XXXXCIS应急响应与灾难恢复-v

应急响应与灾难恢复培训机构名称讲师姓名版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容2知识体知识域知识子域应急响应与灾难恢复信息系统灾难恢复灾难恢复概况信息安全应急响应管理过程信息安全事件分类分级灾难恢复管理过程应急响应概况计算机取证灾难恢复相关技术灾难恢复能力备份技术备用场所知识域：应急响应概况知识子域：信息安全事件分类分级理解信息安全事件和应急响应的基本概念了解国际和我国的信息安全应急响应组织了解我国信息安全事件应急响应工作的进展情况、政策要求和相关标准理解我国信息安全事件分类、分级方法3基本概念4GB/T24363-2009信息安全应急响应计划规范信息安全事件

由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件应急响应

组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施5GB/Z20985-2007信息安全事件管理指南信息安全事件响应组

由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息安全事件相关的全部工作，有时小组可能有外部专家加入CERT计算机应急响应组国际或国家公认的计算机应急响应组织

基本概念国际信息安全应急响应组织6美国计算机紧急事件响应小组协调中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件响应与安全组织论坛（ForumofIncidentResponseandSecurityTeams,FIRST）

亚太地区计算机应急响应组（AsiaPacificComputerEmergencyResponseTeam,APCERT）

欧洲计算机网络研究教育协会（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

我国信息安全应急响应组织7国家计算机网络应急技术处理协调中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

国家计算机病毒应急处理中心

国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心应急响应组织的一般构成8国家政策要求和相关标准9《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”

GB/T24363-2009

《信息安全应急响应计划规范》GB/T20988-2007《信息系统灾难恢复规范》GB/Z20985-2007《信息安全事件管理指南》GB/Z20986-2007《信息安全事件分类分级指南》我国信息安全事件分类方法10GB/Z20986-2007《信息安全事件分级分类指南》7个基本类别有害程序事件：病毒、蠕虫、木马等网络攻击事件：DOS、后门攻击、扫描、钓鱼等信息破坏事件：信息被篡改、假冒、窃取等信息内容安全事件：危害国家安全、社会稳定等设备设施故障：软硬件自身故障和人为非技术破坏等灾害性事件：自然灾害、战争等其他信息安全事件：不能归为以上6个类别的事件我国信信息安安全事事件分分级方方法11分级要要素GB/Z20986-2007《信息安安全事事件分分级分分类指指南》系统损失社会影响信息系统的重要程度我国信信息安安全事事件分分级方法GB/Z2098612特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

会使特别重要信息系统遭受特别严重的系统损失

产生特别重大的社会影响

重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，一般信息系统遭受特别严重的系统损失产生较大的社会影响一般事件是指不满足以上条件的信息安全事件，包括以下情况：

