业务连续性和灾难恢复

业务连续性和灾难恢复BusinessContinuityandDisasterRecoveryCISSP版培训PPT之九2021/6/271关键知识领域A.理解业务持续性要求A.1起草并记录项目范围与规划B.进行业务影响分析B.1识别关键业务功能并进行优先排序B.2判断可接受的最长停工时间以及其他标准B.3评估运行中断的威胁（如本地范围、区域范围、全球范围）B.4定义恢复目标C.制定恢复策略C.1实施备份存储策略（如异地存储、电子仓储、磁带轮换）C.2站点恢复策略D.理解灾难恢复过程D.1应对D.2人员D.3通讯D.4评估D.5修复D.6提供培训E.执行、评估与维护计划（如版本控制、发行）2021/6/272目录业务连续性和灾难恢复（BusinessContinuityandDisasterRecovery）BCP项目组成（BCPProjectComponents）预防措施（PreventiveMeasures）恢复策略（RecoveryStrategies）保险（Insurance）恢复和重建（RecoveryandRestoration）测试和评审计划（TestingandRevisingthePlan）2021/6/273业务连续性和灾难恢复标准和最佳实践（StandardsandBestPractices）使BCM成为企业安全计划的一部分（MakingBCMPartoftheEnterpriseSecurityProgram）

2021/6/274灾难的定义灾难（Disaster）是突发的、导致重大损失的不幸事件，包括：自然的（Natural），如地震（Earthquakes）、洪水（Floods）、强对流天气（Storms）、火山爆发（VolcanicEruptions）、自然火灾（NationalFires）；系统/技术的（System/Technical）,如硬件、软件中断（Outages）、系统/编程错误（Errors）；供应系统（SupplySystems），通讯中断、配电系统（PowerDistribution）中断、管道破裂（BurstPipes）；人为的（Man-Made），爆炸（Explosions）、火灾（Fires）、故意破坏（PurposefulDestruction）、航空器坠毁（AircraftCrashes）、有害物质泄漏（HazardousSpills）、化学污染（ChemicalContamination）、有害代码（MaliciousCode）政治的（Political），如恐怖袭击（TerroristAttacks）、骚乱（Riots）、罢工（Strikes）。2021/6/275机构的灾难对于机构来说，任何导致机构关键业务功能在一定时间内无法进行的事件都被视为灾难，其特点表现为：计划之外的服务中断；长时间的服务中断；中断无法通过正常的问题管理规程得到解决；中断造成重大损失。中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的关键程度，以及中断的时间长短有关。2021/6/276灾难恢复计划和业务连续性计划业务连续性规划（BCP）IT灾难恢复计划2021/6/277业务连续性管理焦点重点目标解决方案要解决的问题积极的预防响应和恢复技术过程人员企业高可用服务水平管理业务连续性计划实现和维护已选择的企业IT基础架构的可用性级别有效地管理和控制IT基础设施，以提高整体运行可靠性提供有效的计划以最大限度地减少关键过程在重大中断事件停机时间可用性可靠性可恢复性业务连续性管理2021/6/278标准和最佳实践（StandardsandBestPractices）2021/6/279标准和最佳实践（StandardsandBestPractices）

BS25999的英国标准协会（BSI）的标准业务连续性管理（BCM）。此BS标准有两个部分：BS25999-1：2006业务连续性管理规则实践。BS25999-2：2007业务连续性管理规范。ISO/IEC27031：2011ISO22301待定国际标准的业务连续性管理体系。该规范文件对哪些组织将寻求认证。该标准将取代BS25999-2。2012年中期公布业务连续性协会的最佳实践指南（GPG）DRI国际研究所的业务连续性规划师专业实务2021/6/2710使BCM成为企业安全计划的一部分

