01CISP-20-灾难恢复和业务连续性管理

灾难恢复和业务连续性管理中国信息安全测评中心CISP-20-灾难恢复和业务连续性管理灾难恢复和业务连续性管理2008年11月目录目录一．历史和背景一．历史和背景二．业务持续性和灾难恢复管理基础三．灾难恢复预案管理灾难恢复相关技术ƒ灾难恢复相关技术一、历史和背景背景信息安全管理技术背景：信息安全管理技术风险管理基本概念风险评估定量/定性风险评估风险评估工具和方法风险评估工具和方法BCP&DRP概念和背景信息安全管理信息安全管理技术业务持续性和灾难恢复业务持续性计划编制和内容业务持续性计划的技术和管理应急响应背景和组织应急响应知识类知识体知识域知识子域应急响应流程应急响应知识类知识体知识域知识子域业务持续性的重要性业务持续性的重要性““在经历过灾难的企业中，在经历过灾难的企业中，每每55家家中有中有22家家在在55年内年内在经历过灾难的企业中，在经历过灾难的企业中，每每55家家中有中有22家家在在55年内年内会完全退出市场。当且仅当企业在灾难前或灾会完全退出市场。当且仅当企业在灾难前或灾难后采取了必要的措施后，企业可以改变这种难后采取了必要的措施后，企业可以改变这种难后采取了必要的措施后，企业可以改变这种难后采取了必要的措施后，企业可以改变这种状况。业务持续性计划和灾难恢复计划服务将状况。业务持续性计划和灾难恢复计划服务将确保确保持续持续的的生存性”生存性”确保确保持续持续的的生存性”生存性”GartnerDisasterRecoveryPlansandSystemsAreEssentialbyGartner,DisasterRecoveryPlansandSystemsAreEssential,byRobertaWitty,DonnaScott,12September2001.……所有公司中，50-60%没有可以用于工作的灾难恢复计划威胁威胁自然灾害人员误操作安全事件第三方：供应商/合作伙伴等的联系最近造成业务中断的几个实例最近造成业务中断的几个实例事件时间影响事件时间影响1新奥尔良飓风2005人员疏散，业务中断2伦敦地铁爆炸2005交通中断，通信中断，信心丧失2伦敦地铁爆炸2005交通中断，通信中断，信心丧失3万事达信用卡泄露20054千万持卡人资金受威胁，信心丧失4印尼海啸200420万人死伤，业务停顿，信心丧失4印尼海啸200420万人死伤，业务停顿，信心丧失5美国东北部大停电2003业务中断6SARs2003隔离政策造成业务停顿，信心丧失6SARs2003隔离政策造成业务停顿，信心丧失7蠕虫攻击美国银行1.3万台ATMs2003银行ATM业务停顿，网络受影响8安然（Enron）丑闻20019“9.11”事件2001损失？损失？间接损失公众声誉新闻直接损失信心直接损失数据丢失、设备损坏人员伤害。。。成本？成本？收入生产力•所影响的员工人数×影响的时间×所增加的小时•直接损失•补偿的费用•失去的将来的收入×所增加的小时费用所影响的声誉失去的将来的收入•投资损失其他费用所影响的声誉•客户•供应商•临时员工•设备租赁其他费用供应商•金融市场•银行业务合作伙伴•加班成本•其他运输费用•差旅费用法律理解每小时每天•业务合作伙伴•...•法律费用•。。。理解每小时，每天。。的宕机成本组织生存的关键因素组织生存的关键因素哪些人关心业务持续性？哪些人关心业务持续性？那些行业需要保障业务的持续性那些行业需要保障业务的持续性银行ƒ银行ƒ交通/民航ƒ医院电力ƒ电力ƒ广播电视广播电视ƒ企业。。。ƒ。。。二、灾难恢复和业务连续性管理基础什么是BCP和DRP什么是BCP和DRPƒBCP（BusinessContinuityPlanning）业务持续性ƒBCP（BusinessContinuityPlanning）业务持续性规划•为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常•为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受的状态，而设计的活动或流程。-国务院信息化办公室《重要信息系统灾难恢复指南》化办公室《重要信息系统灾难恢复指南》ƒDRP（DisasterRecoveryPlanning）灾难恢复规划恢复信息系统处理设施或业务部门恢复运行操作设施所遵循•恢复信息系统处理设施或业务部门恢复运行操作设施所遵循的计划。-CISA复习手册BCP和DRP的关系BCP和DRP的关系ƒBCP过程包含：BCP过程包含：•计划和范围；•业务影响分析；•业务可持续计划开发；业务可持续计划开发；ƒDRP过程包含：•灾难恢复计划步骤；灾难恢复计划步骤；•测试灾难恢复计划；•灾难恢复计划程序；ƒ两者的主要区别：•BCP强调使关键业务经得起意外事件（灾难）的影响强调对于灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取的•DRP强调对于灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取的行为和措施BCP和DRP的关系ƒAbusinesscontinuityEventƒAbusinesscontinuityplanisnotathreeringbinderorotherstaticdocument;it’saITRiskAvoidanceprovencapabilitytorecover.ƒBCPisnotaone-time(hithY2K)NoBusinessProcessesDisasterRecovery(suchaswithY2K)orinfrequenteffort;itis,instead,anongoingprocess.BusinessContinuityPlanningprocess.ƒBCPaddressesmorethatjustcomputersystems(aswithaRiskAvoidanceManualProcessesRecoveryProcessesNormalProcessesDRP).Itsfocusiswiththecontinuityofoperationsforentirebusinessfunctionsbusinessfunctions.