业务连续性计划课件

CISSPCISSPCISSPCISSP认证考试培训指南认证考试培训指南认证考试培训指南认证考试培训指南n nCBK Domainn nBusiness Continuity Planningn n业务连续性计划业务连续性计划CBK Domain 2005 Aryasec Information Technology Limited业务连续性计划（业务连续性计划（BCP）和灾难恢复计划（）和灾难恢复计划（DRP）涉及到正）涉及到正常业务运作遭遇重大中断时对业务的保持。常业务运作遭遇重大中断时对业务的保持。BCP和和DRP涉及涉及到保护关键业务过程免遭重大系统和网络故障的影响所进行到保护关键业务过程免遭重大系统和网络故障的影响所进行的特定的准备、测试和更新活动。的特定的准备、测试和更新活动。业务影响评估（也被称为业务影响分析）确定严重的计算或业务影响评估（也被称为业务影响分析）确定严重的计算或通讯服务中断对某个业务单位产生影响的程度。这些影响可通讯服务中断对某个业务单位产生影响的程度。这些影响可以是经济的（定量的），使用金钱来衡量损失；也可以是运以是经济的（定量的），使用金钱来衡量损失；也可以是运作的（定性的），使用丧失运作能力的程度来衡量。作的（定性的），使用丧失运作能力的程度来衡量。Common Body of Knowledge study guide本章知识概要本章知识概要2业务连续性计划（BCP）和灾难恢复计划（DRP）涉及到正常业 2005 Aryasec Information Technology Limited内容目录内容目录n nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档构成计划文档构成计划文档构成计划文档构成n nBCPBCP团队构成团队构成团队构成团队构成n nBCPBCP测试和更新测试和更新测试和更新测试和更新3内容目录BCP概述3 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新4BCP概述4 2005 Aryasec Information Technology LimitedBCP概述灾难的定义灾难的定义u 灾难（Disaster）是突发的、导致重大损失的不幸事件，包括：自然的（Natural），如地震（Earthquakes）、洪水（Floods）、强对流天气（Storms）、火山爆发（Volcanic Eruptions）、自然火灾（National Fires）；系统/技术的（System/Technical）,如硬件、软件中断（Outages）、系统/编程错误（Errors）；供应系统（Supply Systems），通讯中断、配电系统（Power Distribution）中断、管道破裂（Burst Pipes）；人为的（Man-Made），爆炸（Explosions）、火灾（Fires）、故意破坏（Purposeful Destruction）、航空器坠毁（Aircraft Crashes）、有害物质泄漏（Hazardous Spills）、化学污染（Chemical Contamination）、有害代码（Malicious Code）政治的（Political），如恐怖袭击（Terrorist Attacks）、骚乱（Riots）、罢工（Strikes）。5BCP概述灾难的定义 灾难（Disaster）是突发的、导 2005 Aryasec Information Technology LimitedBCP概述机构的灾难机构的灾难u 对于机构来说，任何导致机构关键业务功能在一定时间内无法进行的事件都被视为灾难，其特点表现为：计划之外的服务中断；长时间的服务中断；中断无法通过正常的问题管理规程得到解决；中断造成重大损失。u 中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的关键程度，以及中断的时间长短有关。6BCP概述机构的灾难 对于机构来说，任何导致机构关键业务功 2005 Aryasec Information Technology LimitedBCP概述BCP的目的的目的u 业务连续性计划是机构信息系统安全项目的一部分，其目的是在中断事件发生时通过以下措施为机构提供系统的可用性：针对紧急情况采取快速、准确和标准的响应；在既定时间范围内恢复机构的关键功能；减少事件造成的损失；记录明确的恢复规程；提供恢复所需的资源和联络清单；事先对恢复规程进行测试，培训恢复团队；记录关键记录和信息的存储、保护和获取规程；遵循法律、法规和行业规范的要求。7BCP概述BCP的目的 业务连续性计划是机构信息系统安全项 2005 Aryasec Information Technology LimitedBCP概述BCP的制定过程的制定过程u 项目管理和启动（Project Management and Initiation）u 业务影响分析（Business Impact Analysis）u 制定恢复策略（Develop Recovery Strategies）u 编制计划（Plan Design and Development）u 测试、培训和更新（Testing，Training and Update）8BCP概述BCP的制定过程 项目管理和启动（Project 2005 Aryasec Information Technology LimitedBCP概述BCP相关计划之间的关系相关计划之间的关系u 业务连续性计划（Business Continuity Plan，BCP）关注在中断期间和之后维持机构的业务功能，提供重大中断恢复期间维持重要业务运行的规程，和IT相关的仅限于其对业务处理的支持，灾难恢复计划、业务恢复/复原计划和场所紧急计划可以附加在BCP之后。