業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃

內(nèi)部資料ISSUE1.0業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃

內(nèi)部資料ISSUE1.0第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page1第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page11.概述（1/3）業(yè)務(wù)連續(xù)性計(jì)劃BCP（BusinessContinuityPlanning

）：是一種策略規(guī)劃，當(dāng)災(zāi)難發(fā)生時(shí)致使企業(yè)主要業(yè)務(wù)或服務(wù)中斷時(shí)，業(yè)務(wù)連續(xù)性計(jì)劃可確保迅速恢復(fù)主要業(yè)務(wù)的正常與持續(xù)運(yùn)作。業(yè)務(wù)連續(xù)性計(jì)劃不僅包含計(jì)算機(jī)系統(tǒng)的恢復(fù)計(jì)劃、還包括關(guān)鍵業(yè)務(wù)的持續(xù)運(yùn)作計(jì)劃，如恢復(fù)組織、人力資源、對(duì)外溝通等。災(zāi)難恢復(fù)計(jì)劃DRP(DisasterRecoveryPlanning)：是對(duì)企業(yè)的信息系統(tǒng)進(jìn)行相應(yīng)的沖擊分析及風(fēng)險(xiǎn)分析并將其量化，以確定IT系統(tǒng)面對(duì)災(zāi)難事故時(shí)的預(yù)防和恢復(fù)策略，開發(fā)并制定相應(yīng)的IT系統(tǒng)恢復(fù)計(jì)劃、管理方法和流程，以減輕災(zāi)難對(duì)于企業(yè)IT系統(tǒng)的不利影響。Page21.概述（1/3）業(yè)務(wù)連續(xù)性計(jì)劃BCP（Busines1.概述(2/3)

BCP和DR包含：準(zhǔn)備、測(cè)試和對(duì)于關(guān)鍵業(yè)務(wù)保護(hù)以及網(wǎng)絡(luò)服務(wù)失效的更新行為。必須理解當(dāng)主要業(yè)務(wù)操作規(guī)程再以外事件造成中斷時(shí)所采取的保護(hù)行為。Page31.概述(2/3)BCP和DR包含：準(zhǔn)備、測(cè)試和對(duì)于關(guān)1.概述(3/3)BCP過(guò)程包含： 計(jì)劃和范圍的初始化； 業(yè)務(wù)影響分析； 業(yè)務(wù)可持續(xù)計(jì)劃開發(fā)；DRP過(guò)程包含：災(zāi)難恢復(fù)計(jì)劃步驟； 測(cè)試災(zāi)難恢復(fù)計(jì)劃； 災(zāi)難恢復(fù)計(jì)劃程序；兩者的主要區(qū)別：

BCP強(qiáng)調(diào)使關(guān)鍵業(yè)務(wù)經(jīng)得起不同的意外事件的影響DRP強(qiáng)調(diào)對(duì)于災(zāi)難的預(yù)防措施，以及在災(zāi)難發(fā)生時(shí)和災(zāi)難發(fā)生之后所應(yīng)采取的行為和措施Page41.概述(3/3)BCP過(guò)程包含：Page4第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page5第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page52、業(yè)務(wù)可持續(xù)計(jì)劃

BusinessContinuityPlanning業(yè)務(wù)可持續(xù)計(jì)劃是為了防止正常業(yè)務(wù)行為的中斷而被建立的計(jì)劃。當(dāng)面對(duì)由于自然或人為造成的故障或?yàn)?zāi)難以及由此造成的財(cái)產(chǎn)損和正常業(yè)務(wù)不能正常使用時(shí)，BCP主要被設(shè)計(jì)用來(lái)保護(hù)關(guān)鍵業(yè)務(wù)步驟。BCP是最小化對(duì)于業(yè)務(wù)的干擾效果和使業(yè)務(wù)能恢復(fù)正常運(yùn)行的計(jì)劃。BCP的目標(biāo)是：最小化業(yè)務(wù)中斷事件對(duì)公司造成的影響。BCP的主要目標(biāo)：減小財(cái)產(chǎn)損失風(fēng)險(xiǎn)和增強(qiáng)公司對(duì)于意外事件造成的業(yè)務(wù)中斷的恢復(fù)能力。BCP的作用：BCP將幫助企業(yè)最小化由于意外事件造成的損失成本和減輕相關(guān)的風(fēng)險(xiǎn)。Page62、業(yè)務(wù)可持續(xù)計(jì)劃

BusinessContinuityBCP應(yīng)當(dāng)檢查企業(yè)所有關(guān)鍵信息處理步驟例如：本地和廣域網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)；遠(yuǎn)程通訊和數(shù)據(jù)通訊鏈路；工作站和工作空間；應(yīng)用、軟件和數(shù)據(jù)；存儲(chǔ)媒體和信息記錄存放場(chǎng)地；員工職責(zé)和生產(chǎn)過(guò)程；BCP和DRP處理的優(yōu)先級(jí)別：BCP和DRP的優(yōu)先考慮的因素是：人

Page7BCP應(yīng)當(dāng)檢查企業(yè)所有關(guān)鍵信息處理步驟例如：Page7造成業(yè)務(wù)中斷的事件大部分會(huì)造成業(yè)務(wù)中斷的事件，在物理安全域中文檔都作了詳細(xì)的描述。這里我們主要考慮的是這樣的事件：不是由于自然災(zāi)難造成的就是由于人為破壞所造成的，事件發(fā)生的實(shí)質(zhì)是對(duì)企業(yè)業(yè)務(wù)的持續(xù)造成現(xiàn)實(shí)的威脅。所有的事件都是已經(jīng)發(fā)生，且不能象運(yùn)行安全中討論的采取任何預(yù)防性的控制手段來(lái)控制。業(yè)務(wù)持續(xù)計(jì)劃被設(shè)計(jì)來(lái)最小化上述破壞事件造成的損失，同時(shí)便于迅速的完全恢復(fù)組織的業(yè)務(wù)運(yùn)作能力。Page8造成業(yè)務(wù)中斷的事件大部分會(huì)造成業(yè)務(wù)中斷的事件，在物理安全域中造成業(yè)務(wù)中斷的事件的簡(jiǎn)單列表自然因素造成對(duì)業(yè)務(wù)持續(xù)有破壞作用的事件：火災(zāi)、爆炸、危險(xiǎn)物質(zhì)泄漏、生化毒素的威脅；地震、風(fēng)暴、洪水、自然因素造成的火災(zāi)；電力系統(tǒng)電力供應(yīng)中斷或其它的系統(tǒng)功能失效；人為因素造成對(duì)業(yè)務(wù)持續(xù)有破壞作用的事件：轟炸、蓄意人為破壞、其它有目的的攻擊；罷工、怠工；由于操作人員撤離危險(xiǎn)環(huán)境造成的功能失效，或其它自然或人為造成的功能失效的情況；通信基礎(chǔ)不可用或者與測(cè)試相關(guān)的過(guò)載（包括大部分的管理控制功能失效）Page9造成業(yè)務(wù)中斷的事件的簡(jiǎn)單列表自然因素造成對(duì)業(yè)務(wù)持續(xù)有破壞作用BCP的四個(gè)主要元素范圍和計(jì)劃的初始化；

