XXXX版CISP0304應急響應與災難恢復課件

應急響應與災難恢復培訓機構名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1應急響應與災難恢復培訓機構名稱版本：3.0課程內容2知識體知識域知識子域應急響應與災難恢復信息系統(tǒng)災難恢復災難恢復概況信息安全應急響應管理過程信息安全事件分類分級災難恢復管理過程應急響應概況計算機取證災難恢復相關技術災難恢復能力備份技術備用場所課程內容2知識體知識域知識子域應急響應與災難恢復信息系統(tǒng)災難知識域：應急響應概況知識子域：信息安全事件分類分級理解信息安全事件和應急響應的基本概念了解國際和我國的信息安全應急響應組織了解我國信息安全事件應急響應工作的進展情況、政策要求和相關標準理解我國信息安全事件分類、分級方法3知識域：應急響應概況知識子域：信息安全事件分類分級3基本概念4GB/T24363-2009信息安全應急響應計劃規(guī)范信息安全事件

由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內發(fā)生對社會造成負面影響的事件應急響應

組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施基本概念4GB/T24363-2009信息安全應急響應計5GB/Z20985-2007信息安全事件管理指南信息安全事件響應組

由組織中具備適當技能且可信的成員組成的一個小組，負責處理與信息安全事件相關的全部工作，有時小組可能有外部專家加入CERT計算機應急響應組國際或國家公認的計算機應急響應組織

基本概念5GB/Z20985-2007信息安全事件管理指南基本概國際信息安全應急響應組織6美國計算機緊急事件響應小組協(xié)調中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件響應與安全組織論壇（ForumofIncidentResponseandSecurityTeams,FIRST）

亞太地區(qū)計算機應急響應組（AsiaPacificComputerEmergencyResponseTeam,APCERT）

歐洲計算機網絡研究教育協(xié)會（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

國際信息安全應急響應組織6美國計算機緊急事件響應小組協(xié)調中心我國信息安全應急響應組織7國家計算機網絡應急技術處理協(xié)調中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中國教育和科研計算機網緊急響應組(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

國家計算機病毒應急處理中心

國家計算機網絡入侵防范中心國家863計劃反計算機入侵和防病毒研究中心我國信息安全應急響應組織7國家計算機網絡應急技術處理協(xié)調中心應急響應組織的一般構成8應急響應組織的一般構成8國家政策要求和相關標準9《關于加強信息安全保障工作的意見》（中辦發(fā)『2003』27號文）指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設基于密碼技術的網絡信任體系，建設信息安全監(jiān)控體系，重視信息安全應急處理工作，推動信息安全技術研發(fā)與產業(yè)發(fā)展，建設信息安全法制與標準”

GB/T24363-2009

《信息安全應急響應計劃規(guī)范》GB/T20988-2007《信息系統(tǒng)災難恢復規(guī)范》GB/Z20985-2007《信息安全事件管理指南》GB/Z20986-2007《信息安全事件分類分級指南》國家政策要求和相關標準9《關于加強信息安全保障工作的意見》（我國信息安全事件分類方法10GB/Z20986-2007《信息安全事件分級分類指南》7個基本類別有害程序事件：病毒、蠕蟲、木馬等網絡攻擊事件：DOS、后門攻擊、掃描、釣魚等信息破壞事件：信息被篡改、假冒、竊取等信息內容安全事件：危害國家安全、社會穩(wěn)定等設備設施故障：軟硬件自身故障和人為非技術破壞等災害性事件：自然災害、戰(zhàn)爭等其他信息安全事件：不能歸為以上6個類別的事件我國信息安全事件分類方法10GB/Z20986-2007《我國信息安全事件分級方法11分級要素GB/Z20986-2007《信息安全事件分級分類指南》系統(tǒng)損失社會影響信息系統(tǒng)的重要程度我國信息安全事件分級方法11分級要素GB/Z20986-我國信息安全事件分級方法GB/Z2098612特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失

產生特別重大的社會影響

重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失產生重大的社會影響較大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失，一般信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失產生較大的社會影響一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失產生一般的社會影響特別重大事件重大事件較大事件一般事件1級2級3級4級我國信息安全事件分級方法GB/Z2098612特別重大事知識域：應急響應概況知識子域：信息安全應急響應管理過程掌握信息安全應急響應階段方法論掌握準備、檢測、遏制、根除等應急響應階段的主要工作內容掌握信息安全應急響應計劃編制方法13知識域：應急響應概況知識子域：信息安全應急響應管理過程13應急響應六階段14第一階段：準備——讓我們嚴陣以待第二階段：檢測——對情況綜合判斷第三階段：遏制——制止事態(tài)的擴大第四階段：根除——徹底的補救措施第五階段：恢復——系統(tǒng)恢復常態(tài)第六階段：跟蹤總結——還會有第二次嗎應急響應六階段14第一階段：準備——讓我們嚴陣以待第一階段—準備15預防為主微觀確定重要資產和風險，實施針對風險的防護措施編制和管理應急響應計劃建立和訓練應急響應組織準備相關的資源人力資源、財力資源、物質資源、技術資源、社會關系資源宏觀建立協(xié)作體系和應急制度建立信息溝通渠道和通報機制如有條件，建立數(shù)據匯總分析的體系和能力有關法律法規(guī)的制定準備檢測遏制根除恢復跟蹤總結第一階段—準備15預防為主準備檢測遏制根除恢復跟蹤總結編制和管理應急響應計劃16應急響應計劃，是指在突發(fā)/重大信息安全事件后對包括計算機運行在內的業(yè)務運行進行維持或恢復的策略和規(guī)程應急響應計劃的制定是一個周而復始、持續(xù)改進的過程，包含以下幾個階段（1）應急響應需求分析和應急響應策略的確定（2）編制應急響應計劃文檔（3）應急響應計劃的測試、培訓、演練和維護應急響應計劃主要內容總則、角色及職責、預防和預警機制、應急響應流程、應急響應保障措施、附件編制和管理應急響應計劃16應急響應計劃，是指在突發(fā)/重大信息第二階段—檢測17檢測事件、確定事件性質和處理人微觀進行監(jiān)測、報告及信息收集確定事件類別和級別指定事件處理人，進行初步響應評估事件的影響范圍事件通告（信息通報、信息上報、信息披露）宏觀：通過匯總，確定是否發(fā)生了全網的大規(guī)模事件確定應急等級，以決定啟動哪一級應急方案準備檢測遏制根除恢復跟蹤總結第二階段—檢測17檢測事件、確定事件性質和處理人準備檢測第三階段—遏制18限制事件影響的范圍、損失微觀啟動應急響應計劃確定適當?shù)捻憫绞綄嵤┒糁菩袆右笥脩舭磻毙袨橐?guī)范要求配合遏制工作宏觀確保封鎖方法對各網業(yè)務影響最小通過協(xié)調爭取各網一致行動，實施隔離匯總數(shù)據，估算損失和隔離效果準備檢測遏制根除恢復跟蹤總結第三階段—遏制18限制事件影響的范圍、損失準備檢測遏制根第四階段—根除19長期的補救措施微觀詳細分析，確定原因實施根除措施，消除原因宏觀加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題加強檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點部門的問題準備檢測遏制根除恢復跟蹤總結第四階段—根除19長期的補救措施準備檢測遏制根除恢復跟蹤第五階段—恢復20微觀根據破壞程度決定是在原系統(tǒng)還是備份系統(tǒng)中恢復按恢復優(yōu)先順序恢復系統(tǒng)和業(yè)務運行可能需要執(zhí)行以下事務性步驟和技術性恢復操作獲得訪問相關區(qū)域和資源的授權獲取備份介質等相關資源恢復系統(tǒng)數(shù)據啟用備份系統(tǒng)重建主系統(tǒng)宏觀持續(xù)匯總分析，判斷遏制、根除效果通過匯總分析的結果判斷仍然受影響的終端的規(guī)模適當時解除封鎖措施準備檢測遏制根除恢復跟蹤總結第五階段—恢復20微觀準備檢測遏制根除恢復跟蹤總結第六階段—跟蹤總結21關注系統(tǒng)恢復以后的安全狀況，記錄跟蹤結果評估損失、響應措施效果分析和總結經驗、教訓重新評估和修改安全策略、措施和應急響應計劃對進入司法程序的事件，進行進一步調查，打擊違法犯罪活動編制并提交應急響應報告處理人時間和時段地點工作量準備檢測遏制根除恢復跟蹤總結事件的類類別、級別對事件的處置情況損失經驗、教訓第六階段—跟蹤總結21關注系統(tǒng)恢復以后的安全狀況，記錄跟知識域：應急響應概況知識子域：計算機取證了解計算機取證的概念和目的了解計算機取證的基本步驟22知識域：應急響應概況知識子域：計算機取證22計算機取證的概念、目的、原則計算機取證使用先進的技術和工具，按照標準規(guī)程全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的相關證據的活動提取和保護的是電子證據，相關工作主要圍繞兩個方面進行：證據的獲取和證據的分析目的查找肇事者、推斷犯罪過程、判斷受害者損失程度、提供法律支持原則合法原則、充分授權原則、優(yōu)先保護證據原則、全程監(jiān)督原則23計算機取證的概念、目的、原則計算機取證23計算機取證的步驟24準備保護提取分析提交計算機取證的步驟24準備保護提取分析提交計算機取證-準備獲取授權取證工作獲得明確的授權（授權書）目標明確對取證的目的有清晰的認識工具準備對取證環(huán)境的了解及需要準備的工具軟件準備對取證的軟件進行過有效的驗證介質準備確保有符合要求的干凈的介質可用于取證25計算機取證-準備獲取授權25計算機取證-保護保證數(shù)據安全性制作磁盤映像——不在原始磁盤上操作保證數(shù)據完整性取證中不使用可能破壞完整性的操作第三方監(jiān)督所有操作都有第三方在場監(jiān)督26計算機取證-保護保證數(shù)據安全性26計算機取證-提取27優(yōu)先提取易消失的證據內存信息、系統(tǒng)進程、網絡連接信息、路由信息、臨時文件、緩存文件系統(tǒng)數(shù)據恢復、隱藏文件、加密文件、系統(tǒng)日志應用系統(tǒng)系統(tǒng)日志計算機取證-提取27優(yōu)先提取易消失的證據計算機取證-分析及提交證據在什么地方？日志、刪除的文件、臨時文件、緩存從證據中能發(fā)現(xiàn)什么？如何關聯(lián)證據？電子取證提交必須與現(xiàn)實取證結合，文檔化很重要28計算機取證-分析及提交證據在什么地方？28知識域：信息系統(tǒng)災難恢復知識子域：災難恢復概況了解災難恢復的歷史和背景、進展情況、政策要求和相關標準理解業(yè)務連續(xù)性管理與災難恢復相關的基本概念了解災難恢復組織的一般結構和職責理解組織應依據自身業(yè)務特點制定適宜的災難恢復戰(zhàn)略理解編制詳細準確的備份策略和恢復步驟文檔是成功恢復的基礎，理解恢復性測試的重要性29知識域：信息系統(tǒng)災難恢復知識子域：災難恢復概況29災難恢復的歷史和背景20世紀90年代末期，開始關注數(shù)據安全，進行數(shù)據的備份。但當時，不論從災難恢復理論水平，重視程度，從業(yè)人員數(shù)量質量，還是技術水平方面都還很不成熟。2000年，“千年蟲”事件引發(fā)了國內對于信息系統(tǒng)災難的第一次集體性關注，但“9.11”事件所引起的震動真正地引起了大家對災難恢復的關注30災難恢復的歷史和背景20世紀90年代末期，開始關注數(shù)據安全我國災難恢復進展情況各行業(yè)用戶對信息安全的建設越來越重視投入呈現(xiàn)穩(wěn)定增長的態(tài)勢。但，大部分單位還沒有有效的災難恢復策略沒有建立統(tǒng)一的業(yè)務連續(xù)管理機制隨著國內信息化建設的不斷完善、數(shù)據大集中的開展和國家對災難恢復工作的高度重視，越來越多的單位和部門認識到災難恢復的重要性和必要性，開展災難恢復建設的時機已基本成熟一些大型行業(yè)已建設或啟動災備中心建設31我國災難恢復進展情況各行業(yè)用戶對信息安全的建設越來越重視投入我國國內災難恢復的國家政策和標準