其它相关定义其它相关定义ƒ灾难disasterƒ灾难disaster•由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、瘫痪使信息系统支持的业务功能停顿或服务水平不可接受、瘫痪时间达到一定长度的突发性事件，通常导致信息系统需要切换到备用场地运行。业务影响分析（）ƒ业务影响分析（BIA）businessimpactanalysis•分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能影响的过程。业务功能影响的过程。ƒ灾难备份backupfordisasterrecovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设•为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。BCP组成BCP组成恢复策略恢复策略行动优先级行动优先级保障保障应急程序应急程序定期审视和改进定期审视和改进定期审视和改进定期审视和改进队伍及其职责队伍及其职责演练及管理演练及管理有信有信人员培训人员培训文档文档有效的通信有效的通信人员培训人员培训BCP/DRP层次结构只有保证每一层都是安全的，才能保证BCPBCP/DRP层次结构只有保证每层都是安全的，才能保证应用战略规划,，系架构定义，规划与控制业务应用中间件、数据库、服务软件变化配置管理BCP支撑系统管理计算机、路由器，交换机。。。操作系统硬件系统软件物理场地、环境、设施、水、电等计算机、路由器，交换机设施硬件BCMBCMƒƒ程序化管理程序化管理ƒƒ透彻了解业务透彻了解业务透彻了解业务透彻了解业务ƒƒBCMBCM战略战略ƒƒ开发并实施业务持续性规划开发并实施业务持续性规划ƒƒ建立内在的建立内在的BCMBCM企业文化企业文化ƒƒ建立内在的建立内在的BCMBCM企业文化企业文化ƒƒBCMBCM演练、维护和审计演练、维护和审计BCP/BCMBCP/BCMBCM文档ƒBCM范围声明事件ƒ意外事件范围ƒBCM范围声明ƒBCM策略ƒ业务影响分析（BIA）ƒ风险评估意外事件ƒ故障ƒ失败风险评估ƒ风险处置计划ƒBCM战略ƒ适用性声明ƒ风险管理报告ƒ测试结果ƒ自审计结果ƒ资产登记ƒ危机管理计划ƒ业务持续性规划（BCP）ƒ自审计结果ƒ外部审计结果ƒ资产管理/变化管理ƒ。。审查修改BCM汇报结果记录和分析文档化BIA业务影响分析BIA-业务影响分析ƒ目的：ƒ目的：•BIA目的是建立用来帮助理解对业务持续运行有影响的各种意外事件。影响可能是资产方面的，也可能操作方面的。意外事件。影响可能是资产方面的，也可能操作方面的。ƒ目标：危险程度分类每个关键的业务运行单元都需要被标记和•危险程度分类---每个关键的业务运行单元都需要被标记和赋予一个优先权，并且对会造成影响的事件作一个评价停工期评估企业业务运行所能容且维持公司可生存的最大•停工期评估–企业业务运行所能容且维持公司可生存的最大停工时间(MTD-MaximumTolerableTime)。•业务需求关键业务所需要的资源，在BIA阶段必须被标示。•业务需求--关键业务所需要的资源，在BIA阶段必须被标示。对于时间敏感的关键业务，将被分配更多的资源。BCP/DRP的指标恢复点目标-RPO/恢复时间目标-RTO秒分小时日周秒分小时日周恢复点恢复点恢复时间恢复时间ƒRPO－RecoveryPointObjective，恢复点目标•定义：灾难发生后，系统合数据必须恢复到的时间点要求•定义：灾难发生后，系统合数据必须恢复到的时间点要求•代表了当灾难发生时允许丢失的数据量ƒRTO－RecoveryTimeObjective，恢复时间目标•定义：灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。•代表了系统恢复的时间灾难恢复过程（RPO/RTO）灾难恢复过程（RPO/RTO）系统应用数据丢失数据丢失数据恢复业务返回办公场地通知恢复技术能力转移到备用场地关键数据恢复通信恢复点目标RPO恢复通信恢复业务功能数据同步RPO返回办公室设备工作流恢复时间目标-RTOBCP和DRP发展里程碑BCP和DRP发展里程碑Internet和9/11永远地改变了业务持续性计划RTO－恢复时间目标，RecoveryTimeObjectiveRPO－恢复点目标，RecoveryPointObjectiveIT灾难恢复RTO=3天后备站点恢复资产Y2K千年虫+业务持续性RTO24小时9/11+危机管理后备站点恢复IT资产银行等金融行业RTO24小时大量企业危机管+新的处理领域业务恢复Internet/电子商务业务恢复加入业务过程的保护开始开发恢复计划Internet/电子商务和实时组织机构RTO/RPO~0+新的处理领域新的处理领域19901995200020021990199520002002BCP的相关技术和解决方案BCP的相关技术和解决方案BCP量化指标BCP量化指标-业务恢复级别业务恢复级别SHARE78七级业务恢复级别SHARE78：七级业务恢复级别ƒSHARE78定义的七级业务恢复级别ƒSHARE78定义的七级业务恢复级别•1992年会议，自动远程站点恢复工作组基于恢复方式和恢复时间的分级提出七级恢复级时间的分级提出七级恢复级•主要分级原则ƒ备份/恢复的范围ƒ备份/恢复的范围ƒ灾难恢复计划的状态ƒ应用地点与备份地点之间的距离ƒ应用地点与备份地点如何相互连接ƒ数据是怎样在两个地点之间传送的允许有多少数据丢失ƒ允许有多少数据丢失ƒ怎样保证备份地点数据的更新ƒ备份地点可以开始备份工作的能力ƒ备份地点可以开始备份工作的能力SHARE78七级业务恢复级别SHARE78：七级业务恢复级别层次0本地数据的备份和恢复层次1批量存取访问方式备份站点仅有存储及存层次1•备份站点仅有存储及存放空间无处理设备层次2批量存取访问方式＋热备份地点•备份站点还包括硬件和层次2备份站点还包括硬