业务连续性和灾难恢复教案资料课件

《业务连续性和灾难恢复教案资料课件》由会员分享，可在线阅读，更多相关《业务连续性和灾难恢复教案资料课件（56页珍藏版）》请在装配图网上搜索。

1、业务连续性和灾难恢复Business Continuity and Disaster Recovery nCISSP第六版培训PPT之九关键知识领域nA.理解业务持续性要求nA.1 起草并记录项目范围与规划nB.进行业务影响分析nB.1 识别关键业务功能并进行优先排序nB.2 判断可接受的最长停工时间以及其他标准nB.3 评估运行中断的威胁（如本地范围、区域范围、全球范围）nB.4 定义恢复目标nC.制定恢复策略nC.1 实施备份存储策略（如异地存储、电子仓储、磁带轮换）nC.2 站点恢复策略nD.理解灾难恢复过程nD.1 应对nD.2 人员nD.3 通讯nD.4 评估nD.5 修复nD.6

2、提供培训nE.执行、评估与维护计划（如版本控制、发行）目录n业务连续性和灾难恢复（Business Continuity and Disaster Recovery）nBCP项目组成（BCP Project Components）n预防措施（Preventive Measures）n恢复策略（Recovery Strategies）n保险（Insurance）n恢复和重建（Recovery and Restoration）n测试和评审计划（Testing and Revising the Plan）业务连续性和灾难恢复n标准和最佳实践（Standards and Best Practices）

3、n使BCM成为企业安全计划的一部分（Making BCM Part of the Enterprise Security Program）灾难的定义n灾难（Disaster）是突发的、导致重大损失的不幸事件，包括：n自然的（Natural），如地震（Earthquakes）、洪水（Floods）、强对流天气（Storms）、火山爆发（Volcanic Eruptions）、自然火灾（National Fires）；n系统/技术的（System/Technical）,如硬件、软件中断（Outages）、系统/编程错误（Errors）；n供应系统（Supply Systems），通讯中断、配电系统

4、（Power Distribution）中断、管道破裂（Burst Pipes）；n人为的（Man-Made），爆炸（Explosions）、火灾（Fires）、故意破坏（Purposeful Destruction）、航空器坠毁（Aircraft Crashes）、有害物质泄漏（Hazardous Spills）、化学污染（Chemical Contamination）、有害代码（Malicious Code）n政治的（Political），如恐怖袭击（Terrorist Attacks）、骚乱（Riots）、罢工（Strikes）。机构的灾难n对于机构来说，任何导致机构关键业务功能在一定时

5、间内无法进行的事件都被视为灾难，其特点表现为：n计划之外的服务中断；n长时间的服务中断；n中断无法通过正常的问题管理规程得到解决；n中断造成重大损失。n中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的关键程度，以及中断的时间长短有关。灾难恢复计划和业务连续性计划高管业务线应用可用性数据机密性和完整性电信和网络资产管理业务连续性规划（BCP）IT灾难恢复计划业务连续性管理焦点重点目标解决方案要解决的问题积极的预防 响应和恢复技术 过程 人员企业高可用 服务水平管理 业务连续性计划实现和维护已选择的企业IT基础架构的可用性级别有效地管理和控制IT基础设施，以提高整体运行可靠性提供有效的计

6、划以最大限度地减少关键过程在重大中断事件停机时间可用性 可靠性 可恢复性业务连续性管理标准和最佳实践（Standards and Best Practices）标准和最佳实践（Standards and Best Practices）nBS25999的英国标准协会（BSI）的标准业务连续性管理（BCM）。此BS标准有两个部分：nBS25999-1：2006业务连续性管理规则实践。nBS25999-2：2007业务连续性管理规范。nISO/IEC27031：2011nISO22301待定国际标准的业务连续性管理体系。该规范文件对哪些组织将寻求认证。n该标准将取代BS25999-2。n2012年中

7、期公布n业务连续性协会的最佳实践指南（GPG）nDRI国际研究所的业务连续性规划师专业实务使BCM成为企业安全计划的一部分（Making BCM Part of the Enterprise Security Program）1234567包括全职角色和职责，以及虚拟团队这是任何安全计划的基础。政策需要反映公司遵守的法律法规和法定环境，即SOX，GLBA，FERPA，SBI386 HIPPA，PCI等。包括关键网络和其他资产，高价值系统以及在运输途中和敏感数据的其余所有地点1.系统配置开发和维护2.访问控制和身份管理3.员工意识和培训计划4.物理环境安全5.应用安全，开发和变更控制6.应急计划