2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》，要求：各基礎信息網絡和重要信息系統(tǒng)建設要充分考慮抗毀性與災難恢復，制定和不斷完善信息安全應急處置預案2004年，國信辦《關于做好重要信息系統(tǒng)災難備份工作的通知》，強調了“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合”的災備工作原則2005年，國務院信息化辦公室《重要信息系統(tǒng)災難恢復指南》2007年，《信息安全技術信息系統(tǒng)災難恢復規(guī)范》（GB/T20988—2007）32我國國內災難恢復的國家政策和標準2003年，《國家信息化領災難恢復相關基本概念災難（disaster）由于人為或自然的原因，造成信息系統(tǒng)嚴重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受、達到特定的時間的突發(fā)性事件。通常導致信息系統(tǒng)需要切換到災難備份中心運行SARS33災難備份(backupfordisasterrecovery)為了災難恢復而對數(shù)據、數(shù)據處理系統(tǒng)、網絡系統(tǒng)、基礎設施、專業(yè)技術支持能力和運行管理能力進行備份的過程災難恢復(disasterrecovery)為了將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)、并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)而設計的活動和流程災難恢復相關基本概念災難（disaster）SARS33災規(guī)劃和預案（GB/T20988）災難恢復規(guī)劃（disasterrecoveryplanning）為了減少災難帶來的損失和保證信息系統(tǒng)所支持的關鍵業(yè)務功能在災難發(fā)生后能及時恢復和繼續(xù)運作所做的事前計劃和安排。災難恢復預案（disasterrecoveryplan）定義信息系統(tǒng)災難恢復過程中所需的任務、行動、數(shù)據和資源的文件。用于指導相關人員在預定的災難恢復目標內恢復信息系統(tǒng)支持的關鍵業(yè)務功能。34規(guī)劃和預案（GB/T20988）災難恢復規(guī)劃（disaBCP和BCM（GB/T20988）業(yè)務連續(xù)性規(guī)劃（BusinessContinuityPlanning，BCP）是災難事件的預防和反應機制，是一系列事先制定的策略和規(guī)劃，確保單位在面臨突發(fā)的災難事件時，關鍵業(yè)務功能能持續(xù)運作、有效的發(fā)揮作用，以保證業(yè)務的正常和連續(xù)。業(yè)務連續(xù)規(guī)劃不僅僅包括對信息系統(tǒng)的恢復，而且包括關鍵業(yè)務運作、人員及其它重要資源等的恢復和持續(xù)業(yè)務連續(xù)性管理（BusinessContinuityManagement，BCM）為保護組織的利益、聲譽、品牌和價值創(chuàng)造活動，找出對組織有潛在影響的威脅，提供建設組織有效反應恢復能力的框架的整體管理過程。包括組織在面臨災難時對恢復或連續(xù)性的管理，以及為保證業(yè)務連續(xù)計劃或災難恢復預案的有效性的培訓、演練和檢查的全部過程35BCP和BCM（GB/T20988）業(yè)務連續(xù)性規(guī)劃（BuRPO－RecoveryPointObjective，恢復點目標定義：災難發(fā)生后，系統(tǒng)和數(shù)據必須恢復到的時間點要求代表了當災難發(fā)生時允許丟失的數(shù)據量RTO－RecoveryTimeObjective，恢復時間目標定義：災難發(fā)生后，信息系統(tǒng)和業(yè)務功能從停頓到必須恢復的時間要求代表了企業(yè)能容忍的信息系統(tǒng)和業(yè)務功能恢復的時間恢復點目標-RPO/恢復時間目標-RTO秒分小時日周秒分小時日周恢復點恢復時間36RPO－RecoveryPointObjective，恢主中心與災難備份中心、

主系統(tǒng)與災難備份系統(tǒng)主中心(主站點/生產中心)，是指主系統(tǒng)所在的數(shù)據中心災難備份中心（備用站點），是指用于災難發(fā)生后接替主系統(tǒng)進行數(shù)據處理和支持關鍵業(yè)務功能運作的場所，可提供災難備份系統(tǒng)、備用的基礎設施和專業(yè)技術支持及運行維護管理能力，此場所內或周邊可提供備用的生產設施主系統(tǒng)（生產系統(tǒng)），是指正常情況下支持組織日常運作的信息系統(tǒng)。包括主數(shù)據、主數(shù)據處理系統(tǒng)和主網絡災難備份系統(tǒng)，是指用于災難恢復目的，由數(shù)據備份系統(tǒng)、備用數(shù)據處理系統(tǒng)和備用的網絡系統(tǒng)組成的信息系統(tǒng)37主中心與災難備份中心、

