從容災(zāi)技術(shù)到管理

1、清華大學信息技術(shù)研究院 清華-威視數(shù)據(jù)安全研究所2021年12月災(zāi)難恢復(fù)災(zāi)難恢復(fù) 從技術(shù)到管理從技術(shù)到管理侯海波清華-威視數(shù)據(jù)安全研究所內(nèi)容o災(zāi)難恢復(fù)管理概述n概念、背景、價值、o災(zāi)難恢復(fù)技術(shù)概覽n高可用性、備份、復(fù)制、遠程集群n持續(xù)數(shù)據(jù)保護、其他關(guān)鍵技術(shù)o災(zāi)難恢復(fù)實施概述n管理體系要素n項目實施過程清華-威視數(shù)據(jù)安全研究所一、災(zāi)難恢復(fù)管理概述o災(zāi)難恢復(fù)n“將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動和流程”。 重要信息系統(tǒng)災(zāi)難恢復(fù)指南，2005年4月，國信辦o災(zāi)難恢復(fù)管理n利用技術(shù)、管理手段以及相關(guān)資源，確保已有的

2、關(guān)鍵數(shù)據(jù)和關(guān)鍵業(yè)務(wù)在災(zāi)難發(fā)生后在確定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的過程，是一項集技術(shù)和管理于一體的系統(tǒng)工程。清華-威視數(shù)據(jù)安全研究所高度依賴o業(yè)務(wù)系統(tǒng)對信息技術(shù)的依賴性越來越強n無論是政府部門、企業(yè)還是個人n信息系統(tǒng)停機往往導(dǎo)致業(yè)務(wù)中斷n信息數(shù)據(jù)已成為企業(yè)的生命源泉o同時，信息系統(tǒng)的復(fù)雜性帶來更大的脆弱性n越來越多的漏洞清華-威視數(shù)據(jù)安全研究所風險變大o調(diào)查顯示n20%的企業(yè)平均每五年就會遇到影響公司運營的意外情況o越來越多的威脅n自然風險：地震、火災(zāi)、 水災(zāi)、氣象、疾病、戰(zhàn)爭、n人為風險：錯誤操作、黑客攻擊、病毒發(fā)作、員工惡做、n技術(shù)風險：設(shè)備失效，軟件錯誤，通訊中斷、電力失效、o最近事件n美

3、國911事件、中國“非典”疫情、印度洋海嘯、n莫斯科大停電、倫敦地鐵爆炸、清華-威視數(shù)據(jù)安全研究所后果嚴重o美國明尼蘇達大學：美國明尼蘇達大學：如果在發(fā)生災(zāi)難后的兩個星期內(nèi)，無法恢復(fù)公司的業(yè)務(wù)系統(tǒng)，75%的公司業(yè)務(wù)將會完全停頓，43%的公司將再也無法開業(yè) oIDC統(tǒng)計：統(tǒng)計：美國在2000年以前的十年間發(fā)生過災(zāi)難的公司中，有55當時倒閉，剩下的45中，因為數(shù)據(jù)丟失，有29也在兩年之內(nèi)倒閉，生存下來的僅占16。oGartner Group：在經(jīng)歷大型災(zāi)難而導(dǎo)致系統(tǒng)停運的公司中有2/5再也沒有恢復(fù)運營，剩下的公司中也有1/3在兩年內(nèi)破產(chǎn)。o業(yè)務(wù)業(yè)務(wù)每小時停機損失每小時停機損失證券經(jīng)濟類645萬美元

4、信用卡銷售授權(quán)260萬美元航班預(yù)售9萬美元ATM服務(wù)1.5萬美元突發(fā)事件造成的行業(yè)服務(wù)損失情況數(shù)據(jù)來源：Strategic Research Corporation清華-威視數(shù)據(jù)安全研究所最后防線最后防線o傳統(tǒng)信息安全技術(shù)無法抵御大的風險和威脅n例如地震、洪水、戰(zhàn)爭等等o傳統(tǒng)信息安全技術(shù)對付傳統(tǒng)風險具有局限性n病毒、黑客攻擊等造成的業(yè)務(wù)中斷時間可能過長，導(dǎo)致需要切換o保險無法保證企業(yè)的生存n無法找回用戶數(shù)據(jù)。盡管可以挽回部分損失o信息安全概念也在不斷發(fā)展nCOMSEC（保密，通信保密）nINFOSEC（保護，保密性/完整性/可用性）nIA （保障，PTO*PDRR*)n清華-威視數(shù)據(jù)安全研究所

