企业信息系统容灾风险评估报告

1、PAGE 企业信息系统容灾风险评估报告目 录 TOC o 1-5 h z u HYPERLINK l _Toc523644098 1综述 PAGEREF _Toc523644098 h 5 HYPERLINK l _Toc523644099 1.1项目背景 PAGEREF _Toc523644099 h 5 HYPERLINK l _Toc523644100 1.2文档导读 PAGEREF _Toc523644100 h 5 HYPERLINK l _Toc523644101 1.3术语及约定 PAGEREF _Toc523644101 h 5 HYPERLINK l _Toc52364410

2、2 1.4风险评估结论简述 PAGEREF _Toc523644102 h 6 HYPERLINK l _Toc523644103 2IT基础架构风险评估及建议 PAGEREF _Toc523644103 h 9 HYPERLINK l _Toc523644104 2.1网络架构 PAGEREF _Toc523644104 h 9 HYPERLINK l _Toc523644105 2.1.1现状概述 PAGEREF _Toc523644105 h 9 HYPERLINK l _Toc523644106 2.1.2风险评估及建议 PAGEREF _Toc523644106 h 10 HYPER

3、LINK l _Toc523644107 2.2服务器架构 PAGEREF _Toc523644107 h 13 HYPERLINK l _Toc523644108 2.2.1现状概述 PAGEREF _Toc523644108 h 13 HYPERLINK l _Toc523644109 2.2.2风险评估及建议 PAGEREF _Toc523644109 h 13 HYPERLINK l _Toc523644110 2.3虚拟化架构 PAGEREF _Toc523644110 h 13 HYPERLINK l _Toc523644111 2.3.1现状概述 PAGEREF _Toc5236

4、44111 h 13 HYPERLINK l _Toc523644112 2.3.2风险评估及建议 PAGEREF _Toc523644112 h 13 HYPERLINK l _Toc523644113 2.4存储架构 PAGEREF _Toc523644113 h 13 HYPERLINK l _Toc523644114 2.4.1现状概述 PAGEREF _Toc523644114 h 13 HYPERLINK l _Toc523644115 2.4.2风险评估及建议 PAGEREF _Toc523644115 h 13 HYPERLINK l _Toc523644116 2.5备份系统

5、架构 PAGEREF _Toc523644116 h 14 HYPERLINK l _Toc523644117 2.5.1现状概述 PAGEREF _Toc523644117 h 14 HYPERLINK l _Toc523644118 2.5.2风险评估及建议 PAGEREF _Toc523644118 h 14 HYPERLINK l _Toc523644119 2.6数据库架构 PAGEREF _Toc523644119 h 14 HYPERLINK l _Toc523644120 2.6.1现状概述 PAGEREF _Toc523644120 h 14 HYPERLINK l _Toc

6、523644121 2.6.2风险评估及建议 PAGEREF _Toc523644121 h 14 HYPERLINK l _Toc523644122 3应用系统架构风险评估及建议 PAGEREF _Toc523644122 h 15 HYPERLINK l _Toc523644123 3.1现状概述 PAGEREF _Toc523644123 h 15 HYPERLINK l _Toc523644124 3.1.1信息系统业务架构 PAGEREF _Toc523644124 h 15 HYPERLINK l _Toc523644125 3.1.2信息系统关联关系 PAGEREF _Toc52

7、3644125 h 16 HYPERLINK l _Toc523644126 3.1.3信息系统物理部署架构 PAGEREF _Toc523644126 h 17 HYPERLINK l _Toc523644127 3.2风险评估及建议 PAGEREF _Toc523644127 h 18 HYPERLINK l _Toc523644128 4数据中心基础环境调研 PAGEREF _Toc523644128 h 19 HYPERLINK l _Toc523644129 4.1地理区域地质及气候 PAGEREF _Toc523644129 h 19 HYPERLINK l _Toc5236441

8、30 4.1.1地质灾害 PAGEREF _Toc523644130 h 19 HYPERLINK l _Toc523644131 4.1.2气候环境 PAGEREF _Toc523644131 h 19 HYPERLINK l _Toc523644132 4.2生产数据中心周边环境及基础设施 PAGEREF _Toc523644132 h 21 HYPERLINK l _Toc523644133 5风险计算 PAGEREF _Toc523644133 h 26 HYPERLINK l _Toc523644134 5.1风险资产（Asset）定义与赋值 PAGEREF _Toc52364413

9、4 h 26 HYPERLINK l _Toc523644135 5.1.1资产定义 PAGEREF _Toc523644135 h 26 HYPERLINK l _Toc523644136 5.1.2资产赋值 PAGEREF _Toc523644136 h 27 HYPERLINK l _Toc523644137 5.1.2.1基础设施类 PAGEREF _Toc523644137 h 27 HYPERLINK l _Toc523644138 5.1.2.2人员类 PAGEREF _Toc523644138 h 28 HYPERLINK l _Toc523644139 5.1.2.3管理类

