【正文】 恢復(fù)的需求目標(biāo)而采取的途徑； ? 它包含實現(xiàn)的計劃、方法和可選的方案； ? 是基于機構(gòu)對自身災(zāi)難恢復(fù)需求確切了解的基礎(chǔ)上做出的； ? 其根本目的是為了達到在災(zāi)難恢復(fù)需求中描述的實現(xiàn)目標(biāo)； ? 是指導(dǎo)整個災(zāi)難恢復(fù)建設(shè)的綱領(lǐng)性文件； ? 要遵循成本風(fēng)險平衡原則； ? 描述了災(zāi)難恢復(fù)需求的實現(xiàn)步驟和實現(xiàn)方法。 ?其他信息化程度較高的行業(yè)如保險 、 證券 、 電力、 民航 、 電信 、 石化 、 鋼鐵等企業(yè)正在開展和規(guī)劃災(zāi)難恢復(fù)系統(tǒng)的建設(shè) 83 我國災(zāi)難恢復(fù)工作存在的主要問題 ?存在僥幸心理 ， 缺乏開展災(zāi)難恢復(fù)工作的積極性； ?在沒有統(tǒng)籌規(guī)劃 ， 各行業(yè)及地方自行建設(shè)災(zāi)難備份中心 ， 造成社會經(jīng)濟資源的分散和浪費； ?從事災(zāi)難恢復(fù)建設(shè)和服務(wù)的企業(yè)良莠不齊 ， 部分企業(yè)缺乏專業(yè)化能力 ， 不能滿足災(zāi)難恢復(fù)的要求； ?已建成的災(zāi)備中心普遍缺乏嚴格的演練 ， 災(zāi)備中心的運營缺乏有效的監(jiān)管和審計 ， 導(dǎo)致大量的災(zāi)備中心無法在災(zāi)難來臨時有效發(fā)揮作用； ?災(zāi)難備份恢復(fù)有關(guān)人員意識欠缺 、 專業(yè)人才缺乏 84 災(zāi)難恢復(fù)規(guī)劃的過程階段 業(yè)務(wù)影響 分析 制定 恢復(fù)策略 災(zāi)難恢復(fù)策略的實現(xiàn) 災(zāi)難恢復(fù)預(yù)案的制定、落實和管理 ?分析業(yè)務(wù)功能和相關(guān)資源配置 ?評估中斷影響 ?確定災(zāi)難恢復(fù)資源獲取方式 ?確定災(zāi)難恢復(fù)等級的要素要求 ?正式文檔化 ?災(zāi)難備份中心的選擇和建設(shè) ?災(zāi)難備份系統(tǒng)技術(shù)方案的實現(xiàn) ?技術(shù)支持能力的實現(xiàn) ?運行維護能力的實現(xiàn) ?災(zāi)難恢復(fù)預(yù)案的制訂 ?災(zāi)難恢復(fù)預(yù)案的教育、培訓(xùn)和演練 ?災(zāi)難恢復(fù)預(yù)案的管理 風(fēng)險分析 ?標(biāo)識資產(chǎn) ?標(biāo)識威脅 ?標(biāo)識脆弱性 ?標(biāo)識現(xiàn)有控制 ?定量 /定性風(fēng)險分析 災(zāi)難恢復(fù)需求分析 災(zāi)難恢復(fù)策略制定 災(zāi)難恢復(fù)預(yù)案制定和管理 災(zāi)難恢復(fù)策略實現(xiàn) 確定災(zāi)難恢復(fù)目標(biāo) ?關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先級 ?RTO/RPO的范圍 85 1. 災(zāi)難恢復(fù)需求分析 ?風(fēng)險評估對我們?yōu)槭裁葱枰獮?zāi)難恢復(fù)建設(shè)這一問題給出了答案 ?業(yè)務(wù)影響分析 BIA 為我們后續(xù)的災(zāi)難恢復(fù)系統(tǒng)建設(shè)提供了以下信息： ? – 誰、什么、何地、何時、如何 ?機構(gòu)面臨的風(fēng)險有哪些？ ?哪些風(fēng)險的危害更大？ ?哪些業(yè)務(wù)和系統(tǒng)對機構(gòu)更重要？ ?這些業(yè)務(wù)和系統(tǒng)的關(guān)系？ ?這些業(yè)務(wù)和系統(tǒng)應(yīng)該多久恢復(fù)？ ?這些業(yè)務(wù)和系統(tǒng)誰應(yīng)當(dāng)先恢復(fù)？ ?哪些業(yè)務(wù)數(shù)據(jù)不能丟失？ ?需要依賴哪些外部機構(gòu)？ ?恢復(fù)時需要哪些資源？ 86 1. 災(zāi)難恢復(fù)需求分析 風(fēng)險分析 ?風(fēng)險分析為機構(gòu)提供： ? ； ? ； ? ? 。 ?