信息系统的安全与持续性计划课件

信息系统的安全与持续性计划－－中级培训补充材料（不考）1主要内容：信息系统的风险信息系统的安全控制物理控制与环境控制逻辑访问控制网络控制持续性计划（灾难恢复计划）信息系统的应用控制21.信息系统的风险风险的概念：风险是发生某种威胁使资产损失或破坏的潜在可能。风险的概念包括以下内容：威胁、薄弱点、处理过程或资产；对资产基于威胁和薄弱点的影响；袭击的可能性。3风险评价管理过程4信息系统资产信息和数据硬件软件服务文档人员另外还有一些需要考虑的传统资产包括：建筑物、存货、资金和无形资产等。5信息的潜在威胁错误恶意破坏欺诈盗窃软硬件故障6信息系统的薄弱点用户缺乏知识缺乏安全措施口令缺少变化未经测试的技术无保护的数据传输7威胁一旦发生所造成的影响直接的经济损失违反法律名誉声望受损员工或客户受到威胁信心受损商业机会的损失经营效率与性能的降低商业经营中断。8整体风险整体风险是对企业风险的整体评价，通常做法是：∑影响×可能性9剩余风险 剩余风险是采用控制以后所遗留的风险水平。 管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。102.信信息系系统的的安全全控制制控制的的基本本概念念物理控控制与与环境境控制制逻辑访访问控控制网络控控制与与互联联网的的使用用11控制的的基本本概念念控制是是为实实现企企业目目标，，避免免、检检查、、纠正正不受受欢迎迎事件件发生生提供供合理理担保保的政政策、、措施施和组组织结结构。。控制目目标是是通过过实施施控制制过程程要达达到的的目的的或结结果。。12一些信信息系系统控控制目目标：：到目前前为止止自动动系统统上的的数据据一直直被正正确的的处理理和保保存，，从而而处于于安全全状态态。每项操操作都都经过过授权权，并并且只只处理理一次次。所有的的操作作都有有记录录，并并且都都是在在正确确的时时间段段进行行的。。所有的的拒绝绝操作作都有有报告告。重复操操作有有报告告文件都都经过过充分分备份份，以以备正正确的的恢复复。对软件件的所所有变变动都都经核核实，，并进进行了了测试试。13预防性性控制制作用：：检查发发现未未发生生的问问题；；监督操操作和和输入入；在问题题发生生之前前及时时预测测和调调整；；避免错错误、、疏漏漏和欺欺诈行行为的的发生生。信息系系统中中常见见的预预防性性控制制只雇佣佣经过过良好好训练练，具具备任任职资资格的的人员员；职责分分离；；对接触触或访访问各各种物物理设设备进进行控控制；；使用设设计规规范的的文档档；建立适适当的的交接接授权权过程程；程序化化的编编辑检检查；；使用访访问控控制软软件，，只有有获得得授权权的人人员才才能访访问敏敏感文文件。。14发现性性控制制用于检检测发发生的的错误误、遗遗漏或或者欺欺诈、、作弊弊行为为，并并就当当前状状态作作出汇汇报。。信息系系统中中常见见的发发现性性控制制有：：哈西总总数（（hashtotals））；生产过过程中中的检检测点点（checkpoints））；远程通通信中中的回回叫（（echo）控控制；；重复的的计算算检查查；定期报报告各各种变变化和和不一一致；；内部审审计职职能。。15纠正控控制纠正控控制的的作用用包括括：降低威威胁的的影响响；对发现现的问问题进进行补补救；；确认问问题的的原因因；修正已已发问问题引引起的的错误误；修改处处理系系统，，降低低将来来再次次发生生问题题的可可能性性。信息系系统中中常见见的纠纠正控控制包包括：：意外事事故计计划；；备份过过程；；系统重重启过过程。。16综合控控制与与应用用控制制综合控控制是是对组组织各各部门门设计计、安安全、、使用用计算算机程程序的的总体体上的的控制制。应用控控制是是各个个计算算机应应用程程序中中的特特别的的控制制。综合控控制是是最低低水平平的控控制。。综合合信息息技术术控制制形成成了一一个整整体控控制信信息技技术行行为和和确保保整体体控制制目标标的框框架。。在此此基础础上可可以进进一步步增加加应用用控制制。17综合控控制与与应用用控制制18信息系系统的的综合合控制制综合信信息技技术控控制主主要关关注企企业的的信息息技术术基础础，包包括任任何与与信息息技术术相关关的政政策、、过程程和工工作实实践。。他们们并不不针对对某一一特别别的交交易流流或财财务应应用系系统。。大多多数情情况下下，综综合控控制的的元素素主要要集中中在信信息技技术部部门或或相似似部门门。19综合控控制主主要包包括以以下几几类：：组织和管管理（高高水平的的信息技技术政策策和标准准）；职责分离离；物理控制制（接触触与环境境控制））；逻辑访问问控制；；系统开发发和程序序修改；；对计算机机人员（（包括程程序员、、系统分分析员和和计算机机操作人人员）的的控制（（包括内内部和外外部信息息技术服服务）；；确保计算算机系统统可用性性的控制制；对最终用用户计算算的控制制。20应用控制制应用控制制特别针针对某个个应用系系统，并并对交易易事务的的处理产产生直接接的影响响。这些些控制用用于确保保所有交交易均是是合法的的，经过过授权，，并被记记录下来来。