系統(tǒng)運營中的風險管理課件

系統(tǒng)運行中風險管理李改成lgc@系統(tǒng)運營中的風險管理課件第1頁主要內容資源配置和優(yōu)化系統(tǒng)切換日常運行管理例程、日常操作備份和恢復數(shù)據(jù)備份、數(shù)據(jù)恢復、安全恢復災難恢復災難恢復層次恢復指標成本-效益分析安全事件管理流程安全事件管理工具審計、安全警報、審計日志事件分析關聯(lián)安全事件匯報風險實時控制基于范例推理系統(tǒng)運營中的風險管理課件第2頁TPCTPC(TransactionProcessingPerformanceCouncil，事務處理性能委員會)制訂商務應用基準程序(Benchmark)標準規(guī)范、性能和價格度量，并管理測試結果公布。TPC－C是在線事務處理(OLTP)基準程序。在使用時，考查基準程序是否符合企業(yè)真實業(yè)務流程和運作模式。當一樣主機用在不一樣系統(tǒng)中時，tpC值可能有相當大改變。選擇主機主機系統(tǒng)應該具備與業(yè)務規(guī)模和特點相適應處理能力。主機系統(tǒng)處理要求應與每筆業(yè)務所消耗主機CPU處理能力和系統(tǒng)要求到達單位時間內交易筆數(shù)相關。因為某種特殊情況出現(xiàn)，可能造成突發(fā)性業(yè)務尖峰，為了防止因為業(yè)務出現(xiàn)突發(fā)尖峰造成系統(tǒng)瓦解，我們需要對資源占用作出對應控制。系統(tǒng)運營中的風險管理課件第3頁冗余為實現(xiàn)運行過程中安全恢復，需要建立一個可靠并經過驗證系統(tǒng)基礎結構，系統(tǒng)每一級部件都一定要有冗余。對于關鍵IT應用來講，管理層應有規(guī)律地評定不間斷電源電池和發(fā)電機需求。對主機房電源要有完整雙回路備份機制,不間斷電源（UPS），確保關鍵IT應用不受電源失效或波動影響。主機、網絡設備、前置機等關鍵易損件是否有備份.硬件如多CPU和硬盤鏡像并行服務器、廉價磁盤冗余陣列(RAIDs)。經過通信端口備份，可提升網絡響應速度，實現(xiàn)網絡容錯和恢復。操作系統(tǒng)、中間件、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)應能提供安全恢復機制，比如，數(shù)據(jù)庫日志和鎖定。應用備用系統(tǒng) 普通來說，可實現(xiàn)服務級別要低。比如，當電子終端不可用時，使用手工壓卡機進行信用卡交易。這是應用級冗余例子。不一樣層次使用不一樣機制，用于不一樣目標。冗余磁盤不能預防惡意程序員刪除賬戶文件備份不能阻止它插入越來越多錯誤，更不能保護數(shù)據(jù)機密性。系統(tǒng)運營中的風險管理課件第4頁系統(tǒng)選擇標準系統(tǒng)配置考量標準一是性能和容量方面要求，對資源性能、應用規(guī)模和工作量需求方面數(shù)據(jù)進行搜集、分析和匯報，相關硬件和軟件性能/價格比改變。跟蹤全部IT資源分配成本，包含但不限于此：硬件、外圍設、線路、應用開發(fā)和支持、行政管理開銷、?外部賣主服務成本、維護系統(tǒng)選擇分析不一樣成本分類性能和關于成本效益外部基準，方便允許與行業(yè)預期或可選擇服務起源進行比較。同時注意不應過于依賴于同一個供給商。關鍵系統(tǒng)如芯片、操作系統(tǒng)、主要應用軟件國產化問題。十五期間，中科院計算所將在通用CPU設計上取得重大突破，表明Linux操作系統(tǒng)在銀行應用也是可行。當前關鍵問題是組織力量開發(fā)與IBM企業(yè)軟件相當大型應用軟件。系統(tǒng)運營中的風險管理課件第5頁提升主機利用效率IT虛擬化技術可到達多操作系統(tǒng)平臺上集成虛擬化：在關鍵自動化規(guī)則比如可用性、安全、優(yōu)化和預先配置之間進行協(xié)調，依據(jù)應用優(yōu)先級自動分配資源，確保需求到達峰值時應用服務水平。在年底止算業(yè)務高峰期，只需一個簡單命令，就能夠把其它設備聚合成一臺超大設備，集中全部資源，全方面應對峰值業(yè)務。而在平時，則可把閑置資源用于人事系統(tǒng)、辦公系統(tǒng)等。能夠將用戶資源利用率從平均20%提升到50%，并降低30%-40%管理時間。更主要是，即使某個部分出現(xiàn)故障，適應性IT系統(tǒng)也能自動調用資源，接管對應計算，防止因故障而宕機，實現(xiàn)不間斷穩(wěn)定業(yè)務運行。

系統(tǒng)運營中的風險管理課件第6頁網絡配置網絡負擔是影響系統(tǒng)成敗一個重要因素。線路檢查可供客戶使用容量，采取必要措施保證接入線路通暢，并采用適當備份和負載均衡技術，保證客戶服務可用性。網絡設備全部關鍵網絡設備如交換機、路由器等均采用雙機冗余熱備份措施采用優(yōu)先級隊列、數(shù)據(jù)壓縮等技術靈活有效地利用帶寬。密碼加速設備 解決對CPU資源過量需求安全協(xié)議所造成性能問題。系統(tǒng)運營中的風險管理課件第7頁日常管理例程人員管理和溝通在聘用前進行詳細考查，確定有沒有犯罪統(tǒng)計，確保雇員、協(xié)議工和第三方用戶了解其本身責任，適合角色定位，降低偷竊、欺詐或誤用設施帶來風險。確保全部雇員、協(xié)議工和第三方用戶都意識到信息安全威脅、利害關系、責任和義務。