10、PAGEREF _Toc523644139 h 28 HYPERLINK l _Toc523644140 5.1.2.4信息系统类 PAGEREF _Toc523644140 h 28 HYPERLINK l _Toc523644141 5.1.2.5数据类 PAGEREF _Toc523644141 h 28 HYPERLINK l _Toc523644142 5.2威胁（Threat）识别与赋值 PAGEREF _Toc523644142 h 29 HYPERLINK l _Toc523644143 5.2.1威胁等级说明 PAGEREF _Toc523644143 h 29 HYPERL

11、INK l _Toc523644144 5.2.2威胁赋值列表 PAGEREF _Toc523644144 h 29 HYPERLINK l _Toc523644145 5.2.2.1基础设施类 PAGEREF _Toc523644145 h 29 HYPERLINK l _Toc523644146 5.2.2.2人员类 PAGEREF _Toc523644146 h 30 HYPERLINK l _Toc523644147 5.2.2.3管理类 PAGEREF _Toc523644147 h 31 HYPERLINK l _Toc523644148 5.2.2.4信息系统类 PAGEREF

12、_Toc523644148 h 31 HYPERLINK l _Toc523644149 5.2.2.5数据类 PAGEREF _Toc523644149 h 31 HYPERLINK l _Toc523644150 5.3脆弱性（Vulnerability）识别 PAGEREF _Toc523644150 h 31 HYPERLINK l _Toc523644151 5.3.1脆弱性等级说明 PAGEREF _Toc523644151 h 31 HYPERLINK l _Toc523644152 5.3.2脆弱性赋值列表 PAGEREF _Toc523644152 h 32 HYPERLIN

13、K l _Toc523644153 5.3.2.1基础设施类 PAGEREF _Toc523644153 h 32 HYPERLINK l _Toc523644154 5.3.2.2人员类 PAGEREF _Toc523644154 h 36 HYPERLINK l _Toc523644155 5.3.2.3管理类 PAGEREF _Toc523644155 h 37 HYPERLINK l _Toc523644156 5.3.2.4信息系统类 PAGEREF _Toc523644156 h 37 HYPERLINK l _Toc523644157 5.3.2.5数据类 PAGEREF _To

14、c523644157 h 40 HYPERLINK l _Toc523644158 5.4风险分析计算 PAGEREF _Toc523644158 h 40 HYPERLINK l _Toc523644159 5.4.1风险计算公式 PAGEREF _Toc523644159 h 40 HYPERLINK l _Toc523644160 5.4.2风险等级定义 PAGEREF _Toc523644160 h 41 HYPERLINK l _Toc523644161 5.4.3风险计算结果 PAGEREF _Toc523644161 h 41 HYPERLINK l _Toc523644162

15、5.4.3.1基础设施类 PAGEREF _Toc523644162 h 41 HYPERLINK l _Toc523644163 5.4.3.2人员类 PAGEREF _Toc523644163 h 43 HYPERLINK l _Toc523644164 5.4.3.3管理类 PAGEREF _Toc523644164 h 43 HYPERLINK l _Toc523644165 5.4.3.4信息系统类 PAGEREF _Toc523644165 h 43 HYPERLINK l _Toc523644166 5.4.3.5数据类 PAGEREF _Toc523644166 h 44 HY

16、PERLINK l _Toc523644167 6风险评定及改进措施建议 PAGEREF _Toc523644167 h 46 HYPERLINK l _Toc523644168 6.1风险处置小结 PAGEREF _Toc523644168 h 46 HYPERLINK l _Toc523644169 6.2改进措施建议 PAGEREF _Toc523644169 h 46 HYPERLINK l _Toc523644170 7灾难场景 PAGEREF _Toc523644170 h 48 HYPERLINK l _Toc523644171 7.1残余风险 PAGEREF _Toc52364

17、4171 h 48 HYPERLINK l _Toc523644172 7.2灾难场景 PAGEREF _Toc523644172 h 49 HYPERLINK l _Toc523644173 附录一 风险评估理论依据及方法论 PAGEREF _Toc523644173 h 51 HYPERLINK l _Toc523644174 7.3理论依据 PAGEREF _Toc523644174 h 51 HYPERLINK l _Toc523644175 7.4方法论 PAGEREF _Toc523644175 h 53综述项目背景为提升信息系统风险控制能力，应对可能发生的信息系统灾难，保障业务健

18、康可持续发展和战略目标的顺利实现，xx公司于2018年8月启动灾备体系建设专项工作。鉴于灾备建设复杂性，确立灾备咨询项目，并通过该项目的招投标过程，委托灾备咨询团队提供从现状调研分析、灾备需求评估、架构方案设计、集成实施指导到灾备演练等咨询服务。咨询团队2018年9月中旬进场，开展信息系统现状调研分析、需求评估、技术选型及容灾架构设计等相关工作，涉及生产、销售、人财物、采购、IT基础等系统在内的20个AA级业务系统，本报告为该灾备咨询项目规划设计阶段的成果交付物组成部分，对信息系统现状调研的基础数据做梳理与整合，深入分析了应用关联关系，为后续业务影响分析、灾备能力评估、灾备策略制定及灾备架构方

