灾难恢复工具 • EasyRecovery
– 硬盘数据恢复工具，支持基本操作系统平台 （WIN9X/2000/XP ） – 支持误格式化、分区损坏，或者误删除了有用的文
件（完全删除）等情况下的数据恢复
• ExcelRecovery
– ExcelRecovery是一个专门修复Excel电子表格数
据的文件 – 支持Excel97、Excel95以及Excel5.0等多达5种格 式的Excel文件 – 能将损坏的表格单元数据包括文本、数字、公式值 等一一恢复，能够修补受损的多重分页文件结构
软件的安装与卸载权 限管理机制不严
杀毒软件不能及时升 级
所需软件被卸载，不能正常 使用
系统运行很慢
高
4
低 高 中
2 4 3
钥匙管理人员不可达， 多媒体课室门不能及时打开 无“备份” 多媒体技术支持人员 无“备份” 技术支持不能及时到位
• 可能性分析主要依据威胁评估等级。最后根据影响分析及可能性分析 的结果来进行风险评估，此处采用“风险=可能性×影响”的方法来 计算风险。风险评估的结果如表所示。
未部署防火设施
未安装空调及除湿设备 软件的安装与卸载权限管理 机制不严 杀毒软件不能及时升级
很 高
高 高 低
5
4 4 2
自然威胁
硬件故障
硬件物理保护不够
硬件使用寿命有限或其他原 因
很 高
高
5
4
风险标识
资产
威胁
脆弱点
影响分析
影响等级
R1
R2 R3 R4 R5 多媒体 系统
供电中断
误操作
没有备用电源
老师对多媒体课室使 用注意事项不熟悉 硬件物理保护不够 安全保卫机制不健全 未部署防火设施 未安装空调及除湿设 备 硬件使用寿命有限或 其他原因
中
很高 很高 中 中 高 中
配置备用电源
多媒体系统操作培训 加强安全保卫工作 配备灭火设备 技术支持 加强权限管理，采用系统“一键还原” 机制。 定期升级病毒库 配备多个人员备用 配备多个人员备用
中 疾病或其他原因导 致不能及时到岗 中
第四章
信息安全事件管理
1 基本概念及内涵
2 信息安全应急响应
3 信息安全灾难恢复
风险标识 R1 R2 R3 R4 R5 R6 R7 R8 硬件 资产 威胁
影响评估 可能性评估
风险值风险等级供电断多媒体 误操作 系统 自然威胁 盗窃、物理破坏 火灾 极端温度及湿度 硬件故障 软件故障 软件 恶意代码 疾病或其他原因导 人员 致不能及时到岗
4
5 5 5 5 3 4 4 2 4 3
-- 利用路由器自带的访问控制列表（ACL）功 能进行安全防护和阻断攻击
反向追踪技术/工具 包跟踪 & 物理线路跟踪
3 信息安全灾难恢复
3.1 基本概念 3.2 数据备份 3.3 灾难恢复
分类依据
数据备份的类型
完全备份；增量备份；差分备份； 备份的数据量 综合型完全备份
备份形式 物理备份(冷备份；热备份) & 逻辑备份
•
应急响应
4.1事件分类分级（对本类型信息安全事件进行定义和分类、分级） 4.2应急事件通告（按照有关规定，明确本类型事件信息报告程序和内容） 4.3应急准备与启动（明确相关部门或人员分工和职责，相关应急资源准备等） 4.4应急处理（应急上报的渠道、程序、内容；应急行动、现场救援实施方案的实施原则等） 4.5应急结束（明确应急终止条件，事件调查及总结事项等）
课室钥匙管理人员无“备份” 高 多媒体技术支持人员无“备 份” 老师对多媒体课室使用注意 事项不熟悉 高 很 高
• 脆弱点识别还应结合 威胁识别的结果，重 点考察可能导致安全 事件的威胁-脆弱点 对，在脆弱点识别后， 再依据脆弱点的严重 程度对脆弱点进行评 估。评估结果如下表 所示。
火灾
极端温度及湿度 软件故障 恶意代码
资产类别
名称
多媒体电脑 投影仪 控制台
关键程度
高 高 中 高 低 中 低 中 中 中 低 低 低 中 中 低 4 4 3 4 2 3 2 3 3 3 2 2 2 3 3 2
硬件
供电设备 投影幕 空调 网络电缆及接口 系统软件
软件
课件播放软件 应用软件 杀毒软件
信息
多媒体课件 演示程序 课室管理人员
人员
应急响应：信息安全事件发生后采取的措施和行动，其目的
是避免、降低危害和损失，以及从危害和损失中恢复
应急响应预案 应急响应预案：是被设计用于在信息安全突发事件中，维持 或恢复包括计算机运行在内的业务运行的策略和规程。 制定原则：完整性、易用性、明确性、有效性、兼容性！
一般应急预案格式.doc
• XXX事件应急预案
技术支持人员 安全保卫人员
威胁类型 自然威胁
威胁表现形式
地震 、飓风 、火山 、洪水、海 啸 、泥石流、暴风雪 、雪崩 、 雷电等 供电中断
评估等级
很低
中 低 低 中 高 很高
1
3 2 2 3 4 5
• 通过对上述各 类资产面临的 主要安全威胁 进行分析，并 依据其出现的 可能性大小对 各类威胁进行 评估，结果如 下表所示。
