系統(tǒng)運(yùn)營(yíng)中的風(fēng)險(xiǎn)管理課件

系統(tǒng)運(yùn)營(yíng)中的風(fēng)險(xiǎn)管理李改成lgc@主要內(nèi)容資源配置和優(yōu)化系統(tǒng)切換日常運(yùn)行管理例程、日常操作備份和恢復(fù)數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、平安恢復(fù)災(zāi)難恢復(fù)災(zāi)難恢復(fù)層次恢復(fù)指標(biāo)本錢-效益分析平安事件管理流程平安事件管理工具審計(jì)、平安警報(bào)、審計(jì)日志事件分析關(guān)聯(lián)平安事件報(bào)告風(fēng)險(xiǎn)實(shí)時(shí)控制基于范例的推理TPCTPC(TransactionProcessingPerformanceCouncil，事務(wù)處理性能委員會(huì))制定商務(wù)應(yīng)用基準(zhǔn)程序(Benchmark)的標(biāo)準(zhǔn)標(biāo)準(zhǔn)、性能和價(jià)格度量，并管理測(cè)試結(jié)果的發(fā)布。TPC－C是在線事務(wù)處理(OLTP)的基準(zhǔn)程序。在使用時(shí)，考察基準(zhǔn)程序是否符合企業(yè)真實(shí)的業(yè)務(wù)流程和運(yùn)作模式。當(dāng)同樣的主機(jī)用在不同的系統(tǒng)中時(shí)，tpC值可能有相當(dāng)大的變化。選擇主機(jī)主機(jī)系統(tǒng)應(yīng)該具備與業(yè)務(wù)規(guī)模和特點(diǎn)相適應(yīng)的處理能力。主機(jī)系統(tǒng)的處理要求應(yīng)與每筆業(yè)務(wù)所消耗的主機(jī)CPU處理能力和系統(tǒng)要求到達(dá)的單位時(shí)間內(nèi)的交易筆數(shù)相關(guān)。由于某種特殊情況的出現(xiàn)，可能導(dǎo)致突發(fā)性的業(yè)務(wù)尖峰，為了防止由于業(yè)務(wù)出現(xiàn)的突發(fā)尖峰導(dǎo)致系統(tǒng)崩潰，我們需要對(duì)資源的占用作出相應(yīng)的控制。冗余為實(shí)現(xiàn)運(yùn)行過程中的平安恢復(fù)，需要建立一個(gè)可靠并經(jīng)過驗(yàn)證的系統(tǒng)根底結(jié)構(gòu)，系統(tǒng)的每一級(jí)部件都一定要有冗余。對(duì)于關(guān)鍵的IT應(yīng)用來講，管理層應(yīng)有規(guī)律地評(píng)估不間斷電源電池和發(fā)電機(jī)的需求。對(duì)主機(jī)房電源要有完整的雙回路備份機(jī)制,不間斷電源〔UPS〕，保證關(guān)鍵的IT應(yīng)用不受電源失效或波動(dòng)的影響。主機(jī)、網(wǎng)絡(luò)設(shè)備、前置機(jī)等關(guān)鍵易損件是否有備份.硬件如多CPU和硬盤鏡像并行效勞器、廉價(jià)磁盤冗余陣列(RAIDs)。通過通信端口備份，可提高網(wǎng)絡(luò)響應(yīng)速度，實(shí)現(xiàn)網(wǎng)絡(luò)容錯(cuò)和恢復(fù)。操作系統(tǒng)、中間件、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)應(yīng)能提供平安恢復(fù)機(jī)制，例如，數(shù)據(jù)庫的日志和鎖定。應(yīng)用備用系統(tǒng) 一般來說，可實(shí)現(xiàn)的效勞級(jí)別要低。例如，當(dāng)電子終端不可用時(shí)，使用手工壓卡機(jī)進(jìn)行信用卡交易。這是應(yīng)用級(jí)冗余的例子。不同層次使用不同的機(jī)制，用于不同的目的。冗余磁盤不能防止惡意程序員刪除賬戶文件備份不能阻止它插入越來越多的錯(cuò)誤，更不能保護(hù)數(shù)據(jù)的機(jī)密性。系統(tǒng)選擇標(biāo)準(zhǔn)系統(tǒng)配置的考量標(biāo)準(zhǔn)一是性能和容量方面的要求，對(duì)資源性能、應(yīng)用規(guī)模和工作量需求方面的數(shù)據(jù)進(jìn)行收集、分析和報(bào)告，相關(guān)的硬件和軟件的性能/價(jià)格比變化。跟蹤所有IT資源的分配本錢，包括但不限于此：硬件、外圍設(shè)、線路、應(yīng)用開發(fā)和支持、行政管理的開銷、?外部賣主的效勞本錢、維護(hù)系統(tǒng)選擇分析不同的本錢分類的性能和關(guān)于本錢效益的外部基準(zhǔn)，以便允許與行業(yè)預(yù)期或可選擇的效勞來源進(jìn)行比較。同時(shí)注意不應(yīng)過于依賴于同一個(gè)供給商。關(guān)鍵系統(tǒng)如芯片、操作系統(tǒng)、主要應(yīng)用軟件的國(guó)產(chǎn)化問題。十五期間，中科院計(jì)算所將在通用CPU設(shè)計(jì)上取得重大突破，說明Linux操作系統(tǒng)在銀行應(yīng)用也是可行的。目前關(guān)鍵的問題是組織力量開發(fā)與IBM公司軟件相當(dāng)?shù)拇笮蛻?yīng)用軟件。提高主機(jī)的利用效率IT虛擬化技術(shù)可到達(dá)多操作系統(tǒng)平臺(tái)上的集成虛擬化：在核心的自動(dòng)化規(guī)那么比方可用性、平安、優(yōu)化和預(yù)先配置之間進(jìn)行協(xié)調(diào)，根據(jù)應(yīng)用的優(yōu)先級(jí)自動(dòng)分配資源，確保需求到達(dá)峰值時(shí)的應(yīng)用效勞水平。在年終結(jié)算的業(yè)務(wù)頂峰期，只需一個(gè)簡(jiǎn)單命令，就可以把其他設(shè)備聚合成一臺(tái)超大設(shè)備，集中所有資源，全面應(yīng)對(duì)峰值業(yè)務(wù)。而在平時(shí)，那么可把閑置資源用于人事系統(tǒng)、辦公系統(tǒng)等。能夠?qū)⒂脩舻馁Y源利用率從平均20%提升到50%，并減少30%-40%的管理時(shí)間。更重要的是，即使某個(gè)局部出現(xiàn)故障，適應(yīng)性IT系統(tǒng)也能自動(dòng)調(diào)用資源，接管相應(yīng)計(jì)算，防止因故障而宕機(jī)，實(shí)現(xiàn)不間斷穩(wěn)定的業(yè)務(wù)運(yùn)行。網(wǎng)絡(luò)配置網(wǎng)絡(luò)負(fù)擔(dān)是影響系統(tǒng)成敗的一個(gè)重要因素。線路檢查可供客戶使用的容量，采取必要的措施保證接入線路的通暢，并采用適當(dāng)?shù)膫浞莺拓?fù)載均衡技術(shù)，保證客戶效勞的可用性。網(wǎng)絡(luò)設(shè)備所有關(guān)鍵網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器等均采用雙機(jī)冗余熱備份措施采用優(yōu)先級(jí)隊(duì)列、數(shù)據(jù)壓縮等技術(shù)靈活有效地利用帶寬。密碼加速設(shè)備 解決對(duì)CPU資源過量需求的平安協(xié)議所造成的性能問題。