藍隊防禦視角 (Blue Team Perspective)
在網路防禦中,可用性 (Availability) 是 CIA 三角中的關鍵一環。無論是面對勒索軟體 (Ransomware) 攻擊、硬體故障還是自然災害,網路防禦者 (Network Defender) 必須確保組織能在可接受的時間內恢復運作。
本模組重點在於:備份策略 (Backup Strategies)、災難復原 (Disaster Recovery) 以及 業務連續性規劃 (BCP)。這不僅是 IT 任務,更是遵循 NIST CSF (Recover Function) 與 GDPR 等法規的必要措施。
01. 備份策略 (Backup Strategies)
選擇正確的備份類型以平衡「儲存成本」與「復原時間 (RTO)」。
- 完全備份 (Full Backup): 備份所有選定的資料。復原最快,但備份最慢、佔空間最大。
- 增量備份 (Incremental Backup): 僅備份自「上一次任何備份」後變更的資料。備份最快,但復原最慢 (需回放 Full + 所有 Incremental)。
- 差異備份 (Differential Backup): 僅備份自「上一次完全備份」後變更的資料。復原速度中等 (需 Full + 最新 Differential)。
- 3-2-1 規則: 3 份副本,2 種不同介質,1 份異地存放 (Off-site)。
02. 磁碟陣列容錯 (RAID)
RAID 提供硬體級別的可用性,但不是備份。
| Level | 描述 | 容錯能力 |
|---|---|---|
| RAID 0 | Striping (條帶化) | 無 (任一壞即全毀) |
| RAID 1 | Mirroring (鏡像) | 極高 (1/2 磁碟失效) |
| RAID 5 | Parity (同位元檢查) | 容許 1 顆壞 |
| RAID 10 | RAID 1 + RAID 0 | 高效能與高容錯 |
03. 災難復原站點 (DR Sites)
當主機房完全癱瘓時的備援方案。
- 熱站 (Hot Site): 設備齊全,資料即時同步。RTO 極短 (數分鐘至數小時),成本最高。
- 溫站 (Warm Site): 有硬體設備與網路,但資料不是最新的 (需從備份還原)。RTO 約數天。
- 冷站 (Cold Site): 僅有電力與空間,無設備。成本最低,RTO 最長 (數週)。
04. 關鍵指標 (Key Metrics)
業務影響分析 (BIA) 產出的核心指標。
- RPO (Recovery Point Objective): 容許遺失多少資料?(決定備份頻率)。例如:RPO=4小時,代表最多損失4小時的資料。
- RTO (Recovery Time Objective): 容許系統當機多久?(決定DR方案)。例如:RTO=2小時,代表必須在2小時內恢復服務。
- MTD (Maximum Tolerable Downtime): 組織能忍受的最大停機極限。RTO 必須小於 MTD。
05. 標準與法規 (Standards)
防禦者需依據框架制定計畫。
- NIST SP 800-34: 聯邦資訊系統應變計畫指南 (Contingency Planning)。
- ISO 22301: 業務連續性管理系統 (BCMS) 國際標準。
- GDPR / HIPAA: 強制要求資料可用性與復原能力的測試。
TACTICAL SIMULATION EXAM
EC-COUNCIL CND 模擬試題
請選擇最佳的防禦策略或解釋。