業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)計(jì)劃講述

1、業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)計(jì)劃計(jì)劃BUSINESS CONTINUITY & DISASTER RECOVERY PLANNING概述業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)計(jì)劃論述當(dāng)業(yè)務(wù)運(yùn)行陷入重大混亂時(shí)，如何保持正常的業(yè)務(wù)活動(dòng)。BCP 和DRP 包含對(duì)具體措施的準(zhǔn)備、測(cè)試與更新，以此保護(hù)關(guān)鍵業(yè)務(wù)流程不受重大系統(tǒng)與網(wǎng)絡(luò)故障的影響。業(yè)務(wù)持續(xù)性計(jì)劃（BCP）有助于識(shí)別機(jī)構(gòu)承受的內(nèi)部與外部的威脅；協(xié)調(diào)硬資產(chǎn)與軟資產(chǎn)以向機(jī)構(gòu)提供有效的預(yù)防和恢復(fù)途徑，并保持其競(jìng)爭(zhēng)優(yōu)勢(shì)與價(jià)值系統(tǒng)完整性。BCP抵御商務(wù)活動(dòng)受到的干擾，應(yīng)用于保護(hù)關(guān)鍵業(yè)務(wù)流程不受重大故障與災(zāi)難的影響。BCP應(yīng)對(duì)自然與人為事件，并處理未能及

2、時(shí)有效地應(yīng)對(duì)所帶來的后果。業(yè)務(wù)影響分析（BIA）斷定在計(jì)算服務(wù)或通信服務(wù)嚴(yán)重中斷后，各個(gè)業(yè)務(wù)單位所承受的影響程度。這些影響可能是財(cái)政方面的，體現(xiàn)為金錢損失；或是運(yùn)行方面的，體現(xiàn)為無法履行業(yè)務(wù)。災(zāi)難恢復(fù)計(jì)劃（DRP）在電腦設(shè)備遭受部分或全部電腦資源與物理設(shè)施損失時(shí)，提供應(yīng)急響應(yīng)、延長(zhǎng)備份運(yùn)行以及災(zāi)后恢復(fù)的程序。DRP的首要目標(biāo)是讓必需任務(wù)程序得以在降級(jí)模式下運(yùn)行，并在合理時(shí)間內(nèi)恢復(fù)回正常的運(yùn)行模式。概述 考生應(yīng)了解業(yè)務(wù)持續(xù)性計(jì)劃與災(zāi)難恢復(fù)計(jì)劃之間的區(qū)別；了解業(yè)務(wù)持續(xù)性計(jì)劃的項(xiàng)目范圍與規(guī)劃、業(yè)務(wù)影響分析、恢復(fù)策略、恢復(fù)計(jì)劃發(fā)展與實(shí)施。此外，考生還應(yīng)掌握災(zāi)難恢復(fù)計(jì)劃的開發(fā)、實(shí)施與修復(fù)。關(guān)鍵知識(shí)領(lǐng)域A

3、. 理解業(yè)務(wù)持續(xù)性要求 A.1 起草并記錄項(xiàng)目范圍與規(guī)劃B. 進(jìn)行業(yè)務(wù)影響分析 B.1 識(shí)別關(guān)鍵業(yè)務(wù)功能并進(jìn)行優(yōu)先排序 B.2 判斷可接受的最長(zhǎng)停工時(shí)間以及其他標(biāo)準(zhǔn) B.3 評(píng)估運(yùn)行中斷的威脅（如本地范圍、區(qū)域范圍、全球范圍） B.4 定義恢復(fù)目標(biāo)C. 制定恢復(fù)策略 C.1 實(shí)施備份存儲(chǔ)策略（如異地存儲(chǔ)、電子倉(cāng)儲(chǔ)、磁帶輪換） C.2 站點(diǎn)恢復(fù)策略D. 理解災(zāi)難恢復(fù)過程 D.1 應(yīng)對(duì) D.2 人員 D.3 通訊 D.4 評(píng)估 D.5 修復(fù) D.6 提供培訓(xùn)E. 執(zhí)行、評(píng)估與維護(hù)計(jì)劃（如版本控制、發(fā)行）主要內(nèi)容 項(xiàng)目起始步驟 恢復(fù)與連續(xù)性規(guī)劃要求 業(yè)務(wù)影響分析 選擇、開發(fā)和實(shí)現(xiàn)災(zāi)難和連續(xù)性計(jì)劃 備

4、份與離線設(shè)備 演習(xí)和測(cè)試類型u 災(zāi)難（Disaster）是突發(fā)的、導(dǎo)致重大損失的不幸事件，包括： 自然的（Natural），如地震（Earthquakes）、洪水（Floods）、強(qiáng)對(duì)流天氣（Storms）、火山爆發(fā)（Volcanic Eruptions）、自然火災(zāi)（National Fires）； 系統(tǒng)/技術(shù)的（System/Technical）,如硬件、軟件中斷（Outages）、系統(tǒng)/編程錯(cuò)誤（Errors）； 供應(yīng)系統(tǒng)（Supply Systems），通訊中斷、配電系統(tǒng)（Power Distribution）中斷、管道破裂（Burst Pipes）； 人為的（Man-Made ），爆炸

5、（Explosions）、火災(zāi)（Fires）、故意破壞（Purposeful Destruction）、航空器墜毀（Aircraft Crashes）、有害物質(zhì)泄漏（Hazardous Spills）、化學(xué)污染（Chemical Contamination）、有害代碼（Malicious Code） 政治的（Political），如恐怖襲擊（Terrorist Attacks）、騷亂（Riots）、罷工（Strikes）。災(zāi)難的定義u 對(duì)于機(jī)構(gòu)來說，任何導(dǎo)致機(jī)構(gòu)關(guān)鍵業(yè)務(wù)功能在一定時(shí)間內(nèi)無法進(jìn)行的事件都被視為災(zāi)難，其特點(diǎn)表現(xiàn)為： 計(jì)劃之外的服務(wù)中斷； 長(zhǎng)時(shí)間的服務(wù)中斷； 中斷無法通過正常的問題管