日常管理例程人員管理和溝通在聘用前進(jìn)行詳細(xì)的考察，確定有無犯罪記錄，確保雇員、合同工和第三方用戶理解其自身責(zé)任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險(xiǎn)。確保所有雇員、合同工和第三方用戶都意識(shí)到信息平安威脅、利害關(guān)系、責(zé)任和義務(wù)。加強(qiáng)對(duì)從業(yè)人員，特別是一線員工的業(yè)務(wù)培訓(xùn)，促使員工熟練掌握各業(yè)務(wù)環(huán)節(jié)的操作標(biāo)準(zhǔn)，減少或防止出現(xiàn)操作失誤。明確解聘責(zé)任，要求返還資產(chǎn)，去除訪問權(quán)限，確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。日常管理例程另一個(gè)問題是當(dāng)風(fēng)險(xiǎn)具有政治上的敏感性時(shí)，直接了當(dāng)?shù)卣f明針對(duì)內(nèi)部員工的平安控制會(huì)刺激他們的作為主人翁的尊嚴(yán)，可能需要一些遮掩的方法。經(jīng)常，內(nèi)部控制措施需要以降低錯(cuò)誤和保護(hù)員工的面目被引入。例如，銀行經(jīng)理樂意使用雙重保險(xiǎn)鎖，因?yàn)檫@會(huì)降低他們的家人被綁架勒索的危險(xiǎn)，同樣，大額交易的雙重簽名會(huì)減輕他們的責(zé)任壓力。但是，并不是在任何情況下都能到達(dá)這樣的共識(shí)。通過操作員要循環(huán)輪班，采取渡假和休假并維護(hù)資格。操作人員更換期間，通過規(guī)定活動(dòng)、狀態(tài)更新和有關(guān)當(dāng)前責(zé)任報(bào)告的正式移交，建立一個(gè)處理連續(xù)性的程序。另外，應(yīng)存在一個(gè)程序，來確認(rèn)、調(diào)查、審批與標(biāo)準(zhǔn)工作時(shí)間安排的背離。日常操作操作規(guī)程處理信息系統(tǒng)運(yùn)行以完成業(yè)務(wù)目標(biāo)的政策和程序，包括系統(tǒng)啟停、動(dòng)態(tài)調(diào)整、定期數(shù)據(jù)清理、啟動(dòng)、關(guān)機(jī)、工作負(fù)載方案安排等。操作規(guī)程最初的時(shí)間安排以及這些時(shí)間安排的變更，應(yīng)被適當(dāng)?shù)厥跈?quán)。通過歸檔、定期地測(cè)試以及根據(jù)需要進(jìn)行調(diào)整，IT管理層應(yīng)確保操作人員對(duì)啟動(dòng)程序和其它操作任務(wù)足夠的熟悉和自信。管理模式和管理措施應(yīng)隨著業(yè)務(wù)的變化和客觀環(huán)境的需要進(jìn)行調(diào)整、補(bǔ)充和完善。針對(duì)不同平安崗位的操作管理對(duì)重要設(shè)施設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)有明確的權(quán)限界定、責(zé)任劃分和操作流程。網(wǎng)點(diǎn)合法性管理、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)運(yùn)行監(jiān)控管理、網(wǎng)絡(luò)信道平安管理、網(wǎng)絡(luò)設(shè)備設(shè)施平安管理等內(nèi)容操作系統(tǒng)平安管理主要包括系統(tǒng)管理員級(jí)別劃分、訪問權(quán)限控制管理、日常維護(hù)平安管理、故障診斷及處理、審計(jì)跟蹤等幾方面內(nèi)容日常操作數(shù)據(jù)庫訪問控制管理、數(shù)據(jù)備份管理、數(shù)據(jù)使用授權(quán)管理、數(shù)據(jù)存儲(chǔ)時(shí)限管理、數(shù)據(jù)密級(jí)管理等操作平安管理是主要包括操作權(quán)限管理、操作標(biāo)準(zhǔn)管理、操作責(zé)任管理、操作監(jiān)督管理和誤操作恢復(fù)管理等內(nèi)容管理和維護(hù)失效和例外跟蹤記錄系統(tǒng)維護(hù)方面的問題，以便標(biāo)識(shí)需要額外關(guān)注的地方，內(nèi)容包括對(duì)正常管理及維護(hù)程序的例外情況的描述，其中包括該例外情況出現(xiàn)的原因和持續(xù)的時(shí)間。對(duì)系統(tǒng)運(yùn)行過程中出現(xiàn)的故障，能從系統(tǒng)軟件、應(yīng)用軟件等不同層次提供故障碼。特別是應(yīng)用系統(tǒng)應(yīng)該提供故障點(diǎn)、診斷信息以及故障庫等。每個(gè)平安應(yīng)用必須涉及建立適當(dāng)?shù)钠桨矃?shù)，實(shí)現(xiàn)這些參數(shù)，監(jiān)視和分析運(yùn)行結(jié)果并調(diào)整這些參數(shù)。數(shù)據(jù)備份數(shù)據(jù)類型從數(shù)據(jù)用途角度一般可將數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、根底數(shù)據(jù)、應(yīng)用數(shù)據(jù)、臨時(shí)數(shù)據(jù)；根據(jù)數(shù)據(jù)存貯與管理方式又可分為數(shù)據(jù)庫數(shù)據(jù)、非數(shù)據(jù)庫數(shù)據(jù)。(1)系統(tǒng)數(shù)據(jù)〔SYSTEMDATA〕系統(tǒng)數(shù)據(jù)主要是指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用系統(tǒng)執(zhí)行程序。系統(tǒng)數(shù)據(jù)在系統(tǒng)安裝后根本上不再變動(dòng)，只有在操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)版本升級(jí)或應(yīng)用程序調(diào)整時(shí)才發(fā)生變化。系統(tǒng)數(shù)據(jù)一般都有標(biāo)準(zhǔn)的安裝介質(zhì)〔軟盤、磁帶、光盤〕。(2)根底數(shù)據(jù)〔INFRASTRUCTUREDATA〕根底數(shù)據(jù)主要是指保證應(yīng)用系統(tǒng)正常運(yùn)行所使用的系統(tǒng)目錄、用戶目錄、系統(tǒng)配置文件、網(wǎng)絡(luò)配置文件、應(yīng)用配置文件、存取權(quán)限控制等。根底數(shù)據(jù)隨應(yīng)用系統(tǒng)運(yùn)行環(huán)境的變化而變化，一般作為系統(tǒng)檔案進(jìn)行保存。(3)應(yīng)用數(shù)據(jù)〔APPLICATIONDATA〕應(yīng)用數(shù)據(jù)主要是指應(yīng)用系統(tǒng)的所有業(yè)務(wù)數(shù)據(jù)，對(duì)數(shù)據(jù)的平安性、準(zhǔn)確性、完整性要求很高而且變化頻繁數(shù)據(jù)類型(4)臨時(shí)數(shù)據(jù)〔TEMPORARYDATA〕主要是指操作系統(tǒng)、數(shù)據(jù)庫產(chǎn)生的系統(tǒng)日志和應(yīng)用程序在執(zhí)行過程中產(chǎn)生的各種用于打印、傳輸?shù)呐R時(shí)文件，隨系統(tǒng)運(yùn)行和業(yè)務(wù)的發(fā)生而變化。