Transcript 11. 第8章
ISP 的職責 CCNA Discovery 4.0 Working at a Small-to-Medium Business or ISP – Chapter 8 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1 課程目標 了解 ISP 安全政策和程序 了解 ISP 在實作安全保護時使用的工具 了解 ISP 的監控和管理 了解 ISP 在維護和復原方面的職責 2 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2 ISP 安全 電腦上任何活動的網際網路連接都有可能讓電腦 成為惡意活動的攻擊目標。電腦病毒、蠕蟲或間 諜軟體等惡意軟體可以附在電子郵件中或從網站 下載 ISP經常需要幫助客戶保護其區域網路和工作站 ,以降低安全風險。 在客戶和 ISP 兩端,都可以採取許多措施來保護 作業系統和系統中儲存的資料,以及電腦系統之 間傳輸的資料 3 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3 ISP 安全 ISP 支援技術人員可以提供的部份安全服務包括 幫助用戶端設定裝置的安全密碼 透過修補程式管理和軟體升級保護應用程式 移除可能形成漏洞的多餘應用程式和服務 確保應用程式和服務僅供有需要的使用者使用 設定桌面防火牆和病毒檢查軟體 對軟體和服務執行安全掃描,確定技術人員必須保護 的安全漏洞 4 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4 最佳安全實務 常用的資料安全功能和程序包括 加密伺服器硬碟中儲存的資料 設定權限,限制對檔案和資料夾的存取 根據使用者帳戶或使用者群組成員資格允許或拒絕存 取 如果允許存取,則根據使用者帳戶或使用者群組成員 資格指定不同的權限等級 在指定存取檔案和資料夾的權限時,最佳安全實 務是遵循最小權限的原則 5 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5 AAA(Authentication, Authorization, Accounting)1/2 驗證、授權和計量 (AAA) 是網路管理者為提高 對攻擊者入侵網路的防範能力而採取的三步式措 施。 驗證 - 要求使用者提供使用者名稱和密碼以鑑別其身 份。驗證資料庫通常儲存在 RADIUS 或 TACACS 伺 服器上。 授權 - 為使用者指定使用特定資源和執行特定工作的 權限。 計量 - 追蹤使用的應用程式及其使用時間 6 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6 AAA (Authentication, Authorization, Accounting)2/2 7 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7 資料加密 (Data encryption) 1/3 預設情況下,透過網路傳送的資料未經保護,是 以純文字傳輸的 未經授權的個人可以在傳輸未受保護的資料時加以攔 截,這樣便可以避開為資料設定的所有檔案系統安全 措施 數位加密是對用戶端與伺服器之間所有傳輸的資 料進行加密的一個過程。許多資料傳輸協定都提 供了使用數位加密的安全版本。在兩台電腦之間 交換機密資訊時,最佳做法是使用安全版本的協 定 8 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8 資料加密 (Data encryption) 2/3 9 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9 資料加密 (Data encryption) 3/3 10 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10 存取清單和連接埠過濾 (1/10) 儘管使用了 AAA 和加密,但 ISP 仍然必須防範 許多不同類型的攻擊。ISP 特別容易遭受阻斷服 務攻擊,因為 ISP 可能會代管擁有許多不同註冊 網域名稱的站台,這些站台可能需要或不需要驗 證 目前有三種主要的阻斷服務攻擊 DoS DDoS DRDoS 11 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11 存取清單和連接埠過濾 (2/10) DoS 標準 DoS (阻斷服務)攻擊是指伺服器或服務受到攻擊而導致 合法使用者無法使用服務。標準 DoS 攻擊的部份範例包括 SYN 氾濫攻擊、ping 氾濫、LAND 攻擊、頻寬消耗攻擊和緩衝區溢出 攻擊。 