会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失产生一般的社会影响特别重重大事事件重大大事件件较大大事件件一般般事件件1级2级3级4级知识域域：应应急响响应概概况知识子子域：：信信息安安全应应急响响应管管理过过程掌握信信息安安全应应急响响应阶阶段方方法论论掌握准准备、、检测测、遏遏制、、根除除等应应急响响应阶阶段的的主要要工作作内容容掌握信信息安安全应应急响响应计计划编编制方方法13应急响响应六六阶段段14第一阶阶段：：准备备——让我们们严阵阵以待待第二阶阶段：：检测测——对情况况综合合判断断第三阶阶段：：遏制制——制止事事态的的扩大大第四阶阶段：：根除除——彻底的的补救救措施施第五阶阶段：：恢复复——系统恢恢复常常态第六阶阶段：：跟踪踪总结结——还会有有第二二次吗吗第一阶阶段—准备15预防为为主微观确定重重要资资产和和风险险，实实施针针对风风险的的防护护措施施编制和和管理理应急急响应应计划划建立和和训练练应急急响应应组织织准备相相关的的资源源人力资资源、、财力力资源源、物物质资资源、、技术术资源源、社社会关关系资资源宏观建立协协作体体系和和应急急制度度建立信信息沟沟通渠渠道和和通报报机制制如有条条件，，建立立数据据汇总总分析析的体体系和和能力力有关法法律法法规的的制定定准备检测遏制根除恢复跟踪总结编制和和管理理应急响响应计计划16应急响响应计计划，，是指在在突发发/重大信信息安安全事事件后后对包包括计计算机机运行行在内内的业业务运运行进进行维维持或或恢复复的策策略和和规程程应急响应计计划的制定定是一个周周而复始、、持续改进进的过程，，包含以下下几个阶段段（1）应急响应应需求分析析和应急响响应策略的的确定（2）编制应急急响应计划划文档（3）应急响应应计划的测测试、培训训、演练和和维护应急响应计计划主要内内容总则、角色及职责责、预防和预警警机制、应急响应流流程、应急响应保保障措施、附件第二阶段—检测17检测事件、、确定事件件性质和处处理人微观进行监测、、报告及信信息收集确定事件类类别和级别别指定事件处处理人，进进行初步响响应评估事件的的影响范围围事件通告（（信息通报报、信息上上报、信息息披露）宏观：通过汇总，，确定是否否发生了全全网的大规规模事件确定应急等等级，以决决定启动哪哪一级应急急方案准备检测遏制根除恢复跟踪总结第三阶段—遏制18限制事件影影响的范围围、损失微观启动应急响响应计划确定适当的的响应方式式实施遏制行行动要求用户按按应急行为为规范要求求配合遏制制工作宏观确保封锁方方法对各网网业务影响响最小通过协调争争取各网一一致行动，，实施隔离离汇总数据，，估算损失失和隔离效效果准备检测遏制根除恢复跟踪总结第四阶段—根除19长期的补救救措施微观详细分析，，确定原因因实施根除措措施，消除除原因宏观加强宣传，，公布危害害性和解决决办法，呼呼吁用户解解决终端的的问题加强检测工工作，发现现和清理行行业与重点点部门的问问题准备检测遏制根除恢复跟踪总结第五阶段—恢复20微观根据破坏程程度决定是是在原系统统还是备份份系统中恢恢复按恢复优先先顺序恢复复系统和业业务运行可能需要执执行以下事务性步骤骤和技术性性恢复操作作获得访问相相关区域和和资源的授授权获取备份介介质等相关关资源恢复系统数数据启用备份系系统重建主系统统宏观持续汇总分分析，判断断遏制、根根除效果通过汇总分分析的结果果判断仍然然受影响的的终端的规规模适当时解除除封锁措施施准备检测遏制根除恢复跟踪总结第六阶段—跟踪总结21关注系统恢恢复以后的的安全状况况，记录跟跟踪结果评估损失、、响应措施施效果分析和总结结经验、教教训重新评估和和修改安全策略、、措施和应急响应计计划对进入司法法程序的事事件，进行行进一步调调查，打击击违法犯罪罪活动编制并提交交应急响应应报告处理人时间和时段段地点工作量准备检测遏制根除恢复跟踪总结事件的类类类别、级别别对事件的处处置情况损失经验、教训训知识域：应应急响应概概况知识子域：：计算机机取证了解计算机机取证的概概念和目的的了解计算机机取证的基基本步