由于于应用控控制与交交易流存存在关系系，因此此通常包包括：交易（transactions））输入的的控制；；处理控制制；输出控制制；固定数据据（standingdata））和主文文件的控控制。21物理与环环境控制制物理控制制：是用用于阻止止对IT设备未未经授权权访问，，防止其其发生故故障的机机制和管管理过程程。环境控制制：是用用于保护护计算机机软硬件件，避免免其受到到火灾、、水灾、、灰尘、、电源事事故伤害害的行为为和过程程。22与物理和和环境控控制相关关的风险险（1）物物理风险险员工（（IT雇雇员、清清洁工、、警卫及及其他人人员）有有意或无无意的破破坏；计算机或或其零部部件失窃窃；电压波动动导致设设备损坏坏或数据据丢失或或损坏；；存在绕过过逻辑访访问控制制的旁路路；复制或查查阅敏感感或机密密的信息息。（2）环环境风险险水灾或火火灾破坏坏，以及及其他自自然灾害害的破坏坏；电源掉电电导致内内存数据据丢失；；电压不稳稳导致系系统故障障、处理理错误和和设备部部件的损损坏；由于温度度、湿度度恶劣导导致系统统故障；；炸弹破坏坏；静电破坏坏敏感的的电子部部件；其他诸如如。照明明设备停停工，灰灰尘或污污垢聚集集等。23物理控制制三个方面面：安全区的的物理控控制管理控制制门禁系统统（locksondoors）24安全区的的物理控控制物理访问问安全应应基于信信息技术术设备所所处区域域的定义义。例如如，可以以将一栋栋大楼、、一个计计算机房房、一个个打印间间当作一一个管理理区域。。管理区区域的定定义应该该清晰明明白，雇雇员能够够意识到到它的边边界。从安全区区的在外外层防护护到建筑筑物的入入口、计计算机间间和终端端，应该该通过多多层控制制措施，，控制对对用户站站点和安安全区域域的访问问。25管理控制制雇员佩带带身份或或姓名证证章；解除辞退退人员的的访问权权限；来访人员员必须登登记，包包括他是是谁，在在哪工作作，找谁谁、来访访时间、、离开时时间等。。来访人人在放行行之前应应提供一一些证件件加以确确认。办公室无无人照管管时的控控制过程程。例如如当雇员员晚上回回家或外外出吃饭饭时，应应锁好键键盘、将将笔记本本电脑锁锁入抽屉屉、锁好好软盘等等。26门禁系统统（locksondoors）常见的门门禁系统统包括：：使用机械械钥匙的的锁。组合门禁禁系统或或密码锁锁电子门禁禁系统生物门禁禁系统27其他常见见的物理理控制措措施电视摄像像头警卫雇员在上上班时间间以外的的控制；；计算机锁锁手工日志志记录：：来客需需要登记记姓名、、单位、、事由和和会见人人。在进进入前需需要出示示身份证证明。电子日志志：在电电子或生生物安全全系统中中，所有有的来客客都要做做日志记记录，特特别是失失败的进进入试图图需要被被特别标标记。控制的来来客接触触：所有有来客都都应有雇雇员护送送。28其他常见见物理控控制措施施（续））人员担保保：所有有服务人人员应该该有担保保。死人门（（deadmandoors）：：该系统统使用一一对门。。前一门门未锁上上，后一一门不能能打开。。在两个个门之间间只能有有一个人人。以防防止未经经授权的的人跟随随其他人人进入。。不宣扬敏敏感设备备的位置置；计算机终终端锁；；经控制的的单个输输入点；；夜贼警报报系统；；安全的文文件分发发车。29环境控制制火灾的预预防、检检测和扑扑救防水电源的保保护和控控制高温、通通风和空空调维护与房房间保洁洁30火灾的预预防、检检测和扑扑救火灾的预预防控制制火灾扑救救系统包包括：手持灭火火器；一些灭火火器适合合电子设设备，例例如二氧氧化碳或或halon（（BCF）灭火火器。水灭火器器可以放放在计算算机耗材材库房中中。自动灭火火系统自动灭火火器通常常使用水水或halon。Halon对计算算机设备备无害，，并且相相对二氧氧化碳来来说，危危害较小小。31防水进入机房房的水可可能来自自以下方方面：洪水；屋顶漏水水；爆裂的管管道；洗手间或或水池溢溢水；冷却系统统漏水。。32逻辑访问控控制基本概念逻辑访问的的风险需要保护的的资源、文文件和工具具访问安全框框架操作系统和和应用访问问控制日志33基本概念逻辑访问安安全有三个个最基本的的组成部份份用户身份通常使用用用户名或登登录ID号号，来表明明用户的身身份。身份计算机需要要核实这个个人到底是是谁。可以以通过用户户拥有的，，或知道的的东西加以以确认。一一般到办法法是口令（（passwords）、身身份证代码码、签名或或其他生物物特征例如如手印等。。资源保护资源是计算算机文件、、目录和外外围设备。。资源保护护应基于每每个用户的的需要。例例如当某个个用户登录录计算机以以后，可以以其只能访访问某些文文件、应用用或其他工工作需要的的资源。34逻辑访问的的风险信息缺乏逻逻辑访问控控制的主要要影响包括括：未经允许的的泄漏；未经授权的的修改；系统完整性性受到破坏坏。计算机系统统可能受到到不同方面面的袭击，，包括：（1）黑客客（2）雇员员（3）已辞辞退的雇员员（4）外部部人员（5）供货货商或咨询询商35需要保护的的资源、文文件和工具具（1）数据据文件（2）应用用软件（3）口令令文件（4）系统统软件和工工具（5）日志志文件（6）缓冲冲区文件和和临时文件件36访问安全框框架确保充分的的控制应防防范任何可可能的风险险是用户经经理的责任任。