业务连续性管理业务连续性管理(BusinessContinuityManagement).ppt

Professional Security Solution Provider,NSFocus Information Technology Co. Ltd. Professional Services,业务连续性管理(Business Continuity Management),提纲,为什么需要业务连续性管理？ 业务连续性管理的国际专业操作步骤 应急处理,为什么需要业务连续性管理,ISO 17799:2005,红色部分是2005版相对于2002版的改变部分,BS7799-2:2002 v.s. BS7799-2:2005,A3 A12 10 个章节 A5 A15 11 个章节,机密信息丢失引发信任危机,2005年6月1日，瑞士银行集团(UBS)日本分行丢失了一张存有高度敏感客户信息的磁盘。其中可能包含相当机密的交易、止损单记录以及公司各类客户的敏感信息。 2005年6月6日，花旗银行390万客户账户资料在快递途中的神秘失踪。 2005年6月17日，由于美国信用卡系统解决方案公司 CardSystems 的安全漏洞，导致4000万用户的银行资料被泄漏，其中包括 MASTER 公司的1390万用户、VISA 的2200万客户。,信任危机,银行业赖以生存的重要信息资产,帐户信息 客户资料 信用记录 交易明细 业务数据大集中的同时，客观上也把风险集中和放大起来。,724365,灾难、故障 中断,9/11,东南亚海啸,直接和间接的损失,间接损失,新闻头条,公众声誉,直接损失,数据丢失、设备损坏 人员伤害,当前世界所面临的风险有恐怖袭击、黑客、 网络侵袭、电脑病毒、自然灾害、大规模停电、罢工、环保、市场恶性竞争、企业倒闭等。 根据权威机构统计，美国在近10年间遭遇过灾难事件的公司中，有55%的公司马上倒闭，因为数据丢失造成业务无法持续，有29%的公司在两年之内倒闭。 根据明尼苏达大学统计，美国证券金融行业平均可容忍的最大停机时间是2天，没有实施灾难备份措施的公司在遇到灾难后60%将在23年内破产。 据Gartner Group统计，在经历大型灾难事件而导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。9.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根士丹利公司几天后在新泽西州恢复营业，而无灾备能力的企业损失惨重。,传统的业务管理方法及流程，在遭遇灾难事件时常常不堪一击，甚至可能随时崩溃。 但是在灾难尚未降临之前，人们的警惕性都不高，仍没有看到BCM的重要性。 庆幸的是，越来越多深受灾难事件影响的企业和机构已开始认识到，只有通过更加切实的手段，借助更便捷的信息技术，构建真正有效应对危机事件的管理体系，并且使管理科学化、手段现代化，才能保证业务的连续运行，才能保证各类应用系统和数据的完整性。 从国际成功经验来看，那些及时引入BCM的企业和机构，之所以能够在灾难事件面前处乱不惊、化险为夷，主要在于他们能够借助先进的业务持续管理解决方案，有效地保护其核心业务的持续运行。 如今，BCM已成为应对危机事件的国际通用规则。,业务连续性管理(BCM: Business Continuity Management),目的：防止业务停顿，以及保护重要业务进程不受重大失效或灾难的影响。 (BS7799) 预防(Prevent) & 恢复(Recovery) 一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效的响应非计划的业务破坏并降低不良影响。 BCM的出发点在于对潜在的灾难危险加以辨别并进行分析，以确定其对企业运作造成的威胁，并建立一个完善的持续管理计划来防止或减少灾难事件给企业带来的损失。,业务连续性计划 BCP,业务连续性计划是一套高级管理和规章流程，它使一个组织在突发事件面前能够迅速做出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。,灾难恢复应该是整个应急体系中的最后一道防线。 事实上，无论备份等级有多高，任何灾备中心与真正的业务系统间都还是会存在或多或少的时点差距的，切换恢复后的业务系统不一定是全部；且系统切换本身也是要付出时间、人力、物力等高成本代价的。 而我们所该做的，是在灾难发生后尽量将损失降到最低。