2015《公司戰略》簡答題易考點：應急響與災難恢復

　　【東奧小編】現階段進入2015年注會強化提高沖刺備考期，為幫助考生們在最后階段提高備考效率，我們根據2015年注冊會計師考試大綱為考生們總結了《公司戰略與風險管理》科目的選擇題、簡答題和綜合題易考點，下面我們一起來復習2015《公司戰略與風險管理》簡答題易考點：應急響與災難恢復。

　　本考點能力等級：

　　能力等級 2—— 基本應用能力

　　考生應當在理解基本理論、基本原理和相關概念的基礎上，在比較簡單的職業環境上，堅守職業價值觀、遵循職業道德、堅持職業態度，運用相關專業學科知識解決實務問題。

　　本知識點屬于《公司戰略與風險管理》科目第八章管理信息系統的應用與管理第三節信息系統管理的內容。

　　簡答題易考點：應急響與災難恢復

　　一般來說，每個使用信息系統的組織都應當有一套應急響應機制。這個機制包括三個環節，即應急響應組織、緊急預案、災難恢復。

　　1.應急響應組織。

　　應急響應組織的主要工作有：

　　(1)安全事件與軟件安全缺陷分析研究;

　　(2)安全知識庫(包括漏洞知識、入侵檢測等)的開發與管理;

　　(3)安全管理和應急知識的教育與培訓;

　　(4)發布安全信息(如系統漏洞與補丁、病毒警告等);

　　(5)安全事件緊急處理

　　應急響應組織包括應急保障領導小組和應急技術保障小組。

　　應急保障領導小組的主要職責是領導與協調突發事件及自然災害的應急處理。

　　應急技術保障小組主要解決安全事件的技術問題，如物理實體和環境安全技術、網絡通信技術、系統平臺技術、應用系統技術等。

　　2.緊急預案。

　　(1)緊急預案及基本內容。

　　應急預案是指根據不同的突發緊急事件類型和意外情形預先制定的處理方案。

　　應急預案一般包括如下內容：

　�、賵绦芯o急預案的人員(姓名、住址、電話號碼以及有關職能部門的聯系方法);

　�、谙到y緊急事件類型及處理措施的詳細說明;

　　③應急處理的具體步驟和操作順序。

　　(2)常見安全事件。

　　緊急預案要根據安全事件的類型進行對應的處理。下面提供一些常見的安全事件類型供參考：

　�、傥锢韺嶓w及環境類安全事件，如意外停電、物理設備丟失、火災和水災等;

　�、诰W絡通信類安全事件，如網絡蠕蟲侵害等;

　�、壑鳈C系統類安全事件，如計算機病毒、口令丟失等;

　�、軕�用系統類安全事件，如客戶信息丟失等。

　　(3)應急事件處理的基本流程。

　�、侔踩�事件報警。

　　值班人員發現緊急情況，要及時報告。報告要對安全事件進行準確描述并作書面記錄。

　�、诎踩�事件確認。

　　確定安全事件的類型，以便啟動相應的預案。

　�、蹎�動緊急預案。

　　首先要能夠找到緊急預案，其次保護現場證據(如系統事件、處理者采取的行動與外界的溝通等)，避免災害擴大。

　�、芑謴拖到y。包括：

　　第一，安裝干凈的操作系統版本。如果主機被侵入，就應當考慮系統中的任何東西都可能被攻擊者修改過了，包括內核、二進制可執行文件、數據文件、正在運行的進程以及內存。通常，需要從發布介質上重裝操作系統，然后再重新連接到網絡上之前安裝所有的安全補丁，只有這樣才會使系統不受后門和攻擊者的影響。只是找出并修補被攻擊者利用的安全缺陷是不夠的。建議使用干凈的備份程序備份整個系統，然后重裝系統。

　　第二，取消不必要的服務。只配置系統要提供的服務，取消那些沒有必要的服務。檢查并確信其配置文件沒有脆弱性以及該服務是否可靠。通常，最保守的策略是取消所有的服務，只啟動自己需要的服務。

　　第三，安裝供應商提供的所有補丁，建議安裝所有的安全補丁，使系統能夠抵御外來攻擊，不被再次入侵，這是最重要的一步。

　　第四，查閱計算機安全應急響應組的安全建議、安全總結和供應商的安全提示。

　　第五，謹慎使用備份數據。在從備份中恢復數據時，要確認備份主機沒有被入侵。一定要記住，恢復過程可能會重新帶來安全缺陷，被入侵者利用。

　　第六，改變密碼。在彌補了安全漏洞或者解決了配置問題之后，建議改變系統中所有賬戶的密碼。

　�、菁訌娤到y和網絡的安全。

　�、捱M行應急工作總結。

　�、咦珜懓踩�事件報告。

　　3.災難恢復。

　　災難恢復是安全事件應急預案中特別重要的部分。從發現入侵的時刻起就應進行處理。

　　災難恢復應當包括如下幾項內容：

　　(1)與高層管理人員協商�；謴偷牟襟E應當符合組織的安全預案。如果安全預案中沒有描述，應當與管理人員協商，以便能從更高角度進行判斷，并得到更多部門的支持和配合。

　　(2)奪回系統控制權。為了奪回對被入侵系統的控制權，先要將入侵從網絡上斷開，包括撥號連接。如果在恢復過程中，沒有斷開被侵入系統和網絡的連接，入侵者就可能破壞所進行的恢復工作。進行系統恢復也會丟失一些有用信息，如入侵者正在使用的掃描程序或監聽進程。因此想要繼續追蹤入侵者時，可以不采取這樣的措施，以免被入侵者發現。但是，也要采取其他一些措施，避免入侵蔓延。

　　(3)復制一份被侵入系統的映像。在進行入侵分析之前，最好對被入侵系統進行備份。這個備份在恢復失敗時非常有用。

　　(4)入侵評估。入侵評估包括入侵風險評估、入侵路徑分析、入侵類型確定和入侵涉及范圍調查。下面介紹圍繞這些工作進行的調查工作。

　　①詳細審查系統日志文件和顯示器輸出，檢查異常現象。

　�、谌肭终哌z留物分析。包括：檢查入侵者對系統文件和配置文件的修改;檢查被修改的數據;檢查入侵者留下的工具和數據;檢查網絡監聽工具。

　�、燮渌�，如網絡的周邊環境和涉及的遠程站點。

　　(5)清除后門。后門是入侵者為下次攻擊打下的埋伏，包括修改了的配置文件、系統木馬程序、修改了的系統內核等。

　　(6)記錄恢復過程中所有的步驟。記錄恢復過程中采取的每一步措施是非常重要的�；謴鸵粋�被侵入的系統是一件很麻煩的事，要耗費大量的時間，因此經常會使人做出一些草率的決定。記錄自己所做的每一步可以幫助避免做出草率的決定，還可以留作以后的參考，還可能對法律調查提供幫助。

　　(7)系統恢復。各種安全事件預案的執行都是為了使系統在事故后得以迅速恢復。對于服務器和數據庫等系統特別重要的設備，則要單獨訂立緊急恢復預案。

　�、俜�務器的恢復。—旦服務器因故障完全停止運行，常規的恢復方法是在一個新的硬件平臺上重建。用手工進行服務器的恢復是非常麻煩的。如果能設計一種專門的軟件包，可以生成存有服務器鏡像文件的啟動盤，用來恢復服務器，就便利多了。

　�、跀祿�庫系統的恢復。數據庫系統恢復的目的是在足夠備份的基礎上，使數據庫盡快恢復到正常。