臨時(shí)數(shù)據(jù)對(duì)業(yè)務(wù)數(shù)據(jù)的完整性影響不大，增大后需要定期進(jìn)行清理。(5)數(shù)據(jù)庫數(shù)據(jù)〔DATABASEDATA〕是指通過數(shù)據(jù)庫管理系統(tǒng)〔DBMS〕來進(jìn)行存取和管理的數(shù)據(jù)。(6)非數(shù)據(jù)庫數(shù)據(jù)〔NON-DATABASEDATA〕是指通過文件管理系統(tǒng)等非數(shù)據(jù)庫管理系統(tǒng)來進(jìn)行存取和管理的數(shù)據(jù)。(7)孤立數(shù)據(jù)〔ORPHANDATA〕是指從最后一次應(yīng)用數(shù)據(jù)備份后到事件發(fā)生、系統(tǒng)運(yùn)行停止前未備份的數(shù)據(jù)。這局部數(shù)據(jù)通常需要通過人工等方法重新錄入到系統(tǒng)中。一般情況下，孤立數(shù)據(jù)越多，系統(tǒng)恢復(fù)的時(shí)間就越長(zhǎng)，業(yè)務(wù)的停頓時(shí)間也就越長(zhǎng)。孤立數(shù)據(jù)的多少與數(shù)據(jù)備份的周期有很大關(guān)系。(8)遺失數(shù)據(jù)〔LOSTDATA〕是指無法恢復(fù)或彌補(bǔ)的數(shù)據(jù)。數(shù)據(jù)類型特點(diǎn)數(shù)據(jù)備份策略根據(jù)采取的數(shù)據(jù)備份技術(shù)和數(shù)據(jù)備份方式可以將數(shù)據(jù)備份策略分為以下幾類:(1)定期備份指按一定的時(shí)間間隔〔一般為一天〕將系統(tǒng)某一時(shí)刻的數(shù)據(jù)備份到磁帶等介質(zhì)上。對(duì)不同的數(shù)據(jù)類型應(yīng)根據(jù)其易變性采取不同的備份周期。(2)定期備份＋關(guān)鍵數(shù)據(jù)備份除對(duì)數(shù)據(jù)作定期備份之外，還更新數(shù)據(jù)的日志或流水等關(guān)鍵數(shù)據(jù)及時(shí)地備份下來傳送到平安的地方，關(guān)鍵數(shù)據(jù)備份的時(shí)間間隔比定期備份要短，也可以是實(shí)時(shí)備份。數(shù)據(jù)庫管理系統(tǒng)一般支持此種策略，可以用歸檔／備份工具作定期備份〔如informix的０級(jí)備份〕，同時(shí)采用日志備份工具對(duì)日志作及時(shí)備份〔如informix的邏輯日志連續(xù)備份〕。數(shù)據(jù)備份策略此方式孤立數(shù)據(jù)較定期備份方式要少得多。但是，數(shù)據(jù)恢復(fù)的時(shí)間仍然較長(zhǎng)。有時(shí)仍需要依靠紙質(zhì)憑證或其他介質(zhì)來恢復(fù)孤立數(shù)據(jù)。(3)關(guān)鍵數(shù)據(jù)備份連續(xù)恢復(fù)在備份系統(tǒng)中，裝有運(yùn)行系統(tǒng)的數(shù)據(jù)影像拷貝，關(guān)鍵數(shù)據(jù)及時(shí)地抽取后，立即在備份系統(tǒng)上更新數(shù)據(jù)庫。由于備份中心已將數(shù)據(jù)恢復(fù)到最近的狀態(tài)，數(shù)據(jù)組織形式與運(yùn)行系統(tǒng)相同，因而恢復(fù)時(shí)間將縮短很多。在此策略中，投資較大，需要數(shù)據(jù)備份的主機(jī)或后備運(yùn)行主機(jī)，如果采用數(shù)據(jù)通信方式傳送關(guān)鍵數(shù)據(jù)，還有一定的通信費(fèi)用支出。此外，在此策略中，孤立數(shù)據(jù)與定期備份＋關(guān)鍵數(shù)據(jù)備份策略一樣多。數(shù)據(jù)備份策略(4)實(shí)時(shí)備份異步更新數(shù)據(jù)更新操作的日志在被記錄進(jìn)運(yùn)行系統(tǒng)日志的同時(shí)，通過數(shù)據(jù)通信線路傳送到災(zāi)難備份系統(tǒng)，并立即對(duì)備份系統(tǒng)的數(shù)據(jù)影像拷貝進(jìn)行更新。由于數(shù)據(jù)更新操作被及時(shí)追加到災(zāi)難備份系統(tǒng)，因而，孤立數(shù)據(jù)很少，另外備份數(shù)據(jù)的組織形式與運(yùn)行系統(tǒng)相同，所以恢復(fù)時(shí)間很短，主要是追補(bǔ)孤立數(shù)據(jù)和網(wǎng)絡(luò)切換的時(shí)間。支持此策略的技術(shù)一般有遠(yuǎn)程磁盤鏡像異步方式、遠(yuǎn)程數(shù)據(jù)庫復(fù)制異步方式和網(wǎng)絡(luò)數(shù)據(jù)鏡像異步方式，如IBMES/9000XRC,IBMAS/400MIMIX,EMCSRDF異步方式,INFORMIXHDR異步方式,UNISYSRDB異步方式等。數(shù)據(jù)備份策略(5)實(shí)時(shí)備份同步更新數(shù)據(jù)更新操作同時(shí)在運(yùn)行系統(tǒng)和備份系統(tǒng)進(jìn)行，運(yùn)行系統(tǒng)的數(shù)據(jù)更新操作首先通過高速數(shù)據(jù)通信線路傳送到備份系統(tǒng)，寫入備份系統(tǒng)的磁盤，運(yùn)行系統(tǒng)在收到備份系統(tǒng)完成數(shù)據(jù)更新操作確實(shí)認(rèn)之后，寫入本地磁盤。由于數(shù)據(jù)更新操作同步寫入備份系統(tǒng)，因而，孤立數(shù)據(jù)極少，根本無需追補(bǔ)。由于備份系統(tǒng)處于熱備份狀態(tài)，因此災(zāi)難發(fā)生后的恢復(fù)時(shí)間極短，主要是網(wǎng)絡(luò)切換的時(shí)間。此策略的投資和運(yùn)行費(fèi)用最高，由于需要高速數(shù)據(jù)通信線路，在目前通信技術(shù)條件下，只能限于同城范圍，且通信費(fèi)用很高。另外，此方式下，數(shù)據(jù)備份對(duì)運(yùn)行系統(tǒng)的性能可能會(huì)有一定的影響。支持此策略的技術(shù)一般有遠(yuǎn)程磁盤鏡像同步方式、遠(yuǎn)程數(shù)據(jù)庫復(fù)制同步方式和網(wǎng)絡(luò)數(shù)據(jù)鏡像同步方式，如IBMES/9000PPRC,IBMRS/6000HAGEO,EMCSRDF同步方式,INFORMIXHDR同步方式等。數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)一般按系統(tǒng)數(shù)據(jù)根底數(shù)據(jù)應(yīng)用數(shù)據(jù)的順序進(jìn)行。應(yīng)用數(shù)據(jù)恢復(fù)1．