应急响应与灾难恢复专题讲座PPT

《应急响应与灾难恢复专题讲座PPT》由会员分享，可在线阅读，更多相关《应急响应与灾难恢复专题讲座PPT（81页珍藏版）》请在金锄头文库上搜索。

1、应急响应与灾难恢复培训机构名称 讲师姓名版本：3.0发布日期：2014-12-1 生效日期：2015-1-1课程内容2知识体知识域知识子域应急响应与 灾难恢复信息系统 灾难恢复灾难恢复概况信息安全应急响应管理过程信息安全事件分类分级灾难恢复管理过程应急响应概况计算机取证灾难恢复 相关技术灾难恢复能力备份技术备用场所知识域：应急响应概况v知识子域： 信息安全事件分类分级 理解信息安全事件和应急响应的基本概念 了解国际和我国的信息安全应急响应组织 了解我国信息安全事件应急响应工作的进展情况、 政策要求和相关标准 理解我国信息安全事件分类、分级方法3基本概念4GB/T 24363-2009 信息安全

2、应急响应计划规范 信息安全事件由于自然或者人为以及软硬件本身缺陷或故障的原因 ，对信息系统造成危害，或在信息系统内发生对社会 造成负面影响的事件 应急响应组织为了应对突发/重大信息安全事件的发生所做的准 备，以及在事件发生后所采取的措施5GB/Z 20985-2007 信息安全事件管理指南 信息安全事件响应组由组织中具备适当技能且可信的成员组成的一个小组 ，负责处理与信息安全事件相关的全部工作，有时小 组可能有外部专家加入 CERT 计算机应急响应组国际或国家公认的计算机应急响应组织基本概念国际信息安全应急响应组织6 美国计算机紧急事件响应小组协调中心 （Computer Emergency

3、Response Team/Coordination Center, CERT/CC） 事件响应与安全组织论坛（Forum of Incident Response and Security Teams, FIRST） 亚太地区计算机应急响应组（Asia Pacific Computer Emergency Response Team, APCERT） 欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association, TERENA) 我国信息安全应急响应组织7 国家计算机网络应急技术处理协调中心 （ Nati

4、onal Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC） 中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team, CCERT) 国家计算机病毒应急处理中心 国家计算机网络入侵防范中心 国家863计划反计算机入侵和防病毒研究中心应急响应组织的一般构成8国家政策要求和相关标准9 关于加强信息安全保障工作的意见（中办发 200327号文）指出：“信

5、息安全保障工作的要点在 于，实行信息安全等级保护制度，建设基于密码技术 的网络信任体系，建设信息安全监控体系，重视信息 安全应急处理工作，推动信息安全技术研发与产业发 展，建设信息安全法制与标准” GB/T 24363-2009 信息安全应急响应计划规范 GB/T 20988-2007 信息系统灾难恢复规范 GB/Z 20985-2007 信息安全事件管理指南 GB/Z 20986-2007 信息安全事件分类分级指南 我国信息安全事件分类方法10GB/Z 20986-2007信息安全事件分级分类指南7个基本类别 有害程序事件：病毒、蠕虫、木马等 网络攻击事件：DOS、后门攻击、扫描、钓鱼等 信

6、息破坏事件：信息被篡改、假冒、窃取等 信息内容安全事件：危害国家安全、社会稳定等 设备设施故障：软硬件自身故障和人为非技术破坏等 灾害性事件：自然灾害、战争等 其他信息安全事件：不能归为以上6个类别的事件我国信息安全事件分级方法11分级要素 GB/Z 20986-2007信息安全事件分级 分类指南系统 损失社会影响信息 系统 的重 要程 度我国信息安全事件分级方法 GB/Z 2098612特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括 以下情况： 会使特别重要信息系统遭受特别严重的系统损失 产生特别重大的社会影响 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况

7、： 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失 产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况 ：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，一般信 息系统遭受特别严重的系统损失 产生较大的社会影响一般事件是指不满足以上条件的信息安全事件，包括以下情况： 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信 息系统遭受严重或严重以下级别的系统损失 产生一般的社会影响特别重 大事件 重 大 事 件较 大 事 件一 般 事 件1级2级3级4级知识域：应急响应概况v知识

8、子域： 信息安全应急响应管理过程 掌握信息安全应急响应阶段方法论 掌握准备、检测、遏制、根除等应急响应阶段的主 要工作内容 掌握信息安全应急响应计划编制方法13应急响应六阶段14第一阶段：准备让我们严阵以待第二阶段：检测对情况综合判断第三阶段：遏制制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复系统恢复常态第六阶段：跟踪总结还会有第二次吗第一阶段 准备15 预防为主 微观 确定重要资产和风险，实施针对风险的防护措施 编制和管理应急响应计划 建立和训练应急响应组织 准备相关的资源 人力资源、财力资源、物质资源、技术资源、社会关系资源 宏观 建立协作体系和应急制度 建立信息沟通渠道和通报机

9、制 如有条件，建立数据汇总分析的体系和能力 有关法律法规的制定准备检测遏制根除恢复跟踪总结编制和管理应急响应计划16 应急响应计划，是指在突发/重大信息安全事件后对 包括计算机运行在内的业务运行进行维持或恢复的策 略和规程 应急响应计划的制定是一个周而复始、持续改进的过 程，包含以下几个阶段（1）应急响应需求分析和应急响应策略的确定（2）编制应急响应计划文档（3）应急响应计划的测试、培训、演练和维护 应急响应计划主要内容 总则、角色及职责、预防和预警机制、应急响应流程、应急 响应保障措施、附件第二阶段 检测17检测事件、确定事件性质和处理人微观 进行监测、报告及信息收集 确定事件类别和级别 指