8、（BCP和DR）7.风险评估和管理程序8.漏洞管理9.资产识别，控制和维护程序10.入侵检测，事件识别和处理程序11.文档保留和法规遵从策略12.人员安全13.数据分类和保护14.安全操作15.法律和法规遵从定义角色和职责开发策略识别所有涉及计算的资产开发标准开发过程审核和监控规划意识教育和培训规划BCP项目组成n项目范围Scope of the Project nBCP策略BCP Policy n项目管理Project Management n业务连续性计划要求Business Continuity Planning Requirements n业务相关性分析Business Impact

9、Analysis(BIA)n相互依存性Interdependencies BCP项目组成nBCP委员会n业务部门Business unitsn高级管理人员Senior managementnIT部门IT departmentn安全部门Security departmentn通信部门Communications departmentn法律部门Legal department项目范围n评估资源n了解公司业务重点和方向BCP策略n识别并记录政策的组成部分。n识别和定义BCP可能会影响组织的政策。n确定相关立法，法律，法规和标准。n咨询行业专家确定“最佳行业惯例”指导方针。n进行差距分析。找出该组织目

10、前实施连续性规划方面，并阐明在BCP执行完毕后它的愿景。n撰写新政策草案。n组织内有不同的部门审查草案。n把从各部门反馈加入修订草案。n获取最高管理层对新政策的批准。n发布最终草案，并在整个组织公布和分发。项目管理优势Strengths 弱点Weaknesses机会Opportunities威胁Threats 有帮助为实现该目标有害为实现该目标源于内部（组织的属性）源于外部（环境的属性）n优势n项目团队的特点，使其比其他团队具有更大的优势n弱点相对于其他团队，使该团队处于不利地位的特征机会可能有助于该项目的成功因素n威胁n可能有助于该项目的失败因素BCP项目的关目的关键角色角色n除了高级管理层

11、和项目负责人以外，BCP项目的关键角色还包括：-恢复团队（Recovery Teams），在灾难发生时进行评估、恢复、复原等相关工作的多个团队；-业务部门代表（Business Unit Representatives），识别机构的关键业务功能，协助恢复策略的选择和制定；-危机管理团队（Crisis Management Team），在灾难发生时进行重要决策和组织协调；-用户（Users），应了解丧失服务时各自的职责；-系统和网络专家（System and Network Experts），提供专业指导和建议；-信息安全部门（Information Security Department）-法

12、律代表（Legal Representatives）业务连续性计划要求业务相关性分析（BIA）建立内容风险管理风险识别风险分析（包括业务影响分析）风险评估风险处置监控审查沟通协调业务影响分析概述影响分析概述n在制定BCP之前必须进行业务影响分析（Business Impact Analysis，BIA），以确定机构关键的业务功能。nBIA包括定量（Quantitative）分析和定性（Qualitative）分析。其中，定量分析以货币的方式得出灾难或中断事件造成的影响；定性分析以划分严重程度的方式得出灾难或中断事件造成的影响。nBIA通过分析得出的数据和信息确定功能的最大允许中断时间（Maxi

13、mum Tolerable Downtime，MTD），据此可以确定 各项功能恢复的优先顺序。nBIA的成败关键在于收集相关数据，数据的来源可以包括各种统计数据、问卷调查和访问相关管理人员等。风险评估n组织中对时间最敏感的资源和活动所有的漏洞n组织的最紧迫的资源和活动的威胁和危害n削减重要服务和产品的可能性，长度或中断的影响措施n单点故障，就是威胁业务连续性的关键点n由于关键技能或技能严重缺乏造成的业务连续性风险n由于外包供应商和供应商造成的连续性风险nBCP计划没有涵盖本部门或者BCP计划并没有很好的落实而造成的业务连续性风险风险评估评价和流程n风险评估最终目标n确定和记录单点故障n根据威胁

14、制定组织特定业务流程优先列表n为开发风险控制管理策略汇总信息，并为解决风险制定行动方案识别风险接受记录，或记录确认不会被解决的风险BCP委员会需要梳理设备故障或不可用设备不可用工具（暖通空调，动力，通信线路）设备不可用关键人才变得不可用供应商和服务供应商变得不可用软件和/或数据损坏资产赋值关键的业务流程（1）薪金处理（2）时间和考勤报告（3）时间和考勤核对（4）时间和考勤批准业务流程（2）：时间和考勤报告关键的资源lLAN服务器lWAN访问l电子邮件l大型机访问l电子邮件服务器资源 恢复优先顺序lLAN服务器 高lWAN访问 中l电子邮件 低l大型机访问 高l电子邮件服务器 高确认关键的IT资