6、理規(guī)程得到解決； 中斷造成重大損失。u 中斷事件是否被機(jī)構(gòu)視為災(zāi)難，與中斷所影響的業(yè)務(wù)功能對(duì)機(jī)構(gòu)的關(guān)鍵程度，以及中斷的時(shí)間長(zhǎng)短有關(guān)。機(jī)構(gòu)的災(zāi)難u 業(yè)務(wù)連續(xù)性計(jì)劃（Business Continuity Plan，BCP） 關(guān)注在中斷期間和之后維持機(jī)構(gòu)的業(yè)務(wù)功能，提供重大中斷恢復(fù)期間維持重要業(yè)務(wù)運(yùn)行的規(guī)程，和IT相關(guān)的僅限于其對(duì)業(yè)務(wù)處理的支持，災(zāi)難恢復(fù)計(jì)劃、業(yè)務(wù)恢復(fù)/復(fù)原計(jì)劃和場(chǎng)所緊急計(jì)劃可以附加在BCP之后。 業(yè)務(wù)恢復(fù)/復(fù)原計(jì)劃（Business Recovery/Resumption Plan，BRP） 涉及到在緊急事件后對(duì)業(yè)務(wù)處理的恢復(fù)，提供災(zāi)難后立即恢復(fù)業(yè)務(wù)運(yùn)行的規(guī)程，但和BCP不同，它

7、在整個(gè)緊急事件或中斷過程中缺乏確保關(guān)鍵處理連續(xù)性的規(guī)程。BRP的制定應(yīng)該與災(zāi)難恢復(fù)計(jì)劃和BCP進(jìn)行協(xié)調(diào)。BRP應(yīng)該附加在BCP之后。BCP相關(guān)計(jì)劃之間的關(guān)系u 操作連續(xù)性計(jì)劃（Continuity of Operations Plan，COOP） 關(guān)注位于機(jī)構(gòu)（通常是總部單位）備用站點(diǎn)的關(guān)鍵功能，以及這些功能在回到正常操作狀態(tài)之前最多30天的運(yùn)行。由于COOP涉及到總部級(jí)的問題，它和BCP是互相獨(dú)立制定和執(zhí)行的。COOP強(qiáng)調(diào)機(jī)構(gòu)在備用站點(diǎn)恢復(fù)運(yùn)行能力，所以計(jì)劃不一定需要包括IT運(yùn)行。另外，它不涉及到無需重新配置到備用站點(diǎn)的小型危害。COOP可以將BCP、BRP和災(zāi)難恢復(fù)計(jì)劃做為附錄。 支持連續(xù)

8、性計(jì)劃IT應(yīng)急計(jì)劃 （Continuity of Support Plan/IT Contingency Plan） 支持連續(xù)性計(jì)劃和IT應(yīng)急計(jì)劃是同義詞，每一個(gè)重要的應(yīng)用和通用支持系統(tǒng)都要制定IT應(yīng)急計(jì)劃，在機(jī)構(gòu)的BCP中可能會(huì)維護(hù)多個(gè)應(yīng)急計(jì)劃。BCP相關(guān)計(jì)劃之間的關(guān)系（續(xù)）u 危機(jī)通信計(jì)劃（Crisis Communications Plan） 機(jī)構(gòu)應(yīng)該在災(zāi)難之前做好其內(nèi)部和外部通信規(guī)程的準(zhǔn)備工作。危機(jī)通信計(jì)劃通常由負(fù)責(zé)公共聯(lián)絡(luò)的機(jī)構(gòu)制定。危機(jī)通信計(jì)劃規(guī)程應(yīng)該和所有其它計(jì)劃協(xié)調(diào)以確保只有受到批準(zhǔn)的內(nèi)容公之于眾。計(jì)劃規(guī)程應(yīng)該做為附錄包含在BCP中。通信計(jì)劃通常指定特定人員做為在災(zāi)難反應(yīng)中回答

9、公眾問題的唯一發(fā)言人。它還可以包括向個(gè)人和公眾散發(fā)狀態(tài)報(bào)告的規(guī)程。計(jì)劃中包括記者招待會(huì)的模板。 計(jì)算機(jī)事件響應(yīng)計(jì)劃（Cyber Incident Response Plan） 建立處理針對(duì)機(jī)構(gòu)IT系統(tǒng)攻擊的規(guī)程。這些規(guī)程被設(shè)計(jì)用來協(xié)助安全人員對(duì)有害的計(jì)算機(jī)事件進(jìn)行識(shí)別、消減并進(jìn)行恢復(fù)，這些事件的例子包括對(duì)系統(tǒng)或數(shù)據(jù)的非法訪問、拒絕服務(wù)攻擊、或?qū)τ布?、軟件、?shù)據(jù)的非法更改（如有害邏輯：病毒、蠕蟲或木馬等）。本計(jì)劃可以包含在BCP的附錄中。BCP相關(guān)計(jì)劃之間的關(guān)系（續(xù)）u 災(zāi)難恢復(fù)計(jì)劃 （Disaster Recovery Plan，DRP） 應(yīng)用于重大的、通常是災(zāi)難性的、造成長(zhǎng)時(shí)間無法訪問正常設(shè)

10、施的事件。通常，DRP指用于緊急事件后在備用站點(diǎn)恢復(fù)目標(biāo)系統(tǒng)、應(yīng)用或計(jì)算機(jī)設(shè)施運(yùn)行的IT計(jì)劃。DRP的范圍可能和IT應(yīng)急計(jì)劃重疊，但是DRP的范圍比較狹窄，它不涉及到無需重新配置的小型危害。根據(jù)機(jī)構(gòu)的需要，可能會(huì)有多個(gè)DRP附加在BCP之后。 場(chǎng)所緊急計(jì)劃（Occupant Emergency Plan，OEP） 在發(fā)生有可能對(duì)人員的安全健康、環(huán)境或財(cái)產(chǎn)構(gòu)成威脅的事件時(shí)，為設(shè)施中的人員提供反應(yīng)規(guī)程。 OEP在設(shè)施級(jí)制定，與特定的地理位置和建筑結(jié)構(gòu)有關(guān)。根據(jù)美國(guó)總務(wù)管理局（GSA）的OEP模板維護(hù)GSA所屬設(shè)施的OEP計(jì)劃。設(shè)施OEP可以附加在BCP之后，但是獨(dú)立執(zhí)行。BCP相關(guān)計(jì)劃之間的關(guān)系（