备份实现层次 硬件冗余 & 软件备份 备份地点 本地备份 & 异地备份
(3) 数据备份技术
• 典型存储技术－直接连接存储（DAS）
• 典型存储技术－网络附加存储（NAS）
• 典型存储技术－存储区域网络（SAN）
3 信息安全灾难恢复
3.1 基本概念 3.2 数据备份 3.3 灾难恢复
数据备份 灾难恢复
• 脆弱点识别，应对针 对已识别人每一类资 产，考虑可能存在的 脆弱点，它包括技术 脆弱点与管理脆弱点 • 本例中由于技术问题 简单，因而主要表现 为管理方面的脆弱性。 为提高效率
供电中断 盗窃、物理破坏 疾病或其他原因 导致不能及时到 岗 误操作
脆弱点
没有备用电源 安全保卫机制不健全
评估等级
高 很 高 4 5 4 4 5
都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括 文件名、文件类型、原始位置、创建日期、删除日期、文件 长度等），用户可以根据这些信息方便地查找和恢复自己需 要的文件。甚至在数据文件已经被部分覆盖以后，专业版 FinalData也可以将剩余部分文件恢复出来。 – FinalData的操作简便易用 – 网络恢复功能：通过代理、远程恢复 – 齐全的版本支持：Windows 95/98/ME、Windows NT/2000、Macintosh、Linux和UNIX上的各种版本
系统无法使用
硬件损害或软件误删除
高
很高
4
5
自然威胁 盗窃、物理破坏 火灾 硬件 极端温度及湿度 硬件故障
设备物理破坏 硬件被破坏或被盗 系统被烧毁 系统使用不正常 硬件不能正常使用
很高 很高 很高 中 高
5 5 5 3 4
R6 R7
软件故障 R8 软件 R9
R10 人员 R11 恶意代码 疾病或其他原因导 致不能及时到岗
• •
后期处置
（对事件处理结果的情况汇报、经验总结、奖惩评定及表彰等后续工作）
保障措施
5.1通信保障 5.2物资保障 5.3人员保障 5.4资金保障 5.5技术保障 5.6其它保障工作（交通运输保障、电力保障等） 5.7宣传、培训和学习
•
附则
（本条以上条款未尽事宜及所涉及的相关术语解释）
2 信息安全应急响应
•
• •
总则
（简述本预案编制所依据的法律法规以及相关行业管理规定、技术规范和标准等）
组织机构及职责
（对实施应急响应的机构、人员及其职责范围都进行具体说明与规划）
预防与预警
3.1预防（明确对本类型事件危险源监测的方式方法，以及采取的预防措施） 3.2预警（明确本类型事件预警的条件、方式、方法和信息发布程序） 3.3预警解除
第三章
信息安全风险评估与管理
课 程 内 2 风险评估与管理的流程 容
1 风险管理的基本概念
3 风险评估方法和技术
附：案例分析
通过分析多媒 体教学系统在硬 件、软件信息、 有关人员等方面 的资产信息，并 考察这些资产的 价值以及对信息 系统的关键程度。 经识别与分析 后，有关资产及 其关键程度如表 所示。
环境威胁
火灾、供水故障、污染、极端温度 或湿度 电脑、投影仪硬件故障 网络故障
系统威胁
系统软件、应用软件故障、课件播 放软件故障 恶意代码
盗窃
物理硬件故意破坏
高
中 很高 中
4
3 5 3
人员威胁
误操作 疾病或其他原因导致不能及时到岗
人 员 利 用 网 络 访 问 的 威 胁 树
脆弱点识别内容表
可能威胁
数据备份是灾难恢复的前提和基础 灾难恢复是数据备份基础上的具体应用
制订恢复计划：核心是恢复中心的建设，具体包括：
--热站、冷站、通过其它离站存储设备以及合作备份。
灾难恢复工具
• FinalData
– FinalData具有强大的数据恢复功能：文件被误删除（并从 回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件 信息全部丢失、物理故障造成FAT表或者磁盘根区不可读， 以及磁盘格式化造成的全部文件信息丢失之后，FinalData
2.1 基础理论 2.2 组织机构 2.3 方法工具
应急响应组织机构：专门为组织处理信息安全事件的团队
应急响应领导小组
主要职责：领导和决策信息安全应急响应的重大事宜
应急响应计划实施小组
主要职责：确定应急策略和等级；应急策略的实现等
应急响应日常运行小组
协助灾难恢复系统实施；备份系统的运行和维护等
-- 应急响应组织大事记 1988年,Am.计算机紧急响应组协调中心（CERT/CC） 德国的DFN－CERT; Cisco公司的Cisco PSIRT等 1990年, 应急响应与安全组论坛FIRST 1999年，中国教育和科研网紧急响应组（ CCERT） 国家计算机网络应急技术处理协调中心（ CNCERT/CC） 东软计算机安全事件应急小组（NCSIRT）