1、清华大学信息技术研究院 清华-威视数据安全研究所2022年8月灾难恢复灾难恢复 从技术到管理从技术到管理侯海波清华-威视数据安全研究所内容o灾难恢复管理概述n概念、背景、价值、o灾难恢复技术概览n高可用性、备份、复制、远程集群n持续数据保护、其他关键技术o灾难恢复实施概述n管理体系要素n项目实施过程清华-威视数据安全研究所一、灾难恢复管理概述o灾难恢复n“将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程”。重要信息系统灾难恢复指南,2005年4月,国信办o灾难恢复管理n利用技术、管理手段以及相关资源,确保已有的关键
2、数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程,是一项集技术和管理于一体的系统工程。清华-威视数据安全研究所高度依赖o业务系统对信息技术的依赖性越来越强n无论是政府部门、企业还是个人n信息系统停机往往导致业务中断n信息数据已成为企业的生命源泉o同时,信息系统的复杂性带来更大的脆弱性n越来越多的漏洞清华-威视数据安全研究所风险变大o调查显示n20%的企业平均每五年就会遇到影响公司运营的意外情况o越来越多的威胁n自然风险:地震、火灾、水灾、气象、疾病、战争、n人为风险:错误操作、黑客攻击、病毒发作、员工恶做、n技术风险:设备失效,软件错误,通讯中断、电力失效、o最近事件n美国91
3、1事件、中国“非典”疫情、印度洋海啸、n莫斯科大停电、伦敦地铁爆炸、清华-威视数据安全研究所后果严重o美国明尼苏达大学:美国明尼苏达大学:如果在发生灾难后的两个星期内,无法恢复公司的业务系统,75%的公司业务将会完全停顿,43%的公司将再也无法开业 oIDC统计:统计:美国在2000年以前的十年间发生过灾难的公司中,有55当时倒闭,剩下的45中,因为数据丢失,有29也在两年之内倒闭,生存下来的仅占16。oGartner Group:在经历大型灾难而导致系统停运的公司中有2/5再也没有恢复运营,剩下的公司中也有1/3在两年内破产。o业务业务每小时停机损失每小时停机损失证券经济类645万美元信用卡
4、销售授权260万美元航班预售9万美元ATM服务1.5万美元突发事件造成的行业服务损失情况数据来源:Strategic Research Corporation清华-威视数据安全研究所最后防线最后防线o传统信息安全技术无法抵御大的风险和威胁n例如地震、洪水、战争等等o传统信息安全技术对付传统风险具有局限性n病毒、黑客攻击等造成的业务中断时间可能过长,导致需要切换o保险无法保证企业的生存n无法找回用户数据。尽管可以挽回部分损失o信息安全概念也在不断发展nCOMSEC(保密,通信保密)nINFOSEC(保护,保密性/完整性/可用性)nIA (保障,PTO*PDRR*)n清华-威视数据安全研究所实施价
5、值o减少风险损失n2000年2月7日美国8大知名网站瘫痪损失12亿美元 nebay:1999年6月12日:22小时故障,损失:$3M-5M+26%股票市值损失nAT&T:1998年4月13日:6-26小时故障,损失:$40M用于折扣o确保持续发展n9.11生存启示(1200/400/6%)o满足商业需要n服务于全球客户的复杂性,以及消费者的高期望值n据介绍是否引入有效的BCM机制,已经成为一些发达国家政府机构与企业选择合作伙伴或供应商的一个必要条件o已经成为现代企业的管理战略之一oMeta预测:在全球大公司中用于灾难恢复管理的投入从4%上升到7%清华-威视数据安全研究所灾难恢复-未来法规遵从的
6、要求o法规遵从法律的高度的要求n2004年,国际“法规遵从年”o国际,超过16000部法规n沙宾法案Sarbanes-Oxley Act、全美证券交易商协会行为规定(NASD 3110)n美国健康保险便利和责任法案(HIPAA)、联邦条例21CFR第11部分nFDA、NYSE、AMEX、FERC、o国内n国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)n关于做好重要信息系统灾难备份工作通知(信安通200411号)n重要信息系统灾难恢复指南(2005.5.26 广东南海)n清华-威视数据安全研究所二、灾难恢复技术概览高可用性技术数据备份技术数据复制技术远程集群技术持续数据
7、保护技术其他关键技术清华-威视数据安全研究所系统停机原因及防护技术时间点复制备份数据仓库远程备份远程复制系统热备高可用性技术磁带备份数据复制时间点复制人为过失32%计算机病毒7%硬件或系统故障44%站点灾难3%软件故障14%时间点复制备份清华-威视数据安全研究所灾难恢复技术思路-3Ro冗余性(冗余性(Redundancy)n灾难恢复实现的基础o可恢复性(可恢复性(Recoverability)n确保冗余的内容能在灾难发生后可以使用o远程性(远程性(Remoteness)n确保能够抵御灾难的影响清华-威视数据安全研究所高可用性技术o设备冗余技术o路径冗余技术o系统冗余技术o技术特点:n减少停机时
