重要信息安全管理過程中國信息安全測評中心2012-10課程內容安全管理措施知識體知識域基本安全管理措施重要安全管理過程知識子域安全策略人員安全管理訪問控制物理與環境安全系統獲取、開發和維護通信及操作管理安全組織機構資產管理符合性管理信息安全事件管理與應急響應業務連續性管理與災難恢復知識子域：系統采購、開發與維護理解安全要求是信息系統需求的重要組成部分理解信息技術產品的采購的安全原則：符合標準法規，風險與經濟性的平衡，安全性測試等理解信息系統開發和實施的安全原則：規范的開發方法，嚴格的源代碼測試，對安裝包、測試數據和程序源代碼的保護理解系統運行階段安全管理的基本原則，包括漏洞和補丁管理、系統更新、廢棄等3信息系統購買安全信息系統購買流程需求分析市場招標評標選擇供應商簽訂合同系統實施系統運維5信息系統購買流程需求分析根據業務需求，法律法規，客戶需求，導出各項系統需求，包括安全需求。建立初級威脅模型，進行初步風險分析建立安全目標并進行評審搭建概念原型，驗證安全需求需求分析市場招標評標選擇供應商簽訂合同系統實施系統運維6信息系統購買流程市場招標看一看市場上有什么可選的系統發放請求建議書或者邀標書，書中包含安全需求相關的描述章節需求分析市場招標評標選擇供應商簽訂合同系統實施系統運維7信息系統購買流程選擇中標供應商，并簽訂合同源代碼委托(SourceCodeEscrow)安全緊急響應條款售后服務協議安全培訓業務連續性與災備條款需求分析市場招標評標選擇供應商簽訂合同系統實施系統運維9信息系統購買流程系統實施配置審查臨時賬戶管理數據安全遷移用戶安全培訓需求分析市場招標評標選擇供應商簽訂合同系統實施系統運維信息系統購買評價供應商時的一些關鍵性能指標周轉時間(Turnaroundtime)--發生故障時幫助臺或廠商從登錄系統到解決問題所需的時間響應時間(Responesetime)--系統響應一個特定的用戶查詢所需的時間系統反應時間(SystemReactiontime)--登錄到系統或連接到網絡所需要的時間吞吐量(Throughput)--單位時間內系統的有效工作量負載(Workload)--執行必要工作的能力,或系統在給定時間區間內能夠完成的工作量兼容性(Compatibility)--供應商提供的新系統對現有應用的運行支持能力容量(Capacity)--新系統處理并發網絡應用請求的數目，以及系統能夠為每個用戶處理的數據量利用率(Utilization)--系統可用時間與故障時間之比安全等級(SecurityGrade)—權威機構的測評結果11信息系統開發安全信息系統開發流程需求分析概要設計詳細設計系統開發測試系統實施系統運維13信息系統開發需求分析定義安全需求--業務安全需求，法律法規約束，來自客戶的安全要求安全需求建立步驟業務安全分析業務合規性分析建立威脅模型，進行初步風險分析明確安全風險，建立安全目標列表數據通信安全目標，數據存儲安全目標，交易完整性目標，身份認證及訪問授權目標，審計目標，系統備份與恢復……對安全目標進行評審需求分析概要設計詳細設計系統開發測試系統實施系統運維14信息系統開發概要設計--詳細風險評估與安全控制措施選擇安全體系架構設計各功能模塊間的安全處理流程安全協議設計安全接口設計……概要設計安全評審需求分析概要設計詳細設計系統開發測試系統實施系統運維15信息系統開發系統開發根據安全設計進行開發編寫安全的代碼對開發人員實施編碼規范培訓對開發人員進行安全意識教育為開發人員配備安全編碼手冊開發人員對安全功能實現進行單元測試開發人員執行代碼靜態分析，進行代碼自查團隊內部代碼互查源碼安全管理……開發需求分析概要設計詳細設計系統開發測試系統實施系統運維17敏捷開發流程測試對測試用例進行完備性評估集成測試，系統測試，可接受性測試，滲透測試……代碼靜態分析與代碼審查需求分析概要設計詳細設計系統開發測試系統實施系統運維18信息系統開發系統實施，交付，試運行配置審查臨時賬戶管理數據安全遷移用戶安全培訓需求分析概要設計詳細設計系統開發測試系統實施系統運維19信息系統維護變更管理目的對系統變更的合理性，安全性進行控制，使變更通過安全過程進行實施，減少不當變更導致的系統安全問題，保障業務連續運行。正常的變更管理流程提交變更申請審批變更申請變更開發對變更開發進行測試評估接受變更實施變更21信息系統維護變更管理變更注意事項變更程序需要遵循與全面系統開發項目同樣的過程，程序員要進行單元測試、模塊測試、集成測試等，保證新功能滿足需求，且不影響其他模塊的功能所有變更信息點作為系統的永久文檔由用戶維護人員保留，所有程序變化的維護記錄，應該人工保存和自動化保存。文檔的變更應該反映到相關的IT管理活動中去，如災難恢復，保持文檔在最新狀態。有些管理軟件提供變更審計軌跡。維護信息包括程序員ID號、變更時間和日期，與變更相關的申請號或者項目號，變更前后的源代碼行數。程序員不能寫、修改和刪除生產環境數據。根據生產的信息類型，程序員甚至不能進行只讀訪問(客戶信用卡號，安全號，敏感信息等)需要用戶管理層關注程序員所做的變化或者升級，在進行任何變更之前，程序員必須接到授權。信息系統維護變更管理常見非授權變更程序員訪問生產系統庫該程序的用戶不知道發生的變更沒有正式的變更請求表格和程序相關管理人員并未在變更表上簽字用戶沒有在變更表上簽字以表明接受變更修改后的源代碼未經適當的編程人員檢查相關管理人員沒有在變更表上簽字以表明變更可以投入生產環境程序員為了自身的利益增加一些額外的代碼23信息系統維護漏洞和補丁管理重要性漏洞和補丁管理方法人工，自動化工具0day攻擊25信息系統維護系統棄置處理殘余信息的處理物理摧毀存儲介質存儲介質消磁處理專用設備進行反復數據覆蓋或者擦除鍵盤攻擊使用功能軟件對棄置系統中的存儲介質進行分析實驗室攻擊使用專有設備對棄置系統中的存儲介質進行分析26總結安全是信息系統需求的重要組成部分信息系統安全建設要符合國家法律法規，符合組織業務目標，量力而行。信息系統即使是外購方式獲取，其產生的連帶安全責任仍然停留在組織內部信息系統的安全性可以由專業的安全人員，組織的安全策略，以及嵌入到管理流程中一系列安全控制過程來保障配置管理，變更管理，補丁管理是系統維護階段的重要安全管理措施棄置系統中的殘余數據應該被擦除或銷毀27基本概念29安全事件

