業(yè)務持續(xù)計劃和災難恢復計劃(ppt)
業(yè)務持續(xù)計劃和災難恢復計劃 Business Continuity Planning and Disaster Recovery Planning

綜 述
學 習 目 標
本 域 的 定 義
BCP和DRP域強調在面臨主要的業(yè)務運行中斷時的業(yè)務保護。 BCP和DR包含：準備、測試和對于關鍵業(yè)務保護以及網絡服務失效的更新行為。
CISSP投考人員必須理解當主要業(yè)務操作規(guī)程再以外事件造成中斷時所采取的保護行為。

業(yè)務可持續(xù)計劃 Business Continuity Planning
業(yè)務可持續(xù)計劃是為了防止正常業(yè)務行為的中斷而被建立的計劃。
當面對由于自然或人為造成的故障或災難以及由此造成的財產損和正常業(yè)務不能正常使用時，BCP主要被設計用來保護關鍵業(yè)務步驟。
BCP是最小化對于業(yè)務的干擾效果和使業(yè)務能恢復正常運行的計劃。

BCP的目標是：最小化業(yè)務中斷事件對公司造成的影響。
BCP的主要目標：減小財產損失風險和增強公司對于意外事件造成的業(yè)務中斷的恢復能力。
BCP的作用：BCP將幫助企業(yè)最小化由于意外事件造成的損失成本和減輕相關的風險。

BCP應當檢查企業(yè)所有關鍵信息處理步驟
例如：
本地和廣域網絡和網絡服務；
遠程通訊和數據通訊鏈路；
工作站和工作空間；
應用、軟件和數據；
存儲媒體和信息記錄存放場地；
員工職責和生產過程；

BCP和DRP處理的優(yōu)先級別：
BCP和DRP的優(yōu)先考慮的因素是：人

造成業(yè)務中斷的事件
大部分會造成業(yè)務中斷的事件，在物理安全域中文檔都作了詳細的描述。這里我們主要考慮的是這樣的事件：不是由于自然災難造成的就是由于人為破壞所造成的，事件發(fā)生的實質是對企業(yè)業(yè)務的持續(xù)造成現實的威脅。所有的事件都是已經發(fā)生，且不能象運行安全中討論的采取任何預防性的控制手段來控制。
業(yè)務持續(xù)計劃被設計來最小化上述破壞事件造成的損失，同時便于迅速的完全恢復組織的業(yè)務運作能力。

造成業(yè)務中斷的事件的簡單列表
自然因素造成對業(yè)務持續(xù)有破壞作用的事件：
火災 、 爆炸 、 危險物質泄漏 、 生化毒素的威脅；
地震 、 風暴 、 洪水 、 自然因素造成的火災；
電力系統(tǒng)電力供應中斷或其它的系統(tǒng)功能失效；
人為因素造成對業(yè)務持續(xù)有破壞作用的事件：
轟炸 、 蓄意人為破壞 、 其它有目的的攻擊；
罷工 、怠工；
由于操作人員撤離危險環(huán)境造成的功能失效，或其它自然或人為造成的功能失效的情況；
通信基礎不可用或者與測試相關的過載（包括大部分的管理控制功能失效）

BCP的四個主要元素
范圍和計劃的初始化；
這個階段標志著BCP過程的開始，它必須限定計劃的范圍和計劃涉及的各項線定因素。
業(yè)務影響分析(BIA –Business Impact Assessment) ；
被用來幫助各業(yè)務單元理解緊急事件對于業(yè)務造成的影響，這個階段還包含漏洞分析。
業(yè)務持續(xù)計劃發(fā)展；
利用BIA信息來發(fā)展業(yè)務持續(xù)計劃，這個過程包括計劃執(zhí)行、計劃測試、計劃運行當中的維護。
業(yè)務持續(xù)計劃的批準和執(zhí)行；
這個階段包括最終由企業(yè)的最高管理者簽署，建立全企業(yè)對于BCP意識，執(zhí)行根據變化更新處理步驟的計劃維護工作。