8、间n保护内容全面n本地的保护措施n基础容灾技术n切换是关键SAN Fabric清华-威视数据安全研究所数据备份技术oHost-Based备份架构oLAN-Based备份架构oLAN-Free备份架构oServer-Less备份架构oZero-impact备份架构o相关技术n数据恢复n备份策略n虚拟磁带库n压缩技术no技术特点n数据剥离-离线n可以抵御逻辑错误o抵御大灾难需要n远程备份或传输o适合业务n对数据丢失不敏感n对应用停机不敏感o其他容灾技术的基础LANNTUNIX存储区域网清华-威视数据安全研究所数据复制技术o基于存储子系统数据复制o基于存储网络层数据复制o基于卷管理器数据复制o基于应
9、用数据复制o技术特点n数据在线状态n需要配合时间点技术抵御逻辑错误o抵御大灾难需要n远程数据传输o适合业务n数据很重要o远程应用集群基础清华-威视数据安全研究所远程集群技术o主要技术架构n11 或 N1nOSBased 或 ApplicationBasedo全冗余架构实现集群n冗余服务器、冗余应用、冗余信号传输路径、冗余数据访问路径、o切换是关键n应用切换n数据切换n访问地址切换保护应用的运行状态清华-威视数据安全研究所持续数据保护技术o“持续数据保护是一套方法,它可以捕获或跟踪数据的变化,并将其在生产数据之外独立存放,以确保数据可以恢复到过去的任意时间点。持续数据保护系统可以基于块、文件或应
10、用实现,可以为恢复对象提供足够细的恢复粒度,实现几乎无限多的恢复时间点”SNIA-DMF-CDP(SIG)数据丢失量少抵御逻辑错误更容易恢复备份窗口小主机影响小清华-威视数据安全研究所DR技术比较保护方式数据丢失量(RPO)系统恢复时间(RTO)高可用性减少停机时间本地、需要配合其他技术实现灾难恢复备份/恢复离线数据周天小时周天小时复制/恢复在线数据分钟秒天小时全局集群在线数据和系统分钟秒小时分钟秒持续数据保护在线数据分钟秒小时分钟秒清华-威视数据安全研究所三、灾难恢复实施概述o管理体系o建设过程o最佳实践o相关标准ProcessPeopleProductPlan需求分析确定策略编制计划测试部
11、署维护更新项目启动实施建设技术决策最佳实践最佳实践成本决策目标政策法规遵从管理现状管理体系管理体系建设过程建设过程可用技术清华-威视数据安全研究所灾难恢复管理体系模型ProcessPeopleProductPlan清华-威视数据安全研究所管理体系要素-流程(流程(Process)o日常维护和预警o应急响应、评估与声明o业务紧急接续、过渡期处理o重新安置及启动oo按照规范和最佳实践:n预防灾难,降低风险发生的概率n高效行动,降低灾难造成的损失清华-威视数据安全研究所管理体系要素-团队(团队(People)o领导组o业务恢复操作组o技术功能操作组o外部协调和联系人员o设备和软件供应商联系人o外部协
12、作机构oo人是流程的执行主体和关键因素o合理架构、职责、人选、后备、培训、管理清华-威视数据安全研究所管理体系要素-设施和技术(Product)o设备n包括能够保证数据恢复和业务运行的信息系统基础设施n主机、网络、卡车、打印机、o场地n指挥、发布、系统、办公、n冷场地/温场地/热场地/移动场地/商业场地/o技术和方案n高可用性技术n数据备份与恢复技术n数据复制和迁移技术n远程集群技术n其他关键技术技术决策要素:RTO、RPO、保护距离、TCC、保护对象、清华-威视数据安全研究所管理体系要素-计划(Plan)(例)目标和范围目标和范围组织和职责组织和职责联络与通讯联络与通讯紧急响应流程紧急响应流
13、程 恢复及重续运行流程恢复及重续运行流程灾后重建和回退灾后重建和回退 保障条件保障条件附录附录简明扼要清华-威视数据安全研究所灾难恢复建设建设过程模型风险分析和BIA确定策略编制计划测试部署维护更新项目启动实施建设清华-威视数据安全研究所实践考虑时间$t0业务成效解决方案成本t1$1t1=恢复时间目标(RTO)清华-威视数据安全研究所实践考虑l自建灾难恢复中心:l模式1:本地站点生产,远程站点开发和测试l模式2:在远程站点进行磁带备份,无需运送磁带 l模式3:在各站点间平衡应用负荷l模式4:在远程站点设置数据仓库并提供决策支持l等等l服务外包l专业规划、能力维护、测试演练、清华-威视数据安全研
14、究所SHARE78模型Tier7-接近零或是零数据丢失,远程数据镜像,并且业务环境可进行高自动化的业务接管Tier6-接近零或是零数据丢失,远程数据镜像保证数据的完整性和一致性Tier5-软件级的,两地点-两阶段提交(交易完整性)Tier4-批量/在线的数据库镜像或日志的传输,或重复的时间点拷贝Tier3-电子链接传输Tier2-PTAM卡车运送+热备份站点Tier1-PTAM开车运送访问专门的远程灾备中心可用的备份中心时间点备份15分钟1-4小时4-8小时8-12小时12-16小时24小时好几天恢复需要的时间(RTO)费用清华-威视数据安全研究所重要信息系统灾难恢复指南用户灾难恢复系统组成数据备份系统灾难恢复预案备用网络系统备用数据处理系统备用基础设施技术支持能力运行维护管理能力清华-威视数据安全研究所谢谢欢迎交流清华-威视数据安全研究所侯海波