业务恢复/复原计划（Business Recovery/Resumption Plan，BRP）涉及到在紧急事件后对业务处理的恢复，提供灾难后立即恢复业务运行的规程，但和BCP不同，它在整个紧急事件或中断过程中缺乏确保关键处理连续性的规程。BRP的制定应该与灾难恢复计划和BCP进行协调。BRP应该附加在BCP之后。9BCP概述BCP相关计划之间的关系 业务连续性计划（Bus 2005 Aryasec Information Technology LimitedBCP概述BCP相关计划之间的关系相关计划之间的关系（续（续1）u 操作连续性计划（Continuity of Operations Plan，COOP）关注位于机构（通常是总部单位）备用站点的关键功能，以及这些功能在回到正常操作状态之前最多30天的运行。由于COOP涉及到总部级的问题，它和BCP是互相独立制定和执行的。COOP强调机构在备用站点恢复运行能力，所以计划不一定需要包括IT运行。另外，它不涉及到无需重新配置到备用站点的小型危害。COOP可以将BCP、BRP和灾难恢复计划做为附录。支持连续性计划IT应急计划（Continuity of Support Plan/IT Contingency Plan）支持连续性计划和IT应急计划是同义词，每一个重要的应用和通用支持系统都要制定IT应急计划，在机构的BCP中可能会维护多个应急计划。10BCP概述BCP相关计划之间的关系（续1）操作连续性计划 2005 Aryasec Information Technology LimitedBCP概述BCP相关计划之间的关系相关计划之间的关系（续（续2）u 危机通信计划（Crisis Communications Plan）机构应该在灾难之前做好其内部和外部通信规程的准备工作。危机通信计划通常由负责公共联络的机构制定。危机通信计划规程应该和所有其它计划协调以确保只有受到批准的内容公之于众。计划规程应该做为附录包含在BCP中。通信计划通常指定特定人员做为在灾难反应中回答公众问题的唯一发言人。它还可以包括向个人和公众散发状态报告的规程。计划中包括记者招待会的模板。计算机事件响应计划（Cyber Incident Response Plan）建立处理针对机构IT系统攻击的规程。这些规程被设计用来协助安全人员对有害的计算机事件进行识别、消减并进行恢复，这些事件的例子包括对系统或数据的非法访问、拒绝服务攻击、或对硬件、软件、数据的非法更改（如有害逻辑：病毒、蠕虫或木马等）。本计划可以包含在BCP的附录中。11BCP概述BCP相关计划之间的关系（续2）危机通信计划（2005 Aryasec Information Technology LimitedBCP概述BCP相关计划之间的关系相关计划之间的关系（续（续3）u 灾难恢复计划（Disaster Recovery Plan，DRP）应用于重大的、通常是灾难性的、造成长时间无法访问正常设施的事件。通常，DRP指用于紧急事件后在备用站点恢复目标系统、应用或计算机设施运行的IT计划。DRP的范围可能和IT应急计划重叠，但是DRP的范围比较狭窄，它不涉及到无需重新配置的小型危害。根据机构的需要，可能会有多个DRP附加在BCP之后。场所紧急计划（Occupant Emergency Plan，OEP）在发生有可能对人员的安全健康、环境或财产构成威胁的事件时，为设施中的人员提供反应规程。OEP在设施级制定，与特定的地理位置和建筑结构有关。根据美国总务管理局（GSA）的OEP模板维护GSA所属设施的OEP计划。设施OEP可以附加在BCP之后，但是独立执行。12BCP概述BCP相关计划之间的关系（续3）灾难恢复计划 2005 Aryasec Information Technology LimitedBCP概述BCP相关计划之间的关系相关计划之间的关系图图13BCP概述BCP相关计划之间的关系图13 2005 Aryasec Information Technology LimitedBCP概述BCP与其它项目的关系与其它项目的关系u BCP应该与机构的业务目标一致，是整体业务决策的一部分。u BCP应该是机构安全项目的一部分，并且与安全项目的其它内容相协调。u 在规模较小的机构中，BCP可以是机构安全计划的一部分。在比较大型和复杂的机构中，安全计划中可能会包含BCP的概要，详细的内容在专门的文档中记录。14BCP概述BCP与其它项目的关系 BCP应该与机构的业务目 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新15BCP概述15 2005 Aryasec Information Technology LimitedBCP项目规划BCP项目规划项目规划u BCP项目规划阶段的活动包括：确定BCP需求，可以包括有针对性的风险分析以识别关键系统可能的中断；向管理层推销BCP理念，获得管理层的支持；了解相关法律、法规、行业规范以及机构的业务和技术规划的要求，以确保BCP与其相一致；任命BCP项目负责人，建立BCP团队，包括业务和技术部门的代表；制定项目管理计划书（Work Plan），其中应明确项目范围、目标、方法、责任、任务及其进度；确定收集数据所需的自动化工具；向管理层提交项目规划和状态报告；确定项目进度。