DDoS DDoS(分散式阻斷服務)攻擊是指使用多台電腦攻擊一個特定 的目標。在 DDoS 攻擊中,攻擊者對多台受到入侵的電腦系統( 通常是網際網路上的電腦系統)擁有存取權,從而可以發動遠端 攻擊。DDoS 攻擊的性質通常與標準 DoS 攻擊的性質相同,但 DDoS 攻擊是同時從多個電腦系統上發出的 12 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12 存取清單和連接埠過濾 (3/10) 13 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13 存取清單和連接埠過濾 (4/10) 14 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14 存取清單和連接埠過濾 (5/10) DRDoS DRDoS(分散反射式阻斷服務)攻擊是指攻擊者傳送 欺騙性或虛假要求到網際網路上的許多電腦系統,並 將要求的來源位址修改為目標電腦系統。接收要求的 電腦系統將會作出回應。當電腦系統回應要求時,所 有這些要求都會導向同一目標電腦系統。攻擊的反射 特性使得攻擊的來源非常難以確認 15 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15 存取清單和連接埠過濾 (6/10) 16 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16 存取清單和連接埠過濾 (7/10) 必須能夠過濾可能損害 ISP 網路或伺服器營 運的網路流量,例如阻斷服務攻擊。為此,可以 利用連接埠過濾和存取清單控制流向伺服器和網 路設備的流量。 ISP 連接埠過濾 連接埠過濾是根據特定的 TCP 或 UDP 連接埠控制通 訊流量。許多伺服器作業系統具有透過連接埠過濾限 制存取的選項。這樣,伺服器既可以提供所需服務, 又可以受到保護。網路路由器和交換器也可以利用連 接埠過濾來控制通訊流量和保護對裝置的存取 17 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17 存取清單和連接埠過濾 (8/10) 18 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18 存取清單和連接埠過濾 (9/10) 存取清單 存取清單用來根據來源和(或)目的 IP 位址確定允許 或拒絕網路上的通訊流量,也可以允許或拒絕所用協 定的來源和(或)目的連接埠上的通訊流量。管理者 在網路裝置(如路由器)上建立存取清單,以控制是 轉送流量還是進行封鎖 19 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19 存取清單和連接埠過濾 (10/10) 20 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20 防火牆 (Fire Wall) 1/4 防火牆是一種網路硬體或軟體,用於定義可以進 出網路特定區域的流量以及處理流量的方式 防火牆使用存取清單來控制允許通過或需要封鎖 的流量,並隨著新功能的開發和新威脅的湧現而 不斷演變 防火牆的功能越多,處理封包所需的時間就越長 21 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21 防火牆 (Fire Wall) 2/4 22 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22 防火牆 (Fire Wall) 3/4 在 ISP 網路或中型企業內,通常在多個層實施防 火牆 來自不受信任網路的流量首先會在邊界路由器上遭遇 封包過濾。允許的流量將透過邊界路由器到達內部防 火牆,並被路由到非軍事區 (DMZ) 用於儲存網際網路使用者可以存取的伺服器。 只有可以存取這些伺服器的流量才可以進入 DMZ DMZ 防火牆還控制著可以進入受保護的區域網路的流量類 型。可以進入內部網路的流量通常是應內部裝置特定 要求而傳送的流量。例如,如果內部裝置向外部伺服 器要求某網頁,防火牆就允許該網頁進入內部網路 23 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23 防火牆 (Fire Wall) 4/4 24 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24 IDS 和 IPS (1/2) IDS(入侵偵測系統)是一種基於軟體或硬體的 解決方案,它被動地監聽網路流量。網路流量並 非直接通過 IDS 裝置,IDS 透過網路介面監控流 量。