业务持续性计划与灾难恢复计划.ppt

1、业务持续计划与灾难恢复计划内部资料,ISSUE 1.0,Page 1,第六章 业务持续计划与灾难恢复计划1. 概述2.业务持续性计划3. 灾难恢复计划4. 应急响应计划5. 数据备份及实验6. 案例应用及分析,内容介绍,Page 2,1. 概述（1/3）,业务连续性计划 BCP（ Business Continuity Planning ）：是一种策略规划，当灾难发生时致使企业主要业务或服务中断时，业务连续性计划可确保迅速恢复主要业务的正常与持续运作。业务连续性计划不仅包含计算机系统的恢复计划、还包括关键业务的持续运作计划，如恢复组织、人力资源、对外沟通等。灾难恢复计划DRP ( Disast

2、er Recovery Planning )：是对企业的信息系统进行相应的冲击分析及风险分析并将其量化，以确定IT系统面对灾难事故时的预防和恢复策略，开发并制定相应的IT系统恢复计划、管理方法和流程，以减轻灾难对于企业IT系统的不利影响。,Page 3,1. 概述(2/3),BCP和DR包含：准备、测试和对于关键业务保护以及网络服务失效的更新行为。必须理解当主要业务操作规程再以外事件造成中断时所采取的保护行为。,Page 4,1. 概述(3/3),BCP过程包含： 计划和范围的初始化； 业务影响分析； 业务可持续计划开发；DRP过程包含： 灾难恢复计划步骤； 测试灾难恢复计划； 灾难恢复计划程

3、序；两者的主要区别：BCP强调使关键业务经得起不同的意外事件的影响DRP强调对于灾难的预防措施，以及在灾难发生时和灾难发生之后所应采取的行为和措施,Page 5,第六章 业务持续计划与灾难恢复计划1. 概述2.业务持续性计划3. 灾难恢复计划4. 应急响应计划5. 数据备份及实验6. 案例应用及分析,内容介绍,Page 6,2、业务可持续计划Business Continuity Planning,业务可持续计划是为了防止正常业务行为的中断而被建立的计划。当面对由于自然或人为造成的故障或灾难以及由此造成的财产损和正常业务不能正常使用时，BCP主要被设计用来保护关键业务步骤。BCP是最小化对于业

4、务的干扰效果和使业务能恢复正常运行的计划。BCP的目标是：最小化业务中断事件对公司造成的影响。BCP的主要目标：减小财产损失风险和增强公司对于意外事件造成的业务中断的恢复能力。BCP的作用：BCP将帮助企业最小化由于意外事件造成的损失成本和减轻相关的风险。,Page 7,BCP应当检查企业所有关键信息处理步骤,例如：本地和广域网络和网络服务；远程通讯和数据通讯链路；工作站和工作空间；应用、软件和数据；存储媒体和信息记录存放场地；员工职责和生产过程；BCP和DRP处理的优先级别：BCP和DRP的优先考虑的因素是：人,Page 8,造成业务中断的事件,大部分会造成业务中断的事件，在物理安全域中文档

5、都作了详细的描述。这里我们主要考虑的是这样的事件：不是由于自然灾难造成的就是由于人为破坏所造成的，事件发生的实质是对企业业务的持续造成现实的威胁。所有的事件都是已经发生，且不能象运行安全中讨论的采取任何预防性的控制手段来控制。业务持续计划被设计来最小化上述破坏事件造成的损失，同时便于迅速的完全恢复组织的业务运作能力。,Page 9,造成业务中断的事件的简单列表,自然因素造成对业务持续有破坏作用的事件：火灾 、 爆炸 、 危险物质泄漏 、 生化毒素的威胁；地震 、 风暴 、 洪水 、 自然因素造成的火灾；电力系统电力供应中断或其它的系统功能失效；人为因素造成对业务持续有破坏作用的事件：轰炸 、