16BCP项目规划BCP项目规划 BCP项目规划阶段的活动包括 2005 Aryasec Information Technology LimitedBCP项目规划BCP项目负责人项目负责人u 业务连续性协调人做为BCP项目负责人全面负责项目的规划、准备、培训等各项工作：计划的开发团队与管理层的沟通和联络；有权与计划相关的所有人员进行直接接触和沟通；充分了解中断对机构业务的影响；全面了解机构的需求和运作，有能力平衡机构中相关部门的不同需求；比较容易接触到高级管理层；了解机构的业务方向和高级管理层的意图；有能力影响高级管理层的决策。17BCP项目规划BCP项目负责人 业务连续性协调人做为BCP 2005 Aryasec Information Technology LimitedBCP项目规划BCP项目的关键角色项目的关键角色u 除了高级管理层和项目负责人以外，BCP项目的关键角色还包括：恢复团队（Recovery Teams），在灾难发生时进行评估、恢复、复原等相关工作的多个团队；业务部门代表（Business Unit Representatives），识别机构的关键业务功能，协助恢复策略的选择和制定；危机管理团队（Crisis Management Team），在灾难发生时进行重要决策和组织协调；用户（Users），应了解丧失服务时各自的职责；系统和网络专家（System and Network Experts），提供专业指导和建议；信息安全部门（Information Security Department）法律代表（Legal Representatives）18BCP项目规划BCP项目的关键角色 除了高级管理层和项目负 2005 Aryasec Information Technology LimitedBCP项目规划BCP策略条款策略条款u 对BCP项目的规划最终应该形成业务连续性策略条款，该条款记录BCP的：目的、范围和需求；基本原则和指导方针；职责和责任；关键环节的基本要求；u 策略条款应得到高级管理层的正式批准，并公布成为机构的政策，指导机构业务连续性相关工作。19BCP项目规划BCP策略条款 对BCP项目的规划最终应该形 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新20BCP概述20 2005 Aryasec Information Technology Limited业务影响分析业务影响分析概述业务影响分析概述u 在制定BCP之前必须进行业务影响分析（Business Impact Analysis，BIA），以确定机构关键的业务功能。u BIA包括定量（Quantitative)分析和定性（Qualitative）分析。其中，定量分析以货币的方式得出灾难或中断事件造成的影响；定性分析以划分严重程度的方式得出灾难或中断事件造成的影响。u BIA通过分析得出的数据和信息确定功能的最大允许中断时间（Maximum Tolerable Downtime，MTD），据此可以确定各项功能恢复的优先顺序。u BIA的成败关键在于收集相关数据，数据的来源可以包括各种统计数据、问卷调查和访问相关管理人员等。21业务影响分析业务影响分析概述 在制定BCP之前必须进行业务 2005 Aryasec Information Technology Limited业务影响分析BIA的目的的目的u 协助机构管理者了解潜在中断对机构的影响；u 识别机构的关键功能以及支持这些功能的IT资源；u 协助管理人员识别机构功能支持方面的不足；u 排定IT资源的恢复顺序；u 分析中断的影响，包括损失的利润、增加的运行费用、收入的延期以及对竞争能力和公众信心的打击；u 确定每一项业务功能的恢复窗口（Recovery Windows），如确定机构可以使用手工作业或其它替代方式执行关键功能的时间长度。22业务影响分析BIA的目的 协助机构管理者了解潜在中断对机构 2005 Aryasec Information Technology Limited业务影响分析BIA的过程的过程u 确定信息收集技术；u 选择受访者（Interviewees）；u 定制收集经济和运作影响信息的问卷；u 分析信息；u 确定时间关键（Time-Critical）的业务功能；u 确定最大允许中断时间（Maximum Tolerable Downtime，MTD）；u 基于MTDs排定关键业务功能的恢复顺序；u 准备和提交BIA报告。23业务影响分析BIA的过程 确定信息收集技术；23 2005 Aryasec Information Technology Limited业务影响分析BIA的问卷设计的问卷设计u 机构应根据其企业文化、管理习惯、自身特点设计适合于受访者的BIA问卷，问卷内容可包括：问卷基本信息，如受访者姓名、部门、职位、联络方式、受访时间等；业务功能概况，如名称、规模、运行时间、员工数量、客户数量、重要的时间段、高峰业务量、法规要求、与其它业务或支持系统的关系、以及运行方式及其关键方法、应用程序和网络的简单描述等；业务中断对业务成本或收入的影响，如增加开支租用额外设备或人员等；业务中断对业务运作的影响，如无法对客户提供服务等；业务中断可能承担的法律责任，如合同违约、违反相关规定等；业务中断对声誉的影响，失去客户信任、客户流失等；依赖于哪些技术系统，如硬件、软件、数据、网络等；现有的业务连续性措施、业务应急方法及其成本等。