（MakingBCMPartoftheEnterpriseSecurityProgram）

1234567包括全职角色和职责，以及虚拟团队这是任何安全计划的基础。

政策需要反映公司遵守的法律法规和法定环境，即SOX，GLBA，FERPA，SBI386HIPPA，PCI等。包括关键网络和其他资产，高价值系统以及在运输途中和敏感数据的其余所有地点1.系统配置开发和维护2.访问控制和身份管理3.员工意识和培训计划4.物理环境安全5.应用安全，开发和变更控制6.应急计划（BCP和DR）7.风险评估和管理程序8.漏洞管理9.资产识别，控制和维护程序10.入侵检测，事件识别和处理程序11.文档保留和法规遵从策略12.人员安全13.数据分类和保护14.安全操作15.法律和法规遵从定义角色和职责开发策略识别所有涉及计算的资产开发标准开发过程审核和监控规划意识教育和培训规划2021/6/2711BCP项目组成项目范围ScopeoftheProjectBCP策略BCPPolicy项目管理ProjectManagement业务连续性计划要求BusinessContinuityPlanningRequirements业务相关性分析BusinessImpactAnalysis(BIA)相互依存性Interdependencies2021/6/2712BCP项目组成BCP委员会业务部门Businessunits高级管理人员SeniormanagementIT部门ITdepartment安全部门Securitydepartment通信部门Communicationsdepartment法律部门Legaldepartment2021/6/2713项目范围评估资源了解公司业务重点和方向2021/6/2714BCP策略识别并记录政策的组成部分。识别和定义BCP可能会影响组织的政策。确定相关立法，法律，法规和标准。咨询行业专家确定“最佳行业惯例”指导方针。进行差距分析。找出该组织目前实施连续性规划方面，并阐明在BCP执行完毕后它的愿景。撰写新政策草案。组织内有不同的部门审查草案。把从各部门反馈加入修订草案。获取最高管理层对新政策的批准。发布最终草案，并在整个组织公布和分发。2021/6/2715项目管理优势Strengths弱点Weaknesses机会Opportunities威胁Threats有帮助