11、續(xù)）BCP步驟u BCP項(xiàng)目規(guī)劃階段的活動(dòng)包括： 確定BCP需求，可以包括有針對(duì)性的風(fēng)險(xiǎn)分析以識(shí)別關(guān)鍵系統(tǒng)可能的中斷； 向管理層推銷BCP理念，獲得管理層的支持； 了解相關(guān)法律、法規(guī)、行業(yè)規(guī)范以及機(jī)構(gòu)的業(yè)務(wù)和技術(shù)規(guī)劃的要求，以確保BCP與其相一致； 任命BCP項(xiàng)目負(fù)責(zé)人，建立BCP團(tuán)隊(duì)，包括業(yè)務(wù)和技術(shù)部門的代表； 制定項(xiàng)目管理計(jì)劃書（Work Plan），其中應(yīng)明確項(xiàng)目范圍、目標(biāo)、方法、責(zé)任、任務(wù)及其進(jìn)度； 確定收集數(shù)據(jù)所需的自動(dòng)化工具； 向管理層提交項(xiàng)目規(guī)劃和狀態(tài)報(bào)告； 確定項(xiàng)目進(jìn)度。BCP項(xiàng)目規(guī)劃u 業(yè)務(wù)連續(xù)性協(xié)調(diào)人做為BCP項(xiàng)目負(fù)責(zé)人全面負(fù)責(zé)項(xiàng)目的規(guī)劃、準(zhǔn)備、培訓(xùn)等各項(xiàng)工作： 計(jì)劃的開發(fā)

12、團(tuán)隊(duì)與管理層的溝通和聯(lián)絡(luò)； 有權(quán)與計(jì)劃相關(guān)的所有人員進(jìn)行直接接觸和溝通； 充分了解中斷對(duì)機(jī)構(gòu)業(yè)務(wù)的影響； 全面了解機(jī)構(gòu)的需求和運(yùn)作，有能力平衡機(jī)構(gòu)中相關(guān)部門的不同需求； 比較容易接觸到高級(jí)管理層； 了解機(jī)構(gòu)的業(yè)務(wù)方向和高級(jí)管理層的意圖； 有能力影響高級(jí)管理層的決策。BCP項(xiàng)目負(fù)責(zé)人u 對(duì)BCP項(xiàng)目的規(guī)劃最終應(yīng)該形成業(yè)務(wù)連續(xù)性策略條款，該條款記錄BCP的： 目的、范圍和需求； 基本原則和指導(dǎo)方針； 職責(zé)和責(zé)任； 關(guān)鍵環(huán)節(jié)的基本要求；u 策略條款應(yīng)得到高級(jí)管理層的正式批準(zhǔn)，并公布成為機(jī)構(gòu)的政策，指導(dǎo)機(jī)構(gòu)業(yè)務(wù)連續(xù)性相關(guān)工作。BCP策略條款業(yè)務(wù)連續(xù)性規(guī)劃要求關(guān)鍵的業(yè)務(wù)流程（1）薪金處理（2）時(shí)間和考勤

13、報(bào)告（3）時(shí)間和考勤核對(duì)（4）時(shí)間和考勤批準(zhǔn)業(yè)務(wù)流程（2）：時(shí)間和考勤報(bào)告關(guān)鍵的資源lLAN服務(wù)器lWAN訪問l電子郵件l大型機(jī)訪問l電子郵件服務(wù)器資源 恢復(fù)優(yōu)先順序lLAN服務(wù)器 高lWAN訪問 中l(wèi)電子郵件 低l大型機(jī)訪問 高l電子郵件服務(wù)器 高關(guān)鍵資源lLAN服務(wù)器lWAN訪問l電子郵件l大型機(jī)訪問l電子郵件服務(wù)器確認(rèn)關(guān)鍵的IT資源來自用戶、業(yè)務(wù)流程、所有者、應(yīng)用程序所有者和其他相關(guān)組的輸入確認(rèn)中斷的影響和允許的最長(zhǎng)停工時(shí)間確定恢復(fù)優(yōu)先次序允許的最長(zhǎng)時(shí)間：8小時(shí)影響l考勤卡處理延遲l無法執(zhí)行薪金操作l薪金處理延時(shí)BIA分析u 協(xié)助機(jī)構(gòu)管理者了解潛在中斷對(duì)機(jī)構(gòu)的影響；u 識(shí)別機(jī)構(gòu)的關(guān)鍵功能

14、以及支持這些功能的IT資源；u 協(xié)助管理人員識(shí)別機(jī)構(gòu)功能支持方面的不足；u 排定IT資源的恢復(fù)順序；u 分析中斷的影響，包括損失的利潤(rùn)、增加的運(yùn)行費(fèi)用、收入的延期以及對(duì)競(jìng)爭(zhēng)能力和公眾信心的打擊；u 確定每一項(xiàng)業(yè)務(wù)功能的恢復(fù)窗口（Recovery Windows），如確定機(jī)構(gòu)可以使用手工作業(yè)或其它替代方式執(zhí)行關(guān)鍵功能的時(shí)間長(zhǎng)度。BIA的目的u 確定信息收集技術(shù)；u 選擇受訪者（Interviewees）；u 定制收集經(jīng)濟(jì)和運(yùn)作影響信息的問卷；u 分析信息；u 確定時(shí)間關(guān)鍵（Time-Critical）的業(yè)務(wù)功能；u 確定最大允許中斷時(shí)間（Maximum Tolerable Downtime，MT

15、D）；u 基于MTDs排定關(guān)鍵業(yè)務(wù)功能的恢復(fù)順序；u 準(zhǔn)備和提交BIA報(bào)告。BIA的過程支持資源的種類 支持關(guān)鍵功能的資源包括： 人力資源（Human resources），如操作員、專家、系統(tǒng)用戶等。 處理能力（Processing capability），如數(shù)據(jù)中心、備用數(shù)據(jù)中心、網(wǎng)絡(luò)、小型機(jī)、工作站、個(gè)人計(jì)算機(jī)等。 基于計(jì)算機(jī)的服務(wù)（Computer-based services），如語(yǔ)音和數(shù)據(jù)通信服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、公告服務(wù)等。 自動(dòng)化應(yīng)用和數(shù)據(jù)（Automated applications and data），計(jì)算機(jī)設(shè)備上運(yùn)行的各種程序和存儲(chǔ)的數(shù)據(jù)。 物理基礎(chǔ)設(shè)施（Physical i

