應(yīng)急響應(yīng)備份與災(zāi)難恢復(fù)技術(shù)課件

1、第1頁，共25頁。事件響應(yīng)事件響應(yīng)：對發(fā)生在計算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個生命周期包括：對策、檢測和響應(yīng)。網(wǎng)絡(luò)安全的發(fā)展日新月異，誰也無法實(shí)現(xiàn)一勞永逸的安全服務(wù)。第2頁，共25頁。什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)也叫緊急響應(yīng)，是安全事件發(fā)生后迅速采取的措施和行動，它是安全事件響應(yīng)的一種快速實(shí)現(xiàn)方式。應(yīng)急響應(yīng)服務(wù)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之一。第3頁，共25頁。為什么需要應(yīng)急響應(yīng)保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全大量的安全漏洞存在攻擊系統(tǒng)和網(wǎng)絡(luò)的程序存在實(shí)際的和潛在的財務(wù)損失不利的媒體曝光威脅（聲譽(yù)的損失)對效率的需求當(dāng)前入侵檢測能力的局限性法

2、律方面的考慮第4頁，共25頁。應(yīng)急響應(yīng)的目的 應(yīng)急響應(yīng)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來的影響。定位并排除系統(tǒng)故障提高對網(wǎng)絡(luò)黑客攻擊的抵御和防范的規(guī)范程度預(yù)防重大事件的發(fā)生 提高組織對系統(tǒng)安全事件的快速反應(yīng)和恢復(fù)能力網(wǎng)絡(luò)系統(tǒng)的性能優(yōu)化提供整體網(wǎng)絡(luò)運(yùn)行的健康以及趨勢分析第5頁，共25頁。應(yīng)急響應(yīng)的過程響應(yīng)前的準(zhǔn)備工作工作流程報警方法備份體系安全培訓(xùn)識別和發(fā)現(xiàn)各種安全的緊急事件檢測設(shè)備報警Agent把事件影響降到最小阻斷緩解封堵隔離真正解決問題如：清除病毒、修補(bǔ)漏洞數(shù)據(jù)和系統(tǒng)被破壞情況下，進(jìn)行恢復(fù)回顧并整合安全事件的相關(guān)信息第6頁，共25頁。應(yīng)急響應(yīng)的過程準(zhǔn)備

3、基于威脅建立一組合理的防御/控制措施建立一組盡可能高效的事件處理程序準(zhǔn)備處理問題必須的資源和人員建立一個支持事件響應(yīng)活動的基礎(chǔ)設(shè)施第7頁，共25頁。應(yīng)急響應(yīng)的過程檢測確定事件是已經(jīng)發(fā)生了還是在進(jìn)行當(dāng)中。初步動作和響應(yīng)選擇檢測工具，分析異?，F(xiàn)象激活審計功能迅速備份完整系統(tǒng)記錄所發(fā)生事件估計安全事件的范圍第8頁，共25頁。應(yīng)急響應(yīng)的過程抑制限制攻擊的范圍，同時限制了潛在的損失和破壞。抑制策略完全關(guān)閉所有系統(tǒng)；將網(wǎng)絡(luò)斷開；修改所有防火墻和路由器的過濾規(guī)則，拒絕來自看起來是發(fā)起攻擊的主機(jī)的所有的流量；封鎖或刪除被攻擊的登錄賬號；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別；設(shè)置誘餌服務(wù)器作為陷阱；關(guān)閉被利用的服務(wù)；反

4、擊攻擊者的系統(tǒng)等。第9頁，共25頁。應(yīng)急響應(yīng)的過程根除安全事件被抑制后，找出事件根源并徹底根除，從而根除了影響的進(jìn)一步擴(kuò)大。確定事件的起因和癥狀增強(qiáng)防御技術(shù)進(jìn)行漏洞分析刪除事件的源頭查找最近的干凈備份第10頁，共25頁。應(yīng)急響應(yīng)的過程恢復(fù)把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等徹底地還原到它們正常的任務(wù)狀態(tài)。決定恢復(fù)操作的時間修復(fù)系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)使整個系統(tǒng)運(yùn)行正常監(jiān)控系統(tǒng)第11頁，共25頁。應(yīng)急響應(yīng)的過程跟蹤回顧事件處理過程，擬定一份事件記錄和跟蹤報告總結(jié)經(jīng)驗教訓(xùn)為管理或法律目的收集損失統(tǒng)計信息建立或補(bǔ)充自己的應(yīng)急事件庫第12頁，共25頁。應(yīng)急響應(yīng)服務(wù)形式遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)本地應(yīng)急響應(yīng)服務(wù)服務(wù)

5、的指標(biāo)時間第13頁，共25頁。應(yīng)急處理內(nèi)容惡性病毒爆發(fā)嚴(yán)重漏洞發(fā)布，可能在短期內(nèi)出現(xiàn)蠕蟲確認(rèn)病毒已經(jīng)開始廣泛傳播和攻擊大多數(shù)主機(jī)工作異常，網(wǎng)絡(luò)通訊出現(xiàn)異常多數(shù)主機(jī)的防毒系統(tǒng)有報警，但是無法清除病毒拒絕服務(wù)攻擊互聯(lián)網(wǎng)出口緩慢公開提供服務(wù)的服務(wù)器訪問緩慢網(wǎng)絡(luò)流量出現(xiàn)不可解釋的異常增加服務(wù)器入侵頁面被非法篡改，或者出現(xiàn)非法文件數(shù)據(jù)異常丟失機(jī)密數(shù)據(jù)有被泄漏的證據(jù)出現(xiàn)非法登陸或者日志被刪改的情況第14頁，共25頁。事件分級與處理方式事件級別級別定義嚴(yán)重客戶的重要業(yè)務(wù)系統(tǒng)因為安全原因中斷，數(shù)據(jù)被破壞或被竊取。普通用戶的重要業(yè)務(wù)因為安全原因運(yùn)行出現(xiàn)異常，降低了運(yùn)行效率或出現(xiàn)錯誤。輕微用戶網(wǎng)絡(luò)或者業(yè)務(wù)運(yùn)行中出