加強對從業(yè)人員，尤其是一線員工業(yè)務培訓，促使員工熟練掌握各業(yè)務步驟操作規(guī)范，降低或防止出現(xiàn)操作失誤。明確解聘責任，要求返還資產，去除訪問權限，確保雇員、協(xié)議工和第三方用戶按照既定方式離職或變更職位。系統(tǒng)運營中的風險管理課件第8頁日常管理例程另一個問題是當風險含有政治上敏感性時，直接了當?shù)乇砻麽槍炔繂T工安全控制會刺激他們作為主人翁尊嚴，可能需要一些遮掩方法。經常，內部控制辦法需要以降低錯誤和保護員工面目被引入。比如，銀行經理愿意使用雙重保險鎖，因為這會降低他們家人被綁架勒索危險，一樣，大額交易雙重署名會減輕他們責任壓力。不過，并不是在任何情況下都能到達這么共識。經過操作員要循環(huán)輪班，采取渡假和休假并維護資格。操作人員更換期間，經過要求活動、狀態(tài)更新和相關當前責任匯報正式移交，建立一個處理連續(xù)性程序。另外，應存在一個程序，來確認、調查、審批與標準工作時間安排背離。系統(tǒng)運營中的風險管理課件第9頁日常操作操作規(guī)程處理信息系統(tǒng)運行以完成業(yè)務目標政策和程序，包含系統(tǒng)啟停、動態(tài)調整、定時數(shù)據(jù)清理、開啟、關機、工作負載計劃安排等。操作規(guī)程最初時間安排以及這些時間安排變更，應被適當?shù)厥跈唷＝涍^歸檔、定時地測試以及依據(jù)需要進行調整，IT管理層應確保操作人員對開啟程序和其它操作任務足夠熟悉和自信。管理模式和管理辦法應伴隨業(yè)務改變和客觀環(huán)境需要進行調整、補充和完善。針對不一樣安全崗位操作管理對主要設施設備接觸、檢驗、維修和應急處理，應有明確權限界定、責任劃分和操作流程。網點正當性管理、網絡隔離、網絡運行監(jiān)控管理、網絡信道安全管理、網絡設備設施安全管理等內容操作系統(tǒng)安全管理主要包含系統(tǒng)管理員級別劃分、訪問權限控制管理、日常維護安全管理、故障診療及處理、審計跟蹤等幾方面內容系統(tǒng)運營中的風險管理課件第10頁日常操作數(shù)據(jù)庫訪問控制管理、數(shù)據(jù)備份管理、數(shù)據(jù)使用授權管理、數(shù)據(jù)存放時限管理、數(shù)據(jù)密級管理等操作安全管理是主要包含操作權限管理、操作規(guī)范管理、操作責任管理、操作監(jiān)督管理和誤操作恢復管理等內容管理和維護失效和例外跟蹤統(tǒng)計系統(tǒng)維護方面問題，方便標識需要額外關注地方，內容包含對正常管理及維護程序例外情況描述，其中包含該例外情況出現(xiàn)原因和連續(xù)時間。對系統(tǒng)運行過程中出現(xiàn)故障，能從系統(tǒng)軟件、應用軟件等不一樣層次提供故障碼。尤其是應用系統(tǒng)應該提供故障點、診療信息以及故障庫等。每個安全應用必須包括建立適當安全參數(shù)，實現(xiàn)這些參數(shù)，監(jiān)視和分析運行結果并調整這些參數(shù)。系統(tǒng)運營中的風險管理課件第11頁數(shù)據(jù)備份數(shù)據(jù)類型從數(shù)據(jù)用途角度普通可將數(shù)據(jù)分為系統(tǒng)數(shù)據(jù)、基礎數(shù)據(jù)、應用數(shù)據(jù)、暫時數(shù)據(jù)；依據(jù)數(shù)據(jù)存貯與管理方式又可分為數(shù)據(jù)庫數(shù)據(jù)、非數(shù)據(jù)庫數(shù)據(jù)。(1)系統(tǒng)數(shù)據(jù)（SYSTEMDATA）系統(tǒng)數(shù)據(jù)主要是指操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)執(zhí)行程序。系統(tǒng)數(shù)據(jù)在系統(tǒng)安裝后基本上不再變動，只有在操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)版本升級或應用程序調整時才發(fā)生改變。系統(tǒng)數(shù)據(jù)普通都有標準安裝介質（軟盤、磁帶、光盤）。(2)基礎數(shù)據(jù)（INFRASTRUCTUREDATA）基礎數(shù)據(jù)主要是指確保應用系統(tǒng)正常運行所使用系統(tǒng)目錄、用戶目錄、系統(tǒng)配置文件、網絡配置文件、應用配置文件、存取權限控制等?；A數(shù)據(jù)隨應用系統(tǒng)運行環(huán)境改變而改變，普通作為系統(tǒng)檔案進行保留。(3)應用數(shù)據(jù)（APPLICATIONDATA）應用數(shù)據(jù)主要是指應用系統(tǒng)全部業(yè)務數(shù)據(jù)，對數(shù)據(jù)安全性、準確性、完整性要求很高而且改變頻繁系統(tǒng)運營中的風險管理課件第12頁數(shù)據(jù)類型(4)暫時數(shù)據(jù)（TEMPORARYDATA）主要是指操作系統(tǒng)、數(shù)據(jù)庫產生系統(tǒng)日志和應用程序在執(zhí)行過程中產生各種用于打印、傳輸暫時文件，隨系統(tǒng)運行和業(yè)務發(fā)生而改變。暫時數(shù)據(jù)對業(yè)務數(shù)據(jù)完整性影響不大，增大后需要定時進行清理。