CISM0301信息安全管理基础

1、信息信息安全管理安全管理基础基础 中国信息安全测评中心 20140819 1 课程内容课程内容 2 信息信息安全管理安全管理 基础基础 信息信息安全管理概念安全管理概念 信息安全等级保护信息安全等级保护 信息信息安全风险管理安全风险管理 信息信息安全应急响应安全应急响应 信息信息安全灾难恢复安全灾难恢复 知识知识体体：信息安全管理基础：信息安全管理基础 v知识域：信息安全管理概念 了解信息安全管理的概念和内涵 理解信息安全管理和信息安全技术的关系 3 3 信息安全事件分析信息安全事件分析 v 统计结果表明，在所有信息安全事故中，只有20%30%是由 于黑客入侵或其他外部原因造成的，70%80%

2、是由于内部员 工的疏忽或有意泄密造成的。站在较高的层次上来看信息 和网络安全的全貌就会发现安全问题实际上都是人的问题 ，单凭技术是无法实现从“最大威胁”到“最可靠防线” 转变的 v 现实世界里大多数安全事件的发生和安全隐患的存在，与 其说是技术上的原因，不如说是管理不善造成的，理解并 重视管理对于信息安全的关键作用，对于真正实现信息安 全目标来说尤其重要 4 4 信息安全管理的需求信息安全管理的需求 5 v如果你把钥匙落在锁眼上会怎样？ v技术措施需要配合正确的使用才能 发挥作用 保险柜就一定安全吗保险柜就一定安全吗？ 5 6 精心设计的网络 防御体系，因违 规外连形同虚设 防火墙能解决这样的

3、问题吗？ 信息安全管理的需求信息安全管理的需求 6 管理与信息安全管理管理与信息安全管理 v管理 管理者为了达到特定目的而对管理对象进行的计划 、组织、指挥、协调和控制的一系列活动 v信息安全管理 组织中为了完成信息安全目标，遵循安全策略，按 照规定的程序，运用恰当的方法，而进行的规划、 组织、指导、协调和控制等活动 7 规则 组织 人员 信息输入立法摘要 变化？ 关键活动关键活动 测量拥有者 资 源记录标 准 输入输出 生 产经 营 过程 7 目标 信息安全信息安全“技管并重技管并重”的原则的原则 v信息安全的成败取决于两个因素：技 术和管理 v安全技术是信息安全的构筑材料，安 全管理是真正

4、的粘合剂和催化剂 v信息安全管理是预防、阻止或减少信 息安全事件发生的重要保障 v对于信息安全，到底是技术更重要， 还是管理更重要？ “坚持管理与技术并重坚持管理与技术并重”是我国是我国加强信息安全加强信息安全 保障工作的主要原则保障工作的主要原则 8 v技术和产品是基础，管理才是关键。产品和技术，要 通过管理的组织职能才能发挥最佳作用 v适宜的、易于理解、方便操作的安全策略对信息安全 至关重要 v安全技术是信息安全控制的重要手段，许多信息系统 的安全性保障都要依靠技术手段来实现，但要让安全 技术发挥应有的作用，必然要有适当管理程序的支持 ，否则，安全技术只能趋于僵化和失败 v根本上说，信息安

5、全是个管理过程，而不是技术过程 信息安全管理的作用信息安全管理的作用 9 实施信息安全管理的关键成功因素实施信息安全管理的关键成功因素 v制定符合业务目标的信息安全策略。安全策略、 目标和活动应该反映业务目标应该反映业务目标 v实施符合单位文化的信息安全方案 v确保管理层的实质支持和承诺 v理解信息安全要求和风险管理概念 v加强信息安全管理作用和意义的宣传 v提供信息安全培训和教育 v制定信息安全事件管理过程 v建立信息安全测量体系,评估信息安全管理体系的 表现，提供反馈建议供改进 10 知识知识体体：信息安全管理基础：信息安全管理基础 v知识域：信息安全风险管理 理解信息安全风险的含义，理解

