2015《公司戰(zhàn)略》簡答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　【東奧小編】現(xiàn)階段進(jìn)入2015年注會強(qiáng)化提高沖刺備考期，為幫助考生們在最后階段提高備考效率，我們根據(jù)2015年注冊會計師考試大綱為考生們總結(jié)了《公司戰(zhàn)略與風(fēng)險管理》科目的選擇題、簡答題和綜合題易考點(diǎn)，下面我們一起來復(fù)習(xí)2015《公司戰(zhàn)略與風(fēng)險管理》簡答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)。

　　本考點(diǎn)能力等級：

　　能力等級 2—— 基本應(yīng)用能力

　　考生應(yīng)當(dāng)在理解基本理論、基本原理和相關(guān)概念的基礎(chǔ)上，在比較簡單的職業(yè)環(huán)境上，堅守職業(yè)價值觀、遵循職業(yè)道德、堅持職業(yè)態(tài)度，運(yùn)用相關(guān)專業(yè)學(xué)科知識解決實(shí)務(wù)問題。

　　本知識點(diǎn)屬于《公司戰(zhàn)略與風(fēng)險管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)信息系統(tǒng)管理的內(nèi)容。

　　簡答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　一般來說，每個使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套應(yīng)急響應(yīng)機(jī)制。這個機(jī)制包括三個環(huán)節(jié)，即應(yīng)急響應(yīng)組織、緊急預(yù)案、災(zāi)難恢復(fù)。

　　1.應(yīng)急響應(yīng)組織。

　　應(yīng)急響應(yīng)組織的主要工作有：

　　(1)安全事件與軟件安全缺陷分析研究;

　　(2)安全知識庫(包括漏洞知識、入侵檢測等)的開發(fā)與管理;

　　(3)安全管理和應(yīng)急知識的教育與培訓(xùn);

　　(4)發(fā)布安全信息(如系統(tǒng)漏洞與補(bǔ)丁、病毒警告等);

　　(5)安全事件緊急處理

　　應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組和應(yīng)急技術(shù)保障小組。

　　應(yīng)急保障領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件及自然災(zāi)害的應(yīng)急處理。

　　應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問題，如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺技術(shù)、應(yīng)用系統(tǒng)技術(shù)等。

　　2.緊急預(yù)案。

　　(1)緊急預(yù)案及基本內(nèi)容。

　　應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和意外情形預(yù)先制定的處理方案。

　　應(yīng)急預(yù)案一般包括如下內(nèi)容：

　�、賵�(zhí)行緊急預(yù)案的人員(姓名、住址、電話號碼以及有關(guān)職能部門的聯(lián)系方法);

　�、谙到y(tǒng)緊急事件類型及處理措施的詳細(xì)說明;

　　③應(yīng)急處理的具體步驟和操作順序。

　　(2)常見安全事件。

　　緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對應(yīng)的處理。下面提供一些常見的安全事件類型供參考：

　�、傥锢韺�(shí)體及環(huán)境類安全事件，如意外停電、物理設(shè)備丟失、火災(zāi)和水災(zāi)等;

　�、诰W(wǎng)絡(luò)通信類安全事件，如網(wǎng)絡(luò)蠕蟲侵害等;

　�、壑鳈C(jī)系統(tǒng)類安全事件，如計算機(jī)病毒、口令丟失等;

　　④應(yīng)用系統(tǒng)類安全事件，如客戶信息丟失等。

　　(3)應(yīng)急事件處理的基本流程。

　�、侔踩�事件報警。

　　值班人員發(fā)現(xiàn)緊急情況，要及時報告。報告要對安全事件進(jìn)行準(zhǔn)確描述并作書面記錄。

　�、诎踩�事件確認(rèn)。

　　確定安全事件的類型，以便啟動相應(yīng)的預(yù)案。

　�、蹎�動緊急預(yù)案。

　　首先要能夠找到緊急預(yù)案，其次保護(hù)現(xiàn)場證據(jù)(如系統(tǒng)事件、處理者采取的行動與外界的溝通等)，避免災(zāi)害擴(kuò)大。

　�、芑謴�(fù)系統(tǒng)。包括：

　　第一，安裝干凈的操作系統(tǒng)版本。如果主機(jī)被侵入，就應(yīng)當(dāng)考慮系統(tǒng)中的任何東西都可能被攻擊者修改過了，包括內(nèi)核、二進(jìn)制可執(zhí)行文件、數(shù)據(jù)文件、正在運(yùn)行的進(jìn)程以及內(nèi)存。通常，需要從發(fā)布介質(zhì)上重裝操作系統(tǒng)，然后再重新連接到網(wǎng)絡(luò)上之前安裝所有的安全補(bǔ)丁，只有這樣才會使系統(tǒng)不受后門和攻擊者的影響。只是找出并修補(bǔ)被攻擊者利用的安全缺陷是不夠的。建議使用干凈的備份程序備份整個系統(tǒng)，然后重裝系統(tǒng)。

