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措
9、施、附件15第15页/共80页第二阶段 检测16检测事件、确定事件性质和处理人微观进行监测、报告及信息收集确定事件类别和级别指定事件处理人,进行初步响应评估事件的影响范围事件通告(信息通报、信息上报、信息披露)宏观:通过汇总,确定是否发生了全网的大规模事件确定应急等级,以决定启动哪一级应急方案第16页/共80页第三阶段 遏制17限制事件影响的范围、损失微观启动应急响应计划确定适当的响应方式实施遏制行动要求用户按应急行为规范要求配合遏制工作宏观确保封锁方法对各网业务影响最小通过协调争取各网一致行动,实施隔离汇总数据,估算损失和隔离效果第17页/共80页第四阶段 根除18长期的补救措施微观详细分析
10、,确定原因实施根除措施,消除原因宏观加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题加强检测工作,发现和清理行业与重点部门的问题第18页/共80页第五阶段 恢复19微观根据破坏程度决定是在原系统还是备份系统中恢复按恢复优先顺序恢复系统和业务运行可能需要执行以下事务性步骤和技术性恢复操作获得访问相关区域和资源的授权获取备份介质等相关资源恢复系统数据启用备份系统重建主系统宏观持续汇总分析,判断遏制、根除效果通过汇总分析的结果判断仍然受影响的终端的规模适当时解除封锁措施第19页/共80页第六阶段 跟踪总结20关注系统恢复以后的安全状况,记录跟踪结果评估损失、响应措施效果分析和总结经验、教训重新
11、评估和修改安全策略、措施和应急响应计划对进入司法程序的事件,进行进一步调查,打击违法犯罪活动编制并提交应急响应报告处理人时间和时段地点工作量事件的类类别、级别对事件的处置情况损失经验、教训第20页/共80页知识域:应急响应概况v知识子域:计算机取证了解计算机取证的概念和目的了解计算机取证的基本步骤21第21页/共80页计算机取证的概念、目的、原则v计算机取证使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动提取和保护的是电子证据,相关工作主要围绕两个方面进行:证据的获取和证据的分析v目的查找肇事者、推断犯罪过程、判断受害者损失程度、提供法律支持v
12、原则合法、充分授权、优先保护、全程监督原则22第22页/共80页计算机取证-准备v获取授权取证工作获得明确的授权(授权书)v目标明确对取证的目的有清晰的认识v工具准备对取证环境的了解及需要准备的工具v软件准备对取证的软件进行过有效的验证v介质准备确保有符合要求的干净的介质可用于取证23第23页/共80页计算机取证-保护v保证数据安全性制作磁盘映像不在原始磁盘上操作v保证数据完整性取证中不使用可能破坏完整性的操作v第三方监督所有操作都有第三方在场监督24第24页/共80页计算机取证-提取25v优先提取易消失的证据内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存v文件系统数据恢复、隐藏文
13、件、加密文件、系统日志v应用系统系统日志第25页/共80页计算机取证-分析及提交v证据在什么地方?日志、删除的文件、临时文件、缓存v从证据中能发现什么?v如何关联证据?v电子取证提交必须与现实取证结合,文档化很重要26第26页/共80页知识域:信息系统灾难恢复v知识子域:灾难恢复概况了解灾难恢复的历史和背景、进展情况、政策要求和相关标准理解业务连续性管理与灾难恢复相关的基本概念了解灾难恢复组织的一般结构和职责理解组织应依据自身业务特点制定适宜的灾难恢复战略理解编制详细准确的备份策略和恢复步骤文档是成功恢复的基础,理解恢复性测试的重要性27第27页/共80页灾难恢复的历史和背景 v20世纪90年
14、代末期,开始关注数据安全,进行数据的备份。但当时,不论从灾难恢复理论水平,重视程度,从业人员数量质量,还是技术水平方面都还很不成熟。v2000年,“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注,但“9.11”事件所引起的震动真正地引起了大家对灾难恢复的关注28第28页/共80页我国灾难恢复进展情况v各行业用户对信息安全的建设越来越重视投入呈现稳定增长的态势。但,大部分单位还没有有效的灾难恢复策略没有建立统一的业务连续管理机制 v随着国内信息化建设的不断完善、数据大集中的开展和国家对灾难恢复工作的高度重视,越来越多的单位和部门认识到灾难恢复的重要性和必要性,开展灾难恢复建设的时机已基
15、本成熟v一些大型行业已建设或启动灾备中心建设29第29页/共80页我国国内灾难恢复的国家政策和标准 v2003年,国家信息化领导小组关于加强信息安全保障工作的意见,要求:各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置预案 v2004年,国信办关于做好重要信息系统灾难备份工作的通知,强调了“统筹规划、资源共享、平战结合”的灾备工作原则 v2005年,国务院信息化办公室重要信息系统灾难恢复指南v2007年,信息安全技术信息系统灾难恢复规范(GB/T 209882007)30第30页/共80页灾难恢复相关基本概念v 灾难(disaster)由于人为或自然的
16、原因,造成信息系统严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行31v灾难备份灾难备份(backup for disaster recovery)(backup for disaster recovery)为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程v灾难恢复灾难恢复(disaster recovery)(disaster recovery)为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可
17、接受状态而设计的活动和流程第31页/共80页规划和预案(GB/T 20988)v灾难恢复规划(disaster recovery planning)为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。v灾难恢复预案(disaster recovery plan)定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。32第32页/共80页BCP和BCM(GB/T 20988)v业务连续性规划(Business Continuity Planning,BCP)是灾