業(yè) 務 影 響 分 析
目 的：BIA目的是建立用來幫助理解對業(yè)務持續(xù)運行有影響的各種意外事件。影響可能是資金方面的（需要量化），操作方面的（需要定性），漏洞分析也常常是BIA的一部分。
目 標：
危險程度分類 ---每個關鍵的業(yè)務運行單元都需要被標記和賦予一個優(yōu)先權，并且對會造成影響的事件作一個評價。“時效是優(yōu)先處理要考慮的因素”
停工期評估 –BIA被用來評價企業(yè)業(yè)務運行所能容且維持公司可生存的最大停工時間 ( MTD-Maximum Tolerable Time )，在企業(yè)所有業(yè)務沒有恢復的情況下,多長的時期是企業(yè)關鍵業(yè)務所能停頓的。通過BIA可以發(fā)現，時間不象我們設想的那么長。
業(yè)務需求 -- 關鍵業(yè)務所需要的資源，在BIA階段也必須被標示。對于時間敏感的關鍵業(yè)務，將被分配更多的資源。

BIA的四個主要步驟
（一）收集相關的分析資料 BIA的最初步步驟要標示出關鍵業(yè)務單元對于業(yè)務運行合理的運行級別，通過整個組織的共同討論發(fā)現各個業(yè)務單元之間的相互關系。當資料被收集后，并且各個業(yè)務被標示，BIA將透過不同的視角來測試業(yè)務單元的相互依賴性，在業(yè)務單元之間建立一套優(yōu)先順序，并且發(fā)現對于關鍵業(yè)務單元是否可利用其他的可替代的方式來操作。
（二）執(zhí)行漏洞分析 和風險分析域的主要不同點是：范圍較小，主要關注業(yè)務持續(xù)和災難恢復計劃。 漏洞分析的功能是導入損失影響分析。對于這種漏洞分析有定量和定性兩部分的分析，因此有必要定義定量和定性損失尺度。 定量損失尺度： 由于稅收的損失導致資金損失，資金支出，個人負債 由于意外中斷時間造成的運行費用支出 由于違反合同條款招致的資金損失 由于違反調整所依賴的資源招致的資金損失 定性損失尺度： 市場份額和競爭優(yōu)勢的損失 公眾對于企業(yè)的信心和信任損失，或招致公眾不便
在漏洞分析階段，為了分析中斷事件造成的影響，關鍵支持區(qū)域(critical support areas)必須定義。關鍵支持區(qū)域是為了維持業(yè)務持續(xù)，維護生命安全，避免公共關系障礙所必需存在的業(yè)務單元或功能。 Critical support areas 可能包含下列要素： 遠程通訊 ， 數據通訊 ，信息數據， 信息技術區(qū)域 物質基礎或設備不可用，傳輸服務 賬目、工資表、交易過程、客戶服務、采購


業(yè) 務 持 續(xù) 計 劃 批 準 和 執(zhí) 行
在最后的階段BCP被執(zhí)行。計劃必需存在執(zhí)行的“路標”。執(zhí)行在這列不僅僅是指執(zhí)行一個災難假想和測試計劃，并且計劃執(zhí)行還引用下面的步驟：
1、 被最高管理人員批準；
明確高級管理人員的職責，（對于計劃負有全部的責任），為什么由他批準？（監(jiān)督、執(zhí)行、決定）
2、 建立全企業(yè)的業(yè)務持續(xù)計劃的認知感；
認知感的重要性，組織恢復的能力是由不同獨立的部門合作完成的，
計劃的認知感強調組織對雇員承擔的義務
對于部分計劃執(zhí)行人員進行不要的特殊訓練，使他們能完成自己的任務
（quality training) 模擬訓練的好處是能感知BCP過程的興趣增加和人員承擔的義務
3 、維護業(yè)務執(zhí)行計劃，在需要的情況下更新業(yè)務持續(xù)計劃
BCP經常會變得過時：同DRP計劃被很快荒廢一樣，由于公司重組，計劃中的關鍵業(yè)務可能和現實的業(yè)務情況不符。最常見的情況是：網絡和計算基礎的變化，包括硬件、軟件和其它組件?？晒芾淼睦碛墒牵郝闊┑挠媱澆蝗菀妆桓拢ㄟm應新的情況），人員的遺忘或缺乏興趣，員工輪換崗位，
業(yè) 務 持 續(xù) 計 劃 批 準 和 執(zhí) 行
無論何種原因，計劃維護技巧將來必需被使用以確保計劃維持在可用和最新。
重要的兩點：

