1、信息系统灾难恢复信息系统灾难恢复 20134203023 梅洪梅洪目录目录灾难恢复的历史和现状灾难恢复规划和实施1234灾难恢复相关术语灾难恢复相关标准法规灾难恢复的历史和现状灾难恢复的历史和现状在美国宾夕法尼亚州的费城建立了专业的商业化的灾难备份中心并对外提供服务。1979年1989年1999年2005年灾难备份服务商之间进行了大规模的合并和重组,到1999年市场上只剩下31家灾难备份服务商,并以每年15%的速度增长。2005年,美国德勤公司针对灾难恢复建设及其驱动力等方面,对273 个机构进行了调查,结果显示,建设灾难恢复系统的比例在不断增高美国的灾难恢复行业得到了迅猛发展,拥有超过100
2、家灾难备份服务商。机构灾难恢复建设情况机构灾难恢复建设情况20042004年年20052005年年全部或部分业务关键业务建立灾难恢复系统的机构74.40%83.60%全部关键业务建立了灾难恢复系统的机构21.70%41.80%美国灾难恢复建设情况美国灾难恢复建设情况 911 事件后,Globe Continuity Inc.对美国、英国、澳大利亚及加拿大共 565 个公司使用灾难备份中心的情况进行了调查,发现在拥有或租用了灾难备份中心的公司中,56%使用了商业化的灾难备份服务,29%使用自有的灾难备份中心,15%在商业化灾难备份服务的基础上同时拥有自己的备份设施。两项相加,使用灾难备份服务外包
3、的比例达到了71%。从用户的行业划分来看,灾难恢复行业面向的主要客户还是金融业。事实上,有近一半的灾难备份中心是专门为金融行业服务的。据 CPR估计,美国灾难恢复行业的年销售额中有 45%来自金融行业。西方发达国家重要机构都在远离主数据中心的地方拥有一个灾难恢复系统,如美国的Wells Fargo Bank、法国的法兰西银行、新加坡的 Citibank 等。对于信息系统依赖程度较高的公司往往需要拿出 IT 总预算的 7%15%用于灾难恢复,每月要支付大约 5 万10 万美元的费用,大公司甚至达到每月 100 万美元。据 Meta 预测,在全球大公司中,用于业务连续计划的投入将会持续上升,到 2
4、007 年,这笔投入将平均达到 7%。20 世纪 90 年代末期,一些单位在信息化建设的同时,开始关注对数据安全的保护,进行数据的备份。2000 年,“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注,但911 事件所带来的震动真正地引起了大家对灾难恢复的关注。2003 年,国家信息化领导小组关于加强信息安全保障工作的意见2004 年 9 月份,关于做好重要信息系统灾难备份工作的通知“统筹规划、资源共享、平战结合”的灾难备份工作原则。2007 年 6 月,重要信息系统灾难恢复指南经修订完善后正式升级为国家标准,国家质量监督检验检疫总局以国家标准的形式正式发布了信息安全技术信息系统灾难恢
5、复规范(GB/T 209882007),该标准于 2007 年 11 月正式实施。灾难恢复相关术语灾难恢复相关术语灾难:灾难:信息安全技术信息系统灾难恢复规范(GB/T 209882007)将灾难定义为:由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受,通常导致信息系统需要切换到备用场地运行的突发事件。典型的灾难事件包括自然灾害,如火灾、洪水、地震、飓风、龙卷风和台风等,还有技术风险和提供给业务运营所需服务的中断,如设备故障、软件错误、通信网络中断和电力故障等;此外,人为的因素往往也会酿成大祸,如操作员错误、植入有害代码和恐怖袭击等。灾难恢复
6、的含义和目标 灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。它的目的是减轻灾难对单位和社会带来的不良影响,保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作。灾难恢复规划是一个周而复始、持续改进的过程,包含以下几个阶段:(1)灾难恢复需求的确定;(2)灾难恢复策略的制定;(3)灾难恢复策略的实现;(4)灾难恢复预案的制定、落实和管理。灾难恢复主要涉及的技术和方案有数据的复制、备份和恢复,本地高可用性方案和远程集群等;但灾难恢复不仅仅是恢复计算机系统和网络,除了技术层面的问题,还
7、涉及到风险分析、业务影响分析、策略制定和实施等方面,灾难恢复是一项系统性、多学科的专业性工作。灾难恢复与灾难备份、数据备份 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程称为灾难备份。灾难备份是灾难恢复的基础,是围绕着灾难恢复所进行的各类备份工作,灾难恢复不仅包含灾难备份,更注重的是业务的恢复。数据备份通常包括文件复制、数据库备份。数据备份是数据保护的最后一道防线,其目的是为了在重要数据丢失时能够对原始数据进行恢复。从灾难恢复的角度来看,与数据的及时性相比更应关注备份数据和源数据的一致性和完整性,而不应片面地追求数据无丢失。任何灾难恢复系统实际