骤22计算机取证证的概念、、目的、原原则计算机取证证使用先进的的技术和工工具，按照照标准规程程全面地检检查计算机机系统，以以提取和保保护有关计计算机犯罪罪的相关证证据的活动提取和保护护的是电子子证据，相相关工作主主要围绕两两个方面进进行：证据据的获取和和证据的分分析目的查找肇事者者、推断犯犯罪过程、、判断受害害者损失程程度、提供供法律支持持原则合法原则、、充分授权权原则、优优先保护证证据原则、、全程监督督原则23计算机取证证的步骤24准备保护提取分析提交计算机取证证-准备获取授权取证工作获获得明确的的授权（授授权书）目标明确对取证的目目的有清晰晰的认识工具准备对取证环境境的了解及及需要准备备的工具软件准备对取证的软软件进行过过有效的验验证介质准备确保有符合合要求的干干净的介质质可用于取取证25计算机取证证-保护保证数据安安全性制作磁盘映映像——不在原始磁磁盘上操作作保证数据完完整性取证中不使使用可能破破坏完整性性的操作第三方监督督所有操作都都有第三方方在场监督督26计算机取证证-提取27优先提取易易消失的证证据内存信息、、系统进程程、网络连连接信息、、路由信息息、临时文文件、缓存存文件系统数据恢复、、隐藏文件件、加密文文件、系统统日志应用系统系统日志计算机取证证-分析及提交交证据在什么么地方？日志、删除除的文件、、临时文件件、缓存从证据中能能发现什么么？如何关联证证据？电子取证提提交必须与现实实取证结合合，文档化化很重要28知识域：信信息系统灾灾难恢复知识子域：：灾难恢恢复概况了解灾难恢恢复的历史史和背景、、进展情况况、政策要要求和相关关标准理解业务连连续性管理理与灾难恢恢复相关的的基本概念念了解灾难恢恢复组织的的一般结构构和职责理解组织应应依据自身身业务特点点制定适宜宜的灾难恢恢复战略理解编制详详细准确的的备份策略略和恢复步步骤文档是是成功恢复复的基础，，理解恢复复性测试的的重要性29灾难恢复的的历史和背背景20世纪90年代末末期，开始始关注数据据安全，进进行数据的的备份。但但当时，不不论从灾难难恢复理论论水平，重重视程度，，从业人员员数量质量量，还是技技术水平方方面都还很很不成熟。。2000年年，“千年年虫”事件件引发了国国内对于信信息系统灾灾难的第一一次集体性性关注，但但“9.11”事件件所引起的的震动真正正地引起了了大家对灾灾难恢复的的关注30我国灾难恢恢复进展情情况各行业用户户对信息安安全的建设设越来越重重视投入呈呈现稳定增增长的态势势。但，大部分单位位还没有有有效的灾难难恢复策略略没有建立统统一的业务务连续管理理机制随着国内信信息化建设设的不断完完善、数据据大集中的的开展和国国家对灾难难恢复工作作的高度重重视，越来来越多的单单位和部门门认识到灾灾难恢复的的重要性和和必要性，，开展灾难恢恢复建设的的时机已基基本成熟一些大型行行业已建设设或启动灾灾备中心建建设31我国国内灾灾难恢复的的国家政策策和标准2003年，《国家信息化化领导小组组关于加强强信息安全全保障工作作的意见》，要求：各各基础信息息网络和重重要信息系系统建设要要充分考虑虑抗毁性与与灾难恢复复，制定和和不断完善善信息安全全应急处置置预案2004年，国信办办《关于做好重重要信息系系统灾难备备份工作的的通知》，强调了““统筹规划划、资源共共享、平战战结合”的的灾备工作作原则2005年，国务院院信息化办办公室《重要信息系系统灾难恢恢复指南》2007年，《信息安全技技术信息系系统灾难恢恢复规范》（GB/T20988—2007）32灾难恢复复相关基基本概念念灾难（disaster）由于人为为或自然然的原因因，造成成信息系系统严重重故障或或瘫痪，，使信息息系统支支持的业业务功能能停顿或或服务水水平不可可接受、、达到特特定的时时间的突突发性事事件。