維護過程
保持計劃版本的唯一性

災 難 恢 復 計 劃 Disaster Recovery Planning
災 難 恢 復 計 劃
災難恢復計劃是一個全面的狀態(tài)，它包括在事前，事中，和災難對信息系統(tǒng)資源造成重大損失后所采取的行動。災難恢復計劃是對于緊急事件的應對過程。在中斷的情況下提供后備的操作，在事后處理恢復和搶救工作，should an organization experience a substantial loss of processing capability
主要目標是：有能力在另外的站點提供關鍵步驟，并且在一個時間段內恢復主站的正常運行。通過迅速的恢復步驟來最小化企業(yè)的損失。

提示：有些公司不需要災難恢復計劃，由于公司的關鍵業(yè)務能夠抵擋意外事件的沖擊。
災 難 恢 復 計 劃
災難恢復計劃的目標和目的
DRP主要目標是提供有組織的果斷方式來應對中斷時間的發(fā)生。
DRP的目標是減少危機發(fā)生時的混亂和增強組織處理危機的能力。

明顯的，在事故發(fā)生的現場，組織沒有機會從容的建立和執(zhí)行恢復計劃，因此，大量的預先計劃和測試將決定組織對于災難的抵抗能力
DRP目的很多，但是每一點都非常重要，DRP目的可能包含下列幾點：


災 難 恢 復 計 劃
災難恢復計劃步驟
這個階段包含恢復計劃的建立和發(fā)展，這和BCP過程有些相似。然而，在BCP中，我們包含了BIA和對于企業(yè)維持持續(xù)的關鍵范圍和資金生存能力損失尺度標示，在DRP中，我們假設標示性的工作已經完成并且基本原理已經建立。下面的工作是定義我們需要執(zhí)行的步驟來在實際災難發(fā)生時保護業(yè)務。
在災難計劃處理階段將采取如下的步驟：
數據處理連續(xù)計劃—Data Processing Continuity Planning
針對災難的計劃和建立拷貝數據的計劃
數據恢復計劃維護—Data Recovery Plan Maintenance
保持計劃的時效性和相關性
Http://www.isc2.org 提供數據恢復計劃軟件


數據處理連續(xù)計劃
常見的可選的處理類型：
Mutual aid agreements –互助協(xié)議
Subscription services – 定購服務
Multiple center – 若干中心
Service bureaus -- 服務局（？）
Other data center backup alternatives – 其它數據可選備份



定購服務—Subscription Services
Hot site 熱備份站點
熱備份站點被認為是災難恢復計劃備用站點中的“卡迪拉克(Cadilac) 豪華型”。熱備份站點擁有和正常工作站點相同的計算設備，有電源、加熱、通風、空調 ( HVAC- heating ventilation air-conditioning),和文件/打印服務器以及工作站。安裝在服務器和工作站上的應用程序需有能力維持遠程傳輸處理，并且保持對于鏡像生產站點的數據同步更新。理論上，個人或組織有能力步行進入站點，從最后的備份文件中通過修改文件來恢復數據。這種站點能在非常短的時間開始全部操作。如果站點在異地，鏡像傳輸處理將使用高速數據鏈路連接到熱備份站點，甚至備份時間可以忽略不計。
這種站點需要固定的硬件、軟件、數據和應用的維護工作量來保持鏡像站點和生產站點的數據同步。這增加了管理的難度，并可能使資源超負荷使用，尤其是在災難恢復小組不在的情況下。
熱備份站點的優(yōu)點有很多。主要的優(yōu)點是7/24小時可用以及不用擔心服務是否可用。這種站點在災難發(fā)生后立刻可用（可容忍的允許時間）。這種站點可以承擔短期或長期的超負荷運轉。
熱備份站點的運行也存在一些問題，例如：
顯然，成本太高，所有的計算設備的完全冗是非常昂過的，并且服務提供者對于上述功能提供的支持費用也不低；
通常服務提供者將自己的處理能力都賣完。服務提供上總認為自己的客戶不可能都同時利用這些資源。當災難大到危及很大的地理區(qū)域時，會造成各個站點資源之間的爭奪。
熱備份站點也存在安全風險，由于應用程序需要將目前處理的生產數據鏡像到備份站點，因此，所有在生產站點上的安全控制手段和機制在熱備份站點上也同時也有拷貝，所以，對于熱備份站點的訪問必需加以控制。并且企業(yè)必須知道服務提供者的安全方法的執(zhí)行情況。
熱備份站點對于管理資源的需求十分強烈，由于需要保持數據的同步和安裝軟件補丁


