| 灾难可能在没有任何预警的情况下发生,最好的防御就是做好充分的准备,所以在任何安全系统中,制定业务连贯性计划(Business Continuity Plan,BCP),也叫灾难恢复计划(Disaster Recovery Plan,DRP),是一项重要的措施。
|
|
|
|
|
| 所谓信息系统灾难,是指由于人为或自然的原因,造成信息系统严重故障、瘫痪或其数据严重受损,使信息系统支持的业务功能停顿或服务水平达到不可接受的程度,并持续特定时间的突发性事件。而灾难恢复是指为了将信息系统从灾难造成的不可运行状态恢复到可以接受的状态而设计的活动或流程。相关的灾难备份指为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。
|
|
|
| 灾难备份的目的是确保关键业务持续运行及减少非计划宕机时间。灾难备份与灾难恢复包括数据备份和灾难恢复,是指在发生灾难事故时,能够利用已备份的数据,及时对原系统进行恢复,以保证数据的安全和业务的连续。灾难备份与灾难恢复密不可分,灾难备份是灾难恢复的前提和基础,而灾难恢复是灾难备份的具体应用。灾难恢复的目标和计划决定了所需要采取的灾难备份策略。
|
|
|
|
|
| 按照距离的远近,可以将信息系统灾难备份(可简称灾备)与灾难恢复分为同城灾备与异地灾备。同城灾备的生产中心与灾备中心的距离比较近,比较容易实现数据的同步镜像,保证高度的数据完整性和数据零丢失。同城灾备一般用于防范火灾、建筑物破坏、供电故障、计算机系统及人为破坏引起的灾难。异地灾备主备中心之间的距离较远(一般在100km以上),因此一般采用异步镜像,会有少量的数据丢失。异地灾备不仅可以防范火灾、建筑物破坏等可能遇到的风险隐患,还能够防范战争、地震、水灾等风险。
|
|
|
| 由于同城灾备和异地灾备各有所长,为达到最理想的防灾效果,像银行这样的金融系统,可考虑采用同城和异地各建立一个灾备中心的方式解决。按照所保障的内容可以分为数据级容灾和应用级容灾(灾难备份与恢复系统也称为容灾系统)。数据级容灾系统需要保证用户数据的完整、可靠和安全,提供实时服务的信息系统,用户的服务请求在灾难中会中断。应用级容灾系统却能提供不间断的应用服务,让客户的服务请求能够透明(客户对灾难的发生毫无觉察)地继续运行,保证信息系统提供的服务完整、可靠、安全。因此金融行业应在数据容灾的基础上构建应用级容灾系统,保证业务系统的不间断运行,为用户提供更好的服务。
|
|
|
|
|
| 灾难恢复计划是指通过保护和恢复来确保业务连贯性的流程,下面是关于这个流程的主要观点。
|
|
|
| (1)灾难恢复计划的目的在于当灾难发生后确保业务的运转,信息系统部门和职能经理均需参与制定该计划,应针对每一项职能制定有效的恢复计划。
|
|
|
| (2)制定灾难恢复计划是资产保护的一部分,各级管理人员对其职责范围内的资产进行保护。
|
|
|
| (3)灾难恢复计划的制定首先应关注在全部功能丧失的情况下如何进行恢复。
|
|
|
| (4)对能力进行检验通常会涉及几种假设分析,分析的结果将表明当前应采取何种恢复计划。
|
|
|
| (5)灾难恢复计划中必须标明所有的关键应用及其恢复规程,灾难恢复计划应是书面的,从而使其能够在发生灾难时具有效力,而不仅仅是为了满足审计人员的要求。
|
|
|
| (6)灾难恢复计划应放置在安全的地点;应向所有关键的管理人员发放副本,或者将其放置在局域网上;应定期对计划进行审定。
|
|
|
| (7)制定灾难恢复计划的过程可能是非常复杂的,需要数月时间才能完成,使用专用的软件可以提高计划制定工作的效率。
|
|
|
