CISP0304重要安全管理过程课件.pptx

1、课程课程内容内容1信息安全管理信息安全管理措施措施知识体知识体知识域知识域基本安全基本安全管理措施管理措施重要安全重要安全管理过程管理过程知识子域知识子域安全安全方针方针人力资源安全人力资源安全访问控制访问控制物理与环境安全物理与环境安全信息信息系统系统获取、开发和维护获取、开发和维护通信通信和和操作操作管理管理信息安全组织信息安全组织资产管理资产管理符合符合性性信息安全信息安全事件事件管理管理与应急响应与应急响应业务连续性业务连续性管理与管理与灾难恢复灾难恢复知识子域：信息系统获取、开发与知识子域：信息系统获取、开发与维护维护v理解安全需求是信息系统需求的重要组成部分v理解信息技术产品的采购

2、的安全原则：符合标准法规，风险与经济性的平衡，安全性测试等v理解信息系统开发和实施的安全原则：规范的开发方法，严格的源代码测试，对安装包的控制、对测试数据和程序源代码的保护v理解系统运行阶段安全管理的基本原则，包括漏洞和补丁管理、系统更新、废弃等2安全信息系统获取的基本原则和方法安全信息系统获取的基本原则和方法v安全信息系统获取的基本原则 符合国家、地区及行业的法律法规 量力而行，达到经济性与安全性间的平衡 符合组织的安全策略与业务目标v安全信息系统的获取策略 外部采购 自主开发或者自主开发与外包相结合 采取何种获取策略在项目立项与可行性分析过程中得出结论。3信息系统购买信息系统购买v安全信息

3、系统购买流程需求需求分析分析市场市场招标招标评标评标选择选择供应商供应商签订签订合同合同系统系统实施实施系统系统运维运维4信息系统购买流程信息系统购买流程v需求分析 根据业务需求，法律法规，客户需求，导出各项系统需求，包括安全需求。建立初级威胁模型，进行初步风险分析 建立安全目标并进行评审 搭建概念原型，验证安全需求需求需求分析分析市场市场招标招标评标评标选择选择供应商供应商签订签订合同合同系统系统实施实施系统系统运维运维5信息系统购买流程信息系统购买流程v市场招标 看一看市场上有什么可选的系统 发放请求建议书或者邀标书，书中包含安全需求相关的描述章节需求需求分析分析市场市场招标招标评标评标选

4、择选择供应商供应商签订签订合同合同系统系统实施实施系统系统运维运维6信息系统购买流程信息系统购买流程v评标 评价供应商反馈信息，对可用系统进行横向比较 包括供应商安全服务资质，财务状况，产品安全等级，产品性能，服务容量，服务承诺，售后服务能力 对信息系统的应用案例进行考察，并听取案例用户以及市场反馈 试用信息系统，比对安全目标，进行安全评测需求需求分析分析市场市场招标招标评标评标选择选择供应商供应商签订签订合同合同系统系统实施实施系统系统运维运维7信息系统购买流程信息系统购买流程v选择中标供应商，并签订合同 源代码委托(Source Code Escrow)安全紧急响应条款 售后服务协议 安全

5、培训 业务连续性与灾备条款需求需求分析分析市场市场招标招标评标评标选择选择供应商供应商签订签订合同合同系统系统实施实施系统系统运维运维8信息系统购买流程信息系统购买流程v系统实施 配置审查 临时账户管理 数据安全迁移 用户安全培训需求需求分析分析市场市场招标招标评标评标选择选择供应商供应商签订签订合同合同系统系统实施实施系统系统运维运维信息系统购买信息系统购买v评价供应商时的一些关键性能指标 周转时间周转时间(Turnaround time)-发生故障时帮助台或厂商从登录系统到解决问题所需的时间 响应时间响应时间(Responese time)-系统响应一个特定的用户查询所需的时间 系统反应时

6、间系统反应时间(System Reaction time)-登录到系统或连接到网络所需要的时间 吞吐量吞吐量(Throughput)-单位时间内系统的有效工作量 负载负载(Workload)-执行必要工作的能力,或系统在给定时间区间内能够完成的工作量 兼容性兼容性(Compatibility)-供应商提供的新系统对现有应用的运行支持能力 容量容量(Capacity)-新系统处理并发网络应用请求的数目，以及系统能够为每个用户处理的数据量 利用率利用率(Utilization)-系统可用时间与故障时间之比 安全等级安全等级(Security Grade)权威机构的测评结果，如EAL410信息系统购

