《应急响应备份与灾难恢复技术》由会员分享,可在线阅读,更多相关《应急响应备份与灾难恢复技术(25页珍藏版)》请在金锄头文库上搜索。
1、2事件响应事件响应:对发生在计算机系统或网络上的威胁安全事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检测和响应。生命周期包括:对策、检测和响应。网络安全的发展日新月异,谁也无法实现一劳永逸的网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。安全服务。3什么是应急响应应急响应也叫紧急响应,是安全事件发生后迅速采取应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现的措施和行动,它是安全事件响应的一种快速实现方
2、式。方式。应急响应服务是解决网络系统安全问题的有效安全服应急响应服务是解决网络系统安全问题的有效安全服务手段之一。务手段之一。4为什么需要应急响应保护网络信息系统的安全保护网络信息系统的安全大量的安全漏洞存在大量的安全漏洞存在攻击系统和网络的程序存在攻击系统和网络的程序存在实际的和潜在的财务损失实际的和潜在的财务损失不利的媒体曝光威胁(声誉的损失不利的媒体曝光威胁(声誉的损失) )对效率的需求对效率的需求当前入侵检测能力的局限性当前入侵检测能力的局限性法律方面的考虑法律方面的考虑5应急响应的目的 应急响应的目的是最快速度恢复系统的保密性、应急响应的目的是最快速度恢复系统的保密性、完整性和可用性
3、,阻止和减小安全事件带来的影响。完整性和可用性,阻止和减小安全事件带来的影响。定位并排除系统故障定位并排除系统故障提高对网络黑客攻击的抵御和防范的规范程度提高对网络黑客攻击的抵御和防范的规范程度预防重大事件的发生预防重大事件的发生 提高组织对系统安全事件的快速反应和恢复能提高组织对系统安全事件的快速反应和恢复能力力网络系统的性能优化网络系统的性能优化提供整体网络运行的健康以及趋势分析提供整体网络运行的健康以及趋势分析6应急响应的过程响应前的响应前的准备工作准备工作工作流程工作流程报警方法报警方法备份体系备份体系安全培训安全培训识别和发现识别和发现各种安全的各种安全的紧急事件紧急事件检测检测设备
4、设备报警报警AgentAgent把事件影响把事件影响降到最小降到最小阻断阻断缓解缓解封堵封堵隔离隔离真正解真正解决问题决问题如:清除病如:清除病毒、修补漏毒、修补漏洞洞数据和系统数据和系统被破坏情况被破坏情况下,进行恢下,进行恢复复回顾并整合回顾并整合回顾并整合回顾并整合安全事件的安全事件的安全事件的安全事件的相关信息相关信息相关信息相关信息7应急响应的过程准备基于威胁建立一组合理的防御基于威胁建立一组合理的防御/ /控制措施控制措施建立一组尽可能高效的事件处理程序建立一组尽可能高效的事件处理程序准备处理问题必须的资源和人员准备处理问题必须的资源和人员建立一个支持事件响应活动的基础设施建立一个
5、支持事件响应活动的基础设施8应急响应的过程检测确定事件是已经发生了还是在进行当中。确定事件是已经发生了还是在进行当中。初步动作和响应初步动作和响应选择检测工具,分析异常现象选择检测工具,分析异常现象激活审计功能激活审计功能迅速备份完整系统迅速备份完整系统记录所发生事件记录所发生事件估计安全事件的范围估计安全事件的范围9应急响应的过程抑制限制攻击的范围,同时限制了潜在的损失和破坏。限制攻击的范围,同时限制了潜在的损失和破坏。抑制策略抑制策略完全关闭所有系统;完全关闭所有系统;将网络断开;将网络断开;修改所有防火墙和路由器的过滤规则,拒绝来自看修改所有防火墙和路由器的过滤规则,拒绝来自看起来是发起
6、攻击的主机的所有的流量;起来是发起攻击的主机的所有的流量;封锁或删除被攻击的登录账号;封锁或删除被攻击的登录账号;提高系统或网络行为的监控级别;提高系统或网络行为的监控级别;设置诱饵服务器作为陷阱;设置诱饵服务器作为陷阱;关闭被利用的服务;关闭被利用的服务;反击攻击者的系统等。反击攻击者的系统等。10应急响应的过程根除安全事件被抑制后,找出事件根源并彻底根除,从而安全事件被抑制后,找出事件根源并彻底根除,从而根除了影响的进一步扩大。根除了影响的进一步扩大。-确定事件的起因和症状确定事件的起因和症状-增强防御技术增强防御技术-进行漏洞分析进行漏洞分析-删除事件的源头删除事件的源头-查找最近的干净