6、蓄意人为破坏 、 其它有目的的攻击；罢工 、怠工；由于操作人员撤离危险环境造成的功能失效，或其它自然或人为造成的功能失效的情况；通信基础不可用或者与测试相关的过载（包括大部分的管理控制功能失效）,Page 10,BCP的四个主要元素,范围和计划的初始化； 这个阶段标志着BCP过程的开始，它必须限定计划的范围和计划涉及的各项线定因素。业务影响分析(BIA Business Impact Assessment) ； 被用来帮助各业务单元理解紧急事件对于业务造成的影响，这个阶段还包含漏洞分析。业务持续计划发展； 利用BIA信息来发展业务持续计划，这个过程包括计划执行、计划测试、计划运行当中的维护。业

7、务持续计划的批准和执行； 这个阶段包括最终由企业的最高管理者签署，建立全企业对于BCP意识，执行根据变化更新处理步骤的计划维护工作。,Page 11,业 务 影 响 分 析,目 的：BIA目的是建立用来帮助理解对业务持续运行有影响的各种意外事件。影响可能是资金方面的（需要量化），操作方面的（需要定性），漏洞分析也常常是BIA的一部分。目 标： 危险程度分类 -每个关键的业务运行单元都需要被标记和赋予一个优先权，并且对会造成影响的事件作一个评价。“时效是优先处理要考虑的因素” 停工期评估 BIA被用来评价企业业务运行所能容且维持公司可生存的最大停工时间 ( MTD-Maximum Tolerab

8、le Time )，在企业所有业务没有恢复的情况下,多长的时期是企业关键业务所能停顿的。通过BIA可以发现，时间不象我们设想的那么长。 业务需求 - 关键业务所需要的资源，在BIA阶段也必须被标示。对于时间敏感的关键业务，将被分配更多的资源。,Page 12,BIA的四个主要步骤,（一）收集相关的分析资料（二）执行漏洞分析（三）汇总、分析信息（四）将总结写成文档，并且提出建议,Page 13,业 务 持 续 计 划 的 发 展,业务持续计划的发展引用BIA阶段收集的信息来建立恢复战略计划以达到支持关键业务功能的目的。我们使用BIA收集的信息描述出业务持续计划的战略。 这个阶段包含两个主要步骤：

9、 定义业务持续战略； 文档化业务持续战略； 定义业务持续战略 为了定义BCP战略，从BIA收集的信息用来为企业建立持续战略。这是个非常大的任务，许多企业元素必须被包含在持续战略。例如： 计 算 ： 战略需要保护的硬件、软件、通讯线路、应用和数据； 设 备： 战略需要强调的建筑物，计算机和远程的设备； 人 员: 操作员，管理人员，技术支持人员将在持续战略中定义不同的角色； 补给和装备： 文件、forms ，HVAC ,指定的安全设备必需在持续被定义用途； 文档化持续战略 文档化持续战略简单的引用在持续战略定义阶段的文档结果。,Page 14,业务持续计划批准和执行,在最后的阶段BCP被执行。计划

10、必需存在执行的“路标”。执行在这列不仅仅是指执行一个灾难假想和测试计划，并且计划执行还引用下面的步骤：1、 被最高管理人员批准； 明确高级管理人员的职责，（对于计划负有全部的责任），为什么由他批准？（监督、执行、决定）2、 建立全企业的业务持续计划的认知感； 认知感的重要性，组织恢复的能力是由不同独立的部门合作完成的， 计划的认知感强调组织对雇员承担的义务 对于部分计划执行人员进行不要的特殊训练，使他们能完成自己的任务（quality training)模拟训练的好处是能感知BCP过程的兴趣增加和人员承担的义务,Page 15,业务持续计划批准和执行,3 、维护业务执行计划，在需要的情况下更新

