CISP 应急响应与灾难恢复(含真题)2016.08.ppt

操作系统安全 中电运行杨贤渠 版本 3 0 应急响应与灾难恢复 课程内容 2 知识体 知识域 知识子域 应急响应与灾难恢复 信息系统灾难恢复 应急响应概况 灾难恢复相关技术 知识域 应急响应概况 知识子域 信息安全事件分类分级理解信息安全事件和应急响应的基本概念了解国际和我国的信息安全应急响应组织了解我国信息安全事件应急响应工作的进展情况 政策要求和相关标准理解我国信息安全事件分类 分级方法 3 基本概念 4 GB T24363 2009信息安全应急响应计划规范应急响应组织为了应对突发 重大信息安全事件的发生所做的准备 以及在事件发生后所采取的措施信息安全事件由于自然或者人为以及软硬件本身缺陷或故障的原因 对信息系统造成危害 或在信息系统内发生对社会造成负面影响的事件 基本概念 5 为什么要做应急响应应急响应是出现紧急情况时的行动 应急方案准备的一种 编制应急方案 对一旦出现紧急情况时人员行动作出规定 有秩序的进行排除故障 以减少损失针对各种突发公共事件而设立的各种应急方案 通过该方案使损失减到最小网络安全应急响应的对象计算机网络安全事件应急响应的对象是指针对计算机或网络所存储 传输 处理的信息的安全事件 事件的主体可能来自自然界 系统自身故障 组织内部或外部的人 计算机病毒或蠕虫 基本概念 6 应急响应能做什么第一 未雨绸缪 即在事件发生前事先做好准备 比如风险评估 制定安全计划 安全意识的培训 以发布安全通告的方式进行的预警 以及各种防范措施 第二 亡羊补牢 即在事件发生后采取的措施 其目的在于把事件造成的损失降到最小 这些行动措施可能来自于人 也可能来自系统 不如发现事件发生后 系统备份 病毒检测 后门检测 清除病毒或后门 隔离 系统恢复 调查与追踪 入侵者取证等一系列操作 7 GB Z20985 2007信息安全事件管理指南信息安全事件响应组 内部人员 由组织中具备适当技能且可信的成员组成的一个小组 负责处理与信息安全事件相关的全部工作 有时小组可能有外部专家加入CERT计算机应急响应组国际或国家公认的计算机应急响应组织 基本概念 国际信息安全应急响应组织 8 美国计算机紧急事件响应小组协调中心 ComputerEmergencyResponseTeam CoordinationCenter CERT CC www cert org事件响应与安全组织论坛 ForumofIncidentResponseandSecurityTeams FIRST www first org亚太地区计算机应急响应组 AsiaPacificComputerEmergencyResponseTeam APCERT 欧洲计算机网络研究教育协会 Trans EuropeanResearchandEducationNetworkingAssociation TERENA 我国信息安全应急响应组织 9 国家计算机网络应急技术处理协调中心 NationalComputernetworkEmergencyResponsetechnicalTeam CoordinationCenterofChina CNCERT CC 中国教育和科研计算机网紧急响应组 ChinaEducationandResearchNetworkComputerEmergencyResponseTeam CCERT 国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心 应急响应组织的一般构成 10 国家政策要求和相关标准 11 关于加强信息安全保障工作的意见 中办发 2003 27号文 指出 信息安全保障工作的要点在于 实行信息安全等级保护制度 建设基于密码技术的网络信任体系 建设信息安全监控体系 重视信息安全应急处理工作 推动信息安全技术研发与产业发展 建设信息安全法制与标准 GB T24363 2009 信息安全应急响应计划规范 GB T20988 2007 信息系统灾难恢复规范 GB Z20985 2007 信息安全事件管理指南 GB Z20986 2007 信息安全事件分类分级指南 我国信息安全事件分类方法 12 GB Z20986 2007 信息安全事件分级分类指南 7个基本类别数据丢失等有害程序事件 是指蓄意制造 传播有害程序 或是因受到有害程序的影响而导致的信息安全事件 