19、案设计提供输入和依据。文档导读为便于了解文档整体情况，快速定位所关注章节，文档结构介绍如下：第1章：综述，简介项目背景、文档结构、术语及约定、评估结论简述第2章：IT基础架构风险评估及建议，涵盖网络、服务器、存储、备份、数据库等各个部分的问题汇总及建议第3章：应用系统架构风险评估及建议，梳理20个应用系统架构、关联关系等方面存在的问题汇总及建议第4章：数据中心基础环境调研，梳理汇总现场勘察、调研、问卷访谈数据第5章：风险计算，根据风险分析方法论，据收集信息做各项资产风险计算和分析，根据各项资产属性分类说明风险分析结果第6章：风险评定及改进措施建议第7章：灾难场景，阐述残余风险及可能的灾难场景附

20、录1：风险评估理论依据与方法论，阐述理论依据以及本项目实施的方法论术语及约定本文档中所涉及到的专业术语及约定，解释如下：AS-AZS：Australian/New Zealand Standard，澳大利亚/新西兰标准组织BSI：British Standards Institution，英国标准机构NIST: National Institute Standards Technology，美国国家标准和技术委员会ISO/IEC：International Organization for Standardization/ International Electro Technical Com

21、mission，国际标准化组织/国际电工委员会GB/T：中华人民共和国国家标准/推荐资产：对单位具有价值的任何东西。资产价值：资产的重要程度和敏感程度。资产价值是资产的属性，也是进行资产评估的具体内容。威胁：可能对资产或单位造成损害的事故的潜在原因。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。脆弱性：资产或资产中能被威胁利用的弱点。风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。风险分析：是对各方面

22、风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。保密性：使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。完整性：保护信息及处理方法的准确性和完备性。可用性：已授权实体一旦需要就可访问和使用的特性。安全事件：如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为安全事件。安全事件是进行威胁评估时所要考虑的内容。安全需求：为保证单位的业务战略能够正常行使，在信息安全保障措施方面提出的要求。安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪

23、而实施的各种实践、规程和机制的总称。风险评估结论简述（注：此节扼要表述风险评估结论，详细的数据中心基础环境调研、风险分析计算、风险评定与处置建议参见后续第3、4、5章节。）参照国家标准，将生产数据中心的风险等级定义如下：1风险极低，几乎可以忽略2风险低，持续审计，将对其风险监控融入到日常工作中3风险中，建议加强现有技术、管理措施，降低风险4风险高，建议近期制定风险处置措施5风险极高，建议立即制定风险处置措施表1-1 风险等级定义根据风险分析方法论，对xx公司生产数据中心资产分类如下：图1-1 资产分类通过风险分析与计算过程，整体评估结论表述如下：基础设施类整体为低风险，供电系统中的供电设备故障

24、处于2级风险等级，其他在2级风险等级以下， 其中相对较高的风险在供电系统。人员类风险水平较低，1级以下，普遍处于可以接受的水平（素质技能类误操作单项风险稍高）。管理类风险水平较低，应急管理处于相对较高的风险等级（第2级），主要表现在应急管理体系未有效建立，应急机制及预案未经实战考验，缺乏可实施性和可操作性。信息系统类各综合风险值接近，风险较高， 处于2级风险等级。主要表现在软硬件故障威胁，欠缺IT应急预案，系统高可用性不足。数据类风险相对较高（3级风险），电子数据损坏丢失风险较高，主要表现在备份间隔较长，基于业务需求的数据保护SLA不完善，备份数据范围不完整，无定期恢复性测试等方面。IT基础架

25、构风险评估及建议IT基础架构风险评估，分析对象包括：总体网络架构、数据存储架构、数据处理系统架构、数据备份系统架构等；包括以下风险分析和改善建议：网络网段的对应用系统影响；各网络分区及分区之间的隔离；MSTP应用; 网络存储的卷；应用系统部署；时间服务器的风险分析和改善建议等网络架构现状概述1、业务区（分为办公及生产）业务区分为A业务区及业务区A业务区核心使用两台4506交换机作为核心网关，两台核心之间使用HSRP协议进行网关热备，汇聚使用3750交换机堆叠，接入为2960交换机，两台无线AC旁挂到核心4506作为热备，二层集中式转发业务流量，业务区设备二层使用PVST协议防止环路，核心上联通

26、过OSPF三层路由到IDC机房两台N5K业务区核心两台4506交换机做VSS虚拟化为核心，汇聚使用3750交换机(每两台VSS堆叠)，接入为2960交换机，汇聚、核心及B业务区IDC机房两台N5K交换机使用OSPF三层互联，用户业务网关在汇聚3750设备上，3750与2960使用PVST协议防环2、核心区(IDC服务器区域）核心区分为IDC A和IDC B区域A业务区和B业务区IDC区域分别为两台N5K交换机，两区N5K之间使用波分设备互联，二三层混跑，三层使用OSPF互联，二层波分复用光纤trunk服务器业务VLAN（由于机房机柜已满，相同业务服务器在），网关在N5K黄浦IDC区N5K下联使

27、用N3K作为服务器区接入设备，部分业务服务器使用Radware负载均衡设备接入3、分支机构区A业务区核心N5K下挂多台3750交换机，3750交换机下挂SSG520防火墙及路由器，使用静态路由连接各地区分支机构，SSG520防火墙做分支机构访问控制策略4、互联网区（含DMZ及专线区）黄浦区核心N5K连接深信服流控设备，作为网络准出控制，深信服AC连接ISG1000防火墙，ISG1000防火墙分为3个Vrf，分别指向三个运营商出口，在出口的LinkProot设备做出方向负载均衡。DMZ区连接到ISG1000防火墙，作为内部业务服务器反向代理，使用192.168网段，使公网用户可访问内网服务器业务

