【正文】 定 恢復(fù)策略 災(zāi)難恢復(fù)策略的實(shí)現(xiàn) 災(zāi)難恢復(fù)預(yù)案的制定、落實(shí)和管理 ?分析業(yè)務(wù)功能和相關(guān)資源配置 ?評(píng)估中斷影響 ?確定災(zāi)難恢復(fù)資源獲取方式 ?確定災(zāi)難恢復(fù)等級(jí)的要素要求 ?正式文檔化 ?災(zāi)難備份中心的選擇和建設(shè) ?災(zāi)難備份系統(tǒng)技術(shù)方案的實(shí)現(xiàn) ?技術(shù)支持能力的實(shí)現(xiàn) ?運(yùn)行維護(hù)能力的實(shí)現(xiàn) ?災(zāi)難恢復(fù)預(yù)案的制訂 ?災(zāi)難恢復(fù)預(yù)案的教育、培訓(xùn)和演練 ?災(zāi)難恢復(fù)預(yù)案的管理 風(fēng)險(xiǎn)分析 ?標(biāo)識(shí)資產(chǎn) ?標(biāo)識(shí)威脅 ?標(biāo)識(shí)脆弱性 ?標(biāo)識(shí)現(xiàn)有控制 ?定量 /定性風(fēng)險(xiǎn)分析 災(zāi)難恢復(fù)需求分析 災(zāi)難恢復(fù)策略制定 災(zāi)難恢復(fù)預(yù)案制定和管理 災(zāi)難恢復(fù)策略實(shí)現(xiàn) 確定災(zāi)難恢復(fù)目標(biāo) ?關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先級(jí) ?RTO/RPO的范圍 50 1. 災(zāi)難恢復(fù)需求分析 ? 風(fēng)險(xiǎn)評(píng)估對(duì)我們?yōu)槭裁葱枰獮?zāi)難恢復(fù)建設(shè)這一問題給出了答案 ? 業(yè)務(wù)影響分析 BIA 為我們后續(xù)的災(zāi)難恢復(fù)系統(tǒng)建設(shè)提供了以下信息： – – 誰、什么、何地、何時(shí)、如何 ?機(jī)構(gòu)面臨的風(fēng)險(xiǎn)有哪些？ ?哪些風(fēng)險(xiǎn)的危害更大？ ?哪些業(yè)務(wù)和系統(tǒng)對(duì)機(jī)構(gòu)更重要？ ?這些業(yè)務(wù)和系統(tǒng)的關(guān)系？ ?這些業(yè)務(wù)和系統(tǒng)應(yīng)該多久恢復(fù)？ ?這些業(yè)務(wù)和系統(tǒng)誰應(yīng)當(dāng)先恢復(fù)？ ?哪些業(yè)務(wù)數(shù)據(jù)不能丟失？ ?需要依賴哪些外部機(jī)構(gòu)？ ?恢復(fù)時(shí)需要哪些資源？ 51 1. 災(zāi)難恢復(fù)需求分析 風(fēng)險(xiǎn)分析 ? 風(fēng)險(xiǎn)分析為機(jī)構(gòu)提供： – ； – ； – – 。 ? 災(zāi)難備份系統(tǒng)，是指用于災(zāi)難恢復(fù)目的，由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用的網(wǎng)絡(luò)系統(tǒng)組成的信息系統(tǒng)。 38 BCM、 BCP、 DRP – 對(duì)于信息化依賴程度高的單位，信息系統(tǒng)災(zāi)難恢復(fù)是其業(yè)務(wù)連續(xù)規(guī)劃的重要組成部分。 ? 災(zāi)難恢復(fù) disaster recovery – 為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)而設(shè)計(jì)的活動(dòng)和流程。 相關(guān)標(biāo)準(zhǔn) 8 ? GB/T 243642023 《信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》 ?GB/T 209882023 《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》 ?GB/Z 209852023 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 ?GB/Z 209862023 《信息安全技術(shù) 信息安全事件分類分級(jí)指南》 應(yīng)急響應(yīng)六階段 9 ?第一階段：準(zhǔn)備 —— 讓我們嚴(yán)陣以待 ?第二階段：確認(rèn) —— 對(duì)情況綜合判斷 ?第三階段：遏制 —— 制止事態(tài)的擴(kuò)大 ?第四階段：根除 —— 徹底的補(bǔ)救措施 ?第五階段：恢復(fù) —— 系統(tǒng)恢復(fù)常態(tài) ?第六階段：跟蹤 —— 還會(huì)有第二次嗎 第一階段 —準(zhǔn)備 10 ?預(yù)防為主 ?微觀（一般觀點(diǎn)）： 幫助服務(wù)對(duì)象建立安全政策 幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件 掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁 如有條件且得到許可，建立監(jiān)控設(shè)施 ?