CISA学习笔记第四章.docx

1、CISA学习笔记第四章1. 引言本部分主要探讨内容： IT灾难恢复计划DRP必须符合企业的业务连续性计划BCP，两者同时有必须符合企业的目标和风险容忍度。 对于大多数企业来说，在灾难发生时立即恢复所有的应用系统和业务流程是不切财务实际的，所以必须进行业务影响分析BIA，来确定业务中断的成本并定义哪些应用和流程应该首先被恢复，业务影响分析的结果可以用于决定需要什么样的恢复战略来实现预期的恢复事件。 恢复时间目标RTO和恢复点目标RPO之间的差异。 各种恢复战略的异同点，如：站点、数据存储、应用等。 在恢复过程中不同团队的角色和职责。 备份和恢复的概念，磁带备份、介质轮换计划、介质处置等。2. 信

2、息系统运行信息系统运行控制IS软件和硬件的日常运行，IS运行通常包括以下职能区域： 对IS运行的管理； 包括计算机运行的基础设施支持； 技术支持/咨询台 质量保证 变更控制和发布管理 配置管理 问题库管理系统和控制软件 问题管理程序 性能控制和管理 能力监控和规划 物理和环境安全管理 信息安全管理2.1. IS运行管理IS管理层对IS部门的全面运行负全部责任，该领域涉及分配资源（计划和组织），符合标准和程序（提供和支持）、监控IS运行流程（监控和评估），因此，运行管理功能包括： 资源分配-IS管理层负责为佳话内的IS活动提供必要的资源； 标准和程序-IS管理层负责为所有运行建立必要的符合总体业

3、务战略和政策标准、程序； 过程监控-信息系统管理人员要负责监控和测量信息系统运行过程的效率与效果，以保证过程的持续完善。2.1.1. 控制功能管理控制功能包括：一、 信息系统管理 保证每个运行交接过程均有详细的安排； 精心计划以确保运行资源得到最有效的利用； 按照企业的政策对IT资源的使用进行授权和监控； 监控系统性能和资源情况，以实现计算机资源的最佳使用。二、 信息系统运行 确保每个运行操作都有详细的时间表； 对运行日程的变更进行审阅和授权； 对网络、系统和应用的变更进行审阅和授权； 预测设备更换/容量，以保证当前作业流量的最大化并未未来需求制定战略计划； 保证对硬件和软件的变更不会引起正常

4、业务处理的中断； 监控系统性能和资源使用率以优化设备的资源利用率； 在系统停机和硬件/软件重新复原期间审核控制台日志活动； 维护作业记账报告和其他审计记录； 审核操作员日志以识别预订的和实际的活动之间的差异； 确保所有问题和事件在发生后均能得到及时处理； 确保信息系统处理无论在发生较小的或重大的中断后，均能够及时得到恢复。三、 信息安全 确保数据的机密性、完整性和可用性； 监控环境和设施的安全，为设备的正常运行保持适当的条件； 确保能够及时的识别和解决安全脆弱性； 确保及时发现并安装安全补丁； 发现入侵企图； 及时解决信息安全事件和问题； 限制无关人员对计算机资源的逻辑访问和物理接触。2.1.

5、2. IT服务管理IT服务管理ITSM包括用于有效交付和支持各种IT功能的流程和程序，其主要目的是不断提高服务质量，降低服务成本，以能满足企业不断变化的需求，并实现对服务性的持续监控和改善。ITSM的重点是业务交付品并对支持和提供IT服务和IT应用的基础架构进行管理。IT支持服务包括服务平台、事件管理、问题管理、配置管理、变更管理和版本管理。IT交付服务包括服务水平管理、IT财务管理、能力管理、IT服务持续性管理和可用性管理。服务管理可以通过服务水平协议以得到更好的贯彻，而服务水平协议的基础就是所要提供的服务品种，服务水平协议详尽的描述了服务的性质、类型、时间以及其他与服务相关的信息。可有效地