为实现该目标有害

为实现该目标源于内部（组织的属性）源于外部（环境的属性）优势项目团队的特点，使其比其他团队具有更大的优势弱点相对于其他团队，使该团队处于不利地位的特征机会可能有助于该项目的成功因素威胁可能有助于该项目的失败因素2021/6/2716BCP项目的关键角色除了高级管理层和项目负责人以外，BCP项目的关键角色还包括：恢复团队（RecoveryTeams），在灾难发生时进行评估、恢复、复原等相关工作的多个团队；业务部门代表（BusinessUnitRepresentatives），识别机构的关键业务功能，协助恢复策略的选择和制定；危机管理团队（CrisisManagementTeam），在灾难发生时进行重要决策和组织协调；用户（Users），应了解丧失服务时各自的职责；系统和网络专家（SystemandNetworkExperts），提供专业指导和建议；信息安全部门（InformationSecurityDepartment）法律代表（LegalRepresentatives）2021/6/2717业务连续性计划要求2021/6/2718业务相关性分析（BIA）建立内容风险管理风险识别风险分析（包括业务影响分析）风险评估风险处置监控审查沟通协调2021/6/2719业务影响分析概述在制定BCP之前必须进行业务影响分析（BusinessImpactAnalysis，BIA），以确定机构关键的业务功能。BIA包括定量（Quantitative）分析和定性（Qualitative）分析。其中，定量分析以货币的方式得出灾难或中断事件造成的影响；定性分析以划分严重程度的方式得出灾难或中断事件造成的影响。BIA通过分析得出的数据和信息确定功能的最大允许中断时间（MaximumTolerableDowntime，MTD），据此可以确定各项功能恢复的优先顺序。BIA的成败关键在于收集相关数据，数据的来源可以包括各种统计数据、问卷调查和访问相关管理人员等。2021/6/2720风险评估组织中对时间最敏感的资源和活动所有的漏洞组织的最紧迫的资源和活动的威胁和危害削减重要服务和产品的可能性，长度或中断的影响措施单点故障，就是威胁业务连续性的关键点由于关键技能或技能严重缺乏造成的业务连续性风险由于外包供应商和供应商造成的连续性风险BCP计划没有涵盖本部门或者BCP计划并没有很好的落实而造成的业务连续性风险2021/6/2721风险评估评价和流程风险评估最终目标确定和记录单点故障根据威胁制定组织特定业务流程优先列表为开发风险控制管理策略汇总信息，并为解决风险制定行动方案识别风险接受记录，或记录确认不会被解决的风险BCP委员会需要梳理设备故障或不可用设备不可用工具（暖通空调，动力，通信线路）设备不可用关键人才变得不可用供应商和服务供应商变得不可用软件和/或数据损坏2021/6/2722资产赋值2021/6/2723关键的业务流程（1）薪金处理（2）时间和考勤报告（3）时间和考勤核对（4）时间和考勤批准··业务流程（2）：时间和考勤报告关键的资源LAN服务器WAN访问电子邮件大型机访问电子邮件服务器资源恢复优先顺序LAN服务器高WAN访问中电子邮件低大型机访问高电子邮件服务器高确认关键的IT资源来自用户、业务流程、所有者、应用程序所有者和其他相关组的输入确认中断的影响和允许的最长停工时间确定恢复优先次序2021/6/2724相互依存性定义基本业务功能和支持部门。确定这些职能部门之间的相互依存关系。发现可能影响必要的，让这些部门共同发挥作用的机制，所有可能的中断。识别并记录可能破坏跨部门沟通的潜在威胁。收集有关这些威胁的定量和定性信息。提供恢复功能和通信的替代方法。提供理由的一份简短声明中对每个威胁和相应的信息。2021/6/2725预防措施适当、成本低廉的预防性方法和主动采取的措施比反应性的方法更加优越。制定何种预防性机制应根据业务影响分析的结果来决定，但其中就包含以下这些内容：设施建筑材料的强化。冗余服务器和通信连接。从不同变压器接入的电源线路。冗余供应商支持。购买保险。购买UPS和发电机。数据备份技术。介质保护安全装置。增加关键设备的存货。火灾探测和灭火系统。2021/6/2726恢复策略2021/6/2727恢复策略RTO（RecoveryTimeObjectives）在系统的不可用性严重影响到机构之间允许消耗的最长时间。RPO（RecoveryPointObjectives）数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据损失量。RPORTO周日小时分秒秒分小时日周磁带备份定期数据复制异步数据复制同步数据复制应用系统远程切换人工迁移磁带恢复2021/6/2728恢复策略业务流程恢复BusinessProcessRecovery设施恢复FacilityRecovery供给技术恢复SupplyandTechnologyRecovery选择软件备份设施ChoosingaSoftwareBackupFacility终端用户环境End-UserEnvironment数据备份选择方案DataBackupAlternatives电子备份方案ElectronicBackupSolutions高可用HighAvailability2021/6/2729业务流程恢复业务流程是一组相互关联的步骤，它通过特定的决策活动完成一个特殊的任务。业务流程拥有可重复的起点和终点，它应该组合公司提供的服务、资源和运作知识。必须了解以下重要的业务流程项目：需要的角色需要的资源输入和输出的机制工作流程步骤需要的完成时间与其它流程之间的接口这将有助于团队确定相关威胁，并采用控制措施确保将流程中断造成的影响降到最小。2021/6/2730设施恢复完备场所（hot

