《制定应急计划》PPT课件.ppt

第3章 制定应急计划,内容提要,什么是应急计划应急计划的组成 组合应急计划测试应急计划,3.1 什么是应急计划,应急计划（CP）的概念应急计划（CP）是指为处理意外事件做好准备的全部过程。CP 的内容包括：探测事件的发生、对事件做出响应以及从事件中恢复。CP 的主要目标：意外事件发生后，要在普通业务活动遭受最小损失和破坏的条件下，恢复到普通操作模式换句话说，是确保事情回到原来的状态。即使是在意外发生时，理想的 CP 应该确保信息系统可以被机构持续使用。,3.1 什么是应急计划,应急计划的组成应急计划有3 个基本组成部分：事故响应计划（IRP）灾难恢复计划（DRP）业务连续性计划（BCP）IRP 把焦点放在对事件的及时响应上;DRP则把焦点放在恢复主要场所（primary site）的操作上。如果主要场所的操作不能被迅速恢复，例如，当损失非常严重的时候，或者会在长时间内影响机构的正常活动的时候，BCP 就会和 DRP 同时出现，使业务能够在一个可供选择的位置上继续下去，直到机构可以重新使用其主要场所或者选择一个新的主要场所。,3.1 什么是应急计划,应急计划的制定根据一个机构的大小及其商业理念，信息技术和信息安全主管可以：把 CP的这三个组成部分作为一个整体的计划来创建并开发，单独创建这 3 个部分，与一组能够实现持续性的连锁程序组合起来。在典型情况下，大型复杂机构会单独创建并开发 3 个 CP 组成部分，因为每个组成部分在范围、适用性和设计上都是不同的。小型机构则趋向于采用单一计划方法，由一组直截了当的恢复策略组成。,3.1 什么是应急计划,创建应急计划的 6 个步骤 确定任务或业务的关键功能。确定出机构中必需能进行持续操作的操作区域。在灾难事件中，这些区域必须具有最高的优先权，以允许资源（时间、金钱、人员等）的最佳分配。确定支持关键功能的资源。这些资源可能包括人员、计算能力、应用程序、数据、服务、物理基础设施以及文档（表格，报告等）。预测潜在的突发事故或灾难。机构先假定一个潜在的灾难，并且确定它会影响哪些功能。选择应急计划策略。确定每个潜在灾难场面的应付方法，并且拟出一个计划以准备对灾难做出响应。实施选定的策略。一旦选定应急计划策略，机构必须做出恰当的准备，草拟出策略，并且对员工进行培训。测试和修订应急计划。因为漏洞可能会突然出现在计划及其实施过程中。,3.1 什么是应急计划,应急计划和应急操作参与团队事故响应团队：通过探测、评估事故并对事故做出响应来管理和执行事故响应计划。灾难恢复团队：通过探测、评估事故和对事故做出响应，并且还通过重建主要业务场所上的操作来管理和执行灾难恢复计划。业务连续团队：在突发性或灾难性事故发生时，通过建立和立即实施事故现场之外的操作来管理和执行业务持续性计划。3 个团队在 CP 团队中都有作为代表的成员，在大型机构中，这些团队是截然不同的实体，有着互不重叠的成员；在小型机构中，这 4 个团队则可能会包括重叠的人员。,3.2 应急计划的组成,应急计划（CP）包含 3 个主要组成部分：事故响应、灾难恢复以及业务连续性计划。无论一个机构是采取单一计划方法还是带有连锁程序的多重计划方法，每一个 CP 的组成部分都必须得到重视以及完整的制定。美国国家标准和技术协会（NIST）中的计算机安全资源中心（CSRC，Computersecurity Resource Center）这样描述了CP的必要性：CP应该同任何通用支持系统，包括应用程序使用的网络备份、应急及恢复计划相并列。CP应该确保接口系统得到确认以及应急/灾难计划的协调一致。,3.2.1 事故响应计划,在 CP 中，意外事件被称为事故。当第 2 章中确定的威胁中的某一个变成真实的攻击时，只要它具有以下所有的特征，它便被分类为信息安全事故：它直接针对信息资产 它有实际的成功机会 它威胁到信息资源和资产的机密性、完整性和可用性然后，事故响应登场，IR 是一个响应方法，而不是预防方法。