有害程序是指插入到信息系统中的一段程序 有害程序危害系统中数据 应用程序或操作系统的保密性 完整性或可用性 或影响信息系统的正常运行 有害程序事件包括计算机病毒事件 蠕虫事件 特洛伊木马事件 僵尸网络事件 混合攻击程序事件 网页内嵌恶意代码事件和其它有害程序事件等7个子类网络攻击事件 是指通过网络或其他技术手段 利用信息系统的配置缺陷 协议缺陷 程序缺陷或使用暴力攻击对信息系统实施攻击 并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件 网络攻击事件包括拒绝服务攻击事件 后门攻击事件 漏洞攻击事件 网络扫描窃听事件 网络钓鱼事件 干扰事件和其他网络攻击事件等7个子类信息破坏事件 是指通过网络或其他技术手段 造成信息系统中的信息被篡改 假冒 泄漏 窃取等而导致的信息安全事件 信息破坏事件包括信息篡改事件 信息假冒事件 信息泄漏事件 信息窃取事件 信息丢失事件和其它信息破坏事件等6个子类 我国信息安全事件分类方法 13 信息内容安全事件 是指利用信息网络发布 传播危害国家安全 社会稳定和公共利益的内容的安全事件 设备设施故障 是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件 以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件 设备设施故障包括软硬件自身故障 外围保障设施故障 人为破坏事故 和其它设备设施故障等4个子类灾害性事件 是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件 灾害性事件包括水灾 台风 地震 雷击 坍塌 火灾 恐怖袭击 战争等导致的信息安全事件 其他事件类别是指不能归为以上6个基本分类的信息安全事件 我国信息安全事件分级方法 14 分级要素GB Z20986 2007 信息安全事件分级分类指南 我国信息安全事件分级方法 15 信息系统的重要程度 主要考虑信息系统所承载的业务对国家安全 经济建设 社会生活的重要性以业务对信息系统的依赖程度 划分为特别重要信息系统 重要信息系统和一般信息系统 系统损失 是指由于信息安全事件对信息系统的软硬件 功能及数据的破坏 导致系统业务中断 从而给事发组织所造成的损失 其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价 划分为特别严重的系统损失 严重的系统损失 较大的系统损失和较小的系统损失社会影响 是指信息安全事件对社会所造成影响的范围和程度 其大小主要考虑国家安全 社会秩序 经济建设和公众利益等方面的影响 划分为特别重大的社会影响 重大的社会影响 较大的社会影响和一般的社会影响 我国信息安全事件分级方法GB Z20986 16 特别重大事件 重大事件 较大事件 一般事件 1级2级3级4级 真题演示 进入21世纪以来 信息安全成为世界各国安全战略关注的重点 纷纷制定并颁布网络空间安全战略 但各国历史 国情和文化不同 网络空间安全战略的内容也各不相同 以下说法不正确的是 a 与国家安全 社会稳定和民生密切相关的关键基础设施是各国安全保障的重点b 美国尚未设立中央政府级的专门机构处理网络信息安全问题 信息安全管理职能由不同政府部门的多个机构共同承担c 各国普遍重视信息安全事件的应急响应和处理d 在网络安全战略中 各国均强调加强政府管理力度 充分利用社会资源 发挥政府与企业之间的合作关系 17 真题演示 以下关于CSIRT的说法错误的是 a CSIRT是 计算机安全应急响应小组 的英文缩写b CSIRT应当包括法律 技术和其他专家 以及刑侦管理人员c CSIRT应当是一个常设机构 其成员应当专职从事应急响应 以便最快速地做出反应d 应急响应工作本质上是被动的 因此CSIRT应当在事件发生前做好充分准备 尽可能争取主动 18 知识域 应急响应概况 知识子域 信息安全应急响应管理过程掌握信息安全应急响应阶段方法论掌握准备 检测 遏制 根除等应急响应阶段的主要工作内容掌握信息安全应急响应计划编制方法 19 应急响应六阶段 20 第一阶段 准备 让我们严阵以待第二阶段 检测 对情况综合判断第三阶段 遏制 制止事态的扩大第四阶段 根除 彻底的补救措施第五阶段 恢复 系统恢复常态第六阶段 跟踪总结 还会有第二次吗 第一阶段 准备 21 