24业务影响分析BIA的问卷设计 机构应根据其企业文化、管理习 2005 Aryasec Information Technology Limited业务影响分析BIA的信息分析的信息分析u 完成信息收集后，应对信息进行整理、归纳和分析，并将相关结果反馈给业务部门进行确认。信息分析应关注以下问题：识别业务活动中最关键的功能，以及支持这些功能的IT资源，并分析这些资源无法获得时对机构的运作和财务的影响；可以使用定性或定量的自动化工具辅助进行信息的整理和分析；识别业务功能之间以及关键IT资源之间的依赖关系；请各业务部门熟悉业务的代表检查和确认信息分析的结果。25业务影响分析BIA的信息分析 完成信息收集后，应对信息进行 2005 Aryasec Information Technology Limited业务影响分析支持资源的确定支持资源的确定u 确定关键功能的所有支持资源（包括非计算机资源）、资源的使用时间段、缺少该资源对功能的影响以及资源之间的依赖关系。u 应该建立应急计划团队来确定资源对关键功能的支持情况，团队应包括：业务组，如业务职能部门的代表等 设施管理组 信息技术管理组 其它组，如财务管理、人事、培训、保安、计算机安全、内部审计、法律和公共关系等。26业务影响分析支持资源的确定 确定关键功能的所有支持资源（包 2005 Aryasec Information Technology Limited业务影响分析支持资源的种类支持资源的种类u 支持关键功能的资源包括：人类资源（Human resources），如操作员、专家、系统用户等。处理能力（Processing capability），如数据中心、备用数据中心、网络、小型机、工作站、个人计算机等。基于计算机的服务（Computer-based services），如语音和数据通信服务、数据库服务、公告服务等。自动化应用和数据（Automated applications and data），计算机设备上运行的各种程序和存储的数据。物理基础设施（Physical infrastructure），如办公室、办公家具、环境控制系统、电力、上下水、邮件服务等。文档和票据（Documents and papers），如合同、票据、计划、规程等文件、文档和资料。27业务影响分析支持资源的种类 支持关键功能的资源包括：27 2005 Aryasec Information Technology Limited业务影响分析紧急情况举例紧急情况举例u BCP/DRP需要考虑的紧急情况多种多样，不同地区、不同性质的机构所侧重考虑的也有所不同，通常需要考虑的包括：电力中断 火灾、洪水、风暴、地震 系统设备和软件故障 丧失基础设施功能（如电信等）测试造成的中断 关键人员缺席 恐怖袭击、爆炸、罢工28业务影响分析紧急情况举例 BCP/DRP需要考虑的紧急情况 2005 Aryasec Information Technology Limited业务影响分析预期潜在紧急情况预期潜在紧急情况u 预期各种可能出现的紧急情况时需要考虑类似下面这些问题：人力资源，人们还能否工作？在罢工事件中关键人员能否工作？是否有人能够替代这些人员？人们能否便捷地抵达备用站点？处理能力，计算机是否损坏？如果部分计算机无法使用应该怎么办？基于计算机的服务，能否进行计算机通信？人们之间如何通信？信息服务是否中断？会中断多长时间？自动化应用和数据，数据的完整性是否遭到损坏？应用程序是否被破坏？应用程序能够在其它平台下运行？物理基础设施，人们是否有地方办公？人们是否有完成工作所需的设备？文档和票据，所需的文件能否找到？找到后还能否使用？29业务影响分析预期潜在紧急情况 预期各种可能出现的紧急情况时 2005 Aryasec Information Technology Limited业务影响分析确定最大允许中断时间确定最大允许中断时间u 业务影响分析（BIA）的核心任务是确定关键业务功能及其支持资源的最大允许中断时间（MTDs），此过程应注意以下问题：必须考虑业务功能之间的依赖关系，支持多个业务功能的资源其关键程度较高；资源需求计划（Resources Requirement Planning）用于确定业务单位在备用站点重建业务功能所需的资源，该计划虽然不是BIA的主要工作，不过有有助于更好地确定关键的IT资源；中断时间超过最大允许中断时间（Maximum Tolerable Downtime，MTD）将造成业务难以恢复，越是关键的功能或资源，MTD应该越短，比如可分为关键（1-4小时）、紧急（24小时）、重要（72小时）、一般（7天）、非必要（30天）；根据MTDs排定关键业务功能及其支持资源的恢复顺序。30业务影响分析确定最大允许中断时间 业务影响分析（BIA）的 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新31BCP概述31 2005 Aryasec Information Technology LimitedBCP策略选择确定防御性控制确定防御性控制u BIA中确定的一些中断影响可以通过遏制、探测和或降低对系统影响的防御性措施予以消减或清除。一些常用措施如下所列：UPS和/或备用发电机 空调系统预留富余容量 火灾、烟感探测器和消防系统 水害探测器和防水措施 紧急断路器 备份和离站存储 最小特权32BCP策略选择确定防御性控制 BIA中确定的一些中断影响可 2005 Aryasec Information Technology LimitedBCP策略选择不同阶段的应急计划策略不同阶段的应急计划策略u 紧急响应（Emergency response）阶段，事件发生初期为保护生命和减少损失所采取的行动。