18、难事件的预防和反应机制,是一系列事先制定的策略和规划,确保单位在面临突发的灾难事件时,关键业务功能能持续运作、有效的发挥作用,以保证业务的正常和连续。业务连续规划不仅仅包括对信息系统的恢复,而且包括关键业务运作、人员及其它重要资源等的恢复和持续v业务连续性管理(Business Continuity Management,BCM)为保护组织的利益、声誉、品牌和价值创造活动,找出对组织有潜在影响的威胁,提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理,以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程33第33页/共80页vRPOR
19、PORecovery Point ObjectiveRecovery Point Objective,恢复点目标,恢复点目标定义:灾难发生后,系统和数据必须恢复到的时间点要求代表了当灾难发生时允许丢失的数据量vRTORTORecovery Time Objective Recovery Time Objective,恢复时间目标,恢复时间目标定义:灾难发生后,信息系统和业务功能从停顿到必须恢复的时间要求代表了企业能容忍的信息系统和业务功能恢复的时间恢复点目标-RPO/恢复时间目标-RTO秒分小时日 周秒分小时 日 周恢复点恢复时间34第34页/共80页主中心与灾难备份中心、主系统与灾难备份系统
20、v主中心(主站点/生产中心),是指主系统所在的数据中心v灾难备份中心(备用站点),是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所,可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力,此场所内或周边可提供备用的生产设施 v主系统(生产系统),是指正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络v灾难备份系统,是指用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统35第35页/共80页灾难恢复组织v灾难恢复组织应由管理、业务、技术和行政后勤等人员组成,通常会分为灾难恢复规划领导小组、灾难恢复规划实施组和灾难
21、恢复规划日常运行组等角色v可聘请外部专家协助灾难恢复规划工作,也可委托外部机构承担实施组和运行组的部分或全部工作36一般的灾难恢复组织结构第36页/共80页灾难恢复战略v合适的数据备份及恢复战略是避免丢失重要数据、有效恢复和满足业务运营需要的保证v组织应根据自身的业务性质、数据特点、信息系统规模、业务影响分析的结果(主要是RTO、RPO这两个指标),来制定适当的备份及恢复战略v比如,实时性业务与非实时性业务的的战略应完全不同v备份及恢复战略的不同,将决定组织选择不同的存储技术、备份技术、备用场所37第37页/共80页备份策略和恢复步骤及测试v备份、备份数据的测试,是恢复的基础v应识别所有需要备
22、份的数据项,编制诸如备份策略和恢复步骤的文档,分别描述每一备份项的备份策略、详细恢复步骤、测试要求v因为不同类型的数据,其特点不同,备份策略和恢复步骤可能完全不同v恢复步骤应足够详细38第38页/共80页知识域:信息系统灾难恢复v知识子域:灾难恢复管理过程掌握灾难恢复管理工作的主要内容掌握灾难恢复规划过程:灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理理解同城和异地灾难备份中心的优缺点39第39页/共80页灾难恢复管理工作的主要内容v灾难恢复规划v灾难备份中心的日常运行v灾难发生后的应急响应v关键业务功能在灾难备份中心的恢复和运行v主系统的灾后重建v灾难恢复的外部
23、协作v灾难恢复的审计和备案40第40页/共80页灾难恢复规划v灾难恢复规划:是一个周而复始的、持续改进的过程,包含以下四个阶段灾难恢复需求分析灾难恢复策略制定灾难恢复策略实现灾难恢复预案的制定和管理41第41页/共80页灾难恢复规划管理过程业务影响分析制定灾难恢复策略实现灾难恢复策略灾难恢复预案的制定、落实和管理分析业务功能和相关资源配置评估中断影响确定灾难恢复资源获取方式确定对灾难恢复资源的要求选择和建设灾难备份中心实现灾难备份系统技术方案实现专业技术支持能力实现运行维护管理能力制定灾难恢复预案教育、培训和演练灾难恢复预案更新维护灾难恢复预案风险分析标识资产标识威胁标识脆弱性标识现有控制分析
24、风险灾难恢复需求分析灾难恢复策略制定灾难恢复预案制定和管理灾难恢复策略实现确定灾难恢复目标确定关键业务及恢复优先顺序确定RTO/RPO42第42页/共80页1.灾难恢复需求分析v风险分析v业务影响分析(BIA)v确定灾难恢复目标43恢复时间第43页/共80页v明确关键业务功能和支持关键业务功能的关键应用系统v明确系统中断对业务的损失和影响v明确各业务系统的恢复目标和内外部依赖关系v确定各业务功能灾难恢复指标(RTO/RPO)v明确各业务功能恢复的最小资源需求及恢复策略业务影响分析(BIA)44第44页/共80页确定灾难恢复目标45第45页/共80页2.灾难恢复策略制定数据备份系统备用数据处理系
25、统备用网络系统备用基础设施专业技术支持能力运行维护管理能力灾难恢复预案恢恢复复要要素素策略制定主要内容策略制定主要内容461.确定所需的灾难恢复资源2.明确恢复资源的获取方式3.明确对恢复资源的具体要求(需要具备的灾难恢复能力等级)第46页/共80页例如:灾难恢复资源的获取方式v备用基础设施由单位所有或运行多方共建或通过互惠协议获取租用商业化灾难备份中心的基础设施v备用数据处理系统事先与厂商签订紧急供货协议事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备 47第47页/共80页例如:确定灾难恢复等级各要素的要求 v数据备份系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 应急 响应 灾难 恢复 知识点 标注 实用
限制150内