7、买信息系统购买v系统购买的安全要点 组织保障 组织策略中包含了信息安全要求 项目组中包含关注信息系统安全的成员，如安全主管，IS审计师，法律顾问等 在购买流程中设定关注信息系统安全的控制过程，并保证控制过程能得到确切执行 如安全需求制定，招标书与请求建议书中关于安全需求的描述章节，供应商系统的安全评测等11信息系统开发信息系统开发v安全信息系统开发流程需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维12信息系统开发信息系统开发v 需求分析 定义安全需求-业务安全需求，法律法规约束，来自客户的安全要求 安全需求建立步骤 业务安全分析 业务合

8、规性分析 建立威胁模型，进行初步风险分析 明确安全风险，建立安全目标列表 数据通信安全目标，数据存储安全目标，交易完整性目标，身份认证及访问授权目标，审计目标，系统备份与恢复 对安全目标进行评审需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维13信息系统开发信息系统开发v概要设计-详细风险评估与安全控制措施选择 安全体系架构设计 各功能模块间的安全处理流程 安全协议设计 安全接口设计 概要设计安全评审需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维14信息系统开发信息系统开发v详细设

9、计安全功能详细设计 模块输入安全过滤 模块安全输出 内部处理逻辑安全设计 数据结构安全设计 详细设计安全评审需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维15信息系统开发信息系统开发v 系统开发 根据安全设计进行开发 编写安全的代码 对开发人员实施编码规范培训 对开发人员进行安全意识教育 为开发人员配备安全编码手册 开发人员对安全功能实现进行单元测试 开发人员执行代码静态分析，进行代码自查 团队内部代码互查 源码安全管理 开发需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维16敏捷

10、开发流程敏捷开发流程v测试 对测试用例进行完备性评估 集成测试，系统测试，可接受性测试，渗透测试 代码静态分析与代码审查需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维17信息系统开发信息系统开发v系统实施，交付，试运行 配置审查 临时账户管理 数据安全迁移 用户安全培训需求需求分析分析概要概要设计设计详细详细设计设计系统系统开发开发测试测试系统系统实施实施系统系统运维运维18信息系统开发信息系统开发v系统开发过程中的安全要素 开发团队中有比较专业的信息安全人员 实施配置管理，基线管理，版本管理，对文档，源码变更，版本发布进行严格管理。配

11、置管理应该贯穿开发周期始终。开发，测试环境与生产环境隔离 项目管理应该加强对安全控制过程的执行力度 使用软件工程方法增强软件质量，减少软件漏洞19信息系统维护信息系统维护v变更管理 目的 对系统变更的合理性，安全性进行控制，使变更通过安全过程进行实施，减少不当变更导致的系统安全问题，保障业务连续运行。正常的变更管理流程 提交变更申请 审批变更申请 变更开发 对变更开发进行测试评估 接受变更 实施变更20信息系统维护信息系统维护v变更管理 变更注意事项 变更程序需要遵循与全面系统开发项目同样的过程，程序员要进行单元测试、模块测试、集成测试等，保证新功能满足需求，且不影响其他模块的功能 所有变更信

12、息点作为系统的永久文档由用户维护人员保留，所有程序变化的维护记录，应该人工保存和自动化保存。文档的变更应该反映到相关的IT管理活动中去，如灾难恢复，保持文档在最新状态。有些管理软件提供变更审计轨迹。维护信息包括程序员ID号、变更时间和日期，与变更相关的申请号或者项目号，变更前后的源代码行数。程序员不能写、修改和删除生产环境数据。根据生产的信息类型，程序员甚至不能进行只读访问(客户信用卡号，安全号，敏感信息等)需要用户管理层关注程序员所做的变化或者升级，在进行任何变更之前，程序员必须接到授权。信息系统维护信息系统维护v变更管理 常见非授权变更 程序员访问生产系统库 该程序的用户不知道发生的变更