site）优点租用设施，几小时即可投入运行高度可用性常用于短期解决方案而非长期解决方案可以进行年度检查缺点价格昂贵硬件和软件的选择有限基本完备场所（warm

site）和基础场所（cold

site）租用设施，只有部分设施优点便宜成本较低，因此可以使用较长时间如果使用所有权硬件或者软件，更为实用缺点不能立即投入使用不能进行年度运作测试不能立即获得运作所需的资源2021/6/2731设施恢复互惠协议两个或多个在IT配置和备份技术上相似或相同的机构签订正式协议互相做为对方的备用站点，或者联合租用一个备用站点。因为在发生灾难事件期间，每一个站点必须能够在承担自己的工作负荷之外支持其它站点，所以达成互惠协议时必须谨慎从事。互惠协议两个或多个在IT配置和备份技术上相似或相同的机构签订正式协议互相做为对方的备用站点，或者联合租用一个备用站点。因为在发生灾难事件期间，每一个站点必须能够在承担自己的工作负荷之外支持其它站点，所以达成互惠协议时必须谨慎从事。2021/6/2732设施恢复热站点（HotSite）冷站点（ColdSite）温站点（WarmSite）移动站点（MobileSite）冗余站点（RedundantSite）2021/6/2733设施恢复多处理中心就是将处理任务分不到一个机构的多个不同的兼容数据处理中心，由这些中心分担处理工作，当某个中心发生灾难时，其他中心可以接替该中心处理的工作。这种方式需要处理中心维护比正常需要高出较多的处理能力，并且要确保各处理中心软件版本和数据的同步；服务中心为多个机构提供数据处理服务，可以为客户提供灾难恢复期间的数据处理服务。服务中心如果为用户预留额外的处理能力，其成本也是很高的，所以提供灾难恢复服务的处理中心并不多。2021/6/2734不同站点之间的区别热战的优点几个小时内即可投入运行。高度的可用性。只适合用作短期而非长期解决方案。可以进行年度检查。热战的缺点非常昂贵。硬件和软件选择有限。温站和冷战的优点比较便宜。由于成本较低，可以使用更长时间。如果使用所有权硬件或软件，则温站和冷战更加实用。温站和冷战的缺点不能立即投入使用。不能进行年度运作检查。不能立即获得运作所需的资源。2021/6/2735供给技术恢复硬件备份供应商协议，与硬件、软件和支持供应商签订紧急维护服务的SLA。设备存货，预先采购所需的设备并将其存储到安全的离站地点。现有的兼容设备，现在库存的设备、租用的热站点中使用的设备以及部门中其他机构使用的设备。软件备份许多公司出资给软件供应商开发专用的软件，而当软件供应商破产后，客户并不能访问整个公司所依赖的软件的代码。业务连续性计划委员会需要在分析过程中把这个问题确定为一种脆弱性，并采取预防性措施软件托管。软件托管：指由第三方机构保存源代码、编译代码备份、手册和其他支持材料。软件供应商、客户和第三方机构应签署一份合约，说明什么时候、谁能够怎样处理源代码。这份合约通常会规定，只有在供应商倒闭，无法完成合约规定的责任，或供应商违反原始合约的情况下，客户才能访问源代码。如果发生上述情况，客户仍然能够通过第三方托管机构访问源代码和其他材料，使它的权益得到保护。2021/6/2736选择软件备份设施文档和票据的应急考虑：重要的文件、资料包括应急计划本身应该有离站存储，并且在紧急情况发生是能够获得和使用。BCP和DRP文档计划应该有两或三个副本，其中一个副本保存在主要场所，而其他副本则应保存在另外的地方，以防主要设施遭到破坏。通常应分别在业务连续性计划协调员家中和异地设施保存一个副本，这样做可以降低在需要时无法取得计划的风险。这些计划不用保存在文件柜中。而应保存在防火的保险柜内。在异地设施中保存时，它们获得的保护应该和主要场所获得的保护相当。2021/6/2737选择软件备份设施人力资源重大事件发生后，首要问题是保护人的生命。平时加强员工培训和制定相关文档有助于事件发生后员工采取有效的应急措施。重大事件发生后，员工首先考虑的是保护其家庭和财产而不是进行工作，所以要考虑雇佣额外或临时工作人员的问题。组织应该制定好管理人员继任规划。这表示如果一名高级管理人员退休、离开公司或遇害，组织可以执行预先制定的步骤来保护公司。继任计划规定谁将接管并承担这个职位的责任。2021/6/2738终端用户环境业务连续性计划团队需要理解当前的运作和技术工作环境，分析其关键部分，以便对他们进行复制。