【正文】 ? 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； ? 審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。 ? 入侵檢測(cè)一般分為 3個(gè)步驟：信息收集、數(shù)據(jù)分析、響應(yīng)。 ? 信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來(lái)自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息。 ? 數(shù)據(jù)分析是入侵檢測(cè)的核心。它首先構(gòu)建分析器，把收集到的信息經(jīng)過(guò)預(yù)處理，建立一個(gè)行為分析引擎或模型，然后向模型中植入時(shí)間數(shù)據(jù)，在知識(shí)庫(kù)中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過(guò)模式匹配、統(tǒng)計(jì)分析和完整性分析３種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測(cè)，而完整性分析則用于事后分析?？捎茫捣N統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過(guò)程模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。 ? 入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動(dòng)響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動(dòng)響應(yīng)（報(bào)告和記錄所檢測(cè)出的問(wèn)題）兩種類型。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行，可對(duì)入侵者采取行動(dòng)（如斷開(kāi)連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動(dòng)響應(yīng)則包括告警和通知、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ SNMP）陷阱和插件等。另外，還可以按策略配置響應(yīng)，可分別采取立即、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行動(dòng)。 黎連業(yè) ? 入侵檢測(cè)系統(tǒng)可以分為如下幾種類型： ? 基于主機(jī)的入侵檢測(cè)系統(tǒng)，其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上發(fā)生的入侵。 ? 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，其輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流，能夠檢測(cè)該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。 ? 分布式入侵檢測(cè)系統(tǒng)，能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。 黎連業(yè) 數(shù)據(jù)備份與災(zāi)難恢復(fù)的安全管理 ? 原因主要有以下幾個(gè)方面： ? 自然災(zāi)害，如水災(zāi)、火災(zāi)、雷擊、地震等造成計(jì)算機(jī)系統(tǒng)的破壞，導(dǎo)致存儲(chǔ)數(shù)據(jù)被破壞或完全丟失； ? 系統(tǒng)管理員及維護(hù)人員的誤操作； ? 計(jì)算機(jī)設(shè)備故障，其中包括存儲(chǔ)介質(zhì)的老化、失效； ? 病毒感染造成的數(shù)據(jù)破壞； ? Inter上“黑客”的侵入和來(lái)自內(nèi)部網(wǎng)的蓄意破壞等。 黎連業(yè) ? 災(zāi)難恢復(fù)的意義在于： ? 