28、。专线区域有多台路由器防火墙设备，通过互联网区域的2960堆叠设备连接公网，借用公网地址，使分支机构特约店等用户可通过专线及SSLVPN方式连接总部。风险评估及建议1、业务区（分为办公及生产）网关下沉业务网关配置从4506下沉至汇聚3750，网关目前在园区核心4506，二层广播域太大，一旦出现网络环路及病毒，将影响整网运行，风险较大，4506至3750之间建议使用OSPF三层互联，只透传互联VLAN增加冗余线路目前和间园区网通过IDC核心N5K及一对波分设备互联，建议和园区核心4506之间新增一条专线三层EBGP互联，确保核心故障情况下，园区间通信正常，园区汇聚至园区核心存在单线互联，建议增加

29、线路OSPF规划OSPF规划目前全网使用OSPF AREA0互联，后续建议两个园区间使用EBGP互联，本园区内采取生产和办公分区原则，生产为区域1，办公为区域1，核心4506为区域0，方便后续路由发布控制及访问策略控制STP规划网关下沉至3750后，每个汇聚3750为一个二层网络域，当前网络内使用的PVST，后续建议开启MSTP减少设备计算负担同时可以兼容第三方设备（与第三方），3750设备设置为根桥，并配置根桥保护功能，防止私接设备抢占根桥导致网络故障，与PC互联接口开启stp边缘端口并配置BPDU保护功能，防止业务接口UP/DOWN频繁出现TC报文刷新网络配置优化由于现网经过多次割接业务变

30、动，存在部分多余配置，需梳理业务流量，删除无用配置，增删部分接口描述，确保接口描述准确，修剪接口VLAN，确保接口只透传业务VLAN，将未使用接口手工shut，防止人员误接网管权限优化建立带外网管网目前现网中为数不多需要全网透传的VLAN之一即为管理VLAN，在组网变动中，管理VLAN极易产生环路，建议全部使用管理口连接管理交换机，设置安全登录策略，只有通过特定的堡垒机才可登录网络，预防网络攻击2、核心区(IDC服务器区域）负载均衡建议增加全局负载均衡及内网负载均衡业务间互访切换为DNS解析，服务器区域增加业务负载均衡，全局负载均衡实现和数据中心双活，服务器区负载均衡实现业务负载增加冗余线路当

31、前网络条件下，业务分部在两个数据中心，通过增加一对DWDM设备冗余线路，来保障业务转发路径优化建议使用VXLAN技术，跨三层打通二层，采用分布式网关，使业务转发路径最优机房级别灾备与各新加入两台核心设备，只用于路由及数据转发控制，互联所有区域服务器分区当前所有服务器处于一个大的二层网络域内，一旦出现广播风暴，则危及全网，建议按照业务种类将服务器区分区，每个区域增加一台防火墙配置优化由于现网经过多次割接业务变动，存在部分多余配置，需梳理业务流量，删除无用配置，增删部分接口描述，确保接口描述准确，修剪接口VLAN，确保接口只透传业务VLAN，将未使用接口手工shut，防止人员误接网管权限优化建立带

32、外网管网目前现网中为数不多需要全网透传的VLAN之一即为管理VLAN，在组网变动中，管理VLAN极易产生环路，建议全部使用管理口连接管理交换机，设置安全登录策略，只有通过特定的堡垒机才可登录网络，预防网络攻击3、外联区（包括分支机构及互联网区）出口单一，当前两个IDC出口唯一，一旦IDC出口出现问题，IDC业务对外将不可用，建议在IDC增加互联网出口，分支机构需要专线连接至两个数据中心，在中心建立新的DMZ区域，当业务出现问题，可之间提供业务。服务器架构现状概述风险评估及建议虚拟化架构现状概述风险评估及建议存储架构现状概述风险评估及建议备份系统架构现状概述风险评估及建议数据库架构现状概述xx公

33、司信息系统中22个AA级系统，主要运行DB2数据库，包括Windows/Linux/AIX /OS400等多个操作系统平台，数量为其他CRM系统使用ORACLE数据库，FMS系统使用MS SQL SERVER。数量统计：DB2数据库15套，Oracle数据库3套，SQL SERVER数据库1套。数据库主要用作OLTP用途，数据库通过操作系统HA软件实现高可用性，没有采用数据库本身提供的高可用功能。数据库主要运行在X86/Power/AS400等服务器平台，存储设备方面，数据中心存储在EMC CX4-120上，数据中心存储在NetAPP FAS3250上；数据备份采用COMMVALUT集中备份和