10、定事件处理人，进行初步响应 评估事件的影响范围 事件通告（信息通报、信息上报、信息披露）宏观： 通过汇总，确定是否发生了全网的大规模事件 确定应急等级，以决定启动哪一级应急方案准备检测遏制根除恢复跟踪总结第三阶段 遏制18限制事件影响的范围、损失 微观 启动应急响应计划 确定适当的响应方式 实施遏制行动 要求用户按应急行为规范要求配合遏制工作 宏观 确保封锁方法对各网业务影响最小 通过协调争取各网一致行动，实施隔离 汇总数据，估算损失和隔离效果准备检测遏制根除恢复跟踪总结第四阶段 根除19长期的补救措施 微观 详细分析，确定原因 实施根除措施，消除原因 宏观 加强宣传，公布危害性和解决办法，呼

11、吁用户解 决终端的问题 加强检测工作，发现和清理行业与重点部门的问 题准备检测遏制根除恢复跟踪总结第五阶段 恢复20微观 根据破坏程度决定是在原系统还是备份系统中恢复 按恢复优先顺序恢复系统和业务运行 可能需要执行以下事务性步骤和技术性恢复操作 获得访问相关区域和资源的授权 获取备份介质等相关资源 恢复系统数据 启用备份系统 重建主系统 宏观 持续汇总分析，判断遏制、根除效果 通过汇总分析的结果判断仍然受影响的终端的规模 适当时解除封锁措施准备检测遏制根除恢复跟踪总结第六阶段 跟踪总结21 关注系统恢复以后的安全状况，记录跟踪结果 评估损失、响应措施效果 分析和总结经验、教训 重新评估和修改安

12、全策略、措施和应急响应计划 对进入司法程序的事件，进行进一步调查，打击违 法犯罪活动 编制并提交应急响应报告 处理人 时间和时段 地点 工作量准备检测遏制根除恢复跟踪总结事件的类类别、级别 对事件的处置情况 损失 经验、教训知识域：应急响应概况v知识子域： 计算机取证 了解计算机取证的概念和目的 了解计算机取证的基本步骤22计算机取证的概念、目的、原则v计算机取证 使用先进的技术和工具，按照标准规程全面地检查计 算机系统，以提取和保护有关计算机犯罪的相关证据 的活动 提取和保护的是电子证据，相关工作主要围绕两个方 面进行：证据的获取和证据的分析 v目的 查找肇事者、推断犯罪过程、判断受害者损失

13、程度、 提供法律支持 v原则 合法原则、充分授权原则、优先保护证据原则、全程 监督原则23计算机取证的步骤24准 备保 护提 取分 析提 交计算机取证-准备v获取授权 取证工作获得明确的授权（授权书） v目标明确 对取证的目的有清晰的认识 v工具准备 对取证环境的了解及需要准备的工具 v软件准备 对取证的软件进行过有效的验证 v介质准备 确保有符合要求的干净的介质可用于取证25计算机取证-保护v保证数据安全性 制作磁盘映像不在原始磁盘上操作 v保证数据完整性 取证中不使用可能破坏完整性的操作 v第三方监督 所有操作都有第三方在场监督26计算机取证-提取27v优先提取易消失的证据 内存信息、系统

14、进程、网络连接信息、路由信息、临 时文件、缓存v文件系统 数据恢复、隐藏文件、加密文件、系统日志v应用系统 系统日志计算机取证-分析及提交v证据在什么地方？ 日志、删除的文件、临时文件、缓存v从证据中能发现什么？v如何关联证据？v电子取证提交 必须与现实取证结合，文档化很重要28知识域：信息系统灾难恢复v知识子域： 灾难恢复概况 了解灾难恢复的历史和背景、进展情况、政策要求 和相关标准 理解业务连续性管理与灾难恢复相关的基本概念 了解灾难恢复组织的一般结构和职责 理解组织应依据自身业务特点制定适宜的灾难恢复 战略 理解编制详细准确的备份策略和恢复步骤文档是成 功恢复的基础，理解恢复性测试的重要

15、性29灾难恢复的历史和背景 v20世纪90年代末期，开始关注数据安全，进行数据 的备份。但当时，不论从灾难恢复理论水平，重视 程度，从业人员数量质量，还是技术水平方面都还 很不成熟。 v2000年，“千年虫”事件引发了国内对于信息系统 灾难的第一次集体性关注，但“9.11”事件所引起 的震动真正地引起了大家对灾难恢复的关注30我国灾难恢复进展情况v各行业用户对信息安全的建设越来越重视投入呈 现稳定增长的态势。但， 大部分单位还没有有效的灾难恢复策略 没有建立统一的业务连续管理机制 v随着国内信息化建设的不断完善、数据大集中的 开展和国家对灾难恢复工作的高度重视，越来越 多的单位和部门认识到灾难恢复的重要性和必要 性，开展灾难恢复建设的时机已基本成熟v一些大型行业已建设或启动灾备中心建设31我国国内灾难恢复的国家政策和标准 v2003年，国家信息化领导小组关于加强信息安全保 障工作的意见，要求：各基础信息网络和重要信息 系统建设要充分考虑抗毁性与灾难恢复，制定和不断 完善信息安全应急处置预案 v2004年，国信办关于做好重要信息系统灾难备份工 作的通知，强调了“统筹规划、资源共享、平战结 合”的灾备工作原则 v2005年，国务院信息化办公室重