這個(gè)階段標(biāo)志著BCP過(guò)程的開始，它必須限定計(jì)劃的范圍和計(jì)劃涉及的各項(xiàng)線定因素。業(yè)務(wù)影響分析(BIA–BusinessImpactAssessment)；被用來(lái)幫助各業(yè)務(wù)單元理解緊急事件對(duì)于業(yè)務(wù)造成的影響，這個(gè)階段還包含漏洞分析。業(yè)務(wù)持續(xù)計(jì)劃發(fā)展；利用BIA信息來(lái)發(fā)展業(yè)務(wù)持續(xù)計(jì)劃，這個(gè)過(guò)程包括計(jì)劃執(zhí)行、計(jì)劃測(cè)試、計(jì)劃運(yùn)行當(dāng)中的維護(hù)。業(yè)務(wù)持續(xù)計(jì)劃的批準(zhǔn)和執(zhí)行；這個(gè)階段包括最終由企業(yè)的最高管理者簽署，建立全企業(yè)對(duì)于BCP意識(shí)，執(zhí)行根據(jù)變化更新處理步驟的計(jì)劃維護(hù)工作。Page10BCP的四個(gè)主要元素范圍和計(jì)劃的初始化；Page10業(yè)務(wù)影響分析目的：BIA目的是建立用來(lái)幫助理解對(duì)業(yè)務(wù)持續(xù)運(yùn)行有影響的各種意外事件。影響可能是資金方面的（需要量化），操作方面的（需要定性），漏洞分析也常常是BIA的一部分。目標(biāo)：危險(xiǎn)程度分類每個(gè)關(guān)鍵的業(yè)務(wù)運(yùn)行單元都需要被標(biāo)記和賦予一個(gè)優(yōu)先權(quán)，并且對(duì)會(huì)造成影響的事件作一個(gè)評(píng)價(jià)?！皶r(shí)效是優(yōu)先處理要考慮的因素”停工期評(píng)估–BIA被用來(lái)評(píng)價(jià)企業(yè)業(yè)務(wù)運(yùn)行所能容且維持公司可生存的最大停工時(shí)間(MTD-MaximumTolerableTime)，在企業(yè)所有業(yè)務(wù)沒有恢復(fù)的情況下,多長(zhǎng)的時(shí)期是企業(yè)關(guān)鍵業(yè)務(wù)所能停頓的。通過(guò)BIA可以發(fā)現(xiàn)，時(shí)間不象我們?cè)O(shè)想的那么長(zhǎng)。業(yè)務(wù)需求--關(guān)鍵業(yè)務(wù)所需要的資源，在BIA階段也必須被標(biāo)示。對(duì)于時(shí)間敏感的關(guān)鍵業(yè)務(wù)，將被分配更多的資源。Page11業(yè)務(wù)影響分析目的：BIA目的是建立用來(lái)幫助理BIA的四個(gè)主要步驟（一）收集相關(guān)的分析資料（二）執(zhí)行漏洞分析（三）匯總、分析信息（四）將總結(jié)寫成文檔，并且提出建議Page12BIA的四個(gè)主要步驟（一）收集相關(guān)的分析資料Page12業(yè)務(wù)持續(xù)計(jì)劃的發(fā)展業(yè)務(wù)持續(xù)計(jì)劃的發(fā)展引用BIA階段收集的信息來(lái)建立恢復(fù)戰(zhàn)略計(jì)劃以達(dá)到支持關(guān)鍵業(yè)務(wù)功能的目的。我們使用BIA收集的信息描述出業(yè)務(wù)持續(xù)計(jì)劃的戰(zhàn)略。這個(gè)階段包含兩個(gè)主要步驟：定義業(yè)務(wù)持續(xù)戰(zhàn)略；文檔化業(yè)務(wù)持續(xù)戰(zhàn)略；定義業(yè)務(wù)持續(xù)戰(zhàn)略為了定義BCP戰(zhàn)略，從BIA收集的信息用來(lái)為企業(yè)建立持續(xù)戰(zhàn)略。這是個(gè)非常大的任務(wù)，許多企業(yè)元素必須被包含在持續(xù)戰(zhàn)略。例如： 計(jì)算：戰(zhàn)略需要保護(hù)的硬件、軟件、通訊線路、應(yīng)用和數(shù)據(jù)； 設(shè)備：戰(zhàn)略需要強(qiáng)調(diào)的建筑物，計(jì)算機(jī)和遠(yuǎn)程的設(shè)備； 人員:操作員，管理人員，技術(shù)支持人員將在持續(xù)戰(zhàn)略中定義不同的角色； 補(bǔ)給和裝備：文件、forms，HVAC,指定的安全設(shè)備必需在持續(xù)被定義用途；文檔化持續(xù)戰(zhàn)略文檔化持續(xù)戰(zhàn)略簡(jiǎn)單的引用在持續(xù)戰(zhàn)略定義階段的文檔結(jié)果。Page13業(yè)務(wù)持續(xù)計(jì)劃的發(fā)展業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行在最后的階段BCP被執(zhí)行。計(jì)劃必需存在執(zhí)行的“路標(biāo)”。執(zhí)行在這列不僅僅是指執(zhí)行一個(gè)災(zāi)難假想和測(cè)試計(jì)劃，并且計(jì)劃執(zhí)行還引用下面的步驟：1、被最高管理人員批準(zhǔn)； 明確高級(jí)管理人員的職責(zé)，（對(duì)于計(jì)劃負(fù)有全部的責(zé)任），為什么由他批準(zhǔn)？（監(jiān)督、執(zhí)行、決定）2、建立全企業(yè)的業(yè)務(wù)持續(xù)計(jì)劃的認(rèn)知感； 認(rèn)知感的重要性，組織恢復(fù)的能力是由不同獨(dú)立的部門合作完成的， 計(jì)劃的認(rèn)知感強(qiáng)調(diào)組織對(duì)雇員承擔(dān)的義務(wù) 對(duì)于部分計(jì)劃執(zhí)行人員進(jìn)行不要的特殊訓(xùn)練，使他們能完成自己的任務(wù)（qualitytraining)模擬訓(xùn)練的好處是能感知BCP過(guò)程的興趣增加和人員承擔(dān)的義務(wù)Page14業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行在最后的階業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行3、維護(hù)業(yè)務(wù)執(zhí)行計(jì)劃，在需要的情況下更新業(yè)務(wù)持續(xù)計(jì)劃

BCP經(jīng)常會(huì)變得過(guò)時(shí)：同DRP計(jì)劃被很快荒廢一樣，由于公司重組，計(jì)劃中的關(guān)鍵業(yè)務(wù)可能和現(xiàn)實(shí)的業(yè)務(wù)情況不符。最常見的情況是：網(wǎng)絡(luò)和計(jì)算基礎(chǔ)的變化，包括硬件、軟件和其它組件。可管理的理由是：麻煩的計(jì)劃不容易被更新（適應(yīng)新的情況），人員的遺忘或缺乏興趣，員工輪換崗位，無(wú)論何種原因，計(jì)劃維護(hù)技巧將來(lái)必需被使用以確保計(jì)劃維持在可用和最新。重要的兩點(diǎn)：維護(hù)過(guò)程保持計(jì)劃版本的唯一性Page15業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行3、維護(hù)業(yè)務(wù)執(zhí)行計(jì)劃，在需要的情況下第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page16第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page162、災(zāi)難恢復(fù)計(jì)劃

DisasterRecoveryPlanning災(zāi)難恢復(fù)計(jì)劃是一個(gè)全面的狀態(tài)，它包括在事前，事中，和災(zāi)難對(duì)信息系統(tǒng)資源造成重大損失后所采取的行動(dòng)。災(zāi)難恢復(fù)計(jì)劃是對(duì)于緊急事件的應(yīng)對(duì)過(guò)程。在中斷的情況下提供后備的操作，在事后處理恢復(fù)和搶救工作，shouldanorganizationexperienceasubstantiallossofprocessingcapability

主要目標(biāo)：有能力在另外的站點(diǎn)提供關(guān)鍵步驟，并且在一個(gè)時(shí)間段內(nèi)恢復(fù)主站的正常運(yùn)行。通過(guò)迅速的恢復(fù)步驟來(lái)最小化企業(yè)的損失。提示：有些公司不需要災(zāi)難恢復(fù)計(jì)劃，由于公司的關(guān)鍵業(yè)務(wù)能夠抵擋意外事件的沖擊。Page172、災(zāi)難恢復(fù)計(jì)劃

DisasterRe災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃的目標(biāo)和目的：DRP主要目標(biāo)是提供有組織的果斷方式來(lái)應(yīng)對(duì)中斷時(shí)間的發(fā)生。DRP的目標(biāo)是減少危機(jī)發(fā)生時(shí)的混亂和增強(qiáng)組織處理危機(jī)的能力。明顯的，在事故發(fā)生的現(xiàn)場(chǎng)，組織沒有機(jī)會(huì)從容的建立和執(zhí)行恢復(fù)計(jì)劃，因此，大量的預(yù)先計(jì)劃和測(cè)試將決定組織對(duì)于災(zāi)難的抵抗能力

Page18災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃的目標(biāo)和目的：P災(zāi)難恢復(fù)計(jì)劃

DRP目的很多，但是每一點(diǎn)都非常重要，DRP目的可能包含下列幾點(diǎn)：在由于主要的計(jì)算機(jī)和服務(wù)器不可用的情況下保護(hù)組織；在由于延遲提供服務(wù)的情況下最小化其組織的風(fēng)險(xiǎn)；通過(guò)測(cè)試和模擬環(huán)境來(lái)?yè)?dān)?？尚畔到y(tǒng)的可靠性；在災(zāi)難發(fā)生時(shí)最小化做出決定的時(shí)間；在這里我們主要檢查DRP的下列領(lǐng)域DRP的步驟測(cè)試DRP災(zāi)難恢復(fù)程序Page19災(zāi)難恢復(fù)計(jì)劃DRP目的很多災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃步驟這個(gè)階段包含恢復(fù)計(jì)劃的建立和發(fā)展，這和BCP過(guò)程有些相似。然而，在BCP中，我們包含了BIA和對(duì)于企業(yè)維持持續(xù)的關(guān)鍵范圍和資金生存能力損失尺度標(biāo)示，在DRP中，我們假設(shè)標(biāo)示性的工作已經(jīng)完成并且基本原理已經(jīng)建立。下面的工作是定義我們需要執(zhí)行的步驟來(lái)在實(shí)際災(zāi)難發(fā)生時(shí)保護(hù)業(yè)務(wù)。在災(zāi)難計(jì)劃處理階段將采取如下的步驟：數(shù)據(jù)處理連續(xù)計(jì)劃—DataProcessingContinuityPlanning

針對(duì)災(zāi)難的計(jì)劃和建立拷貝數(shù)據(jù)的計(jì)劃數(shù)據(jù)恢復(fù)計(jì)劃維護(hù)—DataRecoveryPlanMaintenance

保持計(jì)劃的時(shí)效性和相關(guān)性Http://提供數(shù)據(jù)恢復(fù)計(jì)劃軟件Page20災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃步驟Page2數(shù)據(jù)處理連續(xù)計(jì)劃常見的可選的處理類型：

Mutualaidagreements–互助協(xié)議

Subscriptionservices–定購(gòu)服務(wù)