隨著國內(nèi)信息化建設(shè)的不斷完善、數(shù)據(jù)大集中的開展和國家對災(zāi)難恢復(fù)工作的高度重視，越來越多的單位和部門認識到災(zāi)難恢復(fù)的重要性和必要性， 開展災(zāi)難恢復(fù)建設(shè)的時機已基本成熟。 ?災(zāi)難備份系統(tǒng)，是指用于災(zāi)難恢復(fù)目的，由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用的網(wǎng)絡(luò)系統(tǒng)組成的信息系統(tǒng)。 ?災(zāi)難備份中心也稱備用站點。 ? 代表了系統(tǒng)恢復(fù)的時間 74 BCP/DRP的指標(biāo) 恢復(fù)點目標(biāo) RPO/恢復(fù)時間目標(biāo) RTO 在業(yè)務(wù)持續(xù)性方面， RTO (Recovery Time Objective恢復(fù)時間目標(biāo) )是指可以重新開始業(yè)務(wù)的時間，對磁帶備份而言，最好的 RTO是一天，而對于復(fù)制技術(shù)，由于其副本是已經(jīng)在線（在另一個遠端站）的，因此 RTO接近于零。包括組織在面臨災(zāi)難時對恢復(fù)或連續(xù)性的管理，以及為保證業(yè)務(wù)連續(xù)計劃或災(zāi)難恢復(fù)預(yù)案的有效性的培訓(xùn)、演練和檢查的全部過程。用于指導(dǎo)相關(guān)人員在預(yù)定的災(zāi)難恢復(fù)目標(biāo)內(nèi)恢復(fù)信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)功能。業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃服務(wù)將確保 持續(xù) 的 生存性” Gartner, Disaster Recovery Plans and Systems Are Essential, by Roberta Witty, Donna Scott, 12 September 2022. …… 所有公司中， 50 60% 沒有可以用于工作的災(zāi)難恢復(fù)計劃 69 備份與恢復(fù) ?災(zāi)難備份 backup for disaster recovery ? 為了災(zāi)難恢復(fù)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運行管理能力進行備份的過程。通常導(dǎo)致信息系統(tǒng)需要切換到災(zāi)難備份中心運行。 領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜 ， 主要如下： （ 1） 對應(yīng)急響應(yīng)工作的承諾和支持 ， 包括發(fā)布正式文件 、 提供必要資源 （ 人財物 ） 等； （ 2） 審核并批準應(yīng)急響應(yīng)策略； （ 3） 審核并批準應(yīng)急響應(yīng)計劃； （ 4） 批準和監(jiān)督應(yīng)急響應(yīng)計劃的執(zhí)行 ； （ 5) 啟動定期評審 、 修訂應(yīng)急響應(yīng)計劃 ； （ 6） 負責(zé)組織的外部協(xié)作工作 。 基本概念 30 ?應(yīng)急響應(yīng)計劃（ Emergency Response Plan） 是指在突發(fā) /重大信息安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的策略和規(guī)程。 ? 緊急修復(fù)之后還要采用補救措施，將所有正常的變更控制流程再重新執(zhí)行一遍 24 信息系統(tǒng)維護 ?漏洞和補丁管理 ? 重要性 ? 漏洞和補丁管理方法 ? 人工，自動化工具 ? 0day攻擊 25 信息系統(tǒng)維護 ?系統(tǒng)棄置處理 ? 殘余信息的處理 ? 物理摧毀存儲介質(zhì) ? 存儲介質(zhì)消磁處理 ? 專用設(shè)備進行反復(fù)數(shù)據(jù)覆蓋或者擦除 ? 鍵盤攻擊 ? 使用功能軟件對棄置系統(tǒng)中的存儲介質(zhì)進行分析 ? 實驗室攻擊 ? 使用專有設(shè)備對棄置系統(tǒng)中的存儲介質(zhì)進行分析 26 總結(jié) ?安全是信息系統(tǒng)需求的重要組成部分 ?