CISP应急响应与灾难恢复课件.ppt

CISP应急响应与灾难恢复,CISP应急响应与灾难恢复CISP应急响应与灾难恢复课程内容2知识体知识域知识子域应急响应与灾难恢复信息系统灾难恢复应急响应概况灾难恢复相关技术,课程内容,2,知识体,知识域,知识子域,应急响应与灾难恢复,信息系统灾难恢复,应急响应概况,灾难恢复相关技术,知识域：应急响应概况,知识子域：信息平安事件分类分级理解信息平安事件和应急响应的根本概念了解国际和我国的信息平安应急响应组织了解我国信息平安事件应急响应工作的进展情况、政策要求和相关标准理解我国信息平安事件分类、分级方法,根本概念,GB/T 24363-2021 信息平安应急响应方案标准应急响应 组织为了应对突发/重大信息平安事件的发生所做的准备，以及在事件发生后所采取的措施信息平安事件 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件,根本概念,为什么要做应急响应应急响应是出现紧急情况时的行动。应急方案准备的一种,编制应急方案,对一旦出现紧急情况时人员行动作出规定,有秩序的进展排除故障,以减少损失针对各种突发公共事件而设立的各种应急方案，通过该方案使损失减到最小网络平安应急响应的对象计算机网络平安事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的平安事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫,根本概念,应急响应能做什么第一、未雨绸缪，即在事件发生前事先做好准备，比方风险评估、制定平安方案、平安意识的培训、以发布平安通告的方式进展的预警、以及各种防范措施；第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、去除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。,GB/Z 20985-2007 信息平安事件管理指南信息平安事件响应组内部人员 由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息平安事件相关的全部工作，有时小组可能有外部专家参加CERT 计算机应急响应组国际或国家公认的计算机应急响应组织,根本概念,国际信息平安应急响应组织,事件响应与平安组织论坛Forum of Incident Response and Security Teams,FIRST first.org 亚太地区计算机应急响应组Asia Pacific Computer Emergency Response Team,APCERT欧洲计算机网络研究教育协会Trans-European Research and Education Networking Association,TERENA),我国信息平安应急响应组织,国家计算机网络应急技术处理协调中心 National Computer network Emergency Response technical Team/Coordination Center of China,CNCERT/CC中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863方案反计算机入侵和防病毒研究中心,应急响应组织的一般构成,国家政策要求和相关标准,?关于加强信息平安保障工作的意见?中办发200327号文指出：“信息平安保障工作的要点在于，实行信息平安等级保护制度，建立基于密码技术的网络信任体系，建立信息平安监控体系，重视信息平安应急处理工作，推动信息平安技术研发与产业开展，建立信息平安法制与标准,GB/T 24363-2021?信息平安应急响应方案标准?GB/T 20988-2007?信息系统灾难恢复标准?GB/Z 20985-2007?信息平安事件管理指南?GB/Z 20986-2007?信息平安事件分类分级指南?,我国信息平安事件分类方法,GB/Z 20986-2007?信息平安事件分级分类指南?7个根本类别数据丧失等有害程序事件：是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息平安事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类网络攻击事件：是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息平安事件。