災難恢復計劃

損失減少公司劫難恢復計劃七步曲正如現(xiàn)實生活中其它事物的不可預料性同樣，公司很難預先知道其網(wǎng)絡、數(shù)據(jù)中心運作過程中何時會受到威脅。但減輕劫難的后果并不是一個輕松的過程。下面筆者給出可以幫助公司提供實用指南并實現(xiàn)高效的業(yè)務連續(xù)性和劫難恢復計劃的七個環(huán)節(jié)：第一步：認可劫難的也許性業(yè)務連續(xù)性及劫難恢復的第一步是認可自己的單位會碰到可以損害公司發(fā)展的現(xiàn)實性威脅。假如公司沒有在一個高級的層次上采用這一步，其它的環(huán)節(jié)就免談。第二步：列表并分類公司面臨的威脅公司及其社會環(huán)境的性質(zhì)可以影響一個單位所面臨的威脅類型。在列示了威脅之后，單位應當根據(jù)這些威脅對不同系統(tǒng)的也許影響對其分類。應當在劫難的響應成本和可容忍的“宕機時間”之間實現(xiàn)平衡，可容忍的“宕機時間”越少，則公司就需要越多的成本來創(chuàng)建恰當?shù)捻憫?。比如，一些系統(tǒng)必須在幾分鐘或幾秒內(nèi)實現(xiàn)功能恢復，尚有一些系統(tǒng)可容忍的“宕機時間”為幾小時，尚有其它系統(tǒng)即使“宕機時間”多達幾天也不會產(chǎn)生嚴重的后果。第三步：概要描述單位的業(yè)務連續(xù)性和劫難恢復技術的基礎結(jié)構(gòu)業(yè)務連續(xù)性和劫難恢復技術基礎結(jié)構(gòu)的關鍵技術要素由以下幾部分組成：關鍵數(shù)據(jù)中心、一個可以備份重要數(shù)據(jù)中心資源的遠程站點、高帶寬的網(wǎng)絡連接等部分組成。在整個數(shù)據(jù)中心，業(yè)務連續(xù)性和劫難恢復的最佳策略都要遵循所有要素成分都保持冗余性的觀點。在生產(chǎn)性和備份數(shù)據(jù)設施中都應當運營多臺主機和服務器。假如一個生產(chǎn)性系統(tǒng)的一個組件碰到了一個問題，此系統(tǒng)組件就立即將其功能轉(zhuǎn)移給本地的備份系統(tǒng)，這可以作為對付劫難的第一道防線。在業(yè)務連續(xù)性和劫難恢復策略中，最關鍵的要素之一就是電源。根據(jù)調(diào)查，電力故障是最為常見的也是可防止的中斷性故障。不管公司的網(wǎng)絡帶寬多么大，假如一個粗心大意的施工人員偶爾弄斷了光纖，其作用也就壽終正寢了。網(wǎng)絡的連接不僅要足夠，還要在一個更寬廣的WAN技術范圍內(nèi)遵循不同的途徑，避免業(yè)務限于停頓。第四步：清查單位的IT資產(chǎn)一旦單位已經(jīng)草擬了其業(yè)務連續(xù)性和劫難恢復基礎結(jié)構(gòu)的拓撲，下一步就是要制定IT資產(chǎn)的一個精確而具體的目錄。這就使得單位可以理解需要保護的資源和業(yè)務過程?，F(xiàn)在有不少業(yè)務管理工具有助于制定和維護IT資源的精確目錄。這些工具的廠商都提供了一些依靠軟件代理來優(yōu)化IT基礎結(jié)構(gòu)的工具模塊，并可將硬件和軟件資產(chǎn)的細節(jié)及其配置參數(shù)存儲到配置管理數(shù)據(jù)庫中（CMDB）。第五步：設立服務水平盼望并定義意外事故策略配置管理數(shù)據(jù)庫中（CMDB）不僅存儲著單位軟件和硬件資產(chǎn)的細節(jié)信息，還包含著服務水平的約定規(guī)定信息，這些約定規(guī)定可以定義正常運營時間及這些資源的恢復參數(shù)。回想前面的第二步，高級管理部門對服務水平盼望作出規(guī)定是很重要的，由于這些可以決定在某次故障中的5分鐘內(nèi)或5小時之內(nèi)某種特定的資產(chǎn)是否必須啟動和運營。這種決定可以直接影響高級管理部門日后會尋求支持的業(yè)務連續(xù)性和劫難恢復的成本支出。根據(jù)對IT資產(chǎn)及配置和服務水平約定的清楚理解，單位就可以定義意外事故的應對策略。這些策略必須得到主管人員的支持，因而需要將IT資產(chǎn)的性能直接與公司需求聯(lián)系起來。為了形成這種重要的聯(lián)系，單位需要執(zhí)行業(yè)務影響分析來充實系統(tǒng)需求、過程、系統(tǒng)交互關系的細節(jié)。主管人員必須理解系統(tǒng)癱瘓的后果，以便于支持意外事故的應對策略。