信息系統(tǒng)安全建設(shè)要符合國家法律法規(guī)，符合組織業(yè)務(wù)目標(biāo)，量力而行。維護信息包括程序員 ID號、變更時間和日期，與變更相關(guān)的申請?zhí)柣蛘唔椖刻?，變更前后的源代碼行數(shù)。 ? 開發(fā)，測試環(huán)境與生產(chǎn)環(huán)境隔離 ? 項目管理應(yīng)該加強對安全控制過程的執(zhí)行力度 ? 使用軟件工程方法增強軟件質(zhì)量，減少軟件漏洞 20 信息系統(tǒng)維護 ?變更管理 ? 目的 ? 對系統(tǒng)變更的合理性，安全性進行控制，使變更通過安全過程進行實施，減少不當(dāng)變更導(dǎo)致的系統(tǒng)安全問題，保障業(yè)務(wù)連續(xù)運行。重要信息安全管理過程 中國信息安全測評中心 202210 課程內(nèi)容 安全管理 措施 知識體 知識域 基本安全 管理措施 重要安全 管理過程 知識子域 安全策略 人員安全管理 訪問控制 物理與環(huán)境安全 系統(tǒng)獲取、開發(fā)和維護 通信及操作管理 安全組織機構(gòu) 資產(chǎn)管理 符合性管理 信息安全 事件 管理 與應(yīng)急響應(yīng) 業(yè)務(wù)連續(xù)性管理 與災(zāi)難恢復(fù) 知識子域：系統(tǒng)采購、開發(fā)與維護 ?理解安全要求是信息系統(tǒng)需求的重要組成部分 ?理解信息技術(shù)產(chǎn)品的采購的安全原則：符合標(biāo)準法規(guī)，風(fēng)險與經(jīng)濟性的平衡，安全性測試等 ?理解信息系統(tǒng)開發(fā)和實施的安全原則：規(guī)范的開發(fā)方法，嚴格的源代碼測試，對安裝包、測試數(shù)據(jù)和程序源代碼的保護 ?理解系統(tǒng)運行階段安全管理的基本原則，包括漏洞和補丁管理、系統(tǒng)更新、廢棄等 3 安全信息系統(tǒng)獲取的基本原則和方法 ?安全信息系統(tǒng)獲取的基本原則 ? 符合國家、地區(qū)及行業(yè)的法律法規(guī) ? 量力而行，達到經(jīng)濟性與安全性間的平衡 ? 符合組織的安全策略與業(yè)務(wù)目標(biāo) ?安全信息系統(tǒng)的獲取策略 ? 外部采購 ? 自主開發(fā)或者自主開發(fā)與外包相結(jié)合 ? 采取何種獲取策略在項目立項與可行性分析過程中得出結(jié)論。配置管理應(yīng)該貫穿開發(fā)周期始終。 ? 有些管理軟件提供變更審計軌跡。 信息系統(tǒng)維護 ?變更管理 ? 常見非授權(quán)變更 ? 程序員訪問生產(chǎn)系統(tǒng)庫 ? 該程序的用戶不知道發(fā)生的變更 ? 沒有正式的變更請求表格和程序 ? 相關(guān)管理人員并未在變更表上簽字 ? 用戶沒有在變更表上簽字以表明接受變更 ? 修改后的源代碼未經(jīng)適當(dāng)?shù)木幊倘藛T檢查 ? 相關(guān)管理人員沒有在變更表上簽字以表明變更可以投入生產(chǎn)環(huán)境 ? 程序員為了自身的利益增加一些額外的代碼 23 信息系統(tǒng)維護 ?緊急變更 ? 程序員、分析員可能通過使用特殊的登錄 ID來訪問生產(chǎn)環(huán)境以處理緊急情況 ? 應(yīng)急 ID擁有很大的權(quán)限，它的使用必須留有日志，并要仔細審查。 ?應(yīng)急響應(yīng)（ Emergency Response） 是指組織為了應(yīng)對突發(fā) /重大信息安全事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。 相關(guān)標(biāo)準 33 ? GB/T 243642022 《 信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計劃規(guī)范 》 ?GB/T 209882022 《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》 ?GB/Z 209852022 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 ?GB/Z 209862022 《信息安全技術(shù) 信息安全事件分類分級指南》 應(yīng)急響應(yīng)六階段 34 ?