6、缩小客户期望值与真实服务之间可能存在的差距，所有这些信息均能集中存放在数据库中。2.1.3. 对资源的使用进行监测2.1.3.1. 事件管理事件管理是一个很关键的流程，它为组织提供首先检测事件然后准确确定正确的支持资源以便尽快解决事件的能力。该流程还为管理层提供关于影响组织的事件的准确信息，以便他们能够确定必需的支持资源，并为支持资源的供给做好计划。 任何事件处理流程关键的一点是，在确定时间的影响和紧急程度之后对各事件排定优先级。未解决的事件的升级标准的确定是IS管理设置的，事件管理是被动的，而且其目的是快速的反映和尽快解决问题，正式的服务水平协议有时是在可接受的范围内各种事件管理统计的确定。

7、2.1.3.2. 问题管理问题管理目的是通过对重大事故进行调查和深入的分析后解决问题，或者通过调查和深入分析类似问题后找出问题的根本原因，标准分析方法之一是受影响方采取头脑风暴的方式来开发因果图。确认问题并找到问题的根本原因后，就进入到”已知错误状态”，这一阶段要找出问题的潜在原因，然后就开发解决该问题的一套工作流，并用于防止今后有关事件的发生。问题管理目的在于降低事故发生的次数和严重性，而事故管理的目的是让受影响的业务流程能够尽快恢复到其正常状态，并减小对业务的影响，有效的问题管理可以使IS部门的服务质量产生重大改进，问题管理和其他管流程关系如下图：2.1.4. 支持与帮助台P246技术支持

8、功能的职责是提供关于生产系统的专业知识，以确定和帮助系统变更/开发问题解决，此外，可能有益于系统总体运行的最新技术告知管理层也是技术支持的职责。必须根据组织的总体战略和政策建立技术人员执行全部任务时应遵循的程序，技术支持功能包括： 确定计算机问题的源头并采取适当的纠正动作； 按要求启动问题报告并保证问题得到及时解决 获得详尽的操作系统和其他系统软件的知识 回答关于特定系统的询问 控制供应商和系统软件的安装以改进其效率，并根据组织需求和计算机配置来制定系统 为计算机化的远程通讯处理提供技术支持 维护供应商软件，包括新版本和程序补丁发布，以及自行开发的系统和工具软件的文档。 将非正常模式通过电话或

9、应用程序的行为告知IS运行部门。帮助平台的主要目的是服务用户，帮助平台人员必须对出现在所有硬件和软件问题进行完整记录，并根据程序规定的优先顺序逐级上报，不同组织内的帮助平台作用可能各不相同，但是帮助平台基本功能应包括： 记录来自用户的问题并启动问题解决； 区分问题的有限顺序，并将其移交给适当的管理者； 跟踪未解决的问题； 关闭已解决的问题，这表示用户授予了关闭问题的适当权限。2.1.5. 变更管理过程IS审计师建立变更控制程序以控制应用（由作业或程序组成）从用于开发和维护的测试环境，转移到进行全面测试的终试环境，并最终转移至生产环境。变更控制程序中关于作业和程序经过用户验收测试后，从测试环境移

10、至生产环境过程中，IS运行人员应当执行的动作描述部分通常称为正式的作业周转程序。作业周转程序保证： 系统、操作和程序文档是完备的、最新的且符合已定标准。 作业准备、调度和操作指令已经建立； 系统和程序测试结果已经通过用户和项目管理部门的审核和批准； 数据转换，已经准备完全地实现并通过用户管理部门的审核和批准； 作业周转的所有方面已经通过控制人员和操作人员的测试、审核和批准； 对业务运行的产生的影响进行了审核，并制定出了回退计划，在必要的时候恢复已变更的内容。变更控制主要是未了减小变更可能会带来的负面影响，通过规范变更过程，并对变更请求、变更授权、变更测试、变更实施过程、用户的沟通等过程都建立相