而安全事件則是指影響一個系統正常工作的情況。這里的系統包括主機范疇內的問題，也包括網絡范疇內的問題，例如黑客入侵、信息竊取、拒絕服務攻擊、網絡流量異常等。應急響應（EmergencyResponse）

是指組織為了應對突發/重大信息安全事件的發生所做的準備以及在事件發生后所采取的措施。基本概念30應急響應計劃（EmergencyResponsePlan）

是指在突發/重大信息安全事件后對包括計算機運行在內的業務運行進行維持或恢復的策略和規程。

信息安全應急響應計劃的制定是一個周而復始、持續改進的過程，包含以下幾個階段：（1）應急響應需求分析和應急響應策略的確定；（2）編制應急響應計劃文檔；（3）應急響應計劃的測試、培訓、演練和維護。應急響應與應急響應計劃的關系31政策要求32《關于加強信息安全保障工作的意見》（中辦發『2003』27號文）指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設基于密碼技術的網絡信任體系，建設信息安全監控體系，重視信息安全應急處理工作，推動信息安全技術研發與產業發展，建設信息安全法制與標準”國家信息安全戰略的近期目標：通過五年的努力，基本建成國家信息安全保障體系。相關標準33

GB/T24364-2009

《信息安全技術

信息安全應急響應計劃規范》GB/T20988-2007《信息安全技術信息系統災難恢復規范》GB/Z20985-2007《信息技術安全技術信息安全事件管理指南》GB/Z20986-2007《信息安全技術信息安全事件分類分級指南》應急響應六階段34第一階段：準備——讓我們嚴陣以待第二階段：確認——對情況綜合判斷第三階段：遏制——制止事態的擴大第四階段：根除——徹底的補救措施第五階段：恢復——系統恢復常態第六階段：跟蹤——還會有第二次嗎第一階段—準備35預防為主微觀（一般觀點）：幫助服務對象建立安全政策幫助服務對象按照安全政策配置安全設備和軟件掃描，風險分析，打補丁如有條件且得到許可，建立監控設施宏觀：建立協作體系和應急制度建立信息溝通渠道和通報機制如有條件，建立數據匯總分析的體系和能力有關法律法規的制定第一階段—準備36制定應急響應計劃資源準備應急經費籌集人力資源軟硬件設備現場備份業務連續性保障系統容災搭建臨時業務系統第二階段—確認37確定事件性質和處理人微觀（負責具體網絡的CERT）：確定事件的責任人指定一個責任人全權處理此事件給予必要的資源確定事件的性質誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴重程度預計采用什么樣的專用資源來修復？宏觀（負責總體網絡的CERT）：通過匯總，確定是否發生了全網的大規模事件確定應急等級，以決定啟動哪一級應急方案第三階段—遏制38即時采取的行動微觀：防止進一步的損失，確定后果初步分析，重點是確定適當的封鎖方法咨詢安全政策確定進一步操作的風險損失最小化（最快最簡單的方式恢復系統的基本功能，例如備機啟動）可列出若干選項，講明各自的風險，由服務對象選擇宏觀：確保封鎖方法對各網業務影響最小通過協調爭取各網一致行動，實施隔離匯總數據，估算損失和隔離效果第四階段—根除39長期的補救措施微觀：詳細分析，確定原因，定義征兆分析漏洞加強防范消除原因修改安全政策宏觀：加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；加強檢測工作，發現和清理行業與重點部門的問題；第五階段—恢復40微觀：被攻擊的系統恢復正常的工作狀態作一個新的備份把所有安全上的變更作備份服務重新上線持續監控宏觀：持續匯總分析，了解各網的運行情況根據各網的運行情況判斷隔離措施的有效性通過匯總分析的結果判斷仍然受影響的終端的規模發現重要用戶及時通報解決適當的時候解除封鎖措施第六階段—跟蹤41關注系統恢復以后的安全狀況，特別是曾經出問題的地方建立跟蹤文檔，規范記錄跟蹤結果對響應效果給出評估對進入司法程序的事件，進行進一步的調查，打擊違法犯罪活動事件的歸檔與統計42處理人時間和時段地點工作量事件的類型對事件的處置情況代價細節信息安全應急響應計劃編制方法43總則角色及職責預防和預警機制應急響應流程應急響應保障措施附件總則44編制目的編制依據適應范圍工作原則角色及職責45應急響應領導小組應急響應技術保障小組應急響應專家小組應急響應實施小組應急響應日常運行小組預防和預警機制46應急響應流程47應急響應流程—呼叫樹48應急響應保障措施49應急響應保障措施附件50具體的組織體系結構及人員職責應急響應計劃各小組成員的聯絡信息供應商聯絡信息，包括離站存儲和備用站點的外部聯系點系統恢復或處理的標準操作規程和檢查列表支持系統運行所需的硬件、軟件、固件和其它資源的設備和系統需求清單供應商服務水平協議（SLA）、與其它機構的互惠協議和其它關鍵記錄備用站點的描述和說明在計劃制定前進行的BIA，包含關于系統各部分相互關系、風險、優先級別等應急響應計劃文檔的保存和分發方法應急響應工作機構圖51職責示例52應急響應領導小組：應急響應領導小組是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。領導小組的職責是領導和決策信息安全應急響應的重大事宜，主要如下：（1）對應急響應工作的承諾和支持，包括發布正式文件、提供必要資源（人財物）等；（2）審核并批準應急響應策略；（3）審核并批準應急響應計劃；（4）批準和監督應急響應計劃的執行；（5)啟動定期評審、修訂應急響應計劃；（6）負責組織的外部協作工作。我國信息安全事件分類方法53GB/Z20986-2007《信息安全事件分級分類指南》有害程序事件網絡攻擊事件信息破壞事件信息內容安全事件設備設施故障、災害性事件其他信息安全事件我國信息安全事件分級方法54分級要素我國信息安全事件分級方法55特別重大事件重大事件較大事件一般事件國際信息安全應急響應組織56美國計算機緊急事件響應小組協調中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件響應與安全組織論壇（ForumofIncidentResponseandSecurityTeams,FIRST）