u 恢复（Recovery）阶段，事件发生后为了继续关键功能所采取的行动。u 复原（Resumption）阶段，事件发生后为了恢复到正常运行状态所采取的行动。33BCP策略选择不同阶段的应急计划策略 紧急响应（Emerg 2005 Aryasec Information Technology LimitedBCP策略选择不同层次的恢复策略不同层次的恢复策略u 业务恢复（Business Recovery）确定关键业务功能及其支持资源的恢复顺序；u 设施和供应恢复（Facility and Supply Recovery）确定备用设施的恢复规程，包括确定建筑、场地、安防、环境供电等配套设施、办公设备、家具、用品等；u 用户恢复（User Recovery）确定人工操作规程及其相关的关键记录的管理、人员的通知、交通、饮食、住宿等相关事宜；u 技术恢复（Technical Recovery）确定数据中心和网络的恢复方法；u 数据恢复（Data Recovery）确定关键软件、数据的备份、存储和恢复方法。34BCP策略选择不同层次的恢复策略 业务恢复（Busines 2005 Aryasec Information Technology LimitedBCP策略选择人力资源的应急考虑人力资源的应急考虑u 重大事件发生后，首要问题是保护人的生命。u 平时加强员工培训和制定相关文档有助于事件发生后员工采取有效的应急措施。u 重大事件发生后，员工首先考虑的是保护其家庭和财产而不是进行工作，所以要考虑雇佣额外或临时工作人员的问题。u 雇佣额外或临时工作人员时要考虑到所带来的额外的安全问题。35BCP策略选择人力资源的应急考虑 重大事件发生后，首要问题 2005 Aryasec Information Technology LimitedBCP策略选择设备更换的应急考虑设备更换的应急考虑u 供应商协议，与硬件、软件和支持供应商签订紧急维护服务的SLA。u 设备存货，预先采购所需的设备并将其存储到安全的离站地点。u 现有的兼容设备，现在库存的设备、租用的热站点中使用的设备以及部门中其它机构使用的设备。36BCP策略选择设备更换的应急考虑 供应商协议，与硬件、软件 2005 Aryasec Information Technology LimitedBCP策略选择服务、程序和数据的应急考虑服务、程序和数据的应急考虑u 基于计算机服务的应急考虑：服务水平协议（Service level agreement，SLA），与服务提供商签订的服务协议中应考虑到在紧急情况下提供服务的问题，如将通信路由更改到备用站点、供应商自身的应急计划、紧急情况下的服务优先权等。在发生广泛的灾难时，可以使用无线通信设备，宽带数据通信的应急问题是一个难点。u 应用程序和数据的应急考虑：常规备份和离站（off-site）存储是主要的应急策略。备份频率和备份介质的运输是需要着重考虑的问题。37BCP策略选择服务、程序和数据的应急考虑 基于计算机服务的 2005 Aryasec Information Technology LimitedBCP策略选择网络的应急考虑网络的应急考虑u 双电缆布线和预留额外的数据插座u 关键网络设备的冗余或容错u 冗余的远程通信链路u 冗余网络服务提供商（NSP）u 由NSP或ISP提供冗余u 与NSP或ISP签订的SLA 38BCP策略选择网络的应急考虑 双电缆布线和预留额外的数据插 2005 Aryasec Information Technology LimitedBCP策略选择基础设施和文档的应急考虑基础设施和文档的应急考虑u 基础设施的应急考虑：备用站点和离站存储设施的安全保卫、消防、环境控制以及防范人为和自然灾害等问题。主站点到备用站点的设备和人员运输问题。u 文档和票据的应急考虑：重要的文件、资料包括应急计划本身应该有离站存储，并且在紧急情况发生是能够获得和使用。39BCP策略选择基础设施和文档的应急考虑 基础设施的应急考虑 2005 Aryasec Information Technology LimitedBCP策略选择电源的应急考虑电源的应急考虑u 不间断电源（Uninterrupted Power Supply，UPS）u 双电源，一台主机安装两套电源系统，当主电源出现硬件故障时，第二电源可以继续支持主机。u 双回路，采用双回路电力供应，在主回路出现故障时，第二回路可以继续供电。u 备用发电机，发电机可以直接联线到站点的供电系统并且可以被配置为在探测到供电中断的情况下自动启动。40BCP策略选择电源的应急考虑 不间断电源（Uninterr 2005 Aryasec Information Technology LimitedBCP策略选择BCP策略的技术指标策略的技术指标u 恢复时间目标（Recovery Time Objectives，RTO）在系统的不可用性严重影响到机构之前所允许消耗的最长时间。u 恢复点目标（Recovery Point Objectives，RPO）数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量41BCP策略选择BCP策略的技术指标 恢复时间目标（Reco 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新42BCP概述42 2005 Aryasec Information Technology Limited冗余技术 RAID廉价磁盘冗余阵列廉价磁盘冗余阵列u 廉价磁盘冗余阵列（Redundant Arrays of Inexpensive Disks，RAID）使用三种技术：镜像（Mirroring），系统同时将数据写到两个分离的硬盘驱动器或驱动器阵列。