34、本地相结合的方式，当前刚结束第1期备份项目的实施，计划进行第2期；ACURA DMS系统采用独立的存储和备份设备。目前数据库层面除了本地的操作系统高可用，没有部署类似于DB2 HADR方式的数据库高可用容灾恢复环境。风险评估及建议序号问题影响建议优先级1数据库服务器存在单点故障风险，如FMS,CMS,ETL,CRM系统数据库目前处于单点状态数据库运行稳定性AA系统的数据库建议采用高可用性双机方式部署，并配置足够冗余资源；高2数据库未打开归档模式，如EPS,DCS,CMS,SSO, CRM系统数据库目前没有打开归档模式数据备份完整性，可恢复性AA系统的数据库建议打开归档模式，并且完善备份策略；高

35、3备份恢复验证缺乏定期验证数据库备份的可恢复性AA系统的数据库建议定期验证备份的可用性中应用系统架构风险评估及建议应用系统架构风险评估，识别xx公司重要信息系统资产，分析重要信息系统内部物理架构及资源配置所存在的风险因素。现状概述信息系统业务架构本项目范围包括业务应用系统和IT基础服务系统共约100个左右，其中约有40多个A级以上系统，20个AA级系统。xx公司按重要度、紧急度、影响度划分系统等级，满分15分：AA级系统(12-15分)、A级系统(8-11分)、B级系统(1-7分)。 下面列出了20个AA级系统，涉及销售、生产、采购、人财物和IT公共服务，这20个AA级系统，有的部署在，有的部

36、署在，有的在二个数据中心都有部署，是本次项目的重中之重。 序号系统名称序号系统名称1DCS/数据传输系统11GMES/xx公司制造执行系统2HiPack-P/零部件销售系统12EPS/电子采购系统3OSM/整车销售管理系统13FMS/用友财务系统4DMS/特约店管理系统14CMS/合同管理系统5CRM/客户关系管理系统15EMA/邮件系统6ACURA DMS/讴歌DMS系统16RSA7HiPack-F/生产管理系统17SSO/xx公司统一认证平台8SRS/安全气囊系统18AD/域控9VQC/整车品质检测系统19ETL/数据传输平台10SIP/生产打印系统20ESB/企业服务总线20个AA级系统

37、根据承担业务功能，进行如下的划分。信息系统关联关系xx公司生产环境中业务应用的主要关联关系如下图：注：该图表仅反映AA的应用系统梳理其间关联关系，不反映生产环境中所有应用的全部关联关系，特别说明。xx公司信息系统根据所属业务实体区分为生产系统，销售系统，人财物系统，采购系统，IT基础架构五个部分。上图通过不同的虚框做区分标示。（ESB、ETL隶属于IT基础架构）。信息系统物理部署架构根据项目背景部分内容，及项目启动之后的信息收集调研，我们完成如下的信息系统物理架构，主要覆盖应用系统物理部署、服务器存储架构、数据中心部署等部分内容。风险评估及建议序号问题影响建议优先级1本地高可用：AS400环境

38、FMSSSO等系统无本地高可用或只有冷备份。应用系统稳定性，造成单点故障完善本地高可用集群：1.在成本允许的情况下，完善和数据中心AS400系统的本地高可用集群架构。2.调整FMSSSO系统由冷备份为双机集群热备份架构。高2数据备份：DCSCRMSSO系统数据库无热备份，应用服务器备份策略不完善。数据备份不够完整，影响数据的可恢复性完善数据备份策略（详见数据库及备份部分建议）：1.启用DCSCRMSSO等系统数据库归档模式，完善数据库在线热备份策略。2.完善各系统应用程序数据及非结构化数据备份策略。中3系统架构：EPSCMS,RBSDCS系统应用和数据库跨数据中心部署。降低应用系统运行效率、稳

39、定性等调整应用与数据库跨数据中心部署架构：1.EPS系统应用部署于，数据库部署于，建议完善网络DMZ建设，迁移EPS应用服务至。2.CMS、RBS系统、DCS系统数据库当前部署于，应用部署于，建议迁移这2个系统的数据库服务至。（根据当前计划，该迁移工作预计17年内完成。）高4系统容量、性能：EMA系统存在容量及性能方面的瓶颈。降低应用系统稳定性、合规性等提升应用系统存储容量或处理能力：1.EMA邮件系统中归档模块，建议升级存储容量以满足邮件归档5年的法规要求。(参考美国萨班斯法案相关规定）2.EMA邮件系统存在一定IO瓶颈，建议考虑使用磁盘阵列代替当前的服务器内置硬盘。中5软件版本：EMADC

40、SCMSAD等系统的应用系统、数据库、操作系统版本较低，需要进行升级。降低应用系统稳定性、可维护性整合升级系统软件版本：1.EMA邮件系统升级exchange版本，应对当前版本2020年停止支持服务。2.DCS、CMS等系统DB2数据库从V9.7.5版本迁移升级为V10.5.7。3.AD操作系统版本从windows2003和windows2008整合升级为windows2012。中6业务访问与认证：业务系统访问方式IP与域名并存；用户认证体系域、SSO、本地系统认证并存。增加系统复杂性整合应用访问与认证方式：1.建议改造部分通过IP地址访问的系统为域名访问。2.建议整合统一系统认证方式，域、S

