【文章內(nèi)容簡(jiǎn)介】 國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心 ?國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 ?國(guó)家 863計(jì)劃反計(jì)算機(jī)入侵和防病毒研究中心 計(jì)算機(jī)取證 ?計(jì)算機(jī)取證概念 ?計(jì)算機(jī)取證遵循原則 ?計(jì)算機(jī)取證步驟 ?計(jì)算機(jī)取證技術(shù)和工具 58 計(jì)算機(jī)取證的概念 ?什么是計(jì)算機(jī)取證 ? 計(jì)算機(jī)取證是使用先進(jìn)的技術(shù)和工具，按照標(biāo)準(zhǔn)規(guī)程全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的相關(guān)證據(jù)，計(jì)算機(jī)取證提取和保護(hù)的是電子證據(jù)，相關(guān)工作主要圍繞兩個(gè)方面進(jìn)行：證據(jù)的獲取和證據(jù)的分析 。 ?為什么需要取證 ? 通過證據(jù)查找肇事者 ? 通過證據(jù)推斷犯罪過程 ? 通過證據(jù)判斷受害者損失程度 ? 收集證據(jù)提供法律支持 59 計(jì)算機(jī)取證的原則 ?合法原則 ? 取證必須符合相關(guān)法律法規(guī) ?充分授權(quán)原則 ? 取證必須得到充分授權(quán) ?優(yōu)先保護(hù)證據(jù)原則 ? 取證可能導(dǎo)致證據(jù)破壞，必須優(yōu)先考慮保護(hù)證據(jù) ?全程監(jiān)督原則 ? 整個(gè)取證過程應(yīng)全程第三方監(jiān)督 60 計(jì)算機(jī)取證的步驟 61 準(zhǔn)備 保護(hù) 提取 分析 提交 計(jì)算機(jī)取證 準(zhǔn)備 ?獲取授權(quán) ? 取證工作獲得明確的授權(quán)（授權(quán)書） ?目標(biāo)明確 ? 對(duì)取證的目的有清晰的認(rèn)識(shí) ?工具準(zhǔn)備 ? 對(duì)取證環(huán)境的了解及需要準(zhǔn)備的工具 ?軟件準(zhǔn)備 ? 對(duì)取證的軟件進(jìn)行過有效的驗(yàn)證 ?介質(zhì)準(zhǔn)備 ? 確保有符合要求的干凈的介質(zhì)可用于取證 62 計(jì)算機(jī)取證 保護(hù) ?保證數(shù)據(jù)安全性 ? 制作磁盤映像 不在原始磁盤上操作 ?保證數(shù)據(jù)完整性 ? 取證中不使用可能破壞完整性的操作 ?第三方監(jiān)督 ? 所有操作都有第三方在場(chǎng)監(jiān)督 63 計(jì)算機(jī)取證 提取 64 ?優(yōu)先分析易消失的證據(jù) ? 內(nèi)存信息、系統(tǒng)進(jìn)程、網(wǎng)絡(luò)連接信息、路由信息、臨時(shí)文件、緩存 ?文件系統(tǒng) ? 數(shù)據(jù)恢復(fù)、隱藏文件、加密文件、系統(tǒng)日志 ?應(yīng)用系統(tǒng) ? 系統(tǒng)日志 計(jì)算機(jī)取證 分析及提交 ?證據(jù)在什么地方？ ? 日志、刪除的文件、臨時(shí)文件、緩存 ?從證據(jù)中能發(fā)現(xiàn)什么？ ?如何關(guān)聯(lián)證據(jù)？ ?電子取證提交 ? 必須與現(xiàn)實(shí)取證結(jié)合，文檔化很重要 65 計(jì)算機(jī)取證工具 ?開放源代碼軟件 ? Coroners工具包，它是計(jì)算機(jī)犯罪取證檢查的一些工具軟件的集合。 ?商業(yè)軟件取證軟件 ? Encase—— 基于 Windows平臺(tái)，提供從數(shù)據(jù)發(fā)現(xiàn)到分析到生成報(bào)表的全面的解決方案； AccessData，用于獲取口令的軟件；以及 ThumbsPlus，Snapback… ? Net Threat Analyzer： NTI公司的軟件系統(tǒng) 66 知識(shí)子域：業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù) ?