13、没有正式的变更请求表格和程序 相关管理人员并未在变更表上签字 用户没有在变更表上签字以表明接受变更 修改后的源代码未经适当的编程人员检查 相关管理人员没有在变更表上签字以表明变更可以投入生产环境 程序员为了自身的利益增加一些额外的代码22信息系统维护信息系统维护v紧急变更 程序员、分析员可能通过使用特殊的登录ID来访问生产环境以处理紧急情况 应急ID拥有很大的权限，它的使用必须留有日志，并要仔细审查。紧急修复之后还要采用补救措施，将所有正常的变更控制流程再重新执行一遍23信息系统维护信息系统维护v漏洞和补丁管理 重要性 漏洞和补丁管理方法 人工，自动化工具 0day攻击24信息系统维护信息系统

14、维护v系统弃置处理 残余信息的处理 物理摧毁存储介质 存储介质消磁处理 专用设备进行反复数据覆盖或者擦除 键盘攻击 使用功能软件对弃置系统中的存储介质进行分析 实验室攻击 使用专有设备对弃置系统中的存储介质进行分析25总结总结v 安全是信息系统需求的重要组成部分v 信息系统安全建设要符合国家法律法规，符合组织业务目标，量力而行。v 信息系统即使是外购方式获取，其产生的连带安全责任仍然停留在组织内部v 信息系统的安全性可以由专业的安全人员，组织的安全策略，以及嵌入到管理流程中一系列安全控制过程来保障v 配置管理，变更管理，补丁管理是系统维护阶段的重要安全管理措施v 弃置系统中的残余数据应该被擦除

15、或销毁26知识子域：知识子域：信息安全事件管理与应急响应信息安全事件管理与应急响应v理解信息安全事件管理和应急响应的基本概念v了解我国信息安全事件应急响应工作的进展情况和政策要求v掌握信息安全应急响应阶段方法论v掌握信息安全应急响应计划编制方法v掌握应急响应小组的作用和建立方法v理解我国信息安全事件分级分类方法v了解国际和我国信息安全应急响应组织v了解计算机取证的概念和作用v了解计算机取证的原则、基本步骤、常用方法和工具27基本概念基本概念28安全事件安全事件 而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻

16、击、网络流量异常等。应急响应（应急响应（Emergency ResponseEmergency Response）是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。基本概念基本概念29应急响应计划（应急响应计划（Emergency Response PlanEmergency Response Plan）是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。信息安全应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段：（1）应急响应需求分析和应急响应策略的确定；（2）编制应急响应计划文档；（3）应急响应计划的测试

17、、培训、演练和维护。应急响应与应急响应计划的关系应急响应与应急响应计划的关系30政策要求政策要求31关于加强信息安全保障工作的意见（中办发200327号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。相关标准相关标准32GB/T24364-2009信息安全技术信息安全应急响应计划规范GB/T20988-2007信息安全技术信息系统灾难恢复规范GB

18、/Z20985-2007信息技术安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南应急响应六阶段应急响应六阶段33第一阶段：准备第一阶段：准备让我们严阵以待让我们严阵以待第二阶段：确认第二阶段：确认对情况综合判断对情况综合判断第三阶段：遏制第三阶段：遏制制止事态的扩大制止事态的扩大第四阶段：根除第四阶段：根除彻底的补救措施彻底的补救措施第五阶段：恢复第五阶段：恢复系统恢复常态系统恢复常态第六阶段：跟踪第六阶段：跟踪还会有第二次吗还会有第二次吗第一阶段第一阶段准备准备34预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设

19、备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪第一阶段第一阶段准备准备35制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪第二阶段第二阶段确认确认36确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计

20、采用什么样的专用资源来修复？宏观（负责总体网络的CERT）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪第三阶段第三阶段遏制遏制37即时采取的行动微观：防止进一步的损失，确定后果初步分析，重点是确定适当的封锁方法咨询安全政策确定进一步操作的风险损失最小化（最快最简单的方式恢复系统的基本功能，例如备机启动）可列出若干选项，讲明各自的风险，由服务对象选择宏观：确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪第四阶段第四阶段根除

21、根除38长期的补救措施微观：详细分析，确定原因，定义征兆分析漏洞加强防范消除原因修改安全政策宏观：加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；加强检测工作，发现和清理行业与重点部门的问题；准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪第五阶段第五阶段恢复恢复39微观：被攻击的系统恢复正常的工作状态作一个新的备份把所有安全上的变更作备份服务重新上线持续监控宏观：持续汇总分析，了解各网的运行情况根据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除封锁措施准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪第六阶段第六阶段