主系統(tǒng)與災難備份系統(tǒng)主中心(主站點/災難恢復組織災難恢復組織應由管理、業(yè)務、技術和行政后勤等人員組成，通常會分為災難恢復規(guī)劃領導小組、災難恢復規(guī)劃實施組和災難恢復規(guī)劃日常運行組等角色可聘請外部專家協(xié)助災難恢復規(guī)劃工作，也可委托外部機構承擔實施組和運行組的部分或全部工作38一般的災難恢復組織結構災難恢復組織災難恢復組織應由管理、業(yè)務、技術和行政后勤等人員災難恢復戰(zhàn)略合適的數(shù)據備份及恢復戰(zhàn)略是避免丟失重要數(shù)據、有效恢復和滿足業(yè)務運營需要的保證組織應根據自身的業(yè)務性質、數(shù)據特點、信息系統(tǒng)規(guī)模、業(yè)務影響分析的結果（主要是RTO、RPO這兩個指標），來制定適當?shù)膫浞菁盎謴蛻?zhàn)略比如，實時性業(yè)務與非實時性業(yè)務的的戰(zhàn)略應完全不同備份及恢復戰(zhàn)略的不同，將決定組織選擇不同的存儲技術、備份技術、備用場所39災難恢復戰(zhàn)略合適的數(shù)據備份及恢復戰(zhàn)略是避免丟失重要數(shù)據、有效備份策略和恢復步驟及測試備份、備份數(shù)據的測試，是恢復的基礎應識別所有需要備份的數(shù)據項，編制諸如《備份策略和恢復步驟》的文檔，分別描述每一備份項的備份策略、詳細恢復步驟、測試要求因為不同類型的數(shù)據，其特點不同，備份策略和恢復步驟可能完全不同恢復步驟應足夠詳細40備份策略和恢復步驟及測試備份、備份數(shù)據的測試，是恢復的基礎4知識域：信息系統(tǒng)災難恢復知識子域：災難恢復管理過程掌握災難恢復管理工作的主要內容掌握災難恢復規(guī)劃過程：災難恢復需求分析、災難恢復策略制定、災難恢復策略實現(xiàn)、災難恢復預案制定和管理理解同城和異地災難備份中心的優(yōu)缺點41知識域：信息系統(tǒng)災難恢復知識子域：災難恢復管理過程41災難恢復管理工作的主要內容災難恢復規(guī)劃災難備份中心的日常運行災難發(fā)生后的應急響應關鍵業(yè)務功能在災難備份中心的恢復和運行主系統(tǒng)的災后重建災難恢復的外部協(xié)作災難恢復的審計和備案42災難恢復管理工作的主要內容災難恢復規(guī)劃42災難恢復規(guī)劃災難恢復規(guī)劃：是一個周而復始的、持續(xù)改進的過程，包含以下四個階段災難恢復需求分析災難恢復策略制定災難恢復策略實現(xiàn)災難恢復預案的制定和管理43災難恢復規(guī)劃災難恢復規(guī)劃：是一個周而復始的、持續(xù)改進的過程，災難恢復規(guī)劃管理過程業(yè)務影響分析制定災難恢復策略實現(xiàn)災難恢復策略災難恢復預案的制定、落實和管理分析業(yè)務功能和相關資源配置評估中斷影響確定災難恢復資源獲取方式確定對災難恢復資源的要求選擇和建設災難備份中心實現(xiàn)災難備份系統(tǒng)技術方案實現(xiàn)專業(yè)技術支持能力實現(xiàn)運行維護管理能力制定災難恢復預案教育、培訓和演練災難恢復預案更新維護災難恢復預案風險分析標識資產標識威脅標識脆弱性標識現(xiàn)有控制分析風險災難恢復需求分析災難恢復策略制定災難恢復預案制定和管理災難恢復策略實現(xiàn)確定災難恢復目標確定關鍵業(yè)務及恢復優(yōu)先順序確定RTO/RPO44災難恢復規(guī)劃管理過程業(yè)務影響制定災難實現(xiàn)災難恢復策略災難恢復1.災難恢復需求分析風險分析業(yè)務影響分析（BIA）確定災難恢復目標45恢復時間1.災難恢復需求分析風險分析45恢復時間明確關鍵業(yè)務功能和支持關鍵業(yè)務功能的關鍵應用系統(tǒng)明確系統(tǒng)中斷對業(yè)務的損失和影響明確各業(yè)務系統(tǒng)的恢復目標和內外部依賴關系確定各業(yè)務功能災難恢復指標（RTO/RPO）明確各業(yè)務功能恢復的最小資源需求及恢復策略業(yè)務影響分析（BIA）46明確關鍵業(yè)務功能和支持關鍵業(yè)務功能的關鍵應用系統(tǒng)業(yè)務影響分析確定災難恢復目標47確定災難恢復目標472.災難恢復策略制定數(shù)據備份系統(tǒng)備用數(shù)據處理系統(tǒng)備用網絡系統(tǒng)備用基礎設施專業(yè)技術支持能力運行維護管理能力災難恢復預案恢復要素策略制定主要內容481.確定所需的災難恢復資源2.明確恢復資源的獲取方式3.明確對恢復資源的具體要求(需要具備的災難恢復能力等級)2.災難恢復策略制定數(shù)據備份系統(tǒng)恢復要素策略制定主要內容4例如：災難恢復資源的獲取方式備用基礎設施由單位所有或運行多方共建或通過互惠協(xié)議獲取租用商業(yè)化災難備份中心的基礎設施備用數(shù)據處理系統(tǒng)事先與廠商簽訂緊急供貨協(xié)議事先購買所需的數(shù)據處理設備并存放在災難備份中心或安全的設備倉庫利用商業(yè)化災難備份中心或簽有互惠協(xié)議的機構已有的兼容設備49例如：災難恢復資源的獲取方式備用基礎設施49例如：確定災難恢復等級各要素的要求數(shù)據備份系統(tǒng)數(shù)據備份的范圍數(shù)據備份的時間間隔數(shù)據備份的技術及介質數(shù)據備份線路的速率及相關通信設備的規(guī)格和要求備用基礎設施與生產中心的距離要求場地和環(huán)境（如面積、溫度、濕度、防火、電力和工作時間等）要求運行和管理要求50例如：確定災難恢復等級各要素的要求數(shù)據備份系統(tǒng)503、災難恢復策略實現(xiàn)災難備份中心的選擇和建設選址原則基礎設施要求災難備份系統(tǒng)技術方案的實現(xiàn)技術方案的設計、驗證、開發(fā)、安裝和測試專業(yè)技術支持能力的實現(xiàn)明確災難恢復策略的要求建立技術支持組織，定期技能培訓運行維護管理能力的實現(xiàn)災難備份中心應建立各種操作規(guī)程和管理制度保證備份的及時性和有效性保證有效的應急響應、處理能力513、災難恢復策略實現(xiàn)災難備份中心的選擇和建設51災難備份中心的選擇和建設選址原則避免災難備份中心與生產中心同時遭受同類風險具備通信、電力資源和交通條件統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合基礎設施要求計算機機房應符合有關國家標準工作輔助設施和生活設施要符合災難恢復目標的要求52災難備份中心的選擇和建設選址原則52災難備份中心的選擇和建設同城和異地53

同城異地含義指災難備份中心與生產中心處于同一區(qū)域性風險威脅的地點，但又有一定距離的地點，例如在數(shù)十公里以內災難備份中心不會同時遭受與生產中心同一區(qū)域性風險威脅的地點，例如距離生產中心在數(shù)百公里以上優(yōu)點技術上可以支持同步的數(shù)據實時備份方式、便于運營管理和災難演練對地震、地區(qū)停電、戰(zhàn)爭等大規(guī)模災難防范能力較強缺點抵御災難能力方面有局限性，對地震、地區(qū)停電、戰(zhàn)爭等大規(guī)模災難防范能力較弱技術上只能支持異步或者定點拷貝的數(shù)據復制方式、運營管理和災難演練的成本較高災難備份中心的選擇和建設同城和異地53

同城異地含義指災難備災難備份系統(tǒng)技術方案的實現(xiàn)54三個主要步驟：技術方案的設計，技術方案的驗證、確認和系統(tǒng)開發(fā)，系統(tǒng)安裝和測試典型的災難備份系統(tǒng)技術方案架構災難備份系統(tǒng)技術方案的實現(xiàn)54三個主要步驟：技術方案的設計，專業(yè)技術支持能力的實現(xiàn)、