11、业务持续计划 BCP经常会变得过时：同DRP计划被很快荒废一样，由于公司重组，计划中的关键业务可能和现实的业务情况不符。最常见的情况是：网络和计算基础的变化，包括硬件、软件和其它组件。可管理的理由是：麻烦的计划不容易被更新（适应新的情况），人员的遗忘或缺乏兴趣，员工轮换岗位，无论何种原因，计划维护技巧将来必需被使用以确保计划维持在可用和最新。重要的两点： 维护过程 保持计划版本的唯一性,Page 16,第六章 业务持续计划与灾难恢复计划1. 概述2.业务持续性计划3. 灾难恢复计划4. 应急响应计划5. 数据备份及实验6. 案例应用及分析,内容介绍,Page 17,2、灾 难 恢 复 计 划D

12、isaster Recovery Planning,灾难恢复计划是一个全面的状态，它包括在事前，事中，和灾难对信息系统资源造成重大损失后所采取的行动。灾难恢复计划是对于紧急事件的应对过程。在中断的情况下提供后备的操作，在事后处理恢复和抢救工作，should an organization experience a substantial loss of processing capability 主要目标：有能力在另外的站点提供关键步骤，并且在一个时间段内恢复主站的正常运行。通过迅速的恢复步骤来最小化企业的损失。 提示：有些公司不需要灾难恢复计划，由于公司的关键业务能够抵挡意外事件的冲击。,P

13、age 18,灾 难 恢 复 计 划,灾难恢复计划的目标和目的：DRP主要目标是提供有组织的果断方式来应对中断时间的发生。DRP的目标是减少危机发生时的混乱和增强组织处理危机的能力。 明显的，在事故发生的现场，组织没有机会从容的建立和执行恢复计划，因此，大量的预先计划和测试将决定组织对于灾难的抵抗能力,Page 19,灾 难 恢 复 计 划,DRP目的很多，但是每一点都非常重要，DRP目的可能包含下列几点：在由于主要的计算机和服务器不可用的情况下保护组织；在由于延迟提供服务的情况下最小化其组织的风险；通过测试和模拟环境来担保可信系统的可靠性；在灾难发生时最小化做出决定的时间；在这里我们主要检查

14、DRP的下列领域DRP的步骤测试DRP灾难恢复程序,Page 20,灾 难 恢 复 计 划,灾难恢复计划步骤 这个阶段包含恢复计划的建立和发展，这和BCP过程有些相似。然而，在BCP中，我们包含了BIA和对于企业维持持续的关键范围和资金生存能力损失尺度标示，在DRP中，我们假设标示性的工作已经完成并且基本原理已经建立。下面的工作是定义我们需要执行的步骤来在实际灾难发生时保护业务。在灾难计划处理阶段将采取如下的步骤：数据处理连续计划Data Processing Continuity Planning 针对灾难的计划和建立拷贝数据的计划数据恢复计划维护Data Recovery Plan Mai

15、ntenance 保持计划的时效性和相关性Http:/www.isc2.org 提供数据恢复计划软件,Page 21,数据处理连续计划,常见的可选的处理类型：Mutual aid agreements 互助协议 Subscription services 定购服务 Multiple center 若干中心 Service bureaus - 服务局（？） Other data center backup alternatives 其它数据可选备份,Page 22,灾难恢复计划维护,由于业务实际情况变更引起与现实情况不符合，因此需要计划更新维护。无论何种原因，灾难恢复技术能在外部使用，以确保计划

16、维持在最新的可用状态，采取的行动: 在工作任务说明中描述灾难恢复计划更新，建立审计过程来报告站点的变化，必须保证没有多个灾难恢复计划存在。目标 ：测试人员对于模拟灾难的响应能力。方法：并行测试 对于恢复计划的完全测试，利用所有的人员来从事这项测试，主要不同于中断测试的地方是不中断正常的生产过程。测试在同正式生产环境并行的条件下进行，测试主要目的是关键业务能在备份站点上运行，系统能重新在备份站点上布置。测试进行后，事物处理结果和其他因素将用来做比较。这是最为通用的测试方法全中断测试 模拟真实灾难发生时对于业务造成中断的情况，停止正常的业务来测试，测试的要点包括紧急服务。这是一种引起人们惊慌的测试