(5)數(shù)據(jù)庫數(shù)據(jù)（DATABASEDATA）是指經過數(shù)據(jù)庫管理系統(tǒng)（DBMS）來進行存取和管理數(shù)據(jù)。(6)非數(shù)據(jù)庫數(shù)據(jù)（NON-DATABASEDATA）是指經過文件管理系統(tǒng)等非數(shù)據(jù)庫管理系統(tǒng)來進行存取和管理數(shù)據(jù)。(7)孤立數(shù)據(jù)（ORPHANDATA）是指從最終一次應用數(shù)據(jù)備份后到事件發(fā)生、系統(tǒng)運行停頓前未備份數(shù)據(jù)。這部分數(shù)據(jù)通常需要經過人工等方法重新錄入到系統(tǒng)中。普通情況下，孤立數(shù)據(jù)越多，系統(tǒng)恢復時間就越長，業(yè)務停頓時間也就越長。孤立數(shù)據(jù)多少與數(shù)據(jù)備份周期有很大關系。(8)遺失數(shù)據(jù)（LOSTDATA）是指無法恢復或填補數(shù)據(jù)。系統(tǒng)運營中的風險管理課件第13頁數(shù)據(jù)類型特點系統(tǒng)運營中的風險管理課件第14頁數(shù)據(jù)備份策略依據(jù)采取數(shù)據(jù)備份技術和數(shù)據(jù)備份方式能夠將數(shù)據(jù)備份策略分為以下幾類:(1)定時備份指按一定時間間隔（普通為一天）將系統(tǒng)某一時刻數(shù)據(jù)備份到磁帶等介質上。對不一樣數(shù)據(jù)類型應依據(jù)其易變性采取不一樣備份周期。(2)定時備份＋關鍵數(shù)據(jù)備份除對數(shù)據(jù)作定時備份之外，還更新數(shù)據(jù)日志或流水等關鍵數(shù)據(jù)及時地備份下來傳送到安全地方，關鍵數(shù)據(jù)備份時間間隔比定時備份要短，也能夠是實時備份。數(shù)據(jù)庫管理系統(tǒng)普通支持此種策略，能夠用歸檔／備份工具作定時備份（如informix０級備份），同時采取日志備份工具對日志作及時備份（如informix邏輯日志連續(xù)備份）。系統(tǒng)運營中的風險管理課件第15頁數(shù)據(jù)備份策略此方式孤立數(shù)據(jù)較定時備份方式要少得多。不過，數(shù)據(jù)恢復時間依然較長。有時仍需要依靠紙質憑證或其它介質來恢復孤立數(shù)據(jù)。(3)關鍵數(shù)據(jù)備份連續(xù)恢復在備份系統(tǒng)中，裝有運行系統(tǒng)數(shù)據(jù)影像拷貝，關鍵數(shù)據(jù)及時地抽取后，馬上在備份系統(tǒng)上更新數(shù)據(jù)庫。因為備份中心已將數(shù)據(jù)恢復到最近狀態(tài)，數(shù)據(jù)組織形式與運行系統(tǒng)相同，因而恢復時間將縮短很多。在此策略中，投資較大，需要數(shù)據(jù)備份主機或后備運行主機，假如采取數(shù)據(jù)通信方式傳送關鍵數(shù)據(jù)，還有一定通信費用支出。另外，在此策略中，孤立數(shù)據(jù)與定時備份＋關鍵數(shù)據(jù)備份策略一樣多。系統(tǒng)運營中的風險管理課件第16頁數(shù)據(jù)備份策略(4)實時備份異步更新數(shù)據(jù)更新操作日志在被統(tǒng)計進運行系統(tǒng)日志同時，經過數(shù)據(jù)通信線路傳送到災難備份系統(tǒng)，并馬上對備份系統(tǒng)數(shù)據(jù)影像拷貝進行更新。因為數(shù)據(jù)更新操作被及時追加到災難備份系統(tǒng)，因而，孤立數(shù)據(jù)極少，另外備份數(shù)據(jù)組織形式與運行系統(tǒng)相同，所以恢復時間很短，主要是追補孤立數(shù)據(jù)和網絡切換時間。支持此策略技術普通有遠程磁盤鏡像異步方式、遠程數(shù)據(jù)庫復制異步方式和網絡數(shù)據(jù)鏡像異步方式，如IBMES/9000XRC,IBMAS/400MIMIX,EMCSRDF異步方式,INFORMIXHDR異步方式,UNISYSRDB異步方式等。系統(tǒng)運營中的風險管理課件第17頁數(shù)據(jù)備份策略(5)實時備份同時更新數(shù)據(jù)更新操作同時在運行系統(tǒng)和備份系統(tǒng)進行，運行系統(tǒng)數(shù)據(jù)更新操作首先經過高速數(shù)據(jù)通信線路傳送到備份系統(tǒng)，寫入備份系統(tǒng)磁盤，運行系統(tǒng)在收到備份系統(tǒng)完成數(shù)據(jù)更新操作確實認之后，寫入當?shù)卮疟P。因為數(shù)據(jù)更新操作同時寫入備份系統(tǒng)，因而，孤立數(shù)據(jù)極少，基本無需追補。因為備份系統(tǒng)處于熱備份狀態(tài)，所以災難發(fā)生后恢復時間極短，主要是網絡切換時間。此策略投資和運行費用最高，因為需要高速數(shù)據(jù)通信線路，在當前通信技術條件下，只能限于同城范圍，且通信費用很高。另外，此方式下，數(shù)據(jù)備份對運行系統(tǒng)性能可能會有一定影響。支持此策略技術普通有遠程磁盤鏡像同時方式、遠程數(shù)據(jù)庫復制同時方式和網絡數(shù)據(jù)鏡像同時方式，如IBMES/9000PPRC,IBMRS/6000HAGEO,EMCSRDF同時方式,INFORMIXHDR同時方式等。系統(tǒng)運營中的風險管理課件第18頁數(shù)據(jù)恢復數(shù)據(jù)恢復普通按系統(tǒng)數(shù)據(jù)

