安全恢复计划

7.4.3　安全恢复计划

安全恢复计划是指当一个机构的计算机网络系统受到灾难性打击或破坏时，对网络系统进行安全恢复所需要的工作过程。因此，必须谨慎地考虑如何以最快的速度对网络进行恢复，以及如何将灾难所带来的损失降低到最小。制定一个安全恢复计划对任何一个网络用户来说，都是非常重要的过程。但是，很多用户没有及时制定恢复计划，有的LAN用户甚至从来没有考虑制定一个安全计划（对它的意义和内涵都不理解），当网络灾难真的发生时，这些用户便束手无策了。灾难的安全恢复计划的问题之一就是指出从何处开始，这也是制定计划的一个原则。

1.数据的备份

网络灾难的预先准备过程应该从保证有进行恢复的完整数据开始。虽然，一个实际的安全恢复计划不一定把备份操作作为一个部分，但是切实可靠的数据备份操作是安全恢复的一个先决条件。在进行备份操作时，就应该以最坏的情况准备数据备份以防网络灾难发生。如果用户使用的是UNIX或者Windows作为文件服务器，则恢复文件的能力就显得尤其重要，因为这些操作系统都没有用于恢复已经被删除的网络文件的能力。磁盘备份是大多数专业系统管理员或网络管理员使用的备份方式，利用磁盘备份可以保护和恢复被丢失、破坏、删除的信息。

2.安全风险分析

在网络灾难安全恢复方法中，首先需要进行风险分析。这里所阐述的安全风险涉及天灾人祸、恶意代码的传入、未经授权发送或访问信息、拒绝接受数据源以及拒绝服务连接等方面的问题。导致的结果就是，系统可能会丧失信息的完整性、信息的真实性、信息的机密性、服务的可靠性以及交易的责任性等多方面特性。所以需要对安全风险加以正确分析，这样才能完成切实可靠的安全风险计划。在这个分析步骤中，其主要内容包括以下三个方面：

●在灾难中面临着什么风险？分析这个问题需要综合考虑整个网络系统中的组成部分，包括工作站、服务器或客户机、数据以及与外界联系的通信设备等。这就需要预先准备一个网络系统中所有组成部分的结构示意图，当灾难发生时，根据示意图决定更换物品的清单。遗漏某个物品很可能会导致灾难后的恢复工作无法进行。例如，如果没有连接调制解调器的串行线，进行远程访问的应用程序就无法进行。当然，系统软件也需要进行鉴定，这样可以确定潜在的防护领域，包括那些用于网络操作的文件系统工具。

●什么会出现问题？大千世界，不可预知的灾难都是可能发生的。火灾和狂风暴雨都是常见的大规模灾难。因此，应该有一个预防的、切实可行的灾难对策。举一个火灾例子，发生火灾时，大火四周的散热、烟雾以及灭火器喷射出的水对计算机网络信息系统都有恶性的损坏作用。存储介质是很容易被高温和烟雾毁坏的，再加上火灾过后有毒残留物的清理工作，这就意味着大火过后在一段时间内，都无法接触计算机网络系统及其内部数据。在实际过程允许的情况下，可以先取出数据处理装置，然后试图在磁盘中恢复数据。

●发生的可能性是多少？对这个问题的回答应该考虑财政预算。针对不同级别的保护，可以进行几种不同的预算。如果无法支付预防某些灾难所需要的费用，但至少要知道这些灾难是什么，以后可以对计划进行改造。

3.安全风险评估

所谓安全风险评估，就是判断信息基础设施的安全状况的能力。风险评估产品或服务，可以用来判定机构中的各种各样的主机和网络是否遵从了组织的安全管理政策。因此，风险评估的目的就是给出一个完整的、易懂的IT基础设施安全简图。