8、上都是建立在数据备份基础之上的;另一方面,数据备份策略的选择取决于灾难恢复的目标。主中心与灾难备份中心 主系统与灾难备份系统恢复时间目标与恢复点目标恢复时间目标恢复时间目标(Recovery Time Objective,RTO)是指灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。恢复点目标恢复点目标(Recovery Point Objective,RPO)是指灾难发生后,系统和数据必须恢复到的时间点要求。当单位进行完风险分析和业务影响分析,了解单位所存在的各种风险及其程度,以及单位灾难恢复系统建设的需求、业务系统的应急需求和恢复先后顺序,完成了系统灾难恢复的各项指标。我们应当根据
9、风险分析和业务影响分析的结论确定最终用户需求和灾难恢复目标,而灾难恢复时间范围是灾难恢复目标的重要组成部分。需要根据业务影响分析的结果,确定各系统的灾难恢复时间目标和恢复点目标。信息系统灾难恢复相关标准法规美国灾难恢复的标准法规()金融行业的监管BOARD(Board of Governors of the Federal Reserve System,联邦储备委员会);OCC(Office of the Comptroller of the Currency,货币监理署(又称为财政部金融局);SEC(Securities and Exchange Commission,证券交易委员会);FF
10、IEC(Federal Financial Institutions Examiination Council,联邦金融机构检查委员会);NASD(National Association of Securities Dealer,全美证券交易商协会)。Interagency White Paper on Sound Practices to Strengthen the Resilience of the U.S.Financial System(2)其他行业的监管美国卫生部美国卫生部在 1996 年对 1986 年制定的健康保险可行性和可信性法案(HIPAA)进行了修订,对数据的交换、记录
11、的保存和保护病人的隐私做出了标准化的规定。1993 年,美国联邦政府美国联邦政府发布了国家自动化信息资源安全条例,要求所有的政府部门对多方面系统和信息进行灾难恢复和业务连续性准备;1994 年联邦政府又发布了联邦响应计划指导(FRPG 011994),明确了灾难恢复和业务连续计划的责任和目标。FEMA联邦紧急事务管理局:地方政府能力和灾害识别流程、联邦紧急事务管理局信息技术框架、工商业灾难恢复规划指南、演习设计课程:应急管理演习指南、工商业应急管理指南:各种规模的公司的应急规划、响应和恢复的按部就班的方法、联邦响应计划英国灾难恢复的标准法规:FSA新加坡灾难恢复的标准法规:MAS澳大利亚灾难恢
12、复的标准法规:ANAO国内灾难恢复的标准法规 2003 年以来,党中央和国务院有关部门陆续下发了国家信息化领导小组关于加强信息安全保障工作的意见、关于做好重要信息系统灾难备份工作的通知、国家信息安全战略报告、国家信息安全“十一五”规划等政策性、指导性文件。国务院信息化工作办公室于 2005 年 4 月份下发了重要信息系统灾难恢复指南(国信办20058号文件),明确了灾难恢复工作的流程、灾难恢复能力的等级划分及灾难恢复预案的制定。2007年 6 月,国家质,国家质量监督检验检疫总局以国家标准的形式正式发布了信息安全技术 信息系统灾难恢复规范(GB/T 209882007),该标准于 2007 年
13、 11 月正式实施。()银行业灾难恢复相关政策2002 年 8 月,中国人民银行下发了中国人民银行关于加强银行数据集中安全工作的指导意见(银发2002260 号文件),明确要求:“实施数据集中的银行必须建立相应的灾难备份中心,制定业务连续计划,保障业务连续性及有效性。”2006 年 4 月,中国人民银行在关于进一步加强银行业金融机构信息安全保障工作的指导意见(银发2006123 号文件)中进一步要求:“综合考虑平衡风险与成本、运维管理与灾难恢复力量等因素,可采用自建、联合共建或利用外部企业(组织)的灾难备份设施等方式。全国性大型银行,原则上应同时采用同城和异地灾难备份和恢复策略。”2006 年