22、跟踪跟踪40关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动准备准备确认确认遏制遏制根除根除恢复恢复跟踪跟踪事件的归档与统计事件的归档与统计41处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节信息安全应急响应计划编制方法信息安全应急响应计划编制方法42总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则总则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件总则总则43编制目的编制依据适应范围工作原则总则总

23、则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件角色及职责角色及职责44应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组总则总则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件预防和预警机制预防和预警机制45总则总则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件早发现早报告早处置监测预测预警应急响应流程应急响应流程46总则总则角色及角色及职责职责预防和预防和预警

24、机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件应急响应流程应急响应流程呼叫树呼叫树47总则总则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件应急响应保障措施应急响应保障措施48总则总则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件人力保障 管理人力 技术人力物质保障 财力 交通运输 通信技术保障 应急响应技术支持 事件监控与预警 应急技术储备应急响应应急响应保障措施保障措施附件附件49 具体的组织体系结构及人员职责 应急响应计划各小组

25、成员的联络信息 供应商联络信息，包括离站存储和备用站点的外部联系点 系统恢复或处理的标准操作规程和检查列表 支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单 供应商服务水平协议（SLA）、与其它机构的互惠协议和其它关键记录 备用站点的描述和说明 在计划制定前进行的BIA，包含关于系统各部分相互关系、风险、优先级别等 应急响应计划文档的保存和分发方法总则总则角色及角色及职责职责预防和预防和预警机预警机制制应急响应急响应流程应流程应急响应急响应保障应保障措施措施附件附件应急响应工作机构图应急响应工作机构图50职责示例职责示例51应急响应领导小组：应急响应领导小组：应急响应领导小组是

26、信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：（1）对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人财物）等；（2）审核并批准应急响应策略；（3）审核并批准应急响应计划；（4）批准和监督应急响应计划的执行；（5)启动定期评审、修订应急响应计划；（6）负责组织的外部协作工作。我国信息安全事件分类方法我国信息安全事件分类方法52GB/Z 20986-2007信息安全事件分级分类指南有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障、灾害性事件其他信息安全事件我国信息安全事件分级方法我国

27、信息安全事件分级方法53分级要素系统损失社会影响信息系统的重要程度我国信息安全事件分级方法我国信息安全事件分级方法54特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受特别严重的系统损失 产生特别重大的社会影响重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失 产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，一般信息系统遭受特别严重的系统损失 产生较

28、大的社会影响一般事件是指不满足以上条件的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失 产生一般的社会影响特别重特别重大事件大事件重重 大大事事 件件较较 大大事事 件件一一 般般事事 件件国际信息安全应急响应组织国际信息安全应急响应组织55美国计算机紧急事件响应小组协调中心 （Computer Emergency Response Team/Coordination Center,CERT/CC）事件响应与安全组织论坛（Forum of Incident Response and Secur

29、ity Teams,FIRST）亚太地区计算机应急响应组（Asia Pacific Computer Emergency Response Team,APCERT）欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association,TERENA)我国信息安全应急响应组织我国信息安全应急响应组织56国家计算机网络应急技术处理协调中心 （National Computer network Emergency Response technical Team/Coordination Center of China,CN

30、CERT/CC）中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心计算机取证计算机取证v计算机取证概念v计算机取证遵循原则v计算机取证步骤v计算机取证技术和工具57计算机取证的概念计算机取证的概念v什么是计算机取证 计算机取证是使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据，计算机取证提取和保护的是电子证据，相关工作主要围

31、绕两个方面进行：证据的获取和证据的分析。v为什么需要取证 通过证据查找肇事者 通过证据推断犯罪过程 通过证据判断受害者损失程度 收集证据提供法律支持58计算机取证的原则计算机取证的原则v合法原则 取证必须符合相关法律法规v充分授权原则 取证必须得到充分授权v优先保护证据原则 取证可能导致证据破坏，必须优先考虑保护证据v全程监督原则 整个取证过程应全程第三方监督59计算机取证的步骤计算机取证的步骤60准备保护提取分析提交计算机取证计算机取证-准备准备v获取授权 取证工作获得明确的授权（授权书）v目标明确 对取证的目的有清晰的认识v工具准备 对取证环境的了解及需要准备的工具v软件准备 对取证的软件