网络攻击事件包括拒绝效劳攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类信息破坏事件：是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息平安事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丧失事件和其它信息破坏事件等6个子类,我国信息平安事件分类方法,信息内容平安事件：是指利用信息网络发布、传播危害国家平安、社会稳定和公共利益的内容的平安事件。设备设施故障：是指由于信息系统自身故障或外围保障设施故障而导致的信息平安事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息平安事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类灾害性事件：是指由于不可抗力对信息系统造成物理破坏而导致的信息平安事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐惧袭击、战争等导致的信息平安事件。其他事件类别是指不能归为以上6个根本分类的信息平安事件。,我国信息平安事件分级方法,分级要素 GB/Z 20986-2007?信息平安事件分级分类指南?,我国信息平安事件分级方法,信息系统的重要程度：主要考虑信息系统所承载的业务对国家平安、经济建立、社会生活的重要性以业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。系统损失：是指由于信息平安事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除平安事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失社会影响：是指信息平安事件对社会所造成影响的范围和程度，其大小主要考虑国家平安、社会秩序、经济建立和公众利益等方面的影响，划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响,我国信息平安事件分级方法 GB/Z 20986,特别重大事件,重 大事 件,较 大事 件,一 般事 件,1级2级3级4级,真题演示,进入21世纪以来，信息平安成为世界各国平安战略关注的重点，纷纷制定并公布网络空间平安战略，但各国历史.国情和文化不同，网络空间平安战略的内容也各不一样，以下说法不正确的选项是：a、与国家平安、社会稳定和民生密切相关的关键根底设施是各国平安保障的重点b、美国尚未设立中央政府级的专门机构处理网络信息平安问题，信息平安管理职能由不同政府部门的多个机构共同承担c、各国普遍重视信息平安事件的应急响应和处理d、在网络平安战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系,真题演示,以下关于CSIRT的说法错误的选项是：a、CSIRT是“计算机平安应急响应小组的英文缩写b、CSIRT应当包括法律、技术和其他专家，以及刑侦管理人员c、CSIRT应当是一个常设机构，其成员应当专职从事应急响应，以便最快速地做出反响d、应急响应工作本质上是被动的，因此CSIRT应当在事件发生前做好充分准备，尽可能争取主动,知识域：应急响应概况,知识子域：信息平安应急响应管理过程掌握信息平安应急响应阶段方法论掌握准备、检测、遏制、铲除等应急响应阶段的主要工作内容掌握信息平安应急响应方案编制方法,应急响应六阶段,第一阶段：准备让我们严阵以待第二阶段：检测对情况综合判断第三阶段：遏制制止事态的扩大第四阶段：铲除彻底的补救措施第五阶段：恢复系统恢复常态第六阶段：跟踪总结还会有第二次吗,第一阶段 准备,预防为主微观确定重要资产和风险，实施针对风险的防护措施编制和管理应急响应方案建立和训练应急响应组织准备相关的资源人力资源、财力资源、物质资源、技术资源、社会关系资源宏观建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定,编制和管理应急响应方案,应急响应方案，是指在突发/重大信息平安事件后对包括计算机运行在内的业务运行进展维持或恢复的策略和规程应急响应方案的制定是一个周而复始、持续改进的过程，包含以下几个阶段1应急响应需求分析和应急响应策略确实定2编制应急响应方案文档3应急响应方案的测试、培训、演练和维护应急响应方案主要内容,总那么、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件,第二阶段 检测,检测事件、确定事件性质和处理人微观进展监测、报告及信息收集确定事件类别和级别指定事件处理人，进展初步响应评估事件的影响范围事件通告信息通报、信息上报、信息披露宏观：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案,第三阶段 