亞太地區計算機應急響應組（AsiaPacificComputerEmergencyResponseTeam,APCERT）

歐洲計算機網絡研究教育協會（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

我國信息安全應急響應組織57國家計算機網絡應急技術處理協調中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中國教育和科研計算機網緊急響應組(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

國家計算機病毒應急處理中心

國家計算機網絡入侵防范中心國家863計劃反計算機入侵和防病毒研究中心計算機取證計算機取證概念計算機取證遵循原則計算機取證步驟計算機取證技術和工具58計算機取證的概念什么是計算機取證計算機取證是使用先進的技術和工具，按照標準規程全面地檢查計算機系統，以提取和保護有關計算機犯罪的相關證據，計算機取證提取和保護的是電子證據，相關工作主要圍繞兩個方面進行：證據的獲取和證據的分析。為什么需要取證通過證據查找肇事者通過證據推斷犯罪過程通過證據判斷受害者損失程度收集證據提供法律支持59計算機取證的原則合法原則取證必須符合相關法律法規充分授權原則取證必須得到充分授權優先保護證據原則取證可能導致證據破壞，必須優先考慮保護證據全程監督原則整個取證過程應全程第三方監督60計算機取證的步驟61計算機取證-準備獲取授權取證工作獲得明確的授權（授權書）目標明確對取證的目的有清晰的認識工具準備對取證環境的了解及需要準備的工具軟件準備對取證的軟件進行過有效的驗證介質準備確保有符合要求的干凈的介質可用于取證62計算機取證-保護保證數據安全性制作磁盤映像-不在原始磁盤上操作保證數據完整性取證中不使用可能破壞完整性的操作第三方監督所有操作都有第三方在場監督63計算機取證-提取64優先分析易消失的證據內存信息、系統進程、網絡連接信息、路由信息、臨時文件、緩存文件系統數據恢復、隱藏文件、加密文件、系統日志應用系統系統日志計算機取證-分析及提交證據在什么地方？日志、刪除的文件、臨時文件、緩存從證據中能發現什么？如何關聯證據？電子取證提交必須與現實取證結合，文檔化很重要65計算機取證工具開放源代碼軟件Coroners工具包，它是計算機犯罪取證檢查的一些工具軟件的集合。商業軟件取證軟件Encase——基于Windows平臺，提供從數據發現到分析到生成報表的全面的解決方案；AccessData，用于獲取口令的軟件；以及ThumbsPlus，Snapback…NetThreatAnalyzer：NTI公司的軟件系統66知識子域：業務連續性管理與災難恢復理解業務連續性管理與災難恢復的基本概念了解我國災難恢復工作的進展情況和政策要求了解數據儲存和數據備份與恢復的基本技術掌握災難恢復管理過程：需求分析、災難恢復策略制定、災難恢復策略實現、災難恢復預案制定和管理掌握國家有關標準對災難恢復系統級別和各級別的指標要求67什么是災難災難disaster《信息安全技術信息系統災難恢復規范》（GB/T20988—2007）由于人為或自然的原因，造成信息系統嚴重故障或癱瘓，使信息系統支持的業務功能停頓或服務水平不可接受、達到特定的時間的突發性事件。通常導致信息系統需要切換到災難備份中心運行。*典型的災難事件包括：自然災害，如火災、洪水、地震、颶風、龍卷風、臺風等，還有技術風險和提供給業務運營所需服務的中斷，如設備故障、軟件錯誤、通訊網絡中斷和電力故障等等；此外，人為的因素往往也會釀成大禍，如操作員錯誤、植入有害代碼和恐怖襲擊。人員誤操作SARS68業務持續性的重要性“在經歷過災難的企業中，每5家中有2家在5年內會完全退出市場。當且僅當企業在災難前或災難后采取了必要的措施后，企業可以改變這種狀況。業務持續性計劃和災難恢復計劃服務將確保持續的生存性”