32、进行过有效的验证v介质准备 确保有符合要求的干净的介质可用于取证61计算机取证计算机取证-保护保护v保证数据安全性 制作磁盘映像-不在原始磁盘上操作v保证数据完整性 取证中不使用可能破坏完整性的操作v第三方监督 所有操作都有第三方在场监督62计算机取证计算机取证-提取提取63v优先分析易消失的证据 内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存v文件系统 数据恢复、隐藏文件、加密文件、系统日志v应用系统 系统日志计算机取证计算机取证-分析及提交分析及提交v证据在什么地方？日志、删除的文件、临时文件、缓存v从证据中能发现什么？v如何关联证据？v电子取证提交 必须与现实取证结合，文档化

33、很重要64计算机取证工具计算机取证工具v开放源代码软件开放源代码软件 Coroners工具包，它是计算机犯罪取证检查的一些工具软件的集合。v商业软件取证软件商业软件取证软件 Encase基于Windows平台，提供从数据发现到分析到生成报表的全面的解决方案；AccessData，用于获取口令的软件；以及ThumbsPlus，Snapback Net Threat Analyzer：NTI公司的软件系统65知识子域：业务连续性管理与灾难恢复知识子域：业务连续性管理与灾难恢复v理解业务连续性管理与灾难恢复的基本概念v了解我国灾难恢复工作的进展情况和政策要求v了解数据储存和数据备份与恢复的基本技术v

34、掌握灾难恢复管理过程：需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理v掌握国家有关标准对系统灾难恢复级别和各级别的指标要求66什么是灾难什么是灾难v 灾难disaster 信息安全技术信息系统灾难恢复规范（GB/T 209882007）由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行。v*典型的灾难事件包括：自然灾害，如火灾、洪水、地震、飓风、龙卷风、台风等，还有技术风险和提供给业务运营所需服务的中断，如设备故障、软件错误、通讯网络中断和电力故障等等；此

35、外，人为的因素往往也会酿成大祸，如操作员错误、植入有害代码和恐怖袭击。人员误操作人员误操作67业务持续性的重要性业务持续性的重要性“在经历过灾难的企业中，在经历过灾难的企业中，每每5 5家家中有中有2 2家家在在5 5年内年内会完会完全退出市场。当且仅当企业在灾难前或灾难后采取了全退出市场。当且仅当企业在灾难前或灾难后采取了必要的措施后，企业可以改变这种状况。业务持续性必要的措施后，企业可以改变这种状况。业务持续性计划和灾难恢复计划服务将确保计划和灾难恢复计划服务将确保持续持续的的生存性生存性”Gartner,Gartner,Disaster Recovery Plans and System

36、s Disaster Recovery Plans and Systems Are EssentialAre Essential,by Roberta Witty,Donna Scott,by Roberta Witty,Donna Scott,12 September 2001.12 September 2001.所有公司中，所有公司中，50-60%50-60%没有可以用于工作的灾难没有可以用于工作的灾难恢复计划恢复计划68备份与恢复备份与恢复v灾难备份backup for disaster recovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理

37、能力进行备份的过程。v灾难恢复disaster recovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。69规划和预案规划和预案v灾难恢复规划disaster recovery planning 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。v灾难恢复预案disaster recovery plan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。

38、70BCPBCP和和BCMBCMv业务连续规划（Business Continuity Planning，简称“BCP”）是灾难事件的预防和反应机制，是一系列事先制定的策略和规划，确保单位在面临突发的灾难事件时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续。业务连续规划不仅仅包括对信息系统的恢复，而且包括关键业务运作、人员及其它重要资源等的恢复和持续。v业务连续管理(Business Continuity Management，简称“BCM”)为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面

39、临灾难时对恢复或连续性的管理，以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程。71BCMBCM、BCPBCP、DRPDRP 对于信息化依赖程度高的单位，信息系统灾难恢复是其业务连续规划的重要组成部分。信息系统灾难恢复的目的是保证信息系统所支持业务的连续，业务连续规划面向信息系统及业务恢复。72BCP/DRPBCP/DRP的指标的指标恢复点目标恢复点目标-RPO/-RPO/恢复时间目标恢复时间目标-RTO-RTO秒秒分分小时小时日日 周周秒秒分分小时小时 日日 周周v RPORPORecovery Point ObjectiveRecovery Point Object