已備份的應(yīng)用數(shù)據(jù)的恢復(fù)：根據(jù)所采取的數(shù)據(jù)備份策略制定相應(yīng)的數(shù)據(jù)恢復(fù)方法。2．孤立數(shù)據(jù)的恢復(fù)：人工追帳法 在主機(jī)系統(tǒng)進(jìn)行備份數(shù)據(jù)恢復(fù)之后，直接通過原始憑證重新錄入流水批量追帳法將各聯(lián)網(wǎng)方〔如網(wǎng)點(diǎn)、前置機(jī)、網(wǎng)間交易的對(duì)方等〕的業(yè)務(wù)流水記錄文件通過網(wǎng)絡(luò)傳送到災(zāi)難備份系統(tǒng)，通過批量追帳功能批量地、自動(dòng)地錄入系統(tǒng)。3.數(shù)據(jù)的完整性和一致性檢查可以在三個(gè)層次上進(jìn)行：檢查數(shù)據(jù)集在物理上是一致的、完整的；檢查每個(gè)數(shù)據(jù)庫在邏輯上是一致的、完整的；檢查所有應(yīng)用數(shù)據(jù)在邏輯上是一致的、完整的。數(shù)據(jù)的完整性和一致性檢查方法一：數(shù)據(jù)庫工具檢查法。方法二：憑證核對(duì)法。方法三：流水比較法。方法四：平衡檢查法。根據(jù)應(yīng)用數(shù)據(jù)之間的關(guān)系進(jìn)行數(shù)據(jù)的完整性和一致性檢查。例如，通過應(yīng)用程序檢查應(yīng)用系統(tǒng)的總帳與分戶帳是否平衡、科目余額借貸是否平衡、分戶帳余額與明細(xì)帳余額是否相符、明細(xì)帳逐筆的發(fā)生額與余額是否一致等，另外對(duì)當(dāng)天的業(yè)務(wù)進(jìn)行試算平衡檢查，檢查借貸發(fā)生額是否平衡、業(yè)務(wù)筆數(shù)、發(fā)生額是否與憑證匯總數(shù)和實(shí)物清點(diǎn)結(jié)果相符等。平安恢復(fù)平安恢復(fù)是指在系統(tǒng)中斷運(yùn)營(yíng)〔由于各種原因造成，包括硬軟件故障、操作失誤、人為破壞、自然災(zāi)害發(fā)生等〕之后恢復(fù)系統(tǒng)的運(yùn)行，可分為內(nèi)部恢復(fù)和災(zāi)難恢復(fù)兩大類別?；謴?fù)有兩種形式。第一種是阻斷攻擊，并且評(píng)估、修復(fù)由攻擊造成的任何損害。例如，假設(shè)攻擊者刪除了一份文件，那么某恢復(fù)機(jī)制應(yīng)能從備份磁帶中恢復(fù)該文件?；謴?fù)的功能應(yīng)包括辨識(shí)和修復(fù)攻擊者用以闖入系統(tǒng)的系統(tǒng)脆弱性。在某些情況下，追究攻擊者的責(zé)任也是恢復(fù)的一局部?；謴?fù)應(yīng)具備復(fù)原正確操作的功能。第二種恢復(fù)方式要求攻擊正在發(fā)生時(shí)，系統(tǒng)還應(yīng)能正常運(yùn)作。在任何時(shí)候這種系統(tǒng)都不會(huì)在功能上出錯(cuò)，而只會(huì)將不重要的功能禁用。平安恢復(fù)當(dāng)多個(gè)網(wǎng)絡(luò)被管理員設(shè)置為同樣的優(yōu)先級(jí)時(shí)，可實(shí)現(xiàn)并行數(shù)據(jù)通道，同時(shí)在這些網(wǎng)絡(luò)上傳送數(shù)據(jù)，提高數(shù)據(jù)傳輸速度；當(dāng)優(yōu)先級(jí)高的網(wǎng)絡(luò)出現(xiàn)故障時(shí)，將應(yīng)用轉(zhuǎn)移到優(yōu)先級(jí)低的網(wǎng)絡(luò)，然后以一定時(shí)間間隔檢查高優(yōu)先級(jí)網(wǎng)絡(luò)是否已經(jīng)恢復(fù)。當(dāng)高優(yōu)先級(jí)的網(wǎng)絡(luò)恢復(fù)運(yùn)行后，自動(dòng)將應(yīng)用系統(tǒng)切換回高優(yōu)先級(jí)的網(wǎng)絡(luò)系統(tǒng)恢復(fù)是系統(tǒng)平安的敏感時(shí)期，操作系統(tǒng)缺乏相應(yīng)的平安防護(hù)，容易留下隱患或被做手腳。整個(gè)恢復(fù)過程必須得到嚴(yán)格的監(jiān)控和記錄，恢復(fù)完成后必須進(jìn)行平安審核。系統(tǒng)修復(fù)修復(fù)熱修復(fù)是指即時(shí)修改錯(cuò)誤，然后將修正版本發(fā)布。熱修復(fù)雖然能夠立即產(chǎn)生效果，但是可能對(duì)系統(tǒng)的平安性帶來一定的影響。常規(guī)修復(fù)解決不是十分嚴(yán)重的錯(cuò)誤，一般都是累積到一定程度才發(fā)行出去。修復(fù)錯(cuò)誤所采取的措施應(yīng)該和最初系統(tǒng)設(shè)計(jì)采用同樣的平安流程。任何新的設(shè)計(jì)都應(yīng)該考慮模塊化、設(shè)計(jì)根本原那么、文檔等問題，并進(jìn)行相關(guān)的測(cè)試。修復(fù)管理必須由專門指定的應(yīng)用軟件維護(hù)人員，依照軟件維護(hù)管理制度，按照嚴(yán)格的程序?qū)嵤┸浖S護(hù)，處理運(yùn)行過程中出現(xiàn)的問題。對(duì)優(yōu)化后或新增投入生產(chǎn)的軟件進(jìn)行測(cè)試，并通過平安可信的渠道對(duì)這些軟件進(jìn)行分發(fā)和安裝。特別地，對(duì)于系統(tǒng)供給商或效勞商進(jìn)行的遠(yuǎn)程在線診斷和調(diào)試必須有嚴(yán)格的管理規(guī)程。災(zāi)難恢復(fù)災(zāi)難恢復(fù)是一個(gè)在發(fā)生信息系統(tǒng)災(zāi)難后，在遠(yuǎn)離災(zāi)難現(xiàn)場(chǎng)的地方重新組織系統(tǒng)運(yùn)行和恢復(fù)營(yíng)業(yè)的過程。?重要信息系統(tǒng)災(zāi)難恢復(fù)指南?災(zāi)難備份中心是一個(gè)擁有災(zāi)難備份系統(tǒng)與場(chǎng)地，配備了專職人員，建立并制定了一系列運(yùn)行管理制度、數(shù)據(jù)備份策略和災(zāi)難恢復(fù)處理流程，負(fù)責(zé)承擔(dān)災(zāi)難恢復(fù)任務(wù)的機(jī)構(gòu)。真正的災(zāi)難備份必須滿足三個(gè)要素：一是系統(tǒng)中的部件、數(shù)據(jù)都具有冗余性，即一個(gè)系統(tǒng)發(fā)生故障，另一個(gè)系統(tǒng)能夠保持?jǐn)?shù)據(jù)傳送的順暢；二是具有長(zhǎng)距離性，因?yàn)闉?zāi)害總是在一定范圍內(nèi)發(fā)生，因而保持足夠長(zhǎng)的距離才能保證數(shù)據(jù)不會(huì)被同一個(gè)災(zāi)害全部破壞；三是災(zāi)難備份系統(tǒng)追求全方位的數(shù)據(jù)復(fù)制。上述三要素也稱為“3R〞〔Redundance、Remote、Replication〕災(zāi)難恢復(fù)層次災(zāi)難恢復(fù)層次災(zāi)難恢復(fù)層次的選擇按照一定的順序，詢問一系列與商業(yè)災(zāi)備需求相關(guān)的問題，通過這些問題，可以確定災(zāi)備方案的根本環(huán)境、根底構(gòu)件及期望的恢復(fù)時(shí)間。