Gartner,DisasterRecoveryPlansandSystemsAreEssential,byRobertaWitty,DonnaScott,

12September2001.……所有公司中，50-60%沒有可以用于工作的災難恢復計劃69備份與恢復災難備份backupfordisasterrecovery為了災難恢復而對數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份的過程。災難恢復disasterrecovery為了將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態、并將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態而設計的活動和流程。70規劃和預案災難恢復規劃disasterrecoveryplanning為了減少災難帶來的損失和保證信息系統所支持的關鍵業務功能在災難發生后能及時恢復和繼續運作所做的事前計劃和安排。災難恢復預案disasterrecoveryplan定義信息系統災難恢復過程中所需的任務、行動、數據和資源的文件。用于指導相關人員在預定的災難恢復目標內恢復信息系統支持的關鍵業務功能。71BCP和BCM業務連續規劃（BusinessContinuityPlanning，簡稱“BCP”）是災難事件的預防和反應機制，是一系列事先制定的策略和規劃，確保單位在面臨突發的災難事件時，關鍵業務功能能持續運作、有效的發揮作用，以保證業務的正常和連續。業務連續規劃不僅僅包括對信息系統的恢復，而且包括關鍵業務運作、人員及其它重要資源等的恢復和持續。業務連續管理(BusinessContinuityManagement，簡稱“BCM”)為保護組織的利益、聲譽、品牌和價值創造活動，找出對組織有潛在影響的威脅，提供建設組織有效反應恢復能力的框架的整體管理過程。包括組織在面臨災難時對恢復或連續性的管理，以及為保證業務連續計劃或災難恢復預案的有效性的培訓、演練和檢查的全部過程。72BCM、BCP、DRP對于信息化依賴程度高的單位，信息系統災難恢復是其業務連續規劃的重要組成部分。信息系統災難恢復的目的是保證信息系統所支持業務的連續，業務連續規劃面向信息系統及業務恢復。73BCP/DRP的指標

恢復點目標-RPO/恢復時間目標-RTO秒分小時日周秒分小時日周恢復點恢復時間RPO－RecoveryPointObjective，恢復點目標定義：災難發生后，系統和數據必須恢復到的時間點要求代表了當災難發生時允許丟失的數據量RTO－RecoveryTimeObjective，恢復時間目標定義：災難發生后，信息系統或業務功能從停頓到必須恢復的時間要求。代表了系統恢復的時間74BCP/DRP的指標