理解業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)的基本概念 ?了解我國(guó)災(zāi)難恢復(fù)工作的進(jìn)展情況和政策要求 ?了解數(shù)據(jù)儲(chǔ)存和數(shù)據(jù)備份與恢復(fù)的基本技術(shù) ?掌握災(zāi)難恢復(fù)管理過程：需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理 ?掌握國(guó)家有關(guān)標(biāo)準(zhǔn)對(duì)災(zāi)難恢復(fù)系統(tǒng)級(jí)別和各級(jí)別的指標(biāo)要求 67 什么是災(zāi)難 ? 災(zāi)難 disaster ? 《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T 20988— 2022） 由于人為或自然的原因，造成信息系統(tǒng)嚴(yán)重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件。通常導(dǎo)致信息系統(tǒng)需要切換到災(zāi)難備份中心運(yùn)行。 ?*典型的災(zāi)難事件包括 ： ? 自然災(zāi)害，如火災(zāi)、洪水、地震、颶風(fēng)、龍卷風(fēng)、臺(tái)風(fēng)等，還有技術(shù)風(fēng)險(xiǎn)和提供給業(yè)務(wù)運(yùn)營(yíng)所需服務(wù)的中斷，如設(shè)備故障、軟件錯(cuò)誤、通訊網(wǎng)絡(luò)中斷和電力故障等等；此外，人為的因素往往也會(huì)釀成大禍，如操作員錯(cuò)誤、植入有害代碼和恐怖襲擊。 人員誤操作 68 業(yè)務(wù)持續(xù)性的重要性 “ 在經(jīng)歷過災(zāi)難的企業(yè)中， 每 5家 中有 2家 在 5年內(nèi) 會(huì)完全退出市場(chǎng)。當(dāng)且僅當(dāng)企業(yè)在災(zāi)難前或?yàn)?zāi)難后采取了必要的措施后，企業(yè)可以改變這種狀況。業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃服務(wù)將確保 持續(xù) 的 生存性” Gartner, Disaster Recovery Plans and Systems Are Essential, by Roberta Witty, Donna Scott, 12 September 2022. …… 所有公司中， 50 60% 沒有可以用于工作的災(zāi)難恢復(fù)計(jì)劃 69 備份與恢復(fù) ?災(zāi)難備份 backup for disaster recovery ? 為了災(zāi)難恢復(fù)而對(duì)數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份的過程。 ?災(zāi)難恢復(fù) disaster recovery ? 為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)而設(shè)計(jì)的活動(dòng)和流程。 70 規(guī)劃和預(yù)案 ?災(zāi)難恢復(fù)規(guī)劃 disaster recovery planning ? 為了減少災(zāi)難帶來的損失和保證信息系統(tǒng)所支持的關(guān)鍵業(yè)務(wù)功能在災(zāi)難發(fā)生后能及時(shí)恢復(fù)和繼續(xù)運(yùn)作所做的事前計(jì)劃和安排。 ?災(zāi)難恢復(fù)預(yù)案 disaster recovery plan ? 定義信息系統(tǒng)災(zāi)難恢復(fù)過程中所需的任務(wù)、行動(dòng)、數(shù)據(jù)和資源的文件。用于指導(dǎo)相關(guān)人員在預(yù)定的災(zāi)難恢復(fù)目標(biāo)內(nèi)恢復(fù)信息系統(tǒng)支持的關(guān)鍵業(yè)務(wù)功能。 71 BCP和 BCM ?