第六步：制定一個業(yè)務連續(xù)性和劫難恢復的計劃意外事故的應對計劃應當直接根據(jù)意外事故的應對策略，具體表述不同部門和個人的角色和責任，以保持技術系統(tǒng)的可用性，并闡明緊急情況下恢復IT系統(tǒng)的過程。意外事故的應對計劃的關鍵元素還涉及資源需求、培訓需要、培訓練習和測試的頻率、維護時間表、數(shù)據(jù)庫備份的時間表等。意外事故的應對計劃的階段涉及以下幾個方面，一是劫難降臨時的告知過程，二是應急團隊動員后的恢復過程，三是回歸正常運作過程。第七步:測試業(yè)務連續(xù)性和劫難恢復計劃在定制了正式的策略和過程之后,最為重要然而卻最容易被忽略的一個方面是劫難恢復計劃。公司必須從一開始就測試其計劃的完整性和有效性，然后再在運作過程中重新測試，以保證對IT基礎結(jié)構(gòu)和業(yè)務過程的日后改變不會產(chǎn)生策略改變的需要。此外，單位應當創(chuàng)建測試平臺，以精確地反映平常的業(yè)務條件，以使演練可以模擬真實的條件。在當今復雜的條件下，要讓公司防御每一種劫難事故的確有點兒困難。但是，在無法預料的事情發(fā)生后，假如公司采用了恰當?shù)募夹g、清楚的服務水平盼望、實用的恢復策略，再通過劫難恢復計劃和嚴格的測試方法，單位就可以將劫難對業(yè)務的影響降至最低。公司業(yè)務連續(xù)性和劫難恢復規(guī)劃實行公司部署了全面的劫難恢復規(guī)劃，而不到10%的中小公司擁有危機管理、應急措施、業(yè)務重組和業(yè)務恢復計劃。對于中小公司來說，部署劫難恢復計劃是十分重要的。根據(jù)Gartner調(diào)查顯示，五分之二的公司在五年內(nèi)都經(jīng)歷過至少一次嚴重劫難。此外，劫難的發(fā)生頻率比我們想象中的還要高，由于大約80%的應用程序停工是人為的或者進程犯錯導致的，而不是由于劫難或者技術故障。設立一個停機時間限制當我們在部署劫難恢復計劃時，最開始的目的應當是擬定恢復點目的和恢復時間目的。劫難恢復點目的(RPO)指明了可以允許的數(shù)據(jù)丟失范圍，而恢復時間目的(RTO)則是應用程序可以允許的停工時間范圍，即根據(jù)可承受的最長停電時間來擬定。假如劫難真的發(fā)生了，那么你的公司可以承受多長時間呢？一個小時？一天？還是一個星期？那些需要立即恢復運營的公司必須投入更多的資金來進行劫難恢復部署，而那些幾天內(nèi)仍然可以繼續(xù)運營的公司則可以投入較少的資金。同樣來說，較高的劫難恢復點目的相對來說更加昂貴，但是中小公司必須權(quán)衡防止性支出與重要數(shù)據(jù)丟失帶來的潛在高額費用之間的關系。認真擬定劫難恢復點目的和恢復時間目的可以幫助你合理分派資源，而不會浪費成本。假如你的公司對于擬定劫難恢復點目的和恢復時間目的，那么就可以使用業(yè)務影響分析(BIA)。業(yè)務影響分析方法依據(jù)的基本假設條件就是，公司的每一個因素都依賴于任何其他因素的連續(xù)運營，但是有些因素比其他因素要更加重要。業(yè)務影響分析優(yōu)先考慮了關鍵任務數(shù)據(jù)和系統(tǒng)，它可以幫助公司在考慮劫難性事件時將資源進行合理分派。BIA可以讓IT經(jīng)理和中小公司業(yè)主清楚地看到，假如他們不部署劫難恢復計劃，他們將也許損失的成本價值。建立劫難恢復計劃當擬定了RPO和RTO之后，你就可以正式建立劫難恢復計劃了。當你在建立劫難恢復計劃時，要牢記以下這些最佳做法：要讓公司所有的利益相關者參與進來，而不只是IT部門。舉例來說，人力資源部在對員工進行劫難恢復計劃培訓以及計劃溝通中時將發(fā)揮重要的作用，所以人力資源部應當參與進來；首席執(zhí)行官和其他高級管理人員對于保證劫難恢復計劃的資金和公司性購買方面是必不可少的角色；假如你的公司場合是租賃的，那么物業(yè)管理也應當了解你的計劃；此外，最佳還要告知本地的執(zhí)法部門你所要實行的計劃。將所有的利益相關者參與到規(guī)劃和部署中是十分重要的。防止數(shù)據(jù)倉庫的產(chǎn)生：也許你會認為將文獻保存到桌面是很方便的事情，但是這卻是個不好的習慣。員工的個人電腦硬盤通常沒有得到IT部門的備份支持，所以最佳部署一個中央服務器來解決這種令人頭疼的問題，讓所有的員工可以規(guī)范地使用電腦。優(yōu)先備份：擬定需要保存的數(shù)據(jù)以及保存時間，然后執(zhí)行存儲策略來優(yōu)先備份關鍵數(shù)據(jù)和應用程序，一方面要備份最關鍵的部分?