Multiplecenter–若干中心

Servicebureaus--服務(wù)局（？）

Otherdatacenterbackupalternatives–其它數(shù)據(jù)可選備份Page21數(shù)據(jù)處理連續(xù)計(jì)劃常見的可選的處理類型：Page21災(zāi)難恢復(fù)計(jì)劃維護(hù)由于業(yè)務(wù)實(shí)際情況變更引起與現(xiàn)實(shí)情況不符合，因此需要計(jì)劃更新維護(hù)。無(wú)論何種原因，災(zāi)難恢復(fù)技術(shù)能在外部使用，以確保計(jì)劃維持在最新的可用狀態(tài)，采取的行動(dòng):在工作任務(wù)說(shuō)明中描述災(zāi)難恢復(fù)計(jì)劃更新，建立審計(jì)過(guò)程來(lái)報(bào)告站點(diǎn)的變化，必須保證沒有多個(gè)災(zāi)難恢復(fù)計(jì)劃存在。目標(biāo)：測(cè)試人員對(duì)于模擬災(zāi)難的響應(yīng)能力。方法：并行測(cè)試對(duì)于恢復(fù)計(jì)劃的完全測(cè)試，利用所有的人員來(lái)從事這項(xiàng)測(cè)試，主要不同于中斷測(cè)試的地方是不中斷正常的生產(chǎn)過(guò)程。測(cè)試在同正式生產(chǎn)環(huán)境并行的條件下進(jìn)行，測(cè)試主要目的是關(guān)鍵業(yè)務(wù)能在備份站點(diǎn)上運(yùn)行，系統(tǒng)能重新在備份站點(diǎn)上布置。測(cè)試進(jìn)行后，事物處理結(jié)果和其他因素將用來(lái)做比較。這是最為通用的測(cè)試方法全中斷測(cè)試模擬真實(shí)災(zāi)難發(fā)生時(shí)對(duì)于業(yè)務(wù)造成中斷的情況，停止正常的業(yè)務(wù)來(lái)測(cè)試，測(cè)試的要點(diǎn)包括緊急服務(wù)。這是一種引起人們驚慌的測(cè)試。也是最好的測(cè)試方式。Page22災(zāi)難恢復(fù)計(jì)劃維護(hù)由于業(yè)務(wù)實(shí)際情況變更引起與現(xiàn)實(shí)情況不符合，因五種主要的災(zāi)難恢復(fù)測(cè)試類型LEVELTYEPDESCRIPTION1ChecklistCopiesofplanaredistributedtomanagementforreview2Structuedwalk-throughBusinessunitmanagementmeetstoreviewtheplan3SimulationAllsupportpersonnelmeetinapracticeexecutionsession4ParallelTestCriticalsystmearerunatanalternatesite5Full-interruptionTestNormarlproductionshutdown,withrealdisaterrecoveryprocessesPage23五種主要的災(zāi)難恢復(fù)測(cè)試類型LEVELTYEPDESCRIPT災(zāi)難恢復(fù)步驟DisasterRecoveryProcedures災(zāi)難恢復(fù)計(jì)劃的主要元素：災(zāi)難恢復(fù)小組拯救小組正常運(yùn)行恢復(fù)其它的恢復(fù)事項(xiàng)Page24災(zāi)難恢復(fù)步驟DisasterRecoveryProc第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page25第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page25應(yīng)急響應(yīng)計(jì)劃概況應(yīng)急組織應(yīng)急預(yù)案應(yīng)急事件處理流程應(yīng)急響應(yīng)技術(shù)與工具Page26應(yīng)急響應(yīng)計(jì)劃概況Page26概念應(yīng)急響應(yīng)（IncidentResponse/EmergencyResponse）通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施，其目的是避免、降低危害和損失，以及從危害和損失中恢復(fù)。計(jì)算機(jī)及網(wǎng)絡(luò)攻擊應(yīng)急響應(yīng)就是針對(duì)計(jì)算機(jī)攻擊及網(wǎng)絡(luò)攻擊事件所采取的應(yīng)急措施。事件（Incident）的定義：違反安全策略的行為，這里雖說(shuō)的安全策略可能是明確規(guī)定的，也可以是引申出來(lái)的。（Theactofviolatinganexplicitorimpliedsecuritypolicy。）Page27概念應(yīng)急響應(yīng)（IncidentResponse/Emerg事件種類完整性受損拒絕服務(wù)濫用損害（如病毒毀壞數(shù)據(jù)）入侵Page28事件種類完整性受損Page28應(yīng)急響應(yīng)的提出計(jì)算機(jī)安全應(yīng)急響應(yīng)的提出：1988年Morris蠕蟲席卷全球CERT/CC（ComputerEmergenceResponseTetim／CoordinationCenter,計(jì)算機(jī)安全應(yīng)急響應(yīng)小組／協(xié)調(diào)中心）：負(fù)責(zé)在日常完成安全保障和緊急情況下的安全應(yīng)急響應(yīng)任務(wù)的組織其目的是建立一個(gè)單一的Internet社區(qū)組織，協(xié)調(diào)Internet上的妥全事件響應(yīng)FIRST（ForumofIncidentResponseandSecurityTeams，應(yīng)急響應(yīng)和安全團(tuán)隊(duì)論壇）：把政府、商業(yè)機(jī)構(gòu)和妥全學(xué)術(shù)組織的安全應(yīng)急響應(yīng)團(tuán)隊(duì)聯(lián)合起來(lái)．組成一個(gè)有機(jī)的整體目標(biāo)是在事件預(yù)防中培養(yǎng)合作和協(xié)調(diào)，推動(dòng)安全事件快速響應(yīng)同時(shí)促進(jìn)在會(huì)員間的大范圍信息共享．Page29應(yīng)急響應(yīng)的提出計(jì)算機(jī)安全應(yīng)急響應(yīng)的提出：1988年Morri應(yīng)急組織（1/5）國(guó)內(nèi)國(guó)際著名的應(yīng)急響應(yīng)組織

1988年的莫里斯蠕蟲事件之后的一個(gè)星期內(nèi)，美國(guó)國(guó)防部資助卡內(nèi)基梅隆大學(xué)（CMU）的軟件工程研究所成立了計(jì)算機(jī)緊急響應(yīng)組協(xié)調(diào)中心（CERT/CC），是第一個(gè)應(yīng)急響應(yīng)組。中國(guó)，1999年在清華大學(xué)成立了中國(guó)教育和科研網(wǎng)緊急響應(yīng)組（CCERT），是中國(guó)大陸第一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組。建立目標(biāo)根據(jù)事件的嚴(yán)重程度和影響程度,向用戶或相應(yīng)部門進(jìn)行報(bào)警或通知;