業(yè)務(wù)連續(xù)規(guī)劃（ Business Continuity Planning，簡(jiǎn)稱“ BCP” ） ? 是災(zāi)難事件的預(yù)防和反應(yīng)機(jī)制，是一系列事先制定的策略和規(guī)劃，確保單位在面臨突發(fā)的災(zāi)難事件時(shí)，關(guān)鍵業(yè)務(wù)功能能持續(xù)運(yùn)作、有效的發(fā)揮作用，以保證業(yè)務(wù)的正常和連續(xù)。業(yè)務(wù)連續(xù)規(guī)劃不僅僅包括對(duì)信息系統(tǒng)的恢復(fù)，而且包括關(guān)鍵業(yè)務(wù)運(yùn)作、人員及其它重要資源等的恢復(fù)和持續(xù)。 ?業(yè)務(wù)連續(xù)管理 (Business Continuity Management，簡(jiǎn)稱“ BCM”) ? 為保護(hù)組織的利益、聲譽(yù)、品牌和價(jià)值創(chuàng)造活動(dòng)，找出對(duì)組織有潛在影響的威脅，提供建設(shè)組織有效反應(yīng)恢復(fù)能力的框架的整體管理過程。包括組織在面臨災(zāi)難時(shí)對(duì)恢復(fù)或連續(xù)性的管理，以及為保證業(yè)務(wù)連續(xù)計(jì)劃或?yàn)?zāi)難恢復(fù)預(yù)案的有效性的培訓(xùn)、演練和檢查的全部過程。 72 BCM、 BCP、 DRP ? 對(duì)于信息化依賴程度高的單位，信息系統(tǒng)災(zāi)難恢復(fù)是其業(yè)務(wù)連續(xù)規(guī)劃的重要組成部分。信息系統(tǒng)災(zāi)難恢復(fù)的目的是保證信息系統(tǒng)所支持業(yè)務(wù)的連續(xù)，業(yè)務(wù)連續(xù)規(guī)劃面向信息系統(tǒng)及業(yè)務(wù)恢復(fù)。 73 BCP/DRP的指標(biāo) 恢復(fù)點(diǎn)目標(biāo) RPO/恢復(fù)時(shí)間目標(biāo) RTO 秒 分 小時(shí) 日 周 秒 分 小時(shí) 日 周 恢復(fù)點(diǎn) 恢復(fù)時(shí)間 ? RPO－ Recovery Point Objective，恢復(fù)點(diǎn)目標(biāo) ? 定義：災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求 ? 代表了當(dāng)災(zāi)難發(fā)生時(shí)允許丟失的數(shù)據(jù)量 ? RTO－ Recovery Time Objective ，恢復(fù)時(shí)間目標(biāo) ? 定義：災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間要求。 ? 代表了系統(tǒng)恢復(fù)的時(shí)間 74 BCP/DRP的指標(biāo) 恢復(fù)點(diǎn)目標(biāo) RPO/恢復(fù)時(shí)間目標(biāo) RTO 在業(yè)務(wù)持續(xù)性方面， RTO (Recovery Time Objective恢復(fù)時(shí)間目標(biāo) )是指可以重新開始業(yè)務(wù)的時(shí)間，對(duì)磁帶備份而言，最好的 RTO是一天，而對(duì)于復(fù)制技術(shù)，由于其副本是已經(jīng)在線（在另一個(gè)遠(yuǎn)端站）的，因此 RTO接近于零。 仍然是在業(yè)務(wù)持續(xù)性方面，另一個(gè)衡量目標(biāo)是 RPO (Recovery Point Objective恢復(fù)時(shí)點(diǎn)目標(biāo) )，也即我可以從哪開始重新，意即恢復(fù)后的數(shù)據(jù)時(shí)期與最新數(shù)據(jù)的時(shí)間差異，對(duì)磁帶而言即是最后一次備份與故障發(fā)生時(shí)之間的時(shí)間間隔。你的客戶會(huì)發(fā)現(xiàn)這段時(shí)間的全部數(shù)據(jù)都丟失了，而對(duì)于實(shí)時(shí)的復(fù)制而言，客戶基本感覺不到差異。 75 主中心與災(zāi)難備份中心 ?