基礎數(shù)據(jù)

應用數(shù)據(jù)次序進行。應用數(shù)據(jù)恢復1．已備份應用數(shù)據(jù)恢復：依據(jù)所采取數(shù)據(jù)備份策略制訂對應數(shù)據(jù)恢復方法。2．孤立數(shù)據(jù)恢復：人工追帳法 在主機系統(tǒng)進行備份數(shù)據(jù)恢復之后，直接經過原始憑證重新錄入流水批量追帳法將各聯(lián)網方（如網點、前置機、網間交易對方等）業(yè)務流水統(tǒng)計文件經過網絡傳送到災難備份系統(tǒng)，經過批量追帳功效批量地、自動地錄入系統(tǒng)。3.數(shù)據(jù)完整性和一致性檢驗能夠在三個層次上進行：檢驗數(shù)據(jù)集在物理上是一致、完整；檢驗每個數(shù)據(jù)庫在邏輯上是一致、完整；檢驗全部應用數(shù)據(jù)在邏輯上是一致、完整。系統(tǒng)運營中的風險管理課件第19頁數(shù)據(jù)完整性和一致性檢驗方法一：數(shù)據(jù)庫工具檢驗法。方法二：憑證查對法。方法三：流水比較法。方法四：平衡檢驗法。依據(jù)應用數(shù)據(jù)之間關系進行數(shù)據(jù)完整性和一致性檢驗。比如，經過應用程序檢驗應用系統(tǒng)總帳與分戶帳是否平衡、科目余額借貸是否平衡、分戶帳余額與明細帳余額是否相符、明細帳逐筆發(fā)生額與余額是否一致等，另外對當日業(yè)務進行試算平衡檢驗，檢驗借貸發(fā)生額是否平衡、業(yè)務筆數(shù)、發(fā)生額是否與憑證匯總數(shù)和實物清點結果相符等。系統(tǒng)運營中的風險管理課件第20頁安全恢復安全恢復是指在系統(tǒng)中止運行（因為各種原因造成，包含硬軟件故障、操作失誤、人為破壞、自然災害發(fā)生等）之后恢復系統(tǒng)運行，可分為內部恢復和災難恢復兩大類別?；謴陀袃煞N形式。第一個是阻斷攻擊，而且評定、修復由攻擊造成任何損害。比如，若攻擊者刪除了一份文件，那么某恢復機制應能從備份磁帶中恢復該文件?；謴凸π孀R和修復攻擊者用以闖進系統(tǒng)系統(tǒng)脆弱性。在一些情況下，追究攻擊者責任也是恢復一部分?；謴蛻邆溥€原正確操作功效。第二種恢復方式要求攻擊正在發(fā)生時，系統(tǒng)還應能正常運作。在任何時候這種系統(tǒng)都不會在功效上犯錯，而只會將不主要功效禁用。系統(tǒng)運營中的風險管理課件第21頁安全恢復當多個網絡被管理員設置為一樣優(yōu)先級時，可實現(xiàn)并行數(shù)據(jù)通道，同時在這些網絡上傳送數(shù)據(jù)，提升數(shù)據(jù)傳輸速度；當優(yōu)先級高網絡出現(xiàn)故障時，將應用轉移到優(yōu)先級低網絡，然后以一定時間間隔檢驗高優(yōu)先級網絡是否已經恢復。當高優(yōu)先級網絡恢復運行后，自動將應用系統(tǒng)切換回高優(yōu)先級網絡系統(tǒng)恢復是系統(tǒng)安全敏感時期，操作系統(tǒng)缺乏對應安全防護，輕易留下隱患或被做手腳。整個恢復過程必須得到嚴格監(jiān)控和統(tǒng)計，恢復完成后必須進行安全審核。系統(tǒng)運營中的風險管理課件第22頁系統(tǒng)修復修復熱修復是指即時修改錯誤，然后將修正版本公布。熱修復即使能夠馬上產生效果，不過可能對系統(tǒng)安全性帶來一定影響。常規(guī)修復處理不是十分嚴重錯誤，普通都是累積到一定程度才發(fā)行出去。修復錯誤所采取辦法應該和最初系統(tǒng)設計采取一樣安全流程。任何新設計都應該考慮模塊化、設計基本標準、文檔等問題，并進行相關測試。修復管理必須由專門指定應用軟件維護人員，依照軟件維護管理制度，按照嚴格程序實施軟件維護，處理運行過程中出現(xiàn)問題。對優(yōu)化后或新增投入生產軟件進行測試，并經過安全可信渠道對這些軟件進行分發(fā)和安裝。尤其地，對于系統(tǒng)供給商或服務商進行遠程在線診療和調試必須有嚴格管理規(guī)程。系統(tǒng)運營中的風險管理課件第23頁災難恢復災難恢復是一個在發(fā)生信息系統(tǒng)災難后，在遠離災難現(xiàn)場地方重新組織系統(tǒng)運行和恢復營業(yè)過程?！吨饕畔⑾到y(tǒng)災難恢復指南》災難備份中心是一個擁有災難備份系統(tǒng)與場地，配置了專職人員，建立并制訂了一系列運行管理制度、數(shù)據(jù)備份策略和災難恢復處理流程，負責負擔災難恢復任務機構。真正災難備份必須滿足三個要素：一是系統(tǒng)中部件、數(shù)據(jù)都含有冗余性，即一個系統(tǒng)發(fā)生故障，另一個系統(tǒng)能夠保持數(shù)據(jù)傳送順暢；二是含有長距離性，因為災害總是在一定范圍內發(fā)生，因而保持足夠長距離才能確保數(shù)據(jù)不會被同一個災害全部破壞；三是災難備份系統(tǒng)追求全方位數(shù)據(jù)復制。