预防为主微观确定重要资产和风险 实施针对风险的防护措施编制和管理应急响应计划建立和训练应急响应组织准备相关的资源人力资源 财力资源 物质资源 技术资源 社会关系资源宏观建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件 建立数据汇总分析的体系和能力有关法律法规的制定 编制和管理应急响应计划 22 应急响应计划 是指在突发 重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程应急响应计划的制定是一个周而复始 持续改进的过程 包含以下几个阶段 1 应急响应需求分析和应急响应策略的确定 2 编制应急响应计划文档 3 应急响应计划的测试 培训 演练和维护应急响应计划主要内容 总则 角色及职责 预防和预警机制 应急响应流程 应急响应保障措施 附件 第二阶段 检测 23 检测事件 确定事件性质和处理人微观进行监测 报告及信息收集确定事件类别和级别指定事件处理人 进行初步响应评估事件的影响范围事件通告 信息通报 信息上报 信息披露 宏观 通过汇总 确定是否发生了全网的大规模事件确定应急等级 以决定启动哪一级应急方案 第三阶段 遏制 24 限制事件影响的范围 损失微观启动应急响应计划确定适当的响应方式实施遏制行动要求用户按应急行为规范要求配合遏制工作宏观确保封锁方法对各网业务影响最小通过协调争取各网一致行动 实施隔离汇总数据 估算损失和隔离效果 第四阶段 根除 25 长期的补救措施微观详细分析 确定原因实施根除措施 消除原因宏观加强宣传 公布危害性和解决办法 呼吁用户解决终端的问题加强检测工作 发现和清理行业与重点部门的问题 第五阶段 恢复 26 微观根据破坏程度决定是在原系统还是备份系统中恢复按恢复优先顺序恢复系统和业务运行可能需要执行以下事务性步骤和技术性恢复操作获得访问相关区域和资源的授权获取备份介质等相关资源恢复系统数据启用备份系统重建主系统宏观持续汇总分析 判断遏制 根除效果通过汇总分析的结果判断仍然受影响的终端的规模适当时解除封锁措施 第六阶段 跟踪总结 27 关注系统恢复以后的安全状况 记录跟踪结果评估损失 响应措施效果分析和总结经验 教训重新评估和修改安全策略 措施和应急响应计划对进入司法程序的事件 进行进一步调查 打击违法犯罪活动编制并提交应急响应报告处理人时间和时段地点工作量 事件的类类别 级别对事件的处置情况损失经验 教训 知识域 应急响应概况 知识子域 计算机取证了解计算机取证的概念和目的了解计算机取证的基本步骤 28 计算机取证的概念 目的 原则 计算机取证使用先进的技术和工具 按照标准规程全面地检查计算机系统 以提取和保护有关计算机犯罪的相关证据的活动提取和保护的是电子证据 相关工作主要围绕两个方面进行 证据的获取和证据的分析目的查找肇事者 推断犯罪过程 判断受害者损失程度 提供法律支持原则合法原则 充分授权原则 优先保护证据原则 全程监督原则 29 计算机取证的步骤 30 计算机取证 准备 获取授权取证工作获得明确的授权 授权书 目标明确对取证的目的有清晰的认识工具准备对取证环境的了解及需要准备的工具软件准备对取证的软件进行过有效的验证介质准备确保有符合要求的干净的介质可用于取证 31 计算机取证 保护 保证数据安全性制作磁盘映像 不在原始磁盘上操作保证数据完整性取证中不使用可能破坏完整性的操作第三方监督所有操作都有第三方在场监督 32 计算机取证 提取 33 优先提取易消失的证据内存信息 系统进程 网络连接信息 路由信息 临时文件 缓存文件系统数据恢复 隐藏文件 加密文件 系统日志应用系统系统日志 计算机取证 分析及提交 证据在什么地方 日志 删除的文件 临时文件 缓存从证据中能发现什么 如何关联证据 电子取证提交必须与现实取证结合 文档化很重要 34 真题演示 以下对于信息安全事件理解错误的是 a 信息安全事件 是指由于自然或者人为以及软硬件本身缺陷或故障的原因 对信息系统造成危害 或在信息系统内发生对社会造成负面影响的事件b 对信息安全事件进行有效管理和响应 最小化事件所造成的损失和负面影响 是组织信息安全战略的一部分c 应急响应是信息安全事件管理的重要内容d 通过部署信息安全策略并配合部署防护措施 能够对信息及信息系统提供保护 杜绝信息安全事件的发生 35 真题演示 关于信息安全事件管理和应急响应 以下说法错误的是 