應(yīng)急響應(yīng)備份與災(zāi)難恢復(fù)技術(shù)課件

1、第1頁(yè)，共25頁(yè)。事件響應(yīng)事件響應(yīng)：對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個(gè)生命周期包括：對(duì)策、檢測(cè)和響應(yīng)。網(wǎng)絡(luò)安全的發(fā)展日新月異，誰(shuí)也無(wú)法實(shí)現(xiàn)一勞永逸的安全服務(wù)。第2頁(yè)，共25頁(yè)。什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)也叫緊急響應(yīng)，是安全事件發(fā)生后迅速采取的措施和行動(dòng)，它是安全事件響應(yīng)的一種快速實(shí)現(xiàn)方式。應(yīng)急響應(yīng)服務(wù)是解決網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的有效安全服務(wù)手段之一。第3頁(yè)，共25頁(yè)。為什么需要應(yīng)急響應(yīng)保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全大量的安全漏洞存在攻擊系統(tǒng)和網(wǎng)絡(luò)的程序存在實(shí)際的和潛在的財(cái)務(wù)損失不利的媒體曝光威脅（聲譽(yù)的損失)對(duì)效率的需求當(dāng)前入侵檢測(cè)能力的局限性法

2、律方面的考慮第4頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的目的 應(yīng)急響應(yīng)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來(lái)的影響。定位并排除系統(tǒng)故障提高對(duì)網(wǎng)絡(luò)黑客攻擊的抵御和防范的規(guī)范程度預(yù)防重大事件的發(fā)生 提高組織對(duì)系統(tǒng)安全事件的快速反應(yīng)和恢復(fù)能力網(wǎng)絡(luò)系統(tǒng)的性能優(yōu)化提供整體網(wǎng)絡(luò)運(yùn)行的健康以及趨勢(shì)分析第5頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程響應(yīng)前的準(zhǔn)備工作工作流程報(bào)警方法備份體系安全培訓(xùn)識(shí)別和發(fā)現(xiàn)各種安全的緊急事件檢測(cè)設(shè)備報(bào)警Agent把事件影響降到最小阻斷緩解封堵隔離真正解決問(wèn)題如：清除病毒、修補(bǔ)漏洞數(shù)據(jù)和系統(tǒng)被破壞情況下，進(jìn)行恢復(fù)回顧并整合安全事件的相關(guān)信息第6頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程準(zhǔn)備

3、基于威脅建立一組合理的防御/控制措施建立一組盡可能高效的事件處理程序準(zhǔn)備處理問(wèn)題必須的資源和人員建立一個(gè)支持事件響應(yīng)活動(dòng)的基礎(chǔ)設(shè)施第7頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程檢測(cè)確定事件是已經(jīng)發(fā)生了還是在進(jìn)行當(dāng)中。初步動(dòng)作和響應(yīng)選擇檢測(cè)工具，分析異?，F(xiàn)象激活審計(jì)功能迅速備份完整系統(tǒng)記錄所發(fā)生事件估計(jì)安全事件的范圍第8頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程抑制限制攻擊的范圍，同時(shí)限制了潛在的損失和破壞。抑制策略完全關(guān)閉所有系統(tǒng)；將網(wǎng)絡(luò)斷開(kāi)；修改所有防火墻和路由器的過(guò)濾規(guī)則，拒絕來(lái)自看起來(lái)是發(fā)起攻擊的主機(jī)的所有的流量；封鎖或刪除被攻擊的登錄賬號(hào)；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別；設(shè)置誘餌服務(wù)器作為陷阱；關(guān)閉被利用的服務(wù)；反

4、擊攻擊者的系統(tǒng)等。第9頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程根除安全事件被抑制后，找出事件根源并徹底根除，從而根除了影響的進(jìn)一步擴(kuò)大。確定事件的起因和癥狀增強(qiáng)防御技術(shù)進(jìn)行漏洞分析刪除事件的源頭查找最近的干凈備份第10頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程恢復(fù)把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等徹底地還原到它們正常的任務(wù)狀態(tài)。決定恢復(fù)操作的時(shí)間修復(fù)系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)使整個(gè)系統(tǒng)運(yùn)行正常監(jiān)控系統(tǒng)第11頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)的過(guò)程跟蹤回顧事件處理過(guò)程，擬定一份事件記錄和跟蹤報(bào)告總結(jié)經(jīng)驗(yàn)教訓(xùn)為管理或法律目的收集損失統(tǒng)計(jì)信息建立或補(bǔ)充自己的應(yīng)急事件庫(kù)第12頁(yè)，共25頁(yè)。應(yīng)急響應(yīng)服務(wù)形式遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)本地應(yīng)急響應(yīng)服務(wù)服務(wù)