普及安全知識(shí)，教育系統(tǒng)管理員，提高用戶的安全意識(shí)；提供咨詢服務(wù)，接受委托幫助參于系統(tǒng)安全配置管理，或者根據(jù)請(qǐng)求對(duì)系統(tǒng)的安全管理提供建議；計(jì)算機(jī)攻擊及網(wǎng)絡(luò)攻擊事件的緊急響應(yīng)，避免、降低危害和損失，以及從危害和損失中恢復(fù)；進(jìn)一步調(diào)查,確定入侵者的真實(shí)來(lái)源和其他詳細(xì)信息.Page30應(yīng)急組織（1/5）國(guó)內(nèi)國(guó)際著名的應(yīng)急響應(yīng)組織Page30應(yīng)急組織（2/5）組織結(jié)構(gòu)應(yīng)急響應(yīng)核心組（EmergencyResponseCoreTeam——ERCT）安全應(yīng)急響應(yīng)小組（SIRT）安全調(diào)查員（SI）應(yīng)用所有者（AO）應(yīng)用開發(fā)人員/管理員（AA）系統(tǒng)所有者/管理員（SA）網(wǎng)絡(luò)管理員（NA）防火墻管理員（FA）安全顧問(wèn)（SC）Page31應(yīng)急組織（2/5）組織結(jié)構(gòu)Page31應(yīng)急組織（3/5）基礎(chǔ)設(shè)施分布式入侵檢測(cè)系統(tǒng)認(rèn)證服務(wù)系統(tǒng)協(xié)同事件處理系統(tǒng)安全資源管理系統(tǒng)（WWW、FTP）安全通信系統(tǒng)(MailingList)Page32應(yīng)急組織（3/5）基礎(chǔ)設(shè)施Page32應(yīng)急組織（4/5）管理規(guī)范應(yīng)急響應(yīng)組章程安全事件處理操作規(guī)范事件匯總報(bào)告制度安全事件的預(yù)警與通告技術(shù)交流與培訓(xùn)Page33應(yīng)急組織（4/5）管理規(guī)范Page33應(yīng)急組織（5/5）職能事件處理;安全公告;安全監(jiān)控;安全評(píng)估;安全咨詢;安全狀況報(bào)告;教育培訓(xùn);安全工具發(fā)布;協(xié)作協(xié)調(diào);Page34應(yīng)急組織（5/5）職能Page34應(yīng)急預(yù)案應(yīng)急預(yù)案是開展應(yīng)急響應(yīng)行動(dòng)的行動(dòng)計(jì)劃和實(shí)施指南。應(yīng)急響應(yīng)預(yù)案實(shí)際上是一個(gè)透明和標(biāo)準(zhǔn)化的反應(yīng)程序,使應(yīng)急響應(yīng)活動(dòng)能按照預(yù)先周密的計(jì)劃和最有效的實(shí)施步驟有條不紊地進(jìn)行。這些計(jì)劃和步驟是快速響應(yīng)和有效防護(hù)的基本保證。應(yīng)急預(yù)案，應(yīng)該有系統(tǒng)完整的設(shè)計(jì)、標(biāo)準(zhǔn)化的文本文件、行之有效的操作程序和持續(xù)改進(jìn)的運(yùn)行機(jī)制。按照系統(tǒng)論的思想,應(yīng)急響應(yīng)預(yù)案是一個(gè)開放、復(fù)雜和龐大的系統(tǒng),應(yīng)急預(yù)案的設(shè)計(jì)和組織實(shí)施應(yīng)遵循體系要素構(gòu)成和持續(xù)改進(jìn)的指導(dǎo)思想。Page35應(yīng)急預(yù)案應(yīng)急預(yù)案是開展應(yīng)急響應(yīng)行動(dòng)的行動(dòng)計(jì)劃和實(shí)施指南。P應(yīng)急事件處理流程準(zhǔn)備工作事件認(rèn)定控制事態(tài)發(fā)展事件消除事件恢復(fù)事件追蹤Page36應(yīng)急事件處理流程準(zhǔn)備工作Page36應(yīng)急響應(yīng)技術(shù)與工具漏洞檢測(cè)技術(shù)及相關(guān)工具監(jiān)聽技術(shù)及相關(guān)工具日志分析技術(shù)及相關(guān)工具路由控制技術(shù)及相關(guān)工具反向追蹤技術(shù)及相關(guān)工具Page37應(yīng)急響應(yīng)技術(shù)與工具漏洞檢測(cè)技術(shù)及相關(guān)工具Page37應(yīng)急響應(yīng)的資源IncidentResponse,ElectronicDiscovery,andComputerForensics,SecurityFocus,TheFederalComputerIncidentResponseCenter(FedCIRC),TheCanadianOfficeofCriticalInfrastructureProtectionandEmergencyPreparedness,http://www.ocipep.gc.caIncidentHandlingLinks&Documents(75links),/incidents/linksSEI:HandbookforComputerSecurityIncidentResponseTeams,/pub/documents/98.reports/pdf/98hb001.pdfCERT/CC:ComputerSecurityIncidentResponse,/csirts/CERT/CC:RespondingtoIntrusions,/security-improvement/modules/m06.htmlAuCERT:ForminganIncidentResponseTeam,.au/render.html?it=2252&cid=1920SANS:S.C.O.R.E,/score/Page38應(yīng)急響應(yīng)的資源IncidentResponse,Elec第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page39第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page39數(shù)據(jù)備份數(shù)據(jù)備份與災(zāi)難恢復(fù)密不可分，數(shù)據(jù)備份是災(zāi)難恢復(fù)的前提和基礎(chǔ)，而災(zāi)難恢復(fù)是在此基礎(chǔ)之上的具體應(yīng)用突難恢復(fù)：能夠在災(zāi)難性事故發(fā)生時(shí)利用已備份的數(shù)據(jù)或其他手段，及時(shí)對(duì)原系統(tǒng)進(jìn)行恢復(fù)，以保證數(shù)據(jù)的安全性以及業(yè)務(wù)的持續(xù)運(yùn)轉(zhuǎn)數(shù)據(jù)備份不僅僅是簡(jiǎn)單的文件復(fù)制，也不等于文件的永久性歸檔。要求有一種高速、大容量的存儲(chǔ)介質(zhì)將所有的文件（網(wǎng)絡(luò)系統(tǒng)、應(yīng)用軟件和用戶數(shù)據(jù)）進(jìn)行全面的復(fù)制與管理。Page40數(shù)據(jù)備份數(shù)據(jù)備份與災(zāi)難恢復(fù)密不可分，數(shù)據(jù)備份是災(zāi)難恢復(fù)的前提個(gè)人數(shù)據(jù)備份 個(gè)人數(shù)據(jù)備份：對(duì)個(gè)人電腦硬盤中的數(shù)據(jù)進(jìn)行備份。特點(diǎn)：對(duì)單機(jī)數(shù)據(jù)進(jìn)行備份、數(shù)據(jù)連不大無(wú)長(zhǎng)期保存需求，備份僅僅是為了防止數(shù)據(jù)丟失無(wú)專業(yè)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)可隨時(shí)停機(jī)手工恢復(fù)數(shù)據(jù)個(gè)人電腦中需要備份的數(shù)據(jù)包括操作系統(tǒng)、應(yīng)用軟件與各種文件。Page41個(gè)人數(shù)據(jù)備份 個(gè)人數(shù)據(jù)備份：對(duì)個(gè)人電腦硬盤中的數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份的類型 ——按照備份的數(shù)據(jù)量分類（1/3）完全備份：整個(gè)系統(tǒng)全面完整的備份，包括所有應(yīng)用、操作系統(tǒng)和數(shù)據(jù)。優(yōu)點(diǎn)：恢復(fù)時(shí)間最短操作最方便（使用災(zāi)難發(fā)生前一天的備份，就可以恢復(fù)丟失的數(shù)據(jù)）最可靠缺點(diǎn)：備份中存在大量重復(fù)數(shù)據(jù)，增加用戶成本備份數(shù)據(jù)量大，耗時(shí)太長(zhǎng)Page42數(shù)據(jù)備份的類型 ——按照備份的數(shù)據(jù)量分類（1/3）完全備份：數(shù)據(jù)備份的類型 ——按照備份的數(shù)據(jù)量分類（2/3）增量備份：只備份上次備份后有變化的數(shù)據(jù)。優(yōu)點(diǎn)：備份時(shí)間短占用空間較少缺點(diǎn)：系統(tǒng)恢復(fù)時(shí)間長(zhǎng)（如果事故發(fā)生，則需要多個(gè)備份以恢復(fù)整個(gè)系統(tǒng)）Page43數(shù)據(jù)備份的類型 ——按照備份的數(shù)據(jù)量分類（2/3）增量備份：數(shù)據(jù)備份的類型——按照備份的數(shù)據(jù)量分類（3/3）差異備份：對(duì)所有上次完全備份后已被修改或添加的文件的存儲(chǔ)。優(yōu)點(diǎn)：系統(tǒng)恢復(fù)時(shí)間很短缺點(diǎn)：備份時(shí)間長(zhǎng)占用空間多每個(gè)日常差異備份都要比以前的備份大并且速度慢按需備份：根據(jù)臨時(shí)需要有選擇的進(jìn)行數(shù)據(jù)備份Page44數(shù)據(jù)備份的類型——按照備份的數(shù)據(jù)量分類（3/3）差異備份：對(duì)數(shù)據(jù)備份的類型——按照備份狀態(tài)分類物理備份：將實(shí)際物理數(shù)據(jù)庫(kù)又件從一處復(fù)制到另一處的備份。冷備份（脫機(jī)備份）：以正常方式關(guān)閉數(shù)據(jù)庫(kù)，并對(duì)數(shù)據(jù)庫(kù)的所有又件進(jìn)行備份。缺點(diǎn)：需要一定的時(shí)間來(lái)完成，在備份期間，最終用戶無(wú)法訪問(wèn)數(shù)據(jù)庫(kù)；不易做到實(shí)時(shí)備份熱備份（聯(lián)機(jī)備份）：在數(shù)據(jù)庫(kù)打開和用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作的情況下進(jìn)行的備份。邏輯備份：將某個(gè)數(shù)據(jù)庫(kù)的記錄讀出并將其寫入到一個(gè)文件中、這是經(jīng)常使用的一種備份方式。Page45數(shù)據(jù)備份的類型——按照備份狀態(tài)分類物理備份：將實(shí)際物理數(shù)據(jù)庫(kù)數(shù)據(jù)備份的類型——按照備份的層次分類硬件冗余：目前的硬件冗余技術(shù)有雙機(jī)容錯(cuò)、磁盤雙工、廉價(jià)冗余磁盤陣列（RedundantArrayofInexpeilsiveDisks.RAID)與磁盤鏡像等多種形式。優(yōu)點(diǎn)：使系統(tǒng)具有充分的容錯(cuò)能力，提高系統(tǒng)的可靠性。缺點(diǎn)：不能解決因病毒或人為誤操作引起的數(shù)據(jù)丟失以及系統(tǒng)癱瘓等災(zāi)難如果錯(cuò)誤數(shù)據(jù)也寫入備份磁盤，硬件冗余也會(huì)無(wú)能為力理想的備份系統(tǒng)應(yīng)使用硬件答錯(cuò)和軟件備份相結(jié)合的方式。Page46數(shù)據(jù)備份的類型——按照備份的層次分類硬件冗余：目前的硬件冗余數(shù)據(jù)備份的類型——按照備份的地點(diǎn)分類本地備份：通過(guò)磁帶機(jī)、外置硬盤、光盤等設(shè)備在本地進(jìn)行數(shù)據(jù)備份異地備份：將數(shù)據(jù)備份至企業(yè)生產(chǎn)中心以外的地點(diǎn)重要數(shù)據(jù)備份一般要求一份數(shù)據(jù)至少應(yīng)有兩個(gè)拷貝，一份拷貝放在生產(chǎn)中心，以保證數(shù)據(jù)的正?；謴?fù)；另一份則要異地保存，以保證在本地應(yīng)用出現(xiàn)災(zāi)難后的數(shù)據(jù)恢復(fù)，使得業(yè)務(wù)可以連續(xù)性開展。Page47數(shù)據(jù)備份的類型——按照備份的地點(diǎn)分類本地備份：通過(guò)磁帶機(jī)、外數(shù)據(jù)備份系統(tǒng)的基本構(gòu)成好的數(shù)據(jù)備份系統(tǒng)應(yīng)該具備的基本要素：穩(wěn)定性全面性可管理性數(shù)據(jù)備份系統(tǒng)的基本組成存儲(chǔ)介質(zhì)硬件設(shè)備備份管理軟件備份策略Page48數(shù)據(jù)備份系統(tǒng)的基本構(gòu)成好的數(shù)據(jù)備份系統(tǒng)應(yīng)該具備的基本要素：P存儲(chǔ)介質(zhì)（1/3）磁盤存儲(chǔ)介質(zhì)：采用了“磁表面存儲(chǔ)”技術(shù)．是用某些磁性材料薄薄地涂在金屬鋁或塑料表面．以作為磁載體來(lái)存儲(chǔ)信息的硬磁盤和軟磁盤在外存儲(chǔ)器中，硬盤的存取速度最快磁盤陣列中較大的磁盤數(shù)目將會(huì)增大磁盤故障的危險(xiǎn)性與其他存儲(chǔ)技術(shù)相比，硬盤存儲(chǔ)所需的費(fèi)用極其昂貴硬盤存儲(chǔ)更適合容量小而且備份數(shù)據(jù)需要買時(shí)讀取的系統(tǒng)Page49存儲(chǔ)介質(zhì)（1/3）磁盤存儲(chǔ)介質(zhì)：Page49存儲(chǔ)介質(zhì)(2/3)光存儲(chǔ)介質(zhì)：利用激光的單色性和相干性，將需要存儲(chǔ)的信息通過(guò)調(diào)制的激光聚焦到記錄介質(zhì)上，使介質(zhì)的光照微區(qū)（1μm：）發(fā)生物理或化學(xué)變化，以實(shí)現(xiàn)光信息的存儲(chǔ)。4.75in的光盤是被采納為CD-ROM光盤的標(biāo)準(zhǔn)尺寸。優(yōu)點(diǎn)：經(jīng)濟(jì)、可持久地存儲(chǔ)（保存期長(zhǎng)達(dá)30年以上）．可靠性高、便于攜帶和數(shù)據(jù)交換方便缺點(diǎn)：訪問(wèn)時(shí)間比硬盤要長(zhǎng)2一6倍，并且容量相對(duì)較?。畟浞荽笕萘繑?shù)據(jù)時(shí)所需數(shù)量極大．相對(duì)整體可靠性較低。更適合于數(shù)據(jù)的永久性歸檔和小容量數(shù)據(jù)的備份。Page50存儲(chǔ)介質(zhì)(2/3)光存儲(chǔ)介質(zhì)：Page50存儲(chǔ)介質(zhì)(3/3)磁帶優(yōu)勢(shì)：?jiǎn)挝蝗萘看蟆⒁子谵D(zhuǎn)移缺點(diǎn)：有條件的環(huán)境（最好放置在密封的、濕度適宜的、無(wú)靜電的存儲(chǔ)容器中）是用電子萬(wàn)法存儲(chǔ)大容量數(shù)據(jù)最經(jīng)濟(jì)的方法是備份大量后臺(tái)非實(shí)時(shí)處理數(shù)據(jù)的最佳備份萬(wàn)案。Page51存儲(chǔ)介質(zhì)(3/3)磁帶Page51硬件設(shè)備磁盤陣列（DiskArray）：通過(guò)一套控制軟件結(jié)合在一起的、在一個(gè)或多個(gè)可訪問(wèn)磁盤子系統(tǒng)上的一系列磁盤控制軟件將這些磁盤的存儲(chǔ)空間以一個(gè)或多個(gè)虛擬磁盤的形式提供給主機(jī)、主要用于網(wǎng)絡(luò)系統(tǒng)中海量數(shù)據(jù)的即時(shí)存取磁帶設(shè)備：主要指磁帶機(jī)和磁帶庫(kù)產(chǎn)品主要用于網(wǎng)絡(luò)系統(tǒng)中海量數(shù)據(jù)的定期備份光盤庫(kù)：是一種帶有自動(dòng)換盤機(jī)構(gòu)（機(jī)械手）的光盤網(wǎng)絡(luò)共享設(shè)備主要用于網(wǎng)絡(luò)系統(tǒng)中海量數(shù)據(jù)的訪問(wèn)Page52硬件設(shè)備磁盤陣列（DiskArray）：通過(guò)一套控制軟件結(jié)備份管理軟件與備份策略好的備份硬件是完成備份任務(wù)的基礎(chǔ)，而備份管理軟件則關(guān)系到是否能夠?qū)浞萦布膬?yōu)良特性完全發(fā)揮出來(lái)。備份策略：是指確定需要備份的內(nèi)容、備份時(shí)間以及備份方式。Page53備份管理軟件與備份策略好的備份硬件是完成備份任務(wù)的基礎(chǔ)，而備“系統(tǒng)還原”工具Page54“系統(tǒng)還原”工具Page54個(gè)人常用數(shù)據(jù)備份及恢復(fù)工具——實(shí)驗(yàn)SymantecGhostPowerQuestDriveImageFinalData工具EasyRecoverProPage55個(gè)人常用數(shù)據(jù)備份及恢復(fù)工具——實(shí)驗(yàn)SymantecGhos第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page56第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page56案例應(yīng)用及分析金融公司災(zāi)難數(shù)據(jù)恢復(fù)案例分析Page57案例應(yīng)用及分析金融公司災(zāi)難數(shù)據(jù)恢復(fù)案例分析Page57業(yè)務(wù)持續(xù)性計(jì)劃與災(zāi)難恢復(fù)計(jì)劃教程課件業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃

