信息系统恢复

信息系统灾难恢复规范2012年10月26日侯卓越，王震，翟瑞，暴小兵，李飞鹰信息系统灾难恢复规范介绍：信息系统灾难恢复规范准参照和借鉴GB/T19716-2005《信息技术信息安全管理实用规则》、GB/T20984《信息安全风险评估指南》、DRIInternational(国际灾难恢复协会)《ProfessionalPracticesforBusinessContinuityPlanners》和《BusinessContinuityGlossary》、ISACA(信息系统审计与控制协会）《COBITManagementGuidelines》、NIST(美国国家标准和技术学会)《SP800-34ContingencyPlanningGuideforInformationTechnologySystems》和在1992年SHARE78会议议题M028上提出的远程站点分级等的有关内容和思想，结合国家重要信息系统行业技术发展和实践经验制定而成。信息系统灾难恢复能力等级与恢复时间目标（RTO）和恢复点目标（RPO）具有一定的对应关系，各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。核心内容规定了信息系统灾难恢复应遵循的基本要求，适用于信息系统灾难恢复的规划、审批、实施和运维。主要包括以下几部分内容：1)灾难恢复行业相应的术语和定义；2)灾难恢复概述（包括灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复规划的管理、灾难恢复的外部协作、灾难恢复的审计和备案）；3)灾难恢复需求的确定（包括风险分析、业务影响分析、确定灾难恢复目标）；4)灾难恢复策略的制定（包括灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求）；5)灾难恢复策略的实现（包括灾难备份系统技术方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现）。由此可见，《规范》对灾难恢复建设的全流程实现给出了详细的指导意见，具有很高的可操作性。灾难恢复等级的确定是信息系统灾备建设的重要考虑因素。《规范》将灾难恢复能力划分为6级：图1.

灾难恢复的6个等级2.灾难恢复能力等级

等级一：基本支持。要求数据备份系统能够保证每周至少进行一次数据备份，备份介质能够提供场外存放。对于备用数据处理系统和备用网络系统，没有具体要求。等级二：备用场地支持。在满足等级一的条件基础上，要求配备灾难恢复所需的部分数据处理设备，或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地；要求配备部分通信线路和相应的网络设备，或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地。等级三：电子传输和设备支持。要求每天至少进行一次完全数据备份，备份介质场外存放，同时每天多次利用通信网络将关键数据定时批量传送至备用场地。配备灾难恢复所需的部分数据处理设备、通信线路和相应的网络设备。等级四：电子传输及完整设备支持。在等级三的基础上，要求配置灾难恢复所需的所有数据处理设备、通信线路和相应的网络设备，并且处于就绪或运行状态。等级五：实时数据传输及完整设备支持。除要求每天至少进行一次完全数据备份，备份介质场外存放外，还要求采用远程数据复制技术，利用通信网络将关键数据实时复制到备用场地。

业务单位在选择合适的灾备等级时，需要考虑投资回报率。对于银行、运营商等行业而言，核心业务系统的数据对于企业的正常运行至关重要，一旦数据大量丢失或业务长时间中断，造成的影响是无可估量的。例如2003年，某电信运营商的计费存储系统仅发生了两个小时的故障，就造成了400万元的经济损失，这还不包括公司品牌受损和客户流失等影响。因此，对于这些行业的核心业务系统，往往选择等级六的灾难恢复等级，虽然投资巨大，但是与风险造成的影响比较起来是相称的。而对于一般行业（例如中小企业），一方面受到资金投入、技术门槛、人员素质、管理及维护复杂度等因素的制约，另一方面发生灾难所带来的损失也不像银行、运营商等行业那么巨大，因此完全没有必要一味追求高的灾备建设等级，而是可以结合自身条件在等级一到等级五中进行选择

每个业务单位中的不同业务系统，可采用不同的灾难恢复策略。

同样是银行、运营商等行业，核心业务的灾备等级选择了等级六，有没有必要非核心业务（例如OA、网站等）也采用等级六呢？答案显然是否定的。风险给不同类型的业务所带来的损失是不同的，因此不能采用一刀切的方式进行灾备系统建设，而是需要细致分析业务单位信息系统的重要程度，有效区分核心业务和非核心业务，并平衡业务系统的实际需求和总体成本的关系。以某个银行同城灾备系统建设为例，该银行对应用进行了分级，对“核心、授信、网银等交易系统进行同城同步应用级的Recovery灾备系统建设”，而对“验印、集中授权、国际结算、资金交易、财务、OA应用等实施数据级的灾备建设”，另外“数据仓库、报表、管理信息和呼叫中心等系统”暂未进行灾备建设规划，视条件成熟再逐步考虑。因此，各业务单位在进行灾备系统建设时，需要根据业务系统重要性的不同，采用不同的灾备等级。这也说明，我们在进行灾备规划时，单靠一种方案或一种技术是行不通的，为了实现多种灾备等级，需要有一个完整的灾备技术体系作支撑。

免费提供灾难恢复资源要素在明确了灾备建设中灾难恢复能力等级和RTO、RPO目标之后，另一个重要问题是在具体建设中应该考虑哪些资源要素。灾备建设的七要素：

免费提供灾难恢复能力等级RTORPO12天以上1天至7天224小时以后1天至7天312小时以上数小时至1天4数小时至2天数小时至1天5数分钟至2天0至30分钟6数分钟03.

RTO和RPO目标信息系统灾难恢复能力等级与恢复时间目标（RTO）和恢复点目标（RPO）具有一定的对应关系，各行业可根据其行业特点及信息技术的应用情况制定相应的灾备等级要求和指标体系。在《规范》中，也给出了某个行业灾难恢复能力等级与RTO、RPO之间关系的示例，可作为参考：某行业灾难恢复能力等级与RTO、RPO之间关系示例：

免费提供灾难恢复的组织机构：灾难恢复的组织机构由管理、业务、技术和行政后勤等人员组成，一般可设为灾难恢复领导小组、灾难恢复规划实施组和灾难恢复日常运行组。组织可聘请具有相应资质的外部专家协助灾难恢复实施工作，也可委托具有相应资质的外部机构承担实施组以及日常运行组的部分或全部工作。包括：1灾难恢复领导小组灾难恢复领导小组是信息系统灾难恢复工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息系统灾难恢复的重大事宜2灾难恢复规划实施组灾难恢复的需求分析，提出灾难恢复策略和等级，灾难恢复策略的实现，制定灾难恢复预案，组织灾难恢复预案的测试和演练。

3灾难恢复日常运行组协助灾难恢复系统实施，灾难备份中心日常管理，灾难备份系统的运行和维护，灾难恢复的专业技术支持，参与和协助灾难恢复预案的教育、培训和演练，维护和管理灾难恢复预案；，突发事件发生时的损失控制和损害评估，灾难发生后信息系统和业务功能的恢复，灾难发生后的外部协作。

免费提供灾难备份系统技术方案的实现1技术方案的设计：根据灾难恢复策略制定相应的灾难备份系统技术方案，包含数据备份系统、备用数据处理系统和备用的网络系统。技术方案中所设计的系统2技术方案的验证、确认和系统开发：为确保技术方案满足灾难恢复策略的要求，应由组织的相关部门对技术方案进行确认和验证，并记录和保存验证及确认的结果3系统安装和测试按照经过确认的技术方案，灾难恢复规划实施组应制定各阶段的系统安装及测试计划，以及支