上述三要素也稱為“3R”（Redundance、Remote、Replication）系統(tǒng)運營中的風險管理課件第24頁災難恢復層次系統(tǒng)運營中的風險管理課件第25頁災難恢復層次系統(tǒng)運營中的風險管理課件第26頁災難恢復層次選擇按照一定次序，問詢一系列與商業(yè)災備需求相關問題，經過這些問題，能夠確定災備方案基本環(huán)境、基礎構件及期望恢復時間。部分問題答案給出需要基于風險評定和商業(yè)影響分析。另外一些問題則需要運行部門基于其IT基礎架構給出答案。這些問題可歸納為以下幾個方面內容：災難類型需要考慮哪些災難？怎樣災難？會使業(yè)務中止多久？在某一風險發(fā)生可能性極小時，即使造成損失極大，也可能屬于可接收風險范圍。需要注意是，該接收程度是與時俱進。在“911”事件發(fā)生后，業(yè)界已經將低概率事件逐步納入防護范圍。恢復程度系統(tǒng)運營中的風險管理課件第27頁災難恢復層次選擇要確保數(shù)據(jù)完整性(無數(shù)據(jù)丟失)、一致性(數(shù)據(jù)正確且可用）。哪個或哪些應用需要恢復？需要恢復每條統(tǒng)計和交易嗎？能夠使用上星期或昨天數(shù)據(jù)嗎？需要恢復一切嗎？有不相關文件嗎？什么是正當隱含要求？有少數(shù)一組人輸入交易嗎？他們能夠重新輸入災難期間丟失交易嗎？這些交易十分主要而不允許丟失嗎？恢復速度災難發(fā)生后需要多久來開啟及運行系統(tǒng)？能否承受數(shù)天或數(shù)分鐘等候？可用技術結合考慮所選技術在當?shù)赜蜻m用性、實現(xiàn)條件以及在實施時是否受一些現(xiàn)有條件制約?；诰嚯x、平臺等問題答案，剔除不符合要求方案。系統(tǒng)運營中的風險管理課件第28頁災難恢復層次選擇目前已知幾種數(shù)據(jù)實時備份技術，一方面不能實現(xiàn)異種機之間互為備份，且大多數(shù)不能實現(xiàn)一對多備份；其次要求高速率通信線路，一般需要T1級(1.5Mbps)甚至更高速率線路，且對線路可靠性要求很高方案總體成本實現(xiàn)災難備份需要多少投資？不實現(xiàn)災難備份會損失多少錢？為了達到成本要求，方案可能不能采取最先進有效技術，并同時降低對恢復速度、范圍、災難覆蓋面等方面要求。出于成本考慮，仍有銀行只是進行系統(tǒng)冷備份，經過電話撥號或人工傳遞進行異地數(shù)據(jù)保存，或租用其他大銀行災難備份中心來保護數(shù)據(jù)。業(yè)務連續(xù)性要求越來越高，但同時又要考慮成本因素，所以采用實時備份技術、采用外包方式將成為今后災難備份中心發(fā)展主要趨勢。系統(tǒng)運營中的風險管理課件第29頁基于業(yè)務選擇業(yè)務恢復范圍比如優(yōu)先恢復哪些業(yè)務服務。它是連接技術方案選型及業(yè)務服務恢復承諾目標之間關鍵可衡量指標，而且決定性地影響著實施此方案投資額度。經過對可量化和不可量化損失綜合考慮，得出各種關鍵業(yè)務流程因為災難受損可容忍程度及損失決議依據(jù)。表達在IT系統(tǒng)上，是三個指標：數(shù)據(jù)恢復點目標（RECOVERYPOINTOBJECTIVE）：表達為該流程在災難發(fā)生后，恢復運轉時數(shù)據(jù)丟失可容忍程度；恢復時間目標（RECOVERYTIMEOBJECTIVE）：表達為該流程在災難發(fā)生后，需要恢復緊迫性，也即多久能夠得到恢復問題；網絡恢復目標（NETWORKRECOVERYOBJECTIVE）：即營業(yè)網點什么時候才能經過備份網絡與數(shù)據(jù)中心重新恢復通信指標；依據(jù)計算機應用系統(tǒng)實時性要求及一旦停頓造成損失，可將其劃分為關鍵應用系統(tǒng)、主要應用系統(tǒng)、普通應用系統(tǒng)。系統(tǒng)運營中的風險管理課件第30頁關鍵應用系統(tǒng)：系統(tǒng)特點業(yè)務數(shù)據(jù)集中存放，所聯(lián)接網點及處理業(yè)務較多，對確保整個企業(yè)正常運轉至關主要，一旦業(yè)務中止，將會嚴重地影響整個企業(yè)正常運作。一旦在特殊時期中止如月末、年末、業(yè)務量高峰期，則不但會造成巨大經濟損失，而且有可能要負擔潛在法律責任。允許停頓時間分析：從停機算起，RTO<8小時，RPO在15分鐘以內對于面向客戶關鍵應用系統(tǒng)，周末、中午、夜晚可容忍機算機應用系統(tǒng)停頓時間能夠稍長，業(yè)務量高峰期、月末、季末、年末應用系統(tǒng)停頓時間要求短。對于區(qū)域性災難如地震、機房火災、公共數(shù)據(jù)網大面積癱瘓等，客戶心理上輕易承受，所以允許信息系統(tǒng)停頓時間相對較長，而對因為企業(yè)本身原因如系統(tǒng)故障造成計算機應用系統(tǒng)頻繁停頓，客戶心理上比較難于接收，允許停頓時間相對較短。系統(tǒng)運營中的風險管理課件第31頁其它應用系統(tǒng)主要應用系統(tǒng)：業(yè)務中止將對整個企業(yè)正常、有效運轉產生較嚴重影響。如企業(yè)信息網絡系統(tǒng)、審計系統(tǒng)等。允許停頓時間分析：從停機算起，RTO<72小時，RPO從停機那一天開始普通應用系統(tǒng)業(yè)務中止將不會立刻對整個企業(yè)正常運轉產生嚴重影響，可容忍在數(shù)天或數(shù)周內恢復。比如：檔案處理系統(tǒng)、OA系統(tǒng)等。