內(nèi)部資料ISSUE1.0業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃

內(nèi)部資料ISSUE1.0第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page60第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page11.概述（1/3）業(yè)務(wù)連續(xù)性計(jì)劃BCP（BusinessContinuityPlanning

）：是一種策略規(guī)劃，當(dāng)災(zāi)難發(fā)生時(shí)致使企業(yè)主要業(yè)務(wù)或服務(wù)中斷時(shí)，業(yè)務(wù)連續(xù)性計(jì)劃可確保迅速恢復(fù)主要業(yè)務(wù)的正常與持續(xù)運(yùn)作。業(yè)務(wù)連續(xù)性計(jì)劃不僅包含計(jì)算機(jī)系統(tǒng)的恢復(fù)計(jì)劃、還包括關(guān)鍵業(yè)務(wù)的持續(xù)運(yùn)作計(jì)劃，如恢復(fù)組織、人力資源、對(duì)外溝通等。災(zāi)難恢復(fù)計(jì)劃DRP(DisasterRecoveryPlanning)：是對(duì)企業(yè)的信息系統(tǒng)進(jìn)行相應(yīng)的沖擊分析及風(fēng)險(xiǎn)分析并將其量化，以確定IT系統(tǒng)面對(duì)災(zāi)難事故時(shí)的預(yù)防和恢復(fù)策略，開發(fā)并制定相應(yīng)的IT系統(tǒng)恢復(fù)計(jì)劃、管理方法和流程，以減輕災(zāi)難對(duì)于企業(yè)IT系統(tǒng)的不利影響。Page611.概述（1/3）業(yè)務(wù)連續(xù)性計(jì)劃BCP（Busines1.概述(2/3)

BCP和DR包含：準(zhǔn)備、測(cè)試和對(duì)于關(guān)鍵業(yè)務(wù)保護(hù)以及網(wǎng)絡(luò)服務(wù)失效的更新行為。必須理解當(dāng)主要業(yè)務(wù)操作規(guī)程再以外事件造成中斷時(shí)所采取的保護(hù)行為。Page621.概述(2/3)BCP和DR包含：準(zhǔn)備、測(cè)試和對(duì)于關(guān)1.概述(3/3)BCP過(guò)程包含： 計(jì)劃和范圍的初始化； 業(yè)務(wù)影響分析； 業(yè)務(wù)可持續(xù)計(jì)劃開發(fā)；DRP過(guò)程包含：災(zāi)難恢復(fù)計(jì)劃步驟； 測(cè)試災(zāi)難恢復(fù)計(jì)劃； 災(zāi)難恢復(fù)計(jì)劃程序；兩者的主要區(qū)別：

BCP強(qiáng)調(diào)使關(guān)鍵業(yè)務(wù)經(jīng)得起不同的意外事件的影響DRP強(qiáng)調(diào)對(duì)于災(zāi)難的預(yù)防措施，以及在災(zāi)難發(fā)生時(shí)和災(zāi)難發(fā)生之后所應(yīng)采取的行為和措施Page631.概述(3/3)BCP過(guò)程包含：Page4第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page64第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page52、業(yè)務(wù)可持續(xù)計(jì)劃

BusinessContinuityPlanning業(yè)務(wù)可持續(xù)計(jì)劃是為了防止正常業(yè)務(wù)行為的中斷而被建立的計(jì)劃。當(dāng)面對(duì)由于自然或人為造成的故障或?yàn)?zāi)難以及由此造成的財(cái)產(chǎn)損和正常業(yè)務(wù)不能正常使用時(shí)，BCP主要被設(shè)計(jì)用來(lái)保護(hù)關(guān)鍵業(yè)務(wù)步驟。BCP是最小化對(duì)于業(yè)務(wù)的干擾效果和使業(yè)務(wù)能恢復(fù)正常運(yùn)行的計(jì)劃。BCP的目標(biāo)是：最小化業(yè)務(wù)中斷事件對(duì)公司造成的影響。BCP的主要目標(biāo)：減小財(cái)產(chǎn)損失風(fēng)險(xiǎn)和增強(qiáng)公司對(duì)于意外事件造成的業(yè)務(wù)中斷的恢復(fù)能力。BCP的作用：BCP將幫助企業(yè)最小化由于意外事件造成的損失成本和減輕相關(guān)的風(fēng)險(xiǎn)。Page652、業(yè)務(wù)可持續(xù)計(jì)劃