15、源来自用户、业务流程、所有者、应用程序所有者和其他相关组的输入确认中断的影响和允许的最长停工时间确定恢复优先次序相互依存性n定义基本业务功能和支持部门。n确定这些职能部门之间的相互依存关系。n发现可能影响必要的，让这些部门共同发挥作用的机制，所有可能的中断。n识别并记录可能破坏跨部门沟通的潜在威胁。n收集有关这些威胁的定量和定性信息。n提供恢复功能和通信的替代方法。n提供理由的一份简短声明中对每个威胁和相应的信息。预防措施n适当、成本低廉的预防性方法和主动采取的措施比反应性的方法更加优越。制定何种预防性机制应根据业务影响分析的结果来决定，但其中就包含以下这些内容：n设施建筑材料的强化。n冗余服

16、务器和通信连接。n从不同变压器接入的电源线路。n冗余供应商支持。n购买保险。n购买UPS和发电机。n数据备份技术。n介质保护安全装置。n增加关键设备的存货。n火灾探测和灭火系统。恢复策略恢复策略nRTO（Recovery Time Objectives）n在系统的不可用性严重影响到机构之间允许消耗的最长时间。nRPO（Recovery Point Objectives）n数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量。RPORTO周日小时分秒秒分小时日周磁带备份定期数据复制异步数据复制同步数据复制应用系统远程切换人工迁移磁带恢复恢复策略n业务流程恢复Business Proc

17、ess Recovery n设施恢复Facility Recovery n供给技术恢复Supply and Technology Recovery n选择软件备份设施Choosing a Software Backup Facility n终端用户环境End-User Environment n数据备份选择方案Data Backup Alternatives n电子备份方案Electronic Backup Solutions n高可用High Availability 业务流程恢复n业务流程是一组相互关联的步骤，它通过特定的决策活动完成一个特殊的任务。业务流程拥有可重复的起点和终点，它应该组

18、合公司提供的服务、资源和运作知识。必须了解以下重要的业务流程项目：n需要的角色n需要的资源n输入和输出的机制n工作流程步骤n需要的完成时间n与其它流程之间的接口n这将有助于团队确定相关威胁，并采用控制措施确保将流程中断造成的影响降到最小。设施恢复n完备场所（hot site）n优点n租用设施，几小时即可投入运行n高度可用性n常用于短期解决方案而非长期解决方案n可以进行年度检查n缺点n价格昂贵n硬件和软件的选择有限 n基本完备场所（warm site）和基础场所（cold site）n租用设施，只有部分设施n优点n便宜n成本较低，因此可以使用较长时间n如果使用所有权硬件或者软件，更为实用n缺点n

19、不能立即投入使用n不能进行年度运作测试n不能立即获得运作所需的资源设施恢复互惠协议两个或多个在IT配置和备份技术上相似或相同的机构签订正式协议互相做为对方的备用站点，或者联合租用一个备用站点。因为在发生灾难事件期间，每一个站点必须能够在承担自己的工作负荷之外支持其它站点，所以达成互惠协议时必须谨慎从事。互惠协议两个或多个在IT配置和备份技术上相似或相同的机构签订正式协议互相做为对方的备用站点，或者联合租用一个备用站点。因为在发生灾难事件期间，每一个站点必须能够在承担自己的工作负荷之外支持其它站点，所以达成互惠协议时必须谨慎从事。设施恢复n热站点（Hot Site）n冷站点（Cold Site）

20、n温站点（Warm Site）n移动站点（Mobile Site）n冗余站点（Redundant Site）设施恢复n多处理中心就是将处理任务分不到一个机构的多个不同的兼容数据处理中心，由这些中心分担处理工作，当某个中心发生灾难时，其他中心可以接替该中心处理的工作。这种方式需要处理中心维护比正常需要高出较多的处理能力，并且要确保各处理中心软件版本和数据的同步；n服务中心为多个机构提供数据处理服务，可以为客户提供灾难恢复期间的数据处理服务。服务中心如果为用户预留额外的处理能力，其成本也是很高的，所以提供灾难恢复服务的处理中心并不多。不同站点之不同站点之间的区的区别n热战的的优点点-几个小时内即可

