计算机系统安全原理与技术7第8章应急响应与灾难恢复zl教学教案.pptVIP

计算机系统安全原理与技术(第2版) * * 第8章 应急响应与灾难恢复 本章主要内容 应急响应与灾难恢复的重要性 应急响应概述 容灾备份和恢复 网站备份与恢复系统实例 计算机取证 入侵追踪 8.1 应急响应与灾难恢复的重要性 安全事件影响的严重性 安全漏洞的普遍性 恶意代码的流行性 入侵检测能力的局限性 网络和系统管理的复杂性 法律方面 8.2 应急响应概述 8.2.2 应急响应组织 为了各响应组之间的信息交换与协调，1990年11月，由美国等国家应急组织发起，一些国家的CERT组织参与成立了计算机事件响应与安全工作组论坛FIRST(Forum of Incident Response and Security Teams)。FIRST的基本目的是使各成员能在安全漏洞、安全技术、安全管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终达到联合防范计算机网络攻击行为的目标。 8.2 应急响应概述 8.2.2 应急响应组织 目前国内的应急处理和响应机制仍然处于起步阶段。 1999年5月教育科研网(CERNET)在清华大学首先成立了应急组织。 同年6月我国首次参加FIRST第11次会议，此后国内相继建立应急处理组织 包括中国计算机教育与科研网的计算机紧急事件响应组(CCERT)、中国计算机网络应急处理协调中心(CNCERT/CC)、解放军军队应急组织、公安部计算机病毒防治中心、公安部计算机应急网站等。 8.2 应急响应概述 8.2.2 应急响应组织 尽管CERT/CC早就宣称CERT/CC是他们注册的名称，但许多应急响应组都仍以CERT、CIRT等命名。国际上通常把应急响应组称为CSIRT(Computer Security Incident Response Team)。 根据RFC 2350中的定义，CSIRT是对一个固定范围的客户群内的安全事件进行处理、协调或提供支持的一个团队。一个应急响应组的人员数由应急响应组的服务范围和类型而定的，甚至可以是一个人。 根据资金的来源、服务的对象等多种因素，应急响应组可分成以下几类：公益性应急响应组、内部应急响应组、商业性的应急响应组和厂商应急响应组。 8.2 应急响应概述 8.2.3 应急响应体系研究 8.3 容灾备份和恢复 8.3.1 容难备份与恢复的概念 为什么需要容灾备份？ 什么是容灾备份？ 容灾备份系统的种类 容灾备份系统组成 容灾备份系统的等级 衡量容灾备份的两个技术指标 8.3 容灾备份和恢复 8.3.2 容灾备份的关键技术 SAN或NAS技术 远程镜像技术 快照技术 互连技术 8.4 网站备份与恢复系统实例 8.4.1 系统工作原理与总体结构 8.4.2 系统主要功能 8.4.3 系统采用的关键技术 8.5 计算机取证技术 8.5.1 计算机取证的概念 1．什么是“计算机取证” “计算机取证”一词由International Association of Computer Specialists(IACIS)在1991年举行的第一次会议中提出，它是一门计算机科学与法学的交叉学科。计算机取证方面的资深人士Judd Robbins对计算机取证给出了如下的定义：计算机取证是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。 8.5 计算机取证技术 8.5.1 计算机取证的概念 1．什么是“计算机取证” 我们认为，计算机取证就是采用可靠的技术手段对计算机犯罪的证据进行获取、保存、分析、鉴定、归档的全过程。包括使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据；对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档，然后据此找出入侵者(或入侵计算机)，认定犯罪嫌疑人，并将由于网络入侵和攻击所造成的损失诉诸法律解决。 8.5 计算机取证技术 8.5.1 计算机取证的概念 1．什么是“计算机取证” 计算机取证是为了揭露或帮助响应发生或已经发生的入侵、破坏或危及系统安全的未授权犯罪行为，采用计算机取证技术可以通过法律的手段规范网络用户的行为，维护网络的正常运行，以及对网络入侵者实施惩治和威慑。 8.5 计算机取证技术 8.5.1 计算机取证的概念 2．计算机取证的原则 在计算机取证界中，最权威的计算机取证原则莫过于IOCE(International Organization on Computer Evidence，计算机证据国际组织)提出的6条原则： 所有的取证和处理证据的原则必须被遵守； 获取证据时所采用的方法不能改变原始证据； 取证人员必须经过专门的培训； 完整地记录对证据的获取、访问、存储或者传输的过程，并对这些记录妥善保存以便随时查阅； 每一位保管电子证据的人应该对他