CISP MINDMAP信息安全培训 .docxVIP

信息安全事件 应急响应 信息安全事件响应组恢复点?目标

信息安全事件

应急响应

信息安全事件响应组

恢复点?目标RPO

专业技术?支持能?力的实现

运?行维护管理能?力的实现

?一般流程

包含四个阶段

每次备份的数据只是上?一次备份后增加和修改过的数据 增量备份 备份技术

由于?自然或者?人为以及软硬件本?身缺陷或故障的原因，对信息

系统造成危害，或在信息系统内发?生对社会造成负?面影响的事件

GB/T24363-2009信息安全应急响应计划规范 组织为了应对突发/重?大信息安全事件的发?生所

做的准备，以及在事件发?生后所采取的措施

美国计算机紧急事件响应?小组协调中?心（CERT/CC）

每次备份的数据是上?一次全备份之后新增加和修改过的数据 差分备份 国际

灾难恢复相关技术

事件响应与安全组织论坛（FIRST）

亚太地区计算机响应组（APCERT）

欧洲计算机?网络研究教育协会(TERENA)

备?用场所 GB/Z20985-2007信息安全事件管理指南

由组织中具备适当技能且可信的成员组成的?一个?小组，负责处理

与信息安全事件相关的全部?工作，有时?小组可能有外部专家加?入

国家计算机?网络应急技术处理协调中?心（CNCERT/CC）

中国教育和科研计算机?网紧急响应组(CCERT)

国内

应急响应

基本概念

国家计算机病毒应急处理中?心

国家计算机?网络?入侵防范中?心

国家863计划反计算机?入侵和防病毒研究中?心

CERT计算机应急响应组 国际或国家公认的计算机应急响应组织

灾难恢复资源要素灾难恢复等级划分

组织?一般构成

是?一个周?而复始的、持续改进的过程

?风险分析

业务影响分析（BIA） 需求分析

《关于加强信息安全保障?工作的意?见》（中办发『2003』27号?文）指出：“信息安全保障?工作的要点在于，实?行信息

安全等级保护制度，建设基于密码技术的?网络信任体系，建设信息安全监控体系，重视信息安全应急处理?工

作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”

确定灾难恢复?目标

确定所需的灾难恢复资源 依据制定

明确恢复资源的获取?方式 制定内容

明确对恢复资源的具体要求

数据备份系统

备?用数据处理系统 策略制定

备?用?网络系统

备?用基础设施 恢复要素

专业技术?支持能?力

运?行维护管理能?力

灾难恢复预案

应急响应灾难恢复

应急响应?方?面

国家政策要求相关标准

GB/T24363-2009

《信息安全应急响应计划规范》

GB/T20988-2007《信息系统灾难恢复规范》GB/Z20985-2007《信息安全事件管理指南》

GB/Z20986-2007《信息安全事件分类分级指南》

有害程序事件：病毒、蠕?虫、?木?马等

?网络攻击事件：DOS、后?门攻击、扫描、钓?鱼等

信息破坏事件：信息被篡改、假冒、窃取等

7个基本类别 信息内容安全事件：危害国家安全、社会稳定等

设备设施故障：软硬件?自?身故障和?人为?非技术破坏等

灾害性事件：?自然灾害、战争等

其他信息安全事件：不能归为以上6个类别的事件

选址原则 灾备中?心的选择与建设

基础设施要求

技术?方案的设计

技术?方案的验证、确认和系统开发 灾备系统技术?方案的实现

系统安装和测试 策略实现

灾难备份中?心应建?立相应的技术?支持组织，定期对技术?支持?人员进?行技能的教

育和培训，以实现专业技术?支持能?力

灾难备份中?心应建?立各种操作规程和

管理制度，以实现运?行维护管理能?力

灾难恢复规划 灾难恢复管理过程 参考3要素

4个分级

4个级别

应急响应管理过程 6个阶段 准备、检测、遏制、根除、恢复、跟踪

信息系统的重要程度、系统损失社会影响

特别重?大安全事件（1级）重?大事件（2级）较?大事件（3级）

?一般事件（4级）

完整性、易?用性、明确性、有效性、兼容性 制定原则

制定

制定框架、起草、评审、修订

、测试、完善、审核和批准 预案的制定和管理

合法原则

不?一定是执法机关授权

桌?面演练

模拟演练 演练主要?方式 教育、培训和演练

实战演练等

2003年，《国家信息化领导?小组关于加强信息

安全保障?工作的意?见》，要求：各基础信息?网络和重