管理人人员通过制制定公司的的访问安全全政策，从从而为逻辑辑访问控制制指明方向向。在制定政策策时，管理理人员应定定义企业经经营对访问问控制的需需求，及每每个系统的的访问需求求。公司的的安全政策策通常是以以上较短的的文档。包包括以下内内容：定义安全政策陈陈述；责任详细的逻辑辑访问控制制将基于公公司IT安安全正团中中的高层陈陈述。37操作系统和和应用访问问控制逻辑访问控控制存在两两个层次：：系统层次次（installationlevel））和应用层层次（applicationlevel））。因此访访问控制可可以建立于于：操作系统（（或系统工工具）每个应用每层的逻辑辑访问控制制均由不同同的管理员员实现。IT部门人人员负责管管理谁能登登录网络，，以及登录录网络以后后可以访问问什么应用用和数据文文件。这些些人在系统统层次控制制访问。应应用管理员员则负责管管理在应用用软件中谁谁能做什么么。IT部门的的系统管理理员对操作作系统及其其资源有更更好理解，，知道什么么应用软件件和工具程程序需要保保护。这样样可以保护护系统资源源不被外部部人员和未未经授权IT人员使使用。应用管理员员对应用软软件以及谁谁将使用软软件比较了了解。这有有助于应用用管理员依依据每个用用户的需要要设置访问问权限。这这样可以确确保用户只只拥有工作作需要的访访问权限。。系统管理员员与应用管管理员的职职责应分离离。38系统级的逻逻辑访问控控制各种操作系系统软件中中都内置了了逻辑访问问控制，例例如UNIX、Novell、NT。。各家产品品不同，逻逻辑访问控控制的力度度也不同。。一些组织织对操作系系统的安全全特征进行行了独立测测试。美国国国家计算算机安全信信息中心（（NCSC）于1983年提提出了可信信计算机系系统评估准准则TCSEC（trustedcomputersystemevaluationcriteria）,规定了安安全计算机机系统的基基本准则，，通常称为为“桔皮书书”（orangebook）。桔皮书将计计算机系统统的安全等等级划分为为四类七级级：D、C1、C2、B1、、B2、B3、A1。其中A1级是最最安全的。。除非有特特别的安全全需要，否否则多数财财务系统都都依照C2级标准。。C2级标标准要求操操作系统使使用登录控控制、审计计安全相关关事件以及及隔离资源源等措施，，控制访问问。因此如如果审计人人员被告知知该系统达达到C2级级，则意味味着系统中中包括了用用户辨别（（identification）、、身份鉴定定（authentication））和日志（（logging））控制。如果操作系系统中没有有逻辑访问问安全措施施，用户可可以安装一一个独立的的软件包。。例如在IBM大型型机中安装装访问控制制软件包RACF或或ACF2。也有一一些用于微微机的安全全软件包。。39逻辑访问控控制（1）登录录过程（logonprocedures））（2）用户户辨别（identification）（3）身份份鉴定（authentication）（4）资源源保护（5）其他他逻辑访问问控制40日志前面讲述到到控制均用用于防止非非法用户访访问计算机机系统。而而下一步控控制则是检检测非法用用户的访问问试图和行行为。这通通常可以从从事件日志志记录中获获得。计算算机系统中中的审计日日志一般有有两种：安安全审计日日志和交易易审计日志志。安全审计日日志用于记记录各种用用户操作信信息。交易审计日日志用于记记录交易被被系统处理理的路径和和过程。41网络控制与与互联网的的使用1．与网络络相关的风风险2．网络控控制（networkcontrols）3．互联网网控制（internetcontrol））42与网络相关关的风险网络将用户户的计算机机带入了一一个广阔，，存在众多多潜在匿名名用户到空空间。一旦旦客户的系系统连入了了网络，就就可能存在在被外部人人员（黑客客）和未经经授权的同同事访问的的风险。容容易导致：：数据丢失：：数据可能能被故意删删除或在传传输过程中中丢失。数据破坏：：数据可能能被用户破破坏，数据据传输过程程中可能发发生错误。。例如由于于线路的噪噪音干扰，，发出的数数据“1””，接收时时变成了““0”。来自内部或或外部的欺欺诈：窃贼贼不再依赖赖枪和盗窃窃工具来打打劫银行。。一个风度度翩翩的君君子在世界界的另一端端，就可以以侵入银行行系统，将将资金划走走。系统无法使使用：网络络连接以及及服务器都都可以被轻轻易破坏。。一个集线线器的丢失失，可以影影响众多用用户的操作作处理。通通信线路也也超出了用用户的范围围而失去控控制。泄密：一旦旦一些重要要的系统统例如，人人事系统、、科研开发发系统被连连接到网络络上，就更更增加了信信息有意或或无意泄漏漏的风险。。病毒与蠕虫虫感染：蠕蠕虫感染是是特别经过过设计，用用于网络传传播的。病病毒感染经经常发生，，用户应经经常使用杀杀病毒软件件进行检查查，并对杀杀病毒软件件及时升级级。违反版权和和数据保护护法：由于于用户可以以从网上随随便获得数数据和软件件，从而导导致触犯当当地的版权权和数据保保护法。43网络控制（（networkcontrols）网络的特点点决定了物物理访问控控制的作用用是有限的的。