，F(xiàn)場備份和非現(xiàn)場備份：我們現(xiàn)在擁有各種備份技術，從在線備份服務到磁盤和磁帶解決方案等。在考慮選擇何種備份服務時，最佳選擇既可以進行現(xiàn)場備份又可以進行非現(xiàn)場備份的備份服務，那樣當你的重要業(yè)務場合無法使用時也可以對數(shù)據(jù)和應用程序進行備份。舉例來說，有了磁盤鏡像，至少會有兩個硬盤同時進行復制和存儲數(shù)據(jù)，那么，假如其中有一個磁盤出現(xiàn)故障，系統(tǒng)就可以自動切換至另一臺磁盤，不管這兩個磁盤在同一數(shù)據(jù)中心或是分布在不同城市，這樣就可以減少數(shù)據(jù)和服務的損失。保證遠程訪問：數(shù)據(jù)保存期限和網(wǎng)絡訪問同樣重要。假如實體辦公室不能避免劫難的發(fā)生，員工還是需要接入網(wǎng)絡基礎設施來保持業(yè)務運營。假如讓所有員工實現(xiàn)遠程訪問不現(xiàn)實，至少密鑰持有者應當可以進行遠程訪問。擬定了停工時間限制以及部署了劫難恢復計劃后，有必要進行定期測試。當然，測試需要花費一定的時間和金錢，所以公司的測試頻率可以根據(jù)預算來設立。作為一個基準來說，中小公司至少每年進行兩次測試。假如每年對整個系統(tǒng)進行兩側(cè)測試不能實現(xiàn)，至少也應當定期地對最關鍵的應用程序和系統(tǒng)進行測試。此外，在公司旺季的時候也應當進行測試，并且不需要告知所有的員工，除了必要的幾個工作人員外，這樣做是為了模擬真正的劫難。最后，IT經(jīng)理在每次測試后都應當對劫難恢復系統(tǒng)進行審查，看看哪些地方容易出現(xiàn)故障，以及時糾正錯誤。有效的劫難恢復計劃對于公司生存發(fā)展力是至關重要的，根據(jù)McGladrey和Pullen事務所記錄，每年每500個數(shù)據(jù)中心就會發(fā)生一次劫難事故，其中43%的劫難事故導致無法挽回的損失。而此外的29%公司將會被迫關閉兩年。劫難恢復相稱于公司保險，是你的公司不可缺少的部分保證劫難恢復(DR)計劃的實行在今年早些時候提出的一份劫難恢復(DR)報告中，F(xiàn)orrester研究公司建議，在制定劫難恢復計劃時，要采用以下七個環(huán)節(jié)來保證爭取到新的、額外的、正在運營的基金：1．實行一套連續(xù)性的管理流程。技術支持劫難恢復的準備工作；這并不是一個連續(xù)的策略或者計劃。在能爭取到技術和服務的基金之前，你應當將劫難恢復的準備工作看作是一個連續(xù)性的流程，而不是一個一時的事件，并且為此制定一個總體的框架。2．進行業(yè)務影響分析(BIA)和風險評估。在IT部門爭取到資金之前，IT部門的人員必須坐下來與業(yè)務部門人員進行交流，共同擬定哪些是公司里最關鍵的流程，哪些依賴于IT資源并計算出由于發(fā)生故障而引發(fā)的成本。然后，你還需要制定出一份風險評估，以擬定特定風險的概率和頻率。3．計算出停機所產(chǎn)生的成本。理解停工成本是非常重要的，這有助于幫助業(yè)務人員和IT部門擬定在每一個業(yè)務流程中可接受的停機時間和數(shù)據(jù)丟失，指導將來的技術和服務投資。4．發(fā)展影響的情況，不只是解決“劫難”，要解決所有的風險。業(yè)務部門和IT部門必須要同風險管理專家合作一起評估那些真正的破壞性事件的風險，例如，電力故障、IT故障、人為錯誤、設備故障、自然災害和人為災害。當管理者考慮劫難恢復的準備計劃時，他們通常是先考慮為那些反常的事件做準備，例如，颶風、地震和恐怖主義事件等等?，F(xiàn)實情況是，那些發(fā)生的劫難或重要業(yè)務的中斷最常見的因素通常是人為事件，例如，停電和IT故障。劫難恢復計劃者和IT運營專家必須要是管理人員明白劫難恢復的準備工作不僅僅是應對“劫難”而是應對那些像公司停工這樣的事故的發(fā)生。5．將劫難恢復(DR)看作是競爭的必要手段。假如你的公司停工，這就有也許為你的競爭對手提供機會擴大他們的市場份額。同樣，正常開工就可以與競爭對手有平等的機會競爭市場份額。這有助于重新提起關于劫難恢復的討論，要制定一份保險策略保證劫難恢復（劫難復原），將它作為一個競爭的必要手段。大多數(shù)公司，不只是金融服務公司都有一個備用的站點，并且運用先進的復制技術來保護數(shù)據(jù)。公司應當與同行或競爭對手保持一致。6．制定一個劫難恢復(DR)服務目錄。正如你與業(yè)務部