6、威胁、脆弱性、影 响和风险等要素含义及相互关系 掌握信息安全风险管理的主要内容和流程 理解风险评估的作用、工作形式和评估方法 1111 信息安全工信息安全工作中的风险管理作中的风险管理 常见问题常见问题问题根源浅析问题根源浅析 安全投资逐年增加，但看不到收益没有根据风险优先级做安全投资规划， 没有抓住主要矛盾，导致有限资金的有 效利用率低 按照国家要求或行业要求开展信息安全 工作，但安全事件仍出现 没有根据企业自身安全需求部署安全控 制措施，没有突出控制高风险。 IT安全需求很多，有限的资金应优先拨 向哪个领域 决策者没有看到安全投资收益报告，资 金划拨无参考依据。 当了CIO，时刻担心系统出

7、事，无法预 见可能会出什么事 没有残余风险清单，在什么条件可被触 发，如何做好控制 12 好的好的风险管理过程可以让机构以最具有成本效风险管理过程可以让机构以最具有成本效 益的方式运行，并且使已知的风险维持在可接受的益的方式运行，并且使已知的风险维持在可接受的 水平水平 什么是信息安全风险什么是信息安全风险 v信息安全风险就是指在信息系统中，信息安全事 件的概率及其结果的组合 v信息安全风险管理指南（GB/Z 24364-2009） 信息安全风险是指“人为或自然的威胁利用信息系 统及其管理体系中存在的脆弱性导致安全事件的发 生及其对组织造成的影响” 13 资产资产 威胁威胁防护措施防护措施脆弱

8、性脆弱性 风险风险 利用利用对抗对抗 导致导致 增加增加减少减少 作用于作用于 安全风险的基本概念安全风险的基本概念资产资产 v资产资产 资产是任何对组织有价值的东西 信息也是一种资产，对组织具有价值 v资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 14 安全风险的基本概念安全风险的基本概念威胁威胁 v威胁威胁 资威胁是可能导致信息安全事故和组织信息资产损 失的环境或事件 威胁是利用脆弱性来造成后果 v威胁举例 黑客入侵和攻击病毒和其他恶意程序 软硬件故障人为误操作 盗窃网络监听 供电故障设置后门 未授权访问自然灾害如：地震、火灾 15 安全风险的基

9、本概念安全风险的基本概念脆弱性脆弱性 v脆弱性脆弱性 是与信息资产有关的弱点或安全隐患 脆弱性本身并不对资产构成危害，但是在一定条件 得到满足时，脆弱性会被威胁加以利用来对信息资 产造成危害 v脆弱性举例 系统漏洞程序Bug 专业人员缺乏不良习惯 缺少审计缺乏安全意识 系统后门 物理环境访问控制措施不当 16 安全风险要素之间的相互安全风险要素之间的相互关系关系 17 为什么要做风险管理为什么要做风险管理 v定义 信息安全风险管理是识别、控制、消除或最小化可 能影响系统资源的不确定因素的过程 v目的 成本与效益平衡 好的风险管理过程可以让机构以最具有成本效益的方式 运行，并且使已知的风险维持在

10、可接受的水平 工作条理化 好的风险管理过程可以使机构用一致的、条理清晰的方 式来组织有限的资源，更好地管理风险 18 信息安全风险管理的内容信息安全风险管理的内容 v 四个阶段，两个贯穿。 19 信息安全风险管理的内容信息安全风险管理的内容 v第一步：背景建立 即根据要保护系统的业务目标和特性，确定风险管 理的范围和对象，明确对象的特性及安全需求 v第二步：风险评估 分析风险和影响、评估风险等级 风险评估是信息安全管理的基础 v第三步：风险处理 依据风险评估的结果，选择和实施合适的安全措施 v第四步：批准监督 对风险评估和风险处理的结果的批准和持续监督 20 风险评估风险评估 v信息安全风险管

11、理要依靠风险评估的结果来确定 随后的风险处理和批准监督活动 风险分析准备：制定风险评估方案、选择评估方 法 风险要素识别：发现系统存在的威胁、脆弱性和 控制措施 风险分析：判断风险发生的可能性和影响的程度 风险结果判定：综合分析结果判定风险等级 21 风险处理过程风险处理过程 22 v规避风险 v转移风险 v降低风险 v接受风险 常用的四类风险处置方法常用的四类风险处置方法 23 规避风险规避风险 v通过改变原有计划来消除风险或风险发生的条件 ，保护目标免受风险的影响 在没有足够安全保障的信息系统中，不处理特别敏 感的信息，从而防止敏感信息的泄漏。 对于只处理内部业务的信息系统，不使用互联网，