主中心也稱主站點(diǎn)或生產(chǎn)中心，是指主系統(tǒng)所在的數(shù)據(jù)中心。 ?災(zāi)難備份中心也稱備用站點(diǎn)。是指用于災(zāi)難發(fā)生后接替主系統(tǒng)進(jìn)行數(shù)據(jù)處理和支持關(guān)鍵業(yè)務(wù)功能運(yùn)作的場(chǎng)所，可提供災(zāi)難備份系統(tǒng)、備用的基礎(chǔ)設(shè)施和專業(yè)技術(shù)支持及運(yùn)行維護(hù)管理能力，此場(chǎng)所內(nèi)或周邊可提供備用的生活設(shè)施。 76 主系統(tǒng)與災(zāi)難備份系統(tǒng) ?主系統(tǒng)也稱生產(chǎn)系統(tǒng)，是指正常情況下支持組織日常運(yùn)作的信息系統(tǒng)。包括主數(shù)據(jù)、主數(shù)據(jù)處理系統(tǒng)和主網(wǎng)絡(luò)。 ?災(zāi)難備份系統(tǒng)，是指用于災(zāi)難恢復(fù)目的，由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用的網(wǎng)絡(luò)系統(tǒng)組成的信息系統(tǒng)。 77 災(zāi)難恢復(fù)過程 78 災(zāi)難恢復(fù)建設(shè)流程 79 我國(guó)國(guó)內(nèi)災(zāi)難恢復(fù)的發(fā)展概況 ?20世紀(jì) 90年代末期，一些單位在信息化建設(shè)的同時(shí)，開始關(guān)注對(duì)數(shù)據(jù)安全的保護(hù)，進(jìn)行數(shù)據(jù)的備份，但當(dāng)時(shí)，不論從災(zāi)難恢復(fù)理論水平，重視程度，從業(yè)人員數(shù)量質(zhì)量，還是技術(shù)水平方面都還很不成熟。 ?2022年，“千年蟲”事件引發(fā)了國(guó)內(nèi)對(duì)于信息系統(tǒng)災(zāi)難的第一次集體性關(guān)注，但“ ” 事件所引起的震動(dòng)真正地引起了大家對(duì)災(zāi)難恢復(fù)的關(guān)注。 80 我國(guó)國(guó)內(nèi)災(zāi)難恢復(fù)的發(fā)展概況 ?各行業(yè)用戶對(duì)信息安全的建設(shè)越來越重視投入呈現(xiàn)穩(wěn)定增長(zhǎng)的態(tài)勢(shì) ,但， ? 大部分單位還沒有有效的災(zāi)難恢復(fù)策略 ? 沒有建立統(tǒng)一的業(yè)務(wù)連續(xù)管理機(jī)制。 ?隨著國(guó)內(nèi)信息化建設(shè)的不斷完善、數(shù)據(jù)大集中的開展和國(guó)家對(duì)災(zāi)難恢復(fù)工作的高度重視，越來越多的單位和部門認(rèn)識(shí)到災(zāi)難恢復(fù)的重要性和必要性， 開展災(zāi)難恢復(fù)建設(shè)的時(shí)機(jī)已基本成熟。 81 我國(guó)國(guó)內(nèi)災(zāi)難恢復(fù)的國(guó)家政策和標(biāo)準(zhǔn) ?2022年， 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 》 ，要求：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災(zāi)難恢復(fù)，制定和不斷完善信息安全應(yīng)急處置預(yù)案。 ?2022年，國(guó)信辦 《 關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知 》 ，強(qiáng)調(diào)了“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”的災(zāi)備工作原則。 ?2022年，國(guó)務(wù)院信息化辦公室 《 重要信息系統(tǒng)災(zāi)難恢復(fù)指南 》 ?2022年， 《 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》 （ GB/T 20988— 2022） 82 我國(guó)國(guó)內(nèi)災(zāi)難恢復(fù)地方和行業(yè)的發(fā)展 ?