17、。也是最好的测试方式。,Page 23,五种主要的灾难恢复测试类型,Page 24,灾难恢复步骤 Disaster Recovery Procedures,灾难恢复计划的主要元素：灾难恢复小组拯救小组正常运行恢复其它的恢复事项,Page 25,第六章 业务持续计划与灾难恢复计划1. 概述2.业务持续性计划3. 灾难恢复计划4. 应急响应计划5.数据备份及实验6. 案例应用及分析,内容介绍,Page 26,应急响应计划,概况 应急组织 应急预案 应急事件处理流程 应急响应技术与工具,Page 27,概念,应急响应（Incident Response/Emergency Response）通常是指

18、一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害和损失中恢复。计算机及网络攻击应急响应就是针对计算机攻击及网络攻击事件所采取的应急措施。 事件（Incident）的定义：违反安全策略的行为，这里虽说的安全策略可能是明确规定的，也可以是引申出来的。（The act of violating an explicit or implied security policy。）,Page 28,事件种类,完整性受损拒绝服务滥用损害（如病毒毁坏数据）入侵,Page 29,应急响应的提出,计算机安全应急响应的提出：1988年Morris蠕虫席

19、卷全球CERT/CC（Computer Emergence Response TetimCoordination Center,计算机安全应急响应小组协调中心）：负责在日常完成安全保障和紧急情况下的安全应急响应任务的组织其目的是建立一个单一的Internet社区组织，协调Internet上的妥全事件响应FIRST（Forum of Incident Response and SecurityTeams，应急响应和安全团队论坛）：把政府、商业机构和妥全学术组织的安全应急响应团队联合起来组成一个有机的整体目标是在事件预防中培养合作和协调，推动安全事件快速响应同时促进在会员间的大范围信息共享,Pag

20、e 30,应急组织（1/5）,国内国际著名的应急响应组织 1988年的莫里斯蠕虫事件之后的一个星期内，美国国防部资助卡内基梅隆大学（CMU）的软件工程研究所成立了计算机紧急响应组协调中心（CERT/CC），是第一个应急响应组。 中国，1999年在清华大学成立了中国教育和科研网紧急响应组（CCERT），是中国大陆第一个计算机安全应急响应组。建立目标 根据事件的严重程度和影响程度,向用户或相应部门进行报警或通知; 普及安全知识，教育系统管理员，提高用户的安全意识； 提供咨询服务，接受委托帮助参于系统安全配置管理，或者根据请求对系统的安全管理提供建议； 计算机攻击及网络攻击事件的紧急响应，避免、降低

21、危害和损失，以及从危害和损失中恢复； 进一步调查,确定入侵者的真实来源和其他详细信息.,Page 31,应急组织（2/5）,组织结构 应急响应核心组（Emergency Response Core TeamERCT） 安全应急响应小组（SIRT） 安全调查员（SI） 应用所有者（AO） 应用开发人员/管理员（AA） 系统所有者/管理员（SA） 网络管理员（NA） 防火墙管理员（FA） 安全顾问（SC）,Page 32,应急组织（3/5）,基础设施分布式入侵检测系统 认证服务系统 协同事件处理系统 安全资源管理系统（WWW、FTP） 安全通信系统(Mailing List),Page 33,应急

22、组织（4/5）,管理规范应急响应组章程 安全事件处理操作规范 事件汇总报告制度 安全事件的预警与通告 技术交流与培训,Page 34,应急组织（5/5）,职能 事件处理; 安全公告;安全监控;安全评估;安全咨询;安全状况报告;教育培训;安全工具发布; 协作协调;,Page 35,应急预案,应急预案是开展应急响应行动的行动计划和实施指南。 应急响应预案实际上是一个透明和标准化的反应程序,使应急响应活动能按照预先周密的计划和最有效的实施步骤有条不紊地进行。这些计划和步骤是快速响应和有效防护的基本保证。 应急预案，应该有系统完整的设计、标准化的文本文件、行之有效的操作程序和持续改进的运行机制。 按照

