《第七章应急响应备份与灾难恢复技术教学教案》由会员分享,可在线阅读,更多相关《第七章应急响应备份与灾难恢复技术教学教案(25页珍藏版)》请在金锄头文库上搜索。
1、事件响应,事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检测和响应。 网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。,什么是应急响应,应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式。 应急响应服务是解决网络系统安全问题的有效安全服务手段之一。,应急响应的目的,应急响应的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。 定位并排除系统故障 提高对网络黑客攻击的抵御和防范的规范程度 预防重大事件的发生 提高组织对系统安全事件的快
2、速反应和恢复能力 网络系统的性能优化 提供整体网络运行的健康以及趋势分析,应急响应的过程,响应前的 准备工作 工作流程 报警方法 备份体系 安全培训,识别和发现 各种安全的 紧急事件 检测设备 报警Agent,把事件影响 降到最小 阻断 缓解 封堵 隔离,真正解 决问题 如:清除病毒、修补漏洞,数据和系统被破坏情况下,进行恢复,回顾并整合安全事件的相关信息,应急响应的过程准备,基于威胁建立一组合理的防御/控制措施 建立一组尽可能高效的事件处理程序 准备处理问题必须的资源和人员 建立一个支持事件响应活动的基础设施,应急响应的过程检测,确定事件是已经发生了还是在进行当中。 初步动作和响应 选择检测
3、工具,分析异常现象 激活审计功能 迅速备份完整系统 记录所发生事件 估计安全事件的范围,应急响应的过程抑制,限制攻击的范围,同时限制了潜在的损失和破坏。 抑制策略 完全关闭所有系统; 将网络断开; 修改所有防火墙和路由器的过滤规则,拒绝来自看起来是发起攻击的主机的所有的流量; 封锁或删除被攻击的登录账号; 提高系统或网络行为的监控级别; 设置诱饵服务器作为陷阱; 关闭被利用的服务; 反击攻击者的系统等。,应急响应的过程根除,安全事件被抑制后,找出事件根源并彻底根除,从而根除了影响的进一步扩大。 确定事件的起因和症状 增强防御技术 进行漏洞分析 删除事件的源头 查找最近的干净备份,应急响应的过程
4、恢复,把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。 决定恢复操作的时间 修复系统、网络或数据 使整个系统运行正常 监控系统,应急响应的过程跟踪,回顾事件处理过程,拟定一份事件记录和跟踪报告 总结经验教训 为管理或法律目的收集损失统计信息 建立或补充自己的应急事件库,应急响应服务,形式 远程应急响应服务 本地应急响应服务 服务的指标 时间,应急处理内容,恶性病毒爆发 严重漏洞发布,可能在短期内出现蠕虫 确认病毒已经开始广泛传播和攻击 大多数主机工作异常,网络通讯出现异常 多数主机的防毒系统有报警,但是无法清除病毒 拒绝服务攻击 互联网出口缓慢 公开提供服务的服务器访
5、问缓慢 网络流量出现不可解释的异常增加 服务器入侵 页面被非法篡改,或者出现非法文件 数据异常丢失 机密数据有被泄漏的证据 出现非法登陆或者日志被删改的情况,事件分级与处理方式,数据备份与灾难恢复,备份与恢复技术,备份与恢复是一种数据安全策略,通过备份软件把数据备份到磁带上,在原始数据丢失或遭到破坏的情况下,利用备份数据把原始数据恢复出来,使系统能够正常工作。理想的备份系统是全方位、多层次的。 数据备份与恢复技术通常会涉及到以下几个方面: 存储设备:磁盘阵列、磁带、光盘、SAN设备 存储优化:DAS(直接连接存储)、NAS(网络连接存储)、 SAN(存储区域网络) 存储保护:磁盘阵列、双机容错
6、、集群、备份与恢复 存储管理:文件与卷管理、复制、SAN管理,备份方式,硬件备份:用冗余的硬件来保证系统的连续运行。比如 磁盘镜像、磁盘阵列、双机容错等方式。 磁盘镜像(Mirroring):可以防止单个硬盘的物理损坏,但无法防止逻辑损坏。 磁盘阵列(Disk Array):磁盘阵列一般采用RAID5技术,可以防止多个硬盘的物理损坏,但无法防止逻辑损坏。 双机容错:SFTIII、Standby、Cluster都属于双机容错的范畴。双机容错可以防止单台计算机的物理损坏,但无法防止逻辑损坏。,备份方式,软件备份:是指将系统数据保存到其他介质上, 当出现错误时可以将系统恢复到备份时的状态。 由于这种
7、备份是由软件来完成的,所以称为软件 备份。,数据备份策略,完全备份:每次备份定义的所有数据,优点是恢复快,缺点是备份数据量大,数据多时可能做一次全备份需很长时间; 增量备份:备份自上一次备份以来更新的所有数据,其优点是每次备份的数据量少,缺点是恢复时需要全备份及多份增量备份; 差分备份:备份自上一次全备份以来更新的所有数据,其优缺点介于上两者之间。,数据备份一般规则,对于操作系统和应用程序代码,可在每次系统更新或安装新软件和做一次完全备份; 对于一些日常数据更新量大,但总体数据量不是非常大的关键应用数据,可每天在用户使用量较小的时候安排完全备份; 对于日常更新量相对于总体数据量较小,而总体数据
8、量非常大的关键应用数据,可每隔一个月或一周安排一次全备份,再此基础上,每隔一个较短的时间间隔做增量备份。,数据备份场所,具备与主中心相似的网络和通信设置 具备业务应用运行的基本系统配置 具备稳定、高效的电信通路连接中心,例如光纤、E3/T3、ATM,确保数据的实时备份 具备日常维护条件 与主中心相距足够安全的距离,灾难恢复,数据库受到破坏 采用完全备份或完全备份/增量备份结合的恢复。由于数据库留有归档日志文件和联机日志文件,一旦所有数据库文件恢复,即可通过日志重做恢复所有记录。 文件系统受到破坏 可简单地使用文件系统的备份介质进行文件系统恢复。 操作系统破坏 建议建立操作系统的镜像机制(使用logical volume),或采用操作系统本身提供的系统盘备份工具,确保操作系统可以在任何情况下不受破坏。,业务持续性影响分析,技术因素 应用因素 人为因素 环境因素 其中应用因素和人为因素占据了主要部分,谢谢大家!,