通通常导致致信息系系统需要要切换到到灾难备备份中心心运行SARS33灾难备份份(backupfordisasterrecovery)为了灾难难恢复而而对数据据、数据据处理系系统、网网络系统统、基础础设施、、专业技技术支持持能力和和运行管管理能力力进行备备份的过过程灾难恢复复(disasterrecovery)为了将信信息系统统从灾难难造成的的故障或或瘫痪状状态恢复复到可正正常运行行状态、、并将其其支持的的业务功功能从灾灾难造成成的不正正常状态态恢复到到可接受受状态而而设计的的活动和和流程规划和预预案（GB/T20988）灾难恢复复规划（（disasterrecoveryplanning）为了减少少灾难带带来的损损失和保保证信息系统统所支持的的关键业业务功能能在灾难难发生后后能及时时恢复和和继续运运作所做做的事前前计划和和安排。。灾难恢复复预案（（disasterrecoveryplan）定义信息系统统灾难恢复复过程中中所需的的任务、、行动、、数据和和资源的的文件。。用于指指导相关关人员在在预定的的灾难恢恢复目标标内恢复复信息系系统支持持的关键键业务功功能。34BCP和BCM（GB/T20988）业务连续续性规划划（BusinessContinuityPlanning，BCP）是灾难事事件的预预防和反反应机制制，是一一系列事事先制定定的策略略和规划划，确保保单位在在面临突突发的灾灾难事件件时，关关键业务务功能能能持续运运作、有有效的发发挥作用用，以保保证业务务的正常常和连续续。业务连续续规划不不仅仅包包括对信信息系统统的恢复复，而且且包括关关键业务务运作、、人员及及其它重重要资源源等的恢恢复和持持续业务连续续性管理理（BusinessContinuityManagement，BCM）为保护组组织的利利益、声声誉、品品牌和价价值创造造活动，，找出对对组织有有潜在影影响的威威胁，提供建设设组织有有效反应应恢复能能力的框框架的整整体管理理过程。。包括组织织在面临临灾难时时对恢复复或连续续性的管管理，以以及为保保证业务务连续计计划或灾灾难恢复复预案的的有效性性的培训训、演练练和检查查的全部部过程35RPO－RecoveryPointObjective，恢复点点目标定义：灾灾难发生生后，系统和数数据必须恢复复到的时时间点要要求代表了当当灾难发发生时允允许丢失失的数据据量RTO－RecoveryTimeObjective，恢复时时间目标标定义：灾灾难发生生后，信息系统统和业务务功能从停顿到到必须恢恢复的时时间要求求代表了企企业能容容忍的信息系统统和业务务功能恢复的时时间恢复点目目标-RPO/恢复时间间目标-RTO秒分小时日周秒分小时日周恢复点恢复时间间36主中心与与灾难备备份中心心、主系统与与灾难备备份系统统主中心(主站点/生产中心心)，是指主系系统所在在的数据据中心灾难备份份中心（（备用站站点），是指用于于灾难发发生后接接替主系系统进行行数据处处理和支支持关键键业务功功能运作作的场所所，可提提供灾难难备份系系统、备备用的基基础设施施和专业业技术支支持及运运行维护护管理能能力，此此场所内内或周边边可提供供备用的的生产设设施主系统（（生产系系统），，是指正常常情况下下支持组组织日常常运作的的信息系系统。包包括主数数据、主主数据处处理系统统和主网网络灾难备份份系统，是指用于于灾难恢恢复目的的，由数数据备份份系统、、备用数数据处理理系统和和备用的的网络系系统组成成的信息息系统37灾难恢复复组织灾难恢复复组织应应由管理理、业务务、技术术和行政政后勤等等人员组组成，通通常会分分为灾难难恢复规规划领导导小组、、灾难恢恢复规划划实施组组和灾难难恢复规规划日常常运行组组等角色色可聘请外外部专家家协助灾灾难恢复复规划工工作，也也可委托托外部机机构承担担实施组组和运行行组的部部分或全全部工作作38一般的灾难恢复复组织结结构灾难恢复复战略合适的数数据备份份及恢复复战略是是避免丢丢失重要要数据、、有效恢恢复和满满足业务务运营需需要的保保证组织应根根据自身身的业务务性质、、数据特特点、信信息系统统规模、、业务影影响分析析的结果果（主要要是RTO、RPO这两个指指标），，来制定定适当的的备份及及恢复战战略比如，实实时性业业务与非非实时性性业务的的的战略略应完全全不同备份及恢恢复战略略的不同同，将决决定组织织选择不不同的存存储技术术、备份份技术、、备用场场所39备份策略和恢恢复