局部問題答案的給出需要基于風(fēng)險(xiǎn)評(píng)估和商業(yè)影響的分析。另外一些問題那么需要運(yùn)營(yíng)部門基于其IT根底架構(gòu)給出答案。這些問題可歸納為以下幾個(gè)方面的內(nèi)容：災(zāi)難類型需要考慮哪些災(zāi)難？怎樣的災(zāi)難？會(huì)使業(yè)務(wù)中斷多久？在某一風(fēng)險(xiǎn)發(fā)生的可能性極小時(shí)，即使造成的損失極大，也可能屬于可接受的風(fēng)險(xiǎn)范疇。需要注意的是，該接受程度是與時(shí)俱進(jìn)的。在“911〞事件發(fā)生后，業(yè)界已經(jīng)將低概率事件逐漸納入防護(hù)的范圍?；謴?fù)程度災(zāi)難恢復(fù)層次的選擇要保證數(shù)據(jù)的完整性(無數(shù)據(jù)喪失)、一致性(數(shù)據(jù)正確且可用〕。哪個(gè)或哪些應(yīng)用需要恢復(fù)？需要恢復(fù)每條記錄和交易嗎？可以使用上星期或昨天的數(shù)據(jù)嗎？需要恢復(fù)一切嗎？有不相關(guān)的文件嗎？什么是合法隱含的要求？有少數(shù)的一組人輸入交易嗎？他們可以重新輸入災(zāi)難期間喪失的交易嗎？這些交易十分重要而不容許喪失嗎？恢復(fù)速度災(zāi)難發(fā)生后需要多久來啟動(dòng)及運(yùn)行系統(tǒng)？能否承受數(shù)天或數(shù)分鐘的等待？可用的技術(shù)結(jié)合考慮所選技術(shù)在本地區(qū)的適用性、實(shí)現(xiàn)條件以及在實(shí)施時(shí)是否受某些現(xiàn)有條件的制約?；诰嚯x、平臺(tái)等問題的答案，剔除不符合要求的方案。災(zāi)難恢復(fù)層次的選擇目前的幾種數(shù)據(jù)實(shí)時(shí)備份技術(shù)，一方面不能實(shí)現(xiàn)異種機(jī)之間互為備份，且大多數(shù)不能實(shí)現(xiàn)一對(duì)多備份；另一方面要求高速率的通信線路，一般需要T1級(jí)(1.5Mbps)甚至更高速率的線路，且對(duì)線路的可靠性要求很高方案總體本錢實(shí)現(xiàn)災(zāi)難備份需要多少投資？不實(shí)現(xiàn)災(zāi)難備份會(huì)損失多少錢？為了到達(dá)本錢要求，方案可能不能采取最先進(jìn)有效的技術(shù)，并同時(shí)降低對(duì)恢復(fù)速度、范圍、災(zāi)難覆蓋面等方面的要求。出于本錢的考慮，仍有銀行只是進(jìn)行系統(tǒng)冷備份，通過電話撥號(hào)或人工傳遞進(jìn)行異地?cái)?shù)據(jù)保存，或租用其他大銀行的災(zāi)難備份中心來保護(hù)數(shù)據(jù)。業(yè)務(wù)連續(xù)性的要求越來越高，但同時(shí)又要考慮本錢因素，因此采用實(shí)時(shí)備份技術(shù)、采用外包方式將成為今后災(zāi)難備份中心開展的主要趨勢(shì)?；跇I(yè)務(wù)的選擇業(yè)務(wù)的恢復(fù)范圍比方優(yōu)先恢復(fù)哪些業(yè)務(wù)的效勞。它是連接技術(shù)方案選型及業(yè)務(wù)效勞恢復(fù)承諾目標(biāo)之間的關(guān)鍵可衡量的指標(biāo)，并且決定性地影響著實(shí)施此方案的投資額度。通過對(duì)可量化和不可量化損失的綜合考慮，得出各種核心業(yè)務(wù)流程由于災(zāi)難受損的可容忍程度及損失的決策依據(jù)。表達(dá)在IT系統(tǒng)上，是三個(gè)指標(biāo)：數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)〔RECOVERYPOINTOBJECTIVE〕：表達(dá)為該流程在災(zāi)難發(fā)生后，恢復(fù)運(yùn)轉(zhuǎn)時(shí)數(shù)據(jù)喪失的可容忍程度；恢復(fù)時(shí)間目標(biāo)〔RECOVERYTIMEOBJECTIVE〕：表達(dá)為該流程在災(zāi)難發(fā)生后，需要恢復(fù)的緊迫性，也即多久能夠得到恢復(fù)的問題；網(wǎng)絡(luò)恢復(fù)目標(biāo)〔NETWORKRECOVERYOBJECTIVE〕：即營(yíng)業(yè)網(wǎng)點(diǎn)什么時(shí)候才能通過備份網(wǎng)絡(luò)與數(shù)據(jù)中心重新恢復(fù)通信的指標(biāo)；根據(jù)計(jì)算機(jī)應(yīng)用系統(tǒng)的實(shí)時(shí)性要求及一旦停頓造成的損失，可將其劃分為關(guān)鍵應(yīng)用系統(tǒng)、重要應(yīng)用系統(tǒng)、一般應(yīng)用系統(tǒng)。關(guān)鍵應(yīng)用系統(tǒng)：系統(tǒng)特點(diǎn)業(yè)務(wù)數(shù)據(jù)集中存放，所聯(lián)接的網(wǎng)點(diǎn)及處理的業(yè)務(wù)較多，對(duì)保證整個(gè)企業(yè)的正常運(yùn)轉(zhuǎn)至關(guān)重要，一旦業(yè)務(wù)中斷，將會(huì)嚴(yán)重地影響整個(gè)企業(yè)的正常運(yùn)作。一旦在特殊時(shí)期中斷如月末、年末、業(yè)務(wù)量頂峰期，那么不僅會(huì)造成巨大的經(jīng)濟(jì)損失，而且有可能要承擔(dān)潛在的法律責(zé)任。允許停頓時(shí)間分析：從停機(jī)算起，RTO<8小時(shí)，RPO在15分鐘以內(nèi)對(duì)于面向客戶的關(guān)鍵應(yīng)用系統(tǒng)，周末、中午、夜晚可容忍的機(jī)算機(jī)應(yīng)用系統(tǒng)停頓時(shí)間可以稍長(zhǎng)，業(yè)務(wù)量頂峰期、月末、季末、年末應(yīng)用系統(tǒng)停頓時(shí)間要求短。對(duì)于區(qū)域性災(zāi)難如地震、機(jī)房火災(zāi)、公共數(shù)據(jù)網(wǎng)大面積癱瘓等，客戶心理上容易承受，因此允許信息系統(tǒng)停頓時(shí)間相對(duì)較長(zhǎng)，而對(duì)由于企業(yè)自身原因如系統(tǒng)故障造成計(jì)算機(jī)應(yīng)用系統(tǒng)頻繁停頓，客戶心理上比較難于接受，允許的停頓時(shí)間相對(duì)較短。其他應(yīng)用系統(tǒng)重要應(yīng)用系統(tǒng)：業(yè)務(wù)中斷將對(duì)整個(gè)企業(yè)的正常、有效運(yùn)轉(zhuǎn)產(chǎn)生較嚴(yán)重的影響。如企業(yè)信息網(wǎng)絡(luò)系統(tǒng)、審計(jì)系統(tǒng)等。允許停頓時(shí)間分析：從停機(jī)算起，RTO<72小時(shí)，RPO從停機(jī)的那一天開始一般應(yīng)用系統(tǒng)業(yè)務(wù)中斷將不會(huì)立刻對(duì)整個(gè)企業(yè)的正常運(yùn)轉(zhuǎn)產(chǎn)生嚴(yán)重影響，可容忍在數(shù)天或數(shù)周內(nèi)恢復(fù)。例如：檔案處理系統(tǒng)、OA系統(tǒng)等。