安全风险评估大致包括以下五个步骤：

●评估的核实以及价值的评定。主要是对财产及其价值的评估和核实。

●威胁的评估。核实威胁的实质、威胁产生的原因以及威胁的目标，然后评估这些威胁产生的可能性。

●安全缺陷的评估。核实审核范围内的弱点，评估安全缺陷的严重程度。

●核实现有的和已计划好的安全控制系统。核实安全控制系统包括所有应该包括的内容，且不同版本之间保持兼容性。

●安全风险评估。核实和评定一个机构及其财产所面临的风险，以选择正确的安全控制系统。

4.应用程序优先级别

网络灾难发生之后，需要重新恢复整个系统。最先应恢复的应用系统是与生产经营最紧密相关的部分，切忌把有限的精力和时间浪费在恢复错误的系统和数据上。一般情况下，一个机构有多个部门和多个应用系统，每个部门往往都会把与自己息息相关的应用系统列为“最重要”的，但实际上这些应用系统不一定是最重要的。所以，专业系统管理员或网络管理员应该首先确定应用系统恢复的顺序，这是十分必要的过程。在掌握了需要安全恢复的内容和顺序以后，就要核实重新恢复所需要的软件、硬件以及其他必需品。网络上的应用系统是由一些服务系统组成的，如应用程序存储数据、工作站系统对应用程序进行处理、打印机或传真机用于输入/输出操作、网络连接部分负责整个网络的连接操作等。如果计算机网络结构采用客户机/服务器模式或使用分布式应用程序，由于应用程序的不同部分分别保存在不同计算机上，这样就更增加了额外的复杂程度。当专业系统管理员或网络管理员确定了应用系统恢复的顺序以后，还要确定恢复网络系统所需要的最少数目的工作站数。当系统逐步恢复起来以后，再慢慢地扩大计算机网络的规模。相对于安全恢复服务器来说，进行应用程序的恢复所需要的时间会比较少。但是，恢复应用程序需要比较详细地了解整个系统。首先，必须知道要恢复的应用程序所需要的数据放在计算机的什么位置，并且掌握这其中文件系统的依赖关系是什么。如果存在一些包含应用程序信息的系统文件，就要保证这些文件与应用程序一起恢复，例如Windows.ini文件，这个文件就要与应用程序一起恢复。另外，还必须知道如何利用备份系统进行选择性的恢复。将要恢复的应用程序合并到单独的服务器上，可能提高运行速度，从而减少计算机网络启动和运行所需要的时间。

5.实际灾难恢复文本的产生

用户都希望自己的大脑非常可靠，能够在灾难发生的时候记住自己该做的所有工作。但是在糟糕的环境下，事实并不是想象的那样。在安全恢复计划中，需要制定实际安全的恢复文本。安全恢复文本的主要内容有：人员通知清单、最新电话号码本、地图以及地址，优先级别、责任、关系以及过程，获得和购买信息，网络示意图，系统、配置以及磁盘备份。

6.计划的测试和采用

只简单地采用一套安全恢复计划是不够的，用户还必须对已经编写好的计划进行测试，并且核实灾难恢复文本。只有经过测试，才能保证自己计划中的恢复部分切实可行。只有精确、详细的灾难恢复文本，才能够在发生灾难后确保用户会遵循正确的步骤进行处理。非毁灭性测试是指用户能够在不影响设备正常工作的前提下，测试自己的安全恢复计划。这也是最受欢迎的测试方法，没有人愿意在测试即将使用的计划时发生真正的灾难。最常用的非毁灭性测试方法是使用替换硬件进行模仿灾难。例如，用户可以使用另一台与主服务器相同的服务器进行备份恢复操作。很多人可能没有条件使用冗余设备进行灾难恢复计划的测试。如果用户不具备这样的条件，可以将安全恢复测试工作安排在关机或者在假期进行。

7.计划的分发和维护技术

当一个计划经过测试而且被证明了是完全可用以后，首先需要将其分发给需要它的人。对计划的发布过程要进行适当的控制，这样确保计划不会出现多个版本。其次，必须保证有计划的额外拷贝，并将其存放在脱机工作站或者工作地点附近的其他地方。该计划的所有人员及地点的清单也需要保留一份。当计划需要被更新时，对所有这些计划副本都进行更换。

计划的维护比较容易，其内容包括对计划需要修改的信息进行修改，与此同时，重新评价应用程序系统从而确定它们的优先级。如果已经更换了备份系统，就应该保证如何使最新的或者已经升级的备份系统的信息包括在“修改”一类中。