a 应急响应是指组织为了应对突发 重大信息安全事件的发生所做的准备 以及在事件发生后所采取的措施b 应急响应方法 将应急响应管理过程分为遏制 根除 处置 恢复 报告和跟踪6个阶段c 对信息安全事件的分级主要参考信息系统的重要程度 系统损失和社会影响三方面因素d 根据信息安全事件的分级参考要素 可将信息安全事件划分为4个级别 特别重大事件 级 重大事件 级 较大事件 级 和一般事件 级 36 知识域 信息系统灾难恢复 知识子域 灾难恢复概况了解灾难恢复的历史和背景 进展情况 政策要求和相关标准理解业务连续性管理与灾难恢复相关的基本概念了解灾难恢复组织的一般结构和职责理解组织应依据自身业务特点制定适宜的灾难恢复战略理解编制详细准确的备份策略和恢复步骤文档是成功恢复的基础 理解恢复性测试的重要性 37 灾难恢复的历史和背景 20世纪90年代末期 开始关注数据安全 进行数据的备份 但当时 不论从灾难恢复理论水平 重视程度 从业人员数量质量 还是技术水平方面都还很不成熟 2000年 千年虫 事件引发了国内对于信息系统灾难的第一次集体性关注 38 我国灾难恢复进展情况 各行业用户对信息安全的建设越来越重视投入呈现稳定增长的态势 但 大部分单位还没有有效的灾难恢复策略没有建立统一的业务连续管理机制随着国内信息化建设的不断完善 数据大集中的开展和国家对灾难恢复工作的高度重视 越来越多的单位和部门认识到灾难恢复的重要性和必要性 开展灾难恢复建设的时机已基本成熟一些大型行业已建设或启动灾备中心建设 39 我国国内灾难恢复的国家政策和标准 2003年 国家信息化领导小组关于加强信息安全保障工作的意见 要求 各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复 制定和不断完善信息安全应急处置预案2004年 国信办 关于做好重要信息系统灾难备份工作的通知 强调了 统筹规划 资源共享 平战结合 的灾备工作原则2005年 国务院信息化办公室 重要信息系统灾难恢复指南 2007年 信息安全技术信息系统灾难恢复规范 GB T20988 2007 40 灾难恢复相关基本概念 灾难 disaster 由于人为或自然的原因 造成信息系统严重故障或瘫痪 使信息系统支持的业务功能停顿或服务水平不可接受 达到特定的时间的突发性事件 通常导致信息系统需要切换到灾难备份中心运行 SARS 41 灾难备份 backupfordisasterrecovery 为了灾难恢复而对数据 数据处理系统 网络系统 基础设施 专业技术支持能力和运行管理能力进行备份的过程灾难恢复 disasterrecovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态 并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程 规划和预案 GB T20988 灾难恢复规划 disasterrecoveryplanning 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排 灾难恢复预案 disasterrecoveryplan 定义信息系统灾难恢复过程中所需的任务 行动 数据和资源的文件 用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能 42 BCP和BCM GB T20988 业务连续性规划 BusinessContinuityPlanning BCP 是灾难事件的预防和反应机制 是一系列事先制定的策略和规划 确保单位在面临突发的灾难事件时 关键业务功能能持续运作 有效的发挥作用 以保证业务的正常和连续 业务连续规划不仅仅包括对信息系统的恢复 而且包括关键业务运作 人员及其它重要资源等的恢复和持续业务连续性管理 BusinessContinuityManagement BCM 为保护组织的利益 声誉 品牌和价值创造活动 找出对组织有潜在影响的威胁 提供建设组织有效反应恢复能力的框架的整体管理过程 包括组织在面临灾难时对恢复或连续性的管理 以及为保证业务连续计划或灾难恢复预案的有效性的培训 演练和检查的全部过程 43 RPO RecoveryPointObjective 恢复点目标定义 灾难发生后 系统和数据必须恢复到的时间点要求代表了当灾难发生时允许丢失的数据量RTO