允許停頓時間分析：從停機算起，RTO<168小時，RPO48小時以內系統(tǒng)運營中的風險管理課件第32頁成本-效益分析系統(tǒng)運營中的風險管理課件第33頁成本-效益分析系統(tǒng)運營中的風險管理課件第34頁系統(tǒng)運營中的風險管理課件第35頁系統(tǒng)運營中的風險管理課件第36頁安全事件管理面向客戶，定義運行服務水平響應時間，經過業(yè)務界面對所提供服務進行必要說明，明確開啟服務正當渠道與路徑，以及意外事故匯報方式、聯(lián)絡方法等。責任定義應該充分揭示交易過程中客戶可能面臨風險，說明已采取風險控制方法和各方應負擔責任。事件指沒有包含在服務標準運作之內，而且造成（或可能造成）中止服務或降低服務質量意外事件或突發(fā)事件，其起源包含網點故障、監(jiān)控報警和最終客戶投訴。受理在實際運行中，服務臺與相關技術支持機構一起，維護IT部門提供給最終用戶各種IT服務，為客戶提供一個唯一IT支持接觸點，以最快、對業(yè)務影響最小基礎上實現(xiàn)IT問題處理。服務臺提供包含Web，電話，電子郵件，等各種接口。用戶能夠使用這各種接口中任何一個與服務中心取得聯(lián)絡。系統(tǒng)運營中的風險管理課件第37頁安全事件管理調派服務臺能夠接收并統(tǒng)計全部由用戶提交上來各種服務請求，按照要求服務規(guī)范和服務準則，分清楚問題種類，按照問題類型、發(fā)生時間、地點以及當前支持人員任務隊列長度，判斷緊急程度關聯(lián)對應服務水平，分配最適當人員負責。行動確保安全事件有所屬，也有所管理。依據(jù)事先制訂監(jiān)控政策、安全政策、系統(tǒng)配置、響應計劃等執(zhí)行控制辦法。可能行動包含：聯(lián)絡執(zhí)法機關、監(jiān)督可疑用戶、取消可疑用戶權限、調用更強保護機制，去掉或恢復故障網絡或系統(tǒng)某個組成部件。在響應計劃中，IT管理層應定義并實施問題逐步升級程序，確保確認問題以最有效、及時方式加以處理。在許多情況中，不協(xié)調響應可能使情況變得更壞。為進行安全事件處理，關注開發(fā)和實施一個有效和久遠風險處置計劃是非常主要。匯報依據(jù)監(jiān)管要求和組織策略，通報事件處理過程和結果。重大事件提交匯報：事實描述、攻擊伎倆或漏洞、采取辦法和提議。系統(tǒng)運營中的風險管理課件第38頁信息安全管理工具監(jiān)控分析管理層次價值搜集數(shù)據(jù)數(shù)據(jù)規(guī)范化、融合和關聯(lián)信息業(yè)務價值映射和優(yōu)先級管理可行信息知識信息安全管理工具層次和價值系統(tǒng)運營中的風險管理課件第39頁審計安全審計追蹤對確保任何網絡安全都起了主要作用。它能夠用來檢測一個安全策略正確性，確認與安全策略一致性，幫助分析攻擊，而且搜集用于起訴攻擊者證據(jù)。包含審計在內大多數(shù)監(jiān)視活動都產生結果數(shù)據(jù)，這種結果數(shù)據(jù)能夠直接發(fā)揮作用，或者統(tǒng)計在案供以后分析和深入采取行動。當前還沒有任何一個可行方法來徹底處理正當用戶在經過身份認證后濫用特權問題，但審計追蹤仍是確保數(shù)據(jù)庫安全不可缺一道主要防線。審計是一個監(jiān)視辦法，跟蹤統(tǒng)計相關數(shù)據(jù)訪問活動，尤其是有可能破壞系統(tǒng)安全性事件安全審計統(tǒng)計了任何可疑事件，也能夠統(tǒng)計許多日常事件，如建立和終止連接，使用安全機制和訪問敏感資源，包含用戶登錄、更換密鑰、授權、更改口令等。安全審計依賴于事件匯報功效和日志控制功效。同類或不一樣類系統(tǒng)都能夠檢測到被審計事件，并由系統(tǒng)中安全審計追蹤日志來維護。由系統(tǒng)安全策略決定對什么樣事件開啟審計，選擇依據(jù)是事件安全相關度；它還決定審計閾值，即對含有何種操作結果事件進行記載。比如，對“用戶登錄”事件，安全閾值能夠設置為“成功”、“失敗”、“違法”等。事件信息起源可能有：日志文件、網絡活動、系統(tǒng)信息和服務臺。系統(tǒng)運營中的風險管理課件第40頁安全警報一個與安全相關事件會觸發(fā)一個安全警報，原理上，任何網絡或系統(tǒng)部件都能夠檢測出該事件。安全警報匯報功效標準ISO/IEC10164-1描述了安全警報調用所傳遞信息。受管信息定義ISO/IEC101652中詳細說明了交換中所使用正確抽象語法。

管理系統(tǒng)

事件類型安全警報產生安全警報檢測事件受管對象受管系統(tǒng)響應（可選）通知圖3安全警報匯報過程系統(tǒng)運營中的風險管理課件第41頁安全警報安全警報匯報中傳遞參數(shù)分為三類：ISO/IEC9595，事件匯報通用參數(shù)：包含調用標識符、模式、受管對象類、受管對象實例、事件類型、事件時間和當前時間ISO/IEC10164-４，管理警報通用參數(shù)：包含通知標識符、相關通知、額外信息和額外文本等；安全警報特有參數(shù)：包含安全警報原因、安全警報嚴重性、安全警報檢測器、使用服務用戶和服務提供者等。事件類型和安全警報原因組合表明了警報原因，可能組合值有：完整性破壞：指出未授權修改、插入或刪除數(shù)據(jù)事件。安全警報原因可能值是：復制信息、信息丟失、信息修改檢測、次序混亂信息和不希望信息；違規(guī)操作：指明不能取得信息、違法行為或一些服務不正確調用事件。