14、 8 月,中国银行业监督管理委员会在关于印发“银行业金融机构信息系统风险管理指引”的通知(银监发200663号文件)中指出:“银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾难备份。”2008 年 2 月,中国人民银行出台行业标准银行业信息系统灾难恢复管理规范,它将信息系统按时间敏感性分成三类需求等级,确定了每类信息系统灾难恢复的最低要求。()保险业灾难恢复相关政策2004 年 6 月,中国保险监督管理委员会在加强保险信息安全保障工作的意见(保监发200462 号文件)规定:“
15、保险系统各单位必须建立健全应急机制,制定应急预案。按照统筹规划、平战结合的原则,建设重要信息系统的灾难备份系统。应急预案和灾难备份系统要定期演练,并不断加以完善。”2004 年 10 月,中国保险监督管理委员会在关于做好保险业信息系统灾难备份工作的通知(保监发2004127 号文件)中提出了保险业信息系统灾难备份工作的主要目标和原则,提倡使用社会化灾难恢复服务,走专业化服务道路。2006年底,中国保险监督管理委员会起草了保险业信息系统灾难恢复暂行管理办法,进一步明确灾难恢复工作的各项具体要求。为加强和规范保险业的灾难恢复建设,中国保险业监督管理委员会在 2008 年出台行业指引保险业信息系统灾
16、难恢复管理指引。(3)证券业灾难恢复相关政策2004 年 4 月,中国证券监督管理委员会下发了关于进一步做好证券期货业信息安全保障工作的意见中提出:制定行业级的业务连续性计划和灾难恢复计划,全面提高证券期货业信息安全保障和灾难恢复能力。2005 年 4 月,中国证券监督管理委员会下发了关于印发证券期货业信息安全保障管理暂行办法的通知,在该管理办法中指出:定期进行灾难恢复的演练和测试,确保灾难发生或能够充分发挥备份的效能,降低造成的影响和损失。中国证券监督管理委员会成立了证券期货业信息安全保障协调小组,负责行业信息安全保障政策、方案的制定。2006 年,证监会组织起草了证券期货业信息系统备份工作
17、指引,已基本定稿,正在行业内征求意见。信息系统灾难恢复规划和实施灾难恢复 SHARE78 的 7 级划分 1992 年 Anaheim 的 SHARE78,M028 会议的报告中提出了异地远程恢复的7级划分,即从低到高有7种不同层次的灾难恢复解决方案。可以根据企业数据的重要性以及你需要恢复的速度和程度,来设计选择并实现你的灾难恢复计划。备份/恢复的范围;灾难恢复计划的状态;应用中心与备份中心之间的距离;应用中心与备份中心之间是如何相互连接的;数据是怎样在两个中心之间传送的;有多少数据被丢失;怎样保证更新的数据在备份中心被更新;备份中心可以开始备份工作的能力。在 SHARE 78 中的灾难恢复
18、7 级划分如下所述。(1)0 层(Tier0)没有异地数据(No off-site Data)Tier0 即没有任何异地备份或应急计划。数据仅在本地进行备份恢复,没有数据送往异地。事实上这一层并不具备真正灾难恢复的能力。(2)1层(Tier1)PTAM卡车运送访问方式(Pickup Truck Access Method)Tier1的灾难恢复方案必须设计一个应急方案,能够备份所需要的信息并将它存储的异地。PTAM是指将本地备份的数据用交通工具运送到远方。这种方案相对来说成本较低,但难于管理。(3)2层(Tier2)PTAM卡车运送访问方式+热备份中心(PTAM+Hot Center)Tier2
19、相当于Tier1再加上热备份中心能力的进一步灾难恢复。热备份中心拥有足够的硬件和网络设备去支持关键应用。相比于Tier1,明显降低了灾难恢复的时间。(4)三层(Tier3)电子链接(Electronic Vaulting)Tier3是在Tier2的基础上电子链路取代了卡车进行数据传送的进一步的灾难恢复。由于热备份中心需保持持续运行,增加了成本,但提高了灾难恢复速度。(5)四层(Tier4)活动状态的备份中心(Active Secondary Center)Tier4是指两个中心同时处于活动状态,并同时相互备份,在这种情况下工作负载可能在两个中心之间分享。灾难发生时,关键应用的恢复也可恢复到小时级或分钟级。(6)五层(Tier5)两个活动的数据中心,确保数据传输的两阶段一致性承诺。(Two-Site TWO-Phase Commit)Tier5则提供更好的数据完整性和一致性。也就是说Tier5需要两中心和中心数据都被同时更新。在灾难发生时,仅是传送中的数据被丢失,恢复时间降低到分钟级。(7)六层(Tier6)0数据丢失(Zero Date loss),自动系统故障切换。Tier6可以实现0数据丢失率,被认为是灾难恢复的最高级别,在本地和所有的数据被更新的同时,利用双重在线存储和完全的网络切换能力,当发生灾难时,能够提供跨站点动态负载平衡和自动系统故障切换功能