23、系统论的思想,应急响应预案是一个开放、复杂和庞大的系统,应急预案的设计和组织实施应遵循体系要素构成和持续改进的指导思想。,Page 36,应急事件处理流程,准备工作 事件认定 控制事态发展 事件消除 事件恢复 事件追踪,Page 37,应急响应技术与工具,漏洞检测技术及相关工具 监听技术及相关工具 日志分析技术及相关工具 路由控制技术及相关工具 反向追踪技术及相关工具,Page 38,应急响应的资源,Incident Response, Electronic Discovery, and Computer Forensics, http:/www.incident-response.orgSe

24、curity Focus, http:/The Federal Computer Incident Response Center (FedCIRC), http:/www.fedcirc.govThe Canadian Office of Critical Infrastructure Protection and Emergency Preparedness, http:/www.ocipep.gc.caIncident Handling Links & Documents (75 links), http:/ SEI: Handbook for Computer Security Inc

25、ident Response Teams, http:/www.sei.cmu.edu/pub/documents/98.reports/pdf/98hb001.pdfCERT/CC: Computer Security Incident Response, http:/www.cert.org/csirts/ CERT/CC: Responding to Intrusions, http:/www.cert.org/security-improvement/modules/m06.html AuCERT: Forming an Incident Response Team, http:/ww

26、w.auscert.org.au/render.html?it=2252&cid=1920 SANS: S.C.O.R.E, http:/www.sans.org/score/,Page 39,第六章 业务持续计划与灾难恢复计划1. 概述2.业务持续性计划3. 灾难恢复计划4. 应急响应计划5. 数据备份及实验6. 案例应用及分析,内容介绍,Page 40,数据备份,数据备份与灾难恢复密不可分，数据备份是灾难恢复的前提和基础，而灾难恢复是在此基础之上的具体应用突难恢复：能够在灾难性事故发生时利用已备份的数据或其他手段，及时对原系统进行恢复，以保证数据的安全性以及业务的持续运转数据备份不仅仅是简

27、单的文件复制，也不等于文件的永久性归档。要求有一种高速、大容量的存储介质将所有的文件（网络系统、应用软件和用户数据）进行全面的复制与管理。,Page 41,个人数据备份,个人数据备份：对个人电脑硬盘中的数据进行备份。特点：对单机数据进行备份、数据连不大无长期保存需求，备份仅仅是为了防止数据丢失无专业数据库应用系统可随时停机手工恢复数据个人电脑中需要备份的数据包括操作系统、应用软件与各种文件。,Page 42,数据备份的类型按照备份的数据量分类（1/3）,完全备份：整个系统全面完整的备份，包括所有应用、操作系统和数据。优点：恢复时间最短操作最方便（使用灾难发生前一天的备份，就可以恢复丢失的数据）

28、最可靠缺点：备份中存在大量重复数据，增加用户成本备份数据量大，耗时太长,Page 43,数据备份的类型按照备份的数据量分类（2/3）,增量备份：只备份上次备份后有变化的数据。优点：备份时间短占用空间较少缺点：系统恢复时间长（如果事故发生，则需要多个备份以恢复整个系统）,Page 44,数据备份的类型按照备份的数据量分类（3/3）,差异备份：对所有上次完全备份后已被修改或添加的文件的存储。优点：系统恢复时间很短缺点：备份时间长占用空间多每个日常差异备份都要比以前的备份大并且速度慢按需备份：根据临时需要有选择的进行数据备份,Page 45,数据备份的类型按照备份状态分类,物理备份：将实际物理数据库