步骤及测测试备份、备份数数据的测试，，是恢复的基基础应识别所有需需要备份的数数据项，编制制诸如《备份份策略和恢复复步骤》的文文档，分别描描述每一备份份项的备份策策略、详细恢恢复步骤、测测试要求因为不同类型型的数据，其其特点不同，，备份策略和和恢复步骤可可能完全不同同恢复步骤应足够详细40知识域：信息息系统灾难恢恢复知识子域：灾灾难恢复管管理过程掌握灾难恢复复管理工作的的主要内容掌握灾难恢复复规划过程：：灾难恢复需需求分析、灾灾难恢复策略略制定、灾难难恢复策略实实现、灾难恢恢复预案制定定和管理理解同城和异异地灾难备份份中心的优缺缺点41灾难恢复管理理工作的主要要内容灾难恢复规划划灾难备份中心心的日常运行行灾难发生后的的应急响应关键业务功能能在灾难备份份中心的恢复复和运行主系统的灾后后重建灾难恢复的外外部协作灾难恢复的审审计和备案42灾难恢复规划划灾难恢复规划划：是一个周周而复始的、、持续改进的的过程，包含含以下四个阶阶段灾难恢复需求求分析灾难恢复策略略制定灾难恢复策略略实现灾难恢复预案案的制定和管管理43灾难恢复规划划管理过程业务影响分析制定灾难恢复策略实现灾难恢复复策略灾难恢复预案案的制定、落落实和管理分析业务功能能和相关资源源配置评估中断影响响确定灾难恢复复资源获取方方式确定对灾难恢恢复资源的要要求选择和建设灾灾难备份中心心实现灾难备份份系统技术方方案实现专业技术术支持能力实现运行维护护管理能力制定灾难恢复复预案教育、培训和和演练灾难恢恢复预案更新维护灾难难恢复预案风险分析标识资产标识威胁标识脆弱性标识现有控制制分析风险灾难恢复需求求分析灾难恢复策略略制定灾难恢复预案案制定和管理理灾难恢复策略略实现确定灾难恢复复目标确定关键业务务及恢复优先先顺序确定RTO/RPO441.灾难恢复需求求分析风险分析业务影响分析析（BIA）确定灾难恢复复目标45恢复时间明确关键业务务功能和支持持关键业务功功能的关键应应用系统明确系统中断断对业务的损损失和影响明确各业务系系统的恢复目目标和内外部部依赖关系确定各业务功功能灾难恢复复指标（RTO/RPO）明确各业务功功能恢复的最最小资源需求求及恢复策略略业务影响分析析（BIA）46确定灾难恢复复目标472.灾难恢复策略略制定数据备份系统统备用数据处理理系统备用网络系统统备用基础设施施专业技术支持持能力运行维护管理理能力灾难恢复预案案恢复要素策略制定主要要内容481.确定所需的灾灾难恢复资源源2.明确恢复资源源的获取方式式3.明确对恢复资资源的具体要要求(需要具备的灾灾难恢复能力力等级)例如：灾难恢恢复资源的获获取方式备用基础设施施由单位所有或或运行多方共建或通通过互惠协议议获取租用商业化灾灾难备份中心心的基础设施施备用数据处理理系统事先与厂商签签订紧急供货货协议事先购买所需需的数据处理理设备并存放放在灾难备份份中心或安全全的设备仓库库利用商业化灾灾难备份中心心或签有互惠惠协议的机构构已有的兼容容设备49例如：确定灾灾难恢复等级级各要素的要要求数据备份系统统数据备份的范范围数据备份的时时间间隔数据备份的技技术及介质数据备份线路路的速率及相相关通信设备备的规格和要要求备用基础设施施与生产中心的的距离要求场地和环境（（如面积、温温度、湿度、、防火、电力力和工作时间间等）要求运行和管理要要求503、灾难恢复策策略实现灾难备份中心心的选择和建建设选址原则基础设施要求求灾难备份系统统技术方案的的实现技术方案的设设计、验证、、开发、安装装和测试专业技术支持持能力的实现现明确灾难恢复复策略的要求求建立技术支持持组织，定期期技能培训运行维护管理理能力的实现现灾难备份中心心应建立各种种操作规程和和管理制度保证备份的及及时性和有效效性保证有效的应应急响应、处处理能力51灾难备份中心心的选择和建建设选址原则避免灾难备份份中心与生产产中心同时遭遭受同类风险险具备通信、电电力资源和交交通条件统筹规划、资资源共享、平平战结合基础设施要求求计算机机房应应符合有关国国家标准工作辅助设施施和生活设施施要符合灾难难恢复目标的的要求52灾难备份中心心的选择和建建设同城和异地53