允許停頓時(shí)間分析：從停機(jī)算起，RTO<168小時(shí)，RPO48小時(shí)以內(nèi)本錢-效益分析本錢-效益分析平安事件管理面向客戶，定義運(yùn)營(yíng)效勞水平響應(yīng)時(shí)間，通過業(yè)務(wù)界面對(duì)所提供的效勞進(jìn)行必要的說明，明確啟動(dòng)效勞的合法渠道與途徑，以及意外事故報(bào)告方式、聯(lián)系方法等。責(zé)任的定義應(yīng)當(dāng)充分揭示交易過程中客戶可能面臨的風(fēng)險(xiǎn)，說明已采取的風(fēng)險(xiǎn)控制措施和各方應(yīng)承擔(dān)的責(zé)任。事件指沒有包含在效勞標(biāo)準(zhǔn)運(yùn)作之內(nèi)，并且導(dǎo)致〔或可能導(dǎo)致〕中斷效勞或降低效勞質(zhì)量的意外事件或突發(fā)事件，其來源包括網(wǎng)點(diǎn)故障、監(jiān)控報(bào)警和最終客戶投訴。受理在實(shí)際運(yùn)行中，效勞臺(tái)與相關(guān)的技術(shù)支持機(jī)構(gòu)一起，維護(hù)IT部門提供給最終用戶的各種IT效勞，為客戶提供一個(gè)唯一的IT支持接觸點(diǎn)，以最快、對(duì)業(yè)務(wù)影響最小的根底上實(shí)現(xiàn)IT問題的解決。效勞臺(tái)提供包括Web，電話，電子郵件，等多種接口。用戶可以使用這多種接口中的任何一種與效勞中心取得聯(lián)系。平安事件管理調(diào)派效勞臺(tái)可以接收并記錄所有由用戶提交上來的各種效勞請(qǐng)求，按照規(guī)定的效勞標(biāo)準(zhǔn)和效勞準(zhǔn)那么，分清楚問題的種類，按照問題的類型、發(fā)生的時(shí)間、地點(diǎn)以及目前支持人員的任務(wù)隊(duì)列長(zhǎng)度，判斷緊急程度關(guān)聯(lián)相應(yīng)的效勞水平，分派最適宜的人員負(fù)責(zé)。行動(dòng)確保平安事件有所屬，也有所管理。根據(jù)事先制訂的監(jiān)控政策、平安政策、系統(tǒng)配置、響應(yīng)方案等執(zhí)行控制措施?？赡艿男袆?dòng)包括：聯(lián)系執(zhí)法機(jī)關(guān)、監(jiān)督可疑用戶、取消可疑用戶的權(quán)限、調(diào)用更強(qiáng)的保護(hù)機(jī)制，去掉或恢復(fù)故障網(wǎng)絡(luò)或系統(tǒng)的某個(gè)組成部件。在響應(yīng)方案中，IT管理層應(yīng)定義并實(shí)施問題逐步升級(jí)程序，確保確認(rèn)的問題以最有效、及時(shí)的方式加以解決。在許多情況中，不協(xié)調(diào)的響應(yīng)可能使情況變得更壞。為進(jìn)行平安事件處理，關(guān)注開發(fā)和實(shí)施一個(gè)有效和長(zhǎng)遠(yuǎn)的風(fēng)險(xiǎn)處置方案是非常重要的。報(bào)告根據(jù)監(jiān)管要求和組織策略，通報(bào)事件處理過程和結(jié)果。重大事件提交報(bào)告：事實(shí)描述、攻擊手段或漏洞、采取的措施和建議。信息平安管理工具監(jiān)控分析管理層次價(jià)值收集數(shù)據(jù)數(shù)據(jù)標(biāo)準(zhǔn)化、融合和關(guān)聯(lián)信息業(yè)務(wù)價(jià)值映射和優(yōu)先級(jí)管理可行信息知識(shí)信息平安管理工具的層次和價(jià)值審計(jì)平安審計(jì)追蹤對(duì)確保任何網(wǎng)絡(luò)平安都起了重要的作用。它可以用來檢測(cè)一個(gè)平安策略的正確性，確認(rèn)與平安策略的一致性，幫助分析攻擊，并且收集用于起訴攻擊者的證據(jù)。包括審計(jì)在內(nèi)的大多數(shù)監(jiān)視活動(dòng)都產(chǎn)生結(jié)果數(shù)據(jù)，這種結(jié)果數(shù)據(jù)可以直接發(fā)揮作用，或者記錄在案供以后分析和進(jìn)一步采取行動(dòng)。目前還沒有任何一種可行的方法來徹底解決合法用戶在通過身份認(rèn)證后濫用特權(quán)的問題，但審計(jì)追蹤仍是保證數(shù)據(jù)庫平安不可缺的一道重要防線。審計(jì)是一種監(jiān)視措施，跟蹤記錄有關(guān)數(shù)據(jù)的訪問活動(dòng)，尤其是有可能破壞系統(tǒng)平安性的事件平安審計(jì)記錄了任何可疑的事件，也可以記錄許多日常事件，如建立和終止連接，使用平安機(jī)制和訪問敏感資源，包括用戶登錄、更換密鑰、授權(quán)、更改口令等。平安審計(jì)依賴于事件報(bào)告功能和日志控制功能。同類或不同類的系統(tǒng)都可以檢測(cè)到被審計(jì)的事件，并由系統(tǒng)中的平安審計(jì)追蹤日志來維護(hù)。由系統(tǒng)的平安策略決定對(duì)什么樣的事件開啟審計(jì)，選擇的依據(jù)是事件的平安相關(guān)度；它還決定審計(jì)閾值，即對(duì)具有何種操作結(jié)果的事件進(jìn)行記載。例如，對(duì)“用戶登錄〞事件，平安閾值可以設(shè)置為“成功〞、“失敗〞、“違法〞等。事件信息來源可能有：日志文件、網(wǎng)絡(luò)活動(dòng)、系統(tǒng)信息和效勞臺(tái)。平安警報(bào)一個(gè)與平安相關(guān)的事件會(huì)觸發(fā)一個(gè)平安警報(bào)，原理上，任何網(wǎng)絡(luò)或系統(tǒng)部件都能夠檢測(cè)出該事件。平安警報(bào)報(bào)告功能標(biāo)準(zhǔn)ISO/IEC10164-1描述了平安警報(bào)調(diào)用所傳遞的信息。受管信息定義ISO/IEC101652中詳細(xì)說明了交換中所使用的正確的抽象語法。

管理系統(tǒng)

事件類型平安警報(bào)產(chǎn)生平安警報(bào)檢測(cè)事件受管對(duì)象受管系統(tǒng)響應(yīng)〔可選〕通知圖3平安警報(bào)報(bào)告過程平安警報(bào)平安警報(bào)報(bào)告中傳遞的參數(shù)分為三類：ISO/IEC9595，事件報(bào)告的通用參數(shù)：包括調(diào)用標(biāo)識(shí)符、模式、受管對(duì)象類、受管對(duì)象實(shí)例、事件類型、事件時(shí)間和當(dāng)前時(shí)間ISO/IEC10164-４，管理警報(bào)的通用參數(shù)：包括通知標(biāo)識(shí)符、相關(guān)的通知、額外的信息和額外的文本等；平安警報(bào)特有的參數(shù)：包括平安警報(bào)原因、平安警報(bào)的嚴(yán)重性、平安警報(bào)檢測(cè)器、使用效勞的用戶和效勞的提供者等。事件類型和平安警報(bào)原因的組合說明了警報(bào)的原因，可能的組合值有：完整性破壞：指出未授權(quán)的修改、插入或刪除數(shù)據(jù)的事件。平安警報(bào)原因的可能值是：復(fù)制信息、信息的喪失、信息修改的檢測(cè)、順序混亂的信息和不希望的信息；違規(guī)操作：指明不能獲得的信息、違法行為或一些效勞的不正確調(diào)用的事件。