降低風(fēng)險(xiǎn)，保證在發(fā)生各種不可預(yù)料的故障、破壞性事故或其他災(zāi)難情況下，能夠持續(xù)服務(wù)，確保業(yè)務(wù)系統(tǒng)的不間斷運(yùn)行，降低各種損失 ； ? 在遇到災(zāi)難襲擊時(shí)，最大限度地保護(hù)數(shù)據(jù)的實(shí)時(shí)性、完整性和一致性，降低數(shù)據(jù)的損失，快速恢復(fù)系統(tǒng)的操作、應(yīng)用和數(shù)據(jù)； ? 提供各種恢復(fù)策略的選擇，盡量減少數(shù)據(jù) 黎連業(yè) ? 備份策略的選擇 ? 備份與恢復(fù)是一種數(shù)據(jù)安全策略，通過(guò)備份軟件把數(shù)據(jù)備份到磁帶上，在原始數(shù)據(jù)丟失或遭到破壞的情況下，利用備份數(shù)據(jù)把原始數(shù)據(jù)恢復(fù)出來(lái)，使系統(tǒng)能夠正常工作。 ? 全備份，將系統(tǒng)中所有的數(shù)據(jù)信息全部備份； ? 差分備份，只備份上次備份后系統(tǒng)中變化過(guò)的數(shù)據(jù)信息； ? 增量備份，只備份上次完全備份后系統(tǒng)中變化過(guò)的數(shù)據(jù)信息 黎連業(yè) ? 數(shù)據(jù)備份與恢復(fù)技術(shù)通常會(huì)涉及到以下幾個(gè)方面： ? 存儲(chǔ)設(shè)備：磁盤(pán)陣列、磁帶、光盤(pán)、 SAN設(shè)備 ? 存儲(chǔ)優(yōu)化： DAS、 NAS、 SAN ? 存儲(chǔ)保護(hù)：磁盤(pán)陣列、雙機(jī)容錯(cuò)、集群、備份與恢復(fù) ? 存儲(chǔ)管理：文件與卷管理、復(fù)制、 SAN管理 ? 備份與恢復(fù)技術(shù)。 黎連業(yè) ? 備份方式的選擇 ? 硬件備份 ? 硬件備份是指用冗余的硬件來(lái)保證系統(tǒng)的連續(xù)運(yùn)行。比如磁盤(pán)鏡像、磁盤(pán)陣列、雙機(jī)容錯(cuò)等方式。 ? 簡(jiǎn)單地講，磁盤(pán)鏡像（ Mirroring）就是一個(gè)原始的設(shè)備虛擬技術(shù)，它的原理是：系統(tǒng)產(chǎn)生的每個(gè) I/O操作都在兩個(gè)磁盤(pán)上執(zhí)行，而兩個(gè)磁盤(pán)看起來(lái)就像一個(gè)磁盤(pán)一樣。有三種方式可以實(shí)現(xiàn)磁盤(pán)鏡像：運(yùn)行在主機(jī)系統(tǒng)的軟件，外部磁盤(pán)子系統(tǒng)和主機(jī) I/O控制器。第一種方式是軟件方式，而后兩種主要是硬件實(shí)現(xiàn)方式。 ? 磁盤(pán)陣列（ Disk Array）分為軟陣列 (Software Raid)和硬陣列 (Hardware Raid) 兩種。軟陣列即通過(guò)軟件程序并由計(jì)算機(jī)的 CPU提供運(yùn)行能力所成。由于軟件程序不是一個(gè)完整系統(tǒng)，它只能提供最基本的 RAID容錯(cuò)功能。硬陣列是由獨(dú)立操作的硬件提供整個(gè)磁盤(pán)陣列的控制和計(jì)算功能，不依靠系統(tǒng)的 CPU資源。由于硬陣列是一個(gè)完整的系統(tǒng)，所有需要的功能均可以做進(jìn)去，所以硬陣列所提供的功能和性能均比軟陣列好，而且，如果你想把系統(tǒng)也做到磁盤(pán)陣列中，硬陣列是唯一的選擇。 黎連業(yè) 建議建設(shè)單位制定災(zāi)難恢復(fù)計(jì)劃 ? 為有效進(jìn)行災(zāi)難恢復(fù)，需要編制災(zāi)難恢復(fù)計(jì)劃。有效地制定災(zāi)難恢復(fù)計(jì)劃必須和商業(yè)優(yōu)先權(quán)以及現(xiàn)有的 IT基礎(chǔ)及預(yù)算相配合。災(zāi)難恢復(fù)計(jì)劃的目的是能夠保證在災(zāi)難發(fā)生時(shí)，迅速安裝計(jì)算機(jī)系統(tǒng)，盡快恢復(fù)操作，重新開(kāi)展業(yè)務(wù)。此外，由于系統(tǒng)安裝的資源通常不斷更新，如，開(kāi)發(fā)了新的應(yīng)用、現(xiàn)有系統(tǒng)的改進(jìn)、人員的離職、新硬件的獲取等，也要求恢復(fù)計(jì)劃隨之更新。