优点是减少停机时间、简化数据恢复和提高从磁盘读取的性能。缺点是磁盘写入较慢。较验（Parity），确定数据是否丢失或被覆盖的技术。优点是无需存储数据拷贝就可以保护数据。条纹（Striping），通过将数据分布到所有的驱动器来提高硬件阵列控制器的性能。条纹可以在字节或数据块级别进行。u RAID的技术可以通过硬件也可以通过软件实现。u 热交换（Hot-Swappable）驱动器，在磁盘驱动器故障时无需关闭系统就可以交换磁盘驱动器。43冗余技术 RAID廉价磁盘冗余阵列 廉价磁盘冗余阵列（2005 Aryasec Information Technology LimitedRAID的新分类的新分类u 防故障磁盘系统（Failure Resistant disk Systems，FRDSs）能够防止因磁盘故障丢失数据；u 容错磁盘系统（Failure Tolerant disk Systems，FTDSs）磁盘系统单一部件故障情况下仍能提供数据访问；u 容灾磁盘系统（Disaster Tolerant disk Systems，FTDSs）包含多套位于不同区域的组件，任何组件都可独立提供存储数据访问；冗余技术 RAID44RAID的新分类 防故障磁盘系统（Failure Resi 2005 Aryasec Information Technology Limited电子跳跃电子跳跃u 电子跳跃（Electronic vaulting）是在主站点通过电子方式向远程站点进行备份或取回备份。u 使用宽带通信链路进行的电子跳跃可以使系统备份更加自动化、减少了人力消耗、节省了时间、提高了效率并降低了成本。u 电子跳跃可以实现交易信息的实时备份，提高了系统的可用性。u 电子跳跃站点的位置可以是机构自己的备份站点，也可以是商业备份站点或互惠站点。冗余技术 远程冗余技术45电子跳跃 电子跳跃（Electronic vaulting 2005 Aryasec Information Technology Limited电子日记电子日记u 电子日记（Remote Journal），将事务（特别是数据库）处理的明细记录通过电子的方式传输到远程设施的存储设备中。u 如果需要对服务器进行恢复，可以通过电子的方式从远程设施中取回所存储的明细记录来恢复交易、应用或数据库数据。u 远程日记可以通过批处理进行也可以使用缓存软件不间断地进行。u 远程日记缩短了恢复时间并且减少了两次传统备份之间服务器遭到损害时的数据损。冗余技术 远程冗余技术46电子日记 电子日记（Remote Journal），将事务 2005 Aryasec Information Technology Limited磁盘复制磁盘复制 同步复制同步复制u 同步复制也被称为镜像复制（Mirroring）u 主服务器的变化被同时添加到复制服务器u RTO可减小到几个小时，RPO可被减少为未提交工作的损失。u 会降低主服务器的性能，带宽要求高u 适用于可用性要求很高的应用。冗余技术 远程冗余技术47磁盘复制 同步复制 同步复制也被称为镜像复制（Mirro 2005 Aryasec Information Technology Limited磁盘复制磁盘复制 异步复制异步复制u 异步复制也被称为投影复制（Shadowing）u 不断地获取主服务器的日志变化并将此变化添加到复制服务器u RTO在数小时和一天之间。RPO是映像服务器接收的最后数据u 对主服务器的性能影响小，带宽要求低u 适用于小带宽长距离的网络冗余技术 远程冗余技术48磁盘复制 异步复制 异步复制也被称为投影复制（Shado 2005 Aryasec Information Technology Limited负载均衡负载均衡u通过负载均衡（Load Balance），流量可以被动态分配到一组运行相同应用程序的多个服务器上。u负载均衡既可以提高整个系统的性能，又可以在服务器出现故障时将该服务器承担的服务分配到运行中的服务器执行。u在不同站点的服务器之间进行的负载均衡还可以在某一站点无法提供服务时将该站点承担的服务分配到运行中的站点执行。冗余技术 远程冗余技术49负载均衡通过负载均衡（Load Balance），流量可以被 2005 Aryasec Information Technology Limited备用设施的类型备用设施的类型u 热站点（Hot Site）u 冷站点（Cold Site）u 温站点（Warm Site）u 移动站点（Mobile Site）u 冗余站点（Redundant site）u 互惠协议（Reciprocal/mutual agreement）u 多处理中心（Multiple Processing Centers）u 服务中心（Service Bureaus）冗余技术 备用站点50备用设施的类型 热站点（Hot Site）冗余技术 备 2005 Aryasec Information Technology Limited热站点和冷站点热站点和冷站点u 热站点，是满足系统需求、规模适当的办公场所，其中配置了所需的基础设施、服务、系统硬件、软件、实时数据和支持人员，通常24小时有人值守。接到应急计划启动通知时只需要进行适当的路由转换和通知就可以提供主站点的关键应用服务。