40、ive，恢复点目标，恢复点目标 定义：灾难发生后，系统合数据必须恢复到的时间点要求 代表了当灾难发生时允许丢失的数据量v RTORTORecovery Time Objective Recovery Time Objective，恢复时间目标，恢复时间目标 定义：灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。代表了系统恢复的时间73主中心与灾难备份中心主中心与灾难备份中心v主中心也称主站点或生产中心，是指主系统所在的数据中心。v灾难备份中心也称备用站点。是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管

41、理能力，此场所内或周边可提供备用的生活设施。74主系统与灾难备份系统主系统与灾难备份系统v主系统也称生产系统，是指正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络。v灾难备份系统，是指用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。75灾难恢复过程灾难恢复过程76灾难恢复建设流程灾难恢复建设流程77我国国内灾难恢复的发展概况我国国内灾难恢复的发展概况 v20世纪90年代末期，一些单位在信息化建设的同时，开始关注对数据安全的保护，进行数据的备份，但当时，不论从灾难恢复理论水平，重视程度，从业人员数量质量，还是技术水平方面都还很不成熟。v2

42、000年，“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注，但“9.11”事件所引起的震动真正地引起了大家对灾难恢复的关注。78我国国内灾难恢复的发展概况我国国内灾难恢复的发展概况v各行业用户对信息安全的建设越来越重视投入呈现稳定增长的态势,但，大部分单位还没有有效的灾难恢复策略 没有建立统一的业务连续管理机制。v随着国内信息化建设的不断完善、数据大集中的开展和国家对灾难恢复工作的高度重视，越来越多的单位和部门认识到灾难恢复的重要性和必要性，开展灾难恢复建设的时机已基本成熟。79我国国内灾难恢复的国家政策和标准我国国内灾难恢复的国家政策和标准 v2003年，国家信息化领导小组关于加强

43、信息安全保障工作的意见，要求：各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定和不断完善信息安全应急处置预案。v2004年，国信办关于做好重要信息系统灾难备份工作的通知，强调了“统筹规划、资源共享、平战结合”的灾备工作原则。v2005年，国务院信息化办公室重要信息系统灾难恢复指南v2007年，信息安全技术信息系统灾难恢复规范（GB/T 209882007）80我国国内灾难恢复地方和行业的发展我国国内灾难恢复地方和行业的发展 v北京市、上海市、深圳市、广州市、成都市等地都已出台或正在研究电子政务信息系统灾难恢复工作的意见和规划；v人民银行、银监会、保监会出台了有关行业政策v国税总

44、局、海关总署、人民银行、商务部等部委均已完成或正在建设灾备中心；北京、上海、深圳、广州、杭州等各地政府已建设或启动灾备中心建设。v其他信息化程度较高的行业如保险、证券、电力、民航、电信、石化、钢铁等企业正在开展和规划灾难恢复系统的建设 81我国灾难恢复工作存在的主要问题我国灾难恢复工作存在的主要问题v存在侥幸心理，缺乏开展灾难恢复工作的积极性；v在没有统筹规划，各行业及地方自行建设灾难备份中心，造成社会经济资源的分散和浪费；v从事灾难恢复建设和服务的企业良莠不齐，部分企业缺乏专业化能力，不能满足灾难恢复的要求；v已建成的灾备中心普遍缺乏严格的演练，灾备中心的运营缺乏有效的监管和审计，导致大量的

45、灾备中心无法在灾难来临时有效发挥作用；v灾难备份恢复有关人员意识欠缺、专业人才缺乏82灾难恢复规划的过程阶段灾难恢复规划的过程阶段业务影响分析制定恢复策略灾难恢复策略的实现灾难恢复预案的制定、落实和管理分析业务分析业务功能和相功能和相关资源配关资源配置置评估中断评估中断影响影响确定灾难恢确定灾难恢复资源获取方复资源获取方式式确定灾难恢确定灾难恢复等级的要素复等级的要素要求要求正式文档化正式文档化灾难备份中心灾难备份中心的选择和建设的选择和建设灾难备份系统灾难备份系统技术方案的实技术方案的实现现技术支持能力技术支持能力的实现的实现运行维护能力运行维护能力的实现的实现灾难恢复预案灾难恢复预案的制订