29、又件从一处复制到另一处的备份。冷备份（脱机备份）：以正常方式关闭数据库，并对数据库的所有又件进行备份 。缺点：需要一定的时间来完成，在备份期间，最终用户无法访问数据库；不易做到实时备份 热备份（联机备份）：在数据库打开和用户对数据库进行操作的情况下进行的备份 。逻辑备份：将某个数据库的记录读出并将其写入到一个文件中、这是经常使用的一种备份方式。,Page 46,数据备份的类型按照备份的层次分类,硬件冗余：目前的硬件冗余技术有双机容错、磁盘双工、廉价冗余磁盘阵列（Redundant Array of Inexpeilsive Disks. RAID)与磁盘镜像等多种形式 。优点：使系统具有充分的

30、容错能力，提高系统的可靠性。 缺点： 不能解决因病毒或人为误操作引起的数据丢失以及系统瘫痪等灾难如果错误数据也写入备份磁盘，硬件冗余也会无能为力 理想的备份系统应使用硬件答错和软件备份相结合的方式 。,Page 47,数据备份的类型按照备份的地点分类,本地备份：通过磁带机、外置硬盘、光盘等设备在本地进行数据备份异地备份：将数据备份至企业生产中心以外的地点重要数据备份一般要求一份数据至少应有两个拷贝，一份拷贝放在生产中心，以保证数据的正常恢复；另一份则要异地保存，以保证在本地应用出现灾难后的数据恢复，使得业务可以连续性开展。,Page 48,数据备份系统的基本构成,好的数据备份系统应该具备的基本

31、要素：稳定性全面性可管理性数据备份系统的基本组成存储介质硬件设备备份管理软件备份策略,Page 49,存储介质（1/3）,磁盘存储介质 ：采用了“磁表面存储”技术是用某些磁性材料薄薄地涂在金属铝或塑料表面以作为磁载体来存储信息的硬磁盘和软磁盘 在外存储器中，硬盘的存取速度最快磁盘阵列中较大的磁盘数目将会增大磁盘故障的危险性与其他存储技术相比，硬盘存储所需的费用极其昂贵硬盘存储更适合容量小而且备份数据需要买时读取的系统,Page 50,存储介质(2/3),光存储介质 ：利用激光的单色性和相干性，将需要存储的信息通过调制的激光聚焦到记录介质上，使介质的光照微区（1m：）发生物理或化学变化，以实现光

32、信息的存储。4.75in的光盘是被采纳为CD-ROM光盘的标准尺寸。优点：经济、可持久地存储（保存期长达30年以上）可靠性高、便于携带和数据交换方便缺点：访问时间比硬盘要长2一6倍，并且容量相对较小备份大容量数据时所需数量极大相对整体可靠性较低。更适合于数据的永久性归档和小容量数据的备份。,Page 51,存储介质(3/3),磁带优势：单位容量大、易于转移缺点：有条件的环境（最好放置在密封的、湿度适宜的、无静电的存储容器中）是用电子万法存储大容量数据最经济的方法是备份大量后台非实时处理数据的最佳备份万案。,Page 52,硬件设备,磁盘阵列（Disk Array）：通过一套控制软件结合在一起的

33、、在一个或多个可访问磁盘子系统上的一系列磁盘控制软件将这些磁盘的存储空间以一个或多个虚拟磁盘的形式提供给主机、主要用于网络系统中海量数据的即时存取磁带设备：主要指磁带机和磁带库产品主要用于网络系统中海量数据的定期备份光盘库：是一种带有自动换盘机构（机械手）的光盘网络共享设备主要用于网络系统中海量数据的访问,Page 53,备份管理软件与备份策略,好的备份硬件是完成备份任务的基础，而备份管理软件则关系到是否能够将备份硬件的优良特性完全发挥出来。备份策略：是指确定需要备份的内容、备份时间以及备份方式。,Page 54,“系统还原”工具,Page 55,个人常用数据备份及恢复工具实验,Symantec GhostPowerQuest Drive ImageFinalData工具EasyRecover Pro,Page 56,第六章 业务持续计划与灾难恢复计划1. 概述2.业务持续性计划3. 灾难恢复计划4. 应急响应计划5. 数据备份及实验6. 案例应用及分析,内容介绍,Page 57,案例应用及分析,金融公司灾难数据恢复案例分析,