12、 从而避免外部的有害入侵和不良攻击。 v通常在风险的损失无法接受，又难以通过控制措 施减低风险的情况下 24 转移风险转移风险 v通过将面临风险的资产或其价值转移到更安全的 地方来避免或降低风险 通常只有当风险不能被降低或避免、且被被转嫁方 接受时才被采用 25 转移风险的具体做法转移风险的具体做法 v在本机构不具备足够的安全保障的技术能力时 ，将信息系统的技术体系外包给满足安全保障 要求的第三方机构，从而避免技术风险 v通过给昂贵的设备上保险，将设备损失的风险 转移给保险公司，从而降低资产价值的损失 26 购买保险 服务外包 降低降低风险风险 v通过采取保护措施来降低风险 通常在安全投入小于

13、负面影响价值的情况下采用 v保护措施 减少威胁源 遏制打击威胁来源 减低威胁能力 部署身份认证措施 减少脆弱性 及时给系统打补丁、关闭无用的网络服务端口 防护资产 设置各种防护措施，保护资产不受侵犯 降低负面影响 采取容灾备份、应急响应等措施 27 接受风险接受风险 v接受风险是选择对风险不采取进一步的处理措施 ，接受风险可能带来的结果 v接受风险意味着经过成本效益评估，允许相关风 险存在，并接受可能带来的损失 v接受风险不意味着不闻不问，需要对风险态势变 化进行持续的监控，一旦发展为无法接受的风险 就要进一步采取措施 28 批准监督和监控审查批准监督和监控审查 v批准监督 批准：决策层依据风

14、险评估和风险处理的结果是否 满足信息系统的安全要求，做出是否认可风险管理 活动的决定 监督：监督检查信息系统以及信息安全相关的环境 有无变化，是否有可能引入新风险 v监控审查 监视和控制风险管理过程，及时发现变化和偏差， 以保证上述四个步骤的过程有效性 跟踪受保护系统自身或所处环境的变化，以保证上 述四个步骤结果的有效性 29 沟通咨询沟通咨询 v通过畅通的交流和充分的沟通，保持行动的协调和 一致 v通过有效的培训和方便的咨询，保证行动者具有足 够的知识和技能 风险管理风险管理 与领导沟通，以得到理解和批准。 单位内部各有关部门相互沟通，以得到理解 和协作。 与支持单位和系统用户沟通，以得到了

15、解和 支持。 为所有层面的相关人员提供咨询和培训等， 以提高人员的安全意识、知识和技能 30 信息安全风险评估工作信息安全风险评估工作 v风险评估重要性 风险评估是信息安全管理机制建立的基础 信息安全需求获取的主要手段就是风险评估 v风险评估工作形式 自评估、检查评估 风险评估应以自评估为主，同时可以和检查评估相 互结合、互为补充 自评估和检查评估可依托自身技术力量进行，也可 委托第三方机构提供技术支持 31 风险评估的工作形式风险评估的工作形式自评估自评估 v自评估 信息系统拥有、运营或使用单位发起的对本单 位信息系统进行的风险评估 v优点 有利于保密 有利于发挥行业和部门内的人员的业务特长

16、 有利于降低风险评估的费用 v缺点 可能缺乏专业技能，结果不够深入准确 可能受内部因素影响，结果客观性易受影响 32 风险评估的工作形式风险评估的工作形式检查评估检查评估 v检查评估 上级管理部门组织的或国家有关职能部门依法开展 的风险评估 v优点： 具权威性 通过行政手段加强信息安全的重要措施 v缺点： 安全保密管理工作难度较大 实际中常常间隔和抽样进行，难于贯穿信息系统的 生命周期 33 风险评估方法风险评估方法 34 方法方法优点优点缺点缺点 定量定量 直观的数据来表述评估的结果， 看起来比较客观 研究结果更科学，更严密 随着组织建立数据的历史记录并 获得经验，其精确度将随时间的 推移而