41、SO、本地系统。中数据中心基础环境调研地理区域地质及气候xx公司当前生产数据中心位于AA市A业务区和B业务区。以下是AA市地理区域的地质灾害与气候的简要说明，作为数据中心基础设施类相关风险的评估依据。数据分别来自AA市地震局、气象局及市政府网站。地质灾害AA市地形地貌特征：AA市地处东经113.2，西经23.1，海拔43.4米。总结来说，AA市地形地貌特征为：(1)以山地为主的东北部区域；(2)以中低山和丘陵为主的中部区域；(3)以平原为主的南部区域。AA市由于地形地质条件较为复杂，局部断裂构造较发育，雨水充沛，降雨时空分布不均匀等自然环境条件影响，特别是经济的高速发展时期，人类工程活动强烈，

42、地质灾害时有发生。全市已发地质灾害类型有崩塌、滑坡、泥石流、地面塌陷、地面沉降、软土地基沉降及水土流失。自1067年广东地区记录到有M4.75级地震以来,广东省及其海域共发生M4.75级地震54次,其中M4.754.9级地震18次,M5.0-5.9级地震26次,M6.06.9级地震8次(不含本图区外海域地震6次),M7级地震2次(不含本图区外海域地震1次)。两次7级地震均发生在南澳（1600年，1918年）。1918年南澳的7.3级地震是广东最大的地震。6级地震分别发生在南澳、揭阳、海丰、河源、阳江等地区。自公元288年6月7日（晋武帝太康九年四月辛酉）有地震记载以来，广州共记录到3级以上的有

43、感地震24次，其中3-3.5级15次，4-4.5级7次，4.75级1次，5-5.5级1次，最大的这次是在1372年（明太祖洪武年间）9月17日。AA市抗震设防：AA市（除花都区外的九个市区）抗震设防烈度为7度，设计基本加速度值为0.01g。气候环境AA市属南亚热带季风气候区，气候资源十分丰富。由于地处低纬，南面是浩瀚的南中国海，因此海洋和大陆对广州气候都有非常明显的影响。AA市各地年平均气温在21.522.2之间，雨水资源丰富，平均年降水量在1800多毫米，年降水日数在150天左右。（1）气温1月为AA市全年最冷月，平均最低气温为10，极端最低气温为0。7月为全年最热月，平均最高气温32.8，

44、极端最高达39.3。空间分布上，AA市年平均气温呈南高北低的趋势，北部20.921.5，中部21.722.1，南部22.122.3（图2）。近年来，随着全球气候的变暖，AA市的气温也有增高的趋势。（2）降水AA市年平均降雨量为1800多毫米，降水主要集中在49月的汛期，占全年雨量的80%左右，其中46月的前汛期多为锋面雨，79月的后汛期多为热带气旋雨，其次为对流雨（热雷雨），年平均暴雨日数（日降水量50毫米）约有7天，10月至翌年3月是少雨季节。空间分布上，AA市的年降雨量总体上具有南北多、中南部少的特点。北部地区年降雨量在2000毫米以上，中北部在18002000毫米，中南部番禺区最少，不足

45、1800毫米，南部的南沙区也较少，在18001900毫米之间。（3）湿度AA市年平均相对湿度78%，空间分布上东部和南部较高，为78.581%，中西部较低，为7778%。相对湿度的年际变化呈一波浪型，5月和6月平均相对湿度最高为8485%，11月和12月最低，为6769%。（4）风AA市为亚热带海洋性季风气候，风向的季节性很强。春季以偏东南风较多，偏北风次多；夏季受副热带高压和南海低压的影响，以偏东南风为盛行风；秋季由夏季风转为冬季风，盛行风向是偏北风；冬季受冷高压控制，主要是偏北风，其次是偏东南风。 平均风速以冬、春季节较大，夏季较小。但夏季间常有热带气旋影响甚至登陆，短时强对流天气也经常出

46、现，风速可急剧增大到8级以上。根据市气象台在2016年的统计，过去30年共有18个台风正面袭击广州，专家解释说，正面袭击是指台风中心点经过广州。18个台风中，有7个强度等级为台风，1个强度为强台风。2008年以来，已有26个台风影响广州，平均每年2.6个，多的年份有5个（2008年），少的年份1个都没有（2011年）。其间，正面袭击广州的台风有7个。生产数据中心周边环境及基础设施xx公司数据中心包括数据中心和数据中心，数据中心地址为：广东省AA市A业务区广园快速路广本路1号，数据中心地址为：广东省AA市B业务区新塘镇沙埔荔新十一路2号，2个数据中心分为位于xx公司的工厂和工厂办公区域，均为xx

47、公司独立拥有的单体建筑。以下是数据中心所在园区、建筑及机房基础设施等情况。基本情况数据中心位于A业务区广园快速路北侧50米，数据中心位于B业务区广园快速路西段北侧4.5公里新塘镇沙埔荔新十一路2号，2个数据中心之间行车距离约30公里。广园快速路，简称广园快速，是一条贯穿广州境内几个重要地区的城市快速路兼连接广州与东莞两市的城际快速路。广园快速西起AA市越秀区登峰街道西坑社区广园东路和永福路交汇处、接内环路，向东依次经过天河区、A业务区，B业务区的新塘镇、仙村镇，跨过东江止于东莞市中堂镇的潢涌大桥，接东莞环城北路。2个数据中心所在广园快速沿线为AA市主要的工业区，分布各种业态的工业企业，电力、通