16、nfrastructure），如辦公室、辦公家具、環(huán)境控制系統(tǒng)、電力、上下水、郵件服務(wù)等。 文檔和票據(jù)（Documents and papers），如合同、票據(jù)、計(jì)劃、規(guī)程等文件、文檔和資料。u 預(yù)期各種可能出現(xiàn)的緊急情況時(shí)需要考慮類似下面這些問題： 人力資源，人們還能否工作？在罷工事件中關(guān)鍵人員能否工作？是否有人能夠替代這些人員？人們能否便捷地抵達(dá)備用站點(diǎn)？ 處理能力，計(jì)算機(jī)是否損壞？如果部分計(jì)算機(jī)無法使用應(yīng)該怎么辦？ 基于計(jì)算機(jī)的服務(wù)，能否進(jìn)行計(jì)算機(jī)通信？人們之間如何通信？信息服務(wù)是否中斷？會(huì)中斷多長(zhǎng)時(shí)間？ 自動(dòng)化應(yīng)用和數(shù)據(jù)，數(shù)據(jù)的完整性是否遭到損壞？應(yīng)用程序是否被破壞？應(yīng)用程序能夠在其它

17、平臺(tái)下運(yùn)行？ 物理基礎(chǔ)設(shè)施，人們是否有地方辦公？人們是否有完成工作所需的設(shè)備？ 文檔和票據(jù)，所需的文件能否找到？找到后還能否使用？預(yù)期潛在緊急情況確定防御性控制 BIA中確定的一些中斷影響可以通過遏制、探測(cè)和或降低對(duì)系統(tǒng)影響的防御性措施予以消減或清除。一些常用措施如下所列： UPS和/或備用發(fā)電機(jī) 空調(diào)系統(tǒng)預(yù)留富余容量 火災(zāi)、煙感探測(cè)器和消防系統(tǒng) 水害探測(cè)器和防水措施 緊急斷路器 備份和離站存儲(chǔ) 最小特權(quán)u 緊急響應(yīng)（Emergency response）階段，事件發(fā)生初期為保護(hù)生命和減少損失所采取的行動(dòng)。u 恢復(fù)（Recovery）階段，事件發(fā)生后為了繼續(xù)關(guān)鍵功能所采取的行動(dòng)。u 復(fù)原（Re

18、sumption）階段，事件發(fā)生后為了恢復(fù)到正常運(yùn)行狀態(tài)所采取的行動(dòng)。不同階段的應(yīng)急計(jì)劃策略u(píng) 業(yè)務(wù)恢復(fù)（Business Recovery） 確定關(guān)鍵業(yè)務(wù)功能及其支持資源的恢復(fù)順序；u 設(shè)施和供應(yīng)恢復(fù)（Facility and Supply Recovery） 確定備用設(shè)施的恢復(fù)規(guī)程，包括確定建筑、場(chǎng)地、安防、環(huán)境供電等配套設(shè)施、辦公設(shè)備、家具、用品等；u 用戶恢復(fù)（User Recovery） 確定人工操作規(guī)程及其相關(guān)的關(guān)鍵記錄的管理、人員的通知、交通、飲食、住宿等相關(guān)事宜；u 技術(shù)恢復(fù)（Technical Recovery） 確定數(shù)據(jù)中心和網(wǎng)絡(luò)的恢復(fù)方法；u 數(shù)據(jù)恢復(fù)（Data Reco

19、very） 確定關(guān)鍵軟件、數(shù)據(jù)的備份、存儲(chǔ)和恢復(fù)方法。不同層次的恢復(fù)策略恢復(fù)場(chǎng)所完備場(chǎng)所（hot site） 優(yōu)點(diǎn)租用設(shè)施，幾小時(shí)即可投入運(yùn)行高度可用性常用于短期解決方案而非長(zhǎng)期解決方案可以進(jìn)行年度檢查 缺點(diǎn)價(jià)格昂貴硬件和軟件的選擇有限 基本完備場(chǎng)所（warm site）和基礎(chǔ)場(chǎng)所（cold site） 租用設(shè)施，只有部分設(shè)施 優(yōu)點(diǎn)便宜成本較低，因此可以使用較長(zhǎng)時(shí)間如果使用所有權(quán)硬件或者軟件，更為實(shí)用 缺點(diǎn)不能立即投入使用不能進(jìn)行年度運(yùn)作測(cè)試不能立即獲得運(yùn)作所需的資源u 恢復(fù)時(shí)間目標(biāo)（Recovery Time Objectives，RTO ）在系統(tǒng)的不可用性嚴(yán)重影響到機(jī)構(gòu)之前所允許消耗的最長(zhǎng)

20、時(shí)間。u 恢復(fù)點(diǎn)目標(biāo)（Recovery Point Objectives，RPO ）數(shù)據(jù)必須被恢復(fù)以便繼續(xù)進(jìn)行處理的點(diǎn)。也就是所允許的最大數(shù)據(jù)損失量BCP策略的技術(shù)指標(biāo)不同類型的恢復(fù)計(jì)劃計(jì)劃類型計(jì)劃類型說說 明明業(yè)務(wù)恢復(fù)計(jì)劃著重于恢復(fù)必須重建的業(yè)務(wù)流程而非IT組件（即面向流程而非面向措施）操 作 連 續(xù) 性 計(jì) 劃（Continuity Of Operations Plan，COOP）在災(zāi)難發(fā)生后建立高級(jí)管理層和總部。說明角色和權(quán)威、繼任順序以及不同角色的任務(wù)IT應(yīng)急計(jì)劃在破壞發(fā)生之后，用于網(wǎng)絡(luò)、系統(tǒng)和主要的應(yīng)用程序恢復(fù)過程的計(jì)劃。每個(gè)主要的系統(tǒng)和應(yīng)用程序都應(yīng)分別制定一個(gè)應(yīng)急計(jì)劃緊急通信計(jì)劃包