17、提高 难以确定准确的方法来有效计算资产和 控制措施的价值 取得风险一致意见的过程非常耗时。 计算可能会非常复杂且耗时。 风险结果以财务术语表达，对非技术性 人员而言可能难以解释。 评估成本较大 定性定性 无需精确量化资产价值大小和风 险大小 便于让非信息安全人员参与和达 成一致意见，节约评估过程时长 更便于不是安全或计算机专家的 人员参与 重要风险之间没有显著区别 评估结果取决于风险管理小组人员的主 观判断 对评估者的能力和经验要求较高 半定量半定量 在评估过程中综合使用定性和定量的风险评估技术 可以综合定性和定量风险评估的优点，根据实际情况进行高效实施 提供成本效益最佳的风险评估结果 风险风

18、险评估评估过程过程 35 风险评估准备风险评估准备 36 风险要素识别风险要素识别 37 风险分析风险分析 38 风险分析参考风险分析参考 vGB/T 20984-2007 信息安全风险评估规范 39 风险结果判定风险结果判定 v对风险分析结果进行评价，给出相应的等级划分 40 知识体：信息知识体：信息安全管理基础安全管理基础 v知识域：信息安全等级保护 掌握等级保护的定级要素及级别划分准则 了解等级保护的工作流程 理解等级保护有关的重要国家政策和标准 理解等级保护的管理要求主要内容 41 信息安全等级保护信息安全等级保护 v信息安全等级保护 是保障和促进信息化建设健康发展的一项基本制度 核心

19、是对信息安全分等级、按标准进行建设、管理 和监督 v作用 有助于促进信息化健康发展 有助于维护国家安全、社会秩序和公共利益 v实施 国家主导 重点单位强制，一般单位自愿 高保护级别强制，低保护级别自愿 42 等级保护定级原理等级保护定级原理 v定级要素 等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度 43 受侵害的客体受侵害的客体 对客体的侵害程度对客体的侵害程度 一般损害一般损害严重损害严重损害特别严重损害特别严重损害 公民、法人和其他组织的 合法权益 第一级第二级第二级 社会秩序、公共利益 第二级第三级第四级 国家安全 第三级第四级第五级 等级等级保护的五保护的五级划分级划分 v

20、 信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭 到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组 织的合法权益的危害程度等，由低到高划分为五级 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益造成损害，但不损害国家安全、社会秩序和公共利益 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合 法权益产生严重损害，或者对社会秩序和公共利益造成损害，但 不损害国家安全 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严 重损害，或者对国家安全造成损害 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特 别严重损害，或者对国家安全造成严重损

21、害 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害 44 五级监管五级监管 45 等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度 第一级第一级 一般 系统 合法权益损害自主保护 第二级第二级 合法权益严重损害 指导 社会秩序和公共利益损害 第三级第三级 重要 系统 社会秩序和公共利益严重损害 监督检查 国家安全损害 第四级第四级 社会秩序和公共利益特别严重损害 强制监督检查 国家安全严重损害 第五级第五级 极端 重要 系统 国家安全特别严重损害专门监督检查 等级保护定级流程等级保护定级流程 46 自主自主 定级定级 专家专家 评审评审 备案备案 安全安全 建设建设

22、等级等级 测评测评 监督监督 检查检查 自主定级与审批自主定级与审批 v坚持“自主定级、自主保护”的原则 v信息系统运营使用单位按照等级保护管理办法和 定级指南，自主确定信息系统的安全保护等级 有上级主管部门的，应当经上级主管部门审批 跨省或全国统一联网运行的信息系统可以由其主管 部门统一确定安全保护等级。 47 备案备案 v主管机关 各级公安机关 第二级以上信息系统，由其运营使用单位到所在地 市级以上公安机关办理备案手续 隶属于中央的在京单位，其跨省或者全国统一联网 运行并由主管部门统一定级的信息系统，由主管部 门向公安部办理备案手续 跨省或者全国统一联网运行的信息系统在各地运行 、应用的分