48、信等基础设施配套完善。经问卷和检索，2个数据中心厂区及周边非公认城市战略要地，无显著军用工程及军事单位为邻，无诸如核电、水利等重大民用工程，5公里范围内无区级政府、军事管制区或其它政治敏感区，1公里内无危险品相关工厂商店，厂区范围内无加油站、液化气站或者生产易燃易爆的化学品的工厂，为部署生产数据中心安全风险较低的园区环境。数据中心数据中心所在建筑物为工厂第二综合楼，位于工厂中心地带，正对厂区大门100米左右，环绕建筑周边为停车场、绿地与园区道路。该建筑连体（与第一综合楼廊桥连接）地上3层，无地下楼层，约18m高；一层为厂区展厅和会议室，二层主要区域为办公区，东侧为数据中心区域，数据中心包括主机

49、房、通信机房、UPS动力区3个相对独立区域，信息机房北侧为运维办公区（运维工位区、会议室、库房）。机房基础设施及所有信息系统都为xx公司自建。该建筑根据数据中心基础设施要求，对原先建筑做了诸多符合国家计算机机房标准的基础设施改造和升级，比如独立10KV双高压市电接入、机房承重加固、机房周界物理封闭、应急照明、楼宇火灾报警与烟尘传感探测、机房气体灭火系统、闭路视频监控等。详细基础数据如下：机房基础设施：面积：107平米（含UPS配电及通信机房）承重：800公斤/机柜地板：防静电地板，接地电阻小于 1避震：抗震大于7级防静电：防静电地面，等电位连接温度：15-25湿度：30%-70%机架柜：42U

50、标准机柜防雷： 建筑自带防雷设备空调：专业精密智能机房空调系统及专业工业空调消防：高敏感探头，告警及灭火系统 供电系统：电力：双路10KV高压市电UPS：艾默生APM150（双机互备运行）发电机：厂区两台各1000KVA发电机，可在几分钟内完成切换网络资源：通信链路：中国联通，中国电信，中国移动网络设备：主要为Cisco网络交换设备 监控管理系统：网络监控和管理系统HDD数据存储CCTV摄像头24 X 7 视频监控（磁盘存储）数据中心数据中心所在建筑物工厂第二综合楼，位于三线区域北2门南侧，环绕建筑周边为停车场、绿地与园区道路。该建筑单体地上2层，无地下楼层，占地面积约4052平米，约12m高

51、；一层北侧为厂区展厅和会议室，南侧为数据中心所在区域，包括主机房、通信机房、UPS动力区3个相对独立区域，信息机房东侧为运维办公区（运维工位区、会议室、库房等）。二层为厂区食堂，南侧为用餐区，北侧厨房区域距离数据中心区域44米。机房基础设施及所有信息系统都为xx公司自建。该建筑根据生产数据中心基础设施要求，对原先建筑做了诸多符合国家计算机机房标准的基础设施改造和升级，比如独立10KV双高压市电接入、机房承重加固、机房周界物理封闭、应急照明、楼宇火灾报警与烟尘传感探测、机房气体灭火系统、闭路视频监控等。详细基础数据如下：机房基础设施：面积：278平米（含UPS配电及通信机房）承重：800公斤/机

52、柜地板：防静电地板，接地电阻小于 1避震：抗震大于7级防静电：防静电地面，等电位连接温度：15-25湿度：30%-70%机架柜：42U标准机柜防雷： 建筑自带防雷设备空调：专业精密智能机房空调系统及专业工业空调消防：高敏感探头，告警及灭火系统 供电系统：电力：双路10KV高压市电UPS：施耐德SYCF160KH-96K（双机互备运行）发电机：厂区两台各1000KVA发电机，可在几分钟内完成切换网络资源：通信链路：中国联通，中国电信，中国移动网络设备：主要为Cisco网络交换设备 监控管理系统：网络监控和管理系统HDD数据存储CCTV摄像头24 X 7 视频监控（磁盘存储）下面是xx公司数据中心

53、建筑实体外观图： 数据中心现场勘查情况概述进入生产数据中心大楼办公楼无需公司专人陪同；进入机房区域当前无安检通道、需存包，需穿鞋套，有禁止带入物品提示。大楼为综合办公楼，出入口没有设置门禁系统。机房区域设有门禁，目前定义只有机房管理员、服务器管理员、怡和运维人员、应急（2个）等5人卡具有进入机房的权限及门禁卡。机房具备二氧化碳气体灭火系统、机房及楼宇多处配有手持式灭火器（干粉）；机房与监控工作间完全隔离，机房气体灭火系统不会对监控人员安全带来损害。机房有温湿度监控系统，系统监控终端部署在二楼运维区域。楼宇（含机房）有视频监控，没有死角，监控终端部署在二楼运维区域。机房内有无固定电话，手机信号较

