应急响应与灾难恢复

2024/1/13计算机系统平安原理与技术1第8章应急响应与灾难恢复2024/1/13计算机系统平安原理与技术2本章主要内容应急响应与灾难恢复的重要性应急响应概述容灾备份和恢复网站备份与恢复系统实例计算机取证技术入侵追踪2024/1/13计算机系统平安原理与技术38.1应急响应与灾难恢复的重要性

平安事件影响的严重性平安漏洞的普遍性恶意代码的流行性入侵检测能力的局限性网络和系统管理的复杂性2024/1/13计算机系统平安原理与技术48.2应急响应

8.2.1应急响应8.2.2应急响应体系2024/1/13计算机系统平安原理与技术58.2.1应急响应的概念“应急响应〞对应的英文是“IncidentResponse〞或“EmergencyResponse〞等，通常是指一个组织为了应对各种平安事件的发生所做的准备以及在事件发生后所采取的措施。这里所谓的“平安事件〞可以定义为破坏信息或信息处理系统的行为。2024/1/13计算机系统平安原理与技术6“平安事件〞可以定义为破坏信息或信息处理系统的行为：破坏保密性的平安事件破坏完整性的平安事件破坏可用性的平安事件扫描抵赖垃圾邮件骚扰传播色情信息愚弄和欺诈2024/1/13计算机系统平安原理与技术78.2.2应急响应体系研究2024/1/13计算机系统平安原理与技术88.3容灾备份和恢复

8.3.1容难备份与恢复的根本概念8.3.2容灾备份的关键技术2024/1/13计算机系统平安原理与技术98.3.1容难备份与恢复的根本概念为什么需要容灾备份？容灾备份/关键系统和关键数据的重新运营容灾备份系统的种类/数据容灾、应用容灾容灾备份系统组成数据备份、备份数据处理系统、备份通讯网络、灾难恢复方案容灾备份系统的等级0没有备援中心1本地磁带备份2异地热备份点3活动备份中心衡量容灾备份的两个技术指标数据恢复程度、恢复时间2024/1/13计算机系统平安原理与技术108.3.2容灾备份的关键技术SAN或NAS技术NAS网络存储，基于IP网络提供文件级效劳SAN存储区域网络，基于光纤连接大型设备远程镜像技术通过网络实现的数据镜像〔备份〕技术快照技术先用镜像把数据备份的远程数据库中，再用快照把远程系统中的信息备份到远程的磁带与光盘中互连技术基于IP和SAN的数据备份2024/1/13计算机系统平安原理与技术118.4网站备份与恢复系统实例

8.4.1系统工作原理与总体结构8.4.2系统主要功能8.4.3系统采用的关键技术〔略〕2024/1/13计算机系统平安原理与技术128.5.1什么是计算机取证计算机取证就是采用可靠的技术手段对计算机犯罪的证据进行获取、保存、分析和出示实质上是一个详细扫描计算机系统以及重建入侵事件的过程计算机取证包括物理证据获取和信息发现两个阶段物理证据获取是指调查人员来到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件；信息发现是指从原始数据(包括文件，日志等)中寻找计算机犯罪的证据。

8.5计算机取证技术

2024/1/13计算机系统平安原理与技术13取证关键技术和相关工具存储介质的平安无损备份技术已删除文件的恢复技术slack磁盘空间、未分配空间，交换文件和空闲空间中所包含信息的开掘技术日志反去除技术日志分析技术取证数据传输平安技术取证数据的完整性检测技术网络数据报文截获和分析技术2024/1/13计算机系统平安原理与技术148.5.3当前计算机取证软件的原理和实现以UNIX为例——根本的文件系统理论和元数据的知识(不针对任何特定的实现)。2024/1/13计算机系统平安原理与技术15计算机取证软件实例

缺省取证程序Grave-Robber数据恢复和阅读工具Unrm&lazarus获取文件MAC时间的工具Mactime其他小工具2024/1/13计算机系统平安原理与技术168.5.4当前计算机取证技术的局限和反取证技术反取证就是删除或者隐藏证据使取证调查无效。现在的反取证技术可以分为3类：数据擦除、数据隐藏和数据加密。这些技术还可以结合起来使用，让取证工作的效果大打折扣。

2024/1/13计算机系统平安原理与技术178.5.5计算机取证的开展趋势取证工具的专业化和自动化融合其他理论和技术取证的工具和过程标准化2024/1/13计算机系统平安原理与技术188.6入侵追踪

8.6.1IP地址追踪8.6.2攻击源追踪8.6.3报文标记追踪技术2024/1/13计算机系统平安原理与技术198.6.1IP地址追踪netstat命令日志数据捕获原始数据报文搜索引擎2024/1/13计算机系统平安原理与技术208.6.2攻击源追踪入口过滤(IngressFiltering)链路测试(LinkTesting)日志记载(Logging)ICMP追踪方法报文标记(PacketMarking)追踪2024/1/13计算机系统平安原理与技术218.6.3报文标记追踪技术压缩边采样概率报文标注算法应用代数方法的概率报文标注算法问题与展望2024/1/13计算机系统平安原理与技术22思考与练习

8.1谈谈应急响应与灾难恢复在PDR2平安模型中的重要地位和作用。8.2什么是应急响应，国外国内有哪些应急响应组织？8.3谈谈一个完善的应急响应系统的结构和主要内容。8.4谈谈一个完备的容灾备份系统的组成。8.5目前有哪些容灾备份技术，比较它们的优缺点。8.6网站备份与恢复系统涉及的关键技术有哪些？2024/1/13计算机系统平安原理与技术238.7什么是计算机取证？取证的数据来自于哪些地方？取证涉及哪些关键技术？8.8查找资料，了解当前的取证产品有哪几类？分别具有何功能？8.9登陆上海金诺