11、应的文档，主要变更及次要变更也是影响变更的重要因素。2.1.6. 程序库管理系统P236程序库管理系统可增强数据中心软件管理的效率，包括应用软件代码、系统软件代码、作业控制语句和处理参数等的管理，程序库管理系统包括： 完整性：每个源程序被赋予一个修改编号和版本编号，每个源语句均附有创建日期。通过口令、加密、数据压缩及自动备份等手段，以保证程序库、作业控制语句集合和参数文件的安全。 变更：对库内容的追加、修改、删除、重新排序和编辑进行管理。例如：在对程序库进行修改前自动进行备份并对所有的库操作进行日志记录。 报告：为管理层和审计检查提供关于库内容、类别、追加和修改的列表。 接口：提供与操作系统、

12、作业调度系统、访问控制系统和联机程序管理系统的接口。2.1.7. 程序库控制软件保证变更必须经过授权才可以从测试环境到日常作业程序库中程序库控制软件主要目的： 防止程序员访问产品源代码和对象库； 防止整批的程序更新动作； 要求控制人员或操作员来执行，取出源代码并将其放到程序员的程序库里的流程； 要求程序员把要替换的源代码交给控制人员或操作员，来更新目标代码程序库或进行测试； 要求控制人员或操作员在完成测试后更新目标代码库的版本编号； 对源代码做只读访问控制； 要求程序命名要采用唯一标识的方式以将测试版和正式版区别开来； 在作业控制语言中加入筛选控制，以避免因误用程序名称而让正常作业执行了测试程

13、序。 加强程序/编码标准。2.1.7.1. 执行码及源代码的完整性IS审计师必须特别审核终端用户所开发的应用，由于他们呢可能不执行公司制定的标准和安全配置，尤其是这些应用可以访问和处理中央数据文件时，这种定期审核是及其必要的，因为没有专业开发人员指导，用户自行开发的程序可能会有很多“臭虫”，会产生出造成误导的报告，甚至会不慎将错误引入数据库。2.1.7.2. 源代码比较源代码比较是追踪源程序代码变化的有效易用的方法，IS审计师首先应当获得并保存所测试源代码的副本，该副本将作为控制版本。此后，IS审计师可通过运行源代码比较软件来追中控制版本的源代码和目前版本的源代码的区别。IS审计师通过源代码比

14、较软件可打印出来所有增、删及更改的清单，这一清单，IS审计师可逐一审核有关这些变动的需求申请、批准及程序测试后的授权文件。2.1.8. 发布管理软件发布管理就是把新增或修改后的软件提供给用户使用的过程2.1.8.1. 软件发布类型 大型发布：通常包含重大修改，或增加了新功能。 小型发布：通常对软件进行升级，包含一些小得改进或修改 紧急修补：一般包含对少量的知名错误的修改。应当对发布管理中的主要角色和职责进行定义，以保证每一个都能理解自己的角色特征、授权级别及此过程涉及的其他人员。2.1.8.2. 发布规划： 在版本的内容达成一致意见； 对在发布的时间阶段、地理位置、业务单位和客户等方面达成一致

15、； 产生一个高层的发布日程安排； 规划所需的资源级别，包括人员加班； 在角色和职责上达成一致； 制定失败回退计划； 为发布制定一个质量计划； 规划支持小组和客户对发布的验收。2.1.9. 质量保证质量保证要验证系统变更在进入生产环境前已经在受控方式下得到授权、测试和实现。同时借助库管软件，对程序版本、源代码一致性的适当维护进行监督。质量保证功能的特定目标包括： 保证所有相关部门积极配合，共同参与标准、管理指南和程序的修订、评价和分发； 维护一致的系统开发方法学； 在大型系统开发项目的重要转折点时审核和评估项目并给出适当的改进建议 为生产软件环境内变更的实施建立、增强和维护一个稳定受控的环境；

