应急响应备份与灾难恢复技术课件

1、第1页，共25页。事件响应事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。第2页，共25页。什么是应急响应应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。应急响应服务是解决网络系统安全问题的有效安全服务手段之一。第3页，共25页。为什么需要应急响应保护网络信息系统的安全大量的安全漏洞存在攻击系统和网络的程序存在实际的和潜在的财务损失不利的媒体曝光威胁（声誉的损失)对效率的需求当前入侵检测能力的局限性法

2、律方面的考虑第4页，共25页。应急响应的目的 应急响应的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。定位并排除系统故障提高对网络黑客攻击的抵御和防范的规范程度预防重大事件的发生 提高组织对系统安全事件的快速反应和恢复能力网络系统的性能优化提供整体网络运行的健康以及趋势分析第5页，共25页。应急响应的过程响应前的准备工作工作流程报警方法备份体系安全培训识别和发现各种安全的紧急事件检测设备报警Agent把事件影响降到最小阻断缓解封堵隔离真正解决问题如：清除病毒、修补漏洞数据和系统被破坏情况下，进行恢复回顾并整合安全事件的相关信息第6页，共25页。应急响应的过程准备

3、基于威胁建立一组合理的防御/控制措施建立一组尽可能高效的事件处理程序准备处理问题必须的资源和人员建立一个支持事件响应活动的基础设施第7页，共25页。应急响应的过程检测确定事件是已经发生了还是在进行当中。初步动作和响应选择检测工具，分析异常现象激活审计功能迅速备份完整系统记录所发生事件估计安全事件的范围第8页，共25页。应急响应的过程抑制限制攻击的范围，同时限制了潜在的损失和破坏。抑制策略完全关闭所有系统；将网络断开；修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的所有的流量；封锁或删除被攻击的登录账号；提高系统或网络行为的监控级别；设置诱饵服务器作为陷阱；关闭被利用的服务；反

4、击攻击者的系统等。第9页，共25页。应急响应的过程根除安全事件被抑制后，找出事件根源并彻底根除，从而根除了影响的进一步扩大。确定事件的起因和症状增强防御技术进行漏洞分析删除事件的源头查找最近的干净备份第10页，共25页。应急响应的过程恢复把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。决定恢复操作的时间修复系统、网络或数据使整个系统运行正常监控系统第11页，共25页。应急响应的过程跟踪回顾事件处理过程，拟定一份事件记录和跟踪报告总结经验教训为管理或法律目的收集损失统计信息建立或补充自己的应急事件库第12页，共25页。应急响应服务形式远程应急响应服务本地应急响应服务服务

5、的指标时间第13页，共25页。应急处理内容恶性病毒爆发严重漏洞发布，可能在短期内出现蠕虫确认病毒已经开始广泛传播和攻击大多数主机工作异常，网络通讯出现异常多数主机的防毒系统有报警，但是无法清除病毒拒绝服务攻击互联网出口缓慢公开提供服务的服务器访问缓慢网络流量出现不可解释的异常增加服务器入侵页面被非法篡改，或者出现非法文件数据异常丢失机密数据有被泄漏的证据出现非法登陆或者日志被删改的情况第14页，共25页。事件分级与处理方式事件级别级别定义严重客户的重要业务系统因为安全原因中断，数据被破坏或被窃取。普通用户的重要业务因为安全原因运行出现异常，降低了运行效率或出现错误。轻微用户网络或者业务运行中出

6、现故障，需要解决，但不影响主要业务的正常运行。事件级别处理方式严重提供现场支持，如果因为时间特别紧张，在条件允许的情况下，可以提前开始远程登陆支持。普通在条件允许的情况下，通过远程登陆解决或者指导用户解决问题。如果超过事件处理升级时限，则需要进行现场支持。轻微一般通过电话或者E-mail方式远程支持第15页，共25页。数据备份与灾难恢复第16页，共25页。备份与恢复技术备份与恢复是一种数据安全策略，通过备份软件把数据备份到磁带上，在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。理想的备份系统是全方位、多层次的。数据备份与恢复技术通常会涉及到以下几个方面：存

7、储设备：磁盘阵列、磁带、光盘、SAN设备 存储优化：DAS(直接连接存储)、NAS(网络连接存储)、 SAN(存储区域网络)存储保护：磁盘阵列、双机容错、集群、备份与恢复 存储管理：文件与卷管理、复制、SAN管理 第17页，共25页。备份方式硬件备份：用冗余的硬件来保证系统的连续运行。比如磁盘镜像、磁盘阵列、双机容错等方式。 磁盘镜像（Mirroring）：可以防止单个硬盘的物理损坏，但无法防止逻辑损坏。磁盘阵列（Disk Array）：磁盘阵列一般采用RAID5技术，可以防止多个硬盘的物理损坏，但无法防止逻辑损坏。双机容错：SFTIII、Standby、Cluster都属于双机容错的范畴。双

8、机容错可以防止单台计算机的物理损坏，但无法防止逻辑损坏。 第18页，共25页。备份方式软件备份：是指将系统数据保存到其他介质上，当出现错误时可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的，所以称为软件备份。第19页，共25页。数据备份策略完全备份：每次备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间；增量备份：备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份；差分备份：备份自上一次全备份以来更新的所有数据，其优缺点介于上两者之间。第20页，共25页。数据备份一般规则对于操作系统和应用程序代码

9、，可在每次系统更新或安装新软件和做一次完全备份；对于一些日常数据更新量大，但总体数据量不是非常大的关键应用数据，可每天在用户使用量较小的时候安排完全备份；对于日常更新量相对于总体数据量较小，而总体数据量非常大的关键应用数据，可每隔一个月或一周安排一次全备份，再此基础上，每隔一个较短的时间间隔做增量备份。第21页，共25页。数据备份场所具备与主中心相似的网络和通信设置 具备业务应用运行的基本系统配置 具备稳定、高效的电信通路连接中心，例如光纤、E3/T3、ATM，确保数据的实时备份 具备日常维护条件 与主中心相距足够安全的距离 第22页，共25页。灾难恢复数据库受到破坏 采用完全备份或完全备份/增量备份结合的恢复。由于数据库留有归档日志文件和联机日志文件，一旦所有数据库文件恢复，即可通过日志重做恢复所有记录。文件系统受到破坏 可简单地使用文件系统的备份介质进行文件系统恢复。操作系统破坏 建议