2015《公司战略》简答题易考点：应急响与灾难恢复

2015《公司战略》简答题易考点：应急响与灾难恢复

　　【东奥小编】现阶段进入2015年注会强化提高冲刺备考期，为帮助考生们在最后阶段提高备考效率，我们根据2015年注册会计师考试大纲为考生们总结了《公司战略与风险管理》科目的选择题、简答题和综合题易考点，下面我们一起来复习2015《公司战略与风险管理》简答题易考点：应急响与灾难恢复。

　　本考点能力等级：

　　能力等级 2—— 基本应用能力

　　考生应当在理解基本理论、基本原理和相关概念的基础上，在比较简单的职业环境上，坚守职业价值观、遵循职业道德、坚持职业态度，运用相关专业学科知识解决实务问题。

　　本知识点属于《公司战略与风险管理》科目第八章管理信息系统的应用与管理第三节信息系统管理的内容。

　　简答题易考点：应急响与灾难恢复

　　一般来说，每个使用信息系统的组织都应当有一套应急响应机制。这个机制包括三个环节，即应急响应组织、紧急预案、灾难恢复。

　　1.应急响应组织。

　　应急响应组织的主要工作有：

　　(1)安全事件与软件安全缺陷分析研究;

　　(2)安全知识库(包括漏洞知识、入侵检测等)的开发与管理;

　　(3)安全管理和应急知识的教育与培训;

　　(4)发布安全信息(如系统漏洞与补丁、病毒警告等);

　　(5)安全事件紧急处理

　　应急响应组织包括应急保障领导小组和应急技术保障小组。

　　应急保障领导小组的主要职责是领导与协调突发事件及自然灾害的应急处理。

　　应急技术保障小组主要解决安全事件的技术问题，如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。

　　2.紧急预案。

　　(1)紧急预案及基本内容。

　　应急预案是指根据不同的突发紧急事件类型和意外情形预先制定的处理方案。

　　应急预案一般包括如下内容：

　　①执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);

　　②系统紧急事件类型及处理措施的详细说明;

　　③应急处理的具体步骤和操作顺序。

　　(2)常见安全事件。

　　紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考：

　　①物理实体及环境类安全事件，如意外停电、物理设备丢失、火灾和水灾等;

　　②网络通信类安全事件，如网络蠕虫侵害等;

　　③主机系统类安全事件，如计算机病毒、口令丢失等;

　　④应用系统类安全事件，如客户信息丟失等。

　　(3)应急事件处理的基本流程。

　　①安全事件报警。

　　值班人员发现紧急情况，要及时报告。报告要对安全事件进行准确描述并作书面记录。

　　②安全事件确认。

　　确定安全事件的类型，以便启动相应的预案。

　　③启动紧急预案。

　　首先要能够找到紧急预案，其次保护现场证据(如系统事件、处理者采取的行动与外界的沟通等)，避免灾害扩大。

　　④恢复系统。包括：

　　第一，安装干净的操作系统版本。如果主机被侵入，就应当考虑系统中的任何东西都可能被攻击者修改过了，包括内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常，需要从发布介质上重装操作系统，然后再重新连接到网络上之前安装所有的安全补丁，只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。建议使用干净的备份程序备份整个系统，然后重装系统。

　　第二，取消不必要的服务。只配置系统要提供的服务，取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常，最保守的策略是取消所有的服务，只启动自己需要的服务。

　　第三，安装供应商提供的所有补丁，建议安装所有的安全补丁，使系统能够抵御外来攻击，不被再次入侵，这是最重要的一步。

　　第四，查阅计算机安全应急响应组的安全建议、安全总结和供应商的安全提示。

　　第五，谨慎使用备份数据。在从备份中恢复数据时，要确认备份主机没有被入侵。一定要记住，恢复过程可能会重新带来安全缺陷，被入侵者利用。

　　第六，改变密码。在弥补了安全漏洞或者解决了配置问题之后，建议改变系统中所有账户的密码。

　　⑤加强系统和网络的安全。

　　⑥进行应急工作总结。

　　⑦撰写安全事件报告。

　　3.灾难恢复。

　　灾难恢复是安全事件应急预案中特别重要的部分。从发现入侵的时刻起就应进行处理。

　　灾难恢复应当包括如下几项内容：

　　(1)与高层管理人员协商。恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述，应当与管理人员协商，以便能从更高角度进行判断，并得到更多部门的支持和配合。

　　(2)夺回系统控制权。为了夺回对被入侵系统的控制权，先要将入侵从网络上断开，包括拨号连接。如果在恢复过程中，没有断开被侵入系统和网络的连接，入侵者就可能破坏所进行的恢复工作。进行系统恢复也会丢失一些有用信息，如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时，可以不采取这样的措施，以免被入侵者发现。但是，也要采取其他一些措施，避免入侵蔓延。

　　(3)复制一份被侵入系统的映像。在进行入侵分析之前，最好对被入侵系统进行备份。这个备份在恢复失败时非常有用。

　　(4)入侵评估。入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。

　　①详细审查系统日志文件和显示器输出，检查异常现象。

　　②入侵者遗留物分析。包括：检查入侵者对系统文件和配置文件的修改;检查被修改的数据;检查入侵者留下的工具和数据;检查网络监听工具。

　　③其他，如网络的周边环境和涉及的远程站点。

　　(5)清除后门。后门是入侵者为下次攻击打下的埋伏，包括修改了的配置文件、系统木马程序、修改了的系统内核等。

　　(6)记录恢复过程中所有的步骤。记录恢复过程中采取的每一步措施是非常重要的。恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人做出一些草率的决定。记录自己所做的每一步可以帮助避免做出草率的决定，还可以留作以后的参考，还可能对法律调查提供帮助。

　　(7)系统恢复。各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要的设备，则要单独订立紧急恢复预案。

　　①服务器的恢复。—旦服务器因故障完全停止运行，常规的恢复方法是在一个新的硬件平台上重建。用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包，可以生成存有服务器镜像文件的启动盘，用来恢复服务器，就便利多了。

　　②数据库系统的恢复。数据库系统恢复的目的是在足够备份的基础上，使数据库尽快恢复到正常。