北京市 、 上海市 、 深圳市 、 廣州市 、 成都市等地都已出臺(tái)或正在研究電子政務(wù)信息系統(tǒng)災(zāi)難恢復(fù)工作的意見和規(guī)劃； ?人民銀行 、 銀監(jiān)會(huì) 、 保監(jiān)會(huì)出臺(tái)了有關(guān)行業(yè)政策 ?國(guó)稅總局 、 海關(guān)總署 、 人民銀行 、 商務(wù)部等部委均已完成或正在建設(shè)災(zāi)備中心；北京 、 上海 、 深圳 、 廣州 、 杭州等各地政府已建設(shè)或啟動(dòng)災(zāi)備中心建設(shè) 。 ?其他信息化程度較高的行業(yè)如保險(xiǎn) 、 證券 、 電力、 民航 、 電信 、 石化 、 鋼鐵等企業(yè)正在開展和規(guī)劃災(zāi)難恢復(fù)系統(tǒng)的建設(shè) 83 我國(guó)災(zāi)難恢復(fù)工作存在的主要問題 ?存在僥幸心理 ， 缺乏開展災(zāi)難恢復(fù)工作的積極性； ?在沒有統(tǒng)籌規(guī)劃 ， 各行業(yè)及地方自行建設(shè)災(zāi)難備份中心 ， 造成社會(huì)經(jīng)濟(jì)資源的分散和浪費(fèi)； ?從事災(zāi)難恢復(fù)建設(shè)和服務(wù)的企業(yè)良莠不齊 ， 部分企業(yè)缺乏專業(yè)化能力 ， 不能滿足災(zāi)難恢復(fù)的要求； ?已建成的災(zāi)備中心普遍缺乏嚴(yán)格的演練 ， 災(zāi)備中心的運(yùn)營(yíng)缺乏有效的監(jiān)管和審計(jì) ， 導(dǎo)致大量的災(zāi)備中心無法在災(zāi)難來臨時(shí)有效發(fā)揮作用； ?災(zāi)難備份恢復(fù)有關(guān)人員意識(shí)欠缺 、 專業(yè)人才缺乏 84 災(zāi)難恢復(fù)規(guī)劃的過程階段 業(yè)務(wù)影響 分析 制定 恢復(fù)策略 災(zāi)難恢復(fù)策略的實(shí)現(xiàn) 災(zāi)難恢復(fù)預(yù)案的制定、落實(shí)和管理 ?分析業(yè)務(wù)功能和相關(guān)資源配置 ?評(píng)估中斷影響 ?確定災(zāi)難恢復(fù)資源獲取方式 ?確定災(zāi)難恢復(fù)等級(jí)的要素要求 ?正式文檔化 ?災(zāi)難備份中心的選擇和建設(shè) ?災(zāi)難備份系統(tǒng)技術(shù)方案的實(shí)現(xiàn) ?技術(shù)支持能力的實(shí)現(xiàn) ?運(yùn)行維護(hù)能力的實(shí)現(xiàn) ?災(zāi)難恢復(fù)預(yù)案的制訂 ?災(zāi)難恢復(fù)預(yù)案的教育、培訓(xùn)和演練 ?災(zāi)難恢復(fù)預(yù)案的管理 風(fēng)險(xiǎn)分析 ?標(biāo)識(shí)資產(chǎn) ?標(biāo)識(shí)威脅 ?標(biāo)識(shí)脆弱性 ?標(biāo)識(shí)現(xiàn)有控制 ?定量 /定性風(fēng)險(xiǎn)分析 災(zāi)難恢復(fù)需求分析 災(zāi)難恢復(fù)策略制定 災(zāi)難恢復(fù)預(yù)案制定和管理 災(zāi)難恢復(fù)策略實(shí)現(xiàn) 確定災(zāi)難恢復(fù)目標(biāo) ?關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先級(jí) ?RTO/RPO的范圍 85 1. 災(zāi)難恢復(fù)需求分析 ?風(fēng)險(xiǎn)評(píng)估對(duì)我們?yōu)槭裁葱枰獮?zāi)難恢復(fù)建設(shè)這一問題給出了答案 ?業(yè)務(wù)影響分析 BIA 為我們后續(xù)的災(zāi)難恢復(fù)系統(tǒng)建設(shè)提供了以下信息： ? – 誰、什么、何地、何時(shí)、如何 ?機(jī)構(gòu)面臨的風(fēng)險(xiǎn)有哪些？ ?哪些風(fēng)險(xiǎn)的危害更大？ ?哪些業(yè)務(wù)和系統(tǒng)對(duì)機(jī)構(gòu)更重要？ ?這些業(yè)務(wù)和系統(tǒng)的關(guān)系？ ?這