信息安全災難恢復

1、信息系統(tǒng)災難恢復信息系統(tǒng)災難恢復 20134203023 梅洪梅洪目錄目錄災難恢復的歷史和現(xiàn)狀災難恢復規(guī)劃和實施1234災難恢復相關術語災難恢復相關標準法規(guī)災難恢復的歷史和現(xiàn)狀災難恢復的歷史和現(xiàn)狀在美國賓夕法尼亞州的費城建立了專業(yè)的商業(yè)化的災難備份中心并對外提供服務。1979年1989年1999年2005年災難備份服務商之間進行了大規(guī)模的合并和重組，到1999年市場上只剩下31家災難備份服務商，并以每年15%的速度增長。2005年，美國德勤公司針對災難恢復建設及其驅動力等方面，對273 個機構進行了調查，結果顯示，建設災難恢復系統(tǒng)的比例在不斷增高美國的災難恢復行業(yè)得到了迅猛發(fā)展，擁有超過100

2、家災難備份服務商。機構災難恢復建設情況機構災難恢復建設情況20042004年年20052005年年全部或部分業(yè)務關鍵業(yè)務建立災難恢復系統(tǒng)的機構74.40%83.60%全部關鍵業(yè)務建立了災難恢復系統(tǒng)的機構21.70%41.80%美國災難恢復建設情況美國災難恢復建設情況 911 事件后，Globe Continuity Inc. 對美國、英國、澳大利亞及加拿大共 565 個公司使用災難備份中心的情況進行了調查，發(fā)現(xiàn)在擁有或租用了災難備份中心的公司中，56%使用了商業(yè)化的災難備份服務，29%使用自有的災難備份中心，15%在商業(yè)化災難備份服務的基礎上同時擁有自己的備份設施。兩項相加，使用災難備份服務外

3、包的比例達到了71%。 從用戶的行業(yè)劃分來看，災難恢復行業(yè)面向的主要客戶還是金融業(yè)。事實上，有近一半的災難備份中心是專門為金融行業(yè)服務的。據(jù) CPR估計，美國災難恢復行業(yè)的年銷售額中有 45%來自金融行業(yè)。 西方發(fā)達國家重要機構都在遠離主數(shù)據(jù)中心的地方擁有一個災難恢復系統(tǒng)，如美國的Wells Fargo Bank、法國的法蘭西銀行、新加坡的 Citibank 等。對于信息系統(tǒng)依賴程度較高的公司往往需要拿出 IT 總預算的 7%15%用于災難恢復，每月要支付大約 5 萬10 萬美元的費用，大公司甚至達到每月 100 萬美元。據(jù) Meta 預測，在全球大公司中，用于業(yè)務連續(xù)計劃的投入將會持續(xù)上升，

4、到 2007 年，這筆投入將平均達到 7%。20 世紀 90 年代末期，一些單位在信息化建設的同時，開始關注對數(shù)據(jù)安全的保護，進行數(shù)據(jù)的備份。2000 年，“千年蟲”事件引發(fā)了國內對于信息系統(tǒng)災難的第一次集體性關注，但911 事件所帶來的震動真正地引起了大家對災難恢復的關注。2003 年， 國家信息化領導小組關于加強信息安全保障工作的意見2004 年 9 月份，關于做好重要信息系統(tǒng)災難備份工作的通知 “統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結合”的災難備份工作原則。2007 年 6 月，重要信息系統(tǒng)災難恢復指南經修訂完善后正式升級為國家標準，國家質量監(jiān)督檢驗檢疫總局以國家標準的形式正式發(fā)布了信息安全技術信息

5、系統(tǒng)災難恢復規(guī)范（GB/T 209882007），該標準于 2007 年 11 月正式實施。災難恢復相關術語災難恢復相關術語災難：災難：信息安全技術信息系統(tǒng)災難恢復規(guī)范（GB/T 209882007）將災難定義為：由于人為或自然的原因，造成信息系統(tǒng)運行嚴重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受，通常導致信息系統(tǒng)需要切換到備用場地運行的突發(fā)事件。典型的災難事件包括自然災害，如火災、洪水、地震、颶風、龍卷風和臺風等，還有技術風險和提供給業(yè)務運營所需服務的中斷，如設備故障、軟件錯誤、通信網絡中斷和電力故障等；此外，人為的因素往往也會釀成大禍，如操作員錯誤、植入有害代碼和恐怖襲擊等