16、为计算机系统定义、建立和维护一个标准、一致和定义良好的测试方法学； 向管理层报告未按预先定义或执行的系统。2.1.10. 信息安全管理信息安全管理是信息系统运行的重要内容，信息安全管理能保证IT的持续运行和业务过程及数据的安全性，包括： 对信息资产实施风险评估 进行业务影响分析 经常性地实施安全评估 实施正式的脆弱性管理过程2.1.11. 介质处理程序一个有效的介质处理程序使用必要控制、技术和流程来保证存储在介质上的敏感信息的机密性。3. 信息系统硬件3.1. 计算机硬件组成与结构3.1.1. RFID：射频识别P243是一种自动识别技术，通过空间耦合实现无接触信息传递，并达到识别目的的技术，

17、识别工作无需人工干预，作为条形码的无线版本，RFID技术具有条形码所不具备的防水、防磁、耐高温、使用寿命长、读取距离大、标签上数据可加密、存储数据容量大等。3.1.2. 一次写多次读设备WORM CD CDR/CDRW可写入光盘 DVD DVD-HD，高密度数字视频光盘3.1.3. 冗余磁盘阵列RAID目前常见的磁盘，一般有IDE磁盘，SATA磁盘，SCSI磁盘，这些磁盘在性能和可靠性上面差别很大，衡量磁盘性能，一般从可靠性、转速以及内部工艺3个方面衡量。RAID：冗余磁盘阵列 Redundant array of independent DISKsRAID有多个（至少2块）单独的硬盘组成一个

18、大容量的RAID组，通过在多个硬盘上同时存储和读取数据来提高存储系统的数据吞吐量，采用校验或镜像备份措施，提高了存储系统的容错度和稳定冗余性，RAID技术的核心思想就是磁盘分带。RAID分类：软RAID：RAID的所有功能都是操作系统与CPU来完成，效率低，成本低。硬RAID：采用专门的RAID控制/处理与I/O处理芯片，效率高，成本高。常用RAID级别：RAID按照实现原理和不同分为不同级别，不同级别之间工作模式是有区别的，整改RAID结构是一些磁盘结构，通过磁盘进行组合达到提高效率，减少错误的目的。分为RAID0，RAID1，RAID4,RAID5,RAID6.RAID0：没有容错设计的条

19、带磁盘阵列，在存储数据时由RAID控制器（软或硬）分割成大小相同的数据块，同时写入阵列中的磁盘，就像一条带子横跨过所有阵列的磁盘，并且每个磁盘上的条带深度是一样的。任何一块硬盘损坏数据无法恢复。RAID1：也叫镜像，两个硬盘的内容完全一样，在存储数据时将数据同时写入两个硬盘，任何一个硬盘的数据出现问题，可以马上从另一个硬盘中进行恢复。RAID4：独立的数据硬盘与共享校验硬盘。按数据块为单位进行存储，不同硬盘上的同级数据块通过XOR进行校验，结果保存在单独的校验盘。同级的概念就是指在每个硬盘中同一柱面同一扇区位置的数据算是同级。任何一个硬盘上的数据块损坏，可以通过XOR校验值与其他硬盘上的统计数

20、据进行恢复。RAID4的瓶颈，由于RAID4使用了一个专有的校验磁盘，所有RAID4在处理写请求时有一个内在瓶颈，阵列中多个写操作都要读出校验数据，在重写到单个磁盘，因此，校验磁盘是一个系统瓶颈。RAID5：与RAID4的差别：将校验数据以循环的方式放在每一个磁盘中，没有一个专有校验磁盘，因而，没有像RAID4一样的瓶颈。任何一块磁盘上数据块损坏，可以通过XOR校验值和其他硬盘上同级数据进行恢复。RAID6：RAID4和RAID5采用单校验，只能提供一块硬盘的故障冗余，RAID6采用双校验，能够提供RAID中两块硬盘同时损坏的故障冗余，但性能也略低于RAID4和5。3.2. 硬件维护程序必须对