,每一层为邻近层提供稳定的基础,Construction, Environmental, Electro-Mechanical, Utilities,Servers, Storage Devices, Routers, Switches,Operating Systems, Network Protocols,Operations Automation, Logical Security, Middleware, Database,Change, Problem, and Configuration Management,SDLC, Data Structures, Naming Conventions, Quality Standards,Strategic Planning, Architecture Definition, Planning & Control,Continuous Service,Facilities,Hardware,Systems Software,Support Systems,Business,Applications,Management Practices,公司的员工、供应商、顾客对公司的信心 公司名誉 品牌面临的风险,BCM无疑等于给股东吃了一颗定心丸,业务连续性管理的国际专业操作步骤,从战略管理高度考虑BCM,实施BCM，应该从战略管理的高度，关注流程、人员、设施和计划。 这四个要素分别解决了在应对灾难危机时，什么人(或组织)按照什么样的流程操作什么样的资源，而计划正是规范以上要素的文档体现。 因此，BCM要从企业的业务目标出发，分析企业具体的业务流程，详细分析支持这些业务流程的应用系统，分析它们一旦发生危机对业务的影响。根据上述影响，制定相应的规避方法，包括流程和技术手段。,业务连续性管理的国际专业操作步骤(10 Steps),项目启动和管理 确定业务持续计划（BCP）实施过程的相关需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制要求。 风险评估和控制 确定可能造成机构及其设施中断的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施，提供成本效益分析以调整控制措施方面的投资，达到消减风险的目的。同时，由于风险会随着系统的发展而变化，所以风险管理过程也必须是动态的。 业务影响分析 确定由于中断和预期灾难可能对机构造成的影响，以及用来定量和定性分析这种影响的技术。确定关键功能、恢复优先顺序和相关性以便确定恢复时间。 制定业务连续性战略 确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。 紧急响应和运行 制定和实施用于事件响应以及对事件所引起状况进行稳定的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。,制定和实施业务连续性计划 设计、制定和实施业务连续性计划，以便在恢复时间目标范围内完成恢复。 意识培养和培训项目 准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。 业务连续性计划的演练和维护 对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP文档更新状态的方法，使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。 危机联络 制定、协调、评价和演练在危机情况下与媒体交流的计划；制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划，确保所有利益群体能够得到所需的信息。 与外部机构的合作 建立适用的规程和策略，用于同地方当局协调响应、连续性和恢复活动，以确保符合现行的法令和法规。,业务发生中断,恢复的时间,故障、灾难 业务中断,紧急响应,重定位备份,资源 在行动,恢复操作系统,重装载 数据库,回滚和 再同步,业务重新开始,持续性计划同风险管理关系,自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 技术 硬件故障 数据残缺 电信故障 电力故障,潜在风险,风险评估,安全控制 管理控制 运行维护控制 技术控制 。 。 。,持续性计划 范围 飓风 操作员错误 硬件故障 数据残缺 。 。,自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。,火灾 飓风 洪水,阴谋破坏,硬件故障 数据残缺 电信故障,操作员错误,自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。