恢復點目標-RPO/恢復時間目標-RTO在業務持續性方面，RTO(RecoveryTimeObjective恢復時間目標)是指可以重新開始業務的時間，對磁帶備份而言，最好的RTO是一天，而對于復制技術，由于其副本是已經在線（在另一個遠端站）的，因此RTO接近于零。仍然是在業務持續性方面，另一個衡量目標是RPO(RecoveryPointObjective恢復時點目標)，也即我可以從哪開始重新，意即恢復后的數據時期與最新數據的時間差異，對磁帶而言即是最后一次備份與故障發生時之間的時間間隔。你的客戶會發現這段時間的全部數據都丟失了，而對于實時的復制而言，客戶基本感覺不到差異。75主中心與災難備份中心主中心也稱主站點或生產中心，是指主系統所在的數據中心。災難備份中心也稱備用站點。是指用于災難發生后接替主系統進行數據處理和支持關鍵業務功能運作的場所，可提供災難備份系統、備用的基礎設施和專業技術支持及運行維護管理能力，此場所內或周邊可提供備用的生活設施。76主系統與災難備份系統主系統也稱生產系統，是指正常情況下支持組織日常運作的信息系統。包括主數據、主數據處理系統和主網絡。災難備份系統，是指用于災難恢復目的，由數據備份系統、備用數據處理系統和備用的網絡系統組成的信息系統。77災難恢復過程78災難恢復建設流程79我國國內災難恢復的發展概況20世紀90年代末期，一些單位在信息化建設的同時，開始關注對數據安全的保護，進行數據的備份，但當時，不論從災難恢復理論水平，重視程度，從業人員數量質量，還是技術水平方面都還很不成熟。2000年，“千年蟲”事件引發了國內對于信息系統災難的第一次集體性關注，但“9.11”事件所引起的震動真正地引起了大家對災難恢復的關注。80我國國內災難恢復的發展概況各行業用戶對信息安全的建設越來越重視投入呈現穩定增長的態勢,但，大部分單位還沒有有效的災難恢復策略沒有建立統一的業務連續管理機制。隨著國內信息化建設的不斷完善、數據大集中的開展和國家對災難恢復工作的高度重視，越來越多的單位和部門認識到災難恢復的重要性和必要性，開展災難恢復建設的時機已基本成熟。81我國國內災難恢復的國家政策和標準2003年，《國家信息化領導小組關于加強信息安全保障工作的意見》，要求：各基礎信息網絡和重要信息系統建設要充分考慮抗毀性與災難恢復，制定和不斷完善信息安全應急處置預案。2004年，國信辦《關于做好重要信息系統災難備份工作的通知》，強調了“統籌規劃、資源共享、平戰結合”的災備工作原則。2005年，國務院信息化辦公室《重要信息系統災難恢復指南》2007年，《信息安全技術信息系統災難恢復規范》（GB/T20988—2007）82我國國內災難恢復地方和行業的發展北京市、上海市、深圳市、廣州市、成都市等地都已出臺或正在研究電子政務信息系統災難恢復工作的意見和規劃；人民銀行、銀監會、保監會出臺了有關行業政策國稅總局、海關總署、人民銀行、商務部等部委均已完成或正在建設災備中心；北京、上海、深圳、廣州、杭州等各地政府已建設或啟動災備中心建設。其他信息化程度較高的行業如保險、證券、電力、民航、電信、石化、鋼鐵等企業正在開展和規劃災難恢復系統的建設83我國災難恢復工作存在的主要問題存在僥幸心理，缺乏開展災難恢復工作的積極性；在沒有統籌規劃，各行業及地方自行建設災難備份中心，造成社會經濟資源的分散和浪費；從事災難恢復建設和服務的企業良莠不齊，部分企業缺乏專業化能力，不能滿足災難恢復的要求；已建成的災備中心普遍缺乏嚴格的演練，災備中心的運營缺乏有效的監管和審計，導致大量的災備中心無法在災難來臨時有效發揮作用；災難備份恢復有關人員意識欠缺、專業人才缺乏84災難恢復規劃的過程階段業務影響分析制定恢復策略災難恢復策略的實現災難恢復預案的制定、落實和管理分析業務功能和相關資源配置評估中斷影響確定災難恢復資源獲取方式確定災難恢復等級的要素要求正式文檔化災難備份中心的選擇和建設災難備份系統技術方案的實現技術支持能力的實現運行維護能力的實現災難恢復預案的制訂災難恢復預案的教育、培訓和演練災難恢復預案的管理風險分析標識資產標識威脅標識脆弱性標識現有控制定量/定性風險分析災難恢復需求分析災難恢復策略制定災難恢復預案制定和管理災難恢復策略實現確定災難恢復目標關鍵業務功能及恢復的優先級RTO/RPO的范圍851.災難恢復需求分析風險評估對我們為什么需要災難恢復建設這一問題給出了答案業務影響分析BIA為我們后續的災難恢復系統建設提供了以下信息：–誰、什么、何地、何時、如何機構面臨的風險有哪些？哪些風險的危害更大？哪些業務和系統對機構更重要？這些業務和系統的關系？這些業務和系統應該多久恢復？這些業務和系統誰應當先恢復？哪些業務數據不能丟失？需要依賴哪些外部機構？恢復時需要哪些資源？861.災難恢復需求分析

1.1風險分析風險分析為機構提供：1.辨認足以影響機構持續提供業務的各種潛在性風險；2.確定各種風險發生的可能性；3.制定并實施各特定風險的預防控制措施4.為殘余風險的應對處理做好準備。風險分析范圍：1.機構所在地區范圍和與之在經濟、業務上有緊密聯系的鄰近地區的交通、電訊、能源及其它關鍵基礎設施遭到嚴重破壞的風險；2.造成此地區的大規模人口疏散或無法聯系后所面對的風險；3.機構信息系統中斷所造成的系統性風險。87明確關鍵業務功能和支持關鍵業務功能的關鍵應用系統；明確系統中斷對業務的損失和影響；明確各業務系統的恢復目標和內外部依賴關系；確定各業務功能災難恢復指標（RTO/RPO）；明確各業務功能恢復的最小資源需求及恢復策略；1.災難恢復需求分析

1.2BIA-業務影響分析881.災難恢復需求分析

1.3確定災難恢復目標892.制定災難恢復策略什么是災難恢復策略是機構為了達到災難恢復的需求目標而采取的途徑；它包含實現的計劃、方法和可選的方案；是基于機構對自身災難恢復需求確切了解的基礎上做出的；其根本目的是為了達到在災難恢復需求中描述的實現目標；是指導整個災難恢復建設的綱領性文件；要遵循成本風險平衡原則；描述了災難恢復需求的實現步驟和實現方法。90912.制定災難恢復策略-主體內容數據備份系統備用數據處理系統備用網絡系統備用基礎設施技術支持能力運行維護管理能力災難恢復預案策略要素主要內容資源獲取方式要素具體要求92例如：災難恢復資源的獲取方式備用基礎設施a)由單位所有或運行；b)多方共建或通過互惠協議獲取；c)租用商業化災難備份中心的基礎設施。備用數據處理系統a)事先與廠商簽訂緊急供貨協議；b)事先購買所需的數據處理設備并存放在災難備份中心或安全的設備倉庫；c)利用商業化災難備份中心或簽有互惠協議的機構已有的兼容設備。93例如：確定災難恢復等級各要素的要求