u 冷站点，通常具有充足空间和支持IT系统的基础设施和服务（电源、电信连接和环境控制），站点不包含IT设备并且通常也不包含办公自动化设备如电话、传真机或复印机。冗余技术 备用站点51热站点和冷站点 热站点，是满足系统需求、规模适当的办公场所 2005 Aryasec Information Technology Limited热站点和冷站点（续）热站点和冷站点（续）u 温站点，介于热站点和冷站点之间，依据恢复策略需求和投入限制配置部分IT资源，不包含实时数据，运行主站点应用之前需要进行部分设备或软件安装，数据上载工作。u 移动站点，是内部配置适当电信装备和IT设备的可移动拖车，可以被机动拖放和安置在所需的备用场所，提供关键的应用服务，如电话交换功能等。冗余技术 备用站点52热站点和冷站点（续）温站点，介于热站点和冷站点之间，依据 2005 Aryasec Information Technology Limited冗余站点和互惠协议冗余站点和互惠协议u 冗余站点，也被称为镜像站点，是具有完整和实时信息镜像的完全的冗余设施。镜像站点与主站点在所有的技术层面上都是一致的。由于在主站点和备用站点同时处理和存储数据所以这些站点提供了最高的可用性。u 互惠协议，两个或多个在IT配置和备份技术上相似或相同的机构签订正式协议互相做为对方的备用站点，或者联合租用一个备用站点。因为在发生灾难事件期间，每一个站点必须能够在承担自己的工作负荷之外支持其它站点，所以达成互惠协议时必须谨慎从事。冗余技术 备用站点53冗余站点和互惠协议 冗余站点，也被称为镜像站点，是具有完整 2005 Aryasec Information Technology Limited多处理中心和服务中心多处理中心和服务中心u 多处理中心就是将处理任务分布到一个机构的多个不同的兼容数据处理中心，由这些中心分担处理工作，当某个中心发生灾难时，其它中心可以接替该中心处理的工作。这种方式需要处理中心维护比正常需要高出较多的处理能力，并且要确保各处理中心软件版本和数据的同步；u 服务中心为多个机构提供数据处理服务，可以为客户提供灾难恢复期间的数据处理服务。服务中心如果为用户预留额外的处理能力，其成本也是很高的，所以提供灾难恢复服务的处理中心并不多。冗余技术 备用站点54多处理中心和服务中心 多处理中心就是将处理任务分布到一个机 2005 Aryasec Information Technology Limited备用站点比较备用站点比较冗余技术 备用站点55备用站点比较冗余技术 备用站点55 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新56BCP概述56 2005 Aryasec Information Technology LimitedBCP计划文档应急计划的内容应急计划的内容u 支持信息（SUPPORTING INFORMATION）u 通知启动阶段（NOTIFICATION/ACTIVATION PHASE）u 恢复阶段（RECOVERY PHASE）u 重建阶段（RECONSTITUTION PHASE）u 计划的附录 57BCP计划文档应急计划的内容 支持信息（SUPPORTIN 2005 Aryasec Information Technology LimitedBCP计划文档支持信息的介绍部分支持信息的介绍部分u 目的（Purpose），阐述制定计划的原因和目标。u 适用性（Applicability），作用范围以及与其它计划的关系。u 范围（Scope），设定启用计划的条件。u 参考需求（References/Requirements），描述制定计划的背景和法规需求。u 变化记录（Record of Changes），记录计划的变动情况。58BCP计划文档支持信息的介绍部分 目的（Purpose），2005 Aryasec Information Technology LimitedBCP计划文档支持信息的运行概要部分支持信息的运行概要部分u 系统描述（System Description），对系统的体系结构和功能进行的一般性描述，包括运行环境、物理位置、用户位置以及外部关系如备份规程、安全控制、电信链接等。u 继任序列（Line of Succession），定义负责人缺席的情况下的继任者，计划的最高负责人通常是机构的CIO。u 职责（Responsibilities），表述应急团队的整体结构以及每一个团队具体成员角色和职责。59BCP计划文档支持信息的运行概要部分 系统描述（Syste 2005 Aryasec Information Technology LimitedBCP计划文档通知通知/启动阶段的通知部分启动阶段的通知部分u 应该描述在工作时间和非工作时间通知恢复人员的方法。u 一种通用通知方法是呼叫树（Call Tree）。应该包括主要的和备用的联络方法，应该包括在某个人无法联系上时应该采取的规程。u 通知还应该发给会因为不知情而受到负面影响的外部机构或互联的伙伴系统。u 通知中所传递的信息类型应该在计划中载明。60BCP计划文档通知/启动阶段的通知部分 应该描述在工作时间 2005 Aryasec Information Technology LimitedBCP计划文档通知通知/启动阶段的损害评估部分启动阶段的损害评估部分u 损害评估（Damage Assessment）小组通常是第一个得到事件通知的小组。u 应该在确保人员安全的前提下尽快完成。u 在书面计划无法得到的情况下，具有损害评估职责的人员应该了解和能够执行这些规程。