5、實施價值o減少風險損失n2000年2月7日美國8大知名網(wǎng)站癱瘓損失12億美元 nebay：1999年6月12日: 22小時故障，損失: $3M-5M + 26% 股票市值損失nAT&T：1998年4月13日: 6-26小時故障，損失: $40M用于折扣o確保持續(xù)發(fā)展n9.11生存啟示（1200/400/6%）o滿足商業(yè)需要n服務(wù)于全球客戶的復(fù)雜性，以及消費者的高期望值n據(jù)介紹是否引入有效的BCM機制，已經(jīng)成為一些發(fā)達國家政府機構(gòu)與企業(yè)選擇合作伙伴或供應(yīng)商的一個必要條件o已經(jīng)成為現(xiàn)代企業(yè)的管理戰(zhàn)略之一oMeta預(yù)測：在全球大公司中用于災(zāi)難恢復(fù)管理的投入從4%上升到7%清華-威視數(shù)據(jù)安全研

6、究所災(zāi)難恢復(fù)-未來法規(guī)遵從的要求o法規(guī)遵從法律的高度的要求n2004年，國際“法規(guī)遵從年”o國際，超過16000部法規(guī)n沙賓法案Sarbanes-Oxley Act、全美證券交易商協(xié)會行為規(guī)定（NASD 3110）n美國健康保險便利和責任法案（HIPAA）、聯(lián)邦條例21CFR第11部分nFDA、 NYSE、 AMEX、 FERC、 o國內(nèi)n國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 (中辦發(fā)200327號)n關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作通知(信安通200411號）n重要信息系統(tǒng)災(zāi)難恢復(fù)指南（2005.5.26 廣東南海）n清華-威視數(shù)據(jù)安全研究所二、災(zāi)難恢復(fù)技術(shù)概覽高可用性技術(shù)數(shù)據(jù)備

7、份技術(shù)數(shù)據(jù)復(fù)制技術(shù)遠程集群技術(shù)持續(xù)數(shù)據(jù)保護技術(shù)其他關(guān)鍵技術(shù)清華-威視數(shù)據(jù)安全研究所系統(tǒng)停機原因及防護技術(shù)時間點復(fù)制備份數(shù)據(jù)倉庫遠程備份遠程復(fù)制系統(tǒng)熱備高可用性技術(shù)磁帶備份數(shù)據(jù)復(fù)制時間點復(fù)制人為過失32%計算機病毒7%硬件或系統(tǒng)故障44%站點災(zāi)難3%軟件故障14%時間點復(fù)制備份清華-威視數(shù)據(jù)安全研究所災(zāi)難恢復(fù)技術(shù)思路-3Ro冗余性（冗余性（Redundancy）n災(zāi)難恢復(fù)實現(xiàn)的基礎(chǔ)o可恢復(fù)性（可恢復(fù)性（Recoverability）n確保冗余的內(nèi)容能在災(zāi)難發(fā)生后可以使用o遠程性（遠程性（Remoteness）n確保能夠抵御災(zāi)難的影響清華-威視數(shù)據(jù)安全研究所高可用性技術(shù)o設(shè)備冗余技術(shù)o路徑冗余技術(shù)