5、的指標(biāo)時(shí)間第13頁(yè)，共25頁(yè)。應(yīng)急處理內(nèi)容惡性病毒爆發(fā)嚴(yán)重漏洞發(fā)布，可能在短期內(nèi)出現(xiàn)蠕蟲(chóng)確認(rèn)病毒已經(jīng)開(kāi)始廣泛傳播和攻擊大多數(shù)主機(jī)工作異常，網(wǎng)絡(luò)通訊出現(xiàn)異常多數(shù)主機(jī)的防毒系統(tǒng)有報(bào)警，但是無(wú)法清除病毒拒絕服務(wù)攻擊互聯(lián)網(wǎng)出口緩慢公開(kāi)提供服務(wù)的服務(wù)器訪問(wèn)緩慢網(wǎng)絡(luò)流量出現(xiàn)不可解釋的異常增加服務(wù)器入侵頁(yè)面被非法篡改，或者出現(xiàn)非法文件數(shù)據(jù)異常丟失機(jī)密數(shù)據(jù)有被泄漏的證據(jù)出現(xiàn)非法登陸或者日志被刪改的情況第14頁(yè)，共25頁(yè)。事件分級(jí)與處理方式事件級(jí)別級(jí)別定義嚴(yán)重客戶的重要業(yè)務(wù)系統(tǒng)因?yàn)榘踩蛑袛?，?shù)據(jù)被破壞或被竊取。普通用戶的重要業(yè)務(wù)因?yàn)榘踩蜻\(yùn)行出現(xiàn)異常，降低了運(yùn)行效率或出現(xiàn)錯(cuò)誤。輕微用戶網(wǎng)絡(luò)或者業(yè)務(wù)運(yùn)行中出

6、現(xiàn)故障，需要解決，但不影響主要業(yè)務(wù)的正常運(yùn)行。事件級(jí)別處理方式嚴(yán)重提供現(xiàn)場(chǎng)支持，如果因?yàn)闀r(shí)間特別緊張，在條件允許的情況下，可以提前開(kāi)始遠(yuǎn)程登陸支持。普通在條件允許的情況下，通過(guò)遠(yuǎn)程登陸解決或者指導(dǎo)用戶解決問(wèn)題。如果超過(guò)事件處理升級(jí)時(shí)限，則需要進(jìn)行現(xiàn)場(chǎng)支持。輕微一般通過(guò)電話或者E-mail方式遠(yuǎn)程支持第15頁(yè)，共25頁(yè)。數(shù)據(jù)備份與災(zāi)難恢復(fù)第16頁(yè)，共25頁(yè)。備份與恢復(fù)技術(shù)備份與恢復(fù)是一種數(shù)據(jù)安全策略，通過(guò)備份軟件把數(shù)據(jù)備份到磁帶上，在原始數(shù)據(jù)丟失或遭到破壞的情況下，利用備份數(shù)據(jù)把原始數(shù)據(jù)恢復(fù)出來(lái)，使系統(tǒng)能夠正常工作。理想的備份系統(tǒng)是全方位、多層次的。數(shù)據(jù)備份與恢復(fù)技術(shù)通常會(huì)涉及到以下幾個(gè)方面：存