RecoveryTimeObjective 恢复时间目标定义 灾难发生后 信息系统和业务功能从停顿到必须恢复的时间要求代表了企业能容忍的信息系统和业务功能恢复的时间 恢复点目标 RPO 恢复时间目标 RTO 恢复点 恢复时间 44 主中心与灾难备份中心 主系统与灾难备份系统 主中心 主站点 生产中心 是指主系统所在的数据中心灾难备份中心 备用站点 是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所 可提供灾难备份系统 备用的基础设施和专业技术支持及运行维护管理能力 此场所内或周边可提供备用的生产设施主系统 生产系统 是指正常情况下支持组织日常运作的信息系统 包括主数据 主数据处理系统和主网络灾难备份系统 是指用于灾难恢复目的 由数据备份系统 备用数据处理系统和备用的网络系统组成的信息系统 45 灾难恢复组织 灾难恢复组织应由管理 业务 技术和行政后勤等人员组成 通常会分为灾难恢复规划领导小组 灾难恢复规划实施组和灾难恢复规划日常运行组等角色可聘请外部专家协助灾难恢复规划工作 也可委托外部机构承担实施组和运行组的部分或全部工作 46 一般的灾难恢复组织结构 灾难恢复战略 合适的数据备份及恢复战略是避免丢失重要数据 有效恢复和满足业务运营需要的保证组织应根据自身的业务性质 数据特点 信息系统规模 业务影响分析的结果 主要是RTO RPO这两个指标 来制定适当的备份及恢复战略比如 实时性业务与非实时性业务的的战略应完全不同备份及恢复战略的不同 将决定组织选择不同的存储技术 备份技术 备用场所 47 备份策略和恢复步骤及测试 备份 备份数据的测试 是恢复的基础应识别所有需要备份的数据项 编制诸如 备份策略和恢复步骤 的文档 分别描述每一备份项的备份策略 详细恢复步骤 测试要求因为不同类型的数据 其特点不同 备份策略和恢复步骤可能完全不同恢复步骤应足够详细 48 真题演练 在制定灾难恢复与应急计划时 下面哪一种情况不是正确的考虑 a 对应急计划测试与维护应当是一个持续过程b 在异地恢复站点恢复系统处理能力时要用到的所有资源与材料应当是可获得的c 所有相对不重要的工作没有必要恢复d 在多个站点的环境下 应当为每一个计算机中心制定一份单独的恢复计划审计涵盖关键业务领域的灾难恢复计划时 IS审计师发现该计划没有包括全部系统 那么 IS审计师最为恰当的处理方式是 a 推迟审计 直到把全部系统纳入DRPb 知会领导 并评估不包含所有系统所带来的影响c 中止审计d 按照现有的计划所涵盖的系统和范围继续审计 直到全部完成 49 真题演练 某公司在执行灾难恢复测试时 信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢 为了找到根本愿因 他应该首先检查 a 灾难恢复站点的错误事件报告b 灾难恢复测试计划c 灾难恢复计划 DRP d 主站点和灾难恢复站点的配置文件 50 知识域 信息系统灾难恢复 知识子域 灾难恢复管理过程掌握灾难恢复管理工作的主要内容掌握灾难恢复规划过程 灾难恢复需求分析 灾难恢复策略制定 灾难恢复策略实现 灾难恢复预案制定和管理理解同城和异地灾难备份中心的优缺点 51 灾难恢复管理工作的主要内容 灾难恢复规划灾难备份中心的日常运行灾难发生后的应急响应关键业务功能在灾难备份中心的恢复和运行主系统的灾后重建灾难恢复的外部协作灾难恢复的审计和备案 52 灾难恢复规划 灾难恢复规划 是一个周而复始的 持续改进的过程 包含以下四个阶段灾难恢复需求分析灾难恢复策略制定灾难恢复策略实现灾难恢复预案的制定和管理 53 灾难恢复规划管理过程 业务影响分析 制定灾难恢复策略 实现灾难恢复策略 灾难恢复预案的制定 落实和管理 分析业务功能和相关资源配置评估中断影响 确定灾难恢复资源获取方式确定对灾难恢复资源的要求 选择和建设灾难备份中心实现灾难备份系统技术方案实现专业技术支持能力实现运行维护管理能力 制定灾难恢复预案教育 培训和演练灾难恢复预案更新维护灾难恢复预案 风险分析 标识资产标识威胁标识脆弱性标识现有控制分析风险 灾难恢复需求分析 灾难恢复策略制定 灾难恢复预案制定和管理 灾难恢复策略实现 确定灾难恢复目标 确定关键业务及恢复优先顺序确定RTO RPO 54 1 灾难恢复需求分析 风险分析业务影响分析 BIA 确定灾难恢复目标 55 恢复时间 