21、括內(nèi)部和外部通信結(jié)構(gòu)和角色。確定與外部實(shí)體進(jìn)行通信的具體人員，并包括寫好的即將發(fā)布的聲明網(wǎng)絡(luò)事故響應(yīng)計(jì)劃主要關(guān)注惡意軟件、黑客、入侵、攻擊和其他安全問題。概述了事故響應(yīng)程序?yàn)?zāi)難恢復(fù)計(jì)劃重點(diǎn)說明在發(fā)生災(zāi)難后如何恢復(fù)各種IT機(jī)制。應(yīng)急計(jì)劃通常針對(duì)非災(zāi)難事故，而災(zāi)難恢復(fù)計(jì)劃則針對(duì)需要將IT數(shù)據(jù)處理轉(zhuǎn)移到另一處設(shè)施的災(zāi)難事故場(chǎng)所應(yīng)急計(jì)劃建立人員安全和撤離程序u 廉價(jià)磁盤冗余陣列（Redundant Arrays of Inexpensive Disks， RAID）使用三種技術(shù)： 鏡像（Mirroring），系統(tǒng)同時(shí)將數(shù)據(jù)寫到兩個(gè)分離的硬盤驅(qū)動(dòng)器或驅(qū)動(dòng)器陣列。 優(yōu)點(diǎn)是減少停機(jī)時(shí)間、簡(jiǎn)化數(shù)據(jù)恢復(fù)和提高從

22、磁盤讀取的性能。缺點(diǎn)是磁盤寫入較慢。 較驗(yàn)（Parity），確定數(shù)據(jù)是否丟失或被覆蓋的技術(shù)。 優(yōu)點(diǎn)是無需存儲(chǔ)數(shù)據(jù)拷貝就可以保護(hù)數(shù)據(jù)。條紋（Striping），通過將數(shù)據(jù)分布到所有的驅(qū)動(dòng)器來提高硬件陣列控制器的性能。條紋可以在字節(jié)或數(shù)據(jù)塊級(jí)別進(jìn)行。 u RAID的技術(shù)可以通過硬件也可以通過軟件實(shí)現(xiàn)。u 熱交換（Hot-Swappable）驅(qū)動(dòng)器，在磁盤驅(qū)動(dòng)器故障時(shí)無需關(guān)閉系統(tǒng)就可以交換磁盤驅(qū)動(dòng)器。廉價(jià)磁盤冗余陣列u 防故障磁盤系統(tǒng)（Failure Resistant disk Systems，F(xiàn)RDSs） 能夠防止因磁盤故障丟失數(shù)據(jù)；u 容錯(cuò)磁盤系統(tǒng)（Failure Tolerant disk

23、Systems，F(xiàn)TDSs） 磁盤系統(tǒng)單一部件故障情況下仍能提供數(shù)據(jù)訪問；u 容災(zāi)磁盤系統(tǒng)（Disaster Tolerant disk Systems，F(xiàn)TDSs）包含多套位于不同區(qū)域的組件，任何組件都可獨(dú)立提供存儲(chǔ)數(shù)據(jù)訪問；RAID的新分類u 電子跳躍（Electronic vaulting）是在主站點(diǎn)通過電子方式向遠(yuǎn)程站點(diǎn)進(jìn)行備份或取回備份。u 使用寬帶通信鏈路進(jìn)行的電子跳躍可以使系統(tǒng)備份更加自動(dòng)化、減少了人力消耗、節(jié)省了時(shí)間、提高了效率并降低了成本。u 電子跳躍可以實(shí)現(xiàn)交易信息的實(shí)時(shí)備份，提高了系統(tǒng)的可用性。u 電子跳躍站點(diǎn)的位置可以是機(jī)構(gòu)自己的備份站點(diǎn)，也可以是商業(yè)備份站點(diǎn)或互惠站點(diǎn)

24、。電子跳躍u 遠(yuǎn)程日記（Remote Journal），將事務(wù)（特別是數(shù)據(jù)庫(kù)）處理的明細(xì)記錄通過電子的方式傳輸?shù)竭h(yuǎn)程設(shè)施的存儲(chǔ)設(shè)備中。u 如果需要對(duì)服務(wù)器進(jìn)行恢復(fù)，可以通過電子的方式從遠(yuǎn)程設(shè)施中取回所存儲(chǔ)的明細(xì)記錄來恢復(fù)交易、應(yīng)用或數(shù)據(jù)庫(kù)數(shù)據(jù)。u 遠(yuǎn)程日記可以通過批處理進(jìn)行也可以使用緩存軟件不間斷地進(jìn)行。 u 遠(yuǎn)程日記縮短了恢復(fù)時(shí)間并且減少了兩次傳統(tǒng)備份之間服務(wù)器遭到損害時(shí)的數(shù)據(jù)損。 遠(yuǎn)程日記u 同步復(fù)制也被稱為鏡像復(fù)制（Mirroring）u 主服務(wù)器的變化被同時(shí)添加到復(fù)制服務(wù)器u RTO可減小到幾個(gè)小時(shí)，RPO可被減少為未提交工作的損失。u 會(huì)降低主服務(wù)器的性能，帶寬要求高u 適用于可用性

25、要求很高的應(yīng)用。磁盤復(fù)制-同步復(fù)制u 異步復(fù)制也被稱為投影復(fù)制（Shadowing）u 不斷地獲取主服務(wù)器的日志變化并將此變化添加到復(fù)制服務(wù)器u RTO在數(shù)小時(shí)和一天之間。RPO是映像服務(wù)器接收的最后數(shù)據(jù)u 對(duì)主服務(wù)器的性能影響小，帶寬要求低u 適用于小帶寬長(zhǎng)距離的網(wǎng)絡(luò)磁盤復(fù)制-異步復(fù)制u通過負(fù)載均衡（Load Balance），流量可以被動(dòng)態(tài)分配到一組運(yùn)行相同應(yīng)用程序的多個(gè)服務(wù)器上。 u負(fù)載均衡既可以提高整個(gè)系統(tǒng)的性能，又可以在服務(wù)器出現(xiàn)故障時(shí)將該服務(wù)器承擔(dān)的服務(wù)分配到運(yùn)行中的服務(wù)器執(zhí)行。u在不同站點(diǎn)的服務(wù)器之間進(jìn)行的負(fù)載均衡還可以在某一站點(diǎn)無法提供服務(wù)時(shí)將該站點(diǎn)承擔(dān)的服務(wù)分配到運(yùn)行中的站點(diǎn)