23、支系统，应当向当地市级以上公安机关 备案 48 等级测评等级测评 v安全测评 第三级信息系统应当每年至少进行一次等级测评 第四级信息系统应当每半年至少进行一次等级测评 第五级信息系统应当依据特殊安全需求进行等级测 评 49 监督检查监督检查 v公安机关依据信息安全等级保护管理规范，监督 检查运营使用单位开展等级保护工作，定期对三 级以上的信息系统进行安全检查 对第三级信息系统每年至少检查一次 对第四级信息系统每半年至少检查一次 对第五级信息系统应当由国家指定的专门部门进行 检查 50 信息安全等级保护法规政策体系信息安全等级保护法规政策体系 51 等级保护有关的重要国家等级保护有关的重要国家政

24、策政策 v中华人民共和国计算机信息系统安全保护条例 1994年国务院147号令 第九条 计算机信息系统实行安全等级保护。安全 等级的划分标准和安全等级保护的具体办法，由公 安部会同有关部门制定。 v国家信息化领导小组关于加强信息安全保障工作 的意见 中办发200327号 实行信息安全等级保护，重点保护基础信息网络和 关系国家安全、经济命脉、社会稳定的重要信息系 统 52 等级保护有关的重要国家政策等级保护有关的重要国家政策 v关于信息安全等级保护工作的实施意见 公通字200466号 规定等级保护工作的基本内容、工作要求和实施计 划，以及各部门职责分工等 v信息安全等级保护管理办法 公通字200

25、743号 明确了信息安全等级保护制度的基本内容、流程及 工作要求 规定了信息系统运营使用单位和主管部门、监管部 门在信息安全等级保护工作中的职责、任务 53 信息安全等级保护信息安全等级保护标准体系标准体系 54 信息安全等级信息安全等级保护主要标准保护主要标准 计算机信息系统安全保护等级划分准则 GB 17859-1999，是强制性国家标准 是等级保护其他各项标准制订的基础 信息系统安全等级保护实施指南 GB/T 25058-2010 在系统建设、运维和废止等各个生命周期阶段如何按照信息安全 等级保护政策、标准要求工作 信息系统安全等级保护定级指南 GB/T 22240-2008 规定了定级

26、的依据、对象、流程和方法，以及等级变更等内容 55 信息安全等级保护主要标准信息安全等级保护主要标准 信息系统安全等级保护基本要求 GB/T 22239-2008 提出各级信息系统应当具备的安全防护能力要求 从技术和管理两个方面提出了相应措施 信息系统安全等级保护测评要求 GB/T 28448-2012 等级测评的原则、内容、强度、单元测评、整体测评、测评结论等内容 信息系统安全等级保护测评过程指南 GB/T 28449-2012 规定了信息系统等级测评的过程，包括测评准备、方案编制、现场测评、 分析与报告编制等各个活动的工作任务、分析方法和工作结果等 56 基本要求基本要求GB/T 2223

27、9-2008GB/T 22239-2008 57 技术要求 数据安全及备份恢复 应用安全 主机安全 网络安全 物理安全 管理要求 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 基本要求的组织方式基本要求的组织方式 58 某级系统某级系统 类类 技术要求技术要求管理要求管理要求 基本要求基本要求 类类 控制点控制点 具体要求具体要求 控制点控制点 具体要求具体要求 安全要求类层面一级二级三级四级 技术要求物理安全7101010 网络安全3677 主机安全4679 应用安全47911 数据安全及备份恢复2333 管理要求安全管理制度2333 安全管理机构4555 人员安全管

28、理4555 系统建设管理991111 系统运维管理9121313 合计/48667377 基本要求基本要求GB/T 22239-2008GB/T 22239-2008 59 v知识域：信息安全应急响应 了解应急响应的有关概念、发展过程和特点 了解我国应急响应有关标准 了解信息安全事件分类的方法 理解信息安全事件分级要素和各级别含义 了解应急响应组织工作的主要内容 60 知知识体识体：信息：信息安全管理基础安全管理基础 背景及发展背景及发展 v信息安全应急响应 一个组织为了应对各种安全意外事件的发生所采取 的防范措施 既包括预防性措施，也包括事件发生后的应对措施 v应急响应工作起因 1988年1

