2015《公司戰(zhàn)略》簡答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　【東奧小編】現(xiàn)階段進(jìn)入2015年注會強(qiáng)化提高沖刺備考期,，為幫助考生們在最后階段提高備考效率,，我們根據(jù)2015年注冊會計(jì)師考試大綱為考生們總結(jié)了《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目的選擇題,、簡答題和綜合題易考點(diǎn)，下面我們一起來復(fù)習(xí)2015《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》簡答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù),。

　　本考點(diǎn)能力等級：

　　能力等級 2—— 基本應(yīng)用能力

　　考生應(yīng)當(dāng)在理解基本理論,、基本原理和相關(guān)概念的基礎(chǔ)上,，在比較簡單的職業(yè)環(huán)境上，堅(jiān)守職業(yè)價(jià)值觀,、遵循職業(yè)道德,、堅(jiān)持職業(yè)態(tài)度，運(yùn)用相關(guān)專業(yè)學(xué)科知識解決實(shí)務(wù)問題,。

　　本知識點(diǎn)屬于《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)信息系統(tǒng)管理的內(nèi)容,。

　　簡答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　一般來說，每個(gè)使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套應(yīng)急響應(yīng)機(jī)制,。這個(gè)機(jī)制包括三個(gè)環(huán)節(jié),，即應(yīng)急響應(yīng)組織、緊急預(yù)案,、災(zāi)難恢復(fù),。

　　1.應(yīng)急響應(yīng)組織。

　　應(yīng)急響應(yīng)組織的主要工作有：

　　(1)安全事件與軟件安全缺陷分析研究;

　　(2)安全知識庫(包括漏洞知識,、入侵檢測等)的開發(fā)與管理;

　　(3)安全管理和應(yīng)急知識的教育與培訓(xùn);

　　(4)發(fā)布安全信息(如系統(tǒng)漏洞與補(bǔ)丁,、病毒警告等);

　　(5)安全事件緊急處理

　　應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組和應(yīng)急技術(shù)保障小組。

　　應(yīng)急保障領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件及自然災(zāi)害的應(yīng)急處理,。

　　應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題,，如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù),、系統(tǒng)平臺技術(shù),、應(yīng)用系統(tǒng)技術(shù)等。

　　2.緊急預(yù)案,。

　　(1)緊急預(yù)案及基本內(nèi)容,。

　　應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和意外情形預(yù)先制定的處理方案,。

　　應(yīng)急預(yù)案一般包括如下內(nèi)容：

　�,、賵�(zhí)行緊急預(yù)案的人員(姓名、住址,、電話號碼以及有關(guān)職能部門的聯(lián)系方法);

　�,、谙到y(tǒng)緊急事件類型及處理措施的詳細(xì)說明;

　　③應(yīng)急處理的具體步驟和操作順序,。

　　(2)常見安全事件,。

　　緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對應(yīng)的處理。下面提供一些常見的安全事件類型供參考：

　�,、傥锢韺�(shí)體及環(huán)境類安全事件,，如意外停電、物理設(shè)備丟失,、火災(zāi)和水災(zāi)等;

　�,、诰W(wǎng)絡(luò)通信類安全事件，如網(wǎng)絡(luò)蠕蟲侵害等;

　　③主機(jī)系統(tǒng)類安全事件,，如計(jì)算機(jī)病毒,、口令丟失等;

　　④應(yīng)用系統(tǒng)類安全事件,，如客戶信息丟失等,。

　　(3)應(yīng)急事件處理的基本流程。

　�,、侔踩�事件��(bào)警,。

　　值班人員發(fā)現(xiàn)緊急情況，要及時(shí)報(bào)告,。報(bào)告要對安全事件進(jìn)行準(zhǔn)確描述并作書面記錄,。

　　②安全事件確認(rèn),。

　　確定安全事件的類型,，以便啟動(dòng)相應(yīng)的預(yù)案。

　�,、蹎���(dòng)緊急預(yù)案,。

　　首先要能夠找到緊急預(yù)案，其次保護(hù)現(xiàn)場證據(jù)(如系統(tǒng)事件,、處理者采取的行動(dòng)與外界的溝通等),，避免災(zāi)害擴(kuò)大。

　�,、芑謴�(fù)系統(tǒng),。包括：

　　第一，安裝干凈的操作系統(tǒng)版本,。如果主機(jī)被侵入,，就應(yīng)當(dāng)考慮系統(tǒng)中的任何東西都可能被攻擊者修改過了，包括內(nèi)核,、二進(jìn)制可執(zhí)行文件,、數(shù)據(jù)文件、正在運(yùn)行的進(jìn)程以及內(nèi)存,。通常,，需要從發(fā)布介質(zhì)上重裝操作系統(tǒng)，然后再重新連接到網(wǎng)絡(luò)上之前安裝所有的安全補(bǔ)丁,，只有這樣才會使系統(tǒng)不受后門和攻擊者的影響,。只是找出并修補(bǔ)被攻擊者利用的安全缺陷是不夠的。建議使用干凈的備份程序備份整個(gè)系統(tǒng),，然后重裝系統(tǒng),。