　　第二，取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù)，取消那些沒有必要的服務(wù)。檢查并確信其配置文件沒有脆弱性以及該服務(wù)是否可靠。通常，最保守的策略是取消所有的服務(wù)，只啟動自己需要的服務(wù)。

　　第三，安裝供應(yīng)商提供的所有補(bǔ)丁，建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御外來攻擊，不被再次入侵，這是最重要的一步。

　　第四，查閱計算機(jī)安全應(yīng)急響應(yīng)組的安全建議、安全總結(jié)和供應(yīng)商的安全提示。

　　第五，謹(jǐn)慎使用備份數(shù)據(jù)。在從備份中恢復(fù)數(shù)據(jù)時，要確認(rèn)備份主機(jī)沒有被入侵。一定要記住，恢復(fù)過程可能會重新帶來安全缺陷，被入侵者利用。

　　第六，改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問題之后，建議改變系統(tǒng)中所有賬戶的密碼。

　�、菁訌�(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全。

　　⑥進(jìn)行應(yīng)急工作總結(jié)。

　�、咦珜懓踩�事件報告。

　　3.災(zāi)難恢復(fù)。

　　災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分。從發(fā)現(xiàn)入侵的時刻起就應(yīng)進(jìn)行處理。

　　災(zāi)難恢復(fù)應(yīng)當(dāng)包括如下幾項內(nèi)容：

　　(1)與高層管理人員協(xié)商。恢復(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒有描述，應(yīng)當(dāng)與管理人員協(xié)商，以便能從更高角度進(jìn)行判斷，并得到更多部門的支持和配合。

　　(2)奪回系統(tǒng)控制權(quán)。為了奪回對被入侵系統(tǒng)的控制權(quán)，先要將入侵從網(wǎng)絡(luò)上斷開，包括撥號連接。如果在恢復(fù)過程中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就可能破壞所進(jìn)行的恢復(fù)工作。進(jìn)行系統(tǒng)恢復(fù)也會丟失一些有用信息，如入侵者正在使用的掃描程序或監(jiān)聽進(jìn)程。因此想要繼續(xù)追蹤入侵者時，可以不采取這樣的措施，以免被入侵者發(fā)現(xiàn)。但是，也要采取其他一些措施，避免入侵蔓延。

　　(3)復(fù)制一份被侵入系統(tǒng)的映像。在進(jìn)行入侵分析之前，最好對被入侵系統(tǒng)進(jìn)行備份。這個備份在恢復(fù)失敗時非常有用。

　　(4)入侵評估。入侵評估包括入侵風(fēng)險評估、入侵路徑分析、入侵類型確定和入侵涉及范圍調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。

　　①詳細(xì)審查系統(tǒng)日志文件和顯示器輸出，檢查異�，F(xiàn)象。

　�、谌肭终哌z留物分析。包括：檢查入侵者對系統(tǒng)文件和配置文件的修改;檢查被修改的數(shù)據(jù);檢查入侵者留下的工具和數(shù)據(jù);檢查網(wǎng)絡(luò)監(jiān)聽工具。

　　③其他，如網(wǎng)絡(luò)的周邊環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。

　　(5)清除后門。后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等。

　　(6)記錄恢復(fù)過程中所有的步驟。記錄恢復(fù)過程中采取的每一步措施是非常重要的�；謴�(fù)一個被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量的時間，因此經(jīng)常會使人做出一些草率的決定。記錄自己所做的每一步可以幫助避免做出草率的決定，還可以留作以后的參考，還可能對法律調(diào)查提供幫助。

　　(7)系統(tǒng)恢復(fù)。各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對于服務(wù)器和數(shù)據(jù)庫等系統(tǒng)特別重要的設(shè)備，則要單獨(dú)訂立緊急恢復(fù)預(yù)案。

　�、俜�務(wù)器的恢復(fù)。—旦服務(wù)器因故障完全停止運(yùn)行，常規(guī)的恢復(fù)方法是在一個新的硬件平臺上重建。用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計一種專門的軟件包，可以生成存有服務(wù)器鏡像文件的啟動盤，用來恢復(fù)服務(wù)器，就便利多了。

　　②數(shù)據(jù)庫系統(tǒng)的恢復(fù)。數(shù)據(jù)庫系統(tǒng)恢復(fù)的目的是在足夠備份的基礎(chǔ)上，使數(shù)據(jù)庫盡快恢復(fù)到正常。