29、1月，莫里斯蠕虫事件 v美国计算机应急处理暨协调中心 Computer Emergency Response Team/Coordination Center CERT/CC 61 国际信息安全应急响应组织国际信息安全应急响应组织 美国计算机紧急事件响应小组协调中心 （Computer Emergency Response Team/Coordination Center, CERT/CC） 事件响应与安全组织论坛（Forum of Incident Response and Security Teams, FIRST） 亚太地区计算机应急响应组（Asia Pacific Computer E

30、mergency Response Team, APCERT） 欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association, TERENA) 62 我国信息安全应急响应组织我国信息安全应急响应组织 63 国家计算机网络应急技术处理协调中心 （National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC） 中国教育和科研计算机网紧急响应组(China Education

31、and Research Network Computer Emergency Response Team, CCERT) 国家计算机病毒应急处理中心 国家计算机网络入侵防范中心 政策要求政策要求 64 关于加强信息安全保障工作的意见（中办发 200327号文）指出：“信息安全保障工作的 要点在于，实行信息安全等级保护制度，建设基 于密码技术的网络信任体系，建设信息安全监控 体系，重视信息安全应急处理工作重视信息安全应急处理工作，推动信息安 全技术研发与产业发展，建设信息安全法制与标 准” 国家信息安全战略的近期目标：通过五年的努力 ，基本建成国家信息安全保障体系 我国相关标准我国相关标准 v

32、GB/T 24364-2009 信息安全技术信息安全应急响应计划规范 vGB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 vGB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 vGB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 65 应急响应作用和特点应急响应作用和特点 v应急响应的作用 未雨绸缪 亡羊补牢 v应急响应的特点 技术专业性强 知识经验要求高 突发性强 广泛协调与合作 66 我国信息安全事件分类方法我国信息安全事件分类方法 vGB/Z 20986-2007信息安全事件分级分类指南 有害程序事件 网络攻击事件 信息破坏事件

33、 信息内容安全事件 设备设施故障 灾害性事件 其他信息安全事件 67 我国信息安全事件我国信息安全事件分级分级要素要素 信息系统所承载的业务对国家安全、经济 建设、社会生活的重要性，以及业务对信 息系统的依赖程度 信息系统的 重要程度 由于信息安全事件对信息系统的软硬件、 功能及数据的破坏，导致系统业务中断， 从而给事发单位和国家所造成的损失 系统损失 信息安全事件对社会所造成影响的范围和 程度，其大小主要考虑国家安全、社会秩 序、经济建设和公众利益等方面的影响 社会影响 68 我国信息安全事件分级方法我国信息安全事件分级方法 I级特别重大事件 能够导致特别严重影响 或破坏的信息安全事件， 包

34、括： 会使特别重要信息系统遭受特别 严重的系统损失 产生特别重大的社会影响 II级重大事件 能够导致严重影响或破 坏的信息安全事件，包 括： 会使特别重要信息系统遭受严重 的系统损失、或使重要信息系统 遭受特别严重的系统损失 产生重大的社会影响 III级较大事件 能够导致严重影响或破 坏的信息安全事件，包 括： 会使特别重要信息系统遭受较大 的系统损失、或使重要信息系统 遭受严重的系统损失，一般信息 系统遭受特别严重的系统损失 产生较大的社会影响 IV级一般事件 不满足以上条件的信息 安全事件，包括： 会使特别重要信息系统遭受较小 的系统损失、或使重要信息系统 遭受较大的系统损失，一般信息 系

35、统遭受严重或严重以下级别的 系统损失 产生一般的社会影响 69 应急响应六阶段应急响应六阶段 70 准备准备 阶段阶段 检测检测 阶段阶段 抑制抑制 阶段阶段 根除根除 阶段阶段 恢复恢复 阶段阶段 总结总结 阶段阶段 做好准备做好准备严阵严阵 以待以待 检测采集检测采集 综合判断综合判断 控制事件控制事件 避免扩大避免扩大 找出根源找出根源 彻底清除彻底清除 补救补救修复修复 恢复系统恢复系统 总结教训总结教训 积累经验积累经验 应急响应组织工作应急响应组织工作 v成立组织机构 领导小组 技术保障小组 专家小组 实施小组 日常运行小组 71 各单位各单位应当根据信息系统的重要性，建应当根据信