21、投入运行。-高度的可用性。-只适合用作短期而非长期解决方案。-可以进行年度检查。n热战的缺点的缺点-非常昂贵。-硬件和软件选择有限。n温站和冷温站和冷战的的优点点-比较便宜。-由于成本较低，可以使用更长时间。-如果使用所有权硬件或软件，则温站和冷战更加实用。n温站和温站和冷冷战的缺点的缺点-不能立即投入使用。-不能进行年度运作检查。-不能立即获得运作所需的资源。供给技术恢复n硬件备份n供应商协议，与硬件、软件和支持供应商签订紧急维护服务的SLA。n设备存货，预先采购所需的设备并将其存储到安全的离站地点。n现有的兼容设备，现在库存的设备、租用的热站点中使用的设备以及部门中其他机构使用的设备。n软

22、件备份n许多公司出资给软件供应商开发专用的软件，而当软件供应商破产后，客户并不能访问整个公司所依赖的软件的代码。业务连续性计划委员会需要在分析过程中把这个问题确定为一种脆弱性，并采取预防性措施软件托管。n软件托管：n指由第三方机构保存源代码、编译代码备份、手册和其他支持材料。软件供应商、客户和第三方机构应签署一份合约，说明什么时候、谁能够怎样处理源代码。这份合约通常会规定，只有在供应商倒闭，无法完成合约规定的责任，或供应商违反原始合约的情况下，客户才能访问源代码。如果发生上述情况，客户仍然能够通过第三方托管机构访问源代码和其他材料，使它的权益得到保护。选择软件备份设施n文档和票据的应急考虑：n

23、重要的文件、资料包括应急计划本身应该有离站存储，并且在紧急情况发生是能够获得和使用。nBCP和DRP文档n计划应该有两或三个副本，其中一个副本保存在主要场所，而其他副本则应保存在另外的地方，以防主要设施遭到破坏。通常应分别在业务连续性计划协调员家中和异地设施保存一个副本，这样做可以降低在需要时无法取得计划的风险。n这些计划不用保存在文件柜中。而应保存在防火的保险柜内。在异地设施中保存时，它们获得的保护应该和主要场所获得的保护相当。选择软件备份设施n人力资源n重大事件发生后，首要问题是保护人的生命。n平时加强员工培训和制定相关文档有助于事件发生后员工采取有效的应急措施。n重大事件发生后，员工首先

24、考虑的是保护其家庭和财产而不是进行工作，所以要考虑雇佣额外或临时工作人员的问题。n组织应该制定好管理人员继任规划。这表示如果一名高级管理人员退休、离开公司或遇害，组织可以执行预先制定的步骤来保护公司。继任计划规定谁将接管并承担这个职位的责任。终端用户环境n业务连续性计划团队需要理解当前的运作和技术工作环境，分析其关键部分，以便对他们进行复制。n将管理人员的结构表示成树状，如果灾难发生，由位于树顶的那个人通知他下面的两名管理员，这两名管理者再次依次通知他们下面的三名管理者，直到通知到所有的管理者。n那些执行关键功能的员工必须首先返回工作岗位。因此用户环境的恢复应分阶段完成。第一个阶段负责恢复最关

25、键部门的运作，第二个阶段恢复第二重要的工作，依此类推。n如有必要，应该手动执行当前的自动化任务。数据备份选择方案n完全备份（Full Backup），顾名思义，就是对所有数据进行备份，并将其保存在某种类型的某种类型的存储媒质中。n差异备份（Differential Backup）对上次完全备份后发生改变的文件进行备份。n增量备份（Incremental Backup）备份在上次完全备份或增量备份后发生改变的所有文件n不能将差量备份和增量备份混杂起来。这种重叠可能造成文件丢失。电子备份方案n同步复制也被称为镜像复制（Mirroring）n主服务器的变化被同时添加到复制服务器nRTO可减小到几个小

26、时，RPO可被减少为未提交工作的损失。n会降低主服务器的性能，带宽要求高n适用于可用性要求很高的应用。n同步复制也被称为镜像复制（Mirroring）n主服务器的变化被同时添加到复制服务器nRTO可减小到几个小时，RPO可被减少为未提交工作的损失。n会降低主服务器的性能，带宽要求高n适用于可用性要求很高的应用。电子备份方案高可用n冗余-容错-故障转换n通过负载均衡（Load Balance），流量可以被动态分配到一组运行相同应用程序的多个服务器上。n负载均衡既可以提高整个系统的性能，又可以在服务器出现故障时将该服务器承担的服务分配到运行中的服务器执行。n在不同站点的服务器之间进行的负载均衡还可

