4.1 知识子域:业务连续性管理
4.1.1 业务连续性管理基础
1.业务连续性与业务连续性管理
业务连续性(Business Continuity,BC)
业务连续性管理(Business Continuity Management,BCM)
2.BCM 与组织机构
3.BCM 的生命周期
其生命周期有 6 个阶段:
(1)BCM 需求、组织和管理程序的确定
(2)熟悉和理解业务,确定关键业务流程和关键因素
风险分析(RA)
业务冲击分析(BIA)
恢复时间目标(RTO)
(3)制定业务连续策略
综合分析恢复目标、所需资源、技术手段、投资成本、管理方式等,形成组织 BCM 策略、过程层面 BCM 策略、资源恢复 BCM 策略 3 个层次的业务连续策略
(4)开发并执行业务连续计划
业务连续性相关计划,包括业务连续性计划(BCP)、危机管理计划(CMP)、资源恢复计划(RRP)、灾难恢复计划(DRP)、业务恢复计划(BRP)、危机通信计划(CTP)、场地撤离计划(FEP)、应急反应计划(ERP)、人力资源计划(HRP)等
(5)BCM 意识培养和建立
(6)BCM 计划演练、维护和审计
4.1.2 业务连续性计划
业务连续性计划(Business Continuity Planning,BCP)是一套基于业务运行规律的管理要求和规章流程,能够使一个组织在突发事件面前迅速做出反应,以确保关键业务功能可以持续,不造成业务中断或业务流程本质的改变
如果连续性受到破坏,组织的业务过程停止,那么组织将执行灾难恢复计划(Disaster Recovery Planning,DRP)
BCP 过程包括 BCP 的组织管理、业务影响分析、BCP 的制订及批准实施和 BCP 的评估及维护 4 个主要步骤
1.组织管理
BCP 的组织管理应考虑理解业务组织、建立 BCP 团队、评估 BCP 资源、BCP 的合规性要求 4 个因素
(1)理解业务组织
(2)建立 BCP 团队
(3)评估 BCP 资源
(4)BCP 的合规性要求
服务级别协议(SLA)
2.业务影响分析
业务影响分析(Business Impact Assessment,BIA)
(1)确定业务优先级
为每项业务建立最大允许中断时间(Maximum Tolerable Downtime,MTD)
自中断开始,业务需要被恢复的最大期限
业务需要恢复到的最低水平
恢复到正常水平的时间跨度
MTD 指的是某个业务功能出现故障但是不会对业务产生无法弥补的损害所允许的最大时间长度
在进行 BCP 制定时,MTD 是需要重点考虑的
与之有关的还有另外一个度量标准,即恢复时间目标(Recovery Time Objective,RTO),它指的是当中断事件发生时,可以实际恢复功能的时间量
BCP 过程的目标是确保 RTO 小于 MTD,即要求一个业务功能必须在最大容忍中断事件内恢复
(2)风险分析
风险要素识别
可能性分析
考虑到计算的一致性,可能性评估通常采用年发生比率(ARO)表示,ARO 反映了业务预期每年遭受特定灾难的可能性
影响分析
(3)资产优先级划分
3.BCP 的制订及批准实施
(1)BCP 的制订
信息安全风险的处置方式有 4 种,分别是风险降低、风险转移、风险规避和风险接受
风险降低
在 BCP 中,需要重点保护的 3 个对象是人力资源、IT 基础设施和辅助性设施/场所
平均故障隔离时间(Mean Time Between Failure,MTBF)
平均修复时间(Mean Time To Repair,MTTR)
风险转移
通过常规的保险或合同安排来实现风险转移,或通过向第三方支付费用以其他方式处理风险
风险规避
风险接受
风险自留
(2)BCP 文档化
文档化是 BCP 过程中的关键步骤,其文档中应包含如下内容
BCP 的目标
BCP 团队和高级管理层提出的 BCP 的目标
这些目标应当在第一次 BCP 团队会议上或会议之前决定
职责声明
每个参与 BCP 的人都应当将他们的职责以书面形式列出
优先级声明
了解哪些是关键业务,哪些是次要业务极为重要
风险评估
BCP 策略
关键业务记录计划
应急响应的指导原则
测试与演习
BCP 文档还应当阐述一个正式的测试计划,以确保计划是最新的,并且所有人员都接受了充分的培训
(3)BCP 的批准与实施
4.BCP 的评估及维护
在更新 BCP 时,需要进行版本控制,所有旧的 BCP 版本都应该进行物理销毁
4.2 知识子域:信息安全应急响应
4.2.1 信息安全事件与应急响应
1.基本概念
信息安全事件,对信息系统造成危害,对社会造成负面影响的事件
应急响应时指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
应急响应工作列为我国信息安全保障工作的重点之一。《关于加强信息安全保障工作的意见》(中办发 [2003] 27 号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准。”
2.信息安全事件分类与分级
(1)信息安全事件分类
根据 GB/Z 20986-2007《信息安全技术 信息安全事件分类指南》,信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件 7 个基本类别