36、息系统的重要性，建 立自己的应急响应组！立自己的应急响应组！ 应急响应工作机构图示例应急响应工作机构图示例 72 信息安全应急响应预案信息安全应急响应预案 v应急响应预案 在突发/重大信息安全事件后对包括计算机运行在 内的业务运行进行维持或恢复的策略和规程 v信息安全应急响应预案的制定是一个周而复始、 持续改进的过程，包含以下几个阶段： 应急响应需求分析和应急响应策略的确定 编制应急响应计划文档 应急响应计划的测试、培训、演练和维护 73 应急响应应急响应预案分类预案分类 v应急响应预案 综合预案 专项预案 现场处置方案 74 应急响应流程应急响应流程呼叫树呼叫树示例示例 75 v知识域：信息

37、安全灾难恢复 理解灾难恢复的概念和含义 理解恢复时间目标（RTO）和恢复点目标（RPO ）等术语含义 了解我国灾难恢复有关标准 掌握灾难恢复能力等级划分情况 理解异地灾备、系统级灾备、完全备份等有关 策略含义和特点 76 知知识体：信息安全管理基础识体：信息安全管理基础 什么是灾难什么是灾难 v 灾难disaster 信息安全技术信息系统灾难恢复规范（ GB/T 209882007） 由于人为或自然的原因 ，造成信息系统严重故障或瘫痪，使信息系统 支持的业务功能停顿或服务水平不可接受、达 到特定的时间的突发性事件。通常导致信息系 统需要切换到灾难备份中心运行。 v *典型的灾难事件包括： 自然

38、灾害，如火灾、洪水、地震、飓风、龙卷 风、台风等，还有技术风险和提供给业务运营 所需服务的中断，如设备故障、软件错误、通 讯网络中断和电力故障等等；此外，人为的因 素往往也会酿成大祸，如操作员错误、植入有 害代码和恐怖袭击。 人员误操作人员误操作 77 业务持续性的重要性业务持续性的重要性 “在经历过灾难的企业中，在经历过灾难的企业中，每每5 5家家中有中有2 2家家在在5 5年内年内会完会完 全退出市场。当且仅当企业在灾难前或灾难后采取了全退出市场。当且仅当企业在灾难前或灾难后采取了 必要的措施后，企业可以改变这种状况。业务持续性必要的措施后，企业可以改变这种状况。业务持续性 计划和灾难恢复

39、计划服务将确保计划和灾难恢复计划服务将确保持续持续的的生存性生存性” Gartner, Gartner, Disaster Recovery Plans and Systems Disaster Recovery Plans and Systems Are EssentialAre Essential, by Roberta Witty, Donna Scott, , by Roberta Witty, Donna Scott, 12 September 2001.12 September 2001. 所有公司中，所有公司中，50 - 60% 50 - 60% 没有可以用于工作的灾难没有可以用

40、于工作的灾难 恢复计划恢复计划 7878 我国国内灾难恢复的发展概况我国国内灾难恢复的发展概况 v20世纪90年代末期，一些单位在信息化建设的同时 ，开始关注对数据安全的保护，进行数据的备份， 但当时，不论从灾难恢复理论水平，重视程度，从 业人员数量质量，还是技术水平方面都还很不成熟 v2000年，“千年虫”事件引发了国内对于信息系统 灾难的第一次集体性关注，但“9.11”事件所引起 的震动真正地引起了大家对灾难恢复的关注 79 我国国内灾难恢复的国家政策和标准我国国内灾难恢复的国家政策和标准 v2003年，国家信息化领导小组关于加强信息安 全保障工作的意见，要求：各基础信息网络和 重要信息系统建设要充分考虑抗毁性与灾难恢复 ，制定和不断完善信息安全应急处置预案 v2004年，国信