事故响应计划（IRP）由一组详细的步骤和程序组成，这些步骤和程序负责预测、探测以及减轻可能危及信息资源和资产的意外事件的影响。IRP 被激活的时候通常是在一个事故导致最小损害这个最小值由机构预先设置的标准决定，此时业务操作受到很小或没有受到毁坏。,3.2.1 事故响应计划,3.2.1.1 准备计划,做事故响应计划要求对信息系统及其所面临的威胁有详细的了解。事故响应（IR）计划团队希望制定一系列预先设定的响应措施，用以在事故响应的各个步骤中指导团队和信息安全人员。对事故响应措施的预先设定使得机构能够对探测到的事故做出迅速而有效的响应，而不会出现一片混乱的情况或者浪费时间和工夫。IR 团队由专业人员组成，他们能够处理使信息系统和功能区受到影响的事故。团队的每位成员必须了解他的具体职责，与其他成员一同努力，并完成 IRP 的目标。,3.2.1.2 事故探测,每一个事故响应（IR）团队所面临的挑战在于识别一个探测到的活动是正常使用系统的结果还是真正的事故。最终用户的初始报告、入侵检测系统、基于主机和网络的病毒探测软件以及系统管理员，都是追踪和探测候选事故的方法。在报告候选事故方面的悉心训练可以使最终用户、平台技术支持人员以及所有安全人员能够将关键信息传递给 IR 团队。为了使得对真正事故的探测更为可靠，D.L.Pipkin 划定了事故征兆的 3 种类型：可能的、很可能的以及确定的。,3.2.1.2 事故探测,可能的征兆以下 4 种候选事件可能成为真正事故：陌生文件的出现：例如，用户可能在家里或办公室的计算机上发现陌生的文件，而管理员也可能会发现一些逻辑上可疑的或不属于授权用户的不明文件。未知程序、进程的出现或执行：例如，用户或管理员也许会在办公室计算机或网络服务器上发现陌生程序在运行或进程在执行。异常的计算机资源消耗：例如，内存或硬盘使用空间的猛然增加或下降。异常的系统崩溃：如果一台计算机系统发生崩溃、死机、重启或停滞的几率高于往常，这很可能就是由异常事故造成的。,3.2.1.2 事故探测,很可能的征兆 以下 4 种候选事件可能成为真正事故：预料时间段之外的活动：如果机构的网络传送水平超出了原来衡量的基准线的值，如果这种活动发生在机构少数员工作时，可能性就会变得更高。类似的，如果系统正在访问驱动器，比如软驱和光驱，而最终用户并未使用它们。出现新账号：定期检查用户账号能发现管理员并不曾创建或并未记录的账号，一个具有超级权限但未记录的新账号极有可能是一个真正的事故。攻击的报告：如果系统用户报告一个可疑攻击，那么很有可能该攻击已经发生。IDS 的通知：如果机构已经安装并正确配置了基于主机和网络的入侵检测系统（IDS），那么 IDS 的通知就表明一个事故正在进行中（可能错报）。,3.2.1.2 事故探测,确定的征兆 以下描述的 5 种类型的候选事件是真正事故的确定的征兆，必须采取迅速的应对措施。隐匿账号的使用：许多网络服务器都保留有默认账号、属于前任员工的、不享有远程访问权限的休假员工的，或是用于系统测试的虚拟账号。如果有任何使用这些账号访问系统资源、查询服务器或参与其他活动，就几乎可以肯定一个事故已经发生。日志的变更：明智的系统管理员会把系统日志与数据一同备份。作为常规事故扫描的一部分，系统管理员可以将这些日志与联机版本相比较，以确定它们是否被更改。如果被更改，而系统管理员又不能完全确定这是一个授权人员的作为，那么事故就已经发生了。,3.2.1.2 事故探测,确定的征兆 黑客工具的出现：网络管理员有时使用系统漏洞或网络评估工具来扫描内部的计算机和网络，以确定黑客会在此发现什么。这些工具过去常用来进行攻击态势研究。但它们却时常被员工、承包人或外来人员使用，他们通过访问本地网络来侵入系统。助手或伙伴的通知：如果一个商业伙伴或另一个有关机构报告说有一个来自你的计算机系统的攻击，那么，事故就已经发生了。