BusinessContinuityBCP應(yīng)當(dāng)檢查企業(yè)所有關(guān)鍵信息處理步驟例如：本地和廣域網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)；遠(yuǎn)程通訊和數(shù)據(jù)通訊鏈路；工作站和工作空間；應(yīng)用、軟件和數(shù)據(jù)；存儲(chǔ)媒體和信息記錄存放場(chǎng)地；員工職責(zé)和生產(chǎn)過(guò)程；BCP和DRP處理的優(yōu)先級(jí)別：BCP和DRP的優(yōu)先考慮的因素是：人

Page66BCP應(yīng)當(dāng)檢查企業(yè)所有關(guān)鍵信息處理步驟例如：Page7造成業(yè)務(wù)中斷的事件大部分會(huì)造成業(yè)務(wù)中斷的事件，在物理安全域中文檔都作了詳細(xì)的描述。這里我們主要考慮的是這樣的事件：不是由于自然災(zāi)難造成的就是由于人為破壞所造成的，事件發(fā)生的實(shí)質(zhì)是對(duì)企業(yè)業(yè)務(wù)的持續(xù)造成現(xiàn)實(shí)的威脅。所有的事件都是已經(jīng)發(fā)生，且不能象運(yùn)行安全中討論的采取任何預(yù)防性的控制手段來(lái)控制。業(yè)務(wù)持續(xù)計(jì)劃被設(shè)計(jì)來(lái)最小化上述破壞事件造成的損失，同時(shí)便于迅速的完全恢復(fù)組織的業(yè)務(wù)運(yùn)作能力。Page67造成業(yè)務(wù)中斷的事件大部分會(huì)造成業(yè)務(wù)中斷的事件，在物理安全域中造成業(yè)務(wù)中斷的事件的簡(jiǎn)單列表自然因素造成對(duì)業(yè)務(wù)持續(xù)有破壞作用的事件：火災(zāi)、爆炸、危險(xiǎn)物質(zhì)泄漏、生化毒素的威脅；地震、風(fēng)暴、洪水、自然因素造成的火災(zāi)；電力系統(tǒng)電力供應(yīng)中斷或其它的系統(tǒng)功能失效；人為因素造成對(duì)業(yè)務(wù)持續(xù)有破壞作用的事件：轟炸、蓄意人為破壞、其它有目的的攻擊；罷工、怠工；由于操作人員撤離危險(xiǎn)環(huán)境造成的功能失效，或其它自然或人為造成的功能失效的情況；通信基礎(chǔ)不可用或者與測(cè)試相關(guān)的過(guò)載（包括大部分的管理控制功能失效）Page68造成業(yè)務(wù)中斷的事件的簡(jiǎn)單列表自然因素造成對(duì)業(yè)務(wù)持續(xù)有破壞作用BCP的四個(gè)主要元素范圍和計(jì)劃的初始化；

這個(gè)階段標(biāo)志著BCP過(guò)程的開始，它必須限定計(jì)劃的范圍和計(jì)劃涉及的各項(xiàng)線定因素。業(yè)務(wù)影響分析(BIA–BusinessImpactAssessment)；被用來(lái)幫助各業(yè)務(wù)單元理解緊急事件對(duì)于業(yè)務(wù)造成的影響，這個(gè)階段還包含漏洞分析。業(yè)務(wù)持續(xù)計(jì)劃發(fā)展；利用BIA信息來(lái)發(fā)展業(yè)務(wù)持續(xù)計(jì)劃，這個(gè)過(guò)程包括計(jì)劃執(zhí)行、計(jì)劃測(cè)試、計(jì)劃運(yùn)行當(dāng)中的維護(hù)。業(yè)務(wù)持續(xù)計(jì)劃的批準(zhǔn)和執(zhí)行；這個(gè)階段包括最終由企業(yè)的最高管理者簽署，建立全企業(yè)對(duì)于BCP意識(shí)，執(zhí)行根據(jù)變化更新處理步驟的計(jì)劃維護(hù)工作。Page69BCP的四個(gè)主要元素范圍和計(jì)劃的初始化；Page10業(yè)務(wù)影響分析目的：BIA目的是建立用來(lái)幫助理解對(duì)業(yè)務(wù)持續(xù)運(yùn)行有影響的各種意外事件。影響可能是資金方面的（需要量化），操作方面的（需要定性），漏洞分析也常常是BIA的一部分。目標(biāo)：危險(xiǎn)程度分類每個(gè)關(guān)鍵的業(yè)務(wù)運(yùn)行單元都需要被標(biāo)記和賦予一個(gè)優(yōu)先權(quán)，并且對(duì)會(huì)造成影響的事件作一個(gè)評(píng)價(jià)?！皶r(shí)效是優(yōu)先處理要考慮的因素”停工期評(píng)估–BIA被用來(lái)評(píng)價(jià)企業(yè)業(yè)務(wù)運(yùn)行所能容且維持公司可生存的最大停工時(shí)間(MTD-MaximumTolerableTime)，在企業(yè)所有業(yè)務(wù)沒有恢復(fù)的情況下,多長(zhǎng)的時(shí)期是企業(yè)關(guān)鍵業(yè)務(wù)所能停頓的。通過(guò)BIA可以發(fā)現(xiàn)，時(shí)間不象我們?cè)O(shè)想的那么長(zhǎng)。業(yè)務(wù)需求--關(guān)鍵業(yè)務(wù)所需要的資源，在BIA階段也必須被標(biāo)示。對(duì)于時(shí)間敏感的關(guān)鍵業(yè)務(wù)，將被分配更多的資源。Page70業(yè)務(wù)影響分析目的：BIA目的是建立用來(lái)幫助理BIA的四個(gè)主要步驟（一）收集相關(guān)的分析資料（二）執(zhí)行漏洞分析（三）匯總、分析信息（四）將總結(jié)寫成文檔，并且提出建議Page71BIA的四個(gè)主要步驟（一）收集相關(guān)的分析資料Page12業(yè)務(wù)持續(xù)計(jì)劃的發(fā)展業(yè)務(wù)持續(xù)計(jì)劃的發(fā)展引用BIA階段收集的信息來(lái)建立恢復(fù)戰(zhàn)略計(jì)劃以達(dá)到支持關(guān)鍵業(yè)務(wù)功能的目的。我們使用BIA收集的信息描述出業(yè)務(wù)持續(xù)計(jì)劃的戰(zhàn)略。這個(gè)階段包含兩個(gè)主要步驟：定義業(yè)務(wù)持續(xù)戰(zhàn)略；文檔化業(yè)務(wù)持續(xù)戰(zhàn)略；定義業(yè)務(wù)持續(xù)戰(zhàn)略為了定義BCP戰(zhàn)略，從BIA收集的信息用來(lái)為企業(yè)建立持續(xù)戰(zhàn)略。這是個(gè)非常大的任務(wù)，許多企業(yè)元素必須被包含在持續(xù)戰(zhàn)略。例如： 計(jì)算：戰(zhàn)略需要保護(hù)的硬件、軟件、通訊線路、應(yīng)用和數(shù)據(jù)； 設(shè)備：戰(zhàn)略需要強(qiáng)調(diào)的建筑物，計(jì)算機(jī)和遠(yuǎn)程的設(shè)備； 人員:操作員，管理人員，技術(shù)支持人員將在持續(xù)戰(zhàn)略中定義不同的角色； 補(bǔ)給和裝備：文件、forms，HVAC,指定的安全設(shè)備必需在持續(xù)被定義用途；文檔化持續(xù)戰(zhàn)略文檔化持續(xù)戰(zhàn)略簡(jiǎn)單的引用在持續(xù)戰(zhàn)略定義階段的文檔結(jié)果。Page72業(yè)務(wù)持續(xù)計(jì)劃的發(fā)展業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行在最后的階段BCP被執(zhí)行。計(jì)劃必需存在執(zhí)行的“路標(biāo)”。執(zhí)行在這列不僅僅是指執(zhí)行一個(gè)災(zāi)難假想和測(cè)試計(jì)劃，并且計(jì)劃執(zhí)行還引用下面的步驟：1、被最高管理人員批準(zhǔn)； 明確高級(jí)管理人員的職責(zé)，（對(duì)于計(jì)劃負(fù)有全部的責(zé)任），為什么由他批準(zhǔn)？（監(jiān)督、執(zhí)行、決定）2、建立全企業(yè)的業(yè)務(wù)持續(xù)計(jì)劃的認(rèn)知感； 認(rèn)知感的重要性，組織恢復(fù)的能力是由不同獨(dú)立的部門合作完成的， 計(jì)劃的認(rèn)知感強(qiáng)調(diào)組織對(duì)雇員承擔(dān)的義務(wù) 對(duì)于部分計(jì)劃執(zhí)行人員進(jìn)行不要的特殊訓(xùn)練，使他們能完成自己的任務(wù)（qualitytraining)模擬訓(xùn)練的好處是能感知BCP過(guò)程的興趣增加和人員承擔(dān)的義務(wù)Page73業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行在最后的階業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行3、維護(hù)業(yè)務(wù)執(zhí)行計(jì)劃，在需要的情況下更新業(yè)務(wù)持續(xù)計(jì)劃

BCP經(jīng)常會(huì)變得過(guò)時(shí)：同DRP計(jì)劃被很快荒廢一樣，由于公司重組，計(jì)劃中的關(guān)鍵業(yè)務(wù)可能和現(xiàn)實(shí)的業(yè)務(wù)情況不符。最常見的情況是：網(wǎng)絡(luò)和計(jì)算基礎(chǔ)的變化，包括硬件、軟件和其它組件?？晒芾淼睦碛墒牵郝闊┑挠?jì)劃不容易被更新（適應(yīng)新的情況），人員的遺忘或缺乏興趣，員工輪換崗位，無(wú)論何種原因，計(jì)劃維護(hù)技巧將來(lái)必需被使用以確保計(jì)劃維持在可用和最新。重要的兩點(diǎn)：維護(hù)過(guò)程保持計(jì)劃版本的唯一性Page74業(yè)務(wù)持續(xù)計(jì)劃批準(zhǔn)和執(zhí)行3、維護(hù)業(yè)務(wù)執(zhí)行計(jì)劃，在需要的情況下第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page75第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page162、災(zāi)難恢復(fù)計(jì)劃