26、執(zhí)行。負(fù)載均衡u 熱站點(diǎn)（Hot Site）u 冷站點(diǎn)（Cold Site） u 溫站點(diǎn)（Warm Site） u 移動(dòng)站點(diǎn)（Mobile Site）u 冗余站點(diǎn)（Redundant site）u 互惠協(xié)議（Reciprocal/mutual agreement）u 多處理中心（Multiple Processing Centers）u 服務(wù)中心（Service Bureaus）備用設(shè)施的類型u 熱站點(diǎn)，是滿足系統(tǒng)需求、規(guī)模適當(dāng)?shù)霓k公場(chǎng)所，其中配置了所需的基礎(chǔ)設(shè)施、服務(wù)、系統(tǒng)硬件、軟件、實(shí)時(shí)數(shù)據(jù)和支持人員，通常24小時(shí)有人值守。接到應(yīng)急計(jì)劃啟動(dòng)通知時(shí)只需要進(jìn)行適當(dāng)?shù)穆酚赊D(zhuǎn)換和通知就可以提供主站

27、點(diǎn)的關(guān)鍵應(yīng)用服務(wù)。u 冷站點(diǎn)，通常具有充足空間和支持IT系統(tǒng)的基礎(chǔ)設(shè)施和服務(wù)（電源、電信連接和環(huán)境控制），站點(diǎn)不包含IT設(shè)備并且通常也不包含辦公自動(dòng)化設(shè)備如電話、傳真機(jī)或復(fù)印機(jī)。熱站和冷站u 溫站點(diǎn)，介于熱站點(diǎn)和冷站點(diǎn)之間，依據(jù)恢復(fù)策略需求和投入限制配置部分IT資源，不包含實(shí)時(shí)數(shù)據(jù)，運(yùn)行主站點(diǎn)應(yīng)用之前需要進(jìn)行部分設(shè)備或軟件安裝，數(shù)據(jù)上載工作。u 移動(dòng)站點(diǎn)，是內(nèi)部配置適當(dāng)電信裝備和IT設(shè)備的可移動(dòng)拖車，可以被機(jī)動(dòng)拖放和安置在所需的備用場(chǎng)所，提供關(guān)鍵的應(yīng)用服務(wù)，如電話交換功能等。溫站和移動(dòng)站u 冗余站點(diǎn)，也被稱為鏡像站點(diǎn)，是具有完整和實(shí)時(shí)信息鏡像的完全的冗余設(shè)施。鏡像站點(diǎn)與主站點(diǎn)在所有的技術(shù)層面上

28、都是一致的。由于在主站點(diǎn)和備用站點(diǎn)同時(shí)處理和存儲(chǔ)數(shù)據(jù)所以這些站點(diǎn)提供了最高的可用性。u 互惠協(xié)議，兩個(gè)或多個(gè)在IT配置和備份技術(shù)上相似或相同的機(jī)構(gòu)簽訂正式協(xié)議互相做為對(duì)方的備用站點(diǎn)，或者聯(lián)合租用一個(gè)備用站點(diǎn)。因?yàn)樵诎l(fā)生災(zāi)難事件期間，每一個(gè)站點(diǎn)必須能夠在承擔(dān)自己的工作負(fù)荷之外支持其它站點(diǎn)，所以達(dá)成互惠協(xié)議時(shí)必須謹(jǐn)慎從事。冗余站點(diǎn)和互惠協(xié)議u 多處理中心就是將處理任務(wù)分布到一個(gè)機(jī)構(gòu)的多個(gè)不同的兼容數(shù)據(jù)處理中心，由這些中心分擔(dān)處理工作，當(dāng)某個(gè)中心發(fā)生災(zāi)難時(shí)，其它中心可以接替該中心處理的工作。這種方式需要處理中心維護(hù)比正常需要高出較多的處理能力，并且要確保各處理中心軟件版本和數(shù)據(jù)的同步；u 服務(wù)中心為

29、多個(gè)機(jī)構(gòu)提供數(shù)據(jù)處理服務(wù)，可以為客戶提供災(zāi)難恢復(fù)期間的數(shù)據(jù)處理服務(wù)。服務(wù)中心如果為用戶預(yù)留額外的處理能力，其成本也是很高的，所以提供災(zāi)難恢復(fù)服務(wù)的處理中心并不多。多處理中心和服務(wù)中心u 支持信息（SUPPORTING INFORMATION）u 通知啟動(dòng)階段 （NOTIFICATION/ACTIVATION PHASE）u 恢復(fù)階段 （RECOVERY PHASE）u 重建階段 （RECONSTITUTION PHASE）u 計(jì)劃的附錄 應(yīng)急計(jì)劃的內(nèi)容u 目的（Purpose），闡述制定計(jì)劃的原因和目標(biāo)。 u 適用性（Applicability），作用范圍以及與其它計(jì)劃的關(guān)系。 u 范圍（Sc

30、ope），設(shè)定啟用計(jì)劃的條件。 u 參考需求（References/Requirements），描述制定計(jì)劃的背景和法規(guī)需求。u 變化記錄（Record of Changes），記錄計(jì)劃的變動(dòng)情況。支持信息的介紹部分u 系統(tǒng)描述（System Description） ，對(duì)系統(tǒng)的體系結(jié)構(gòu)和功能進(jìn)行的一般性描述，包括運(yùn)行環(huán)境、物理位置、用戶位置以及外部關(guān)系如備份規(guī)程、安全控制、電信鏈接等。u 繼任序列（Line of Succession），定義負(fù)責(zé)人缺席的情況下的繼任者，計(jì)劃的最高負(fù)責(zé)人通常是機(jī)構(gòu)的CIO。u 職責(zé)（Responsibilities），表述應(yīng)急團(tuán)隊(duì)的整體結(jié)構(gòu)以及每一個(gè)團(tuán)隊(duì)具體成

31、員角色和職責(zé)。支持信息的運(yùn)行概要部分u 應(yīng)該描述在工作時(shí)間和非工作時(shí)間通知恢復(fù)人員的方法。 u 一種通用通知方法是呼叫樹（Call Tree）。應(yīng)該包括主要的和備用的聯(lián)絡(luò)方法，應(yīng)該包括在某個(gè)人無法聯(lián)系上時(shí)應(yīng)該采取的規(guī)程。u 通知還應(yīng)該發(fā)給會(huì)因?yàn)椴恢槎艿截?fù)面影響的外部機(jī)構(gòu)或互聯(lián)的伙伴系統(tǒng)。u 通知中所傳遞的信息類型應(yīng)該在計(jì)劃中載明。 通知/啟動(dòng)階段的通知部分u 損害評(píng)估（Damage Assessment）小組通常是第一個(gè)得到事件通知的小組。 u 應(yīng)該在確保人員安全的前提下盡快完成。 u 在書面計(jì)劃無法得到的情況下，具有損害評(píng)估職責(zé)的人員應(yīng)該了解和能夠執(zhí)行這些規(guī)程。 u 損害評(píng)估應(yīng)該涉及到緊