6、。災難恢復的含義和目標 災難恢復是指將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)，并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)，而設計的活動和流程。它的目的是減輕災難對單位和社會帶來的不良影響，保證信息系統(tǒng)所支持的關鍵業(yè)務功能在災難發(fā)生后能及時恢復和繼續(xù)運作。災難恢復規(guī)劃是一個周而復始、持續(xù)改進的過程，包含以下幾個階段：（1）災難恢復需求的確定；（2）災難恢復策略的制定；（3）災難恢復策略的實現(xiàn)；（4）災難恢復預案的制定、落實和管理。災難恢復主要涉及的技術和方案有數(shù)據(jù)的復制、備份和恢復，本地高可用性方案和遠程集群等；但災難恢復不僅僅是恢復計算機系統(tǒng)和網絡，除了技術層面

7、的問題，還涉及到風險分析、業(yè)務影響分析、策略制定和實施等方面，災難恢復是一項系統(tǒng)性、多學科的專業(yè)性工作。災難恢復與災難備份、數(shù)據(jù)備份 為了災難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網絡系統(tǒng)、基礎設施、技術支持能力和運行管理能力進行備份的過程稱為災難備份。災難備份是災難恢復的基礎，是圍繞著災難恢復所進行的各類備份工作，災難恢復不僅包含災難備份， 更注重的是業(yè)務的恢復。 數(shù)據(jù)備份通常包括文件復制、數(shù)據(jù)庫備份。數(shù)據(jù)備份是數(shù)據(jù)保護的最后一道防線，其目的是為了在重要數(shù)據(jù)丟失時能夠對原始數(shù)據(jù)進行恢復。從災難恢復的角度來看，與數(shù)據(jù)的及時性相比更應關注備份數(shù)據(jù)和源數(shù)據(jù)的一致性和完整性，而不應片面地追求數(shù)據(jù)無丟失。任何災

8、難恢復系統(tǒng)實際上都是建立在數(shù)據(jù)備份基礎之上的；另一方面，數(shù)據(jù)備份策略的選擇取決于災難恢復的目標。主中心與災難備份中心 主系統(tǒng)與災難備份系統(tǒng)恢復時間目標與恢復點目標恢復時間目標恢復時間目標（Recovery Time Objective，RTO）是指災難發(fā)生后，信息系統(tǒng)或業(yè)務功能從停頓到必須恢復的時間要求?；謴忘c目標恢復點目標（Recovery Point Objective，RPO）是指災難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復到的時間點要求。 當單位進行完風險分析和業(yè)務影響分析，了解單位所存在的各種風險及其程度，以及單位災難恢復系統(tǒng)建設的需求、業(yè)務系統(tǒng)的應急需求和恢復先后順序，完成了系統(tǒng)災難恢復的各項指

9、標。我們應當根據(jù)風險分析和業(yè)務影響分析的結論確定最終用戶需求和災難恢復目標，而災難恢復時間范圍是災難恢復目標的重要組成部分。需要根據(jù)業(yè)務影響分析的結果，確定各系統(tǒng)的災難恢復時間目標和恢復點目標。信息系統(tǒng)災難恢復相關標準法規(guī)美國災難恢復的標準法規(guī)（）金融行業(yè)的監(jiān)管BOARD（Board of Governors of the Federal Reserve System，聯(lián)邦儲備委員會）；OCC（Office of the Comptroller of the Currency，貨幣監(jiān)理署（又稱為財政部金融局）；SEC（Securities and Exchange Commission，證券交