　　第二,，取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù),，取消那些沒有必要的服務(wù),。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。通常,，最保守的策略是取消所有的服務(wù),，只啟動(dòng)自己需要的服務(wù)。

　　第三,，安裝供應(yīng)商提供的所有補(bǔ)丁,，建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御外來攻擊,，不被再次入侵,，這是最重要的一步。

　　第四,，查閱計(jì)算機(jī)安全應(yīng)急響應(yīng)組的安全建議,、安全總結(jié)和供應(yīng)商的安全提示。

　　第五,，謹(jǐn)慎使用備份數(shù)據(jù),。在從備份中恢復(fù)數(shù)據(jù)時(shí)，要確認(rèn)備份主機(jī)沒有被入侵,。一定要記住,，恢復(fù)過程可能會重新帶來安全缺陷，被入侵者利用,。

　　第六,，改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題之后,，建議改變系統(tǒng)中所有賬戶的密碼,。

　　⑤加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全,。

　�,、捱M(jìn)行應(yīng)急工作總結(jié)。

　�,、咦珜懓踩�事件��(bào)告。

　　3.災(zāi)難恢復(fù),。

　　災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分,。從發(fā)現(xiàn)入侵的時(shí)刻起就應(yīng)進(jìn)行處理。

　　災(zāi)難恢復(fù)應(yīng)當(dāng)包括如下幾項(xiàng)內(nèi)容：

　　(1)與高層管理人員協(xié)商,�,；謴�(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案,。如果安全預(yù)案中沒有描述，應(yīng)當(dāng)與管理人員協(xié)商,，以便能從更高角度進(jìn)行判斷,，并得到更多部門的支持和配合。

　　(2)奪回系統(tǒng)控制權(quán),。為了奪回對被入侵系統(tǒng)的控制權(quán),，先要將入侵從網(wǎng)絡(luò)上斷開，包括撥號連接,。如果在恢復(fù)過程中,，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就可能破壞所進(jìn)行的恢復(fù)工作,。進(jìn)行系統(tǒng)恢復(fù)也會丟失一些有用信息,，如入侵者正在使用的掃描程序或監(jiān)聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時(shí),，可以不采取這樣的措施,，以免被入侵者發(fā)現(xiàn)。但是,，也要采取其他一些措施,，避免入侵蔓延。

　　(3)復(fù)制一份被侵入系統(tǒng)的映像,。在進(jìn)行入侵分析之前,，最好對被入侵系統(tǒng)進(jìn)行備份。這個(gè)備份在恢復(fù)失敗時(shí)非常有用,。

　　(4)入侵評估,。入侵評估包括入侵風(fēng)險(xiǎn)評估、入侵路徑分析,、入侵類型確定和入侵涉及范圍調(diào)查,。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。

　�,、僭敿�(xì)審查系統(tǒng)日志文件和顯示器輸出,，檢查異常現(xiàn)象,。

　�,、谌肭终哌z留物分析。包括：檢查入侵者對系統(tǒng)文件和配置文件的修改;檢查被修改的數(shù)據(jù);檢查入侵者留下的工具和數(shù)據(jù);檢查網(wǎng)絡(luò)監(jiān)聽工具,。

　�,、燮渌�，如網(wǎng)絡(luò)的周邊環(huán)境和涉及的遠(yuǎn)程站點(diǎn),。

　　(5)清除后門,。后門是入侵者為下次攻擊打下的埋伏,，包括修改了的配置文件、系統(tǒng)木馬程序,、修改了的系統(tǒng)內(nèi)核等,。

　　(6)記錄恢復(fù)過程中所有的步驟。記錄恢復(fù)過程中采取的每一步措施是非常重要的,�,；謴�(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量的時(shí)間,，因此經(jīng)常會使人做出一些草率的決定,。記錄自己所做的每一步可以幫助避免做出草率的決定，還可以留作以后的參考,，還可能對法律調(diào)查提供幫助,。

　　(7)系統(tǒng)恢復(fù)。各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù),。對于服務(wù)器和數(shù)據(jù)庫等系統(tǒng)特別重要的設(shè)備,，則要單獨(dú)訂立緊急恢復(fù)預(yù)案。

　�,、俜���(wù)器的恢復(fù),。—旦服務(wù)器因故障完全停止運(yùn)行,，常規(guī)的恢復(fù)方法是在一個(gè)新的硬件平臺上重建,。用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計(jì)一種專門的軟件包,，可以生成存有服務(wù)器鏡像文件的啟動(dòng)盤,，用來恢復(fù)服務(wù)器，就便利多了,。

　�,、跀�(shù)據(jù)庫系統(tǒng)的恢復(fù)。數(shù)據(jù)庫系統(tǒng)恢復(fù)的目的是在足夠備份的基礎(chǔ)上,，使數(shù)據(jù)庫盡快恢復(fù)到正常,。