21、硬件进行日常清洁和保养以保证其正常运行。硬件维护程序所要求的典型信息包括： 为需要日常维护和每一种IS硬件资源联合信誉好的服务公司 硬件维护日程表 硬件维护成本 硬件维护执行历史，包括计划内的，计划外的，已执行和例外的3.3. 硬件监控程序以下是监控硬件使其有效运行的典型方法和报告： 可用性报告：系统工作正常时间段 硬件错误报告：标识出CPU、I/O、电源和存储故障 利用率报告：系统自动形成的文件，记录了机器和外设的使用情况。一般来说大型计算机的平均利用率应在85-95%之间，偶尔可达到100%或70%，IS管理层利用该报告分析和预测当前处理资源的需求趋势，以便及时增减资源。 资产管理报告：连

22、接网络设备的清单，如PC、服务器、路由器、防火墙如果利用率经常超过95%，IS管理部门就应该考虑对用户和应用模式进行审核以求释放空间、升级计算机硬件。如果利用率经常低于85%，就有必要确认硬件是否已经超出了处理需求。3.4. 能力管理能力管理师对计算机资源的计划和监控，其目标是根据总体业务的增长或减少动态地增减资源，以确保可用资源的有效利用。能力计划应有用户和IS管理部门共同参与完成，并每年进行审核和修改。能力计划应包含被以往经验所证实的预测，并同时考虑现有业务的潜在增长和未来业务的扩充，重点应考虑： CPU的利用 计算机存储设备的利用率 远程通讯和广域网带宽的利用率 I/O通道的利用率 用户

23、的数目 新技术 新的应用系统 服务水平协议4. 信息系统结构和软件计算机具有层次型体系结构，其最底层是计算机硬件，包括默写硬编码和指令。上一层是和操作系统基本处理相关的内核功能，包括： 中断处理 进程建立/撤销 进程状态转换 分派 进程同步 进程间通讯 输入/输出处理 内存分配/回收内核之上是操作系统的各种系统进程（系统软件），为计算机开发的各种软件必须与操作系统兼容。4.1. 操作系统4.2. 数据库管理系统P250DBMS是帮助应用程序组织、控制和使用数据的系统软件，它提供了一种能建立和维护组织良好的数据的手段。主要功能包括减少数据冗余、缩短访问时间、和建立对敏感数据的基本安全措施。DBM

24、S包含一个数据字典。DBMS能够在以下级别上控制用户对数据的访问。 用户和数据库 程序和数据库 交易和数据库 用户和交易 用户和数据字段4.2.1. DBMS结构定义一个数据库所需的数据元素称为元数据，包括哪些定义逻辑和物理字段、数据关系、查询等元素所需的数据。元素局三种类型： 概念模式元数据 外部模式元数据 内部模式元数据4.2.2. 详细的DBMS元数据结构在内阁层次中，各自包含有用于建立模式表示的数据定义语言DDL，以便解释和响应用户的请求，外部模式通常会提供多种DDL，用于和DBMS兼容的若干种应用编程语言。概念层提供外部和内部模式之间的映射，使得外部模式和内部模式是位置无关的。4.2

25、.3. 数据字典/目录结构DD/ DS数据字典和目录系统用于存储外部模式、概念、内部模式及相关映射的数据定义，包括源和目标两种形式，数据字典包含数据库中所有存储数据项索引和描述，而目录则指出数据的位置及存取方法。DD/DS提供如下功能： 一个数据定义语言处理器，允许DBA建立或修改外部模式和概念模式之间的映射 定义的合法性检查，以确保元数据的完整性 防止对元数据的非授权访问和操纵 允许DBA查询数据定义的询问和报告工具4.2.4. 数据库结构 层次数据库模型以一种“父子”关系来组织数据。 网状数据库模型基本的数据模型构造的集合，集合包括一个属主记录类型、一个成员记录类型和一个名称。成员记录类型

26、可以在多个集合中存在，因此允许存在多个属主关系。一个属主记录类型可以是另一个集合的属主或成员。通常一个集合定义一个1：N关系，不支持高级查询，用户程序必须通过操纵数据结构来获得数据。 关系数据库模型基于集合理论和关系运算的数据模型，关系数据库允许定义数据结构、存储/检索操作和完整性约束。在关系数据库中，数据及其关系用各种表来表示，表是行的集合，也称为元组，表中每个元组包含相同的列，列也称为域或属性，元组等同于传统文件结构中的记录，而列这对应域4.2.5. 数据库控制保证数据库的完整性和可用性十分重要，主要控制有： 建立明确的标准并严密监控其符合性； 建立并实现数据库备份和恢复程序以确保数据库的