遏制,限制事件影响的范围、损失微观启动应急响应方案确定适当的响应方式实施遏制行动要求用户按应急行为标准要求配合遏制工作宏观确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果,第四阶段 铲除,长期的补救措施微观详细分析，确定原因实施铲除措施，消除原因宏观加强宣传，公布危害性和解决方法，呼吁用户解决终端的问题加强检测工作，发现和清理行业与重点部门的问题,第五阶段 恢复,微观根据破坏程度决定是在原系统还是备份系统中恢复按恢复优先顺序恢复系统和业务运行可能需要执行以下事务性步骤和技术性恢复操作获得访问相关区域和资源的授权获取备份介质等相关资源恢复系统数据启用备份系统重建主系统宏观持续汇总分析，判断遏制、铲除效果通过汇总分析的结果判断仍然受影响的终端的规模适当时解除封锁措施,第六阶段 跟踪总结,关注系统恢复以后的平安状况，记录跟踪结果评估损失、响应措施效果分析和总结经历、教训重新评估和修改平安策略、措施和应急响应方案对进入司法程序的事件，进展进一步调查，打击违法犯罪活动编制并提交应急响应报告处理人时间和时段地点工作量,事件的类类别、级别对事件的处置情况损失经历、教训,知识域：应急响应概况,知识子域：计算机取证了解计算机取证的概念和目的了解计算机取证的根本步骤,计算机取证的概念、目的、原那么,计算机取证使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动提取和保护的是电子证据，相关工作主要围绕两个方面进展：证据的获取和证据的分析目的查找肇事者、推断犯罪过程、判断受害者损失程度、提供法律支持原那么合法原那么、充分授权原那么、优先保护证据原那么、全程监视原那么,计算机取证的步骤,计算机取证-准备,获取授权取证工作获得明确的授权授权书目标明确对取证的目的有清晰的认识工具准备对取证环境的了解及需要准备的工具软件准备对取证的软件进展过有效的验证介质准备确保有符合要求的干净的介质可用于取证,计算机取证-保护,保证数据平安性制作磁盘映像不在原始磁盘上操作保证数据完整性取证中不使用可能破坏完整性的操作第三方监视所有操作都有第三方在场监视,计算机取证-提取,优先提取易消失的证据内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存文件系统数据恢复、隐藏文件、加密文件、系统日志应用系统系统日志,计算机取证-分析及提交,证据在什么地方？日志、删除的文件、临时文件、缓存从证据中能发现什么？如何关联证据？电子取证提交必须与现实取证结合，文档化很重要,真题演示,以下对于信息平安事件理解错误的选项是：a、信息平安事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件b、对信息平安事件进展有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息平安战略的一局部c、应急响应是信息平安事件管理的重要内容d、通过部署信息平安策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息平安事件的发生,真题演示,关于信息平安事件管理和应急响应，以下说法错误的选项是：a、应急响应是指组织为了应对突发重大信息平安事件的发生所做的准备，以及在事件发生后所采取的措施d、根据信息平安事件的分级参考要素，可将信息平安事件划分为4个级别：特别重大事件(级).重大事件(级).较大事件(级)和一般事件(级),知识域：信息系统灾难恢复,知识子域：灾难恢复概况了解灾难恢复的历史和背景、进展情况、政策要求和相关标准理解业务连续性管理与灾难恢复相关的根本概念了解灾难恢复组织的一般构造和职责理解组织应依据自身业务特点制定适宜的灾难恢复战略理解编制详细准确的备份策略和恢复步骤文档是成功恢复的根底，理解恢复性测试的重要性,灾难恢复的历史和背景,20世纪90年代末期，开场关注数据平安，进展数据的备份。但当时，不管从灾难恢复理论水平，重视程度，从业人员数量质量，还是技术水平方面都还很不成熟。2000年，“千年虫事件引发了国内对于信息系统灾难的第一次集体性关注,我国灾难恢复进展情况,各行业用户对信息平安的建立越来越重视投入呈现稳定增长的态势。但，大局部单位还没有有效的灾难恢复策略没有建立统一的业务连续管理机制 随着国内信息化建立的不断完善、数据大集中的开展和国家对灾难恢复工作的高度重视，越来越多的单位和部门认识到灾难恢复的重要性和必要性，开展灾难恢复建立的时机已根本成熟一些大型行业已建立或启动灾备中心建立,我国国内灾难恢复的国家政策和标准,2003年，?