宏觀： 建立協(xié)作體系和應(yīng)急制度 建立信息溝通渠道和通報(bào)機(jī)制 如有條件，建立數(shù)據(jù)匯總分析的體系和能力 有關(guān)法律法規(guī)的制定 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 第一階段 —準(zhǔn)備 11 ?制定應(yīng)急響應(yīng)計(jì)劃 ?資源準(zhǔn)備 ?應(yīng)急經(jīng)費(fèi)籌集 ?人力資源 ?軟硬件設(shè)備 ?現(xiàn)場(chǎng)備份 ?業(yè)務(wù)連續(xù)性保障 ?系統(tǒng)容災(zāi) ?搭建臨時(shí)業(yè)務(wù)系統(tǒng) 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 第二階段 —確認(rèn) 12 ?確定事件性質(zhì)和處理人 ?微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的 CERT）： 確定事件的責(zé)任人 指定一個(gè)責(zé)任人全權(quán)處理此事件 給予必要的資源 確定事件的性質(zhì) 誤會(huì)？玩笑？還是惡意的攻擊 /入侵？ 影響的嚴(yán)重程度 預(yù)計(jì)采用什么樣的專用資源來修復(fù)？ ?宏觀（負(fù)責(zé)總體網(wǎng)絡(luò)的 CERT）： 通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件 確定應(yīng)急等級(jí)，以決定啟動(dòng)哪一級(jí)應(yīng)急方案 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 第三階段 —遏制 13 ?即時(shí)采取的行動(dòng) ?微觀： ?防止進(jìn)一步的損失 ， 確定后果 ?初步分析 ， 重點(diǎn)是確定適當(dāng)?shù)姆怄i方法 ?咨詢安全政策 ?確定進(jìn)一步操作的風(fēng)險(xiǎn) ?損失最小化 （ 最快最簡(jiǎn)單的方式恢復(fù)系統(tǒng)的基本功能 ， 例如備機(jī)啟動(dòng) ） ?可列出若干選項(xiàng) ， 講明各自的風(fēng)險(xiǎn) ， 由服務(wù)對(duì)象選擇 ?宏觀： ?確保封鎖方法對(duì)各網(wǎng)業(yè)務(wù)影響最小 ?通過協(xié)調(diào)爭(zhēng)取各網(wǎng)一致行動(dòng) ， 實(shí)施隔離 ?匯總數(shù)據(jù) ， 估算損失和隔離效果 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 第四階段 —根除 14 ?長(zhǎng)期的補(bǔ)救措施 ?微觀： ?詳細(xì)分析 ， 確定原因 ， 定義征兆 ?分析漏洞 ?加強(qiáng)防范 ?消除原因 ?修改安全政策 ?宏觀： ?加強(qiáng)宣傳 ， 公布危害性和解決辦法 ， 呼吁用戶解決終端的問題； ?加強(qiáng)檢測(cè)工作 ， 發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問題； 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 第五階段 —恢復(fù) 15 ?微觀： 被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài) ?作一個(gè)新的備份 ?把所有安全上的變更作備份 ?服務(wù)重新上線 ?持續(xù)監(jiān)控 ?宏觀： ?持續(xù)匯總分析 ， 了解各網(wǎng)的運(yùn)行情況 ?根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性 ?通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模 ?發(fā)現(xiàn)重要用戶及時(shí)通報(bào)解決 ?適當(dāng)?shù)臅r(shí)候解除封鎖措施 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 第六階段 —跟蹤 16 ?關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方 ?建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果 ?對(duì)響應(yīng)效果給出評(píng)估 ?對(duì)進(jìn)入司法程序的事件，進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動(dòng) 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 事件的歸檔與統(tǒng)計(jì) 17 ?