应急响应与灾难恢复要点.pptVIP

计算机系统安全原理与技术 计算机系统安全原理与技术 * 计算机系统安全原理与技术 * 第8章 应急响应与灾难恢复 * 计算机系统安全原理与技术 * 本章主要内容 应急响应与灾难恢复的重要性 应急响应概述 容灾备份和恢复 网站备份与恢复系统实例 计算机取证技术 入侵追踪 * 计算机系统安全原理与技术 * 8.1 应急响应与灾难恢复的重要性 安全事件影响的严重性 安全漏洞的普遍性 恶意代码的流行性 入侵检测能力的局限性 网络和系统管理的复杂性 * 计算机系统安全原理与技术 * 8.2 应急响应 8.2.1 应急响应 8.2.2 应急响应体系 * 计算机系统安全原理与技术 * 8.2.1 应急响应的概念 “应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种安全事件的发生所做的准备以及在事件发生后所采取的措施。 这里所谓的“安全事件”可以定义为破坏信息或信息处理系统的行为。 * 计算机系统安全原理与技术 * “安全事件”可以定义为破坏信息或信息处理系统的行为： 破坏保密性的安全事件 破坏完整性的安全事件 破坏可用性的安全事件 扫描 抵赖 垃圾邮件骚扰 传播色情信息 愚弄和欺诈 * 计算机系统安全原理与技术 * 8.2.2 应急响应体系研究 * 计算机系统安全原理与技术 * 8.3 容灾备份和恢复 8.3.1 容难备份与恢复的基本概念 8.3.2 容灾备份的关键技术 * 计算机系统安全原理与技术 * 8.3.1 容难备份与恢复的基本概念 为什么需要容灾备份？ 容灾备份/关键系统和关键数据的重新运营 容灾备份系统的种类/数据容灾、应用容灾 容灾备份系统组成 数据备份、备份数据处理系统、备份通讯网络、灾难恢复计划 容灾备份系统的等级 0没有备援中心1本地磁带备份2异地热备份点3活动备份中心 衡量容灾备份的两个技术指标 数据恢复程度、恢复时间 * 计算机系统安全原理与技术 * 8.3.2 容灾备份的关键技术 SAN或NAS技术 NAS网络存储，基于IP网络提供文件级服务 SAN存储区域网络，基于光纤连接大型设备 远程镜像技术 通过网络实现的数据镜像（备份）技术 快照技术 先用镜像把数据备份的远程数据库中，再用快照把远程系统中的信息备份到远程的磁带与光盘中 互连技术 基于IP和SAN的数据备份 * 计算机系统安全原理与技术 * 8.4网站备份与恢复系统实例 8.4.1 系统工作原理与总体结构 8.4.2 系统主要功能 8.4.3 系统采用的关键技术 （略） * 计算机系统安全原理与技术 * 8.5.1 什么是计算机取证 计算机取证就是采用可靠的技术手段对计算机犯罪的证据进行获取、保存、分析和出示 实质上是一个详细扫描计算机系统以及重建入侵事件的过程 计算机取证包括物理证据获取和信息发现两个阶段 物理证据获取是指调查人员来到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件；信息发现是指从原始数据(包括文件，日志等)中寻找计算机犯罪的证据。 8.5 计算机取证技术 * 计算机系统安全原理与技术 * 8.5.2取证关键技术和相关工具 存储介质的安全无损备份技术 已删除文件的恢复技术 slack磁盘空间、未分配空间，交换文件和空闲空间中所包含信息的发掘技术 日志反清除技术 日志分析技术 取证数据传输安全技术 取证数据的完整性检测技术 网络数据报文截获和分析技术 * 计算机系统安全原理与技术 * 8.5.3 当前计算机取证软件的原理和实现 以UNIX为例——基本的文件系统理论和元数据的知识(不针对任何特定的实现)。 * 计算机系统安全原理与技术 * 计算机取证软件实例 缺省取证程序Grave-Robber 数据恢复和阅读工具Unrmlazarus 获取文件MAC时间的工具Mactime 其他小工具 * 计算机系统安全原理与技术 * 8.5.4 当前计算机取证技术的局限和反取证技术 反取证就是删除或者隐藏证据使取证调查无效。现在的反取证技术可以分为3类：数据擦除、数据隐藏和数据加密。这些技术还可以结合起来使用，让取证工作的效果大打折扣。 * 计算机系统安全原理与技术 * 8.5.5 计算机取证的发展趋势 取证工具的专业化和自动化 融合其他理论和技术 取证的工具和过程标准化 * 计算机系统安全原理与技术 * 8.6 入侵追踪 8.6.1 IP地址追踪 8.6.2 攻击源追踪 8.6.3 报文标记追踪技术 * 计算机系统安全原理与技术 * 8.6.1 IP地址追踪 netstat命令 日志数据 捕获原始数据报文 搜索引擎 * 计算机系统安全原理与技术 * 8.6.2 攻击源追踪 入口过滤(