同城异地含义指灾难备份中心与生产中心处于同一区域性风险威胁的地点，但又有一定距离的地点，例如在数十公里以内灾难备份中心不会同时遭受与生产中心同一区域性风险威胁的地点，例如距离生产中心在数百公里以上优点技术上可以支持同步的数据实时备份方式、便于运营管理和灾难演练对地震、地区停电、战争等大规模灾难防范能力较强缺点抵御灾难能力方面有局限性，对地震、地区停电、战争等大规模灾难防范能力较弱技术上只能支持异步或者定点拷贝的数据复制方式、运营管理和灾难演练的成本较高灾难备份系统统技术方案的的实现54三个主要步骤骤：技术方案案的设计，技技术方案的验验证、确认和和系统开发，，系统安装和和测试典型的灾难备备份系统技术术方案架构专业技术支持持能力的实现现、运行维护管理理能力的实现现灾难备份中心心应建立相应应的技术支持持组织，定期期对技术支持持人员进行技技能的教育和和培训，以实现专业业技术支持能能力灾难备份中心心应建立各种种操作规程和和管理制度，以实现运行行维护管理能能力554、灾难恢复预预案的制定和和管理灾难恢复预案案的制定灾难恢复预案案的教育、培培训和演练灾难恢复预案案的管理56灾难恢复预案案的制定灾难恢复预案案包括的主要要内容确定风险场景景描述可能受到到的业务影响响描述使用的预预防性策略描述灾难恢复复策略识别和排列关关键应用系统统行动计划团队和人员的的职责联络清单所需资源配置置57灾难恢复预案案的制定制定灾难恢复复预案的原则则完整性易用性明确性有效性兼容性58制定灾难恢复复预案的一般般流程制定框架起草评审修订测试完善审核和批准灾难恢复预案案的教育、培培训和演练目的：在灾难难来临前使相相关人员了解解灾难恢复的的目标和流程程，熟悉恢复复操作规程教育：在规划初期即即开始进行灾灾难恢复观念念的宣传教育育培训：评估培训需求求，确定培训训的频次和范范围，开发培培训课程，保保留培训记录录演练：制定演练计划划，说明演练练场景，记录录演练过程，，编制演练报报告59演练与演习的的类型演练和演习的的主要方式桌面面演演练练模拟拟演演练练实战战演演练练等等根据据演演练练和和演演习习的的深深度度，，可可分分为为数据据级级演演练练应用用级级演演练练业务务级级演演练练等等根据据演演练练和和演演习习的的准准备备情情况况，，可可分分为为计划划内内的的演演练练和和演演习习计划划外外的的演演练练和和演演习习等等60灾难难恢恢复复预预案案的的管管理理按以以下下原原则则保保存存和和分分发发指派派专专人人负负责责制作作多多份份拷拷贝贝，，保保存存在在不不同同地地点点分发发给给参参与与恢恢复复工工作作的的所所有有人人员员每次次修修订订后后统统一一更更新新所所有有拷拷贝贝按有有关关规规定定销销毁毁旧旧版版本本为保保证证预预案案的的有有效效性性在发发生生各各种种变变化化后后，，及及时时更更新新预预案案在测测试试、、演演练练、、灾灾难难发发生生后后实实际际执执行行过过预预案案以以后后，，评评估估并并修修订订定期期评评审审和和修修订订61知识识域域：：信信息息系系统统灾灾难难恢恢复复知识识子子域域：：灾灾难难恢恢复复能能力力掌握握国国家家有有关关标标准准对对信信息息系系统统灾灾难难恢恢复复能能力力级级别别的的划划分分理解解各各恢恢复复能能力力级级别别对对各各类类灾灾难难恢恢复复资资源源要要素素的的指指标标要要求求掌握握确确定定组组织织自自身身所所需需灾灾难难恢恢复复能能力力级级别别的的方方法法62灾难难恢恢复复资资源源要要素素与与恢恢复复能能力力等等级级划划分分63专业业技技术术支支持持能能力力运行行维维护护管管理理能能力力第1级—基本本支支持持要素要求数据备份系统完全数据备份至少每周一次备份介质场外存放备用数据处理系统