數據備份系統a)數據備份的范圍；b)數據備份的時間間隔；c)數據備份的技術及介質；d)數據備份線路的速率及相關通信設備的規格和要求。備用基礎設施a)與生產系統所在的數據處理中心（以下簡稱“生產中心”）的距離要求；b)場地和環境（如面積、溫度、濕度、防火、電力和工作時間等）要求；c)運行和管理要求。943、災難恢復策略的實現3.1災難備份中心的選擇和建設選址原則基礎設施要求3.2災難備份系統技術方案的實現3.3技術支持能力的實現3.4運行維護管理能力的實現3.5災難恢復預案的實現95災難恢復基礎設施的選擇和建設選址原則96設施類型設施名稱說明工作設施信息系統工作設施位于災難備份中心的核心區域的信息系統設備及相關配套設備，主要包括：計算機機房、主操作室、通訊機房、介質機房、信息系統設備測試維修機房等。保障系統工作設施位于災難備份中心的保障設備區域，用來保障災難備份中心7*24小時運行的設施，主要包括：供配電設施、空調暖通設施、給排水設施、消防設施、監控設施、貨運設施等。輔助設施災難備份中心輔助設施用于災難備份中心運行所需的配套設施，主要包括：災難備份中心辦公室、會議室、資料室、值班室、倉庫、客戶接待室、客戶休息室、客戶活動區域、停車場、貨物裝卸區等。災難恢復輔助設施災難備份中心中提供災難恢復用途的設施，主要包括：災難恢復指揮中心、災難恢復座席區、辦公區、新聞發布中心（多媒體室）、會議室、打印傳真室等。災難恢復培訓設施災難備份中心中提供用于災難恢復或業務連續性培訓的設施，主要包括：培訓教室、模擬演練室、培訓人員辦公室等。生活設施保障人員生活設施提供給災難備份中心7*24小時運行而配備的人員生活所必須的設施，主要包括：宿舍、食堂、健身房、閱覽室等生活設施。災難恢復人員生活設施提供給災難恢復或災難恢復培訓人員所需要的生活設施，主要包括：客房、食堂等生活設施。災難備份中心基礎設施的要求97災難恢復基礎設施的選擇和建設同城和異地98災難備份技術方案要素

數據備份系統–備份的數據范圍–恢復時間目標–數據復制通信網絡–網絡設備

備用數據處理系統–恢復的處理能力要求–主機、存儲–系統、數據庫、中間件軟件–應用軟件–專用設備–本地網絡

備用網絡系統–災難恢復通信網絡–網絡設備99典型的災難恢復技術方案架構100實現對災難備份系統的運行維護及技術支持為實現對災難備份系統的運行維護及技術支持，該體系應至少包含以下幾個組成部分：組織架構、運行維護要求、運行維護方式及管理制度。101實現對災難備份系統的運行維護及技術支持組織架構：運行維護團隊、技術支持團隊、外部支持團隊運行維護的內容：

