2015《公司戰(zhàn)略》簡(jiǎn)答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　【東奧小編】現(xiàn)階段進(jìn)入2015年注會(huì)強(qiáng)化提高沖刺備考期,，為幫助考生們?cè)谧詈箅A段提高備考效率，我們根據(jù)2015年注冊(cè)會(huì)計(jì)師考試大綱為考生們總結(jié)了《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目的選擇題,、簡(jiǎn)答題和綜合題易考點(diǎn),，下面我們一起來復(fù)習(xí)2015《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》簡(jiǎn)答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)。

　　本考點(diǎn)能力等級(jí)：

　　能力等級(jí) 2—— 基本應(yīng)用能力

　　考生應(yīng)當(dāng)在理解基本理論,、基本原理和相關(guān)概念的基礎(chǔ)上，在比較簡(jiǎn)單的職業(yè)環(huán)境上,，堅(jiān)守職業(yè)價(jià)值觀,、遵循職業(yè)道德、堅(jiān)持職業(yè)態(tài)度,，運(yùn)用相關(guān)專業(yè)學(xué)科知識(shí)解決實(shí)務(wù)問題,。

　　本知識(shí)點(diǎn)屬于《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)信息系統(tǒng)管理的內(nèi)容。

　　簡(jiǎn)答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　一般來說,，每個(gè)使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套應(yīng)急響應(yīng)機(jī)制,。這個(gè)機(jī)制包括三個(gè)環(huán)節(jié),，即應(yīng)急響應(yīng)組織、緊急預(yù)案,、災(zāi)難恢復(fù),。

　　1.應(yīng)急響應(yīng)組織。

　　應(yīng)急響應(yīng)組織的主要工作有：

　　(1)安全事件與軟件安全缺陷分析研究;

　　(2)安全知識(shí)庫(包括漏洞知識(shí),、入侵檢測(cè)等)的開發(fā)與管理;

　　(3)安全管理和應(yīng)急知識(shí)的教育與培訓(xùn);

　　(4)發(fā)布安全信息(如系統(tǒng)漏洞與補(bǔ)丁,、病毒警告等);

　　(5)安全事件緊急處理

　　應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組和應(yīng)急技術(shù)保障小組。

　　應(yīng)急保障領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件及自然災(zāi)害的應(yīng)急處理,。

　　應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題,，如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù),、系統(tǒng)平臺(tái)技術(shù),、應(yīng)用系統(tǒng)技術(shù)等。

　　2.緊急預(yù)案,。

　　(1)緊急預(yù)案及基本內(nèi)容,。

　　應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和意外情形預(yù)先制定的處理方案。

　　應(yīng)急預(yù)案一般包括如下內(nèi)容：

　�,、賵�(zhí)行緊急預(yù)案的人員(姓名,、住址、電話號(hào)碼以及有關(guān)職能部門的聯(lián)系方法);

　�,、谙到y(tǒng)緊急事件類型及處理措施的詳細(xì)說明;

　�,、蹜�(yīng)急處理的具體步驟和操作順序。

　　(2)常見安全事件,。

　　緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對(duì)應(yīng)的處理,。下面提供一些常見的安全事件類型供參考：

　　①物理實(shí)體及環(huán)境類安全事件,，如意外停電,、物理設(shè)備丟失、火災(zāi)和水災(zāi)等;

　�,、诰W(wǎng)絡(luò)通信類安全事件,，如網(wǎng)絡(luò)蠕蟲侵害等;

　　③主機(jī)系統(tǒng)類安全事件,，如計(jì)算機(jī)病毒,、口令丟失等;

　　④應(yīng)用系統(tǒng)類安全事件,，如客戶信息丟失等,。

　　(3)應(yīng)急事件處理的基本流程。

　　①安全事件報(bào)警,。

　　值班人員發(fā)現(xiàn)緊急情況,，要及時(shí)報(bào)告。報(bào)告要對(duì)安全事件進(jìn)行準(zhǔn)確描述并作書面記錄,。

　�,、诎踩�事件確認(rèn)。

　　確定安全事件的類型,，以便啟動(dòng)相應(yīng)的預(yù)案,。

　　③啟動(dòng)緊急預(yù)案,。

　　首先要能夠找到緊急預(yù)案,，其次保護(hù)現(xiàn)場(chǎng)證據(jù)(如系統(tǒng)事件、處理者采取的行動(dòng)與外界的溝通等),，避免災(zāi)害擴(kuò)大,。

　　④恢復(fù)系統(tǒng),。包括：

　　第一,，安裝干凈的操作系統(tǒng)版本。如果主機(jī)被侵入,，就應(yīng)當(dāng)考慮系統(tǒng)中的任何東西都可能被攻擊者修改過了,，包括內(nèi)核、二進(jìn)制可執(zhí)行文件,、數(shù)據(jù)文件,、正在運(yùn)行的進(jìn)程以及內(nèi)存。通常,，需要從發(fā)布介質(zhì)上重裝操作系統(tǒng),，然后再重新連接到網(wǎng)絡(luò)上之前安裝所有的安全補(bǔ)丁，只有這樣才會(huì)使系統(tǒng)不受后門和攻擊者的影響,。只是找出并修補(bǔ)被攻擊者利用的安全缺陷是不夠的,。建議使用干凈的備份程序備份整個(gè)系統(tǒng)，然后重裝系統(tǒng),。

