2015《公司戰(zhàn)略》簡(jiǎn)答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　【東奧小編】現(xiàn)階段進(jìn)入2015年注會(huì)強(qiáng)化提高沖刺備考期，為幫助考生們?cè)谧詈箅A段提高備考效率，我們根據(jù)2015年注冊(cè)會(huì)計(jì)師考試大綱為考生們總結(jié)了《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目的選擇題、簡(jiǎn)答題和綜合題易考點(diǎn)，下面我們一起來(lái)復(fù)習(xí)2015《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》簡(jiǎn)答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)。

　　本考點(diǎn)能力等級(jí)：

　　能力等級(jí) 2—— 基本應(yīng)用能力

　　考生應(yīng)當(dāng)在理解基本理論、基本原理和相關(guān)概念的基礎(chǔ)上，在比較簡(jiǎn)單的職業(yè)環(huán)境上，堅(jiān)守職業(yè)價(jià)值觀、遵循職業(yè)道德、堅(jiān)持職業(yè)態(tài)度，運(yùn)用相關(guān)專業(yè)學(xué)科知識(shí)解決實(shí)務(wù)問(wèn)題。

　　本知識(shí)點(diǎn)屬于《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》科目第八章管理信息系統(tǒng)的應(yīng)用與管理第三節(jié)信息系統(tǒng)管理的內(nèi)容。

　　簡(jiǎn)答題易考點(diǎn)：應(yīng)急響與災(zāi)難恢復(fù)

　　一般來(lái)說(shuō)，每個(gè)使用信息系統(tǒng)的組織都應(yīng)當(dāng)有一套應(yīng)急響應(yīng)機(jī)制。這個(gè)機(jī)制包括三個(gè)環(huán)節(jié)，即應(yīng)急響應(yīng)組織、緊急預(yù)案、災(zāi)難恢復(fù)。

　　1.應(yīng)急響應(yīng)組織。

　　應(yīng)急響應(yīng)組織的主要工作有：

　　(1)安全事件與軟件安全缺陷分析研究;

　　(2)安全知識(shí)庫(kù)(包括漏洞知識(shí)、入侵檢測(cè)等)的開(kāi)發(fā)與管理;

　　(3)安全管理和應(yīng)急知識(shí)的教育與培訓(xùn);

　　(4)發(fā)布安全信息(如系統(tǒng)漏洞與補(bǔ)丁、病毒警告等);

　　(5)安全事件緊急處理

　　應(yīng)急響應(yīng)組織包括應(yīng)急保障領(lǐng)導(dǎo)小組和應(yīng)急技術(shù)保障小組。

　　應(yīng)急保障領(lǐng)導(dǎo)小組的主要職責(zé)是領(lǐng)導(dǎo)與協(xié)調(diào)突發(fā)事件及自然災(zāi)害的應(yīng)急處理。

　　應(yīng)急技術(shù)保障小組主要解決安全事件的技術(shù)問(wèn)題，如物理實(shí)體和環(huán)境安全技術(shù)、網(wǎng)絡(luò)通信技術(shù)、系統(tǒng)平臺(tái)技術(shù)、應(yīng)用系統(tǒng)技術(shù)等。

　　2.緊急預(yù)案。

　　(1)緊急預(yù)案及基本內(nèi)容。

　　應(yīng)急預(yù)案是指根據(jù)不同的突發(fā)緊急事件類型和意外情形預(yù)先制定的處理方案。

　　應(yīng)急預(yù)案一般包括如下內(nèi)容：

　　①執(zhí)行緊急預(yù)案的人員(姓名、住址、電話號(hào)碼以及有關(guān)職能部門的聯(lián)系方法);

　　②系統(tǒng)緊急事件類型及處理措施的詳細(xì)說(shuō)明;

　�、蹜�(yīng)急處理的具體步驟和操作順序。

　　(2)常見(jiàn)安全事件。

　　緊急預(yù)案要根據(jù)安全事件的類型進(jìn)行對(duì)應(yīng)的處理。下面提供一些常見(jiàn)的安全事件類型供參考：

　　①物理實(shí)體及環(huán)境類安全事件，如意外停電、物理設(shè)備丟失、火災(zāi)和水災(zāi)等;