因此在在保护网络络设备不被被滥用和盗盗窃的同时时，还需要要将精力集集中于逻辑辑访问和管管理控制。。根据各个个用户所确确认的风险险、操作系系统、网络络控制软件件以及网络络和通信政政策不同，，用户所需需的逻辑访访问控制也也不一样。。44审计人员可可能遇到的的控制：（1）网络络安全政策策这可能是企企业整体IT安全政政策的一部部分。（2）网络络标准、过过程和操作作指令这些应该基基于网络安安全政策，，并且文档档化；相关关人员应可可以得到该该文档的复复印件。（3）网络络文档用户应有数数份描述网网络逻辑和和物理层次次的文档。。例如网络络布线图。。这些文档档通常作为为机密文档档保存。（4）逻辑辑访问控制制这是特别重重要的。用用户应确保保拥有合适适的登录口口令和资源源访问权限限。（5）对外外部连接的的限制，例例如调制解解调器。这这些连接可可能是用户户系统的薄薄弱点，特特别是当这这些连接未未被允许时时。45审计人员可可能遇到的的控制：（6）当用用户被允许许使用调制制解调器时时，可以考考虑使用回回叫调制解解调器（callbackmodems））。这种调调制解调器器只允许由由自己呼叫叫出去的连连接访问。。例如，一一个在家办办公的远程程用户希望望访问系统统。他可以以通过调制制解调器呼呼叫办公系系统。办公公系统建立立连接并要要求用户提提供ID号号。然后办办公系统断断开连接。。如果ID号是正确确的，办公公系统按照照预先设置置好的电话话号码拨回回。在这里里是该雇员员家中的电电话。然后后该雇员就就可以访问问系统了。。还可以通通过使用其其他标记（（token）来进进行控制，，确认外部部用户的确确获得访问问系统的权权限。（7）网络络应该由经经过适当培培训，具备备相当经验验的雇员管管理和控制制。管理人人员对这些些雇员的工工作进行监监督管理。。（8）特定定的网络事事件应该被被网络操作作系统自动动记入日志志。应定期期检查日志志，寻找未未经授权的的行为。46审计人员可可能遇到的的控制：（9）使用用网络管理理和监控软软件包和设设备。网络络管理员可可以找到很很多的工具具、软件监监督网络的的使用及网网络的性能能。它们也也可以用于于检查每个个终端用户户计算机中中所安装的的软件。（10）外外部供应商商和咨询商商的访问也也应受到监监督。客户户经常允许许软件供应应商通过远远程访问连连接对系统统进行维护护和故障修修复。这些些工具的使使用应受到到监督，并并且只有在在需要且经经过授权以以后才可以以使用。远远程连接的的调制解调调器只有管管理人员同同意才能激激活，并且且一旦任务务完成，就就应断开。。（11）联联入网络的的终端只能能是特定的的终端。这这可以通过过终端号码码（例如网网卡的号码码）或IP地址进行行控制。（12）数数据加密（（dataencryption））。在某些些环境下，，用户可以以将网上数数据加密。。即使未授授权用户能能够搭线窃窃听获取了了数据，也也会因为加加过密而无无法使用。。47审计人员可可能遇到的的控制：（13）使使用应答设设备（challenge-responsedevices）。这是是典型的手手持设备，，大小与计计算器相仿仿。这种设设备通过允允许远程用用户对系统统提出的信信号作出应应答的方式式验证远程程用户的身身份。例如如当有人想想远程登录录系统时，，中心系统统发出一个个“挑战””例如“121288”。远远程用户将将这个代码码输入手持持设备。该该手持设备备生成一个个相称的““响应”““22233”。一一般情况，，用户可以以有60秒秒钟将信号号输入计算算机。中心心系统收到到响应信号号以后，经经核实正确确就可以允允许用户访访问系统。。这种设备备的优点点在于每个个“挑战””“响应””信号是唯唯一的。因因此未授权权用户无法法重复使用用密码访问问系统。（14）使使用私有线线路或专线线如果线路是是私有线路路或专线，，数据被截截取的风险险就低得多多。并且使使用专线可可以传输更更多的数据据，数据传传输错误也也较少。（15）使使用数字线线路而不是是模拟线路路。数字线线路具有较较高的容量量，不需要要调制解调调器，不会会发生数字字与模拟信信号转换错错误。48互联联网网控控制制（（internetcontrol））如果果需需要要将将计计算算机机直直接接连连接接到到互互联联网网络络上上，，那那么么最最安安全全的的措措施施是是：：将计计算算机机与与主主要要信信息息系系统统物物理理隔隔离离；；指定定有有经经验验可可靠靠的的管管理理员员管管理理互互联联网网计计算算机机；；禁止止匿匿名名访访问问计计算算机机。。如如果果一一定定要要的的话话，，应应避避免免将将目目录录设设为为即即可可读读又又可可写写；；从计计算算机机中中移移走走所所有有不不必必要要的的数数据据和和软软件件；；关闭闭所所有有互互联联网网服服务务器器上上不不必必要要的的逻逻辑辑端端口口；；监视视登登录录计计算算机机的的企企图图；；只有有经经过过仔仔细细检检查查以以后后，，才才将将文文件件在在主主要要信信息息系系统统和和互互联联网网计计算算机机之之间间传传递递。。