運行維護管理能力的實現(xiàn)災難備份中心應建立相應的技術支持組織，定期對技術支持人員進行技能的教育和培訓，以實現(xiàn)專業(yè)技術支持能力災難備份中心應建立各種操作規(guī)程和管理制度，以實現(xiàn)運行維護管理能力55專業(yè)技術支持能力的實現(xiàn)、

運行維護管理能力的實現(xiàn)災難備份中心4、災難恢復預案的制定和管理

災難恢復預案的制定

災難恢復預案的教育、培訓和演練

災難恢復預案的管理564、災難恢復預案的制定和管理災難恢復預案的制定56災難恢復預案的制定災難恢復預案包括的主要內容確定風險場景描述可能受到的業(yè)務影響描述使用的預防性策略描述災難恢復策略識別和排列關鍵應用系統(tǒng)行動計劃團隊和人員的職責聯(lián)絡清單所需資源配置57災難恢復預案的制定災難恢復預案包括的主要內容57災難恢復預案的制定制定災難恢復預案的原則完整性易用性明確性有效性兼容性58制定災難恢復預案的一般流程制定框架起草評審修訂測試完善審核和批準災難恢復預案的制定制定災難恢復預案的原則58制定災難恢復預案災難恢復預案的教育、培訓和演練目的：在災難來臨前使相關人員了解災難恢復的目標和流程，熟悉恢復操作規(guī)程教育：在規(guī)劃初期即開始進行災難恢復觀念的宣傳教育培訓：評估培訓需求，確定培訓的頻次和范圍，開發(fā)培訓課程，保留培訓記錄演練：制定演練計劃，說明演練場景，記錄演練過程，編制演練報告59災難恢復預案的教育、培訓和演練目的：在災難來臨前使相關人員了演練與演習的類型演練和演習的主要方式桌面演練模擬演練實戰(zhàn)演練等根據演練和演習的深度，可分為數(shù)據級演練應用級演練業(yè)務級演練等根據演練和演習的準備情況，可分為計劃內的演練和演習計劃外的演練和演習等60演練與演習的類型演練和演習的主要方式60災難恢復預案的管理按以下原則保存和分發(fā)指派專人負責制作多份拷貝，保存在不同地點分發(fā)給參與恢復工作的所有人員每次修訂后統(tǒng)一更新所有拷貝按有關規(guī)定銷毀舊版本為保證預案的有效性在發(fā)生各種變化后，及時更新預案在測試、演練、災難發(fā)生后實際執(zhí)行過預案以后，評估并修訂定期評審和修訂61災難恢復預案的管理按以下原則保存和分發(fā)61知識域：信息系統(tǒng)災難恢復知識子域：災難恢復能力掌握國家有關標準對信息系統(tǒng)災難恢復能力級別的劃分理解各恢復能力級別對各類災難恢復資源要素的指標要求掌握確定組織自身所需災難恢復能力級別的方法62知識域：信息系統(tǒng)災難恢復知識子域：災難恢復能力62災難恢復資源要素與恢復能力等級劃分63專業(yè)技術支持能力運行維護管理能力災難恢復資源要素與恢復能力等級劃分63專業(yè)技術支持能力運行維第1級—基本支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每周一次備份介質場外存放備用數(shù)據處理系統(tǒng)

—備用網絡系統(tǒng)

—備用基礎設施有符合介質存放條件的場地專業(yè)技術支持能力

—運行維護管理能力有介質存取、驗證和轉儲管理制度按介質特性對備份數(shù)據進行定期的有效性驗證災難恢復預案有相應的經過完整測試和演練的災難恢復預案64第1級—基本支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每周第2級—備用場地支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每周一次備份介質場外存放備用數(shù)據處理系統(tǒng)配備災難恢復所需的部分備用數(shù)據處理設備，或災難發(fā)生后能在預定時間內調配所需的數(shù)據處理設備到備用場地備用網絡系統(tǒng)配備部分通信線路和相應的網絡設備，或災難發(fā)生后能在預定時間內調配所需的通信線路和網絡設備到備用場地備用基礎設施有符合介質存放條件的場地有滿足信息系統(tǒng)和關鍵業(yè)務功能恢復運作要求的場地專業(yè)技術支持能力

—運行維護管理能力有介質存取、驗證和轉儲管理制度按介質特性對備份數(shù)據進行定期的有效性驗證有備用站點管理制度與相關廠商有符合災難恢復時間要求的緊急供貨協(xié)議與相關運營商有符合災難恢復時間要求的備用通信線路協(xié)議災難恢復預案有相應的經過完整測試和演練的災難恢復預案。第2級—備用場地支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少第3級—電子傳輸和部分設備支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每天一次備份介質場外存放每天多次利用通信網絡將關鍵數(shù)據定時批量傳送至備用場地備用數(shù)據處理系統(tǒng)配備災難恢復所需的部分數(shù)據處理設備備用網絡系統(tǒng)配備部分通信線路和相應的網絡設備備用基礎設施有符合介質存放條件的場地有滿足信息系統(tǒng)和關鍵業(yè)務功能恢復運作要求的場地66第3級—電子傳輸和部分設備支持要素要求數(shù)據備份系統(tǒng)完全數(shù)第3級—電子傳輸和部分設備支持要素要求專業(yè)技術支持能力在備用站點有專職的計算機機房運行管理人員運行維護管理能力有介質存取、驗證和轉儲管理制度按介質特性對備份數(shù)據進行定期的有效性驗證有備用計算機機房管理制度有備用數(shù)據處理設備硬件維護管理制度有電子傳輸數(shù)據備份系統(tǒng)運行管理制度災難恢復預案有相應的經過完整測試和演練的災難恢復預案67第3級—電子傳輸和部分設備支持要素要求專業(yè)技術支持能力在第4級—電子傳輸及完整設備支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每天一次備份介質場外存放每天多次利用通信網絡將關鍵數(shù)據定時批量傳送至備用場地備用數(shù)據處理系統(tǒng)配備災難恢復所需的全部數(shù)據處理設備，并處于就緒狀態(tài)或運行狀態(tài)備用網絡系統(tǒng)配備災難恢復所需的通信線路配備災難恢復所需的網絡設備，并處于就緒狀態(tài)

備用基礎設施有符合介質存放條件的場地有符合備用數(shù)據處理系統(tǒng)和備用網絡設備運行要求的場地有滿足關鍵業(yè)務功能恢復運作要求的場地以上場地應保持7x24小時運作68第4級—電子傳輸及完整設備支持要素要求數(shù)據備份系統(tǒng)完全數(shù)第4級—電子傳輸及完整設備支持要素要求專業(yè)技術支持能力在備用站點有：7x24小時專職計算機機房管理人員專職數(shù)據備份技術支持人員專職硬件、網絡技術支持人員運行維護管理能力有介質存取、驗證和轉儲管理制度按介質特性對備份數(shù)據進行定期的有效性驗證有備用計算機機房運行管理制度有硬件和網絡運行管理制度有電子傳輸數(shù)據備份系統(tǒng)運行管理制度災難恢復預案有相應的經過完整測試和演練的災難恢復預案69第4級—電子傳輸及完整設備支持要素要求專業(yè)技術支持能力在第5級—實時數(shù)據傳輸及完整設備支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每天一次備份介質場外存放采用遠程數(shù)據復制技術，并利用通信網絡將關鍵數(shù)據實時復制到備份場地備用數(shù)據處理系統(tǒng)配備災難恢復所需的全部數(shù)據處理設備，并處于就緒或運行狀態(tài)備用網絡系統(tǒng)配備災難恢復所需的通信線路配備災難恢復所需的網絡設備，并處于就緒狀態(tài)具備通信網絡自動或集中切換能力備用基礎設施有符合介質存放條件的場地有符合備用數(shù)據處理系統(tǒng)和備用網絡設備運行要求的場地有滿足關鍵業(yè)務功能恢復運作要求的場地以上場地應保持7x24小時運作70第5級—實時數(shù)據傳輸及完整設備支持要素要求數(shù)據備份系統(tǒng)完全數(shù)第5級—實時數(shù)據傳輸及完整設備支持要素要求專業(yè)技術支持能力在備用站點7x24小時有專職的：計算機機房管理人員數(shù)據備份技術支持人員硬件、網絡技術支持人員運行維護管理能力有介質存取、驗證和轉儲管理制度按介質特性對備份數(shù)據進行定期的有效性驗證有備用計算機機房運行管理制度有硬件和網絡運行管理制度有實時數(shù)據備份系統(tǒng)運行管理制度災難恢復預案有相應的經過完整測試和演練的災難恢復預案71第5級—實時數(shù)據傳輸及完整設備支持要素要求專業(yè)技術支持能力在第6級—數(shù)據零丟失和遠程集群支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據備份至少每天一次備份介質場外存放遠程實時備份，實現(xiàn)數(shù)據零丟失備用數(shù)據處理系統(tǒng)備用數(shù)據處理系統(tǒng)具備與生產數(shù)據處理系統(tǒng)一致的處理能力并完全兼容應用軟件是“集群的”，可實時無縫切換具備遠程集群系統(tǒng)的實時監(jiān)控和自動切換能力備用網絡系統(tǒng)配備與生產系統(tǒng)相同等級的通信線路和網絡設備備用網絡處于運行狀態(tài)最終用戶可通過網絡同時接入主、備中心備用基礎設施有符合介質存放條件的場地有符合備用數(shù)據處理系統(tǒng)和備用網絡設備運行要求的場地有滿足關鍵業(yè)務功能恢復運作要求的場地以上場地應保持7x24小時運作72第6級—數(shù)據零丟失和遠程集群支持要素要求數(shù)據備份系統(tǒng)完全數(shù)據第6級—數(shù)據零丟失和遠程集群支持要素要求專業(yè)技術支持能力在備用站點7x24小時有專職的：計算機機房管理人員專職數(shù)據備份技術支持人員專職硬件、網絡技術支持人員專職操作系統(tǒng)、數(shù)據庫和應用軟件技術支持人員運行維護管理能力有介質存取、驗證和轉儲管理制度按介質特性對備份數(shù)據進行定期的有效性驗證有備用計算機機房運行管理制度有硬件和網絡運行管理制度有實時數(shù)據備份系統(tǒng)運行管理制度有操作系統(tǒng)、數(shù)據庫和應用軟件運行管理制度災難恢復預案有相應的經過完整測試和演練的災難恢復預案73第6級—數(shù)據零丟失和遠程集群支持要素要求專業(yè)技術支持能力在備知識域：災難恢復相關技術知識子域：備份技術理解全備份、增量備份和差分備份三種備份方式理解三種備份方式的特點74知識域：災難恢復相關技術知識子域：備份技術74備份類型全備份對整個系統(tǒng)的所有文件進行完全備份