(2)信息安全事件分级
信息安全事件的分级参考下列 3 个要素:信息系统的重要程度、系统损失和社会影响
信息系统的重要程度划分为特别重要信息系统、重要信息系统和一般信息系统三级
系统损失划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失 4 个级别
社会影响划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响 4 个级别
根据信息安全事件的分级参考要素,可将信息安全事件划分为 4 个级别:特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)
安全事件定级
特别重大事件(I级):特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
会使特别重要的信息系统遭受特别严重的系统损失
会产生特别重大的社会影响
重大事件(II级):重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
会使特别重要的信息系统遭受严重的系统损失,或使重要的信息系统遭受特别严重的系统损失
产生重大的社会影响
较大事件(III级):较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
会使特别重要的信息系统遭受较大的系统损失,或使重要的信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失
产生较大的社会影响
一般事件(IV级):一般事件是指不满足以上条件的信息安全事件,包括以下情况:
会使特别重要的信息系统遭受较小的系统损失,或使重要的信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失
产生一般的社会影响
3.信息安全应急响应组织
(1)国际应急响应组织
世界上第一个信息安全应急响应组织的成立归因于 1988 年 11 月发生的“莫里斯蠕虫病毒”事件
(2)国内应急响应组织
我国还有国家计算机病毒应急处理中心、国家计算机网络入侵防范中心、国家 863 计划反计算机入侵和防病毒研究中心等应急响应组织
4.应急响应组织架构
应急响应专家小组提供建议咨询应急响应技术保障小组协助应急应急响应实施小组信息反馈应急影响日常运行小组
(1)应急响应领导小组的主要职责
(2)应急响应技术保障小组的主要职责
(3)应急响应专家小组的主要职责
(4)应急响应实施小组的主要职责
(5)应急响应日常运行小组的主要职责
4.2.2 网络安全应急响应预案
4.2.3 计算机取证与保全
计算机取证是使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动
电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品。对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的分析
计算机取证的过程可以分为准备、保护、提取、分析和提交 5 个步骤
1.准备阶段
(1)获取授权
(2)明确目标
(3)准备工具
(4)准备软件
(5)准备介质
2.保护阶段
(1)保证数据安全性
(2)保证数据完整性
3.提取阶段
4.分析阶段
5.提交阶段
4.2.4 信息安全应急响应管理过程
1.准备
准备阶段需要达到以下目标
首先,应确定重要资产和风险,实施针对风险的防护措施
其次,编制和管理应急响应计划
应急响应计划的编制和管理分为 3 个阶段:应急响应计划的编制准备,编制应急响应计划,应急响应计划的测试、培训演练和维护
另外,需要建立和训练应急响应组织和准备相关的资源
基本的资源包括财力资源、物质资源、技术资源和社会关系资源等
2.检测
3.遏制
实施遏制行动,常见的可选遏制措施如下
(1)关闭相关系统
(2)拔掉网线
(3)修改所有防火墙和路由器的过滤规则,拒绝来自发起攻击的嫌疑主机的所有流量;封锁或删除被攻破的登录账号
(4)提高系统、服务和网络行为的监控级别
(5)设置诱饵服务器作为陷阱;关闭服务
(6)反击攻击者的系统等
4.根除
常见的根除措施有消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等
5.恢复
6.跟踪总结
4.3 知识子域:灾难备份与恢复
灾难恢复计划(Disaster Recovery Planning,DRP)
4.3.1 灾难备份与恢复基础
1.灾备概念
灾难备份简称灾备,是指为了保证关键业务和应用在经历各种灾难后,仍然能够最大限度地提供正常服务所进行的一系列计划及建设行为,其目的就是确保关键业务持续运行以及减少非计划宕机时间。灾备包括灾难备份和灾难恢复两层含义。
2.灾备指标
灾备指标是用于衡量组织机构容灾性能的重要参考指标,恢复时间目标(Recovery Time Objective,RTO)和恢复点目标(Recovery Point Objective,RPO)是其中两个非常重要的指标
RPO 是指在业务恢复后的数据与最新数据之间的差异程度