　　第二,，取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù),，取消那些沒有必要的服務(wù),。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。通常,，最保守的策略是取消所有的服務(wù)，只啟動(dòng)自己需要的服務(wù)。

　　第三,，安裝供應(yīng)商提供的所有補(bǔ)丁,，建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御外來攻擊,，不被再次入侵,，這是最重要的一步。

　　第四,，查閱計(jì)算機(jī)安全應(yīng)急響應(yīng)組的安全建議,、安全總結(jié)和供應(yīng)商的安全提示。

　　第五,，謹(jǐn)慎使用備份數(shù)據(jù),。在從備份中恢復(fù)數(shù)據(jù)時(shí)，要確認(rèn)備份主機(jī)沒有被入侵,。一定要記住,，恢復(fù)過程可能會(huì)重新帶來安全缺陷，被入侵者利用,。

　　第六,，改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題之后,，建議改變系統(tǒng)中所有賬戶的密碼,。

　　⑤加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全,。

　�,、捱M(jìn)行應(yīng)急工作總結(jié)。

　�,、咦珜懓踩�事件��(bào)告,。

　　3.災(zāi)難恢復(fù)。

　　災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分,。從發(fā)現(xiàn)入侵的時(shí)刻起就應(yīng)進(jìn)行處理,。

　　災(zāi)難恢復(fù)應(yīng)當(dāng)包括如下幾項(xiàng)內(nèi)容：

　　(1)與高層管理人員協(xié)商�,；謴�(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案,。如果安全預(yù)案中沒有描述，應(yīng)當(dāng)與管理人員協(xié)商,，以便能從更高角度進(jìn)行判斷,，并得到更多部門的支持和配合。

　　(2)奪回系統(tǒng)控制權(quán),。為了奪回對(duì)被入侵系統(tǒng)的控制權(quán),，先要將入侵從網(wǎng)絡(luò)上斷開,，包括撥號(hào)連接。如果在恢復(fù)過程中,，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接,，入侵者就可能破壞所進(jìn)行的恢復(fù)工作。進(jìn)行系統(tǒng)恢復(fù)也會(huì)丟失一些有用信息,，如入侵者正在使用的掃描程序或監(jiān)聽進(jìn)程,。因此想要繼續(xù)追蹤入侵者時(shí)，可以不采取這樣的措施,，以免被入侵者發(fā)現(xiàn),。但是，也要采取其他一些措施,，避免入侵蔓延,。

　　(3)復(fù)制一份被侵入系統(tǒng)的映像。在進(jìn)行入侵分析之前,，最好對(duì)被入侵系統(tǒng)進(jìn)行備份,。這個(gè)備份在恢復(fù)失敗時(shí)非常有用。

　　(4)入侵評(píng)估,。入侵評(píng)估包括入侵風(fēng)險(xiǎn)評(píng)估,、入侵路徑分析、入侵類型確定和入侵涉及范圍調(diào)查,。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作,。

　　①詳細(xì)審查系統(tǒng)日志文件和顯示器輸出,，檢查異�,，F(xiàn)象。

　�,、谌肭终哌z留物分析,。包括：檢查入侵者對(duì)系統(tǒng)文件和配置文件的修改;檢查被修改的數(shù)據(jù);檢查入侵者留下的工具和數(shù)據(jù);檢查網(wǎng)絡(luò)監(jiān)聽工具。

　�,、燮渌�,，如網(wǎng)絡(luò)的周邊環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。

　　(5)清除后門,。后門是入侵者為下次攻擊打下的埋伏,，包括修改了的配置文件、系統(tǒng)木馬程序,、修改了的系統(tǒng)內(nèi)核等,。

　　(6)記錄恢復(fù)過程中所有的步驟。記錄恢復(fù)過程中采取的每一步措施是非常重要的,�,；謴�(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事,，要耗費(fèi)大量的時(shí)間，因此經(jīng)常會(huì)使人做出一些草率的決定,。記錄自己所做的每一步可以幫助避免做出草率的決定,，還可以留作以后的參考,，還可能對(duì)法律調(diào)查提供幫助,。

　　(7)系統(tǒng)恢復(fù)。各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù),。對(duì)于服務(wù)器和數(shù)據(jù)庫等系統(tǒng)特別重要的設(shè)備,，則要單獨(dú)訂立緊急恢復(fù)預(yù)案。

　�,、俜���(wù)器的恢復(fù),。—旦服務(wù)器因故障完全停止運(yùn)行,，常規(guī)的恢復(fù)方法是在一個(gè)新的硬件平臺(tái)上重建,。用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計(jì)一種專門的軟件包,，可以生成存有服務(wù)器鏡像文件的啟動(dòng)盤,，用來恢復(fù)服務(wù)器，就便利多了,。

　�,、跀�(shù)據(jù)庫系統(tǒng)的恢復(fù)。數(shù)據(jù)庫系統(tǒng)恢復(fù)的目的是在足夠備份的基礎(chǔ)上,，使數(shù)據(jù)庫盡快恢復(fù)到正常,。