增量備份每次備份的數(shù)據只是上一次備份后增加和修改過的數(shù)據差分備份每次備份的數(shù)據是上一次全備份之后新增加和修改過的數(shù)據75備份類型全備份75不同備份方式的特點76全備份備份量最大，恢復最簡單增量備份備份量最小，恢復最麻煩差分備份（差異備份）備份量、恢復繁瑣度介于前兩者之間備份策略重要時間點執(zhí)行完全備份、經常進行增量備份、定期執(zhí)行差分備份不同備份方式的特點76全備份知識域：災難恢復相關技術知識子域：備用場所了解冷站、溫站、熱站、移動站和鏡像站等類別的備用場所的概念，了解各類備用場所具有的功能、備戰(zhàn)性程度了解由組織擁有或運行維護的專用站點、同內部或外部實體通過簽署互惠協(xié)議而確定的備用站點、向專業(yè)商業(yè)組織租用的備用站點在建設和管理方式方面的不同77知識域：災難恢復相關技術知識子域：備用場所77基于功能、備戰(zhàn)性程度，備用站點分為：冷站：通常包含用于支持IT系統(tǒng)的足夠空間和基礎設施（電力，電信連接和環(huán)境控制）；不包含IT設備、辦公自動化設備溫站：包含部分或所有系統(tǒng)硬件、軟件、電信和電源資源裝備的辦公空間。維持于一個運行維護狀態(tài)熱站：有足夠空間大小以支持系統(tǒng)要求和配備了必要的系統(tǒng)硬件、支持基礎設施和支持人員的辦公空間。一旦接到通知，熱站人員將立即開始準備系統(tǒng)的運行移動站：帶有滿足系統(tǒng)需求的特定電信和IT設備的為客戶量身定做的自包含、可移動的站點鏡像站：包含全部、實時信息鏡像的冗余設施。同主站點在技術方面是完全相同的。數(shù)據的處理和存儲在主、備站同時進行，提供最高級別的可用性78基于功能、備戰(zhàn)性程度，備用站點分為：冷站：通常包含用于支持I備用場所79站點費用硬件設備電信設置時間位置冷站低無無長固定溫站中部分部分/完全中固定熱站中/高完全完全短固定移動站高隨相關情況而定隨相關情況而定隨相關情況而定不固定鏡像站高完全完全無固定各類備用場所之間的對比備用場所79站點費用硬件設備電信設置時間位置冷站低無無長固定基于建設和管理方式，備用場所分為：由組織擁有或運行維護的專用站點完全由組織出資建設、使用、維護和管理，其可以是冷戰(zhàn)、溫站、熱站、鏡像站或移動站同內部或外部實體通過簽署互惠協(xié)議而確定的備用站點由兩個或更多有相似或相同IT配置和備份技術的組織，簽訂一個正式合同以相互間作為備用場所或與同一個備用場所簽訂一個聯(lián)合合同。這種類型的站點通過互惠協(xié)議建立向專業(yè)商業(yè)組織租用的備用站點需要事先與專業(yè)商業(yè)組織簽訂商業(yè)合同，必須在合同中協(xié)商并清晰地說明足夠的測試時間、工作空間、安全要求、硬件要求、電信要求、支持服務和恢復時間（在恢復期間，組織機構可以占用空間多久）80基于建設和管理方式，備用場所分為：由組織擁有或運行維護的專用謝謝，請?zhí)釂栴}！謝謝，請?zhí)釂栴}！應急響應與災難恢復培訓機構名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1應急響應與災難恢復培訓機構名稱版本：3.0課程內容83知識體知識域知識子域應急響應與災難恢復信息系統(tǒng)災難恢復災難恢復概況信息安全應急響應管理過程信息安全事件分類分級災難恢復管理過程應急響應概況計算機取證災難恢復相關技術災難恢復能力備份技術備用場所課程內容2知識體知識域知識子域應急響應與災難恢復信息系統(tǒng)災難知識域：應急響應概況知識子域：信息安全事件分類分級理解信息安全事件和應急響應的基本概念了解國際和我國的信息安全應急響應組織了解我國信息安全事件應急響應工作的進展情況、政策要求和相關標準理解我國信息安全事件分類、分級方法84知識域：應急響應概況知識子域：信息安全事件分類分級3基本概念85GB/T24363-2009信息安全應急響應計劃規(guī)范信息安全事件

由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內發(fā)生對社會造成負面影響的事件應急響應

組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施基本概念4GB/T24363-2009信息安全應急響應計86GB/Z20985-2007信息安全事件管理指南信息安全事件響應組

由組織中具備適當技能且可信的成員組成的一個小組，負責處理與信息安全事件相關的全部工作，有時小組可能有外部專家加入CERT計算機應急響應組國際或國家公認的計算機應急響應組織

基本概念5GB/Z20985-2007信息安全事件管理指南基本概國際信息安全應急響應組織87美國計算機緊急事件響應小組協(xié)調中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件響應與安全組織論壇（ForumofIncidentResponseandSecurityTeams,FIRST）

亞太地區(qū)計算機應急響應組（AsiaPacificComputerEmergencyResponseTeam,APCERT）

歐洲計算機網絡研究教育協(xié)會（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

國際信息安全應急響應組織6美國計算機緊急事件響應小組協(xié)調中心我國信息安全應急響應組織88國家計算機網絡應急技術處理協(xié)調中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中國教育和科研計算機網緊急響應組(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

國家計算機病毒應急處理中心

國家計算機網絡入侵防范中心國家863計劃反計算機入侵和防病毒研究中心我國信息安全應急響應組織7國家計算機網絡應急技術處理協(xié)調中心應急響應組織的一般構成89應急響應組織的一般構成8國家政策要求和相關標準90《關于加強信息安全保障工作的意見》（中辦發(fā)『2003』27號文）指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設基于密碼技術的網絡信任體系，建設信息安全監(jiān)控體系，重視信息安全應急處理工作，推動信息安全技術研發(fā)與產業(yè)發(fā)展，建設信息安全法制與標準”