　　②網(wǎng)絡(luò)通信類安全事件，如網(wǎng)絡(luò)蠕蟲(chóng)侵害等;

　　③主機(jī)系統(tǒng)類安全事件，如計(jì)算機(jī)病毒、口令丟失等;

　�、軕�(yīng)用系統(tǒng)類安全事件，如客戶信息丟失等。

　　(3)應(yīng)急事件處理的基本流程。

　�、侔踩�事件報(bào)警。

　　值班人員發(fā)現(xiàn)緊急情況，要及時(shí)報(bào)告。報(bào)告要對(duì)安全事件進(jìn)行準(zhǔn)確描述并作書(shū)面記錄。

　�、诎踩�事件確認(rèn)。

　　確定安全事件的類型，以便啟動(dòng)相應(yīng)的預(yù)案。

　�、蹎�動(dòng)緊急預(yù)案。

　　首先要能夠找到緊急預(yù)案，其次保護(hù)現(xiàn)場(chǎng)證據(jù)(如系統(tǒng)事件、處理者采取的行動(dòng)與外界的溝通等)，避免災(zāi)害擴(kuò)大。

　　④恢復(fù)系統(tǒng)。包括：

　　第一，安裝干凈的操作系統(tǒng)版本。如果主機(jī)被侵入，就應(yīng)當(dāng)考慮系統(tǒng)中的任何東西都可能被攻擊者修改過(guò)了，包括內(nèi)核、二進(jìn)制可執(zhí)行文件、數(shù)據(jù)文件、正在運(yùn)行的進(jìn)程以及內(nèi)存。通常，需要從發(fā)布介質(zhì)上重裝操作系統(tǒng)，然后再重新連接到網(wǎng)絡(luò)上之前安裝所有的安全補(bǔ)丁，只有這樣才會(huì)使系統(tǒng)不受后門和攻擊者的影響。只是找出并修補(bǔ)被攻擊者利用的安全缺陷是不夠的。建議使用干凈的備份程序備份整個(gè)系統(tǒng)，然后重裝系統(tǒng)。

　　第二，取消不必要的服務(wù)。只配置系統(tǒng)要提供的服務(wù)，取消那些沒(méi)有必要的服務(wù)。檢查并確信其配置文件沒(méi)有脆弱性以及該服務(wù)是否可靠。通常，最保守的策略是取消所有的服務(wù)，只啟動(dòng)自己需要的服務(wù)。

　　第三，安裝供應(yīng)商提供的所有補(bǔ)丁，建議安裝所有的安全補(bǔ)丁，使系統(tǒng)能夠抵御外來(lái)攻擊，不被再次入侵，這是最重要的一步。

　　第四，查閱計(jì)算機(jī)安全應(yīng)急響應(yīng)組的安全建議、安全總結(jié)和供應(yīng)商的安全提示。

　　第五，謹(jǐn)慎使用備份數(shù)據(jù)。在從備份中恢復(fù)數(shù)據(jù)時(shí)，要確認(rèn)備份主機(jī)沒(méi)有被入侵。一定要記住，恢復(fù)過(guò)程可能會(huì)重新帶來(lái)安全缺陷，被入侵者利用。

　　第六，改變密碼。在彌補(bǔ)了安全漏洞或者解決了配置問(wèn)題之后，建議改變系統(tǒng)中所有賬戶的密碼。

　�、菁訌�(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全。

　�、捱M(jìn)行應(yīng)急工作總結(jié)。

　�、咦珜�(xiě)安全事件報(bào)告。

　　3.災(zāi)難恢復(fù)。

　　災(zāi)難恢復(fù)是安全事件應(yīng)急預(yù)案中特別重要的部分。從發(fā)現(xiàn)入侵的時(shí)刻起就應(yīng)進(jìn)行處理。