54、弱。数据中心运维区域挂有安全责任名单、安全疏散图、访客登记表或机房出入登记表。数据中心有怡和运维专职常驻人员1人，实现数据中心5*9值守，7*24在线值班。数据中心现场勘查情况概述进入数据中心大楼需由公司专人陪同；进入机房区域当前无安检通道、需存包，需穿鞋套，有禁止带入物品提示，手机禁止带入需要暂存。数据中心出入口独立于大楼，设置门禁系统，需刷卡出入，默认为常闭状态，无卡不能出入；机房区域设有门禁，目前定义只有机房管理员、服务器管理员、怡和运维人员、应急（2个）等5人卡具有进入机房的权限及门禁卡。机房具备二氧化碳气体灭火系统、机房及楼宇多处配有手持式灭火器（干粉）；机房与监控工作间完全隔离，机

55、房气体灭火系统不会对监控人员安全带来损害。机房有温湿度监控系统，系统监控终端部署在一楼运维区域。楼宇（含机房）有视频监控，没有死角，监控终端部署在一楼运维区域。机房内无固定电话，手机信号较弱。数据中心运维区域挂有安全责任名单、安全疏散图、访客登记表或机房出入登记表。数据中心有怡和运维专职常驻人员1人，实现数据中心5*9值守，7*24在线值班。风险计算风险资产（Asset）定义与赋值资产定义根据本项目风险评估的范围和目标，我们将针对灾难恢复规划所需的五类资产进行细分和识别，如下图所示包括：基础设施类、信息系统类、数据类、管理类、人员类。图5-1 资产分类基础设施类：基础设施周边环境情况、建筑设施

56、情况、场地环境和设施、供电系统、空调及环境控制系统、安保系统、消防系统信息系统类：应用软件、主机系统，存储系统、网络系统管理类：安全管理、运维管理流程、组织架构和人员岗位职责划分等人员类：人员管理相关流程和规定，人员职业技能和素质教育培训，人员的健康和福利等（主要关注IT运维岗位人员）数据类：包括电子业务数据、配置数据、凭证、单据、技术文件、日常管理文档、应急预案等。由于此次风险分析基于xx公司关键业务信息系统（AA级）灾难发生场景下业务能否持续运作的视角，故所定义各类资产不仅是影响xx公司持续运作重要因素，也是支持业务持续运作的关键资源。为能够真实客观反应此次风险分析结果，为后面业务影响分析

57、和灾备系统建设起到指导作用，在进行资产定义分级时，在考虑资产本身重要程度之外，还要考虑该资产对xx公司连续性的影响程度。具体赋值方法如下：等级权值标识定义五级5很高与业务关联性非常高，如果该项资产不可用会对业务连续性造成非常大的影响四级4高与业务关联性高，如果该项资产不可用会对业务连续性造成大的影响三级3中与业务关联性中等，如果该项资产不可用会对业务连续性造成中等影响二级2低与业务关联性低，如果该项资产不可用会对业务连续性造成低影响一级1很低与业务关联性非常低，如果该项资产不可用会对业务连续性造成很低的影响，可忽略不计表5-1 资产赋值表资产赋值根据xx公司系统运行的需要将五类资产按照对生产影

58、响程度以及与核心业务相关性进行赋值，包括五大类，分别进行赋值。基础设施类资产分类资产名称权值标识说明基础设施周边环境4高指数据中心所在建筑周边地理环境，交通、治安、气象环境等情况建筑设施5很高指数据中心所在建筑有关情况场地条件和环境4高指生产中心所在场地机房基本情况，包括机房空间、布线、地板、服务等供电系统5很高指数据中心场地电力供应系统，包括机房场地动力电、场地设备配电、UPS、后备发电机等空调及环境控制系统4高指生产中心所在场地所提供的空调系统，通风系统以及环境监测系统安保系统3中指生产中心所在场地所配备CCTV、入侵检测系统、警卫、出入口管理等安保系统消防系统5很高指生产中心所在场地配备

59、火灾探测和灭火系统，也包括防火检查和演习机制等通讯系统4高数据中心网络通讯链路表5-2 基础设施类资产赋值结果人员类资产分类资产名称权值标识说明人员类岗位设置和职责划分2低指生产中心及信息系统建设、运维部门是否有明确的岗位设置，并明确职责划分素质技能培训和考核2低指针对相关员工培训、职业素质教育、各类专项技能培训以及考核机制（关注IT相关岗位）表5-3 人员类资产赋值结果管理类资产分类资产名称权值标识说明管理类制度类3中指生产中心信息系统管理部门安全制度建设情况。管理流程3中指生产中心信息系统管理部门日常运维管理流程现状应急管理4高指生产中心应急管理体系建设情况表5-4 管理类资产赋值结果信息

60、系统类信息系统资产赋值：参照不同信息子系统的重要程度以及安全等级高低，对信息子系统进行赋值，参考国标20984的赋值原则对xx公司信息系统进行赋值，如下表所示：资产类型资产子类安全等级资产赋值标示信息系统类网络系统44高主机系统44高存储系统55很高应用系统44高表5-5 信息系统类资产赋值结果数据类资产分类资产名称权值标识说明关键数据电子数据5很高各类电子形式存储、处理和备份的各类业务数据及文件纸质形态业务记录2低以纸质形式进行存储、处理和备份的各类业务文件表5-6 数据类资产赋值结果威胁（Threat）识别与赋值根据对xx公司调研资料及实际情况的分析，结合对数据中心风险的深刻理解，对风险相