GB/T24363-2009

《信息安全應急響應計劃規(guī)范》GB/T20988-2007《信息系統(tǒng)災難恢復規(guī)范》GB/Z20985-2007《信息安全事件管理指南》GB/Z20986-2007《信息安全事件分類分級指南》國家政策要求和相關標準9《關于加強信息安全保障工作的意見》（我國信息安全事件分類方法91GB/Z20986-2007《信息安全事件分級分類指南》7個基本類別有害程序事件：病毒、蠕蟲、木馬等網絡攻擊事件：DOS、后門攻擊、掃描、釣魚等信息破壞事件：信息被篡改、假冒、竊取等信息內容安全事件：危害國家安全、社會穩(wěn)定等設備設施故障：軟硬件自身故障和人為非技術破壞等災害性事件：自然災害、戰(zhàn)爭等其他信息安全事件：不能歸為以上6個類別的事件我國信息安全事件分類方法10GB/Z20986-2007《我國信息安全事件分級方法92分級要素GB/Z20986-2007《信息安全事件分級分類指南》系統(tǒng)損失社會影響信息系統(tǒng)的重要程度我國信息安全事件分級方法11分級要素GB/Z20986-我國信息安全事件分級方法GB/Z2098693特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失

產生特別重大的社會影響

重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失產生重大的社會影響較大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失，一般信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失產生較大的社會影響一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失產生一般的社會影響特別重大事件重大事件較大事件一般事件1級2級3級4級我國信息安全事件分級方法GB/Z2098612特別重大事知識域：應急響應概況知識子域：信息安全應急響應管理過程掌握信息安全應急響應階段方法論掌握準備、檢測、遏制、根除等應急響應階段的主要工作內容掌握信息安全應急響應計劃編制方法94知識域：應急響應概況知識子域：信息安全應急響應管理過程13應急響應六階段95第一階段：準備——讓我們嚴陣以待第二階段：檢測——對情況綜合判斷第三階段：遏制——制止事態(tài)的擴大第四階段：根除——徹底的補救措施第五階段：恢復——系統(tǒng)恢復常態(tài)第六階段：跟蹤總結——還會有第二次嗎應急響應六階段14第一階段：準備——讓我們嚴陣以待第一階段—準備96預防為主微觀確定重要資產和風險，實施針對風險的防護措施編制和管理應急響應計劃建立和訓練應急響應組織準備相關的資源人力資源、財力資源、物質資源、技術資源、社會關系資源宏觀建立協(xié)作體系和應急制度建立信息溝通渠道和通報機制如有條件，建立數(shù)據匯總分析的體系和能力有關法律法規(guī)的制定準備檢測遏制根除恢復跟蹤總結第一階段—準備15預防為主準備檢測遏制根除恢復跟蹤總結編制和管理應急響應計劃97應急響應計劃，是指在突發(fā)/重大信息安全事件后對包括計算機運行在內的業(yè)務運行進行維持或恢復的策略和規(guī)程應急響應計劃的制定是一個周而復始、持續(xù)改進的過程，包含以下幾個階段（1）應急響應需求分析和應急響應策略的確定（2）編制應急響應計劃文檔（3）應急響應計劃的測試、培訓、演練和維護應急響應計劃主要內容總則、角色及職責、預防和預警機制、應急響應流程、應急響應保障措施、附件編制和管理應急響應計劃16應急響應計劃，是指在突發(fā)/重大信息第二階段—檢測98檢測事件、確定事件性質和處理人微觀進行監(jiān)測、報告及信息收集確定事件類別和級別指定事件處理人，進行初步響應評估事件的影響范圍事件通告（信息通報、信息上報、信息披露）宏觀：通過匯總，確定是否發(fā)生了全網的大規(guī)模事件確定應急等級，以決定啟動哪一級應急方案準備檢測遏制根除恢復跟蹤總結第二階段—檢測17檢測事件、確定事件性質和處理人準備檢測第三階段—遏制99限制事件影響的范圍、損失微觀啟動應急響應計劃確定適當?shù)捻憫绞綄嵤┒糁菩袆右笥脩舭磻毙袨橐?guī)范要求配合遏制工作宏觀確保封鎖方法對各網業(yè)務影響最小通過協(xié)調爭取各網一致行動，實施隔離匯總數(shù)據，估算損失和隔離效果準備檢測遏制根除恢復跟蹤總結第三階段—遏制18限制事件影響的范圍、損失準備檢測遏制根第四階段—根除100長期的補救措施微觀詳細分析，確定原因實施根除措施，消除原因宏觀加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題加強檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點部門的問題準備檢測遏制根除恢復跟蹤總結第四階段—根除19長期的補救措施準備檢測遏制根除恢復跟蹤第五階段—恢復101微觀根據破壞程度決定是在原系統(tǒng)還是備份系統(tǒng)中恢復按恢復優(yōu)先順序恢復系統(tǒng)和業(yè)務運行可能需要執(zhí)行以下事務性步驟和技術性恢復操作獲得訪問相關區(qū)域和資源的授權獲取備份介質等相關資源恢復系統(tǒng)數(shù)據啟用備份系統(tǒng)重建主系統(tǒng)宏觀持續(xù)匯總分析，判斷遏制、根除效果通過匯總分析的結果判斷仍然受影響的終端的規(guī)模適當時解除封鎖措施準備檢測遏制根除恢復跟蹤總結第五階段—恢復20微觀準備檢測遏制根除恢復跟蹤總結第六階段—跟蹤總結102關注系統(tǒng)恢復以后的安全狀況，記錄跟蹤結果評估損失、響應措施效果分析和總結經驗、教訓重新評估和修改安全策略、措施和應急響應計劃對進入司法程序的事件，進行進一步調查，打擊違法犯罪活動編制并提交應急響應報告處理人時間和時段地點工作量準備檢測遏制根除恢復跟蹤總結事件的類類別、級別對事件的處置情況損失經驗、教訓第六階段—跟蹤總結21關注系統(tǒng)恢復以后的安全狀況，記錄跟知識域：應急響應概況知識子域：計算機取證了解計算機取證的概念和目的了解計算機取證的基本步驟103知識域：應急響應概況知識子域：計算機取證22計算機取證的概念、目的、原則計算機取證使用先進的技術和工具，按照標準規(guī)程全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的相關證據的活動提取和保護的是電子證據，相關工作主要圍繞兩個方面進行：證據的獲取和證據的分析目的查找肇事者、推斷犯罪過程、判斷受害者損失程度、提供法律支持原則合法原則、充分授權原則、優(yōu)先保護證據原則、全程監(jiān)督原則104計算機取證的概念、目的、原則計算機取證23計算機取證的步驟105準備保護提取分析提交計算機取證的步驟24準備保護提取分析提交計算機取證-準備獲取授權取證工作獲得明確的授權（授權書）目標明確對取證的目的有清晰的認識工具準備對取證環(huán)境的了解及需要準備的工具軟件準備對取證的軟件進行過有效的驗證介質準備確保有符合要求的干凈的介質可用于取證106計算機取證-準備獲取授權25計算機取證-保護保證數(shù)據安全性制作磁盤映像——不在原始磁盤上操作保證數(shù)據完整性取證中不使用可能破壞完整性的操作第三方監(jiān)督所有操作都有第三方在場監(jiān)督107計算機取證-保護保證數(shù)據安全性26計算機取證-提取108優(yōu)先提取易消失的證據內存信息、系統(tǒng)進程、網絡連接信息、路由信息、臨時文件、緩存文件系統(tǒng)數(shù)據恢復、隱藏文件、加密文件、系統(tǒng)日志應用系統(tǒng)系統(tǒng)日志計算機取證-提取27優(yōu)先提取易消失的證據計算機取證-分析及提交證據在什么地方？日志、刪除的文件、臨時文件、緩存從證據中能發(fā)現(xiàn)什么？如何關聯(lián)證據？電子取證提交必須與現(xiàn)實取證結合，文檔化很重要109計算機取證-分析及提交證據在什么地方？28知識域：信息系統(tǒng)災難恢復知識子域：災難恢復概況了解災難恢復的歷史和背景、進展情況、政策要求和相關標準理解業(yè)務連續(xù)性管理與災難恢復相關的基本概念了解災難恢復組織的一般結構和職責理解組織應依據自身業(yè)務特點制定適宜的災難恢復戰(zhàn)略理解編制詳細準確的備份策略和恢復步驟文檔是成功恢復的基礎，理解恢復性測試的重要性110知識域：信息系統(tǒng)災難恢復知識子域：災難恢復概況29災難恢復的歷史和背景20世紀90年代末期，開始關注數(shù)據安全，進行數(shù)據的備份。但當時，不論從災難恢復理論水平，重視程度，從業(yè)人員數(shù)量質量，還是技術水平方面都還很不成熟。2000年，“千年蟲”事件引發(fā)了國內對于信息系統(tǒng)災難的第一次集體性關注，但“9.11”事件所引起的震動真正地引起了大家對災難恢復的關注111災難恢復的歷史和背景20世紀90年代末期，開始關注數(shù)據安全我國災難恢復進展情況各行業(yè)用戶對信息安全的建設越來越重視投入呈現(xiàn)穩(wěn)定增長的態(tài)勢。但，大部分單位還沒有有效的災難恢復策略沒有建立統(tǒng)一的業(yè)務連續(xù)管理機制隨著國內信息化建設的不斷完善、數(shù)據大集中的開展和國家對災難恢復工作的高度重視，越來越多的單位和部門認識到災難恢復的重要性和必要性，開展災難恢復建設的時機已基本成熟一些大型行業(yè)已建設或啟動災備中心建設112我國災難恢復進展情況各行業(yè)用戶對信息安全的建設越來越重視投入我國國內災難恢復的國家政策和標準