7、备份查找最近的干净备份11应急响应的过程恢复把所有受侵害或被破坏的系统、应用、数据库等彻底把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。地还原到它们正常的任务状态。决定恢复操作的时间决定恢复操作的时间修复系统、网络或数据修复系统、网络或数据使整个系统运行正常使整个系统运行正常监控系统监控系统12应急响应的过程跟踪回顾事件处理过程,拟定一份事件记录和跟踪报告回顾事件处理过程,拟定一份事件记录和跟踪报告总结经验教训总结经验教训为管理或法律目的收集损失统计信息为管理或法律目的收集损失统计信息建立或补充自己的应急事件库建立或补充自己的应急事件库13应急响应服务形式形式远程应
8、急响应服务远程应急响应服务本地应急响应服务本地应急响应服务服务的指标服务的指标时间时间14应急处理内容恶性病毒爆发恶性病毒爆发严重漏洞发布,可能在短期内出现蠕虫严重漏洞发布,可能在短期内出现蠕虫确认病毒已经开始广泛传播和攻击确认病毒已经开始广泛传播和攻击大多数主机工作异常,网络通讯出现异常大多数主机工作异常,网络通讯出现异常多数主机的防毒系统有报警,但是无法清除病毒多数主机的防毒系统有报警,但是无法清除病毒拒绝服务攻击拒绝服务攻击互联网出口缓慢互联网出口缓慢公开提供服务的服务器访问缓慢公开提供服务的服务器访问缓慢网络流量出现不可解释的异常增加网络流量出现不可解释的异常增加服务器入侵服务器入侵页
9、面被非法篡改,或者出现非法文件页面被非法篡改,或者出现非法文件数据异常丢失数据异常丢失机密数据有被泄漏的证据机密数据有被泄漏的证据出现非法登陆或者日志被删改的情况出现非法登陆或者日志被删改的情况15事件分级与处理方式事件级别事件级别级别定义级别定义严重严重客户的重要业务系统因为安全原因中断,数据被破坏或被窃客户的重要业务系统因为安全原因中断,数据被破坏或被窃取。取。普通普通用户的重要业务因为安全原因运行出现异常,降低了运行效率用户的重要业务因为安全原因运行出现异常,降低了运行效率或出现错误。或出现错误。轻微轻微用户网络或者业务运行中出现故障,需要解决,但不影响主要用户网络或者业务运行中出现故障
10、,需要解决,但不影响主要业务的正常运行。业务的正常运行。事件级别事件级别处理方式处理方式严重严重提供现场支持,如果因为时间特别紧张,在条件允许的情况提供现场支持,如果因为时间特别紧张,在条件允许的情况下,可以提前开始远程登陆支持。下,可以提前开始远程登陆支持。普通普通在条件允许的情况下,通过远程登陆解决或者指导用户解决问在条件允许的情况下,通过远程登陆解决或者指导用户解决问题。如果超过事件处理升级时限,则需要进行现场支持。题。如果超过事件处理升级时限,则需要进行现场支持。轻微轻微一般通过电话或者一般通过电话或者E-mailE-mail方式远程支持方式远程支持16数据备份与灾难恢复数据备份与灾难
11、恢复17备份与恢复技术备份与恢复技术备份与恢复是一种数据安全策略,通过备份软件把数备份与恢复是一种数据安全策略,通过备份软件把数据备份到磁带上,在原始数据丢失或遭到破坏的情据备份到磁带上,在原始数据丢失或遭到破坏的情况下,利用备份数据把原始数据恢复出来,使系统况下,利用备份数据把原始数据恢复出来,使系统能够正常工作。理想的备份系统是全方位、多层次能够正常工作。理想的备份系统是全方位、多层次的。的。数据备份与恢复技术通常会涉及到以下几个方面:数据备份与恢复技术通常会涉及到以下几个方面:存储设备:磁盘阵列、磁带、光盘、存储设备:磁盘阵列、磁带、光盘、SANSAN设备设备 存储优化:存储优化:DAS
12、(DAS(直接连接存储直接连接存储) )、NAS(NAS(网络连接存储网络连接存储) )、 SAN( SAN(存储区域网络存储区域网络) )存储保护:磁盘阵列、双机容错、集群、备份与恢复存储保护:磁盘阵列、双机容错、集群、备份与恢复 存储管理:文件与卷管理、复制、存储管理:文件与卷管理、复制、SANSAN管理管理 18备份方式备份方式硬件备份:用冗余的硬件来保证系统的连续运行。比硬件备份:用冗余的硬件来保证系统的连续运行。比如如磁盘镜像、磁盘阵列、双机容错等方式。磁盘镜像、磁盘阵列、双机容错等方式。 磁盘镜像(磁盘镜像(MirroringMirroring):):可以防止单个硬盘的物可以防止单