黑客的通知：一些黑客喜欢捉弄他们的攻击目标。一个机构的网页如果遭到损坏，这就是一个事故；如果机构遭到勒索，要求用金钱来交换其客户的信用卡信息，那么，事故也已经发生了。,3.2.1.2 事故探测,发生真正的事故 一旦下列真正事故被确定后，必须立即采取相应的应对措施：可用性丧失：信息或信息系统变得不可用。完整性丧失：用户报告说出现了被破坏的数据文件、垃圾数据或看似错误的数据。机密性丧失：你被告知敏感信息泄露，或你认为受到保护的信息被泄露。违反政策：如果机构的处理信息或信息安全的政策被违反，则事故发生。违反法律：如果有人违反法律，破坏机构信息资源，则事故发生。,3.2.1.3 事故响应,真正的事故一旦被确定和正确分类，事故响应（IR）团队的工作就要从检测阶段转移到响应阶段。在事故响应阶段，IR 团队及其他部门采取的一系列行动措施必须迅速且同时执行。这些措施包括通知关键人员、任务安排以及事故的文档记录。通知关键人员一旦 IR 团队确定事故发生，必须按合理的次序通知相应人员。执勤名单是一种文档记录，它包含在事故发生时需要通知人员的联系信息。有两种方法启动执勤名单：顺序启动和分级启动。每一种方案都有其长处和短处，分级系统更迅速一些，因为同一时间能通知更多的人员，但由于消息在每人之间传递，可能会产生歪曲。而顺序系统则更准确一些，但由于只是一个人传递消息，所以会慢一些。,3.2.1.3 事故响应,事故的文档记录一旦事故被确定且开始通知进程以后，团队应该开始记录事故文档。文档记录中应包含当事故发生时，由谁、怎样、何时、何地、为什么以及怎样采取每一个行动。这种文档用来在事故之后作为对事故当中所采取的措施是否合理和有效的探讨研究。它也可证实机构已尽其所能防止事故扩散。在以后的培训期间，事故文档也可用来模拟 IRP 的未来形式。,3.2.1.3 事故响应,事故遏制事故响应（IR）最关键的部分之一是阻止事故或者限制其范围与影响。对信息和系统做出一个的简单的识别可以决定要采取哪些遏制措施:如果事故产生于机构外部，最简单和直接的办法是中断受影响的通信线路。如果事故并不影响关键的功能部分，对其进行监控和另行限制会更可行。动态的使用过滤规则对某些类型的网络访问进行限制。,3.2.1.3 事故响应,事故遏制其他的遏制策略列举如下:中止受威胁的用户账号 重新配置防火墙以阻断有问题的数据流量 暂时中止受威胁的进程和服务 关闭应用程序或服务器，例如电子邮件服务器 关闭所有计算机和网络设备一个事故可能在涉及范围或者严重程度上加剧到 IRP 不能够充分处理的程度。要知道到哪种程度应该按下应急按钮并把事故升级为灾难，或者是把事故转交给外部机构。在业务影响分析中，每个机构必须确定出临界点，以识别一个事故何时被认为是灾难。这些标准必须包含在事故响应计划当中。,3.2.1.4 事故恢复,一旦事故已经受到抑制，并且系统控制已经恢复，就可以开始进行事故恢复了。事故损坏性评估指确定信息的机密性、完整性和有效性以及信息资产受到的破坏范围的过程。系统日志、入侵检测日志、配置日志和其他的文档提供了关于损害的类型、范围和程度的信息。IR团队利用这些信息来评估信息和信息系统的当前状态，并且把它和已知的状态相比较。一旦损害的程度被确定下来，恢复过程就开始了。这个过程包括以下步骤：,3.2.1.4 事故恢复,确定造成事故发生以及传播的漏洞，解决它们。重点关注那些不能成功阻止或限制事故的安全措施，以及从一开始就缺少的安全措施，安装、替换或者升级。评估监控能力（如果提出）。改进探测和报告方法，或者安装新的监控设施。从备份中恢复数据。恢复使用中的服务和进程。必须检查受到威胁的服务和进程，然后整理并恢复它们。如果服务或进程在重新获得系统控制的过程中受到中断，则它们需要在线恢复。连续监视系统。如果一个事故曾经发生，那么它很可能再次发生。（黑客自夸）恢复机构内利益共同团成员之间的信任。