基礎設施維護：供配電系統維護、發電機維護、UPS維護、空調系統維護、消防系統維護等災難備份系統維護：數據備份介質的保管、數據備份系統的運行維護、備用數據處理系統及備用網絡系統的運行維護等災難恢復預案的維護：災難恢復預案必須與恢復人員、恢復技術、恢復目標和范圍的調整同步更新，才能夠保證災難恢復預案的有效性。102實現對災難備份系統的運行維護及技術支持管理制度災難備份的流程和管理制度；災難備份中心機房的管理制度；按介質特性對備份數據進行定期存取、驗證和轉儲管理制度；硬件系統、系統軟件和應用軟件的運行管理制度；災難備份系統的變更管理流程；災難恢復預案以及相關技術手冊的保管、分發、更新和備案制度；非災難恢復用的信息系統運行管理制度；安全管理規定；基礎設施維護的工作規程及操作手冊；各部門及崗位的管理規定；應急處理工作規程和操作手冊。1034、災難恢復預案的制訂、落實和管理4.1災難恢復預案的制訂4.2災難恢復預案的教育、培訓和演練4.3災難恢復預案的管理104災難恢復預案的制定災難恢復預案的包括的主要內容確定風險場景描述可能受到的業務影響描述使用的預防性策略描述災難恢復策略識別和排列關鍵應用系統行動計劃團隊和人員的職責聯絡清單所需資源配置105災難恢復預案的制定制定災難恢復預案的原則首先，必須集中管理災難恢復預案的版本和發布。其次，為了建立有效的版本控制體系，必須建立規范的災難恢復預案的問題提交、解決、更新、跟蹤、發布的渠道和流程。第三，建立相關的保密管理規定，保證災難恢復預案中涉及的秘密信息得到保護。第四，災難恢復預案在內容管理方面應注意內容的分布和粒度，可根據版本和內容的更新頻度將災難恢復的內容進行適當的分布。第五，建立合理的災難恢復預案的保管制度，強調存放的安全性和易取得性。106災難恢復預案的制定清楚、簡潔高級管理層支持/組織承諾不斷改進和更新的恢復策略及時的更新維護組織職責分工明確保留、備份和異地存儲計劃完整記錄并定期演練風險得到管理弱點得到優先重視靈活、可適應成功預案的特點107災難恢復預案的教育、培訓和演練在災難來臨前使相關人員了解熟悉恢復流程使災難恢復預案得到理解并可以使用促進災難恢復預案活動、更新、實用展示恢復的能力達到法律和內部審計要求108演練與演習的類型演練和演習的主要方式有：桌面演練；模擬演練；實戰演練等根據演練和演習的深度，可分為：系統級演練；應用級演練；業務級演練等根據演練和演習的準備情況，可分為：計劃內的演練和演習；計劃外的演練和演習等109預案維護管理核對預案的功能性驗證預案文檔的精確性和完整性分發更新的文檔文檔計劃分發和發布流程確保相關的團隊收到更新的文檔依靠維護來改變管理流程提供培訓作為持續維護預案的一部分為與災難恢復的相關人員開展定期培訓，如：復習進修課程或災難備份研討會指派培訓責任，如：部門經理要確保員工被送去參加培訓完成時報告預案維護情況毀掉舊災難恢復預案的復印件或電子版本。110預案變更管理業務操作的增長或變化如：新的分支、產品和業務功能的增加公司所有權的變化關鍵人員的變化硬件配置的變化使用新操作系統預案審核和演練后軟件/應用軟件的變化新的法律或審計要求定期審核和更新——如：每年兩次111需要備份的數據類型系統數據主要是指操作系統、數據庫系統安裝的各類軟件包和應用系統執行程序。系統數據在系統安裝后基本上不再變動，只有在操作系統、數據庫系統版本升級或應用程序調整時才發生變化。系統數據一般都有標準的安裝介質（如軟盤、磁帶、光盤）。基礎數據主要是指保證業務系統正常運行所使用的系統資產清單、用戶清單、系統配置文件、網絡配置文件、應用配置文件、存取權限控制等。基礎數據隨業務系統運行環境的變化而變化，一般作為系統檔案進行保存。應用數據主要是指業務系統的所有業務數據，對數據的安全性、準確性、完整性、一致性要求很高，而且變化頻繁。臨時數據主要是指操作系統、數據庫產生的系統運行記錄、數據庫邏輯日志和應用程序在執行過程中產生的各種打印、傳輸臨時文件，隨系統運行和業務的發生而變化。112需要備份的數據類型臨時數據系統數據基礎數據應用數據小大數據量慢快變化與更新頻度113備份類型全備份：所謂全備份就是對整個系統所有文件進行完全備份，包括所有系統和數據。增量備份：所謂增量備份就是每次備份的數據只是相當于上一次備份后增加和修改過的數據。差分備份：所謂差分備份就是每次備份的數據是相對于上一次全備份之后新增加和修改過的數據。114IDE（電子集成驅動器），將硬盤控制器與盤體集成在一起的硬盤驅動器，采用PATA（并行ATA）接口。價廉、穩定、速率較慢（最高133MB/S），適用于個人PCSATA（串口硬盤），比PATA針腳數少，速率高SATA2.0可達到300MB/S，適用于中低端存儲系統SCSI（小型計算機系統接口），支持熱插拔擴容能力強，傳輸速率高可達到320MB/S，CPU占用率低、并行處理能力強支持更多用戶同時訪問，適用于中高端存儲系統光纖通道（FC）其實是使用SCSI-3標準，通過光學物理通道進行工作的光纖硬盤，傳輸速率最高500MB/S。支持熱插拔、擴容能力強、速度快、遠程連接硬盤接口類型115RAID技術RAID（廉價冗余磁盤陣列，RedundantArrayofInexpensiveDisk）技術提供了在線儲存計算機數據的方法。

RAID包含很多大約相同容量的磁盤，但是它整體磁盤子系統仍然看起來是一個單一的、可靠的、和高速的邏輯磁盤。RAID技術的使用，不僅使得數據更加安全，而且保證了可靠數據的持續可用性。RAID有8種常見的實施方式，每一種都提供了獨一無二的特性。這8種是級別0、級別1、級別2、級別3、級別4、級別5、級別6和級別10。RAID的級別并不代表它們性能的高低，每一級別的RAID都有著它自己的優勢和劣勢。116廉價磁盤冗余陣列廉價磁盤冗余陣列（RedundantArraysofInexpensiveDisks，RAID）使用三種技術：鏡像（Mirroring），系統同時（Simultaneously）將數據寫到兩個分離的硬盤驅動器或驅動器陣列。優點是減少停機時間（Downtime）、簡化數據恢復和提高從磁盤讀取（Reading）的性能。缺點是磁盤寫入（Writing）較慢。校驗（Parity），確定數據是否丟失或被覆蓋的技術。優點是無需存儲數據拷貝就可以保護數據。條紋（Striping），通過將數據分布（Distribute）到所有的驅動器來提高硬件陣列控制器的性能。條紋可以在字節（Byte-level）或數據塊級別（Block-level）進行。117數據存儲技術DAS，直接附加存儲，通過電纜（SCSI）或光纜（FC）將存儲設備直接連接到服務器上優點適宜服務器地理分布分散的情況實現大容量存儲實現操作系統與數據的分離提高存取性能實施簡單缺點對服務器依賴性強，占用服務器資源擴展性差，擴展時需要停機資源利用率底可管理性差、異構化嚴重118數據存儲技術NAS，網絡附加存儲，不再通過I/O總線附屬于某個特定的服務器，而是通過網絡接口將存儲設備與網絡相連，由用戶通過網絡訪問，由存儲設備、NAS控制器和網絡部分構成。目前采用NFS（基于Unix環境的網絡文件系統）和CIFS（基于Windows的網絡文件系統）協議優點一臺設備連接在網絡上，易于安裝、部署和管理不占用服務器資源可以跨平臺使用較DAS節省硬盤空間數據集中，便于管理和備份缺點占用網絡帶寬不易擴展，裝一臺NAS設備容易，再加一臺難119數據存儲技術SAN，存儲區域網絡，通過網絡設備將磁盤陣列等存儲設備與服務器連接起來的高速專用子網。根據專用網絡的不同可以分為FC-SAN和IP-SAN優點數據存儲影響服務器和網絡的性能效率高、容量大、可擴展性強支持異構服務器缺點價格高，對小型系統不劃算服務器物理位置很分散時不易實施120數據復制模式同步(Synchronous)：數據高可用、對性能影響大、有距離限制異步(Asynchronous)：數據有延遲、適于遠距離定點拷貝（Point-in-time):數據有延遲、適于遠距離、充分利用網絡帶寬121數據復制的常見形式