—备用网络系统

—备用基础设施有符合介质存放条件的场地专业技术支持能力

—运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案64第2级—备用用场场地地支支持持要素要求数据备份系统完全数据备份至少每周一次备份介质场外存放备用数据处理系统配备灾难恢复所需的部分备用数据处理设备，或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地备用网络系统配备部分通信线路和相应的网络设备，或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地备用基础设施有符合介质存放条件的场地有满足信息系统和关键业务功能恢复运作要求的场地专业技术支持能力

—运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用站点管理制度与相关厂商有符合灾难恢复时间要求的紧急供货协议与相关运营商有符合灾难恢复时间要求的备用通信线路协议灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。第3级—电子子传传输输和和部部分分设设备备支支持持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放每天多次利用通信网络将关键数据定时批量传送至备用场地备用数据处理系统配备灾难恢复所需的部分数据处理设备备用网络系统配备部分通信线路和相应的网络设备备用基础设施有符合介质存放条件的场地有满足信息系统和关键业务功能恢复运作要求的场地66第3级—电子子传传输输和和部部分分设设备备支支持持要素要求专业技术支持能力在备用站点有专职的计算机机房运行管理人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房管理制度有备用数据处理设备硬件维护管理制度有电子传输数据备份系统运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案67第4级—电子子传传输输及及完完整整设设备备支支持持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放每天多次利用通信网络将关键数据定时批量传送至备用场地备用数据处理系统配备灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态备用网络系统配备灾难恢复所需的通信线路配备灾难恢复所需的网络设备，并处于就绪状态