32、急情況的原因、損失情況、影響范圍、物理結(jié)構(gòu)現(xiàn)狀、IT設(shè)備的功能狀態(tài)（可用、部分可用、完全喪失）、需更換的項(xiàng)目、預(yù)計(jì)恢復(fù)所需的時(shí)間等。u 一旦系統(tǒng)的影響被確定，就應(yīng)該將最新信息和對(duì)此情況的響應(yīng)計(jì)劃通知給適當(dāng)?shù)膱F(tuán)隊(duì)。 通知/啟動(dòng)階段的損害評(píng)估部分u 只有當(dāng)損害評(píng)估的結(jié)果顯示一個(gè)或多個(gè)系統(tǒng)啟動(dòng)條件被滿足時(shí)，IT應(yīng)急計(jì)劃才應(yīng)被啟動(dòng)（Activation）。 u 如果滿足啟動(dòng)條件，應(yīng)急計(jì)劃協(xié)調(diào)人或CIO（如果適用）應(yīng)啟動(dòng)計(jì)劃 。u 啟動(dòng)條件應(yīng)該在應(yīng)急計(jì)劃策略條款中予以說明，可以根據(jù)人員安全、設(shè)施損失、 系統(tǒng)損失、受損系統(tǒng)的關(guān)鍵程度、預(yù)計(jì)的中斷持續(xù)時(shí)間等確定。通知/啟動(dòng)階段的計(jì)劃啟動(dòng)部分u 恢復(fù)行動(dòng)的順序

33、（Sequence of Recovery Activities） 行動(dòng)的順序應(yīng)該反映出系統(tǒng)允許的中斷時(shí)間，以避免對(duì)相關(guān)系統(tǒng)及其應(yīng)用的重大影響。 u 恢復(fù)規(guī)程 （Recovery Procedures） 恢復(fù)規(guī)程應(yīng)該按照直接和逐步的風(fēng)格書寫。 為了防止在緊急事件中產(chǎn)生困難或混亂，不能假定或忽略規(guī)程的步驟。 檢查列表的形式有助于撰寫順序的恢復(fù)規(guī)程和在系統(tǒng)無法正?；謴?fù)時(shí)解決問題。 恢復(fù)階段u 恢復(fù)原站點(diǎn) 確保充足的基礎(chǔ)設(shè)施支持，如電源、供水、電信、安全、環(huán)境控制、辦公設(shè)備和用品 安裝系統(tǒng)硬件、軟件和固件。此行動(dòng)應(yīng)該包括與恢復(fù)階段類似的詳細(xì)恢復(fù)規(guī)程u 測(cè)試系統(tǒng) 測(cè)試系統(tǒng)運(yùn)行以確保完全的功能性 備份應(yīng)

34、急系統(tǒng)中的運(yùn)行數(shù)據(jù)并上載到被恢復(fù)系統(tǒng)中u 終止操作關(guān)閉應(yīng)急系統(tǒng)、終止應(yīng)急操作對(duì)應(yīng)急站點(diǎn)的所有敏感材料加以保護(hù)、清除和或重新配置安排恢復(fù)人員回到原設(shè)施重建階段u 應(yīng)急計(jì)劃團(tuán)隊(duì)成員的聯(lián)絡(luò)信息。u 供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲(chǔ)和備用站點(diǎn)的POC（Point Of Contact）。u 系統(tǒng)恢復(fù)或處理的標(biāo)準(zhǔn)操作規(guī)程和檢查列表。u 支持系統(tǒng)所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單。每個(gè)條目應(yīng)該包含詳細(xì)內(nèi)容，包括型號(hào)或版本號(hào)、規(guī)格說明和數(shù)量。u 供應(yīng)商SLA、與其它機(jī)構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄。u 備用站點(diǎn)的描述和說明。u BIA報(bào)告，包含系統(tǒng)各部分相互關(guān)系、風(fēng)險(xiǎn)、優(yōu)先級(jí)別和影響的有價(jià)值的信息

35、。BIA應(yīng)該做為一個(gè)附錄包含在計(jì)劃中以便在啟動(dòng)計(jì)劃時(shí)參考。計(jì)劃的附錄u 應(yīng)該指定適當(dāng)?shù)膱F(tuán)隊(duì)來執(zhí)行所選擇的應(yīng)急計(jì)劃策略。除了計(jì)劃的總協(xié)調(diào)人以外還可能包括： 高級(jí)管理人員 管理小組 損害評(píng)估小組 操作系統(tǒng)管理小組 系統(tǒng)軟件小組 服務(wù)器恢復(fù)小組（如客戶服務(wù)器、Web服務(wù)器） LAN/WAN恢復(fù)小組 數(shù)據(jù)庫(kù)恢復(fù)小組 網(wǎng)絡(luò)運(yùn)行恢復(fù)小組 應(yīng)用程序恢復(fù)小組BCP團(tuán)隊(duì)組成 電信恢復(fù)小組 硬件拯救小組 備用站點(diǎn)恢復(fù)協(xié)調(diào)小組 原站點(diǎn)恢復(fù)拯救協(xié)調(diào)小組 測(cè)試小組 監(jiān)管支持小組 運(yùn)輸布置小組 媒體公關(guān)小組 法律事務(wù)小組 物理人員安全小組 采購(gòu)小組（設(shè)備和用品）BCP團(tuán)隊(duì)組成(續(xù))u 應(yīng)該根據(jù)其所具備的技能和知識(shí)將人員分