明确关键业务功能和支持关键业务功能的关键应用系统明确系统中断对业务的损失和影响明确各业务系统的恢复目标和内外部依赖关系确定各业务功能灾难恢复指标 RTO RPO 明确各业务功能恢复的最小资源需求及恢复策略 业务影响分析 BIA 56 确定灾难恢复目标 57 2 灾难恢复策略制定 数据备份系统备用数据处理系统备用网络系统备用基础设施专业技术支持能力运行维护管理能力灾难恢复预案 恢复要素 策略制定主要内容 58 1 确定所需的灾难恢复资源 2 明确恢复资源的获取方式 3 明确对恢复资源的具体要求 需要具备的灾难恢复能力等级 例如 灾难恢复资源的获取方式 备用基础设施由单位所有或运行多方共建或通过互惠协议获取租用商业化灾难备份中心的基础设施备用数据处理系统事先与厂商签订紧急供货协议事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备 59 例如 确定灾难恢复等级各要素的要求 数据备份系统数据备份的范围数据备份的时间间隔数据备份的技术及介质数据备份线路的速率及相关通信设备的规格和要求备用基础设施与生产中心的距离要求场地和环境 如面积 温度 湿度 防火 电力和工作时间等 要求运行和管理要求 60 3 灾难恢复策略实现 灾难备份中心的选择和建设选址原则基础设施要求灾难备份系统技术方案的实现技术方案的设计 验证 开发 安装和测试专业技术支持能力的实现明确灾难恢复策略的要求建立技术支持组织 定期技能培训运行维护管理能力的实现灾难备份中心应建立各种操作规程和管理制度保证备份的及时性和有效性保证有效的应急响应 处理能力 61 灾难备份中心的选择和建设 选址原则避免灾难备份中心与生产中心同时遭受同类风险具备通信 电力资源和交通条件统筹规划 资源共享 平战结合基础设施要求计算机机房应符合有关国家标准工作辅助设施和生活设施要符合灾难恢复目标的要求 62 灾难备份中心的选择和建设 同城和异地 63 灾难备份系统技术方案的实现 64 三个主要步骤 技术方案的设计 技术方案的验证 确认和系统开发 系统安装和测试典型的灾难备份系统技术方案架构 专业技术支持能力的实现 运行维护管理能力的实现 灾难备份中心应建立相应的技术支持组织 定期对技术支持人员进行技能的教育和培训 以实现专业技术支持能力灾难备份中心应建立各种操作规程和管理制度 以实现运行维护管理能力 65 灾难恢复预案的制定和管理 灾难恢复预案的制定灾难恢复预案的教育 培训和演练灾难恢复预案的管理 66 灾难恢复预案的制定 灾难恢复预案包括的主要内容确定风险场景描述可能受到的业务影响描述使用的预防性策略描述灾难恢复策略识别和排列关键应用系统行动计划团队和人员的职责联络清单所需资源配置 67 灾难恢复预案的制定 制定灾难恢复预案的原则完整性易用性明确性有效性兼容性 68 制定灾难恢复预案的一般流程制定框架起草评审修订测试完善审核和批准 灾难恢复预案的教育 培训和演练 目的 在灾难来临前使相关人员了解灾难恢复的目标和流程 熟悉恢复操作规程教育 在规划初期即开始进行灾难恢复观念的宣传教育培训 评估培训需求 确定培训的频次和范围 开发培训课程 保留培训记录演练 制定演练计划 说明演练场景 记录演练过程 编制演练报告 69 演练与演习的类型 演练和演习的主要方式桌面演练模拟演练实战演练等根据演练和演习的深度 可分为数据级演练应用级演练业务级演练等根据演练和演习的准备情况 可分为计划内的演练和演习计划外的演练和演习等 70 灾难恢复预案的管理 按以下原则保存和分发指派专人负责制作多份拷贝 保存在不同地点分发给参与恢复工作的所有人员每次修订后统一更新所有拷贝按有关规定销毁旧版本为保证预案的有效性在发生各种变化后 及时更新预案在测试 演练 灾难发生后实际执行过预案以后 评估并修订定期评审和修订 71 知识域 信息系统灾难恢复 知识子域 灾难恢复能力掌握国家有关标准对信息系统灾难恢复能力级别的划分理解各恢复能力级别对各类灾难恢复资源要素的指标要求掌握确定组织自身所需灾难恢复能力级别的方法 72 灾难恢复资源要素与恢复能力等级划分 73 专业技术支持能力 运行维护管理能力 第1级 基本支持 74 第2级 备用场地支持 第3级 电子传输和部分设备支持 76 第3级 电子传输和部分设备支持 77 第4级 电子传输及完整设备支持 78 第4级 电子传输及完整设备支持 79 第5级 实时数据传输及完整