10、易委員會）；FFIEC（Federal Financial Institutions Examiination Council，聯(lián)邦金融機構檢查委員會）；NASD（National Association of Securities Dealer，全美證券交易商協(xié)會）。Interagency White Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System（2）其他行業(yè)的監(jiān)管美國衛(wèi)生部美國衛(wèi)生部在 1996 年對 1986 年制定的健康保險可行性和可信性法案(HIPAA)進行了修訂，

11、對數(shù)據(jù)的交換、記錄的保存和保護病人的隱私做出了標準化的規(guī)定。1993 年，美國聯(lián)邦政府美國聯(lián)邦政府發(fā)布了國家自動化信息資源安全條例，要求所有的政府部門對多方面系統(tǒng)和信息進行災難恢復和業(yè)務連續(xù)性準備；1994 年聯(lián)邦政府又發(fā)布了聯(lián)邦響應計劃指導（FRPG 011994），明確了災難恢復和業(yè)務連續(xù)計劃的責任和目標。FEMA聯(lián)邦緊急事務管理局：地方政府能力和災害識別流程、聯(lián)邦緊急事務管理局信息技術框架、工商業(yè)災難恢復規(guī)劃指南、演習設計課程：應急管理演習指南、工商業(yè)應急管理指南：各種規(guī)模的公司的應急規(guī)劃、響應和恢復的按部就班的方法、聯(lián)邦響應計劃英國災難恢復的標準法規(guī)：FSA新加坡災難恢復的標準法規(guī)：M

12、AS澳大利亞災難恢復的標準法規(guī)：ANAO國內災難恢復的標準法規(guī) 2003 年以來，黨中央和國務院有關部門陸續(xù)下發(fā)了國家信息化領導小組關于加強信息安全保障工作的意見、關于做好重要信息系統(tǒng)災難備份工作的通知、國家信息安全戰(zhàn)略報告、國家信息安全“十一五”規(guī)劃等政策性、指導性文件。 國務院信息化工作辦公室于 2005 年 4 月份下發(fā)了重要信息系統(tǒng)災難恢復指南(國信辦20058號文件)，明確了災難恢復工作的流程、災難恢復能力的等級劃分及災難恢復預案的制定。2007年 6 月，國家質，國家質量監(jiān)督檢驗檢疫總局以國家標準的形式正式發(fā)布了信息安全技術 信息系統(tǒng)災難恢復規(guī)范（GB/T 209882007），該

13、標準于 2007 年 11 月正式實施。（）銀行業(yè)災難恢復相關政策2002 年 8 月，中國人民銀行下發(fā)了中國人民銀行關于加強銀行數(shù)據(jù)集中安全工作的指導意見（銀發(fā)2002260 號文件），明確要求：“實施數(shù)據(jù)集中的銀行必須建立相應的災難備份中心，制定業(yè)務連續(xù)計劃，保障業(yè)務連續(xù)性及有效性。”2006 年 4 月，中國人民銀行在關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意見（銀發(fā)2006123 號文件）中進一步要求：“綜合考慮平衡風險與成本、運維管理與災難恢復力量等因素，可采用自建、聯(lián)合共建或利用外部企業(yè)（組織）的災難備份設施等方式。全國性大型銀行，原則上應同時采用同城和異地災難備份和恢復

14、策略。”2006 年 8 月，中國銀行業(yè)監(jiān)督管理委員會在關于印發(fā)“銀行業(yè)金融機構信息系統(tǒng)風險管理指引”的通知(銀監(jiān)發(fā)200663號文件)中指出：“銀行業(yè)金融機構應制定信息系統(tǒng)應急預案，并定期演練、評審和修訂。省域以下數(shù)據(jù)中心至少實現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實現(xiàn)異地數(shù)據(jù)實時備份，全國性數(shù)據(jù)中心實現(xiàn)異地災難備份。”2008 年 2 月，中國人民銀行出臺行業(yè)標準銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范，它將信息系統(tǒng)按時間敏感性分成三類需求等級，確定了每類信息系統(tǒng)災難恢復的最低要求。（）保險業(yè)災難恢復相關政策2004 年 6 月，中國保險監(jiān)督管理委員會在加強保險信息安全保障工作的意見（保監(jiān)發(fā)20046

