5.

C.电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品.对于电子证据,取证工作主要围绕两方面进行:证据的获取和证据的分析

12.千年虫引起的是国内灾难备份恢复的工作 ，不是应急。

9.增量备份自上一次备份（包含完全备份、差异备份、增量备份）之后有变化的数据。

编制应急响应预案并非对所有单位的强制要求。P150。

1，计算机取证围绕两方面进行：证据的获取、证据的分析。

取证5个阶段：准备、保护、提取、分析、提交

2，应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。

应急响应分为6个阶段：准备、监测、遏制、根除、恢复、跟踪总结

确定重要资产和风险，实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤。

遇到遏制可能会因为事件类型和级别不同而完全不通。常见的遏制措施有：关闭相关系统、拔掉网线等。

3，rto 恢复时间目标，rpo 恢复点目标  都可以为0.

rpo=0,相当于没有任何数据丢失，但需要进行业务恢复处理，修复数据丢失

4，依据信息系统的重要成都对信息系统进行划分：一般信息系统、重要信息系统、特别重要信息系统。

信息安全事件分为4个级别：一般事件、较大事件、重大事件、特别重大事件。

oa系统存在漏洞被上传木马被那个删除系统中的数据-有害程序事件较大事件

5，灾难恢复能里分为6个等级。

数据备份按照数据类型划分：操作系统数据备份、用户数据备份。

6，应急响应工作的起源和相关机构的程立和1988年11月发生的莫斯科蠕虫病毒事件有关。

2000年千年虫引起国内灾难备份恢复工作

7，备份技术比较：

完全备份（备份耗时高，恢复事件短）

增量备份（没有重复的数据，恢复事件较长）

差异备份（备份时间短，恢复时间短）

恢复速度由快到慢：完全备份、差异备份、增量备份

8，信息安全事件分为7个类别：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件

1、应急响应：准备，检测，遏制，根除，恢复，跟踪总结。

         主要在事前和事后两个部分。没有事中。

2、事件级别：特别重大事件（1级），重大事件（2级），较大事件（3级），一般事件（4级）。

七类：有害程序事件，网络攻击事件，信息破坏事件，信息内容安全事件，设备实施故障，灾害性事件，其他信息安全事件

3、计算机取证：准备，保护，提取，分析，提交。

4、信息三要素：重要成都，系统损失，社会影响。

      信息分类：特别重要信息，重要信息，一般信息。

5、恢复备份：完全备份，差异备份，增量备份（快到慢）

     备份速度：增量备份，差异备份，完全备份（快到慢）

6、计划步骤：确定业务关键，确定支持关键功能的资源和系统，估计潜在的灾难事件，指定计划策略，实施策略，测试和修订计划。

7、应急响应专家 --应急响应技术保障小组--应急响应实施小组--应急响应日常运维小组。

8、

当标注该信息系统法人RPO（恢复点目标）指标为3小时，这意味着若信息系统发生重大信息安全事件，工作人员在完成处置和灾难恢复工作后，系统至多能丢失3小时的业务数据。

家人们这两题，这两张图片哪一个答案才是正确的

1、信息安全事件的分类方法有：

有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他信息安全事件

2、系统被攻击者上传了木马病毒并删除了系统中的数据属于：

有害程序事件较大事件（III）

3、应急响应分为6个阶段：

准备、检测、遏制、根除、恢复、跟踪总结

应急响应的六个阶段：准备、检测、遏制、根除、恢复、跟踪总结

《信息安全事件分类分级指南》共分为7个类别：

1.有害程序事件：病毒、蠕虫、木马等。

2.网络攻击事件：DOS、后门攻击、扫描、钓鱼等。

3.信息破坏事件：信息被篡改、假冒、窃取等。

4.信息内容安全事件：危害国家安全、社会稳定等。

5.设备设施故障：软硬件自身故障和人为非技术破坏等。

6.灾害性事件：自然灾害、战争等

7.其他信息安全事件：不能归为以上6个级别的事件。

我们信息安全事件分级方法：

1.特别重大事件：特别重大事件指的是特别重要的信息系统造成特别严重的系统损失的事件。

产生特别重大的社会影响

2.重大事件：会使特别重要的信息系统造成严重的系统损失；或重要信息系统造成特别严重的系统损失。

产生重大的社会影响

3.较大事件：会使特别重要信息系统遭受较大的系统损失；或重要信息系统遭受严重的系统损失；或一般信息系统遭受特别严重的系统损失

产生较大的社会影响

4.一般事件：特别重要信息系统遭受较小的系统损失，或重要信息系统遭受较大的系统损失；或一般信息系统遭受严重以下级别的系统损失。

产生一般社会影响

RPO（恢复点目标）：代表灾难发生时允许丢失的数据量。

RPO=0，表示不允许丢失数据。数据实时备份能够实现。

RTO（恢复时间目标）：代表了企业能够容忍的信息系统和业务功能恢复的时间。

RTO=0，表示发生灾难时能够瞬间恢复，双活容灾可以实现业务零中断。

应急响应的6个步骤：

准备、检测、遏制、根除、恢复、跟踪总结

根除指的是找到根因并消除，除此之外采用的措施为遏制。

计算机取证的6个阶段：准备、保护、提取、分析、提交。

增量备份：备份自上一次备份后有变化的数据。

差分备份：每次备份的数据是上一次全备份之后新增加或者修改过的数据。

6个灾难恢复等级：

（1）基本支持

（2）备用场地支持

（3）电子传输和部分设备支持

（4）电子传输和完整设备支持

（5）实时数据传输及完整设备支持

（6）数据零丢失和远程集群支持

1、灾难恢复能力等级为6个

第1级 基本支持 

第2级 备用场地支持 

第3级 电子传输和部分设备支持 

第4级 电子传输及完整设备支持 

第5级 实时数据传输及完整设备支持 

第6级 数据零丢失和远程集群支持 

1、重要信息系统遭受单次的有害程序感染

2、RTO允许中断多少时间；RPO允许丢失多少时间数据

3、事件发生前做好准备以及事件发生后采取的响应措施

4、准备，检测，遏制，根除，恢复，跟踪总结

5、证据的获取和证据的分析

6、一定能的说法是错误的

7、可以要求既不允许中断，也不允许丢失

8、应该是“较大重要”

9、见解析

10、六个阶段错误，应该是PDCERF

11、检测阶段要求对情况进行综合判断；关闭所有系统一看就是错误

12、起步最早不可能

13、完全关闭错误

14、PDCERF

15、见解析

16、https://wenku.baidu.com/view/e8ffa0c50a75f46527d3240c844769eae009a3c5.html?_wkts_=1667544983030&bdQuery=%E6%9C%89%E5%AE%B3%E7%A8%8B%E5%BA%8F%E4%BA%8B%E4%BB%B6%2C%E8%BE%83%E5%A4%A7%E4%BA%8B%E4%BB%B6

17、RPO值允许丢失的时间数据

18、必须要有

19、重要信息系统遭受单次的有害程序感染

21、事件发生前做好准备以及事件发生后采取的响应措施

22、特别严重，Ⅰ级

23、计划编制步骤

24、是从右往左，同时要熟悉各小组主要职责

25、PDCERF