将管理人员的结构表示成树状，如果灾难发生，由位于树顶的那个人通知他下面的两名管理员，这两名管理者再次依次通知他们下面的三名管理者，直到通知到所有的管理者。那些执行关键功能的员工必须首先返回工作岗位。因此用户环境的恢复应分阶段完成。第一个阶段负责恢复最关键部门的运作，第二个阶段恢复第二重要的工作，依此类推。如有必要，应该手动执行当前的自动化任务。2021/6/2739数据备份选择方案完全备份（FullBackup），顾名思义，就是对所有数据进行备份，并将其保存在某种类型的某种类型的存储媒质中。差异备份（DifferentialBackup）对上次完全备份后发生改变的文件进行备份。增量备份（IncrementalBackup）备份在上次完全备份或增量备份后发生改变的所有文件不能将差量备份和增量备份混杂起来。这种重叠可能造成文件丢失。2021/6/2740电子备份方案同步复制也被称为镜像复制（Mirroring）主服务器的变化被同时添加到复制服务器RTO可减小到几个小时，RPO可被减少为未提交工作的损失。会降低主服务器的性能，带宽要求高适用于可用性要求很高的应用。同步复制也被称为镜像复制（Mirroring）主服务器的变化被同时添加到复制服务器RTO可减小到几个小时，RPO可被减少为未提交工作的损失。会降低主服务器的性能，带宽要求高适用于可用性要求很高的应用。2021/6/2741电子备份方案2021/6/2742高可用冗余-容错-故障转换通过负载均衡（LoadBalance），流量可以被动态分配到一组运行相同应用程序的多个服务器上。负载均衡既可以提高整个系统的性能，又可以在服务器出现故障时将该服务器承担的服务分配到运行中的服务器执行。在不同站点的服务器之间进行的负载均衡还可以在某一站点无法提供服务时将该站点承担的服务分配到运行中的站点执行。2021/6/2743高可用托管资源层资源资源资源资源远程系统网关网络故障切换器异地复制存储库LDAP存储库应用层数据层应用服务器应用服务器身份管理身份管理可选防火墙负载均衡负载均衡数据库集群应用层负载均衡负载均衡Web层（DMZ）Web服务Web服务资源终端用户界面管理员用户界面资源终端用户界面内部（内联网）用户外部（内联网）用户2021/6/2744保险在业务影响分析阶段，团队很可能发现几个组织无法预防的威胁。为这些威胁承担全部风险往往非常危险，这就是我们购买保险的原因。决定是否为某一特定的威胁购买保险，以及在选择保险时购买多大的保险范围，应取决于在业务影响分析阶段确定的威胁发生的可能性和潜在损失。保证购买的保险覆盖范围能填补当前预防性措施留下的空白。公司应当每年对购买的保险进行审核。2021/6/2745恢复和重建为计划制定目标DevelopingGoalsforthePlans实现战略ImplementingStrategies2021/6/2746恢复和重建修复小组（restorationteam）应负责获取备用站点到工作和运行环境，使备用站点投入运行救援团队（salvageteam）应该是负责开始恢复原始站点时间表响应恢复重新开始时间零点事件整体恢复目标：尽可能快地恢复正常在几分钟到几小时：在几分钟到天几周到几个月2021/6/2747为计划制定目标责任每个参与恢复和连续性计划的个人都应该有书面的责任，保证在一个混乱的局面清醒的认识自己的职责。权威在危机时期，重要的是要知道谁是负责人。优先非常重要的是知道什么是关键的哪些是次要的。实施和测试一旦制定了连续性计划，就必须将他付诸实现。2021/6/2748实现战略恢复行动的顺序（SequenceofRecoveryActivities）行动的顺序应该反映出系统允许的中断时间，以避免对相关系统及其应用的重大影响。恢复规程（RecoveryProcedures）恢复规程应该按照直接和逐步的风格书写。为了防止在紧急事件中产生困难或混乱，不能假定或忽略规程的步骤。检查列表的形式有助于撰写顺序的恢复规程和在系统无法正常恢复时解决问题。2021/6/2749实现战略恢复原站点确保充足的基础设施支持，如电源、供水、电信、安全、环境控制、办公设备和用品安装系统硬件、软件和固件。此行动应该包括与恢复阶段类似的详细恢复规程测试系统测试系统运行以确保