27、以在某一站点无法提供服务时将该站点承担的服务分配到运行中的站点执行。高可用托管资源层资源资源资源资源远程系统网关网络故障切换器异地复制存储库LDAP存储库应用层数据层应用服务器应用服务器身份管理身份管理可选防火墙负载均衡负载均衡数据库集群应用层负载均衡负载均衡Web层（DMZ）Web服务Web服务资源终端用户界面管理员用户界面资源终端用户界面内部（内联网）用户外部（内联网）用户保险n在业务影响分析阶段，团队很可能发现几个组织无法预防的威胁。为这些威胁承担全部风险往往非常危险，这就是我们购买保险的原因。n决定是否为某一特定的威胁购买保险，以及在选择保险时购买多大的保险范围，应取决于在业务影响分析

28、阶段确定的威胁发生的可能性和潜在损失。保证购买的保险覆盖范围能填补当前预防性措施留下的空白。n公司应当每年对购买的保险进行审核。恢复和重建n为计划制定目标Developing Goals for the Plansn实现战略Implementing Strategies 恢复和重建n修复小组（restoration team）应负责获取备用站点到工作和运行环境，使备用站点投入运行n救援团队（salvage team）应该是负责开始恢复原始站点时间表响应恢复重新开始时间零点事件整体恢复目标：尽可能快地恢复正常在几分钟到几小时：在几分钟到天几周到几个月为计划制定目标n责任n每个参与恢复和连续性计划

29、的个人都应该有书面的责任，保证在一个混乱的局面清醒的认识自己的职责。n权威n在危机时期，重要的是要知道谁是负责人。n优先n非常重要的是知道什么是关键的哪些是次要的。n实施和测试n一旦制定了连续性计划，就必须将他付诸实现。实现战略n恢复行动的顺序（Sequence of Recovery Activities）n行动的顺序应该反映出系统允许的中断时间，以避免对相关系统及其应用的重大影响。n恢复规程（Recovery Procedures）n恢复规程应该按照直接和逐步的风格书写。n为了防止在紧急事件中产生困难或混乱，不能假定或忽略规程的步骤。n检查列表的形式有助于撰写顺序的恢复规程和在系统无法正常

30、恢复时解决问题。实现战略n恢复原站点n确保充足的基础设施支持，如电源、供水、电信、安全、环境控制、办公设备和用品 n安装系统硬件、软件和固件。此行动应该包括与恢复阶段类似的详细恢复规程n测试系统n测试系统运行以确保完全的功能性n备份应急系统中的运行数据并上载到被恢复系统中n终止操作n关闭应急系统、终止应急操作n对应急站点的所有敏感材料加以保护、清除和或重新配置n安排恢复人员回到原设施测试和评审计划n检查列表测试Checklist Test将计划分发到各职能部门，每个部门对计划的要素进行逐一检查以确保计划涉及到了所有应该考虑的因素。n结构化分布排练测试Structured Walk-Throug

31、h Testn召集职能部门的代表检查计划的细节，包括计划的每一个步骤和相关规程以确保其正确性。nSimulation Test在模拟中断场景下执行应急计划以检验所有运行和支持功能在各种中断情况下的响应能力。不涉及到备用站点的实际部署。n并行测试Parallel Testn是对备用站点的实际运行测试，将关键系统部署到备用站点并且运行以检验其运行效果并与主站点的系统进行比较。测试和评审计划n完全中断测试Full-Interruption Testn完全关闭正常运行的系统，使用离站存储的资源和应急团队在备用站点运行系统关键功能n其他类型测试Other Types of Training 除了灾难恢复

32、培训之外，还应该就其他问题接受培训n应急响应Emergency Response制定好的行动计划，用于帮助人们在危急情况下能够更好地应付遭到的破坏计划更新n因为应急计划所涉及的各种因素如业务重心的转移、技术的发展、人员的变动都会影响到应急计划的效率和可行性，所以应急计划应该根据这些因素的变化进行更新。n对应急计划的测试可以发现应急计划中的错误和缺陷以便对应急计划进行必要的修改。不同机构根据其特点可采取不同的更新频率，但是应急计划一年至少应该进行一次测试和调整，在所涉及的因素发生重大变化时应随时更新。n应急计划的更新和修改应该纳入更改管理（change management）系统中进行。维护计划n原因n业务连续性过程没有整合入变更管理过程n基础架构和环境发生变化n公司进行重组、裁员或合并n硬件、软件和应用程序发生变化n制定计划后，人们认为没有必要再做其他的工作n人员发生更换n大型计划要进行许多维护工作n计划并不直接带来利润n方法n使业务连续性成为每个业务决策的一部分n将维护责任整合入职位描述n将维护工作表现包含在个人评估中n执行包括灾难恢复、连续性文档与措施的内部审计n进行应用计划的常规演习n将BCP整合入当前的变更管理过程维护计划交流和讨论n09 七月 2023