平安警報(bào)可能的原因是：拒絕效勞，超出效勞，過程出錯(cuò)和未陳述原因；平安警報(bào)物理侵入：指明對(duì)物理資源有可疑攻擊的事件。平安警報(bào)原因的可能值是：損害電纜、入侵檢測(cè)和未陳述原因；平安效勞或機(jī)制的侵犯：指明一個(gè)平安效勞或機(jī)制檢測(cè)到潛在的攻擊的事件。平安警報(bào)原因的可能值是：認(rèn)證失敗、破壞機(jī)密性、非否認(rèn)的失敗、為授權(quán)的訪問企圖和未陳述原因。時(shí)間區(qū)域的侵犯：指明在不希望的或禁止的時(shí)間里發(fā)生某些事的事件。平安警報(bào)原因的可能值是：延遲的消息(接到信息的時(shí)間比預(yù)定時(shí)間要晚〕，密鑰過期〔使用過期的密鑰〕和上班時(shí)間外的活動(dòng)〔在不希望的時(shí)間里使用資源〕。平安警報(bào)的平安參數(shù)指明了由初始受管客體覺察的警報(bào)的意義，可能值是：不確定：系統(tǒng)的完整性是未知的；危險(xiǎn)：平安性被損害危及到系統(tǒng)的平安。系統(tǒng)可能不能再正常運(yùn)轉(zhuǎn)來支持平安策略。例如，未授權(quán)的修改或與平安有關(guān)的敏感信息，如系統(tǒng)口令，或違反物理平安；平安報(bào)告主要：檢測(cè)到違反平安，并且重要的信息或機(jī)制已經(jīng)遭到損害；次要：檢測(cè)到違反平安，并且不太重要的信息或機(jī)制已經(jīng)遭到損害；警告：不相信系統(tǒng)的平安性受到威脅。平安審計(jì)功能標(biāo)準(zhǔn)另外定義了兩個(gè)特殊的通知，分別與效勞報(bào)告和使用報(bào)告對(duì)應(yīng)。效勞報(bào)告說明了與一些效勞的提供、拒絕或恢復(fù)有關(guān)的事件。使用報(bào)告用于有平安意義的日志統(tǒng)計(jì)信息。傳遞的參數(shù)和這些事件類型根本上與平安警報(bào)報(bào)告中使用的一樣。效勞報(bào)告事件類型中定義了一個(gè)額外的參數(shù)，稱為效勞報(bào)告原因，用于說明報(bào)告的原因。這個(gè)參數(shù)是一個(gè)ＡＳＮ．１對(duì)象標(biāo)識(shí)符，也就是說任何人可以定義并注冊(cè)其值。該標(biāo)準(zhǔn)還定義了一些通用的值：效勞請(qǐng)求、拒絕效勞、來自效勞的答復(fù)、效勞失敗、效勞恢復(fù)和其他原因。審計(jì)日志日志的內(nèi)容應(yīng)該設(shè)計(jì)成有助于理解在突發(fā)事件期間出現(xiàn)了什么，并探測(cè)出趨勢(shì)和可能發(fā)生的變化。日志應(yīng)該按與所用的策略和規(guī)那么相一致的原那么進(jìn)行管理。一個(gè)關(guān)鍵問題是如何操作日志：哪種日志應(yīng)該放在日志文件中，數(shù)據(jù)應(yīng)該如何表述，以便從日志中得出正確的審計(jì)結(jié)論。日志必須是可靠的和受到保護(hù)的，能抗篡改或偶然破壞。日志應(yīng)該封存以阻止不可探測(cè)的任何修改，還應(yīng)該在法律保護(hù)期間內(nèi)歸檔。日志須包含的內(nèi)容是：事件所涉及的主體和客體、時(shí)間、事件的結(jié)果〔成功、失敗、違法、報(bào)警等〕。平安事件分析分析可能有兩個(gè)不同的目標(biāo)第一個(gè)目標(biāo)是檢測(cè)對(duì)某個(gè)平安策略的任何攻擊；包括基于狀態(tài)的審計(jì)和基于狀態(tài)轉(zhuǎn)換的審計(jì)。前者決定系統(tǒng)的某個(gè)狀態(tài)是否是未授權(quán)狀態(tài)；后者檢查系統(tǒng)的當(dāng)前狀態(tài)和被引發(fā)的狀態(tài)轉(zhuǎn)換來決定結(jié)果是否會(huì)將系統(tǒng)置于未授權(quán)狀態(tài)。第二個(gè)是檢測(cè)的企圖違反平安規(guī)那么的操作，可以通過命令的特定次序或系統(tǒng)狀態(tài)的特征來尋找并發(fā)現(xiàn)針對(duì)平安的攻擊。分析器通常運(yùn)行于一個(gè)單獨(dú)的系統(tǒng)中，使用分析引擎判斷是否是一個(gè)風(fēng)險(xiǎn)事件，平安事件可利用歷史事件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、完整性工具和其他系統(tǒng)信息來檢測(cè)。信息可能有多個(gè)層次的視角，必須將多個(gè)日志文件的信息進(jìn)行關(guān)聯(lián)平安事件分析雖然通常是對(duì)相同類型事件進(jìn)行多事件記錄，但也可以根據(jù)日志記錄和事件〔融和〕記錄對(duì)不同類型的多個(gè)記錄進(jìn)行分析。對(duì)相同類型的多個(gè)記錄分析經(jīng)常使用統(tǒng)計(jì)或趨勢(shì)分析技術(shù)。建立開放的風(fēng)險(xiǎn)數(shù)據(jù)集接口進(jìn)行數(shù)據(jù)分析的前提是擁有足夠長(zhǎng)時(shí)間和范圍內(nèi)的風(fēng)險(xiǎn)數(shù)據(jù)。風(fēng)險(xiǎn)管理工具必須建立開放的風(fēng)險(xiǎn)數(shù)據(jù)集接口，獲得定期更新的外部損失數(shù)據(jù)，同時(shí)實(shí)現(xiàn)從數(shù)據(jù)訪問、數(shù)據(jù)遷移和提高數(shù)據(jù)質(zhì)量到分析應(yīng)用的無縫連接，實(shí)現(xiàn)信息的集成、交換和共享。格式化數(shù)據(jù)根據(jù)其來源進(jìn)行不同的格式化，通過標(biāo)準(zhǔn)化處理確保后續(xù)的融合和關(guān)聯(lián)功能能以相似的方式處理數(shù)據(jù)。數(shù)據(jù)聚合獲取標(biāo)準(zhǔn)化數(shù)據(jù)，并可按依據(jù)來源、資產(chǎn)價(jià)值或業(yè)務(wù)職能等類別對(duì)其進(jìn)行組織。然后將其復(fù)制到多個(gè)類別之中，讓更高層的應(yīng)用來處理。關(guān)聯(lián)作為商業(yè)智能技術(shù)的一局部，關(guān)聯(lián)通過分析數(shù)據(jù)來識(shí)別新的模式，重新定義平安預(yù)警引擎，并能有效管理潛在的和新出現(xiàn)的風(fēng)險(xiǎn)過程。具體說來，平安關(guān)聯(lián)具有規(guī)那么關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)和異常關(guān)聯(lián)：規(guī)那么關(guān)聯(lián)可將預(yù)先打包的轉(zhuǎn)換事件數(shù)據(jù)提供給數(shù)據(jù)的不同“視圖〞。例如，規(guī)那么可以按照與某個(gè)具體交易操作、某一類交易和某個(gè)地理地點(diǎn)等準(zhǔn)那么相關(guān)的所有事件對(duì)數(shù)據(jù)進(jìn)行詳審。