當它偵測到惡意流量時,就會傳送警報到預 先設定的管理站。 IPS(入侵防禦系統)則是一種主動式實體裝置 或軟體功能。流量從 IPS 的一個介面進入,從另 外一個介面送出。IPS 可檢查網路流量中的實際 封包,並即時允許或拒絕想進入網路的封包 25 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25 IDS 和 IPS (2/2) 26 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26 IDS (Intrusion Detection System) 解決方案在偵測入侵時作被動反應。它們根據網路 流量或電腦活動的特徵碼檢測入侵。它不會阻止起始流 量到達目的地,而是對偵測到的活動作出回應。 IDS 在正常設定下,IDS 在偵測到惡意流量時,可以主動重 新設定網路裝置(例如安全設備或路由器)來封鎖進一 步的惡意流量 最初的惡意流量已經通過網路到達預定目的地,因而無法封鎖。 只有後續的流量才會受到封鎖。因此,IDS 裝置無法阻止某些入 侵。 解決方案經常用在不受信任的網路邊界,並處於防 火牆之外 IDS 27 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27 IPS (Intrusion Prevention System) 與被動式的 IDS 解決方案不同,IPS 解決方案可主動作 出反應,它們可以即時封鎖所有可疑的活動。IPS 幾乎可 以檢查 OSI 模型中第 2 層到第 7 層的整個資料封包 當 IPS 偵測到惡意流量時,可以立即予以封鎖。然後, IPS 會依照設定傳送警報,將入侵的相關資訊通知管理站 。由於 IPS 可以主動防範攻擊,最初及後續的惡意流量 都會受到封鎖。 是一種入侵偵測設備,而非軟體。它通常部署在防火 牆內部 IPS IPS 檢查的封包數量較少,但會檢查整個封包 28 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28 無線安全 (1/6) 無線網路易於實施,但如果設定不正確,便很容 易受到攻擊 無線訊號可以穿透牆壁,因此在企業建築物之外 也可以存取。可以採用以下方法保護無線網路 MAC 位址過濾 WEP WPA WPA2 29 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29 無線安全(2/6) MAC 位址過濾 位址過濾:透過限制 MAC 位址來禁止不必要的 電腦連接到網路。但攻擊者可能會複製 MAC 位址。 因此,在實施 MAC 位址過濾的同時,還應採取其他 安全措施。 MAC WEP WEP(有線等效隱密性):透過加密無線節點之間傳 送的資料來提供資料安全。WEP 使用十六進制 64 位 元、128位元 或 256 位元預先共用金鑰加密資料。但 網際網路上有許多 WEP 破解工具。WEP 應只用於不 支援新版無線安全協定的舊設備 30 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30 無線安全 (3/6) 31 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31 無線安全 (4/6) 32 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32 無線安全 (5/6) WPA 保護存取):是一個較新的無線加密協定 ,它使用增強的加密演算法,稱為臨時金鑰完整協定 (TKIP)。TKIP 為每個用戶端產生一個唯一的金鑰,並 且以設定的時間間隔輪換安全金鑰。WPA 提供相互 驗證的機制,因為用戶端和存取點都有金鑰,所以永 遠不會傳送金鑰。 WPA(Wifi WPA2 保護存取 2):是 WPA 新的改進版本。 WPA2 使用更安全的「進階加密標準」(AES) 加密技 術 WPA2(Wifi ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33 33 無線安全 (6/6) 34 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34 主機安全 主機式防火牆是在主機作業系統上直接執行的軟 體 它幫助主機防範可能穿透所有其他防護層的惡意攻擊 主機式防火牆控制流入和流出網路流量 支援基於電腦 IP 位址和連接埠的過濾,從而在一般連 接埠過濾的基礎上提供額外的保護 主機式防火牆出廠時通常附帶有預先定義的規則 ,會封鎖所有傳入的網路流量 使用者可以新增例外條款到防火牆規則集中,以允許 正確的流入和流出網路流量 35 