,3.2.1.5 司法介入,当一个事故违反了民法或刑法时，机构的责任是负责通知有关当局。依据犯罪的类型选择合适的执法机构。执法机构介入有利也有弊。,3.2.2 灾难恢复,应急计划（CP）团队创建 灾难恢复计划（DRP）。通常情况下，如果一个事故符合如下两个标准之一，便被视为灾难：一个机构不能够抑制或控制事故造成的影响，事故导致的损害或损坏非常严重，以至于机构不能够迅速从中恢复。DRP 的重要作用是：决定如何在机构的主要场所重建正常的工作。,3.2.2.1 灾难分类,灾难恢复计划（DRP）可以用很多方法给灾难分类，最通用的办法是区分出自然灾难和人为灾难。人为灾难恐怖主义事件，包括网络恐怖主义或者黑客集攻击事件战争行为，以及有些人类行为自然灾害火灾龙卷风或风暴水灾飓风或台风地震海啸闪电静电释放塌方或泥石流灰尘污染,3.2.2.1 灾难分类,另一种方式是根据灾难发展的速度来给它们分类：迅速出现的灾难突然发生，少有警告，夺取人们的生命并且破坏生产方式。迅速出现的灾难可能由地震、洪水、暴风、龙卷风或者泥石流引起。缓慢发生的灾难随着时间的流逝，缓慢地降低机构的经受灾难的能力。引起这些灾难的危险一般包括干旱、饥荒、环境恶化、沙漠化、森林砍伐和害虫侵扰。,3.2.2.2 灾难计划,根据把每种潜在灾难分为各级威胁的方法，应急计划团队进行灾难计划制定。当制定一个灾难恢复计划时，首要考虑最重要的资产人。应急计划团队在灾难恢复计划中必须考虑如下几点：明确角色与责任：指派给灾难恢复团队的每个人应当知道自己在事故期间的职责。按照执勤名单通知主要工作人员。明确优先级别：灾难响应中，总是首先考虑保护人身安全。只有在确保所有员工和邻近人员的安全以后，灾难恢复团队才能着手保护其他的机构财产。灾难文档：用于以后确定灾难是怎样发生的以及发生原因。,3.2.2.2 灾难计划,总结为减轻灾难对机构运作的影响所采取的步骤：灾难恢复计划应具体指定每个灾难恢复团队的责任，例如实物财产的保护或者确定所有系统被安全的关闭，以防进一步的数据损失。如果首要方案无法使用，总结出针对不同系统组件的可选实施方案：这些组件包括预备设备，它们是购买的或租用的，或者是与灾难恢复服务机构的合同中规定的。开发一个具有附加功能、容错机制、自动恢复和故障保护装置等特点的系统更有利于快速恢复。例如简单地用动态主机控制协议（DHCP）分配网络地址代替静态地址能使系统在没有技术支持的情形下易于快速地重新建立连接。,3.2.2.2 灾难计划,灾难恢复计划（DRP）还应该给每个员工准备随身携带两种类型的应急信息卡。第一张卡上有个人紧急信息紧急情况下应该通知的人、健康状况和识别表单；第二张卡上有一套指令，该指令指导紧急情况下该如何做。它上面还应当有机构的紧急联系电话或热线号码、紧急服务单位号码（如消防、警察和医疗机构），还有撤离和聚集地（例如暴风雪庇护所）、协调员的姓名和电话号码以及其他所需的信息。,3.2.2.3 危机管理,灾难恢复计划也必须涉及另一个过程，即危机管理，许多机构都单独对这个过程进行了计划。危机管理需要一整套关键步骤，主要用于处理所涉及到的人员。灾难恢复团队应当和危机管理团队紧密联系以确保灾难期间可以进行完整及时的交流。根据 GartnerResearch（全球最具权威的 IT 研究与顾问咨询公司）的观点，危机管理团队应当从企业的观点来管理这些事故，主要涉及到下面几项活动：在危机期间要支持员工和他们所关爱的人；确定事故对正常业务运作的影响，必要时做出灾难声明；让公众了解事故真相和采取的应对措施以确保员工和企业元气的恢复；和主要的客户、供应商、合作伙伴、管理机构、行业机构、媒体和其他有关的当事人保持交流。,3.2.2.3 危机管理,危机管理团队应尽快在灾难现场附近建立控制中心，它的人员应当来自该机构的各个职能部门，以利于相互的交流和合作。危机管理团队主要负责两项关键任务：验证人员状态：必须说明每个人的状态，包括度假、缺席、出差。