,硬件故障 数据残缺,操作员错误,飓风,标识的风险,残余的风险,持续性计划实施流程,开发 持续性计划 策略,进行 业务影响 分析,标识 预防性的 安全控制,开发 恢复战略,开发 持续性计划,计划测试、培训和演练,计划维护,标识现存要求 标识相关计划和程序 得到高层管理支持,标识关键IT资源 标识中断影响和允许的中断时间 开发恢复优先级,实现控制 维护控制,标识方法 集成至系统体系结构中,文档恢复战略,开发测试目标 开发成功准则 文档所学教训 综合至计划中 培训人员,审阅和更新计划 同内部/外部组织机构合作 控制分发 文档变更,持续性计划内容,计划开发 综合业务影响分析的发现 文档记录恢复战略,支持信息 介绍 运行操作的概念,通告/启动阶段 通告流程 损害评估 计划启动,恢复阶段 恢复行动的结果 恢复流程,重构阶段 恢复原站点 测试系统 结束操作,计划附录 联系人列表 系统要求 至关重要的记录,持续性计划呼叫树实例,演练,是非常必要的环节 每年至少12次 制定灾难恢复的流程，一旦生产中心遭遇灾难，发出灾难宣告，灾难备份中心数据处理系统、备份网络系统设备就绪，应急中心与灾难备份中心网络连通，按灾难备份切换操作手册完成灾备系统切换，业务终端联机交易确认，灾难备份中心接替生产中心运营。 演练的意义在于，当灾难来临时，相关人员对自己的职责，以及灾难恢复的流程有一个相当清晰的概念，并且实际操作过，最终帮助业务取得连续性的发展。与演练几乎同等重要的是系统的维护。,如果灾难恢复小组中的某一个关键人物离开现职，那么必须实时的将信息反馈，更改有关的说明书，以确保灾难来临时，相应的人员可以对照说明书，找到合适的主管人员处理相应问题。 所有的最佳实践被汇总编辑到一本说明书中，这本说明书被要求带在每一个相关人员的身边，灾难发生时，按照上面的指引，就可以立即明确自己的职责。,灾难防备 在大家都沉睡时，醒来,应急处理,任何组织都会遭受攻击,每年发现的漏洞数量飞速上升,每年发现的漏洞数量飞速上升 2004年CVE全年收集漏洞信息1707条 到2005年到5月6日就已经达到1470条 绿盟科技到到5月份跟踪的漏洞也超过了1700条,发起攻击越来越容易、攻击能力越来越强,黑客的职业化之路,不再是小孩的游戏，而是与 ￥ 挂钩 职业入侵者受网络商人或商业间谍雇佣 不在网上公开身份，不为人知，但确实存在。 攻击者对自己提出了更高的要求，不再满足于普通的技巧而转向底层研究。,安全形势永远都是严峻的,攻击技术已经开始普及，SQL Injection、DOS等攻击方式对使用者要求较低 缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧 少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加。漏洞挖掘流程专业化，工具自动化。 Zero-day的攻击 无线安全/手机安全问题开始出现,不断发展的攻击技术,SQL注入 Google Hacking Phishing 客户端攻击 混合拒绝服务/BOTNET ,攻击技术的发展,密码猜测 社会工程 远程溢出 蠕虫病毒 木马 拒绝服务 CGI ,传统的攻击技术,客户端攻击技术,在攻击服务端变得困难时，黑客把目标转向管理员的PC以及其他客户机群 利用对象：Windows漏洞、IE、Outlook、Foxmail、Serv-U、IRC软件等 客户端往往不被重视，加上ARP欺骗、SMB会话劫持技术的应用，大多数内网安全性很薄弱 社会工程学的应用,Phishing攻击的流行,美国反网络钓鱼攻击工作小组(APWG) ：2005年1月份共接到了12845起网络钓鱼电子邮件汇报，支持这种欺诈性邮件信息的网站也增加到了2560个。 国家计算机网络应急技术处理协调中心（CNCERT/CC）：2004年该中心接到网络钓鱼欺诈事件报告达223起；2004年7月份以来，该中心接到的该类报告以月均26的速度递增。 美国的网络钓鱼网站最多，占全球总量的32%，中国名列第二(13%)，韩国位于第三(10%),Phishing的技术实现,以假乱真，视觉陷阱 域名类似 www.lcc.org 姜太公钓鱼，愿者上钩 身份伪装：基于邮件的网页欺骗，社会工程的应用 Admin ? DNS 劫持+网页伪造：更难以察觉的攻击方式,Google Hacking,利用搜索引擎输入特定语法、关键字寻找可利用的渗透点，最终完成入侵。敏感的信息包括： 目标站点的信息 存储密码的文件 后台管理和上传文件的 Web 页 数据库 特定扩展名的文件 特定的 Web 程序，如论坛 Google蠕虫已经出现！ Net-Worm.Perl.Santy.a。 