7、儲(chǔ)設(shè)備：磁盤陣列、磁帶、光盤、SAN設(shè)備 存儲(chǔ)優(yōu)化：DAS(直接連接存儲(chǔ))、NAS(網(wǎng)絡(luò)連接存儲(chǔ))、 SAN(存儲(chǔ)區(qū)域網(wǎng)絡(luò))存儲(chǔ)保護(hù)：磁盤陣列、雙機(jī)容錯(cuò)、集群、備份與恢復(fù) 存儲(chǔ)管理：文件與卷管理、復(fù)制、SAN管理 第17頁(yè)，共25頁(yè)。備份方式硬件備份：用冗余的硬件來(lái)保證系統(tǒng)的連續(xù)運(yùn)行。比如磁盤鏡像、磁盤陣列、雙機(jī)容錯(cuò)等方式。 磁盤鏡像（Mirroring）：可以防止單個(gè)硬盤的物理?yè)p壞，但無(wú)法防止邏輯損壞。磁盤陣列（Disk Array）：磁盤陣列一般采用RAID5技術(shù)，可以防止多個(gè)硬盤的物理?yè)p壞，但無(wú)法防止邏輯損壞。雙機(jī)容錯(cuò)：SFTIII、Standby、Cluster都屬于雙機(jī)容錯(cuò)的范疇。雙

8、機(jī)容錯(cuò)可以防止單臺(tái)計(jì)算機(jī)的物理?yè)p壞，但無(wú)法防止邏輯損壞。 第18頁(yè)，共25頁(yè)。備份方式軟件備份：是指將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上，當(dāng)出現(xiàn)錯(cuò)誤時(shí)可以將系統(tǒng)恢復(fù)到備份時(shí)的狀態(tài)。由于這種備份是由軟件來(lái)完成的，所以稱為軟件備份。第19頁(yè)，共25頁(yè)。數(shù)據(jù)備份策略完全備份：每次備份定義的所有數(shù)據(jù)，優(yōu)點(diǎn)是恢復(fù)快，缺點(diǎn)是備份數(shù)據(jù)量大，數(shù)據(jù)多時(shí)可能做一次全備份需很長(zhǎng)時(shí)間；增量備份：備份自上一次備份以來(lái)更新的所有數(shù)據(jù)，其優(yōu)點(diǎn)是每次備份的數(shù)據(jù)量少，缺點(diǎn)是恢復(fù)時(shí)需要全備份及多份增量備份；差分備份：備份自上一次全備份以來(lái)更新的所有數(shù)據(jù)，其優(yōu)缺點(diǎn)介于上兩者之間。第20頁(yè)，共25頁(yè)。數(shù)據(jù)備份一般規(guī)則對(duì)于操作系統(tǒng)和應(yīng)用程序代碼

9、，可在每次系統(tǒng)更新或安裝新軟件和做一次完全備份；對(duì)于一些日常數(shù)據(jù)更新量大，但總體數(shù)據(jù)量不是非常大的關(guān)鍵應(yīng)用數(shù)據(jù)，可每天在用戶使用量較小的時(shí)候安排完全備份；對(duì)于日常更新量相對(duì)于總體數(shù)據(jù)量較小，而總體數(shù)據(jù)量非常大的關(guān)鍵應(yīng)用數(shù)據(jù)，可每隔一個(gè)月或一周安排一次全備份，再此基礎(chǔ)上，每隔一個(gè)較短的時(shí)間間隔做增量備份。第21頁(yè)，共25頁(yè)。數(shù)據(jù)備份場(chǎng)所具備與主中心相似的網(wǎng)絡(luò)和通信設(shè)置 具備業(yè)務(wù)應(yīng)用運(yùn)行的基本系統(tǒng)配置 具備穩(wěn)定、高效的電信通路連接中心，例如光纖、E3/T3、ATM，確保數(shù)據(jù)的實(shí)時(shí)備份 具備日常維護(hù)條件 與主中心相距足夠安全的距離 第22頁(yè)，共25頁(yè)。災(zāi)難恢復(fù)數(shù)據(jù)庫(kù)受到破壞 采用完全備份或完全備份/增量備份結(jié)合的恢復(fù)。由于數(shù)據(jù)庫(kù)留有歸檔日志文件和聯(lián)機(jī)日志文件，一旦所有數(shù)據(jù)庫(kù)文件恢復(fù)，即可通過(guò)日志重做恢復(fù)所有記錄。文件系統(tǒng)受到破壞 可簡(jiǎn)單地使用文件系統(tǒng)的備份介質(zhì)進(jìn)行文件系統(tǒng)恢復(fù)。操作系統(tǒng)破壞 建議