DisasterRecoveryPlanning災(zāi)難恢復(fù)計(jì)劃是一個(gè)全面的狀態(tài)，它包括在事前，事中，和災(zāi)難對(duì)信息系統(tǒng)資源造成重大損失后所采取的行動(dòng)。災(zāi)難恢復(fù)計(jì)劃是對(duì)于緊急事件的應(yīng)對(duì)過(guò)程。在中斷的情況下提供后備的操作，在事后處理恢復(fù)和搶救工作，shouldanorganizationexperienceasubstantiallossofprocessingcapability

主要目標(biāo)：有能力在另外的站點(diǎn)提供關(guān)鍵步驟，并且在一個(gè)時(shí)間段內(nèi)恢復(fù)主站的正常運(yùn)行。通過(guò)迅速的恢復(fù)步驟來(lái)最小化企業(yè)的損失。提示：有些公司不需要災(zāi)難恢復(fù)計(jì)劃，由于公司的關(guān)鍵業(yè)務(wù)能夠抵擋意外事件的沖擊。Page762、災(zāi)難恢復(fù)計(jì)劃

DisasterRe災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃的目標(biāo)和目的：DRP主要目標(biāo)是提供有組織的果斷方式來(lái)應(yīng)對(duì)中斷時(shí)間的發(fā)生。DRP的目標(biāo)是減少危機(jī)發(fā)生時(shí)的混亂和增強(qiáng)組織處理危機(jī)的能力。明顯的，在事故發(fā)生的現(xiàn)場(chǎng)，組織沒有機(jī)會(huì)從容的建立和執(zhí)行恢復(fù)計(jì)劃，因此，大量的預(yù)先計(jì)劃和測(cè)試將決定組織對(duì)于災(zāi)難的抵抗能力

Page77災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃的目標(biāo)和目的：P災(zāi)難恢復(fù)計(jì)劃

DRP目的很多，但是每一點(diǎn)都非常重要，DRP目的可能包含下列幾點(diǎn)：在由于主要的計(jì)算機(jī)和服務(wù)器不可用的情況下保護(hù)組織；在由于延遲提供服務(wù)的情況下最小化其組織的風(fēng)險(xiǎn)；通過(guò)測(cè)試和模擬環(huán)境來(lái)?yè)?dān)保可信系統(tǒng)的可靠性；在災(zāi)難發(fā)生時(shí)最小化做出決定的時(shí)間；在這里我們主要檢查DRP的下列領(lǐng)域DRP的步驟測(cè)試DRP災(zāi)難恢復(fù)程序Page78災(zāi)難恢復(fù)計(jì)劃DRP目的很多災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃步驟這個(gè)階段包含恢復(fù)計(jì)劃的建立和發(fā)展，這和BCP過(guò)程有些相似。然而，在BCP中，我們包含了BIA和對(duì)于企業(yè)維持持續(xù)的關(guān)鍵范圍和資金生存能力損失尺度標(biāo)示，在DRP中，我們假設(shè)標(biāo)示性的工作已經(jīng)完成并且基本原理已經(jīng)建立。下面的工作是定義我們需要執(zhí)行的步驟來(lái)在實(shí)際災(zāi)難發(fā)生時(shí)保護(hù)業(yè)務(wù)。在災(zāi)難計(jì)劃處理階段將采取如下的步驟：數(shù)據(jù)處理連續(xù)計(jì)劃—DataProcessingContinuityPlanning

針對(duì)災(zāi)難的計(jì)劃和建立拷貝數(shù)據(jù)的計(jì)劃數(shù)據(jù)恢復(fù)計(jì)劃維護(hù)—DataRecoveryPlanMaintenance

保持計(jì)劃的時(shí)效性和相關(guān)性Http://提供數(shù)據(jù)恢復(fù)計(jì)劃軟件Page79災(zāi)難恢復(fù)計(jì)劃災(zāi)難恢復(fù)計(jì)劃步驟Page2數(shù)據(jù)處理連續(xù)計(jì)劃常見的可選的處理類型：

Mutualaidagreements–互助協(xié)議

Subscriptionservices–定購(gòu)服務(wù)

Multiplecenter–若干中心

Servicebureaus--服務(wù)局（？）

Otherdatacenterbackupalternatives–其它數(shù)據(jù)可選備份Page80數(shù)據(jù)處理連續(xù)計(jì)劃常見的可選的處理類型：Page21災(zāi)難恢復(fù)計(jì)劃維護(hù)由于業(yè)務(wù)實(shí)際情況變更引起與現(xiàn)實(shí)情況不符合，因此需要計(jì)劃更新維護(hù)。無(wú)論何種原因，災(zāi)難恢復(fù)技術(shù)能在外部使用，以確保計(jì)劃維持在最新的可用狀態(tài)，采取的行動(dòng):在工作任務(wù)說(shuō)明中描述災(zāi)難恢復(fù)計(jì)劃更新，建立審計(jì)過(guò)程來(lái)報(bào)告站點(diǎn)的變化，必須保證沒有多個(gè)災(zāi)難恢復(fù)計(jì)劃存在。目標(biāo)：測(cè)試人員對(duì)于模擬災(zāi)難的響應(yīng)能力。方法：并行測(cè)試對(duì)于恢復(fù)計(jì)劃的完全測(cè)試，利用所有的人員來(lái)從事這項(xiàng)測(cè)試，主要不同于中斷測(cè)試的地方是不中斷正常的生產(chǎn)過(guò)程。測(cè)試在同正式生產(chǎn)環(huán)境并行的條件下進(jìn)行，測(cè)試主要目的是關(guān)鍵業(yè)務(wù)能在備份站點(diǎn)上運(yùn)行，系統(tǒng)能重新在備份站點(diǎn)上布置。測(cè)試進(jìn)行后，事物處理結(jié)果和其他因素將用來(lái)做比較。這是最為通用的測(cè)試方法全中斷測(cè)試模擬真實(shí)災(zāi)難發(fā)生時(shí)對(duì)于業(yè)務(wù)造成中斷的情況，停止正常的業(yè)務(wù)來(lái)測(cè)試，測(cè)試的要點(diǎn)包括緊急服務(wù)。這是一種引起人們驚慌的測(cè)試。也是最好的測(cè)試方式。Page81災(zāi)難恢復(fù)計(jì)劃維護(hù)由于業(yè)務(wù)實(shí)際情況變更引起與現(xiàn)實(shí)情況不符合，因五種主要的災(zāi)難恢復(fù)測(cè)試類型LEVELTYEPDESCRIPTION1ChecklistCopiesofplanaredistributedtomanagementforreview2Structuedwalk-throughBusinessunitmanagementmeetstoreviewtheplan3SimulationAllsupportpersonnelmeetinapracticeexecutionsession4ParallelTestCriticalsystmearerunatanalternatesite5Full-interruptionTestNormarlproductionshutdown,withrealdisaterrecoveryprocessesPage82五種主要的災(zāi)難恢復(fù)測(cè)試類型LEVELTYEPDESCRIPT災(zāi)難恢復(fù)步驟DisasterRecoveryProcedures災(zāi)難恢復(fù)計(jì)劃的主要元素：災(zāi)難恢復(fù)小組拯救小組正常運(yùn)行恢復(fù)其它的恢復(fù)事項(xiàng)Page83災(zāi)難恢復(fù)步驟DisasterRecoveryProc第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page84第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page25應(yīng)急響應(yīng)計(jì)劃概況應(yīng)急組織應(yīng)急預(yù)案應(yīng)急事件處理流程應(yīng)急響應(yīng)技術(shù)與工具Page85應(yīng)急響應(yīng)計(jì)劃概況Page26概念應(yīng)急響應(yīng)（IncidentResponse/EmergencyResponse）通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施，其目的是避免、降低危害和損失，以及從危害和損失中恢復(fù)。計(jì)算機(jī)及網(wǎng)絡(luò)攻擊應(yīng)急響應(yīng)就是針對(duì)計(jì)算機(jī)攻擊及網(wǎng)絡(luò)攻擊事件所采取的應(yīng)急措施。事件（Incident）的定義：違反安全策略的行為，這里雖說(shuō)的安全策略可能是明確規(guī)定的，也可以是引申出來(lái)的。（Theactofviolatinganexplicitorimpliedsecuritypolicy。）Page86概念應(yīng)急響應(yīng)（IncidentResponse/Emerg事件種類完整性受損拒絕服務(wù)濫用損害（如病毒毀壞數(shù)據(jù)）入侵Page87事件種類完整性受損Page28應(yīng)急響應(yīng)的提出計(jì)算機(jī)安全應(yīng)急響應(yīng)的提出：1988年Morris蠕蟲席卷全球CERT/CC（ComputerEmergenceResponseTetim／CoordinationCenter,計(jì)算機(jī)安全應(yīng)急響應(yīng)小組／協(xié)調(diào)中心）：負(fù)責(zé)在日常完成安全保障和緊急情況下的安全應(yīng)急響應(yīng)任務(wù)的組織其目的是建立一個(gè)單一的Internet社區(qū)組織，協(xié)調(diào)Internet上的妥全事件響應(yīng)FIRST（ForumofIncidentResponseandSecurityTeams，應(yīng)急響應(yīng)和安全團(tuán)隊(duì)論壇）：把政府、商業(yè)機(jī)構(gòu)和妥全學(xué)術(shù)組織的安全應(yīng)急響應(yīng)團(tuán)隊(duì)聯(lián)合起來(lái)．組成一個(gè)有機(jī)的整體目標(biāo)是在事件預(yù)防中培養(yǎng)合作和協(xié)調(diào)，推動(dòng)安全事件快速響應(yīng)同時(shí)促進(jìn)在會(huì)員間的大范圍信息共享．Page88應(yīng)急響應(yīng)的提出計(jì)算機(jī)安全應(yīng)急響應(yīng)的提出：1988年Morri應(yīng)急組織（1/5）國(guó)內(nèi)國(guó)際著名的應(yīng)急響應(yīng)組織