2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》，要求：各基礎信息網絡和重要信息系統(tǒng)建設要充分考慮抗毀性與災難恢復，制定和不斷完善信息安全應急處置預案2004年，國信辦《關于做好重要信息系統(tǒng)災難備份工作的通知》，強調了“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合”的災備工作原則2005年，國務院信息化辦公室《重要信息系統(tǒng)災難恢復指南》2007年，《信息安全技術信息系統(tǒng)災難恢復規(guī)范》（GB/T20988—2007）113我國國內災難恢復的國家政策和標準2003年，《國家信息化領災難恢復相關基本概念災難（disaster）由于人為或自然的原因，造成信息系統(tǒng)嚴重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受、達到特定的時間的突發(fā)性事件。通常導致信息系統(tǒng)需要切換到災難備份中心運行SARS114災難備份(backupfordisasterrecovery)為了災難恢復而對數(shù)據、數(shù)據處理系統(tǒng)、網絡系統(tǒng)、基礎設施、專業(yè)技術支持能力和運行管理能力進行備份的過程災難恢復(disasterrecovery)為了將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)、并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)而設計的活動和流程災難恢復相關基本概念災難（disaster）SARS33災規(guī)劃和預案（GB/T20988）災難恢復規(guī)劃（disasterrecoveryplanning）為了減少災難帶來的損失和保證信息系統(tǒng)所支持的關鍵業(yè)務功能在災難發(fā)生后能及時恢復和繼續(xù)運作所做的事前計劃和安排。災難恢復預案（disasterrecoveryplan）定義信息系統(tǒng)災難恢復過程中所需的任務、行動、數(shù)據和資源的文件。用于指導相關人員在預定的災難恢復目標內恢復信息系統(tǒng)支持的關鍵業(yè)務功能。115規(guī)劃和預案（GB/T20988）災難恢復規(guī)劃（disaBCP和BCM（GB/T20988）業(yè)務連續(xù)性規(guī)劃（BusinessContinuityPlanning，BCP）是災難事件的預防和反應機制，是一系列事先制定的策略和規(guī)劃，確保單位在面臨突發(fā)的災難事件時，關鍵業(yè)務功能能持續(xù)運作、有效的發(fā)揮作用，以保證業(yè)務的正常和連續(xù)。業(yè)務連續(xù)規(guī)劃不僅僅包括對信息系統(tǒng)的恢復，而且包括關鍵業(yè)務運作、人員及其它重要資源等的恢復和持續(xù)業(yè)務連續(xù)性管理（BusinessContinuityManagement，BCM）為保護組織的利益、聲譽、品牌和價值創(chuàng)造活動，找出對組織有潛在影響的威脅，提供建設組織有效反應恢復能力的框架的整體管理過程。包括組織在面臨災難時對恢復或連續(xù)性的管理，以及為保證業(yè)務連續(xù)計劃或災難恢復預案的有效性的培訓、演練和檢查的全部過程116BCP和BCM（GB/T20988）業(yè)務連續(xù)性規(guī)劃（BuRPO－RecoveryPointObjective，恢復點目標定義：災難發(fā)生后，系統(tǒng)和數(shù)據必須恢復到的時間點要求代表了當災難發(fā)生時允許丟失的數(shù)據量RTO－RecoveryTimeObjective，恢復時間目標定義：災難發(fā)生后，信息系統(tǒng)和業(yè)務功能從停頓到必須恢復的時間要求代表了企業(yè)能容忍的信息系統(tǒng)和業(yè)務功能恢復的時間恢復點目標-RPO/恢復時間目標-RTO秒分小時日周秒分小時日周恢復點恢復時間117RPO－RecoveryPointObjective，恢主中心與災難備份中心、

主系統(tǒng)與災難備份系統(tǒng)主中心(主站點/生產中心)，是指主系統(tǒng)所在的數(shù)據中心災難備份中心（備用站點），是指用于災難發(fā)生后接替主系統(tǒng)進行數(shù)據處理和支持關鍵業(yè)務功能運作的場所，可提供災難備份系統(tǒng)、備用的基礎設施和專業(yè)技術支持及運行維護管理能力，此場所內或周邊可提供備用的生產設施主系統(tǒng)（生產系統(tǒng)），是指正常情況下支持組織日常運作的信息系統(tǒng)。包括主數(shù)據、主數(shù)據處理系統(tǒng)和主網絡災難備份系統(tǒng)，是指用于災難恢復目的，由數(shù)據備份系統(tǒng)、備用數(shù)據處理系統(tǒng)和備用的網絡系統(tǒng)組成的信息系統(tǒng)118主中心與災難備份中心、