利用用Google查询来发现运行phpBB论坛系统的Web站点系统漏洞并自动修改,2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲,Google Hacking Example,intitle:“xxx shell*“ “xxx stderr“ filetype:php,Google信息收集 site: site: intext:* ,SQL Injection Attack,SQL注入攻击就其本质而言，利用的工具是SQL的语法，针对的是应用程序开设计中的漏洞。 “当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。 攻击目标：控制服务器/获取敏感数据,简单的登陆验证绕过,针对asp+sql server的基本注入,自动化注入攻击工具的出现 更多的后台数据库操作研究,Php/JSP注入技术 高级注入攻击技术,应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。 网络安全无法保证一劳永逸。为了做到更好的安全保障，减少安全事件的发生，这需要： 在事件发生前从最坏处考虑，做好应急响应计划。 在事件发生后尽快有效响应，降低应急处理时间。,应急响应,应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。 避免没有章法、可能造成灾难的响应。 更快速和标准化的响应。 确认或排除是否发生了紧急事件。 使紧急事件对业务或网络造成的影响最小化。 保护企业、组织的声誉和资产。 教育高层管理人员。 提供准确的报告和有价值的建议。,应急响应是重要的,在安全保障体系中，应急响应（应急处理）是一个重要的过程，也是必要的环节。 从 IT 服务最佳实践流程(ITIL)来看，应急响应是事件管理、问题管理的重要因素。事件管理强调的是速度，即尽快的响应事件；问题管理强调的是根本，即从根本上解决问题，保证问题不再出现。应急响应（应急处理）应当涉及这两方面的内容。,应急响应是可行的,应急响应（应急处理）应该从三方面来考虑：人(People)、流程(Process)、技术(Technology)。 在安全事件发生后，应当有适合的、有能力的人员（专家）进行响应，他们的技能和经验是有效的应急响应的基础。仅仅有胜任的人员也是不足的，盲目的没有章法的应急响应往往会事与愿违，带来更大的灾难，因此流程、程序、计划都变得非常重要。由于安全事件的不可预知性，所以需要先进的技术（产品、工具、研究成果）作保障，应急响应的目的是为了根本解决问题，并不是简单的仅仅依靠热情来达到。,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的 任何用户,产品用户,网络接入用户,企业部门、用户,商业IRT,网络服务提供商 IRT,厂商 IRT,企业 /政府 IRT,如：绿盟科技,如：CCERT,如：Cisco、IBM,如：中国银行、 公安部,如CERT/CC, FIRST,如CNCERT/CC,应急响应组的分类,中国银行应急响应需求,制定应急响应计划 信息安全重要的一个方面是在攻击发生时应能知晓如何应对，提前的计划与准备能够尽快的抑制攻击、降低影响。但是制定应急响应计划是一个非常耗时的工作。 培养中国银行应急响应专家 在安全事件处理过程中，“人”的作用是勿庸置疑的。为了降低第三方安全服务提供商的风险，所以培养中国银行集团应急专家是必要的。 做好应急响应知识管理 要注意做好应急响应（应急处理）知识管理工作，知识管理可以通过创建、固化、掌握、传播、改进等一系列的方式实现。知识管理的目标很明确，让尽可能多的人具备良好的思考方式和一定的技能。 定期进行应急演练 如果仅仅将应急响应计划束之高阁，长此以往“人”的警惕将会松懈，直接后果是在安全事件发生后表现混乱，无从下手，所以要定期进行应急演练，每次针对不同的主题，在实战情况下演练效果更佳。应急演练最忌讳的方式是纸上谈兵，达不到预期的目标。,需要第三方安全服务厂商的应急响应支持 由于资源、精力等限制，中国银行集团在进行应急响应（应急处理）的过程中，不可避免的与其他社会资源协作，共同抵抗安全威胁。安全服务厂商在应急响应方面具备一定的经验和技术，为中国银行提供风险降低支持。 需要其他社会资源的应急响应支持 国家计算机网络应急响应协调处理中心(CNCERT/CC)、公安部、安全部等也能够在全网协作、调查取证方面提供必要的支持。 需要第三方安全服务厂商提供早期安全预警智能 具备深入研究能力的第三方安全服务厂商为中国银行提供早期安全预警智能，这些知识将间接的提高应急响应的效能：通过预先的风险降低措施减少安全事件的发生，通过知识管理尽早的获得知识并及时更新。 