46、的制订灾难恢复预案灾难恢复预案的教育、培训的教育、培训和演练和演练灾难恢复预案灾难恢复预案的管理的管理风险分析标识资产标识资产标识威胁标识威胁标识脆弱标识脆弱性性标识现有标识现有控制控制定量定量/定定性风险分性风险分析析灾难恢复需求分析灾难恢复需求分析灾难恢复策略灾难恢复策略制定制定灾难恢灾难恢复预案复预案制定和制定和管理管理灾难恢复策略灾难恢复策略实现实现确定灾难恢复目标关键业务关键业务功能及恢功能及恢复的优先复的优先级级RTO/RPO的范围的范围831.1.灾难恢复需求分析灾难恢复需求分析v 风险评估对我们为什么需要灾难恢复建设这一问题给出了答案v 业务影响分析BIA 为我们后续的灾难恢复

47、系统建设提供了以下信息：谁、什么、何地、何时、如何机构面临的风险有哪些？哪些风险的危害更大？哪些业务和系统对机构更重要？这些业务和系统的关系？这些业务和系统应该多久恢复？这些业务和系统谁应当先恢复？哪些业务数据不能丢失？需要依赖哪些外部机构？恢复时需要哪些资源？841.1.灾难恢复需求分析灾难恢复需求分析1.1 1.1 风险分析风险分析v 风险分析为机构提供：1.辨认足以影响机构持续提供业务的各种潜在性风险；2.确定各种风险发生的可能性；3.制定并实施各特定风险的预防控制措施 4.为残余风险的应对处理做好准备。v 风险分析范围：1.机构所在地区范围和与之在经济、业务上有紧密联系的邻近地区的交通

48、、电讯、能源及其它关键基础设施遭到严重破坏的风险；2.造成此地区的大规模人口疏散或无法联系后所面对的风险；3.机构信息系统中断所造成的系统性风险。85v明确关键业务功能和支持关键业务功能的关键应用系统；v明确系统中断对业务的损失和影响；v明确各业务系统的恢复目标和内外部依赖关系；v确定各业务功能灾难恢复指标（RTO/RPO）；v明确各业务功能恢复的最小资源需求及恢复策略；1.1.灾难恢复需求分析灾难恢复需求分析1.2 BIA-1.2 BIA-业务影响分析业务影响分析861.1.灾难恢复需求分析灾难恢复需求分析1.3 1.3 确定灾难恢复目标确定灾难恢复目标872.2.制定灾难恢复策略制定灾难恢

49、复策略v什么是灾难恢复策略 是机构为了达到灾难恢复的需求目标而采取的途径；它包含实现的计划、方法和可选的方案；是基于机构对自身灾难恢复需求确切了解的基础上做出的；其根本目的是为了达到在灾难恢复需求中描述的实现目标；是指导整个灾难恢复建设的纲领性文件；要遵循成本风险平衡原则；描述了灾难恢复需求的实现步骤和实现方法。88892.2.制定灾难恢复策略制定灾难恢复策略-主体内容主体内容 数据备份系统 备用数据处理系统 备用网络系统 备用基础设施 技术支持能力 运行维护管理能力 灾难恢复预案策略策略要素要素主要主要内容内容 资源获取方式 要素 具体要求90例如：灾难恢复资源的获取方式例如：灾难恢复资源的

50、获取方式v备用基础设施 a)由单位所有或运行；b)多方共建或通过互惠协议获取；c)租用商业化灾难备份中心的基础设施。v备用数据处理系统 a)事先与厂商签订紧急供货协议；b)事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库；c)利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备。91例如：确定灾难恢复等级各要素的要求例如：确定灾难恢复等级各要素的要求 v 数据备份系统 a)数据备份的范围；b)数据备份的时间间隔；c)数据备份的技术及介质；d)数据备份线路的速率及相关通信设备的规格和要求。v 备用基础设施 a)与生产系统所在的数据处理中心（以下简称“生产中心”）的距离要求；b)