主系統(tǒng)與災難備份系統(tǒng)主中心(主站點/災難恢復組織災難恢復組織應由管理、業(yè)務、技術和行政后勤等人員組成，通常會分為災難恢復規(guī)劃領導小組、災難恢復規(guī)劃實施組和災難恢復規(guī)劃日常運行組等角色可聘請外部專家協(xié)助災難恢復規(guī)劃工作，也可委托外部機構承擔實施組和運行組的部分或全部工作119一般的災難恢復組織結構災難恢復組織災難恢復組織應由管理、業(yè)務、技術和行政后勤等人員災難恢復戰(zhàn)略合適的數(shù)據備份及恢復戰(zhàn)略是避免丟失重要數(shù)據、有效恢復和滿足業(yè)務運營需要的保證組織應根據自身的業(yè)務性質、數(shù)據特點、信息系統(tǒng)規(guī)模、業(yè)務影響分析的結果（主要是RTO、RPO這兩個指標），來制定適當?shù)膫浞菁盎謴蛻?zhàn)略比如，實時性業(yè)務與非實時性業(yè)務的的戰(zhàn)略應完全不同備份及恢復戰(zhàn)略的不同，將決定組織選擇不同的存儲技術、備份技術、備用場所120災難恢復戰(zhàn)略合適的數(shù)據備份及恢復戰(zhàn)略是避免丟失重要數(shù)據、有效備份策略和恢復步驟及測試備份、備份數(shù)據的測試，是恢復的基礎應識別所有需要備份的數(shù)據項，編制諸如《備份策略和恢復步驟》的文檔，分別描述每一備份項的備份策略、詳細恢復步驟、測試要求因為不同類型的數(shù)據，其特點不同，備份策略和恢復步驟可能完全不同恢復步驟應足夠詳細121備份策略和恢復步驟及測試備份、備份數(shù)據的測試，是恢復的基礎4知識域：信息系統(tǒng)災難恢復知識子域：災難恢復管理過程掌握災難恢復管理工作的主要內容掌握災難恢復規(guī)劃過程：災難恢復需求分析、災難恢復策略制定、災難恢復策略實現(xiàn)、災難恢復預案制定和管理理解同城和異地災難備份中心的優(yōu)缺點122知識域：信息系統(tǒng)災難恢復知識子域：災難恢復管理過程41災難恢復管理工作的主要內容災難恢復規(guī)劃災難備份中心的日常運行災難發(fā)生后的應急響應關鍵業(yè)務功能在災難備份中心的恢復和運行主系統(tǒng)的災后重建災難恢復的外部協(xié)作災難恢復的審計和備案123災難恢復管理工作的主要內容災難恢復規(guī)劃42災難恢復規(guī)劃災難恢復規(guī)劃：是一個周而復始的、持續(xù)改進的過程，包含以下四個階段災難恢復需求分析災難恢復策略制定災難恢復策略實現(xiàn)災難恢復預案的制定和管理124災難恢復規(guī)劃災難恢復規(guī)劃：是一個周而復始的、持續(xù)改進的過程，災難恢復規(guī)劃管理過程業(yè)務影響分析制定災難恢復策略實現(xiàn)災難恢復策略災難恢復預案的制定、落實和管理分析業(yè)務功能和相關資源配置評估中斷影響確定災難恢復資源獲取方式確定對災難恢復資源的要求選擇和建設災難備份中心實現(xiàn)災難備份系統(tǒng)技術方案實現(xiàn)專業(yè)技術支持能力實現(xiàn)運行維護管理能力制定災難恢復預案教育、培訓和演練災難恢復預案更新維護災難恢復預案風險分析標識資產標識威脅標識脆弱性標識現(xiàn)有控制分析風險災難恢復需求分析災難恢復策略制定災難恢復預案制定和管理災難恢復策略實現(xiàn)確定災難恢復目標確定關鍵業(yè)務及恢復優(yōu)先順序確定RTO/RPO125災難恢復規(guī)劃管理過程業(yè)務影響制定災難實現(xiàn)災難恢復策略災難恢復1.災難恢復需求分析風險分析業(yè)務影響分析（BIA）確定災難恢復目標126恢復時間1.災難恢復需求分析風險分析45恢復時間明確關鍵業(yè)務功能和支持關鍵業(yè)務功能的關鍵應用系統(tǒng)明確系統(tǒng)中斷對業(yè)務的損失和影響明確各業(yè)務系統(tǒng)的恢復目標和內外部依賴關系確定各業(yè)務功能災難恢復指標（RTO/RPO）明確各業(yè)務功能恢復的最小資源需求及恢復策略業(yè)務影響分析（BIA）127明確關鍵業(yè)務功能和支持關鍵業(yè)務功能的關鍵應用系統(tǒng)業(yè)務影響分析確定災難恢復目標128確定災難恢復目標472.災難恢復策略制定數(shù)據備份系統(tǒng)備用數(shù)據處理系統(tǒng)備用網絡系統(tǒng)備用基礎設施專業(yè)技術支持能力運行維護管理能力災難恢復預案恢復要素策略制定主要內容1291.確定所需的災難恢復資源2.明確恢復資源的獲取方式3.明確對恢復資源的具體要求(需要具備的災難恢復能力等級)2.災難恢復策略制定數(shù)據備份系統(tǒng)恢復要素策略制定主要內容4例如：災難恢復資源的獲取方式備用基礎設施由單位所有或運行多方共建或通過互惠協(xié)議獲取租用商業(yè)化災難備份中心的基礎設施備用數(shù)據處理系統(tǒng)事先與廠商簽訂緊急供貨協(xié)議事先購買所需的數(shù)據處理設備并存放在災難備份中心或安全的設備倉庫利用商業(yè)化災難備份中心或簽有互惠協(xié)議的機構已有的兼容設備130例如：災難恢復資源的獲取方式備用基礎設施49例如：確定災難恢復等級各要素的要求數(shù)據備份系統(tǒng)數(shù)據備份的范圍數(shù)據備份的時間間隔數(shù)據備份的技術及介質數(shù)據備份線路的速率及相關通信設備的規(guī)格和要求備用基礎設施與生產中心的距離要求場地和環(huán)境（如面積、溫度、濕度、防火、電力和工作時間等）要求運行和管理要求131例如：確定災難恢復等級各要素的要求數(shù)據備份系統(tǒng)503、災難恢復策略實現(xiàn)災難備份中心的選擇和建設選址原則基礎設施要求災難備份系統(tǒng)技術方案的實現(xiàn)技術方案的設計、驗證、開發(fā)、安裝和測試專業(yè)技術支持能力的實現(xiàn)明確災難恢復策略的要求建立技術支持組織，定期技能培訓運行維護管理能力的實現(xiàn)災難備份中心應建立各種操作規(guī)程和管理制度保證備份的及時性和有效性保證有效的應急響應、處理能力1323、災難恢復策略實現(xiàn)災難備份中心的選擇和建設51災難備份中心的選擇和建設選址原則避免災難備份中心與生產中心同時遭受同類風險具備通信、電力資源和交通條件統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合基礎設施要求計算機機房應符合有關國家標準工作輔助設施和生活設施要符合災難恢復目標的要求133災難備份中心的選擇和建設選址原則52災難備份中心的選擇和建設同城和異地134

同城異地含義指災難備份中心與生產中心處于同一區(qū)域性風險威脅的地點，但又有一定距離的地點，例如在數(shù)十公里以內災難備份中心不會同時遭受與生產中心同一區(qū)域性風險威脅的地點，例如距離生產中心在數(shù)百公里以上優(yōu)點技術上可以支持同步的數(shù)據實時備份方式、便于運營管理和災難演練對地震、地區(qū)停電、戰(zhàn)爭等大規(guī)模災難防范能力較強缺點抵御災難能力方面有局限性，對地震、地區(qū)停電、戰(zhàn)爭等大規(guī)模災難防范能力較弱技術上只能支持異步或者定點拷貝的數(shù)據復制方式、運營管理和災難演練的成本較高災難備份中心的選擇和建設同城和異地53

同城異地含義指災難備災難備份系統(tǒng)技術方案的實現(xiàn)135三個主要步驟：技術方案的設計，技術方案的驗證、確認和系統(tǒng)開發(fā)，系統(tǒng)安裝和測試典型的災難備份系統(tǒng)技術方案架構災難備份系統(tǒng)技術方案的實現(xiàn)54三個主要步驟：技術方案的設計，專業(yè)技術支持能力的實現(xiàn)、

運行維護管理能力的實現(xiàn)災難備份中心應建立相應的技術支持組織，定期對技術支持人員進行技能的教育和培訓，以實現(xiàn)專業(yè)技術支持能力災難備份中心應建立各種操作規(guī)程和管理制度，以實現(xiàn)運行維護管理能力136專業(yè)技術支持能力的實現(xiàn)、

運行維護管理能力的實現(xiàn)災難備份中心4、災難恢復預案的制定和管理

災難恢復預案的制定

災難恢復預案的教育、培訓和演練

災難恢復預案的管理1374、災難恢復預案的制定和管理災難恢復預案的制定56災難恢復預案的制定災難恢復預案包括的主要內容確定風險場景描述可能受到的業(yè)務影響描述使用的預防性策略描述災難恢復策略識別和排列關鍵應用系統(tǒng)行動計劃團隊和人員的職責聯(lián)絡清單所需資源配置138災難恢復預案的制定災難恢復預案包括的主要內容57災難恢復預案的制定制定災難恢復預案的原則完整性易用性明確性有效性兼容性139制定災難恢復預案的一般流程制定框架起草評審修訂測試完善審核和批準災難恢復預案的制定制定災難恢復預案的原則58制定災難恢復預案災難恢復預案的教育、培訓和演練目的：在災難來臨前使相關人員了解災難恢復的目標和流程，熟悉恢復操作規(guī)程教育：在規(guī)劃初期即開始進行災難恢復觀念的宣傳教育培訓：評估培訓需求，確定培訓的頻次和范圍，開發(fā)培訓課程，保留培訓記錄演練：制定演練計劃，說明演練場景，記錄演練過程，編制演練報告140災難恢復預案的教育、培訓和演練目的：在災難來臨前使相關人員了演練與演習的類型演練和演習的主要方式桌面演練模擬演練實戰(zhàn)演練等根據演練和演習的深度，可分為數(shù)據級演練應用級演練業(yè)務級演練等根據演練和演習的準備情況，可分為計劃內的演練和演習計劃外的演練和演習等141演練與演習的類型演練和演習的主要方式60災難恢復預案的管理按以下原則保存和分發(fā)指派專人負責制作多份拷貝，保存在不同地點分發(fā)給參與恢復工作的所有人員每次修訂后統(tǒng)一更新所有拷貝按有關規(guī)定銷毀舊版本為保證預案的有效性在發(fā)生各種變化后，及時更新預案在測試、演練、災難發(fā)生后實際執(zhí)行過預案以后，評估并修訂定期評審和修訂142災難恢復預案的管理按以下原則保存和分發(fā)61知識域：信息系統(tǒng)災難恢復知識子域：災難恢復能力掌握國家有關標準對信息系統(tǒng)災難恢復能力級別的劃分理解各恢復能力級別對各類災難恢復資源要素的指標要求掌握確定組織自身所需災難恢復