国家信息化领导小组关于加强信息平安保障工作的意见?，要求：各根底信息网络和重要信息系统建立要充分考虑抗毁性与灾难恢复，制定和不断完善信息平安应急处置预案 2004年，国信办?关于做好重要信息系统灾难备份工作的通知?，强调了“统筹规划、资源共享、平战结合的灾备工作原那么 2005年，国务院信息化办公室?重要信息系统灾难恢复指南?2007年，?信息平安技术信息系统灾难恢复标准?GB/T 209882007,灾难恢复相关根本概念,灾难disaster由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或效劳水平不可承受、到达特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行,SARS,灾难备份(backup for disaster recovery)为了灾难恢复而对数据、数据处理系统、网络系统、根底设施、专业技术支持能力和运行管理能力进展备份的过程灾难恢复(disaster recovery)为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可承受状态而设计的活动和流程,规划和预案 GB/T 20988,灾难恢复规划 disaster recovery planning为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前方案和安排。灾难恢复预案 disaster recovery plan定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。,BCP和BCM GB/T 20988,业务连续性规划Business Continuity Planning，BCP是灾难事件的预防和反响机制，是一系列事先制定的策略和规划，确保单位在面临突发的灾难事件时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续。业务连续规划不仅仅包括对信息系统的恢复，而且包括关键业务运作、人员及其它重要资源等的恢复和持续业务连续性管理 Business Continuity Management，BCM 为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建立组织有效反响恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理，以及为保证业务连续方案或灾难恢复预案的有效性的培训、演练和检查的全部过程,RPORecovery Point Objective，恢复点目标定义：灾难发生后，系统和数据必须恢复到的时间点要求代表了当灾难发生时允许丧失的数据量RTORecovery Time Objective，恢复时间目标定义：灾难发生后，信息系统和业务功能从停顿到必须恢复的时间要求代表了企业能容忍的信息系统和业务功能恢复的时间,恢复点目标-RPO/恢复时间目标-RTO,恢复点,恢复时间,主中心与灾难备份中心、主系统与灾难备份系统,主中心(主站点/生产中心)，是指主系统所在的数据中心灾难备份中心备用站点，是指用于灾难发生后接替主系统进展数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的根底设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生产设施 主系统生产系统，是指正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络灾难备份系统，是指用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统,灾难恢复组织,灾难恢复组织应由管理、业务、技术和行政后勤等人员组成，通常会分为灾难恢复规划领导小组、灾难恢复规划实施组和灾难恢复规划日常运行组等角色可聘请外部专家协助灾难恢复规划工作，也可委托外部机构承担实施组和运行组的局部或全部工作,一般的灾难恢复组织构造,灾难恢复战略,适宜的数据备份及恢复战略是防止丧失重要数据、有效恢复和满足业务运营需要的保证组织应根据自身的业务性质、数据特点、信息系统规模、业务影响分析的结果主要是RTO、RPO这两个指标，来制定适当的备份及恢复战略比方，实时性业务与非实时性业务的的战略应完全不同备份及恢复战略的不同，将决定组织选择不同的存储技术、备份技术、备用场所,备份策略和恢复步骤及测试,备份、备份数据的测试，是恢复的根底应识别所有需要备份的数据项，编制诸如?备份策略和恢复步骤?