启动执勤名单：执勤名单和普通员工电话表用于通知需要的辅助人员，或者只是告诉职员不用上班，直到灾难结束为止。危机管理团队在灾难事故中应制定发布信息的方法，甚至应形成模式化新闻材料。,3.2.2.4 灾难响应,当灾难爆发，DRP 被启动时，有时最好的计划也不足以解决实际的事故。因此，应急计划团队应当给灾难恢复计划一定程度的弹性。如果设施完好无损，灾难恢复团队就应该开始恢复系统和数据，以使其尽量达到完全正常的运作能力。如果机构的设施遭到毁坏，则应采取其他备用措施直到获得新的设施。如果灾难威胁到了机构在主要场所的生存，则灾难恢复过程就延伸为业务连续性过程。,3.2.3 业务连续性计划,业务连续性计划（BCP）确保灾难发生时关键的业务功能得以继续，如果灾难致使当前业务场所不可用，则必须有一个使业务持续进行的计划。BCP 是完全由一个机构的 CEO 来管理。当灾难较严重且持续时间很长，并且需要全面恢复信息和复杂的 IT 资源时，BCP 将被启动且与灾难恢复计划（DRP）同时执行。业务连续性计划团队在另一场所重新建立业务功能时，灾难恢复计划团队则着重于在主要场所重建基础技术设施和业务运作。是不是每个业务都需要这种计划？,3.2.3.1 连续性策略,业务连续性计划的基础是识别关键业务功能及需要的资源。当灾难爆发时，这些业务功能将在备用场所首先创建。应急计划团队需要委任一组人来评估和比较各种可选的方案，并推荐该选取哪个策略来实施，所选的策略通常包括启用一些备用的设施，应定期地对这些放在其他地方的设施进行检查、配置以确保安全并定期测试。连续性策略 一个应急计划团队可以选择几种连续性策略计划，影响选择的关键因素在于成本。通常有 3 种独立的选择：,3.2.3.1 连续性策略,热站点（hotsite）：是一个配置完全的计算机设施，包括所有的服务、通信连接和物理环境的操作。它备份计算机资源、外设、电话系统、应用程序和工作站。本质上来说，这些备份的设施仅仅需要最新的数据备份和负责的人手。一个热站点应该能在几分钟内就充分发挥作用。它的缺点是需要对所有热站点的系统和设备以及物理与信息安全提供维护。这是可用选择中最昂贵的。温站点（warm site）：提供许多与热站点相同的服务和选择，但是既不包括典型的软件应用程序也不包括（这些软件的）安装和配置，通常它包括的是服务器。温站点具有许多热站点的优点，但又具有较低的成本。缺点在于需要几个小时或是几天来使一个温站点充分发挥作用。,3.2.3.1 连续性策略,冷站点（cold site）：一个冷站点仅仅提供了初步的服务和设施，不提供计算机硬件和外设。所有的通信服务必须在站点开始工作后才安装。一个冷站点装有标准供热系统、空调和电子服务的空房间。其他的任何选择都会增加成本。虽然存在这些缺点，但一个冷站点也会比什么都没有要好。它的最主要优点在于成本。这种方法最有用的特点在于，当受到大范围的灾难攻击时，它能减少对合适楼层空间的争用。还有 3 个共享使用的应急选择：时间分享（timeshare）：时间分享的作用就像前面描述的 3 个站点之一，但它是与一个商业伙伴或姐妹机构联合租用。它为机构能提供一个灾难恢复/业务连续性选择，同时又可以减少总成本。它主要的缺点在于两个以上的分时参与方可能会同时需要使用设施。,3.2.3.1 连续性策略,服务署（service bureau）：是一个提供收费服务的机构。在灾难恢复/应急计划中，这种服务指的是在灾难发生时提供物理设施。这些机构也经常提供付费的离线数据保存。互助协议：互助协议是两个机构间的合约，同意在灾难中援助对方。这些机构同意提供必要的设置、资源和服务，直到接受方能从灾难中恢复过来。在这 6 个基本策略之外，还可以使用一些特殊的方法，如离站灾难数据恢复：电子仓库：向离站设备大批量转移数据，这种转移常常通过租用线路或付费数据通信服务来完成。