　　災(zāi)難恢復(fù)應(yīng)當(dāng)包括如下幾項(xiàng)內(nèi)容：

　　(1)與高層管理人員協(xié)商�；謴�(fù)的步驟應(yīng)當(dāng)符合組織的安全預(yù)案。如果安全預(yù)案中沒(méi)有描述，應(yīng)當(dāng)與管理人員協(xié)商，以便能從更高角度進(jìn)行判斷，并得到更多部門的支持和配合。

　　(2)奪回系統(tǒng)控制權(quán)。為了奪回對(duì)被入侵系統(tǒng)的控制權(quán)，先要將入侵從網(wǎng)絡(luò)上斷開(kāi)，包括撥號(hào)連接。如果在恢復(fù)過(guò)程中，沒(méi)有斷開(kāi)被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，入侵者就可能破壞所進(jìn)行的恢復(fù)工作。進(jìn)行系統(tǒng)恢復(fù)也會(huì)丟失一些有用信息，如入侵者正在使用的掃描程序或監(jiān)聽(tīng)進(jìn)程。因此想要繼續(xù)追蹤入侵者時(shí)，可以不采取這樣的措施，以免被入侵者發(fā)現(xiàn)。但是，也要采取其他一些措施，避免入侵蔓延。

　　(3)復(fù)制一份被侵入系統(tǒng)的映像。在進(jìn)行入侵分析之前，最好對(duì)被入侵系統(tǒng)進(jìn)行備份。這個(gè)備份在恢復(fù)失敗時(shí)非常有用。

　　(4)入侵評(píng)估。入侵評(píng)估包括入侵風(fēng)險(xiǎn)評(píng)估、入侵路徑分析、入侵類型確定和入侵涉及范圍調(diào)查。下面介紹圍繞這些工作進(jìn)行的調(diào)查工作。

　�、僭敿�(xì)審查系統(tǒng)日志文件和顯示器輸出，檢查異�，F(xiàn)象。

　　②入侵者遺留物分析。包括：檢查入侵者對(duì)系統(tǒng)文件和配置文件的修改;檢查被修改的數(shù)據(jù);檢查入侵者留下的工具和數(shù)據(jù);檢查網(wǎng)絡(luò)監(jiān)聽(tīng)工具。

　　③其他，如網(wǎng)絡(luò)的周邊環(huán)境和涉及的遠(yuǎn)程站點(diǎn)。

　　(5)清除后門。后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、系統(tǒng)木馬程序、修改了的系統(tǒng)內(nèi)核等。

　　(6)記錄恢復(fù)過(guò)程中所有的步驟。記錄恢復(fù)過(guò)程中采取的每一步措施是非常重要的�；謴�(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量的時(shí)間，因此經(jīng)常會(huì)使人做出一些草率的決定。記錄自己所做的每一步可以幫助避免做出草率的決定，還可以留作以后的參考，還可能對(duì)法律調(diào)查提供幫助。

　　(7)系統(tǒng)恢復(fù)。各種安全事件預(yù)案的執(zhí)行都是為了使系統(tǒng)在事故后得以迅速恢復(fù)。對(duì)于服務(wù)器和數(shù)據(jù)庫(kù)等系統(tǒng)特別重要的設(shè)備，則要單獨(dú)訂立緊急恢復(fù)預(yù)案。

　　①服務(wù)器的恢復(fù)。—旦服務(wù)器因故障完全停止運(yùn)行，常規(guī)的恢復(fù)方法是在一個(gè)新的硬件平臺(tái)上重建。用手工進(jìn)行服務(wù)器的恢復(fù)是非常麻煩的。如果能設(shè)計(jì)一種專門的軟件包，可以生成存有服務(wù)器鏡像文件的啟動(dòng)盤，用來(lái)恢復(fù)服務(wù)器，就便利多了。

　�、跀�(shù)據(jù)庫(kù)系統(tǒng)的恢復(fù)。數(shù)據(jù)庫(kù)系統(tǒng)恢復(fù)的目的是在足夠備份的基礎(chǔ)上，使數(shù)據(jù)庫(kù)盡快恢復(fù)到正常。