应应牢牢记记程程序序可可以以附附带带在在电电子子邮邮件件信信息息中中传传递递；；尽可可能能少少的的设设置置互互联联网网计计算算机机的的用用户户帐帐户户，，并并定定期期更更换换期期密密码码；；如果果不不是是特特别别需需要要的的话话，，应应避避免免运运行行一一些些诸诸如如互互联联网网聊聊天天室室之之类类的的服服务务器器应应用用。。49其他他安安全全控控制制技技术术防火火墙墙（（firewall））口令令访问问控控制制加密密安全全电电子子邮邮件件PEM（（privacyenhancedmail））良好好隐隐私私PGP（（prettygoodprivacy））站点点安安全全工工具具事故故报报告告与与更更改改50持续续计计划划基本本概概念念灾难难备备份份系系统统的的组组成成灾难难恢恢复复计计划划的的制制定定51基本本概概念念1．．商商业业持持续续计计划划（（businesscontinuityplanning，，BCP））商业业持持续续能能力力是是指指企企业业在在信信息息系系统统支支持持中中断断情情况况下下的的继继续续经经营营能能力力以以及及发发生生灾灾难难性性事事件件情情况况下下的的生生存存能能力力。。商商业业持持续续计计划划用用于于灾灾难难的的预预测测和和预预防防处处理理。。灾灾难难包包括括从从洪洪水水、、火火灾灾、、地地震震到到劳劳动动市市场场的的动动荡荡、、重重要要文文件件的的丢丢失失。。商商业业持持续续计计划划主主要要处处理理两两个个问问题题：：公公司司信信息息完完整整性性的的维维护护，，保保持持信信息息系系统统的的运运行行直直到到正正常常业业务务能能重重新新使使用用。。商商业业持持续续计计划划是是在在灾灾难难来来临临时时如如何何恢恢复复所所有有经经营营业业务务的的方方法法，，而而不不仅仅仅仅限限于于信信息息部部门门的的业业务务。。52基本本概概念念2．．信信息息系系统统的的灾灾难难信息息系系统统灾灾难难是是指指造造成成重重要要业业务务数数据据丢丢失失，，使使业业务务中中断断了了不不可可忍忍受受的的一一段段时时间间的的计计算算机机系系统统事事故故，，这这些些事事故故导导致致银银行行丧丧失失了了全全部部或或部部分分业业务务处处理理能能力力，，引引起起企企业业营营业业收收入入下下降降、、信信誉誉降降低低和和形形象象受受损损，，甚甚至至威威胁胁其其生生存存。。造造成成计计算算机机系系统统灾灾难难性性事事故故的的原原因因有有自自然然灾灾害害、、基基础础设设施施的的突突发发性性事事故故、、计计算算机机系系统统故故障障和和各各种种人人为为因因素素等等。。53基本本概概念念3．．灾灾难难备备份份灾难难备备份份是是指指为为了了减减少少灾灾难难发发生生的的概概率率，，以以及及减减少少灾灾难难发发生生时时或或发发生生后后造造成成的的损损失失而而采采取取的的各各种种防防范范措措施施。。4．．灾灾难难恢恢复复灾难难恢恢复复是是一一个个在在发发生生计计算算机机系系统统灾灾难难后后，，在在远远离离灾灾难难现现场场的的地地方方重重新新组组织织系系统统运运行行和和恢恢复复营营业业的的过过程程。。灾难难恢恢复复的的目目标标一一是是保保护护数数据据的的完完整整性性，，使使业业务务数数据据损损失失最最少少甚甚至至没没有有业业务务数数据据损损失失。。二二是是快快速速恢恢复复营营业业，，使使业业务务停停顿顿时时间间最最短短甚甚至至不不中中断断业业务务。。54基本本概概念念5．．灾灾难难备备份份中中心心灾难难备备份份中中心心是是一一个个拥拥有有备备份份系系统统与与场场地地，，配配备备了了专专职职人人员员，，建建立立并并制制定定了了一一系系列列运运行行管管理理制制度度、、数数据据备备份份策策略略和和灾灾难难恢恢复复程程序序，，可可以以承承担担灾灾难难恢恢复复任任务务的的机机构构。。6．．灾灾难难应应急急方方案案灾难难应应急急方方案案是是指指在在发发生生计计算算机机系系统统灾灾难难事事件件时时，，为为了了尽尽可可能能减减少少损损失失，，而而对对计计算算机机应应用用系系统统采采取取的的抢抢救救措措施施、、故故障障隔隔离离措措施施、、恢恢复复过过程程以以及及工工作作人人员员救救护护和和撤撤离离计计划划等等。。7．．灾灾难难恢恢复复方方案案灾难难恢恢复复方方案案是是一一套套为为保保证证在在计计算算机机系系统统发发生生灾灾难难后后恢恢复复业业务务运运行行而而预预先先制制定定的的一一套套技技术术措措施施、、管管理理方方法法和和处处理理步步骤骤。。它它是是在在充充分分考考虑虑经经济济、、技技术术、、管管理理和和社社会会条条件件的的可可行行性性的的基基础础之之上上，，提提出出的的最最佳佳灾灾难难恢恢复复策策略略。。55灾难备备份系系统的的组成成灾难备备份系系统一一般由由可接接替生生产系系统运运行的的后备备运行行系统统、数数据备备份系系统、、终端端用户户切换换到备备份系系统的的备用用通讯讯线路路等部部分组组成。。在正常常生产产和数数据备备份状状态下下，生生产系系统通通过人人工或或网络络传输输方法法向备备份系系统传传送需需备份份的各各种数数据。。备份份中心心与生生产中中心及及终端端用户户的关关系如如图所所示。。56灾难备备份系系统的的组成成灾难发发生后后，备备份系系统将将接替替生产产系统统继续续运行行，备备份中中心、、生产产中心心及终终端用用户三三者之之间的的关系系如图图所示示。