远程日志：把在线的业务活动转移到离站设备上，远程日志包括了系统级的在线活动，有点像服务器的容错措施，把数据同时写在两个地方。,3.2.3.1 连续性策略,数据库镜像：存储在线事务数据的副本，包括在远程站点后备服务器的数据库副本。数据库映象结合了电子仓库和远程日志，把多个拷贝同时写在两个不同的地方。,3.2.4 应急计划要素的时间安排和顺序,IRP 关注于即刻响应，但如果事故上升为灾难，IRP 可能会被 DRP 和 BCP 代替。DRP 一般关注灾难后的系统恢复，这与 BCP 联系紧密。当损失很大或持续时间很长时，BCP 和 DRP 会同时发生，这就不仅仅要求信息和信息资源的简单恢复。,3.2.4 应急计划要素的时间安排和顺序,3.3 组合应急计划,应急计划项目组的主要项目执行模式：,3.3.1 业务影响分析,业务影响分析（BIA），CP 过程的第一个阶段，为 CP 小组提供关于系统及其面对的威胁的信息，BIA 是初始计划阶段的重要部分，它提供每一个可能的攻击对组织的影响的详细报告。CP 团队把 BIA 分为下列几个阶段：威胁攻击识别和优先级划分业务单位分析假定攻击成功的情景潜在损失估计次要计划分类。,3.3.1.1 威胁鉴定和优先级划分,机构通过更新威胁列表和加入攻击简报的信息来识别自己所面对的风险并能够为风险划定优先级别。攻击简报是对一次攻击发生过程的详细描述，如攻击的初步迹象、活动预兆和结果。无论机构所面对的攻击是自然发生的还是人为的，无论是蓄谋已久的还是偶然的，都应该制定这样一个简报来应付每一个重大攻击。在随后的计划阶段，可以使用这些文档来发现攻击预兆，如果攻击成功，这些文档也可以用来确定损失程度。,3.3.1.2 业务单位分析,BIA 在机构内的第 2 个主要任务是业务职能分析和优先顺序划分，每个业务部门、单位、部分必须进行独立评估，来确定其职能对整个组织来说有多重要。例如，恢复操作可能依赖于 IT 部门，比起恢复一个公司的生产维护跟踪系统来说，恢复一个公司的生产线要紧迫得多。,3.3.1.3 假定攻击成功的情景,一旦生成威胁攻击简报并划分好业务职能优先顺序，BIA 团队就要假定一系列情景，描述每个优化级中出现的每次威胁的影响。这可能是一个长期而又详细的过程，因为这些事件可能牵涉到很多其他功能。攻击简报要包含典型攻击的详细描述，包括方法、攻击征兆和主要后果。一旦攻击简报完成，就可以把业务职能细节与攻击简报集成到一起，攻击简报中就有了更加详细的攻击成功情景，包括最佳、最坏、最可能的后果。这种详细的细节允许计划者针对每一种可能性做出计划。,3.3.1.4 潜在损失估计,BIA 计划小组必须估计最佳、最坏和最可能的后果所造成的支出，这个过程可以通过准备一个攻击成功情景来实现。它允许部门确定要怎样做才能从每一种可能的情况中恢复过来。在这里，小组确定的开销包括支持响应团队工作的花费（在下面的部分中描述），因为他们需要采取行动以在事故或灾难中快速而有效地恢复机构的正常工作，这些开销计划可以说服管理者理解计划和恢复能力在一个机构中的重要性。,3.3.1.5 次要计划分类,一旦已经评估出潜在损失、每个攻击情景以及攻击简报，就必须在已存在的现行计划中研发或找出次要计划。因为大多数的攻击只属于事故而不是灾难，BIA 小组可能要生成一些新的次要计划专用于评定事故级别，作为灾难的情景可能在 DRP 或 BCP 中处理。,3.3.2 DRP 和 BCP 相结合,因为 DRP 和 BCP 联系紧密，所以大多数的机构同时准备了这两者，并且可能会把它们结合为一个计划。这样的一个综合计划必须能够支持在两个不同地方实施重建操作立刻在备用场所进行，最终返回主要场所。