| 建议在制定灾难恢复计划(DRP)时按照最坏的情况,针对各种可能发生的灾难(如系统故障、黑客攻击、恐怖袭击等)进行测试,并就业务中断可能对技术、信息和人员构成的影响进行分析,找出灾难恢复计划可能存在的缺陷,包括:不全面(可能没有覆盖所有方面)、不充分或效力不足(无法提供补救)、不现实(如没有足够的时间和金钱)、过于细致(浪费时间和成本)、未进行沟通、缺乏明确的流程(没有明确的规定,步骤不清)、未经测试(可能看起来不错,但是实际效果不佳)、未经协调(不是由团队共同制定的,或者没有经过有效的协调)、过时(不适应当前状况)、缺乏关于恢复的思考(没有人进行过认真细致的思考)。
|
|
|
|
|
| 灾难恢复策略一般围绕支持灾难恢复各个等级所需的七个资源要素进行描述,组织应根据灾难恢复目标,按照成本风险平衡原则,确定这些资源要素的获取方式及要求。
|
|
|
|
|
| 灾难备份的主要技术指标有恢复点目标(Recovery Point Object,RPO)和恢复时间目标(Recovery Time Object,RTO)。其中RPO代表灾难发生时丢失的数据量,为尽可能减少数据丢失,需要建立一个远程的数据存储系统,并与生产系统进行数据的镜像备份。RTO代表系统恢复的时间,为减少系统恢复的时间,需要在数据容灾的基础上,在灾备中心建立一套完整的与生产系统匹配的备份应用系统。在灾难发生时,灾难备份中心可以迅速接管业务运行,不仅最大限度地降低数据丢失,还最大限度地减少系统恢复时间,提高业务系统的连续可用性。
|
|
|
| 但是用这两个指标还不能完全反映业务连续性的好坏,于是又有人提出另外两个辅助指标:恢复可靠性指标(Recovery Reliability Object,RRO)与恢复完整性指标(Recovery Integrity Object,RIO)。RRO是指在系统切换或恢复过程中成功的可靠性。如果一个业务连续性系统在10次恢复/切换中会有两次失败,则其可靠性只有80%。虽然成功的恢复/切换可能在几秒内就完成,但不成功的恢复/切换可能需要数小时甚至数天才能修复数据。因此,RTO和RRO结合起来才能衡量业务连续性的控制能力。RIO是指当系统因为逻辑因素出现脱机或数据丢失时,即使系统恢复到最新的时间点,系统仍可能处于逻辑上不正确或者不完整的状态。因此,单独的RIO不能有效衡量业务连续性系统对数据丢失的防范能力。考虑到逻辑因素对业务连续性的巨大影响,引入RIO指标。RIO能够反映系统恢复到某个正确完整的逻辑状态的能力,这对评估业务连续系统的水平非常重要。
|
|
|
|
|
| 按照国际标准,根据数据中心对灾难恢复RPO与RTO要求的不同,信息系统灾难备份与恢复分为七个等级。
|
|
|
| 目前,大多数数据中心只达到2~3级备份,即在每天数据处理完成后,将数据磁带传输到异地保存,同时建立冷备份方式的数据中心。对于国家机关、金融部门等重要信息部门,数据中心的备份级别要求必须达到4级以上。一些特别重要的应用,在灾难发生时要保持业务的连续性,要求达到6级的标准,即建立无数据丢失,灾难发生时能够自动切换的数据中心,这也是未来容灾的发展方向。
|
|
|
|
|
| (1)国际标准:按国际标准SHARE78分成7个容灾等级,第0级为本地冗余备份,第1级为数据介质转移,第2级为应用系统冷备,第3级为数据电子传送,第4级为应用系统温备,第5级为应用系统热备,第6级为数据零丢失。
|
|
|
| (2)国家标准:我国2007年开始实施GB/T20988—2007《信息安全技术信息系统灾难恢复规范》,对灾难恢复能力等级进行了规定,分为六个等级,第1级为基础支持,第2级为备用场地支持,第3级为电子传输和部分设备支持,第4级为电子传输和完整设备支持,第5级为数据实时传输和完整设备支持,第6级为零数据丢失和远程集群支持。每个等级对灾难恢复资源的各个要素进行了明确的规定。
|
|
|