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35 主機安全 36 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36 主機安全 伺服器利用主機式防火牆來防範各種不同類型的攻擊 和漏洞 ISP 已知的攻擊 - 主機式防火牆根據可以更新的病毒特徵碼或樣式 可被利用的服務 - 主機式防火牆透過禁止對服務所使用連接埠的 存取,保護伺服器上執行的可被利用的服務 蠕蟲和病毒 - 主機式防火牆可以阻止蠕蟲存取伺服器,還可以控 制伺服器產生的流出流量來防止蠕蟲和病毒的傳播 後門和特洛伊木馬 - 主機式防火牆透過限制流出網路存取來阻止 特洛伊木馬傳送訊息,還可以阻止攻擊者連接任何服務 37 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37 主機安全 38 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38 主機安全 39 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39 主機安全 40 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 40 主機安全 41 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41 主機安全 除了主機式防火牆之外,還可以在主機上安裝 Anti-X 軟體 軟體可以幫助電腦系統防範病毒、蠕蟲、 間諜軟體、惡意軟體、網路釣魚甚至垃圾郵件 Anti-X 並非所有 Anti-X 軟體都可防範同樣的威脅。ISP 應經 常檢查 Anti-X 軟體實際上可以防範的威脅,並根據公 司的威脅分析提出建議 42 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42 服務等級協議 和使用者通常簽訂有稱為服務等級協議 (SLA) 的合 約。該合約上清楚地列明雙方的期望和義務。典型的 SLA 包括以下幾部份 ISP 服務說明 費用 追蹤和報告 問題管理 安全性 協議終止 服務中斷時的賠償 可用性、效能和可靠性 43 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43 監控網路鏈路效能 負責監控和檢查裝置的連通性,包括屬於 ISP 的工作設備,以及位於客戶所在地但 ISP 在 SLA 中已經表示同意監控的設備 ISP 監控和設定可以透過直接的控制台連接在頻帶外 執行,也可以使用網路連接在頻帶內執行 在管理可以透過網路存取的伺服器時,頻帶內管理比 頻帶外管理更適合 44 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44 監控網路鏈路效能 45 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45 監控網路鏈路效能 是一種網路管理協定,可讓網路管理者收集有關 網路及對應裝置的資料。SNMP 管理代理軟體通常內嵌 於伺服器、路由器和交換器的作業系統中。 SNMP SNMP 主要包括四部份: 管理站 (Manager) - 裝有 SNMP 管理應用程式的電腦,供管理者 監控和設定網路。 管理代理 (Agent) - SNMP 管理的裝置上安裝的軟體 管理資訊庫 (MIB) - 裝置所保留的其自身與網路效能參數相關的 資料庫。 網路管理協定(SNMP) - 管理站與管理代理之間使用的協定 46 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46 監控網路鏈路效能 47 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47 監控網路鏈路效能 管理站 (Manager) 包含供管理者設定網路裝置的 SNMP 管理應用程 式,還儲存著這些裝置的有關資料 管理站透過輪詢裝置來收集資訊。輪詢是指管理站向代理要求特定資訊 。 代理 (Agent) 的工作是回應輪詢,向管理站報告資訊。當管理站輪詢 代理時,代理將呼叫 MIB 中儲存的統計資料。 代理還可以使用陷阱 (Trap) 設定。陷阱是代理中觸發警報的事件。 代理的特定區域設定了必須保持的閥值或最大值,例如可以存取特 定連接埠的流量。如果超過了閥值,代理就會傳送警報訊息到管理 站。這樣可以避免管理站不斷輪詢網路裝置。 