u 损害评估应该涉及到紧急情况的原因、损失情况、影响范围、物理结构现状、IT设备的功能状态（可用、部分可用、完全丧失）、需更换的项目、预计恢复所需的时间等。u 一旦系统的影响被确定，就应该将最新信息和对此情况的响应计划通知给适当的团队。61BCP计划文档通知/启动阶段的损害评估部分 损害评估（Da 2005 Aryasec Information Technology LimitedBCP计划文档通知通知/启动阶段的计划启动部分启动阶段的计划启动部分u 只有当损害评估的结果显示一个或多个系统启动条件被满足时，IT应急计划才应被启动（Activation）。u 如果满足启动条件，应急计划协调人或CIO（如果适用）应启动计划。u 启动条件应该在应急计划策略条款中予以说明，可以根据人员安全、设施损失、系统损失、受损系统的关键程度、预计的中断持续时间等确定。62BCP计划文档通知/启动阶段的计划启动部分 只有当损害评估 2005 Aryasec Information Technology LimitedBCP计划文档恢复阶段恢复阶段 u 恢复行动的顺序（Sequence of Recovery Activities）行动的顺序应该反映出系统允许的中断时间，以避免对相关系统及其应用的重大影响。u 恢复规程（Recovery Procedures）恢复规程应该按照直接和逐步的风格书写。为了防止在紧急事件中产生困难或混乱，不能假定或忽略规程的步骤。检查列表的形式有助于撰写顺序的恢复规程和在系统无法正常恢复时解决问题。63BCP计划文档恢复阶段 恢复行动的顺序（Sequence 2005 Aryasec Information Technology LimitedBCP计划文档重建阶段重建阶段 u 恢复原站点 确保充足的基础设施支持，如电源、供水、电信、安全、环境控制、办公设备和用品 安装系统硬件、软件和固件。此行动应该包括与恢复阶段类似的详细恢复规程u 测试系统 测试系统运行以确保完全的功能性 备份应急系统中的运行数据并上载到被恢复系统中u 终止操作关闭应急系统、终止应急操作对应急站点的所有敏感材料加以保护、清除和或重新配置安排恢复人员回到原设施64BCP计划文档重建阶段 恢复原站点64 2005 Aryasec Information Technology LimitedBCP计划文档计划的附录计划的附录 u 应急计划团队成员的联络信息。u 供应商联络信息，包括离站存储和备用站点的POC（Point Of Contact）。u 系统恢复或处理的标准操作规程和检查列表。u 支持系统所需的硬件、软件、固件和其它资源的设备和系统需求清单。每个条目应该包含详细内容，包括型号或版本号、规格说明和数量。u 供应商SLA、与其它机构的互惠协议和其它关键记录。u 备用站点的描述和说明。u BIA报告，包含系统各部分相互关系、风险、优先级别和影响的有价值的信息。BIA应该做为一个附录包含在计划中以便在启动计划时参考。65BCP计划文档计划的附录 应急计划团队成员的联络信息。6 2005 Aryasec Information Technology Limitedn nBCPBCP概述概述概述概述n nBCPBCP项目规划项目规划项目规划项目规划n n业务影响分析业务影响分析业务影响分析业务影响分析n nBCPBCP策略选择策略选择策略选择策略选择n n冗余技术冗余技术冗余技术冗余技术n nBCPBCP计划文档计划文档计划文档计划文档n nBCPBCP团队团队团队团队n nBCPBCP测试和更新测试和更新测试和更新测试和更新66BCP概述66 2005 Aryasec Information Technology LimitedBCP团队BCP团队组成团队组成u 应该指定适当的团队来执行所选择的应急计划策略。除了计划的总协调人以外还可能包括：高级管理人员 管理小组 损害评估小组 操作系统管理小组 系统软件小组 服务器恢复小组（如客户服务器、Web服务器）LAN/WAN恢复小组 数据库恢复小组 网络运行恢复小组 应用程序恢复小组67BCP团队BCP团队组成 应该指定适当的团队来执行所选择的 2005 Aryasec Information Technology LimitedBCP团队BCP团队组成（续团队组成（续1）电信恢复小组 硬件拯救小组 备用站点恢复协调小组 原站点恢复拯救协调小组 测试小组 监管支持小组 运输布置小组 媒体公关小组 法律事务小组 物理人员安全小组 采购小组（设备和用品）68BCP团队BCP团队组成（续1）电信恢复小组68 2005 Aryasec Information Technology LimitedBCP团队BCP团队组成（续团队组成（续2）u 应该根据其所具备的技能和知识将人员分配到这些团队中。u 每一个团队都应该得到培训并时刻准备在中断事件发生需要启动计划时展开工作。u 小组应该具有充足的规模以便在某些成员缺席的情况下保持有效性，也可以指定预备小组成员。u 继任序列计划 69BCP团队BCP团队组成（续2）应该根据其所具备的技能和 2005 Aryasec Information Technology LimitedBCP团队BCP团队培训团队培训u 培训是应急团队有效执行应急计划的保证，培训内容应该包括：计划的目的 团队之间的协调与沟通 汇报规程 安全需求 团队特有的处理过程（通知启动、恢复和重建阶段）个人职责（通知启动、恢复和重建阶段）u 培训应该至少一年进行一次，新员工上岗之前应该接受应急计划培训。u 培训最终应该使得他们能够无需实际文档的协助就能够执行相应的恢复规程。70BCP团队BCP团队培训