13、个硬盘的物理损坏,但无法防止逻辑损坏。理损坏,但无法防止逻辑损坏。磁盘阵列(磁盘阵列(Disk ArrayDisk Array):):磁盘阵列一般采用磁盘阵列一般采用RAID5RAID5技术,可以防止多个硬盘的物理损坏,但无技术,可以防止多个硬盘的物理损坏,但无法防止逻辑损坏。法防止逻辑损坏。双机容错:双机容错:SFTIIISFTIII、StandbyStandby、ClusterCluster都属于双机都属于双机容错的范畴。双机容错可以防止单台计算机的物理容错的范畴。双机容错可以防止单台计算机的物理损坏,但无法防止逻辑损坏。损坏,但无法防止逻辑损坏。 19备份方式备份方式软件备份:是指将系统
14、数据保存到其他介质上,软件备份:是指将系统数据保存到其他介质上,当出现错误时可以将系统恢复到备份时的状态。当出现错误时可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的,所以称为软件由于这种备份是由软件来完成的,所以称为软件备份。备份。20数据备份策略完全备份:每次备份定义的所有数据,优点是恢复快,完全备份:每次备份定义的所有数据,优点是恢复快,缺点是备份数据量大,数据多时可能做一次全备份需缺点是备份数据量大,数据多时可能做一次全备份需很长时间;很长时间;增量备份:备份自上一次备份以来更新的所有数据,其增量备份:备份自上一次备份以来更新的所有数据,其优点是每次备份的数据量少,缺点是恢复
15、时需要全备优点是每次备份的数据量少,缺点是恢复时需要全备份及多份增量备份;份及多份增量备份;差分备份:备份自上一次全备份以来更新的所有数据,差分备份:备份自上一次全备份以来更新的所有数据,其优缺点介于上两者之间。其优缺点介于上两者之间。21数据备份一般规则对于操作系统和应用程序代码,可在每次系统更新或安对于操作系统和应用程序代码,可在每次系统更新或安装新软件和做一次完全备份;装新软件和做一次完全备份;对于一些日常数据更新量大,但总体数据量不是非常大对于一些日常数据更新量大,但总体数据量不是非常大的关键应用数据,可每天在用户使用量较小的时候安的关键应用数据,可每天在用户使用量较小的时候安排完全备
16、份;排完全备份;对于日常更新量相对于总体数据量较小,而总体数据量对于日常更新量相对于总体数据量较小,而总体数据量非常大的关键应用数据,可每隔一个月或一周安排一非常大的关键应用数据,可每隔一个月或一周安排一次全备份,再此基础上,每隔一个较短的时间间隔做次全备份,再此基础上,每隔一个较短的时间间隔做增量备份。增量备份。22数据备份场所数据备份场所具备与主中心相似的网络和通信设置具备与主中心相似的网络和通信设置 具备业务应用运行的基本系统配置具备业务应用运行的基本系统配置 具备稳定、高效的电信通路连接中心,例如光纤、具备稳定、高效的电信通路连接中心,例如光纤、E3/T3E3/T3、ATMATM,确保
17、数据的实时备份确保数据的实时备份 具备日常维护条件具备日常维护条件 与主中心相距足够安全的距离与主中心相距足够安全的距离 23灾难恢复数据库受到破坏数据库受到破坏 采用完全备份或完全备份采用完全备份或完全备份/ /增量备份结合的恢复。由于增量备份结合的恢复。由于数据库留有归档日志文件和联机日志文件,一旦所有数据库留有归档日志文件和联机日志文件,一旦所有数据库文件恢复,即可通过日志重做恢复所有记录。数据库文件恢复,即可通过日志重做恢复所有记录。文件系统受到破坏文件系统受到破坏 可简单地使用文件系统的备份介质进行文件系统恢复。可简单地使用文件系统的备份介质进行文件系统恢复。操作系统破坏操作系统破坏 建议建立操作系统的镜像机制建议建立操作系统的镜像机制( (使用使用logical volume)logical volume),或采用操作系统本身提供的系统盘备份工具,确保,或采用操作系统本身提供的系统盘备份工具,确保操作系统可以在任何情况下不受破坏。操作系统可以在任何情况下不受破坏。24业务持续性影响分析业务持续性影响分析技术因素技术因素应用因素应用因素人为因素人为因素环境因素环境因素其中其中应用因素应用因素和和人为因素人为因素占据了主要部分占据了主要部分谢谢大家谢谢大家! !