,3.3.3 灾难恢复计划示例,3.3.3 灾难恢复计划示例,3.3.3 灾难恢复计划示例,这个计划由九部分组成:机构名称 完成或更新计划的日期以及测试日期 在灾难事故中应通知的机构和人员：这个清单应该保持更新 灾难事故中将求助的紧急服务（如果需要的话）：像警察，消防和救护 内部紧急设施和供给的位置：这部分标明了室内所有重要紧急材料的存放地和平面图，包括关闭气、电和水的开关和阀门。这部分还应该提供重要供给的说明，包括急救箱、灭火器、闪光灯电池和办公物品的储藏处。,3.3.3 灾难恢复计划示例,异地设备和供给资源：这些项目包括手机联系资源、除湿器、工业设备如交叉起重机和便携式发电机以及其他的安全和恢复部件。抢救优先列表：如果发生了火灾，在 IT 主管冲出大门之前，他可能会有足够的时间做一个最后的现场备份，如果恢复努力足够的话，可以抢救出大部分额外的原料 机构灾难恢复过程：这个极其重要的部分勾勒了给予关键员工，包括灾难恢复团队的具体任务，这些任务将在灾难事故中被执行。后续评估：最后一部分详细说明了灾难发生后，我们应该做什么尤其是哪些文档需要尽力恢复，包括强制保险报告，需要的图片和事后回顾表。,3.4 测试应急计划,一个未经测试的计划根本不能算是计划。没有什么计划能一经拟订就可以执行；相反，它们必须经过测试以找出其弱点、缺陷和无效过程。一旦在测试过程中找出问题，就可以对它进行改进，并且在需要使用的时候，我们可以信赖这个改进后的计划。有 5 个策略可以用来测试应急计划：平台检查 结构化演练 仿真 平行测试 完全中断,3.4 测试应急计划,平台检查分发相关计划的副本给将在真正的事故中扮演不同角色的所有的人。他们中的每一个人都要检查该计划并生成一个列表，列表中包含计划的正确和不正确部分.有组织的演练在有组织的演练过程中，所有涉及的个人都要演练在真实的事故中将会遇到的所有步骤。仿真在仿真中，每个有关人员都要独立工作来模拟每一个任务的执行情况。仿真避免了真正去完成实际任务所造成的不便之处。,3.4 测试应急计划,平行测试在平行测试中，每个人都假设真实事故已经出现，并且在不干涉正常的业务运作的情况下，开始执行要求的任务以及必要的程序。必须小心确保执行的程序不会使业务功能停止运作，以致产生真实事故。完全中断在完全中断测试中，每个人都必须根据程序的步骤来行动，包括服务的中断、从备份中还原数据以及通知恰当人员。这个练习常常在机构的正常业务时间之后开始，对于大部分商业来说它的风险性太高。,XX市电子政务网络应急预案,1 总则2 组织结构与职责3 预防和预警机制4 应急响应流程5 保障与监督管理6计划附则,总则,1.1 指导思想1.2 编制目的1.3 编制依据1.4 适用范围 广州市各级政府党政机关、事业单位及与重点保护企业1.5 工作原则1.6 分类与分级类别：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件。级别：信息安全事件级别根据信息系统的重要程度、系统损失和社会影响分为四级：,安全事件级别划分,1）特别重大事件（级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。2）重大事件（级）重大事件是指能够导致严重影响或破坏的信息安全事件。3）较大事件（级）较大事件是指能够导致较严重影响或破坏的信息安全事件。4）一般事件（级）一般事件是指能够导致较小影响或破坏的信息安全事件。,组织结构与职责,预防和预警机制,预警简图,应急响应流程,应急响应简图,应急响应之后期处理流程,后期处理简图,保障 监督管理,4.1应急人力保障 信息安全专业人才、队伍4.2物质条件保障 通信与信息、应急装备、交通运输、经费、治安4.3技术支撑保障 信息安全应急平台支撑技术、信息安全领域技术研究、预先编制的预案、方案等,4.4宣传教育 向单位、公众及相关人员宣传，特别是向领导人员宣传获得他们的支持4.5 演练 定期进行应急演练4.6责任与奖惩 依相关法规追究责任和奖惩,计划及附则,6.1人员联络清单6.2信息系统标准操作规程6.3业务影响分析报告,