處理人 ?時(shí)間和時(shí)段 ?地點(diǎn) ?工作量 ?事件的類型 ?對(duì)事件的處置情況 ?代價(jià) ?細(xì)節(jié) 信息安全應(yīng)急響應(yīng)計(jì)劃編制方法 18 ?總則 ?角色及職責(zé) ?預(yù)防和預(yù)警機(jī)制 ?應(yīng)急響應(yīng)流程 ?應(yīng)急響應(yīng)保障措施 ?附件 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 總則 19 ?編制目的 ?編制依據(jù) ?適應(yīng)范圍 ?工作原則 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 角色及職責(zé) 20 ?應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組 ?應(yīng)急響應(yīng)技術(shù)保障小組 ?應(yīng)急響應(yīng)專家小組 ?應(yīng)急響應(yīng)實(shí)施小組 ?應(yīng)急響應(yīng)日常運(yùn)行小組 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 預(yù)防和預(yù)警機(jī)制 21 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 早發(fā)現(xiàn)早報(bào)告早處置 監(jiān)測(cè) 預(yù)測(cè) 預(yù)警 應(yīng)急響應(yīng)流程 22 信 息 安 全 事 件信 息 安 全 事 件 通 告應(yīng) 急 啟 動(dòng)應(yīng) 急 處 置后 期 處 置信 息 系 統(tǒng) 重 建應(yīng) 急 響 應(yīng) 總 結(jié)信 息 安 全 事 件 評(píng) 估 事 件 分 類事 件 定 級(jí)信 息 通 報(bào)信 息 批 露信 息 上 報(bào)恢 復(fù) 順 序恢 復(fù) 規(guī) 程應(yīng)急響應(yīng)流程 —呼叫樹 23 應(yīng) 急 響 應(yīng) 領(lǐng) 導(dǎo) 小 組 組 長(zhǎng)應(yīng) 急 響 應(yīng) 領(lǐng) 導(dǎo) 小 組副 組 長(zhǎng)應(yīng) 急 響 應(yīng) 技 術(shù) 保 障 小組 組 長(zhǎng)應(yīng) 急 響 應(yīng) 日 常 運(yùn) 行小 組 組 長(zhǎng)應(yīng) 急 響 應(yīng) 實(shí) 施 小 組組 長(zhǎng)應(yīng) 急 響 應(yīng) 專 家 小組 長(zhǎng)成 員 一成 員 二應(yīng) 急 響 應(yīng) 技 術(shù) 保 障小 組 副 組 長(zhǎng)成 員 一成 員 二成 員 一成 員 二應(yīng) 急 響 應(yīng) 日 常 運(yùn) 行小 組 副 組 長(zhǎng)成 員 一成 員 二應(yīng) 急 響 應(yīng) 專 家小 組 副 組 長(zhǎng)應(yīng) 急 響 應(yīng) 實(shí) 施 小 組副 組 長(zhǎng)成 員 一成 員 二...............應(yīng)急響應(yīng)保障措施 24 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 人力保障 ? 管理人力 ? 技術(shù)人力 物質(zhì)保障 ? 財(cái)力 ? 交通運(yùn)輸 ? 通信 技術(shù)保障 ? 應(yīng)急響應(yīng)技術(shù)支持 ? 事件監(jiān)控與預(yù)警 ? 應(yīng)急技術(shù)儲(chǔ)備 應(yīng)急響應(yīng)保障措施 附件 25 ? 具體的組織體系結(jié)構(gòu)及人員職責(zé) ? 應(yīng)急響應(yīng)計(jì)劃各小組成員的聯(lián)絡(luò)信息 ? 供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲(chǔ)和備用站點(diǎn)的外部聯(lián)系點(diǎn) ? 系統(tǒng)恢復(fù)或處理的標(biāo)準(zhǔn)操作規(guī)程和檢查列表 ? 支持系統(tǒng)運(yùn)行所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單 ? 供應(yīng)商服務(wù)水平協(xié)議（ SLA）、與其它機(jī)構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄 ? 備用站點(diǎn)的描述和說明 ? 在計(jì)劃制定前進(jìn)行的 BIA，包含關(guān)于系統(tǒng)各部分相互關(guān)系、風(fēng)險(xiǎn)、優(yōu)先級(jí)別等 ? 應(yīng)急響應(yīng)計(jì)劃文檔的保存和分發(fā)方法 總則 角色及職責(zé)