27、可用性； 为数据项、表和文件建立不同层次的访问控制、防止偶然的或非授权的访问 建立控制以保证只有授权用户能够修改数据库 建立控制以处理并发访问问题，如多个用户同时修改数据库 建立控制以保证数据库中各数据元素及其相互关系的准确、完整和一致。应将这些控制直接附加到表/列定义上，使得对任何操作数据库的上层工具/应用都起作用。 在作业流的结合点上设置检查点，尽量减少故障恢复时需重复的工作量 执行数据库重组，以减少无效的磁盘空间并验证数据间的关系。 在对数据库进行逻辑的、物理的或过程的改动时，应遵循相应的重构流程。 利用数据库性能监控工具来监控和维护数据库的效率 尽量不使用能旁路安全控制方式来访问数据库

28、。4.3. 磁带和磁盘管理系统P255自动化磁带管理系统TMS或磁盘管理系统DMS是一种特殊的系统软件，用来追踪和列表显示数据中心所需的磁带/盘资源。系统中包含了数据集的名称、磁带卷或磁盘驱动器的位置、建立日期、有效日期、保存周期、失效日期及内容信息。4.4. 存储架构DAS：直接访问存储直连JBOD（硬盘柜）或磁盘阵列NAS：网络附加存储 IP架构存储：服务器使用GE卡和千兆交换机连接到NAS设备； NAS磁阵内置文件系统，想服务器提供文件及的共享； 通过NFS协议支持所有UNIXLINUX主机系统 通过CIFS协议支持windows系统 可以实现异构系统（UNIXLINUX、windows

29、）之间的文件共享 系统扩展只需要通过增加文件共享mount点就可以进行SAN：存储区域网络 与局域网分离的专用网络，连接性与局域网无关 Fibre channel或者iscsi之类的高速接口，也叫FC SAN或IP SAN 服务器上安装SAN共享文件系统，实现对阵列上所有数据的共享 在服务器的后台以数据块blocks的方式进行操作 是否支持异构系统受限于共享文件系统。4.5. 实用程序（系统工具）实用程序指正常运行期间常用的维护性和常规性系统软件。4.6. 软件许可当前，越来越多的关键业务应用运行在PC和客户机/服务器平台上，这大大增加了侵犯软件版权的可能性，为预防或检测对软件版权的侵犯，is

30、审计师应该： 审核用于防范非授权使用和拷贝软件的策略和程序文件。 获取所有软件合同的拷贝 审核所有标准的、已用的和许可的应用及系统软件列表。 使用专门的工具如microsoft SMS、system center或者peregrine审阅已经安装的软件。预防侵犯软件许可的其他选择： 对软件安装的几种控制和自动分发，包括取消用户安装软件的能力； 要求所有PC均是无盘工作站，并指通过LAN来访问应用； 在LAN中安装计量软件，并要求所有PC通过该软件来访问应用 定期扫描PC，确保PC中没有安装非授权的软件拷贝。“盘”指的是硬盘。 无盘工作站的原理就是在网内有一个系统服务器，这台系统服务器上除了有它本身运行所需的操作系统外还需要有一个工作站运行所需的操作系统。无盘工作站的机箱中没有硬盘，其它硬件都有（如主板、内存等），而且无盘工作站的网卡必须带有可引导芯片（一般网卡没有，可引导芯片可以买到）。在无盘工作站启动时网卡上的可引导芯片从系统服务器中取回所需数据供用户使用。 简单点一句话就是，无盘工作站其实就是把硬盘和主机分离，无盘工作站只执行操作不执行存储。4.7. 数据权限管理DRM主要指硬件厂商、发行者、版权所有者或个人使用访问控制技术来对数字内容和