8、o系統(tǒng)冗余技術(shù)o技術(shù)特點：n減少停機時間n保護內(nèi)容全面n本地的保護措施n基礎(chǔ)容災(zāi)技術(shù)n切換是關(guān)鍵SAN Fabric清華-威視數(shù)據(jù)安全研究所數(shù)據(jù)備份技術(shù)oHost-Based備份架構(gòu)oLAN-Based備份架構(gòu)oLAN-Free備份架構(gòu)oServer-Less備份架構(gòu)oZero-impact備份架構(gòu)o相關(guān)技術(shù)n數(shù)據(jù)恢復(fù)n備份策略n虛擬磁帶庫n壓縮技術(shù)no技術(shù)特點n數(shù)據(jù)剝離-離線n可以抵御邏輯錯誤o抵御大災(zāi)難需要n遠程備份或傳輸o適合業(yè)務(wù)n對數(shù)據(jù)丟失不敏感n對應(yīng)用停機不敏感o其他容災(zāi)技術(shù)的基礎(chǔ)LANNTUNIX存儲區(qū)域網(wǎng)清華-威視數(shù)據(jù)安全研究所數(shù)據(jù)復(fù)制技術(shù)o基于存儲子系統(tǒng)數(shù)據(jù)復(fù)制o基于存儲網(wǎng)絡(luò)層

9、數(shù)據(jù)復(fù)制o基于卷管理器數(shù)據(jù)復(fù)制o基于應(yīng)用數(shù)據(jù)復(fù)制o技術(shù)特點n數(shù)據(jù)在線狀態(tài)n需要配合時間點技術(shù)抵御邏輯錯誤o抵御大災(zāi)難需要n遠程數(shù)據(jù)傳輸o適合業(yè)務(wù)n數(shù)據(jù)很重要o遠程應(yīng)用集群基礎(chǔ)清華-威視數(shù)據(jù)安全研究所遠程集群技術(shù)o主要技術(shù)架構(gòu)n11 或 N1nOSBased 或 ApplicationBasedo全冗余架構(gòu)實現(xiàn)集群n冗余服務(wù)器、冗余應(yīng)用、冗余信號傳輸路徑、冗余數(shù)據(jù)訪問路徑、o切換是關(guān)鍵n應(yīng)用切換n數(shù)據(jù)切換n訪問地址切換保護應(yīng)用的運行狀態(tài)清華-威視數(shù)據(jù)安全研究所持續(xù)數(shù)據(jù)保護技術(shù)o“持續(xù)數(shù)據(jù)保護是一套方法，它可以捕獲或跟蹤數(shù)據(jù)的變化，并將其在生產(chǎn)數(shù)據(jù)之外獨立存放，以確保數(shù)據(jù)可以恢復(fù)到過去的任意時間點

10、。持續(xù)數(shù)據(jù)保護系統(tǒng)可以基于塊、文件或應(yīng)用實現(xiàn)，可以為恢復(fù)對象提供足夠細的恢復(fù)粒度，實現(xiàn)幾乎無限多的恢復(fù)時間點” SNIA-DMF-CDP（SIG）數(shù)據(jù)丟失量少抵御邏輯錯誤更容易恢復(fù)備份窗口小主機影響小清華-威視數(shù)據(jù)安全研究所DR技術(shù)比較保護方式數(shù)據(jù)丟失量（RPO）系統(tǒng)恢復(fù)時間（RTO）高可用性減少停機時間本地、需要配合其他技術(shù)實現(xiàn)災(zāi)難恢復(fù)備份/恢復(fù)離線數(shù)據(jù)周天小時周天小時復(fù)制/恢復(fù)在線數(shù)據(jù)分鐘秒天小時全局集群在線數(shù)據(jù)和系統(tǒng)分鐘秒小時分鐘秒持續(xù)數(shù)據(jù)保護在線數(shù)據(jù)分鐘秒小時分鐘秒清華-威視數(shù)據(jù)安全研究所三、災(zāi)難恢復(fù)實施概述o管理體系o建設(shè)過程o最佳實踐o相關(guān)標準ProcessPeopleProduc

