第七章 应急照顾备份与劫难恢复技巧[教学].ppt

事件响应 事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。 网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。 什么是应急响应 应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。 应急响应服务是解决网络系统安全问题的有效安全服务手段之一。 为什么需要应急响应 保护网络信息系统的安全 大量的安全漏洞存在 攻击系统和网络的程序存在 实际的和潜在的财务损失 不利的媒体曝光威胁（声誉的损失) 对效率的需求 当前入侵检测能力的局限性 法律方面的考虑 应急响应的目的 应急响应的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。 定位并排除系统故障 提高对网络黑客攻击的抵御和防范的规范程度 预防重大事件的发生 提高组织对系统安全事件的快速反应和恢复能力 网络系统的性能优化 提供整体网络运行的健康以及趋势分析 应急响应的过程 应急响应的过程——准备 基于威胁建立一组合理的防御/控制措施 建立一组尽可能高效的事件处理程序 准备处理问题必须的资源和人员 建立一个支持事件响应活动的基础设施 应急响应的过程——检测 确定事件是已经发生了还是在进行当中。 初步动作和响应 选择检测工具，分析异常现象 激活审计功能 迅速备份完整系统 记录所发生事件 估计安全事件的范围 应急响应的过程——抑制 限制攻击的范围，同时限制了潜在的损失和破坏。 抑制策略 完全关闭所有系统； 将网络断开； 修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的所有的流量； 封锁或删除被攻击的登录账号； 提高系统或网络行为的监控级别； 设置诱饵服务器作为陷阱； 关闭被利用的服务； 反击攻击者的系统等。 应急响应的过程——根除 安全事件被抑制后，找出事件根源并彻底根除，从而根除了影响的进一步扩大。 确定事件的起因和症状 增强防御技术 进行漏洞分析 删除事件的源头 查找最近的干净备份 应急响应的过程——恢复 把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。 决定恢复操作的时间 修复系统、网络或数据 使整个系统运行正常 监控系统 应急响应的过程——跟踪 回顾事件处理过程，拟定一份事件记录和跟踪报告 总结经验教训 为管理或法律目的收集损失统计信息 建立或补充自己的应急事件库 应急响应服务 形式 远程应急响应服务 本地应急响应服务 服务的指标 时间 应急处理内容 恶性病毒爆发 严重漏洞发布，可能在短期内出现蠕虫 确认病毒已经开始广泛传播和攻击 大多数主机工作异常，网络通讯出现异常 多数主机的防毒系统有报警，但是无法清除病毒 拒绝服务攻击 互联网出口缓慢 公开提供服务的服务器访问缓慢 网络流量出现不可解释的异常增加 服务器入侵 页面被非法篡改，或者出现非法文件 数据异常丢失 机密数据有被泄漏的证据 出现非法登陆或者日志被删改的情况 事件分级与处理方式 备份与恢复技术 备份与恢复是一种数据安全策略，通过备份软件把数据备份到磁带上，在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。理想的备份系统是全方位、多层次的。 数据备份与恢复技术通常会涉及到以下几个方面： 存储设备：磁盘阵列、磁带、光盘、SAN设备 存储优化：DAS(直接连接存储)、NAS(网络连接存储)、 SAN(存储区域网络) 存储保护：磁盘阵列、双机容错、集群、备份与恢复 存储管理：文件与卷管理、复制、SAN管理 备份方式 硬件备份：用冗余的硬件来保证系统的连续运行。比如 磁盘镜像、磁盘阵列、双机容错等方式。 磁盘镜像（Mirroring）：可以防止单个硬盘的物理损坏，但无法防止逻辑损坏。 磁盘阵列（Disk Array）：磁盘阵列一般采用RAID5技术，可以防止多个硬盘的物理损坏，但无法防止逻辑损坏。 双机容错：SFTIII、Standby、Cluster都属于双机容错的范畴。双机容错可以防止单台计算机的物理损坏，但无法防止逻辑损坏。 备份方式 软件备份：是指将系统数据保存到其他介质上， 当出现错误时可以将系统恢复到备份时的状态。 由于这种备份是由软件来完成的，所以称为软件 备份。 数据备份策略 完全备份：每次备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间； 增量备份：备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份； 差分备份：备份自上一次全备份以来更新的所有数据，其优缺点介于上两者之间。 数据备份一般规则 对于操作系统和应用程序代码，可在每次系统更新