管理站和受管理的裝置透過可以存取裝置的社群 ID(稱為社群字串 )加以識別 48 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48 Syslog Syslog 是記錄系統事件的一項標準 也是一種應用層協定,可讓裝置傳送資訊到管理站上安裝 和執行的 Syslog 精靈 Syslog 系統由 Syslog 伺服器和 Syslog 用戶端組成。 Syslog 伺服器接受和處理來自 Syslog 用戶端的記錄訊息 。用戶端是受監控的裝置。Syslog 用戶端產生記錄訊息 並將其轉送到 Syslog 伺服器 Syslog 記錄訊息通常包含記錄訊息 ID、訊息類型、時間戳(日 期、時間)、傳送訊息的裝置以及訊息文字。根據傳送 Syslog 訊息的網路設備,Syslog 訊息可能還會包含其他 項目 49 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49 Syslog 50 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50 備份媒體 無論故障的原因為何,為客戶代管網站或電子郵件的 ISP 都必須保護 Web 和電子郵件內容並防止其遺失 如果遺失網站中儲存的資料,將可能需要數百甚至數千工時來復 原這些資料。如果在內容復原期間發生停機事故,則造成的業務 損失更是無法估量。 如果 ISP 遺失電子郵件伺服器中儲存的電子郵件,則可 能會對那些依賴電子郵件中的資料的企業造成嚴重影響 。有些企業按照法律要求必須維護所有電子郵件通訊的 記錄,因此不允許遺失電子郵件資料。 資料備份非常重要。IT 專業人員的工作是盡力降低遺失 資料的風險,同時為遺失的任何資料提供快速復原的服 務 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51 51 備份媒體 當 ISP 需要備份其資料時,必須權衡備份解決方案的成 本與效率。備份媒體的選擇可能是一個複雜的過程,因 為影響選擇的因素有很多。 其中的部份因素包括: 資料量 媒體的價格 媒體的效能 媒體的可靠性 離站儲存的便利性 當今市面上有許多類型的備份媒體,包括磁帶媒體、光 儲存媒體、硬碟媒體和固態媒體等 52 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52 備份媒體 53 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53 備份媒體 磁帶媒體 磁帶仍然是最常見的備份媒體類型之一。磁帶容量大,是市場上 最具成本效益的媒體。如果資料量超過了一個磁帶的容量,可以 使用磁帶自動載入器和磁帶庫在備份過程中取代磁帶,使資料根 據需要儲存在多個磁帶上。 磁帶媒體容易發生故障,所以磁帶機需要定期清潔以保持功能。 磁帶有以下幾種類型: 數位資料儲存 (DDS) 數位音訊磁帶 (DAT) 數位線性磁帶 (DLT) 線性開放磁帶 (LTO) 54 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 54 備份媒體 光儲存媒體 光儲存媒體是儲存少量資料的常見選擇。一張 CD 的 儲存容量為 700MB,DVD 的單面雙層光碟最多可以 支援 8.5GB,而每張 HD-DVD 和藍光碟片的容量超過 25GB。ISP 可以使用光儲存媒體將 Web 內容資料傳 送給客戶。客戶也可以使用此媒體將網站內容傳送給 ISP 網站代管站台。帶有內建 CD 或 DVD 磁碟機的電 腦系統可以輕鬆存取光儲存媒體 55 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 55 備份媒體 硬碟媒體 基於硬碟的備份系統因其磁碟機成本低 、容量高而越來越受歡迎。但基於硬碟 的備份系統難以實現離站儲存。大型磁 碟陣列,如直接連接儲存 (DAS)、網路 連線儲存 (NAS) 和儲存區域網路 (SAN) 等,都無法移動 基於硬碟的備份系統通常與磁帶備份系 統結合使用,以利於離站儲存。在分層 備份解決方案中同時使用硬碟和磁帶, 既可以在復原時快速從本地硬碟獲取資 料,又可擁有長期歸檔的解決方案 56 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56 備份媒體 固態媒體 固態儲存是指沒有任何活動部件 的非易失性儲存媒體 固態儲存適合於需要快速儲存和 擷取資料的場合。