此此时重重要营营业终终端用用户将将从生生产主主机切切换到到备份份中心心主机机，继继续对对外营营业。。57数据备备份方方式目前比比较实实用的的的数数据备备份方方式可可分为为本地地备份份异地地保存存、远远程磁磁带库库与光光盘库库、远远程关关键数数据+定期期备份份、远远程数数据库库复制制、网网络数数据镜镜像、、远程程镜像像磁盘盘等六六种。。（1）本本地备备份异异地保保存是指按按一定定的时时间间间隔（（如一一天））将系系统某某一时时刻的的数据据备份份到磁磁带、、磁盘盘、光光盘等等介质质上，，然后后及时时地传传递到到远离离运行行中心心的、、安全全的地地方保保存起起来。。（2））远程程磁带带库、、光盘盘库是指通通过网网络将将数据据传送送到远远离生生产中中心的的磁带带库或或光盘盘库系系统。。本方方式要要求在在生产产系统统与磁磁带库库或光光盘库库系统统之间间建立立通信信线路路。（3）远远程关关键数数据+定期期备份份本方式式定期期备份份全部部数据据，同同时生生产系系统实实时向向备份份系统统传送送数据据库日日志或或应用用系统统交易易流水水等关关键数数据。。58数据备备份方方式（4））远程程数据据库复复制在与生生产系系统相相分离离的备备份系系统上上建立立生产产系统统上重重要数数据库库的一一个镜镜像拷拷贝，，通过过通信信线路路将生生产系系统的的数据据库日日志传传送到到备份份系统统，使使备份份系统统的数数据库库与生生产系系统的的数据据库数数据变变化保保持同同步。。（5））网络络数据据镜像像是指对对生产产系统统的数数据库库数据据和重重要的的数据据与目目标文文件进进行监监控与与跟踪踪，并并将对对这些些数据据及目目标文文件的的操作作日志志通过过网络络实时时传送送到备备份系系统，，备份份系统统则根根据操操作日日志对对磁盘盘中数数据进进行更更新，，以保保证生生产系系统与与备份份系统统数据据同步步。（6））远程程镜像像磁盘盘利用高高速光光纤通通信线线路和和特殊殊的磁磁盘控控制技技术将将镜像像磁盘盘安放放到远远离生生产系系统的的地方方，镜镜像磁磁盘的的数据据与主主磁盘盘数据据以实实时同同步或或实时时异步步方式式保持持一致致。磁磁盘镜镜像可可备份份所有有类型型的数数据。。59后备运运行系系统的的选择择可以选选择的的后备备运行行系统统包括括互助助协定定、冷冷站、、温站站和热热站。。（1））互助助协定定（mutualaid））互助协协定是是指两两个或或多个个公司司达成成灾害害发生生时相相互共共享资资源的的协定定。要要使该该协定定有效效必须须满足足以下下条件件：每家公公司都都必须须具有有额外外的信信息处处理能能力，，或必必须能能够降降低其其业务务量，，以对对另一一家发发生灾灾害的的公司司提供供援助助；各公司司业务务系统统的平平台必必须兼兼容；；所有签签约方方不能能都受受到灾灾害的的影响响；公司之之间具具有很很高的的信任任度。。由于这这种方方法在在合并并两家家公司司的的业务务系统统时，，会出出现意意想不不到的的问题题，所所以现现在已已经不不多采采用。。60后备运运行系系统的的选择择（2））冷站站（coldsite）公司为为系统统运行行提供供了最最基本本的环环境，，例如如电源源、空空调、、地板板、办办公桌桌椅等等设备备等。。一旦旦发生生灾难难可以以将恢恢复设设备安安装在在该环环境中中。采采用冷冷站备备份企企业还还需与与设设备供供应商商签订订紧急急情况况下，，及时时供应应设备备的协协议。。一旦发发生灾灾难，，可以以从设设备供供应商商处购购买新新的设设备。。安装装在冷冷站环环境中中，用用数据据备份份介质质（磁磁带或或光盘盘）恢恢复应应用数数据，，手工工逐笔笔或自自动批批量追追补孤孤立数数据，，将终终端用用户通通过通通讯线线路切切换到到备份份系统统，恢恢复业业务运运行。。优点：：设备备投资资较少少，节节省通通信费费用，，通信信环境境要求求不高高。缺点：：恢复复时间间较长长，一一般要要数天天至一一周，，数据据完整整性与与一致致性较较差。。61后备运运行系系统的的选择择（3））温站站（wormsite）温站中中装备备了部部分设设备，，例如如办公公环境境、通通信设设备、、存储储设备备等。。但是是考虑虑道主主机价价格比比较昂昂贵，，并且且需要要时，，可以以迅速速从供供应商商处获获得，，因此此温站站中没没有配配备主主机。。使用用温站站设备备一旦旦发生生灾难难，可可以迅迅速租租借或或购买买主机机，使使用定定期备备份数数据，，手工工逐笔笔或自自动批批量追追补孤孤立数数据或或，将将终端端用户户通过过通讯讯线路路切换换到备备份系系统，，恢复复业务务运行行。优点：：设备备投资资较少少，通通信环环境要要求不不高。。缺点：：恢复复时间间长，，一般般要十十几小小时至至数天天，数数据完完整性性与一一致性性较差差。62后备运运行系系统的的选择择（4））热站站（hotsite））热站中中装备备了全全套的的处理理设备备，可可以在在数小小时内内投入入运行行。也也可定定时。。一旦旦发生生灾难难，只只需在在备份份系统统上恢恢复生生产系系统的的数据据，并并对备备份后后业务务事项项进行行追补补就可可快速速接替替生产产系统统运行行，恢恢复营营业。。