多（服務）中心—Mutiple Centers
Mutiple centers or dual sites
在若干中心的概念中，處理過程被分為幾個運行中心，建立分發(fā)機制來冗余或共享資源。多中心站點可能被相同的組織擁有或管理（內部），或者被用來連接達成互惠協(xié)議的雙方的站點。

它的優(yōu)點主要是資金上的，成本能被接受，這種站點允許服務或支持在多個站點之間共享。
它的主要的缺點和互助協(xié)議一樣，大的災難將使得站點超負荷運行，并且對于不同站點的配置要求也不同。

災難恢復計劃維護
由于業(yè)務實際情況變更引起與現實情況不符合，因此需要計劃更新維護。
無論何種原因，災難恢復技術能在外部使用，以確保計劃維持在最新的可用狀態(tài)，采取的行動: 在工作任務說明中描述災難恢復計劃更新，建立審計過程來報告站點的變化，必須保證沒有多個災難恢復計劃存在。
目標 ：測試人員對于模擬災難的響應能力。
方法：
并行測試 對于恢復計劃的完全測試，利用所有的人員來從事這項測試，主要不同于中斷測試的地方是不中斷正常的生產過程。測試在同正式生產環(huán)境并行的條件下進行，測試主要目的是關鍵業(yè)務能在備份站點上運行，系統(tǒng)能重新在備份站點上布置。測試進行后，事物處理結果和其他因素將用來做比較。這是最為通用的測試方法
全中斷測試 模擬真實災難發(fā)生時對于業(yè)務造成中斷的情況，停止正常的業(yè)務來測試，測試的要點包括緊急服務。這是一種引起人們驚慌的測試。也是最好的測試方式。
五種主要的災難恢復測試類型

災難恢復步驟 Disaster Recovery Procedures
災難恢復計劃的主要元素：

災難恢復小組
拯救小組
正常運行恢復
其它的恢復事項

恢 復 小 組
恢復小組在宣布災難發(fā)生后要被明確定義，恢復小組的主要任務是在另外的站點上執(zhí)行關鍵業(yè)務的操作。
恢復小組由許多的工作任務，首先是從不能工作的站點存儲設備上取回需所得的材料，這些設備可能是備份磁帶，其他媒介，工作站等等。當這些材料被取回，恢復小組將安裝關鍵系統(tǒng)，應用程序，和關鍵業(yè)務所需的數據到備份系統(tǒng)上。

正 常 運 行 恢 復
這通常是恢復小組的工作或者由其它的俄小組來負責完成。災難恢復計劃中必須有將公司業(yè)務及時和最小風險地從備份站點服務到生產主站過程的詳細描述。
這個過程和災難恢復步驟不同，在恢復正常運行的步驟中，需要注意的一點是，盡可能少的將關鍵業(yè)務從備份站點回遷到主要站點上。
認識到：“在所有業(yè)務沒有正常運轉之前，災難還沒有結束” ，是十分重要的。


其 它 災 難 恢 復 因 素
面對組織外部的群體 Interfacing with external groups
雇員關系 Employee relations
欺騙和犯罪 Fraud and crime
財政支持 Financial disbursement
同傳媒的關系 Media relations


業(yè)務持續(xù)計劃和災難恢復計劃(ppt)