固態資料儲存 系統的應用包括資料庫加速、高 清晰視訊存取和編輯、資料擷取 和 SANS 57 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57 檔案備份方法 正常(完整)備份 正常(或完整)備份將複製所有選取的檔案,並將每 個檔案標記為已經備份 差異備份 差異備份只複製自上次完整備份後變更過的檔案 增量備份 增量備份只儲存自上次增量備份後建立或變更的檔案 58 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58 檔案備份方法 59 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59 檔案備份方法 60 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60 檔案備份方法 確保備份能成功的一些步驟包括: 抽換媒體 - 許多備份方案都需要每天抽換媒體以維護所備份資料 的歷史記錄 檢視備份日誌 - 幾乎所有備份軟體都會產生備份日誌。這些記錄 可報告備份是否成功,並指明備份失敗的位置 執行試驗性還原 - 要驗證備份資料是否可用以及還原程序是否有 效,還需要定期對資料執行試驗性還原,從而確保備份程序的有 效性。 執行磁碟機維護 - 磁帶機在使用後可能會變髒,並引起機械故障 。請使用指定的清潔磁帶經常清潔磁帶磁碟機。基於硬碟的備份 系統應偶爾進行磁碟重組,以改進系統的整體效能 61 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 61 檔案備份方法 62 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62 災害復原的最佳實務 災害復原計畫是一份綜合文件,說明如何快速還原作業 ,以及在災害發生時或發生後如何保持企業的運作 災害復原計畫的目標是確保企業可以順利適應災害引起 的實體變化和社會變化。災害的範圍很廣,包括影響網 路結構的自然災害和網路本身遇到的惡意攻擊等。 災害復原計畫可包括服務可以遷移到的外部位置、網路 裝置和伺服器的切換、以及備份連接選項等資訊 在制定災害復原計畫時,必須完全瞭解對維護作業極關 鍵的一些服務 63 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63 災害復原的最佳實務 64 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64 災害復原的最佳實務 在設計災害復原計畫時,必須瞭解組織的需求,並獲取 對災害復原計畫的必要支援 具體的規劃步驟包括 弱點評估 - 應分析評估關鍵業務程序及相關應用在常見災害面前 的脆弱性。 風險評估 - 還應該分析災害發生的風險及其給企業帶來的相關影 響和成本 知會管理層 - 應將分析報告提交給高級管理層,獲得他們對災害 復原專案的核准 成立規劃小組 - 應成立一個規劃小組負責管理災害復原政策和計 畫的開發與實作 確定優先順序 - 對於每種災害場景,都要按關鍵工作、重要工作 或次要工作對企業網路、應用程式和系統排定優先順序 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65 65 災害復原的最佳實務 66 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 66 災害復原的最佳實務 建立災害復原計畫的步驟 網路設計復原策略 - 分析網路設計,包括網路設計能否承受重大 災害?支援電子郵件和資料庫服務等應用的外部伺服器的可用性 等 資產目錄和文件記錄 - 應建立一個目錄,其中包括所有地點、裝 置、廠商、使用的服務和連絡人姓名等。驗證在「風險評估」步 驟中作出的成本預估。 驗證 - 建立驗證程序,證明災害復原政策行之有效。進行災害復 原演習,確保計畫能適應最新狀況並且切實可行。 核准與實作 - 取得高級管理層的核准,並且取得實作災害復原計 畫所需的經費。 檢查 - 災害復原計畫實作一年之後,對計畫進行檢查 67 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67 總結 客戶的桌面安全服務包括:建立安全密碼、使用修補程 式和升級保護應用程式、移除不必要的應用程式、對資 源執行安全掃描並設定適當的權限 驗證、授權和計量 (AAA) 是一個分為三步的程序,用於 監控網路存取。它需要一個資料庫記錄使用者憑證、權 限和帳戶統計資料 安全威脅的類型很多,包括 DoS、DDoS、DRDoS 攻擊 等 防火牆是一種網路硬體或軟體,用於定義可以進出網路 各部份的流量 服務等級協議 (SLA) 是服務供應商與服務使用者之間的 協定,清楚列明雙方的期望和義務 68 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68 69 ITE PC v4.0 Chapter 1 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 69