RPO 的值越小,灾备的性能越好,如果 RPO = 0,说明数据是实时备份,不会出现数据丢失的情况
RTO 是系统发生故障到恢复业务所需要的时间,也就是容许服务中断的时间。RTO 值越小,系统从故障中恢复的时间越短,说明系统从灾难中恢复能力就越强,如果 RTO = 0,那么服务就不会中断
RPO 和 RTO 两个指标从不同的角度来反映灾难备份和恢复能力,RPO 和 RTO 都为 0 是最完美的解决方案
3.灾难恢复组织
4.国家灾备相关政策标准
(1)国家政策及相关标准
2003 年,27 号文中首次提到灾备的概念
2005 年,指明了灾难恢复工作的流程、等级划分和预案的制定框架
2007 年,GB/T 20988-2007《信息系统灾难恢复规范》规定了灾难恢复工作的流程,灾难恢复等级,以及灾难恢复方针设计、预案、演练等框架。该标准是灾备行业目前唯一的一套国家标准
2013 年,指出了灾备中心建设的全生命周期、灾备中心的运维工作等
(2)行业规定
灾难备份相关重点行业(尤其是银行、电力、铁路、民航、证券、保险、海关、税务八大行业)
4.3.2 灾难恢复相关技术
1.存储技术
依据网路存储结构,计算机数据存储技术主要分为直接附加存储(Direct Attached Storage,DAS)、存储区域网络(Storage Area Network,SAN)和网络附加存储(Network Attached Storage,NAS) 3 种
(1)直接附加存储
直接附加存储也称为服务器附加存储(Server Attached Storage,SAS)
可管理性差
(2)存储区域网络
(3)网络附加存储
2.备份技术
(1)备份方式
在备份技术中,主要包含全部备份、增量备份和差分备份 3 种备份方式
全部备份时对整个系统所有文件进行完全备份,包括所有系统和数据
增量备份时每次备份的数据相当于上一次备份后增加和修改过的数据
差分备份时每次备份的数据相对于上一次全部备份之后新增和修改过的数据
(2)备份介质
常见的配置如下:
(1)RAID-0,又称为条带
(2)RAID-1,又称为镜像
(3)RAID-5,又称为奇偶校验
(4)RAID-10,又称为 RAID 1 + 0 或条带镜像
3.冗余磁盘阵列
4.备用场所
冷战、温站、热站、移动站、镜像站
4.3.3 灾难恢复策略
1.国际标准 SHARE78
国际标准
对灾难备份的能力由低到高划分了 0 ~ 6 共 7 个层级
(1)0 级:无异地备份
(2)1 级:简单异地备份
(3)2 级:热备中心备份
(4)3 级:电子传输备份
(5)4 级:自动定时备份
(6)5 级:实时数据备份
(7)6 级:数据零丢失
2.我国灾难恢复等级
在《重要信息系统灾难恢复指南》划分了 6 个灾难恢复等级
(1)第 1 级:基本支持
(2)第 2 级:备用场地支持
(3)第 3 级:电子传输和部分设备支持
(4)第 4 级:电子传输及完整设备支持
(5)第 5 级:实时数据传输及完整设备支持
(6)第 6 级:数据零丢失和远程集群支持
3.组织常用的灾难恢复策略
根据对灾难的抵抗程度,把灾难恢复分为数据容灾、系统容灾和应用容灾 3 个级别
(1)数据容灾
(2)系统容灾
(3)应用容灾
4.确定灾难恢复能力级别
4.3.4 灾难恢复管理过程
1.灾难恢复需求分析
(1)风险分析
(2)业务影响分析
分析业务功能和相关资源配置
评估中断影响
定量分析是以量化方法,评估业务功能的中断可能给单位带来的直接经济损失和间接经济损失
定性分析是以非量化方法,评估业务功能的中断可能对国家的政治、社会、法律及单位内部事务等造成的影响
(3)确定灾难恢复目标
2.灾难恢复策略制定
灾难恢复资源分为 7 大类:数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、专业技术支持能力、运行维护管理能力和灾难恢复预案
3.灾难恢复策略实现
(1)选择和建设灾难备份中心
选择或建设灾难备份中心,应遵循一般的选址原则
避免灾难备份中心与生产中心同时遭受同类风险
同城
含义:指灾难备份中心与生产中心处于同一区域性风险威胁的地点,但又有一定距离,例如在数十千米以内
优点:技术上可以支持同步的数据实时备份方式,便于运营管理和灾难演练
缺点:抵御灾难能力方面有局限性,对地震、地区停电、战争等大规模灾难防范能力较弱
异地
含义:灾难备份中心不会同时遭受与生产中心同一区域性风险威胁的地点,离入距离生产中心数百千米以上
优点:对地震、地区停电、战争等大规模灾难防范能力较强
缺点:技术上只能支持异步或定点复制的数据方式,运营管理和灾难演练的成本较高
灾难备份中心应根据统筹规划、资源共享、平战结合的原则,合理布局
(2)实现灾备系统技术方案
主要经过 3 个步骤:技术方案的设计,技术方案的验证、确认和系统开发,系统安装和测试
(3)实现专业技术支持能力
(4)实现运行维护管理能力
4.灾难恢复预案制定和管理
包括四方面的工作
(1)制定灾难恢复预案
灾难恢复计划的制订应遵守以下原则
完整性
易用性
明确性
有效性
兼容性
(2)灾难恢复计划的教育与培训
(3)灾难恢复计划演习
演习通常分为桌面演练、模拟演练和实战演练
(4)灾难恢复预案的保存与分发