檢測(cè)搜尋的不平安狀態(tài)，等系統(tǒng)進(jìn)入該狀態(tài)后就報(bào)告可能發(fā)生了一次入侵。將系統(tǒng)漏洞的知識(shí)結(jié)合到一個(gè)規(guī)那么集中，使用專家系統(tǒng)來分析數(shù)據(jù)并運(yùn)用規(guī)那么集，判定一系列運(yùn)行中的指令是否違反了站點(diǎn)的平安策略。規(guī)那么：如果我們從一個(gè)防火墻接收到一個(gè)針對(duì)該DNS效勞器的偵察企圖(DNS版本檢查或其他連接請(qǐng)求)，那么如果我們從一個(gè)IDS接收到一個(gè)或多個(gè)針對(duì)同一個(gè)DNS效勞器的入侵企圖，那么向操作員發(fā)出一個(gè)通知。統(tǒng)計(jì)關(guān)聯(lián)按資產(chǎn)或資產(chǎn)組將標(biāo)準(zhǔn)化平安事件歸類為不同平安事件類型–事件類型的范圍包括偵察攻擊、病毒攻擊、拒絕效勞攻擊–等等。對(duì)于每種資產(chǎn)，系統(tǒng)可連續(xù)計(jì)算出一個(gè)威脅分?jǐn)?shù)，也就是通過將事件嚴(yán)重程度與資產(chǎn)價(jià)值相加來確定對(duì)平安事件的總體衡量。異常關(guān)聯(lián)異常關(guān)聯(lián)依賴于事件管理系統(tǒng)所創(chuàng)立的被測(cè)量事件數(shù)據(jù)庫，以及從該數(shù)據(jù)庫的“學(xué)習(xí)模式〞中收集的一組“基線〞數(shù)據(jù)?！盎€〞快照一般會(huì)運(yùn)行幾個(gè)星期，然后與當(dāng)前事件進(jìn)行比較，以確定是否正在發(fā)生與基線不同的異常情況。將來，要想為不斷變化的IT環(huán)境和商業(yè)交易環(huán)境創(chuàng)造價(jià)值，基線捕捉功能就必須在啟發(fā)式的穩(wěn)態(tài)模式下工作。基于模式預(yù)測(cè)的異常檢測(cè)方法，前提條件是事件序列不是隨機(jī)發(fā)生的，而是服從某種可區(qū)分的模式，其特點(diǎn)是考慮了事件序列之間的相互聯(lián)系。域值度量預(yù)期中最少有m個(gè)事件最多有n個(gè)事件發(fā)生，那么被認(rèn)為發(fā)生了異常確定閾值使得模型的使用變得復(fù)雜，要考慮不同級(jí)別的復(fù)雜性和用戶特性、地域特性。統(tǒng)計(jì)動(dòng)差分析器知道平均偏差和標(biāo)準(zhǔn)偏差，如果值超出了這些動(dòng)差的期望間隔，那么該值所代表的動(dòng)作就被認(rèn)定為異常。比閾值模型提供了更大的靈活性。平安事件報(bào)告通告器的主要功能是發(fā)給系統(tǒng)平安負(fù)責(zé)人一條相信系統(tǒng)風(fēng)險(xiǎn)發(fā)生的報(bào)告。在較低的層次上，系統(tǒng)應(yīng)提供交互式、多維數(shù)據(jù)可視化功能。根據(jù)諸如“對(duì)機(jī)構(gòu)的影響〞和“攻擊的可能性〞等簡(jiǎn)單而有效的視圖，使企業(yè)能更輕松地根據(jù)自身的獨(dú)特需求來安排糾正措施的優(yōu)先級(jí)。企業(yè)中各個(gè)部門的人員所關(guān)注的視圖各不相同，例如，IT機(jī)構(gòu)的平安管理員可以處理防火墻、IDS檢測(cè)器和網(wǎng)絡(luò)路由器等所產(chǎn)生的平安事件，但他們卻不應(yīng)該訪問與財(cái)務(wù)記錄和客戶記錄相關(guān)的數(shù)據(jù)，以及其他機(jī)密的商業(yè)交易數(shù)據(jù)。系統(tǒng)應(yīng)可以根據(jù)需要靈活的查看任意聚合級(jí)別的信息或詳細(xì)信息，確保用戶的操作員只看到與他們工作相關(guān)的事件。這一方面是企業(yè)機(jī)密性的需要，同時(shí)也使他們不受受到數(shù)據(jù)泛濫的影響。信息報(bào)告方式：平安事件報(bào)告文本顯示方式：基于名字、時(shí)間或其他特征搜索事件；超文本顯示方式：顯示日志記錄，使用超文本連接鄂來表示記錄之間的相關(guān)關(guān)系關(guān)系數(shù)據(jù)庫閱讀方式：向數(shù)據(jù)庫發(fā)起查詢，數(shù)據(jù)庫在返回查詢結(jié)果前執(zhí)行相關(guān)分析以時(shí)間次序列舉感興趣的事件圖示方式：節(jié)點(diǎn)代表實(shí)體，相關(guān)性表示不同實(shí)體間的聯(lián)系。一個(gè)設(shè)計(jì)良好的圖形顯示使得風(fēng)險(xiǎn)管理系統(tǒng)可把信息轉(zhuǎn)變?yōu)橐环子陬I(lǐng)會(huì)的圖像，允許用戶判斷正在遭受何種攻擊，也可以向有關(guān)的人員發(fā)送電子郵件或在相關(guān)的日志文件中記錄條目。切片方式：得出影響給定客體的日志事件和客體的最小集。切片是一種程序調(diào)試技術(shù)，能分析提取出影響給定變量的指令的最小值。取證使用事件管理系統(tǒng)審計(jì)員使用焦點(diǎn)審計(jì)瀏覽工具，把文件作為初始的焦點(diǎn)。圖的邊顯示了進(jìn)程如何改變文件以及如何改變。審計(jì)員判定那些可能引起不可預(yù)期改變的進(jìn)程，即可疑進(jìn)程，一直追溯到可以判定攻擊者如何得到系統(tǒng)訪問權(quán)限。審計(jì)員獲知攻擊者的ＵＩＤ，使用相應(yīng)的ＵＩＤ審計(jì)記錄的頁面，并檢查頁面中所有的可疑行為。他也能使用可視框架工具畫出進(jìn)程產(chǎn)生的次序。一旦審計(jì)員發(fā)現(xiàn)入侵點(diǎn)，審計(jì)員就能發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)并模擬攻擊者的方法恢復(fù)出攻擊者的行為。最后，使用相關(guān)用具產(chǎn)生短片描述攻擊者是如何進(jìn)行攻擊的，以便在訴訟時(shí)作為證據(jù)使用。外部調(diào)查在一些復(fù)雜程度更高的網(wǎng)絡(luò)犯罪案例中，專門的效勞公司的資深平安專家常常扮演“福爾摩斯〞的角色，在調(diào)查犯罪過程中扮演重要角色。他們能從一些蛛絲馬跡中尋找出事情真相:在線支付的IP、非法轉(zhuǎn)賬的銀行卡卡號(hào)、巨額的刷卡消費(fèi)行為、ATM取款機(jī)上攝像頭的監(jiān)控等。風(fēng)險(xiǎn)實(shí)時(shí)控制當(dāng)前，信息平安管理工具需要實(shí)現(xiàn)的一些新特性是，具有“學(xué)習(xí)〞功能，適應(yīng)平安系統(tǒng)的動(dòng)態(tài)變化，可提供經(jīng)過實(shí)踐檢驗(yàn)的降低風(fēng)險(xiǎn)的措施，并且與用于修復(fù)和補(bǔ)救的任何系統(tǒng)相集成，使風(fēng)險(xiǎn)事件響應(yīng)更接近“實(shí)時(shí)〞。響應(yīng)包括斷開網(wǎng)絡(luò)、增加日志記錄的級(jí)別，給出處理方案等。基于范例的推理〔CBR〕可以根據(jù)記憶或范例庫中找到一個(gè)與新問題相似的范例，然后把該范例中的有關(guān)信