維護(hù)恢復(fù)計(jì)劃的目的是減少災(zāi)難恢復(fù)過(guò)程中決策的不確定性，也減少對(duì)災(zāi)難恢復(fù)團(tuán)隊(duì)人員的依賴。災(zāi)難恢復(fù)計(jì)劃應(yīng)該是書(shū)面材料，它包括如下內(nèi)容： ? 鑒別關(guān)鍵應(yīng)用，確定災(zāi)難恢復(fù)計(jì)劃的使命； ? 數(shù)據(jù)的備份（全部備份、差分備份或增量備份）； ? 熱站、冷站或溫站； ? 災(zāi)難恢復(fù)計(jì)劃的測(cè)試或培訓(xùn)； ? 指定災(zāi)難恢復(fù)計(jì)劃負(fù)責(zé)人； ? 操作系統(tǒng)、設(shè)施和文件的備份； ? 緊急電話號(hào)碼列表； ? 保險(xiǎn)； ? 通信計(jì)劃； ? 信息系統(tǒng)和操作文檔； ? 替代工作站點(diǎn)的雇員配置計(jì)劃； ? 水與食品的供應(yīng)； ? 關(guān)鍵人員職位的備份； ? 軟硬件清單； ? 采用手工部分對(duì)自動(dòng)步驟進(jìn)行備份； ? 與員工簽訂協(xié)議。 黎連業(yè) 災(zāi)難恢復(fù)計(jì)劃的監(jiān)理工作 ? 在對(duì)災(zāi)難恢復(fù)計(jì)劃進(jìn)行監(jiān)理時(shí)，需要強(qiáng)調(diào)以下幾點(diǎn)： ? 獲得管理層的支持，這一點(diǎn)非常重要，因?yàn)樗械馁Y金投入都要得到高級(jí)管理層的通過(guò)。高級(jí)管理層的介入可以確保災(zāi)難發(fā)生時(shí)能夠從他們那里得到思想和財(cái)政上的支持； ? 召開(kāi)一次解決方案研討會(huì)，設(shè)計(jì)組織獨(dú)有的恢復(fù)解決方案并提出項(xiàng)目實(shí)現(xiàn)計(jì)劃，探討如何實(shí)施在解決方案研討會(huì)中所提出的項(xiàng)目計(jì)劃； ? 選定負(fù)責(zé)人，潛在的人選包括業(yè)務(wù)主管、數(shù)據(jù)中心主管甚至是基礎(chǔ)設(shè)施管理人員； ? 進(jìn)行業(yè)務(wù)影響分析，鑒別關(guān)鍵的業(yè)務(wù)過(guò)程，評(píng)估重要恢復(fù)點(diǎn)和恢復(fù)時(shí)間目標(biāo)以及IT環(huán)境。并圍繞組織所有的關(guān)鍵部分制定計(jì)劃，包括人員、設(shè)備、連通性、數(shù)據(jù)、應(yīng)用、訪問(wèn)等； ? 評(píng)定保持業(yè)務(wù)持續(xù)性的戰(zhàn)略，這項(xiàng)評(píng)定包括公司內(nèi)部有代表性的遠(yuǎn)程站點(diǎn)和外部供應(yīng)商提供的冷站； ? 進(jìn)行恢復(fù)功能測(cè)試和災(zāi)難恢復(fù)模擬，保證在組織所規(guī)定的時(shí)間內(nèi)完成恢復(fù)，并進(jìn)行評(píng)審； ? 一旦計(jì)劃制定，組織全體人員都應(yīng)熟悉此項(xiàng)計(jì)劃，便于災(zāi)難發(fā)生時(shí)，每個(gè)人都能迅速各施其職； ? 提供全面的備援中心設(shè)施： UPS、備份設(shè)備、消防系統(tǒng)、以及煙霧 /水探測(cè)系統(tǒng)。并確保備援中心安全，提供進(jìn)入機(jī)房的身份鑒定、安全保衛(wèi)措施，并確保備援中心可用性和現(xiàn)場(chǎng)操作支持； ? 災(zāi)難恢復(fù)計(jì)劃應(yīng)以文檔記錄，在工作人員之間共享，并應(yīng)該進(jìn)行災(zāi)難計(jì)劃的測(cè)試以及升級(jí)。保證計(jì)劃在災(zāi)難發(fā)生時(shí)必須是易于訪問(wèn)和執(zhí)行； ? 在系統(tǒng)上裝載和運(yùn)行必需的工具來(lái)衡量恢復(fù)解決方案的要求； ? 保證解決方案中的所有硬件、軟件和網(wǎng)絡(luò)部件的可用性； ? 提供可擴(kuò)展的容量來(lái)滿足組織的預(yù)期工作負(fù)荷。 黎連業(yè) 第 11講的回顧 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 黎連業(yè) 演講完畢，謝謝觀看！