6、現(xiàn)故障，需要解決，但不影響主要業(yè)務(wù)的正常運(yùn)行。事件級別處理方式嚴(yán)重提供現(xiàn)場支持，如果因為時間特別緊張，在條件允許的情況下，可以提前開始遠(yuǎn)程登陸支持。普通在條件允許的情況下，通過遠(yuǎn)程登陸解決或者指導(dǎo)用戶解決問題。如果超過事件處理升級時限，則需要進(jìn)行現(xiàn)場支持。輕微一般通過電話或者E-mail方式遠(yuǎn)程支持第15頁，共25頁。數(shù)據(jù)備份與災(zāi)難恢復(fù)第16頁，共25頁。備份與恢復(fù)技術(shù)備份與恢復(fù)是一種數(shù)據(jù)安全策略，通過備份軟件把數(shù)據(jù)備份到磁帶上，在原始數(shù)據(jù)丟失或遭到破壞的情況下，利用備份數(shù)據(jù)把原始數(shù)據(jù)恢復(fù)出來，使系統(tǒng)能夠正常工作。理想的備份系統(tǒng)是全方位、多層次的。數(shù)據(jù)備份與恢復(fù)技術(shù)通常會涉及到以下幾個方面：存

7、儲設(shè)備：磁盤陣列、磁帶、光盤、SAN設(shè)備 存儲優(yōu)化：DAS(直接連接存儲)、NAS(網(wǎng)絡(luò)連接存儲)、 SAN(存儲區(qū)域網(wǎng)絡(luò))存儲保護(hù)：磁盤陣列、雙機(jī)容錯、集群、備份與恢復(fù) 存儲管理：文件與卷管理、復(fù)制、SAN管理 第17頁，共25頁。備份方式硬件備份：用冗余的硬件來保證系統(tǒng)的連續(xù)運(yùn)行。比如磁盤鏡像、磁盤陣列、雙機(jī)容錯等方式。 磁盤鏡像（Mirroring）：可以防止單個硬盤的物理損壞，但無法防止邏輯損壞。磁盤陣列（Disk Array）：磁盤陣列一般采用RAID5技術(shù)，可以防止多個硬盤的物理損壞，但無法防止邏輯損壞。雙機(jī)容錯：SFTIII、Standby、Cluster都屬于雙機(jī)容錯的范疇。雙

8、機(jī)容錯可以防止單臺計算機(jī)的物理損壞，但無法防止邏輯損壞。 第18頁，共25頁。備份方式軟件備份：是指將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上，當(dāng)出現(xiàn)錯誤時可以將系統(tǒng)恢復(fù)到備份時的狀態(tài)。由于這種備份是由軟件來完成的，所以稱為軟件備份。第19頁，共25頁。數(shù)據(jù)備份策略完全備份：每次備份定義的所有數(shù)據(jù)，優(yōu)點(diǎn)是恢復(fù)快，缺點(diǎn)是備份數(shù)據(jù)量大，數(shù)據(jù)多時可能做一次全備份需很長時間；增量備份：備份自上一次備份以來更新的所有數(shù)據(jù)，其優(yōu)點(diǎn)是每次備份的數(shù)據(jù)量少，缺點(diǎn)是恢復(fù)時需要全備份及多份增量備份；差分備份：備份自上一次全備份以來更新的所有數(shù)據(jù)，其優(yōu)缺點(diǎn)介于上兩者之間。第20頁，共25頁。數(shù)據(jù)備份一般規(guī)則對于操作系統(tǒng)和應(yīng)用程序代碼

9、，可在每次系統(tǒng)更新或安裝新軟件和做一次完全備份；對于一些日常數(shù)據(jù)更新量大，但總體數(shù)據(jù)量不是非常大的關(guān)鍵應(yīng)用數(shù)據(jù)，可每天在用戶使用量較小的時候安排完全備份；對于日常更新量相對于總體數(shù)據(jù)量較小，而總體數(shù)據(jù)量非常大的關(guān)鍵應(yīng)用數(shù)據(jù)，可每隔一個月或一周安排一次全備份，再此基礎(chǔ)上，每隔一個較短的時間間隔做增量備份。第21頁，共25頁。數(shù)據(jù)備份場所具備與主中心相似的網(wǎng)絡(luò)和通信設(shè)置 具備業(yè)務(wù)應(yīng)用運(yùn)行的基本系統(tǒng)配置 具備穩(wěn)定、高效的電信通路連接中心，例如光纖、E3/T3、ATM，確保數(shù)據(jù)的實(shí)時備份 具備日常維護(hù)條件 與主中心相距足夠安全的距離 第22頁，共25頁。災(zāi)難恢復(fù)數(shù)據(jù)庫受到破壞 采用完全備份或完全備份/增量備份結(jié)合的恢復(fù)。由于數(shù)據(jù)庫留有歸檔日志文件和聯(lián)機(jī)日志文件，一旦所有數(shù)據(jù)庫文件恢復(fù)，即可通過日志重做恢復(fù)所有記錄。文件系統(tǒng)受到破壞 可簡單地使用文件系統(tǒng)的備份介質(zhì)進(jìn)行文件系統(tǒng)恢復(fù)。操作系統(tǒng)破壞 建議