对合作的第三方安全服务厂商提出要求 这主要从两个方面来进行考核：能力与速度。毫无疑问，第三方安全服务厂商的能力（研究能力、漏洞发现能力、应急响应能力、技术领先能力、经验等）是应急响应是否成功的关键。速度是考察第三方安全服务厂商应急响应服务的服务级别协议(SLA)的一个重要指标，在一定程度上反映了厂商的态度与信誉。,矩阵,* 仅供中国银行参考,绿盟科技应急响应小组(NSFIRST) 7*24 支持 电话支持 远程支持 现场支持 具体需求与最佳实践完美结合的应急响应程序 协助进行应急响应演练，改进应急响应准备 绿盟科技研究院安全小组(NSFOCUS Security Team) 的威胁智能分析支持 绿盟科技自有的安全产品（黑洞、NIPS/NIDS、Scanner、流量监控与分析、网络诱骗系统）,主要安全事件,拒绝服务攻击 网络流量异常 服务器异常 性能异常 数据被破坏 入侵攻击 蠕虫病毒爆发,事件分级,事件升级标准,北京、上海、广州2个小时内到达指定现场。 其他城市8小时内到达指定现场。,绿盟科技应急响应服务方法论,People: NSFIRST Process: 策略和程序 Technology: 硬件、软件、工具、文档,Preparation,Detection & Analysis,Containment Eradication & Recovery,应急响应流程,Post-Incident Activity,Process,Technology,People,事件起因分析。 事件取证追查。 系统后门检查、漏洞分析。 数据收集、数据分析。,Preparation,Detection & Analysis,Containment Eradication & Recovery,应急响应流程,Post-Incident Activity,调查,事件分级 决定什么对自己最重要。 为紧急事件确定优先级，更有效的利用资源。 不是每个紧急事件都需要平等对待。,紧急事件检测 防火墙日志 系统日志 Web 服务器日志 IDS 日志 可疑的用户 管理员报告,初始响应 初步判定事件类型、定义事件级别。 准备相关资源。 为紧急事件的处理取得管理方面的支持。 组建事件处理小组。 制定安全事件响应策略。,Preparation,Detection & Analysis,Containment Eradication & Recovery,应急响应流程,Post-Incident Activity,抑制、消除和恢复 恢复系统正常。 确认系统是否已经完全恢复正常。 修补系统漏洞，安全性增强。 部署安全措施。 设置过滤策略。,Preparation,Detection & Analysis,Containment Eradication & Recovery,应急响应流程,Post-Incident Activity,追踪 提交事件处理报告 根据情况查找事件来源,教育 完善应急处理知识库、流程和规范 教育、培训，传播经验,Why NSFOCUS?,强大的基础研究能力。 精湛的技术水平。 迅速的应急响应能力。 完善的应急响应体系。 丰富的解决问题经验。 主动的早期预警通告。 及时的国际安全信息。,公司荣誉,服务资质 2001年首批安全服务试点企业 2002年首批安全服务一级资质企业 2004年首批安全服务二级资质企业 2004年首批公共互联网应急处理国家级服务试点单位 北京市应急响应平台合作单位 ISO 9001 国际、国内双认证 用户认可 连续三年最值得信赖的安全服务品牌 连续获得两年电子政务百强称号 荣获中关村最佳客户服务奖,专业资质,荣誉证书,More Details, http:/www.thebci.org/ The Business Continuity Institute (BCI) was established in 1994 to enable members to obtain guidance and support from fellow business continuity practitioners. http:/www.drii.org/ DRI International was founded in 1988 as the Disaster Recovery Institute in order to develop a base of knowledge in contingency planning and the management of risk, a rapidly growing profession.,Professional Security Solution Provider,谢 谢！,