优点：：恢复复时间间短，，一般般几十十分钟钟到数数小时时，数数据完完整性性与一一致性性最好好，数数据丢丢失可可能性性最小小。缺点：：设备备投资资大。。63后备运运行系系统的的选择择（5））镜像像系统统（mirroredsystems））镜像系系统是是一个个相对对高成成本的的方案案，适适合于于一些些运行行非常常重要要任务务的的系统统。例例如航航线管管理、、银行行业务务等等等。这这种方方法要要求在在相距距较远远的两两个不不同地地方，，同时时运行行两套套或更更多套套系统统。每每发生生一笔笔业务务，两两套系系统中中的数数据同同时并并行修修改。。一旦旦一个个系统统发生生故障障，所所有业业务处处理可可以直直接切切换到到镜像像系统统中，，对用用户不不会造造成任任何影影响。。美国国“911”袭袭击事事件中中，总总部在在世贸贸大楼楼的摩摩根斯斯坦利利银行行遭到到毁灭灭性打打击。。但是是其业业务数数据却却没有有受到到任何何影响响，就就是因因为采采用了了镜像像系统统备份份。64灾难备备份技技术的的发展展灾难备备份技技术的的发展展趋势势主要要有三三个方方面：：（1））采用用实时时热备备份技技术。。实时时热备备份技技术具具有一一次性性投资资昂贵贵、通通讯费费用高高等缺缺点，，但具具有最最好的的数据据完整整性与与业务务连续续性保保证。。随着着商业业银行行的业业务发发展及及竞争争需要要，银银行的的业务务连续续性要要求将将越来来越高高，采采取实实时热热备份份技术术来实实现灾灾难备备份是是未来来的发发展趋趋势。。（2）外外包方式式：灾难难恢复计计划涉及及到业务务风险分分析、方方案选择择、实施施、测试试、培训训、演习习等内容容，是一一项既复复杂又繁繁锁的工工作。采采用外包包方式则则可将灾灾难恢复复计划交交给专业业计算机机公司来来完成，，银行则则可专心心从事银银行的生生产与经经营。（3）开开发灾难难恢复计计划辅助助工具：：灾难恢恢复计划划是一项项系统工工程，开开发灾难难恢复计计划的辅辅助工具具与系统统是非常常必要的的，它包包括：备备份策略略决策系系统，灾灾难恢复复指引系系统，自自动运行行管理系系统等。。65灾难恢复复计划的的制定制定灾难难恢复计计划需要要五个阶阶段：阶段I―――对公公司经营营环境进进行评估估；阶段II――分分析恢复复策略；；阶段III―――灾难恢恢复计划划的文档档；阶段IV――设设计灾难难恢复计计划；阶段V―――执行行、评估估和维护护灾难恢恢复计划划。66对公司经经营环境境进行评评估这个阶段段的目标标是确定定公司遭遭受风险险的类型型和这些些风险对对信息系系统运行行的潜在在影响。。主要过过程如下下：（1）确确定公司司最有可可能面临临的风险险；（2）确确定公司司遭受信信息系统统运行风风险的潜潜在影响响。公司司应确定定以下任任务：公司执行行了信息息系统那那些功能能；确定系统统中那些些功能对对业务成成功是至至关重要要的；确定如果果在一小小时、一一天、一一周、一一个月或或者更长长的时间间内不执执行主要要功能对对公司将将造成的的影响。。最后，公公司应对对其可能能遭受风风险进行行合理评评估，并并评估其其对业务务所造成成的潜在在影响。。67分析恢复复策略这个阶段段的目标标是确定定合适的的信息资资源，分分析所有有可选的的恢复措措施，并并挑选最最能满足足公司目目标的措措施。公公司的信信息系统统资源包包括：中中央计算算机、个个人电脑脑、网络络、应用用软件、、系统软软件以及及数据中中心。68灾难恢复复计划的的文档以文档的的形式将将灾难计计划记录录下来，，主要步步骤包括括：（1）制制定恢复复时间。。公司为为每个重重要功能能安排恢恢复时间间（如主主机一定定在48小时内内恢复，，个人电电脑必须须在一周周内更换换）。（2）为为每一个个主要功功能制定定恢复行行动计划划。这个个计划包包括：应应当完成成的任务务、每项项任务的的负责人人、时间间安排、、执行地地点、如如何完成成。（3）制制定恢复复规划表表。恢复复规划表表是灾难难发生时时需要执执行的时时间规划划表。69设计灾难难恢复计计划这个阶段段的目的的是制定定灾难恢恢复计划划。主要要内容有有：（1）审审阅灾难难恢复计计划。（2）紧紧急应对对程序。。综述在在灾难发发生时应应当采取取的程序序（如计计算机的的关闭、、火灾扑扑灭、疏疏散和警警报程序序等）。。（3）灾灾难应对对计划。。评估损损失、警警告职员员、执行行灾难恢恢复计划划。（4）恢恢复运行行方法。。恢复硬硬件、软软件、网网络程序序并确保保数据及及时恢复复运行。。（5）如如何恢复复运行。。在灾难难发生地地或其他他地点恢恢复运行行的计划划。这个个计划应应当包括括构建新新设备、、获取新新硬件和和软件、、在实施施前测试试新系统统。（6）如如何测试试和维护护数据。。测试和和维护的的详细计计划。（7）附附录：包包括硬件件、软件件的详细细目录、、职员合合同、保保险政策策、软件件安全协协议、网网络和硬硬件供应应商支持持协议以以及工作作地点之之外储存存数据列列表和如如何获得得它的指指令。（8）术术语汇编编。在计计划中使使用的技技术性术术语的定定义。需要注意意的是，，该计划划一定要要保存在在与水火火隔离的的工作环环境之外外。一旦旦发生灾灾难，在在必要保保护下不不会受到到破坏。。