1.基于主機的數據復制（操作系統的I/O完成）與存儲設備無關、數據完全一致、靈活、對帶寬要求高、對不同的操作系統，需要專用的軟件、需要管理多個節點、需占用主機的處理能力2.基于數據庫的數據復制（操作系統和數據庫系統共同完成）靈活、方便、對帶寬要求低、通過復制數據庫重做日志來復制數據庫數據、適用范圍窄3.基于磁盤的數據復制（存儲系統的微處理器完成）與主機無關、可支持異構平臺環境、帶寬要求高、主備端需要使用同樣的磁盤存儲系統、在遠程情況下需要配置專用的通道延伸器、成本較高4.基于專有設備的數據復制（在SAN架構中通過虛擬存儲軟件完成）在數據從服務器傳輸到存儲設備的網絡中抓取數據。任意的存儲設備之間進行復制、通過異步機制對數據的定點拷貝（point-in-timeimages

）進行復制，確保數據的一致性，可點對點，或多點對一點進行復制122負載均衡通過負載均衡（LoadBalance），流量（Traffic）可以被動態（Dynamically）分配到一組運行相同應用程序的多個服務器上。負載均衡既可以提高整個系統的性能，又可以在服務器出現故障時將該服務器承擔的服務分配到運行中的服務器執行。在不同站點的服務器之間進行的負載均衡還可以在某一站點無法提供服務時將該站點承擔的服務分配到運行中的站點執行。123災難恢復資源要素與等級六個災難恢復等級七大技術管理要素數據備份系統備用數據處理系統備用網絡系統備用基礎設施技術支持能力運行維護管理能力災難恢復預案等級一：基本支持等級二：備用場地支持等級三：電子傳輸和部分設備支持等級四：電子傳輸及完整設備支持等級五：實時數據傳輸及完整設備支持等級六：數據零丟失和遠程集群支持124災難恢復等級劃分國家標準《信息安全技術信息系統災難恢復規范》（GB/T20988）125災難恢復資源要素災難恢復要素描述數據備份系統

一般由數據備份的硬件、軟件和數據備份介質（以下簡稱“介質”）組成，如果是依靠電子傳輸的數據備份系統，還包括數據備份線路和相應的通信設備。

備用數據處理系統

指備用的計算機、外圍設備和軟件。

備用網絡系統

最終用戶用來訪問備用數據處理系統的網絡，包含備用網絡通信設備和備用數據通信線路。

備用基礎設施

災難恢復所需的、支持災難備份系統運行的建筑、設備和組織，包括介質的場外存放場所、備用的機房及災難恢復工作輔助設施，以及容許災難恢復人員連續停留的生活設施。

技術支持能力

對災難恢復系統的運轉提供支撐和綜合保障的能力,以實現災難恢復系統的預期目標。包括硬件、系統軟件和應用軟件的問題分析和處理能力、網絡系統安全運行管理能力、溝通協調能力等。

運行維護管理能力

包括運行環境管理、系統管理、安全管理和變更管理等。

災難恢復預案

定義信息系統災難恢復過程中所需的任務、行動、數據和資源的文件。用于指導相關人員在預定的災難恢復目標內恢復信息系統支持的關鍵業務功能。

126第1級——基本支持要素要求數據備份系統完全數據備份至少每周一次；備份介質場外存放。備用數據處理系統

—備用網絡系統

—備用基礎設施有符合介質存放條件的場地技術支持能力

—運行維護支持能力有介質存取、驗證和轉儲管理制度；按介質特性對備份數據進行定期的有效性驗證災難恢復預案有相應的經過完整測試和演練的災難恢復預案127第2級——備用場地支持要素要求數據備份系統完全數據備份至少每周一次；備份介質場外存放。備用數據處理系統災難發生時能在預定時間內調配所需的數據處理設備到場。備用網絡系統災難發生時能在預定時間內調配所需的通信線路和網絡設備到位。備用基礎設施有符合介質存放條件的場地；有滿足信息系統和關鍵業務功能恢復運作要求的場地。