安全警報可能原因是：拒絕服務，超出服務，過程犯錯和未陳說原因；系統(tǒng)運營中的風險管理課件第42頁安全警報物理侵入：指明對物理資源有可疑攻擊事件。安全警報原因可能值是：損害電纜、入侵檢測和未陳說原因；安全服務或機制侵犯：指明一個安全服務或機制檢測到潛在攻擊事件。安全警報原因可能值是：認證失敗、破壞機密性、非否定失敗、為授權訪問企圖和未陳說原因。時間區(qū)域侵犯：指明在不希望或禁止時間里發(fā)生一些事事件。安全警報原因可能值是：延遲消息(接到信息時間比預定時間要晚），密鑰過期（使用過期密鑰）和上班時間外活動（在不希望時間里使用資源）。安全警報安全參數(shù)指明了由初始受管客體發(fā)覺警報意義，可能值是：不確定：系統(tǒng)完整性是未知；危險：安全性被損害危及到系統(tǒng)安全。系統(tǒng)可能不能再正常運轉來支持安全策略。比如，未授權修改或與安全相關敏感信息，如系統(tǒng)口令，或違反物理安全；系統(tǒng)運營中的風險管理課件第43頁安全匯報主要：檢測到違反安全，而且主要信息或機制已經遭到損害；次要：檢測到違反安全，而且不太主要信息或機制已經遭到損害；警告：不相信系統(tǒng)安全性受到威脅。安全審計功效標準另外定義了兩個特殊通知，分別與服務匯報和使用匯報對應。服務匯報表明了與一些服務提供、拒絕或恢復相關事件。使用匯報用于有安全意義日志統(tǒng)計信息。傳遞參數(shù)和這些事件類型基本上與安全警報匯報中使用一樣。服務匯報事件類型中定義了一個額外參數(shù)，稱為服務匯報原因，用于表明匯報原因。這個參數(shù)是一個ＡＳＮ．１對象標識符，也就是說任何人能夠定義并注冊其值。該標準還定義了一些通用值：服務請求、拒絕服務、來自服務回答、服務失敗、服務恢復和其它原因。系統(tǒng)運營中的風險管理課件第44頁審計日志日志內容應該設計成有利于了解在突發(fā)事件期間出現(xiàn)了什么，并探測出趨勢和可能發(fā)生改變。日志應該按與所用策略和規(guī)則相一致標準進行管理。一個關鍵問題是怎樣操作日志：哪種日志應該放在日志文件中，數(shù)據(jù)應該怎樣表述，方便從日志中得出正確審計結論。日志必須是可靠和受到保護，能抗篡改或偶然破壞。日志應該封存以阻止不可探測任何修改，還應該在法律保護期間內歸檔。日志須包含內容是：事件所包括主體和客體、時間、事件結果（成功、失敗、違法、報警等）。系統(tǒng)運營中的風險管理課件第45頁安全事件分析分析可能有兩個不一樣目標第一個目標是檢測對某個安全策略任何攻擊；包含基于狀態(tài)審計和基于狀態(tài)轉換審計。前者決定系統(tǒng)某個狀態(tài)是否是未授權狀態(tài)；后者檢驗系統(tǒng)當前狀態(tài)和被引發(fā)狀態(tài)轉換來決定結果是否會將系統(tǒng)置于未授權狀態(tài)。第二個是檢測已知企圖違反安全規(guī)則操作，能夠經過命令特定次序或系統(tǒng)狀態(tài)特征來尋找并發(fā)覺針對安全攻擊。分析器通常運行于一個單獨系統(tǒng)中，使用分析引擎判斷是否是一個風險事件，安全事件可利用歷史事件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、完整性工具和其它系統(tǒng)信息來檢測。信息可能有多個層次視角，必須將多個日志文件信息進行關聯(lián)系統(tǒng)運營中的風險管理課件第46頁安全事件分析即使通常是對相同類型事件進行多事件統(tǒng)計，但也能夠依據(jù)日志統(tǒng)計和事件（融和）統(tǒng)計對不一樣類型多個統(tǒng)計進行分析。對相同類型多個統(tǒng)計分析經常使用統(tǒng)計或趨勢分析技術。建立開放風險數(shù)據(jù)集接口進行數(shù)據(jù)分析前提是擁有足夠長時間和范圍內風險數(shù)據(jù)。風險管理工具必須建立開放風險數(shù)據(jù)集接口，取得定時更新外部損失數(shù)據(jù)，同時實現(xiàn)從數(shù)據(jù)訪問、數(shù)據(jù)遷移和提升數(shù)據(jù)質量到分析應用無縫連接，實現(xiàn)信息集成、交換和共享。格式化數(shù)據(jù)依據(jù)其起源進行不一樣格式化，經過規(guī)范化處理確保后續(xù)融合和關聯(lián)功效能以相同方式處理數(shù)據(jù)。數(shù)據(jù)聚合獲取規(guī)范化數(shù)據(jù)，并可按依據(jù)起源、資產價值或業(yè)務職能等類別對其進行組織。然后將其復制到多個類別之中，讓更高層應用來處理。系統(tǒng)運營中的風險管理課件第47頁關聯(lián)作為商業(yè)智能技術一部分，關聯(lián)經過分析數(shù)據(jù)來識別新模式，重新定義安全預警引擎，并能有效管理潛在和新出現(xiàn)風險過程。詳細說來，安全關聯(lián)含有規(guī)則關聯(lián)、統(tǒng)計關聯(lián)和異常關聯(lián)：規(guī)則關聯(lián)可將預先打包轉換事件數(shù)據(jù)提供給數(shù)據(jù)不一樣“視圖”。比如，規(guī)則能夠按照與某個詳細交易操作、某一類交易和某個地理地點等準則相關全部事件對數(shù)據(jù)進行詳審。檢測搜尋已知不安全狀態(tài)，等系統(tǒng)進入該狀態(tài)后就匯報可能發(fā)生了一次入侵。