第一階段：準備 —— 讓我們嚴陣以待 ?第二階段：確認 —— 對情況綜合判斷 ?第三階段：遏制 —— 制止事態(tài)的擴大 ?第四階段：根除 —— 徹底的補救措施 ?第五階段：恢復(fù) —— 系統(tǒng)恢復(fù)常態(tài) ?第六階段：跟蹤 —— 還會有第二次嗎 第一階段 — 準備 35 ?預(yù)防為主 ?微觀（一般觀點）： 幫助服務(wù)對象建立安全政策 幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件 掃描，風(fēng)險分析，打補丁 如有條件且得到許可，建立監(jiān)控設(shè)施 ?宏觀： 建立協(xié)作體系和應(yīng)急制度 建立信息溝通渠道和通報機制 如有條件，建立數(shù)據(jù)匯總分析的體系和能力 有關(guān)法律法規(guī)的制定 準備 確認 遏制 根除 恢復(fù) 跟蹤 第一階段 — 準備 36 ?制定應(yīng)急響應(yīng)計劃 ?資源準備 ?應(yīng)急經(jīng)費籌集 ?人力資源 ?軟硬件設(shè)備 ?現(xiàn)場備份 ?業(yè)務(wù)連續(xù)性保障 ?系統(tǒng)容災(zāi) ?搭建臨時業(yè)務(wù)系統(tǒng) 準備 確認 遏制 根除 恢復(fù) 跟蹤 第二階段 — 確認 37 ?確定事件性質(zhì)和處理人 ?微觀（負責(zé)具體網(wǎng)絡(luò)的 CERT）： 確定事件的責(zé)任人 指定一個責(zé)任人全權(quán)處理此事件 給予必要的資源 確定事件的性質(zhì) 誤會？玩笑？還是惡意的攻擊 /入侵？ 影響的嚴重程度 預(yù)計采用什么樣的專用資源來修復(fù)？ ?宏觀（負責(zé)總體網(wǎng)絡(luò)的 CERT）： 通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件 確定應(yīng)急等級，以決定啟動哪一級應(yīng)急方案 準備 確認 遏制 根除 恢復(fù) 跟蹤 第三階段 — 遏制 38 ?即時采取的行動 ?微觀： ?防止進一步的損失 ， 確定后果 ?初步分析 ， 重點是確定適當(dāng)?shù)姆怄i方法 ?咨詢安全政策 ?確定進一步操作的風(fēng)險 ?損失最小化 （ 最快最簡單的方式恢復(fù)系統(tǒng)的基本功能 ， 例如備機啟動 ） ?可列出若干選項 ， 講明各自的風(fēng)險 ， 由服務(wù)對象選擇 ?宏觀： ?確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小 ?通過協(xié)調(diào)爭取各網(wǎng)一致行動 ， 實施隔離 ?匯總數(shù)據(jù) ， 估算損失和隔離效果 準備 確認 遏制 根除 恢復(fù) 跟蹤 第四階段 — 根除 39 ?長期的補救措施 ?微觀： ?詳細分析 ， 確定原因 ， 定義征兆 ?分析漏洞 ?加強防范 ?消除原因 ?修改安全政策 ?宏觀： ?加強宣傳 ， 公布危害性和解決辦法 ， 呼吁用戶解決終端的問題； ?加強檢測工作 ， 發(fā)現(xiàn)和清理行業(yè)與重點部門的問題； 準備 確認 遏制 根除 恢復(fù) 跟蹤 第五階段 — 恢復(fù) 40 ?微觀： 被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài) ?作一個新的備份 ?把所有安全上的變更作備份 ?服務(wù)重新上線 ?持續(xù)監(jiān)控 ?宏觀： ?持續(xù)匯總分析 ， 了解各網(wǎng)的運行情況 ?根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性 ?通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模 ?發(fā)現(xiàn)重要用戶及時通報解決 ?適當(dāng)?shù)臅r候解除封鎖措施 準備 確認 遏制 根除 恢復(fù) 跟蹤 第六階段 — 跟蹤 41 ?關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方 ?建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果