备用基础设施有符合介质存放条件的场地有符合备用数据处理系统和备用网络设备运行要求的场地有满足关键业务功能恢复运作要求的场地以上场地应保持7x24小时运作68第4级—电子子传传输输及及完完整整设设备备支支持持要素要求专业技术支持能力在备用站点有：7x24小时专职计算机机房管理人员专职数据备份技术支持人员专职硬件、网络技术支持人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房运行管理制度有硬件和网络运行管理制度有电子传输数据备份系统运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案69第5级—实时时数数据据传传输输及及完完整整设设备备支支持持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放采用远程数据复制技术，并利用通信网络将关键数据实时复制到备份场地备用数据处理系统配备灾难恢复所需的全部数据处理设备，并处于就绪或运行状态备用网络系统配备灾难恢复所需的通信线路配备灾难恢复所需的网络设备，并处于就绪状态具备通信网络自动或集中切换能力备用基础设施有符合介质存放条件的场地有符合备用数据处理系统和备用网络设备运行要求的场地有满足关键业务功能恢复运作要求的场地以上场地应保持7x24小时运作70第5级—实时时数数据据传传输输及及完完整整设设备备支支持持要素要求专业技术支持能力在备用站点7x24小时有专职的：计算机机房管理人员数据备份技术支持人员硬件、网络技术支持人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房运行管理制度有硬件和网络运行管理制度有实时数据备份系统运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案71第6级—数据据零零丢丢失失和和远远程程集集群群支支持持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放远程实时备份，实现数据零丢失备用数据处理系统备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容应用软件是“集群的”，可实时无缝切换具备远程集群系统的实时监控和自动切换能力备用网络系统配备与生产系统相同等级的通信线路和网络设备备用网络处于运行状态最终用户可通过网络同时接入主、备中心备用基础设施有符合介质存放条件的场地有符合备用数据处理系统和备用网络设备运行要求的场地有满足关键业务功能恢复运作要求的场地以上场地应保持7x24小时运作72第6级—数据据零零丢丢失失和和远远程程集集群群支支持持要素要求专业技术支持能力在备用站点7x24小时有专职的：计算机机房管理人员专职数据备份技术支持人员专职硬件、网络技术支持人员专职操作系统、数据库和应用软件技术支持人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房运行管理制度有硬件和网络运行管理制度有实时数据备份系统运行管理制度有操作系统、数据库和应用软件运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案73知识识域域：：灾灾难难恢恢复复相相关关技技术术知识识子子域域：：备备份份技技术术理解解全全备备份份、、增增量量备备份份和和差差分分备备份份三三种种备备份份方方式式理解解三三种种备备份份方方式式的的特特点点74备份份类类型型全备备份份对整整个个系系统统的的所所有有文文件件进进行行完完全全备备份份增量量备备份份每次次备备份份的的数数据据只只是是上上一一次次备备份份后后增增加加和和修修改改过过的的数数据据差分备份每次备份的数数据是上一次次全备份之后后新增加和修修改过的数据据75不同备份方式式的特点76全备份备份量最大，，恢复最简单单增量备份备份量最小，，恢复最麻烦烦差分备份（差差异备份）备份量、恢复复繁琐度介于于前两者之间间备份策略重要时间点执执行完全备份份、经常进行行增量备份、、定期执行差差分备份知识域：灾难难恢复相关技技术知识子域：备备用场所了解冷站、温温站、热站、、移动站和镜镜像站等类别别的备用场所所的概念，了了解各类备用用场所具有的的功能、备战战性程度了解由组织拥拥有或运行维维护的专用站站点、同内部部或外部实体体通过签署互互惠协议而确确定的备用站站点、向专业业商业组织租租用的备用站站点在建设和和管理方式方方面的不同77基于功能、备备战性程度，备用站点分分为：冷站：通常包含用于于支持IT系统的足够空空间和基础设设施（电力，，电信连接和和环境控制））；不包含IT设备、办公自动化设设备温站：包含部分或所所有系统硬件件、软件、电电信和电源资资源装备的办办公空间。维维持于一个运运行维护状态态热站：有足够空间大大小以支持系系统要求和配配备了必要的的系统硬件、、支持基础设设施和支持人人员的办公空空间。一旦接接到通知，热热站人员将立即开开始准备系统统的运行移动站：带有满足系统统需求的特定定电信和IT设备的为客户户量身定做的的自包含、可可移动的站点点镜像站：包含全部、实实时信息镜像像的冗余设施施。同主站点点在技术方面面是完全相同同的。数据的的处理和存储储在主、备站同时进行行，提供最高高级别的可用用性78备用场所79站点费用硬件设备电信设置时间位置冷站低无无长固定温站中部分部分/完全中固定热站中/高完全完全短固定移动站高随相关情况而定随相关情况而定随相关情况而定不固定镜像站高完全完全无固定各类备用场所所之间的对比比基于建设和管管理方式，备备用场所分为：由组织拥有或或运行维护的的专用站点完全由组织出出资建设、使使用、维护和和管理，其可可以是冷战、、温站、热站站、镜像站或或移动站同内部或外部部实体通过签签署互惠协议议而确定的备备用站点由两个或更多多有相似或相相同IT配置和备份技技术的组织，，签订一个正正式合同以相相互间作为备备用场所或与与同一个备用用场所签订一一个联合合同同。这种类型型的站点通过过互惠协议建建立向专业商业组组织租用的备备用站点需要事先与专专业商业组织织签订商业合合同，必须在在合同中协商商并清晰地说说明足够的测测试时间、工工作空间、安安全要求、硬硬件要求、电电信要求、支支持服务和恢恢复时间（在在恢复期间，，组织机构可可以占用空间间多久）80谢谢，请提问问题！9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。1月月-231月月-23Thursday,January5,202310、雨中黄叶树树，灯下白头头人。。00:56:4800:56:4800:561/5/202312:56:48AM11、以我独独沈久，，愧君相相见频。。。1月-2300:56:4800:56Jan-2305-Jan-2312、故人江海别别，几度隔山山川。。00:56:4800:56:4800:56Thursday,January5,202313、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。1月月-231