將系統(tǒng)漏洞知識結合到一個規(guī)則集中，使用教授系統(tǒng)來分析數(shù)據(jù)并利用規(guī)則集，判定一系列運行中指令是否違反了站點安全策略。規(guī)則：假如我們從一個防火墻接收到一個針對該DNS服務器偵察企圖(DNS版本檢驗或其它連接請求)，則假如我們從一個IDS接收到一個或多個針對同一個DNS服務器入侵企圖，則向操作員發(fā)出一個通知。統(tǒng)計關聯(lián)按資產或資產組將規(guī)范化安全事件歸類為不一樣安全事件類型–事件類型范圍包含偵察攻擊、病毒攻擊、拒絕服務攻擊–等等。對于每種資產，系統(tǒng)可連續(xù)計算出一個威脅分數(shù)，也就是經過將事件嚴重程度與資產價值相加來確定對安全事件總體衡量。系統(tǒng)運營中的風險管理課件第48頁異常關聯(lián)異常關聯(lián)依賴于事件管理系統(tǒng)所創(chuàng)建被測量事件數(shù)據(jù)庫，以及從該數(shù)據(jù)庫“學習模式”中搜集一組“基線”數(shù)據(jù)?！盎€”快照普通會運行幾個星期，然后與當前事件進行比較，以確定是否正在發(fā)生與基線不一樣異常情況。未來，要想為不停改變IT環(huán)境和商業(yè)交易環(huán)境創(chuàng)造價值，基線捕捉功效就必須在啟發(fā)式穩(wěn)態(tài)模式下工作?；谀Ｊ筋A測異常檢測方法，前提條件是事件序列不是隨機發(fā)生，而是服從某種可區(qū)分模式，其特點是考慮了事件序列之間相互聯(lián)絡。域值度量預期中最少有m個事件最多有n個事件發(fā)生，則被認為發(fā)生了異常確定閾值使得模型使用變得復雜，要考慮不一樣級別復雜性和用戶特征、地域特征。統(tǒng)計動差分析器知道平均偏差和標準偏差，假如值超出了這些動差期望間隔，則該值所代表動作就被認定為異常。比閾值模型提供了更大靈活性。系統(tǒng)運營中的風險管理課件第49頁安全事件匯報通告器主要功效是發(fā)給系統(tǒng)安全責任人一條相信系統(tǒng)風險發(fā)生匯報。在較低層次上，系統(tǒng)應提供交互式、多維數(shù)據(jù)可視化功效。依據(jù)諸如“對機構影響”和“攻擊可能性”等簡單而有效視圖，使企業(yè)能更輕松地依據(jù)本身獨特需求來安排糾正辦法優(yōu)先級。企業(yè)中各個部門人員所關注視圖各不相同，比如，IT機構安全管理員能夠處理防火墻、IDS檢測器和網絡路由器等所產生安全事件，但他們卻不應該訪問與財務統(tǒng)計和客戶統(tǒng)計相關數(shù)據(jù)，以及其它機密商業(yè)交易數(shù)據(jù)。系統(tǒng)應能夠依據(jù)需要靈活查看任意聚合級別信息或詳細信息，確保用戶操作員只看到與他們工作相關事件。這首先是企業(yè)機密性需要，同時也使他們不受受到數(shù)據(jù)泛濫影響。信息匯報方式：系統(tǒng)運營中的風險管理課件第50頁安全事件匯報文本顯示方式：基于名字、時間或其它特征搜索事件；超文本顯示方式：顯示日志統(tǒng)計，使用超文本連接鄂來表示統(tǒng)計之間相關關系關系數(shù)據(jù)庫閱讀方式：向數(shù)據(jù)庫發(fā)起查詢，數(shù)據(jù)庫在返回查詢結果前執(zhí)行相關分析以時間次序列舉感興趣事件圖示方式：節(jié)點代表實體，相關性表示不一樣實體間聯(lián)絡。一個設計良好圖形顯示使得風險管理系統(tǒng)可把信息轉變?yōu)橐环子陬I會圖像，允許用戶判斷正在遭受何種攻擊，也能夠向相關人員發(fā)送電子郵件或在相關日志文件中統(tǒng)計條目。切片方式：得出影響給定客體日志事件和客體最小集。切片是一個程序調試技術，能分析提取出影響給定變量指令最小值。系統(tǒng)運營中的風險管理課件第51頁取證使用事件管理系統(tǒng)審計員使用焦點審計瀏覽工具，把文件作為初始焦點。圖邊顯示了進程怎樣改變文件以及怎樣改變。審計員判定那些可能引發(fā)不可預期改變進程，即可疑進程，一直追溯到能夠判定攻擊者怎樣得到系統(tǒng)訪問權限。審計員獲知攻擊者ＵＩＤ，使用對應ＵＩＤ審計統(tǒng)計頁面，并檢驗頁面中全部可疑行為。他也能使用可視框架工具畫出進程產生次序。一旦審計員發(fā)覺入侵點，審計員就能發(fā)覺系統(tǒng)弱點并模擬攻擊者方法恢復出攻擊者行為。最終，使用相關用具產生短片描述攻擊者是怎樣進行攻擊，方便在訴訟時作為證據(jù)使用。外部調查在一些復雜程度更高網絡犯罪案例中，專門服務企業(yè)資深安全教授經常飾演“福爾摩斯”角色，在調查犯罪過程中飾演主要角色。他們能從一些蛛絲馬跡中尋找出事情真相:在線支付IP、非法轉賬銀行卡卡號、巨額刷卡消費行為、ATM取款機上攝像頭監(jiān)控等。系統(tǒng)運營中的風險管理課件第52頁風險實時控制當前，信息安全管理工具需要實現(xiàn)一些新特征是，含有“學習”功效，適應安全系統(tǒng)動態(tài)改變，可提供經過實踐檢驗降低風險辦法，而且與用于修復和補救任何系統(tǒng)相集成，使風險事件響應更靠近“實時”。響應包含斷開網絡、增加日志統(tǒng)計級別，給出處理方案等。基于范例推理（CBR）能夠依據(jù)記憶或范例庫中找到一個與新問題相同范例，然后把該范例中相關信息和知識復用到新問題求解之中，是實現(xiàn)實時控制較為有效技術。