15、2 號文件）規(guī)定：“保險系統(tǒng)各單位必須建立健全應急機制，制定應急預案。按照統(tǒng)籌規(guī)劃、平戰(zhàn)結合的原則，建設重要信息系統(tǒng)的災難備份系統(tǒng)。應急預案和災難備份系統(tǒng)要定期演練，并不斷加以完善。”2004 年 10 月，中國保險監(jiān)督管理委員會在關于做好保險業(yè)信息系統(tǒng)災難備份工作的通知（保監(jiān)發(fā)2004127 號文件）中提出了保險業(yè)信息系統(tǒng)災難備份工作的主要目標和原則，提倡使用社會化災難恢復服務，走專業(yè)化服務道路。2006年底，中國保險監(jiān)督管理委員會起草了保險業(yè)信息系統(tǒng)災難恢復暫行管理辦法，進一步明確災難恢復工作的各項具體要求。為加強和規(guī)范保險業(yè)的災難恢復建設，中國保險業(yè)監(jiān)督管理委員會在 2008 年出臺行業(yè)

16、指引保險業(yè)信息系統(tǒng)災難恢復管理指引。（3）證券業(yè)災難恢復相關政策2004 年 4 月，中國證券監(jiān)督管理委員會下發(fā)了關于進一步做好證券期貨業(yè)信息安全保障工作的意見中提出：制定行業(yè)級的業(yè)務連續(xù)性計劃和災難恢復計劃，全面提高證券期貨業(yè)信息安全保障和災難恢復能力。2005 年 4 月，中國證券監(jiān)督管理委員會下發(fā)了關于印發(fā)證券期貨業(yè)信息安全保障管理暫行辦法的通知，在該管理辦法中指出：定期進行災難恢復的演練和測試，確保災難發(fā)生或能夠充分發(fā)揮備份的效能，降低造成的影響和損失。中國證券監(jiān)督管理委員會成立了證券期貨業(yè)信息安全保障協(xié)調小組，負責行業(yè)信息安全保障政策、方案的制定。2006 年，證監(jiān)會組織起草了證券期

17、貨業(yè)信息系統(tǒng)備份工作指引，已基本定稿，正在行業(yè)內征求意見。 信息系統(tǒng)災難恢復規(guī)劃和實施災難恢復 SHARE78 的 7 級劃分 1992 年 Anaheim 的 SHARE78，M028 會議的報告中提出了異地遠程恢復的7級劃分，即從低到高有7種不同層次的災難恢復解決方案。 可以根據(jù)企業(yè)數(shù)據(jù)的重要性以及你需要恢復的速度和程度，來設計選擇并實現(xiàn)你的災難恢復計劃。 備份/恢復的范圍； 災難恢復計劃的狀態(tài)； 應用中心與備份中心之間的距離； 應用中心與備份中心之間是如何相互連接的； 數(shù)據(jù)是怎樣在兩個中心之間傳送的； 有多少數(shù)據(jù)被丟失； 怎樣保證更新的數(shù)據(jù)在備份中心被更新； 備份中心可以開始備份工作的能

18、力。在 SHARE 78 中的災難恢復 7 級劃分如下所述。（1）0 層（Tier0）沒有異地數(shù)據(jù)（No off-site Data）Tier0 即沒有任何異地備份或應急計劃。數(shù)據(jù)僅在本地進行備份恢復，沒有數(shù)據(jù)送往異地。事實上這一層并不具備真正災難恢復的能力。（2）1層（Tier1）PTAM卡車運送訪問方式（Pickup Truck Access Method ）Tier1的災難恢復方案必須設計一個應急方案，能夠備份所需要的信息并將它存儲的異地。PTAM是指將本地備份的數(shù)據(jù)用交通工具運送到遠方。這種方案相對來說成本較低，但難于管理。（3）2層（Tier2）PTAM卡車運送訪問方式+熱備份中心（ PTAM +Ho