36、配到這些團(tuán)隊(duì)中。 u 每一個(gè)團(tuán)隊(duì)都應(yīng)該得到培訓(xùn)并時(shí)刻準(zhǔn)備在中斷事件發(fā)生需要啟動(dòng)計(jì)劃時(shí)展開工作。u 小組應(yīng)該具有充足的規(guī)模以便在某些成員缺席的情況下保持有效性，也可以指定預(yù)備小組成員。 u 繼任序列計(jì)劃 BCP團(tuán)隊(duì)組成(續(xù))u 培訓(xùn)是應(yīng)急團(tuán)隊(duì)有效執(zhí)行應(yīng)急計(jì)劃的保證，培訓(xùn)內(nèi)容應(yīng)該包括： 計(jì)劃的目的 團(tuán)隊(duì)之間的協(xié)調(diào)與溝通 匯報(bào)規(guī)程 安全需求 團(tuán)隊(duì)特有的處理過程（通知啟動(dòng)、恢復(fù)和重建階段） 個(gè)人職責(zé)（通知啟動(dòng)、恢復(fù)和重建階段）u 培訓(xùn)應(yīng)該至少一年進(jìn)行一次，新員工上崗之前應(yīng)該接受應(yīng)急計(jì)劃培訓(xùn)。u 培訓(xùn)最終應(yīng)該使得他們能夠無需實(shí)際文檔的協(xié)助就能夠執(zhí)行相應(yīng)的恢復(fù)規(guī)程。 BCP團(tuán)隊(duì)培訓(xùn)測(cè)試和審查計(jì)劃對(duì)應(yīng)急計(jì)劃

37、的測(cè)試有助于發(fā)現(xiàn)應(yīng)急計(jì)劃中存在的問題和缺陷，是對(duì)員工進(jìn)行相關(guān)知識(shí)的培訓(xùn)和技能的演練的重要手段，測(cè)試的方式有： 檢查列表（Checklist），將計(jì)劃分發(fā)到各職能部門，每個(gè)部門對(duì)計(jì)劃的要素進(jìn)行逐一檢查以確保計(jì)劃涉及到了所有應(yīng)該考慮的因素。 結(jié)構(gòu)化檢查（Structured Walk-Through），召集職能部門的代表檢查計(jì)劃的細(xì)節(jié)，包括計(jì)劃的每一個(gè)步驟和相關(guān)規(guī)程以確保其正確性。 模擬（Stimulation），在模擬中斷場(chǎng)景下執(zhí)行應(yīng)急計(jì)劃以檢驗(yàn)所有運(yùn)行和支持功能在各種中斷情況下的響應(yīng)能力。不涉及到備用站點(diǎn)的實(shí)際部署。 并行（Parallel），是對(duì)備用站點(diǎn)的實(shí)際運(yùn)行測(cè)試，將關(guān)鍵系統(tǒng)部署到備用站

38、點(diǎn)并且運(yùn)行以檢驗(yàn)其運(yùn)行效果并與主站點(diǎn)的系統(tǒng)進(jìn)行比較。 完全中斷（Full Interruption），完全關(guān)閉正常運(yùn)行的系統(tǒng)，使用離站存儲(chǔ)的資源和應(yīng)急團(tuán)隊(duì)在備用站點(diǎn)運(yùn)行系統(tǒng)關(guān)鍵功能。BCP計(jì)劃測(cè)試(續(xù)) 其他類型的培訓(xùn)（Other Types of Training），除了災(zāi)難恢復(fù)培訓(xùn)之外，還應(yīng)該就其他問題接受培訓(xùn) 應(yīng)急響應(yīng)（Emergency Response），制定好的行動(dòng)計(jì)劃，用于幫助人們?cè)谖＜鼻闆r下能夠更好地應(yīng)付遭到的破壞 應(yīng)該制定測(cè)試計(jì)劃，測(cè)試計(jì)劃應(yīng)設(shè)計(jì)為對(duì)所選擇的測(cè)試要素有明確的測(cè)試目標(biāo)和成功標(biāo)準(zhǔn)。 測(cè)試結(jié)果和學(xué)習(xí)到的經(jīng)驗(yàn)應(yīng)該記錄到文檔。在測(cè)試中和測(cè)試后檢查中收集到的有助于提高計(jì)劃

39、效率的信息應(yīng)該添加到應(yīng)急計(jì)劃中。 u 因?yàn)閼?yīng)急計(jì)劃所涉及的各種因素如業(yè)務(wù)重心的轉(zhuǎn)移、技術(shù)的發(fā)展、人員的變動(dòng)都會(huì)影響到應(yīng)急計(jì)劃的效率和可行性，所以應(yīng)急計(jì)劃應(yīng)該根據(jù)這些因素的變化進(jìn)行更新。u 對(duì)應(yīng)急計(jì)劃的測(cè)試可以發(fā)現(xiàn)應(yīng)急計(jì)劃中的錯(cuò)誤和缺陷以便對(duì)應(yīng)急計(jì)劃進(jìn)行必要的修改。不同機(jī)構(gòu)根據(jù)其特點(diǎn)可采取不同的更新頻率，但是應(yīng)急計(jì)劃一年至少應(yīng)該進(jìn)行一次測(cè)試和調(diào)整，在所涉及的因素發(fā)生重大變化時(shí)應(yīng)隨時(shí)更新。u 應(yīng)急計(jì)劃的更新和修改應(yīng)該納入更改管理（change management）系統(tǒng)中進(jìn)行。BCP計(jì)劃更新維護(hù)計(jì)劃維護(hù)計(jì)劃 原因 業(yè)務(wù)連續(xù)性過程沒有整合入變更管理過程 基礎(chǔ)架構(gòu)和環(huán)境發(fā)生變化 公司進(jìn)行重組、裁員或合

40、并 硬件、軟件和應(yīng)用程序發(fā)生變化 制定計(jì)劃后，人們認(rèn)為沒有必要再做其他的工作 人員發(fā)生更換 大型計(jì)劃要進(jìn)行許多維護(hù)工作 計(jì)劃并不直接帶來利潤(rùn) 方法 使業(yè)務(wù)連續(xù)性成為每個(gè)業(yè)務(wù)決策的一部分 將維護(hù)責(zé)任整合入職位描述 將維護(hù)工作表現(xiàn)包含在個(gè)人評(píng)估中 執(zhí)行包括災(zāi)難恢復(fù)、連續(xù)性文檔與措施的內(nèi)部審計(jì) 進(jìn)行應(yīng)用計(jì)劃的常規(guī)演習(xí) 將BCP整合入當(dāng)前的變更管理過程練習(xí) To get managements support and approval of the plan, a business case must be made. Which of the following is least important to this business case? Regulatory and legal requirements Company vulnerabilit