70执行评估估和维护护灾难恢恢复计划划这个阶段段的主要要目的是是确保灾灾难恢复复计划按按照设计计执行，，并保证证计划被被正确地地维护。。测试的的范围包包括硬件件、系统统软件、、应用软软件和远远程通信信网络。。主要步步骤如下下：（1）研研究灾难难恢复计计划测试试目标和和评估准准则。特特别是公公司需要要确定通通过测试试灾难恢恢复计划划想要达达到的目目的，及及如何评评价测试试的成功功和失败败。（2）记记录高水水平测试试灾难恢恢复计划划。公司司需要明明确确认认测试内内容和测测试方法法。（3）准准备详细细测试工工作计划划。（4）执执行测试试。（5）评评估测试试。（6）准准备测试试报告。。（7）维维护计划划。定期期审查和和修订计计划。714.应用用软件中中的控制制应用控制制是对应应用系统统的输入入、处理理和输出出功能进进行的控控制。通通过应用用控制可可以实现现以下目目标：只有完整整、准确确、合法法的数据据才能被被录入或或修改；；处理操作作完成正正确的任任务；处理结果果是所期期望的结结果；数据被存存储和维维护。这些控制制可能包包括：编编辑测试试、总数数控制、、调节与与鉴定、、错误报报告、错错误或例例外数据据。自动动控制与与手工过过程应相相配合使使用，以以保证例例外情况况处理的的正确性性。72输入控制制输入控制制过程必必须保证证每笔交交易都准准确、完完整的被被接收、、处理和和记录下下来。并并应保证证只能输输入合法法和经过过授权的的信息，，每笔交交易只能能处理一一次。1．输入入授权输入授权权用户证证实所有有交易均均经过管管理人员员的授权权和认可可。输入入授权用用于确保保只有授授权的数数据才能能输入计计算机系系统由应应用软件件处理。。授权可可以在数数据输入入系统的的同时在在线执行行。也可可以通过过计算机机自动生生成一个个项目清清单，手手工签字字授权。。在处理理过程中中确保授授权数据据不变的的控制是是很重要要的。这这可以通通过内嵌嵌于应用用软件设设计中的的各种准准确性和和完整性性检查来来实现。。73可以通过过以下形形式授权权：批量单据据上的签签名提供了获获得授权权的证据据。在线访问问控制确保只有有授权用用户才可可以访访问数据据执行敏敏感功能能。唯一的口口令避免其他他人通过过所授予予的权限限访问数数据。并并且口令令也有助助于确认认谁的操操作导致致了数据据的变化化。从而而保证操操作员为为其操作作负责。。终端鉴证证限制只有有某些终终端或某某些人可可用完成成输入操操作。74源文件用于记录录数据的的表单。。可能是是一张纸纸、一个个文档或或终端显显示的一一个图像像。一个个设计良良好的源源文件可可以满足足多个目目标。包包括：提提高数据据记录的的速度和和准确性性；控制制工作流流；有助助于使用用图像识识别设备备录入数数据；提提高使用用图像识识别技术术设备读读如数据据的速速度和准准确性，，并且便便于按顺顺序到参参考检查查。理想情况况下，源源文件应应该是打打印格式式，以保保证一致致、准确确、清晰晰可读。。所有的的源文件件都应经经过合适适控制。。所有的的源文件件都应顺顺序编号号，以便便于统计计，保证证所有文文件都能能输入系系统。75批量控制制与结算算批量控制制组为了了生成控控制总数数需要输输入交易易。批量量控制可可以基于于金额数数量汇总总、项目目汇总、、文档汇汇总或者者杂凑汇汇总（hashtotals）。。批量首页页表单是是一个控控制数据据。所有有输入的的表单单都应清清晰地标标明应用用名和交交易代码码。如果果可能的的话，所所有表单单都应事事先按照照交易识识别代码码及其他他顺序项项目编码码并打印印。这样样可以保保证所有有相关数数据都可可登记到到输入表表单中，，减少数数据输入入错误。。批量结算算可以通通过手工工或自动动调整的的方式实实现。批批量汇总总必须有有充分依依次完成成的步骤骤。提供供充分到到控制以以确保，，每一个个交易事事项都生生成了一一份输入入文档资资料、、、所有的的文档档都包含含进了批批处理中中。所有有的批批次都被被提交处处理，所所有的批批次都被被计算机机接受，，执行了了批量结结算，并并对结果果进行了了检查和和对不一一致的地地方做了了修改，，对被系系统拒绝绝项目都都重新作作了处理理。76输入错误误报告与与处理输入过程程需要通通过控制制措施保保证数据据被正确确的录入入系统，，能够识识别和修修改输入入错误。。在数据转转换过程程中需要要修正数数据转换换错误。。错误可可能来源源于重复复的交易易事项或或不正确确的数据据输入。。这种错错误会极极大的影影响数据据的完整整性和准准确性。。输入错误误处理的的方式可可能有以以下几种种：仅拒绝带带错的交交易；拒绝整个个批次的的交易；；以挂起方方式接受受批处理理任务；；接受批处处理任务务，将错错误的交交易加以以标记。。77联机系统统和数据据库系统统中的批批量完整整性联机系统统也需要要对输入入进行控控制。可可以将一一天的业业务形成成以上批批处理任任务，由由指定的的终端或或人员输输入数据据。上级级领导应应检查在在线批处处理任务务，并提提交给系系统处理理。78处理控制制1．数据据确认与与编辑应采取一一定措施施保证输输入的数数据与数数据源尽尽可能的的保持一一致.程程序设定定的输入