域7：安全运营 第18章（DRP）和第19章 （Investigation and Ethics）

第七域包括 16、17、18、19 章。

        灾难恢复计划（DRP）是业务连续性计划（BCP）中的一个关键环节，它专注于在灾难发生后迅速恢复关键业务功能和数据，以确保企业能够持续运营。两者共同构成了企业应对突发事件和灾难的完整框架，促进了企业整体风险管理能力的提升。

        而第19章则详细阐述了安全事件响应之后的重要步骤：如何有效地进行调查与取证。这一章节专注于在发生安全事件后，组织应如何系统地收集、分析和记录相关证据，以确定事件的性质、范围和影响，并为后续的处置和预防措施提供有力支持。

第18章、灾难恢复计划

1、 可能威胁组织的常见自然灾难。

包括地震、洪水、暴风雨、火灾、海啸和火山爆发。

2、 可能威胁组织的常见人为灾难。

包括爆炸、电气火灾、恐怖行为、电力中断、其他 公共设施故障、基础设施故障、硬件／软件故障、罢工、盗窃和故意破坏。

3、 常见的恢复设施。

常见的恢复设施包括冷站点、温站点、热站点、移动站点以及多站点。必须理解每种设施的优缺点。

4、 相互援助协议的潜在优点及其没能在当今商业活动中普遍实施的原因。

虽然相互援助协议(MAA)提供了相对廉价的灾难恢复备用站点，但由千它们无法强制实施，因此未能普遍使用。参与 MAA 的组织可能会由于相同的灾难而被迫关闭，并且还会引发保密性问题。

5、 数据库备份技术。

数据库得益于三种备份技术。电子链接用千将数据库备份传输到远程站点，这是批量传输的一部分。远程日志处理则用于更频繁的数据传输。借助远程镜像技术，数据库事务可实时备份站点镜像。

6、 灾难恢复计划中使用的常见过程。

这些计划应采取综合的规划方法，其中应包括如 下考虑因素：初始响应工作、相关人员、团队成员之间的沟通及其与内部和外部实体的沟通、响应工作评估和服务恢复。灾难恢复计划还应包括培训和意识培养工作，以确保人员了解他们的责任和经验教训，从而持续改进计划。

7、 灾难恢复计划测试的种类型和每种测试对正常业务运营的影响。

这种类型是： 通读测试、结构化演练、模拟测试、并行测试和完全中断测试。通读测试完全是纸面上的演 练，而结构化演练涉及项目组会议，两者都不会影响业务运营。模拟测试可能会暂停非关键的业务。并行测试涉及重新部署人员，但不会影响日常运营。完全中断测试涉及关闭主要系统以及将工作转移到恢复设施。

第19章、调查和道德

1、 计算机犯罪的定义。

计算机犯罪是指直接针对或直接涉及计算机的、违反法律或法规的犯罪行为。

2、 计算机犯罪的 6个类别。

这些类别包括：军事和情报攻击、商业攻击、 财务攻击、恐怖攻击、恶意攻击和兴奋攻击。

3、证据收集的重要性。

只要发现事件，就必须开始收集证据并尽可能多地收集与事件相关的信息。证据可在后来的法律行动中使用，或用于确定攻击者的身份证据还有助于确定损失的范围和程度。

4、 电子取证过程。

认为自己将成为诉讼目标的组织有责任在一个被称为电子取证的过程中保护数字证据。电子取证过程包括信息治理、识别、保存、收集、处理、检查、分析、产生和呈现。

5、 调查入侵，以及如何从设备、软件和数据中收集足够的信息。

你必须拒有设备、 软件或数据来进行分析，并将其用作证据。你必须获取证据而不得修改它，也不允许其他人修改它。

6、基本的没收证据的选择方案，并知道每种方案适用的情况。

• • 第一种，拥有证据的人可能会自愿交出证据。
  • 第二种，使用法院传票强迫嫌疑人交出证据。
  • 第三种，执法人员在履行法律允许的职责时可以扣押他直接看到的证据，并且该人员有理由认为此证据可能与犯罪活动有关。
  • 第四种，如果需要没收证据，但不给嫌疑人破坏证据的机会，搜查证最有用。
  • 第五种，在紧急情况下，执法人员可以收集证据。

7、保存调查数据的重要性。

因为事件发生后总会留下一些痕迹，所以除非确保关键的日志文件被保存合理的一段时间，否则将失去有价值的证据。可在适当的地方或档案文件中保留日志文件和系统状态信息。

8、 法庭可采纳的证据的基本要求。

可被采纳的证据必须与案件事实相关，且事实对案件来说必须是必要的，证据必须有作证能力且证据的收集方式应符合法律规定。

9、各种可能在刑事或民事审判中使用的证据。

实物证据由可以被带进法庭的物品组成。书面证据由能够证明事实的书面文件组成。言辞证据包括证人陈述的口头证词和书面证词。

10、安全人员职业道德的重要性。

安全从业者被赋予非常高的权力和责任，以履行其工作职责。这便存在权力滥用的情形。如果没有严格的准则对个人行为进行限制，我们可认为安全从业人员具有不受约束的权力。遵守道德规范有助千确保这种权力不被滥用。安全专业员必须遵守自己组织的道德规范以及(ISC)2 的道德规范。

11、 (ISC)2 的道德规范和 RFC 1087 《道德规范和互联网》。

所有参加 CISSP 考试的人都应该熟悉(ISC)2 的道德规范，因为他们必须签署遵守这一准则的协议。此外，他们还应该熟RFC 1087 的基本要求。