1988年的莫里斯蠕蟲事件之后的一個(gè)星期內(nèi)，美國(guó)國(guó)防部資助卡內(nèi)基梅隆大學(xué)（CMU）的軟件工程研究所成立了計(jì)算機(jī)緊急響應(yīng)組協(xié)調(diào)中心（CERT/CC），是第一個(gè)應(yīng)急響應(yīng)組。中國(guó)，1999年在清華大學(xué)成立了中國(guó)教育和科研網(wǎng)緊急響應(yīng)組（CCERT），是中國(guó)大陸第一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組。建立目標(biāo)根據(jù)事件的嚴(yán)重程度和影響程度,向用戶或相應(yīng)部門進(jìn)行報(bào)警或通知;

普及安全知識(shí)，教育系統(tǒng)管理員，提高用戶的安全意識(shí)；提供咨詢服務(wù)，接受委托幫助參于系統(tǒng)安全配置管理，或者根據(jù)請(qǐng)求對(duì)系統(tǒng)的安全管理提供建議；計(jì)算機(jī)攻擊及網(wǎng)絡(luò)攻擊事件的緊急響應(yīng)，避免、降低危害和損失，以及從危害和損失中恢復(fù)；進(jìn)一步調(diào)查,確定入侵者的真實(shí)來(lái)源和其他詳細(xì)信息.Page89應(yīng)急組織（1/5）國(guó)內(nèi)國(guó)際著名的應(yīng)急響應(yīng)組織Page30應(yīng)急組織（2/5）組織結(jié)構(gòu)應(yīng)急響應(yīng)核心組（EmergencyResponseCoreTeam——ERCT）安全應(yīng)急響應(yīng)小組（SIRT）安全調(diào)查員（SI）應(yīng)用所有者（AO）應(yīng)用開發(fā)人員/管理員（AA）系統(tǒng)所有者/管理員（SA）網(wǎng)絡(luò)管理員（NA）防火墻管理員（FA）安全顧問(wèn)（SC）Page90應(yīng)急組織（2/5）組織結(jié)構(gòu)Page31應(yīng)急組織（3/5）基礎(chǔ)設(shè)施分布式入侵檢測(cè)系統(tǒng)認(rèn)證服務(wù)系統(tǒng)協(xié)同事件處理系統(tǒng)安全資源管理系統(tǒng)（WWW、FTP）安全通信系統(tǒng)(MailingList)Page91應(yīng)急組織（3/5）基礎(chǔ)設(shè)施Page32應(yīng)急組織（4/5）管理規(guī)范應(yīng)急響應(yīng)組章程安全事件處理操作規(guī)范事件匯總報(bào)告制度安全事件的預(yù)警與通告技術(shù)交流與培訓(xùn)Page92應(yīng)急組織（4/5）管理規(guī)范Page33應(yīng)急組織（5/5）職能事件處理;安全公告;安全監(jiān)控;安全評(píng)估;安全咨詢;安全狀況報(bào)告;教育培訓(xùn);安全工具發(fā)布;協(xié)作協(xié)調(diào);Page93應(yīng)急組織（5/5）職能Page34應(yīng)急預(yù)案應(yīng)急預(yù)案是開展應(yīng)急響應(yīng)行動(dòng)的行動(dòng)計(jì)劃和實(shí)施指南。應(yīng)急響應(yīng)預(yù)案實(shí)際上是一個(gè)透明和標(biāo)準(zhǔn)化的反應(yīng)程序,使應(yīng)急響應(yīng)活動(dòng)能按照預(yù)先周密的計(jì)劃和最有效的實(shí)施步驟有條不紊地進(jìn)行。這些計(jì)劃和步驟是快速響應(yīng)和有效防護(hù)的基本保證。應(yīng)急預(yù)案，應(yīng)該有系統(tǒng)完整的設(shè)計(jì)、標(biāo)準(zhǔn)化的文本文件、行之有效的操作程序和持續(xù)改進(jìn)的運(yùn)行機(jī)制。按照系統(tǒng)論的思想,應(yīng)急響應(yīng)預(yù)案是一個(gè)開放、復(fù)雜和龐大的系統(tǒng),應(yīng)急預(yù)案的設(shè)計(jì)和組織實(shí)施應(yīng)遵循體系要素構(gòu)成和持續(xù)改進(jìn)的指導(dǎo)思想。Page94應(yīng)急預(yù)案應(yīng)急預(yù)案是開展應(yīng)急響應(yīng)行動(dòng)的行動(dòng)計(jì)劃和實(shí)施指南。P應(yīng)急事件處理流程準(zhǔn)備工作事件認(rèn)定控制事態(tài)發(fā)展事件消除事件恢復(fù)事件追蹤Page95應(yīng)急事件處理流程準(zhǔn)備工作Page36應(yīng)急響應(yīng)技術(shù)與工具漏洞檢測(cè)技術(shù)及相關(guān)工具監(jiān)聽技術(shù)及相關(guān)工具日志分析技術(shù)及相關(guān)工具路由控制技術(shù)及相關(guān)工具反向追蹤技術(shù)及相關(guān)工具Page96應(yīng)急響應(yīng)技術(shù)與工具漏洞檢測(cè)技術(shù)及相關(guān)工具Page37應(yīng)急響應(yīng)的資源IncidentResponse,ElectronicDiscovery,andComputerForensics,SecurityFocus,TheFederalComputerIncidentResponseCenter(FedCIRC),TheCanadianOfficeofCriticalInfrastructureProtectionandEmergencyPreparedness,http://www.ocipep.gc.caIncidentHandlingLinks&Documents(75links),/incidents/linksSEI:HandbookforComputerSecurityIncidentResponseTeams,/pub/documents/98.reports/pdf/98hb001.pdfCERT/CC:ComputerSecurityIncidentResponse,/csirts/CERT/CC:RespondingtoIntrusions,/security-improvement/modules/m06.htmlAuCERT:ForminganIncidentResponseTeam,.au/render.html?it=2252&cid=1920SANS:S.C.O.R.E,/score/Page97應(yīng)急響應(yīng)的資源IncidentResponse,Elec第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃1.概述2.業(yè)務(wù)持續(xù)性計(jì)劃3.災(zāi)難恢復(fù)計(jì)劃4.應(yīng)急響應(yīng)計(jì)劃5.數(shù)據(jù)備份及實(shí)驗(yàn)6.案例應(yīng)用及分析內(nèi)容介紹Page98第六章業(yè)務(wù)持續(xù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃內(nèi)容介紹Page39數(shù)據(jù)備份數(shù)據(jù)備份與災(zāi)難恢復(fù)密不可分，數(shù)據(jù)備份是災(zāi)難恢復(fù)的前提和基礎(chǔ)，而災(zāi)難恢復(fù)是在此基礎(chǔ)之上的具體應(yīng)用突難恢復(fù)：能夠在災(zāi)難性事故發(fā)生時(shí)利用已備份的數(shù)據(jù)或其他手段，及時(shí)對(duì)原系統(tǒng)進(jìn)行恢復(fù)，以保證數(shù)據(jù)的安全性以及業(yè)務(wù)的持續(xù)運(yùn)轉(zhuǎn)數(shù)據(jù)備份不僅僅是簡(jiǎn)單的文件復(fù)制，也不等于文件的永久性歸檔。要求有一種高速、大容量的存儲(chǔ)介質(zhì)將所有的文件（網(wǎng)絡(luò)系統(tǒng)、應(yīng)用軟件和用戶數(shù)據(jù)）進(jìn)行全面的復(fù)制與管理。Page99數(shù)據(jù)備份數(shù)據(jù)備份與災(zāi)難恢復(fù)密不可分，數(shù)據(jù)備份是災(zāi)難恢復(fù)的前提個(gè)人數(shù)據(jù)備份 個(gè)人數(shù)據(jù)備份：對(duì)個(gè)人電腦硬盤中的數(shù)據(jù)進(jìn)行備份。特點(diǎn)：對(duì)單機(jī)數(shù)據(jù)進(jìn)行備份、數(shù)據(jù)連不大無(wú)長(zhǎng)期保存需求，備份僅僅是為了防止數(shù)據(jù)丟失無(wú)專業(yè)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)可隨時(shí)停機(jī)手工恢復(fù)數(shù)據(jù)個(gè)人電腦中需要備份的數(shù)據(jù)包括操作系統(tǒng)、應(yīng)用軟件與各種文件。Page100個(gè)人數(shù)據(jù)備份 個(gè)人數(shù)據(jù)備份：對(duì)個(gè)人電腦硬盤中的數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份的類型 ——按照備份的數(shù)據(jù)量分類（1/3）完全備份：整個(gè)系統(tǒng)全面完整