11、tPlan需求分析確定策略編制計劃測試部署維護更新項目啟動實施建設(shè)技術(shù)決策最佳實踐最佳實踐成本決策目標政策法規(guī)遵從管理現(xiàn)狀管理體系管理體系建設(shè)過程建設(shè)過程可用技術(shù)清華-威視數(shù)據(jù)安全研究所災(zāi)難恢復(fù)管理體系模型ProcessPeopleProductPlan清華-威視數(shù)據(jù)安全研究所管理體系要素-流程（流程（Process）o日常維護和預(yù)警o應(yīng)急響應(yīng) 、評估與聲明o業(yè)務(wù)緊急接續(xù) 、過渡期處理o重新安置及啟動oo按照規(guī)范和最佳實踐：n預(yù)防災(zāi)難，降低風險發(fā)生的概率n高效行動，降低災(zāi)難造成的損失清華-威視數(shù)據(jù)安全研究所管理體系要素-團隊（團隊（People）o領(lǐng)導(dǎo)組o業(yè)務(wù)恢復(fù)操作組o技術(shù)功能操作組o外部協(xié)

12、調(diào)和聯(lián)系人員o設(shè)備和軟件供應(yīng)商聯(lián)系人o外部協(xié)作機構(gòu)oo人是流程的執(zhí)行主體和關(guān)鍵因素o合理架構(gòu)、職責、人選、后備、培訓(xùn)、管理清華-威視數(shù)據(jù)安全研究所管理體系要素-設(shè)施和技術(shù)（Product）o設(shè)備n包括能夠保證數(shù)據(jù)恢復(fù)和業(yè)務(wù)運行的信息系統(tǒng)基礎(chǔ)設(shè)施n主機、網(wǎng)絡(luò)、卡車、打印機、o場地n指揮、發(fā)布、系統(tǒng)、辦公、n冷場地 / 溫場地 / 熱場地 / 移動場地 / 商業(yè)場地 / o技術(shù)和方案n高可用性技術(shù)n數(shù)據(jù)備份與恢復(fù)技術(shù)n數(shù)據(jù)復(fù)制和遷移技術(shù)n遠程集群技術(shù)n其他關(guān)鍵技術(shù)技術(shù)決策要素：RTO、RPO、 保護距離、 TCC、保護對象、 清華-威視數(shù)據(jù)安全研究所管理體系要素-計劃（Plan）（例）目標和范圍目

13、標和范圍組織和職責組織和職責聯(lián)絡(luò)與通訊聯(lián)絡(luò)與通訊緊急響應(yīng)流程緊急響應(yīng)流程 恢復(fù)及重續(xù)運行流程恢復(fù)及重續(xù)運行流程災(zāi)后重建和回退災(zāi)后重建和回退 保障條件保障條件附錄附錄簡明扼要清華-威視數(shù)據(jù)安全研究所災(zāi)難恢復(fù)建設(shè)建設(shè)過程模型風險分析和BIA確定策略編制計劃測試部署維護更新項目啟動實施建設(shè)清華-威視數(shù)據(jù)安全研究所實踐考慮時間$t0業(yè)務(wù)成效解決方案成本t1$1t1= 恢復(fù)時間目標(RTO)清華-威視數(shù)據(jù)安全研究所實踐考慮l自建災(zāi)難恢復(fù)中心：l模式1：本地站點生產(chǎn)，遠程站點開發(fā)和測試l模式2：在遠程站點進行磁帶備份，無需運送磁帶 l模式3：在各站點間平衡應(yīng)用負荷l模式4：在遠程站點設(shè)置數(shù)據(jù)倉庫并提供決策支持l等等l服務(wù)外包l專業(yè)規(guī)劃、能力維護、測試演練、清華-威視數(shù)據(jù)安全研究所SHARE78模型Tier7-接近零或是零數(shù)據(jù)丟失，遠程數(shù)據(jù)鏡像，并且業(yè)務(wù)環(huán)境可進行高自動化的業(yè)務(wù)接管Tier6-接近零或是零數(shù)據(jù)丟失，遠程數(shù)據(jù)鏡像保證數(shù)據(jù)的完整性和一致性Tier5-軟件級的，兩地點-兩階段提交（交易完整性）Tier4-批量/在線的數(shù)據(jù)庫鏡像或日志的傳輸，或重復(fù)的時間點拷貝Tier3-電子鏈接傳輸Tie