的文档，分别描述每一备份项的备份策略、详细恢复步骤、测试要求因为不同类型的数据，其特点不同，备份策略和恢复步骤可能完全不同恢复步骤应足够详细,真题演练,在制定灾难恢复与应急方案时，下面哪一种情况不是正确的考虑？a、对应急方案测试与维护应当是一个持续过程b、在异地恢复站点恢复系统处理能力时要用到的所有资源与材料应当是可获得的c、所有相对不重要的工作没有必要恢复d、在多个站点的环境下，应当为每一个计算机中心制定一份单独的恢复方案审计涵盖关键业务领域的灾难恢复方案时，IS审计师发现该方案没有包括全部系统。那么，IS审计师最为恰当的处理方式是：a、推迟审计，直到把全部系统纳入DRPb、知会领导，并评估不包含所有系统所带来的影响c、中止审计 d、按照现有的方案所涵盖的系统和范围继续审计，直到全部完成,真题演练,某公司在执行灾难恢复测试时信息平安专业人员注意到灾难恢复站点的效劳器的运行速度缓慢，为了找到根本愿因，他应该首先检查：a、灾难恢复站点的错误事件报告b、灾难恢复测试方案 c、灾难恢复方案(DRP)d、主站点和灾难恢复站点的配置文件,知识域：信息系统灾难恢复,知识子域：灾难恢复管理过程掌握灾难恢复管理工作的主要内容掌握灾难恢复规划过程：灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理理解同城和异地灾难备份中心的优缺点,灾难恢复管理工作的主要内容,灾难恢复规划灾难备份中心的日常运行灾难发生后的应急响应关键业务功能在灾难备份中心的恢复和运行主系统的灾后重建灾难恢复的外部协作灾难恢复的审计和备案,灾难恢复规划,灾难恢复规划：是一个周而复始的、持续改进的过程，包含以下四个阶段灾难恢复需求分析灾难恢复策略制定灾难恢复策略实现灾难恢复预案的制定和管理,灾难恢复规划管理过程,业务影响分析,制定灾难恢复策略,实现灾难恢复策略,灾难恢复预案的制定、落实和管理,分析业务功能和相关资源配置评估中断影响,确定灾难恢复资源获取方式确定对灾难恢复资源的要求,选择和建立灾难备份中心实现灾难备份系统技术方案实现专业技术支持能力实现运行维护管理能力,制定灾难恢复预案教育、培训和演练灾难恢复预案更新维护灾难恢复预案,风险分析,标识资产标识威胁标识脆弱性标识现有控制分析风险,灾难恢复需求分析,灾难恢复策略制定,灾难恢复预案制定和管理,灾难恢复策略实现,确定灾难恢复目标,确定关键业务及恢复优先顺序确定RTO/RPO,1.灾难恢复需求分析,风险分析业务影响分析BIA确定灾难恢复目标,恢复时间,明确关键业务功能和支持关键业务功能的关键应用系统明确系统中断对业务的损失和影响明确各业务系统的恢复目标和内外部依赖关系确定各业务功能灾难恢复指标RTO/RPO明确各业务功能恢复的最小资源需求及恢复策略,业务影响分析BIA,确定灾难恢复目标,2.灾难恢复策略制定,数据备份系统备用数据处理系统备用网络系统备用根底设施专业技术支持能力运行维护管理能力灾难恢复预案,恢复要素,策略制定主要内容,1.确定所需的灾难恢复资源,2.明确恢复资源的获取方式,3.明确对恢复资源的具体要求(需要具备的灾难恢复能力等级),例如：灾难恢复资源的获取方式,备用根底设施由单位所有或运行多方共建或通过互惠协议获取租用商业化灾难备份中心的根底设施备用数据处理系统事先与厂商签订紧急供货协议事先购置所需的数据处理设备并存放在灾难备份中心或平安的设备仓库利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备,例如：确定灾难恢复等级各要素的要求,数据备份系统数据备份的范围数据备份的时间间隔数据备份的技术及介质数据备份线路的速率及相关通信设备的规格和要求备用根底设施与生产中心的距离要求场地和环境如面积、温度、湿度、防火、电力和工作时间等要求运行和管理要求,3、灾难恢复策略实现,灾难备份中心的选择和建立选址原那么根底设施要求灾难备份系统技术方案的实现技术方案的设计、验证、开发、安装和测试专业技术支持能力的实现明确灾难恢复策略的要求建立技术支持组织，定期技能培训运行维护管理能力的实现灾难备份中心应建立各种操作规程和管理制度保证备份的及时性和有效性保证有效的应急响应、处理能力,灾难备份中心的选择和建立,选址原那么防止灾难备份中心与生产中心同时遭受同类风险具备通信、电力资源和交通条件统筹规划、资源共享、平战结合根底设施要求计算机机房应符合有关国家标准工作辅助设施和生活设施要符合灾难恢复目标的要求,灾难备份中心的选择和建立,同城和异地,灾难备份系统技术方案的实现,三个主要步骤：技术方案的设计，技术方案的验证、确认和系统开发，系统安装和测试典型的灾难备份系统技术方案架构,专业技术支持能力的实现、运行维护管理能力的实现,灾难备份中心应建立相应的技术支持组织，定期对技术支持人员进展技能的教育和培训，以实现专业技术支持能力灾难备份中心应建立各种操作规程和管理制度，以实现运行维护管理能力,灾难恢复预案的制定和管理,灾难恢复预案的制定 灾难恢复预案的教育、培训和演练 灾难恢复预案的管理,灾难恢复预案的制定,灾难恢复预案包括的主要内容确定风险场景描述可能受到的业务影响描述使用的预防性策略描述灾难恢复策略识别和排列关键应用系统行动方案团队和人员的职责联络清单所需资源配置,灾难恢复预案的制定,制定灾难恢复预案的原那么完整性易用性明确性有效性兼容性,制定灾难恢复预案的一般流程制定框架起草评审修订测试完善审核和批准,灾难恢复预案的教育、培训和演练,目的：在灾难降临前使相关人员了解灾难恢复的目标和流程，熟悉恢复操作规程教育：在规划初期即开场进展灾难恢复观念的宣传教育培训：评估培训需求，确定培训的频次和范围，开发培训课程，保存培训记录演练：制定演练方案，说明演练场景，记录演练过程，编制演练报告,演练与演习的类型,演练和演习的主要方式桌面演练模拟演练实战演练等根据演练和演习的深度，可分为数据级演练应用级演练业务级演练等根据演练和演习的准备情况，可分为方案内的演练和演习方案外的演练和演习等,灾难恢复预案的管理,按以下原那么保存和分发指派专人负责制作多份拷贝，保存在不同地点分发给参与恢复工作的所有人员每次修订后统一更新所有拷贝按有关规定销毁旧版本为保证预案的有效性在发生各种变化后，及时更新预案在测试、演练、灾难发生后实际执行过预案以后，评估并修订定期评审和修订,知识域：信息系统灾难恢复,知识子域：灾难恢复能力掌握国家有关标准对信息系统灾难恢复能力级别的划分理解各恢复能力级别对各类灾难恢复资源要素的指标要求掌握确定组织自身所需灾难恢复能力级别的方法,灾难恢复资源要素与恢复能力等级划分,专业技术支持能力,运行维护管理能力,第1级 根本支持,第2级 备用场地支持,第3级 电子传输和局部设备支持,第3级 电子传输和局部设备支持,第4级 电子传输及完整设备支持,第4级 电子传输及完整设备支持,第5级实时数据传输及完整设备支持,第5级实时数据传输及完整设备支持,第6级数据零丧失和远程集群支持,第6级数据零丧失和远程集群支持,知识域：灾难恢复相关技术,知识子域：备份技术理解全备份、增量备份和差分备份三种备份方式理解三种备份方式的特点,备份类型,全备份对整个系统的所有文件进展完全备份 增量备份每次备份的数据只是上一次备份后增加和修改正的数据差分备份每次备份的数据是上一次全备份之后新增加和修改正的数据,不同备份方式的特点,全备份备份量最大，恢复最简单增量备份备份量最小，恢复最麻烦差分备份差异备份备份量、恢复繁琐度介于前两者之间备份策略重要时间点执行完全备份、经常进展增量备份、定期执行差分备份,知识域：灾难恢复相关技术,知识子域：备用场所了解冷站、温站、热站、移动站和镜像站等类别的备用场所的概念，了解各类备用场所具有的功能、备战性程度了解由组织拥有或运行维护的专用站点、同内部或外部实体通过签署互惠协议而确定的备用站点、向专业商业组织租用的备用站点在建立和管理方式方面的不同,基于功能、备战性程度，备用站点分为：,冷站：通常包含用于支持IT系统的足够空间和根底设施电力，电信连接和环境控制；不包含IT设备、办公自动化设备温站：包含局部或所有系统硬件、软件、电信和电源资源装备的办公空间。维持于一个运行维护状态热站：有足够空间大小以支持系统要求和配备了必要的系统硬件、支持根底设施和支持人员的办公空间。一旦接到通知，热站人员将立即开场准备系统的运行移动站：带有满足系统需求的特定电信和IT设备的为客户量身定做的自包含、可移动的站点镜像站：包含全部、实时信息镜像的冗余设施。同主站点在技术方面是完全一样的。数据的处理和存储在主、备站同时进展，提供最高级别的可用性,备用场所,各类备用场所之间的比照,基于建立和管理方式，备用场所分为：,由组织拥有或运行维护的专用站点完全由组织出资建立、使用、维护和管理，其可以是冷战、温站、热站、镜像站或移动站同内部或外部实体通过签署互惠协议而确定的备用站点由两个或更多有相似或一样IT配置和备份技术的组织，签订一个正式合同以相互间作为备用场所或与同一个备用场所签订一个联合合同。这种类型的站点通过互惠协议建立向专业商业组织租用的备用站点需要事先与专业商业组织签订商业合同，必须在合同中协商并清晰地说明足够的测试时间、工作空间、平安要求、硬件要求、电信要求、支持效劳和恢复时间在恢复期间，组织机构可以占用空间多久,真题演练：,以下关于灾难恢复和数据备份的理解，说法正确的选项是：a、增量备份是备份从上次完全备份后更新的全部数据文件b、依据具备的灾难恢复资源程度的不同，灾难恢复能力分为7个等级c、数据备份按数据类型划分可以划分为系统数据备份和用户数据备份d、如果系统在一段时间内没有出现问题，就可以不用再进展容灾演练了,谢谢,