业务持续计划和灾难恢复计划BusinessContinuityPlanningandDisasterRecoveryPlanning李峰:lifeng868@hotmail.com综述本域名和其它域的主要不同点:考虑问题的出发点不同。其它域主要考虑如何确保避免信息系统的基础设施遭到攻击和破坏;本域主要考虑一旦最坏的情况发生,如何使业务能持续进行,如何能使业务尽快的恢复正常。本域实质是BCP(业务持续计划)和DRP(灾难恢复计划)两个不同的域组成对于CISSP考试人员必须能清楚地区分BCP和DRP的不同,能区分以下一些概念:业务持续计划依据的项目范围,计划、业务影响分析,恢复策略,恢复计划的开发和执行。对于CISSP考试人员还因该理解灾难恢复所依据恢复计划的开发、执行、恢复的条件。学习目标•BCP和DRP的基本不同点•人为灾难和自然灾难的不同点•BCP的四(五)个主要元素•执行业务影响分析的原因和步骤•建立灾难恢复计划的步骤•灾难恢复计划测试的五种类型•备份服务的不同类型本域的定义BCP和DRP域强调在面临主要的业务运行中断时的业务保护。BCP和DR包含:准备、测试和对于关键业务保护以及网络服务失效的更新行为。CISSP投考人员必须理解当主要业务操作规程再以外事件造成中断时所采取的保护行为。BCP过程包含:计划和范围的初始化;业务影响分析;业务可持续计划开发;DRP过程包含:灾难恢复计划步骤;测试灾难恢复计划;灾难恢复计划程序;两者的主要区别:BCP强调使关键业务经得起不同的意外事件的影响DRP强调对于灾难的预防措施,以及在灾难发生时和灾难发生之后所应采取的行为和措施业务可持续计划BusinessContinuityPlanning•业务可持续计划是为了防止正常业务行为的中断而被建立的计划。当面对由于自然或人为造成的故障或灾难以及由此造成的财产损和正常业务不能正常使用时,BCP主要被设计用来保护关键业务步骤。BCP是最小化对于业务的干扰效果和使业务能恢复正常运行的计划。BCP的目标是:最小化业务中断事件对公司造成的影响。BCP的主要目标:减小财产损失风险和增强公司对于意外事件造成的业务中断的恢复能力。BCP的作用:BCP将帮助企业最小化由于意外事件造成的损失成本和减轻相关的风险。BCP应当检查企业所有关键信息处理步骤例如:•本地和广域网络和网络服务;•远程通讯和数据通讯链路;•工作站和工作空间;•应用、软件和数据;•存储媒体和信息记录存放场地;•员工职责和生产过程;BCP和DRP处理的优先级别:BCP和DRP的优先考虑的因素是:人造成业务中断的事件大部分会造成业务中断的事件,在物理安全域中文档都作了详细的描述。这里我们主要考虑的是这样的事件:不是由于自然灾难造成的就是由于人为破坏所造成的,事件发生的实质是对企业业务的持续造成现实的威胁。所有的事件都是已经发生,且不能象运行安全中讨论的采取任何预防性的控制手段来控制。业务持续计划被设计来最小化上述破坏事件造成的损失,同时便于迅速的完全恢复组织的业务运作能力。造成业务中断的事件的简单列表•自然因素造成对业务持续有破坏作用的事件:•火灾、爆炸、危险物质泄漏、生化毒素的威胁;•地震、风暴、洪水、自然因素造成的火灾;•电力系统电力供应中断或其它的系统功能失效;•人为因素造成对业务持续有破坏作用的事件:•轰炸、蓄意人为破坏、其它有目的的攻击;•罢工、怠工;•由于操作人员撤离危险环境造成的功能失效,或其它自然或人为造成的功能失效的情况;•通信基础不可用或者与测试相关的过载(包括大部分的管理控制功能失效)BCP的四个主要元素•范围和计划的初始化;这个阶段标志着BCP过程的开始,它必须限定计划的范围和计划涉及的各项线定因素。•业务影响分析(BIA–BusinessImpactAssessment);•被用来帮助各业务单元理解紧急事件对于业务造成的影响,这个阶段还包含漏洞分析。•业务持续计划发展;•利用BIA信息来发展业务持续计划,这个过程包括计划执行、计划测试、计划运行当中的维护。•业务持续计划的批准和执行;•这个阶段包括最终由企业的最高管理者签署,建立全企业对于BCP意识,执行根据变化更新处理步骤的计划维护工作。范围和计划的初始化范围和计划的初始化是建立业务持续计的第一步,这个阶段标志着BCP的开始。它必须确立计划的范围和计划需要的其它因素。这个阶段具体的检测业务运行和支持服务各个过程。确定范围行为包括:建立详细的可分类的需求说明,详细列出可用资源清单,定义被使用的管理规程。(提示:分布式处理的问题)角色和责任BCP过程涉及企业不同部门的许多人员,首先应建立包含全企业关键业务部门的BCP委员会,然后在执行和认知阶段,将其它业务部门加入到BCP委员会中。BCP委员会BCP委员会应当建立并且被赋予建立、执行、测试计划的任务。BCP委员会由高级管理人员的代表组成,包含所有业务单元的管理员、信息系统管理员、安全管理员。BCP委员会最初定义业务持续计划的范围,这个业务持续计划将处理如何迅速从意外事件中恢复业务的正常运行,如何最小化意外事件造成的资金和资源的损失。高级管理人员的角色高级管理人员对于业务持续计划的所有阶最终负责。这不仅包括计划的初始化阶段,而且包括计划测试阶段的监测和管理,业务中断事件发生时对业务持续计划的监督和执行。最高管理者的支持必须是实质的。没有管理层提供切实的和无形资源支持,计划将无法成功。WhoDoesWhatExecutivemagagementstuffInitatestheproject,givesfinalapproval,andgivesongoingsupportSeniorbusinessunitmanagementIdentifiesandproritizestime-criticalsystemBCPcommitteeDirectstheplanningimplementation,andtestprocessess.FunctionalbusinessunitsParticipateinimplementationandtestingBCP涉及的部门提示:企业的高级管理执行人员对于由于“工作疏忽”造成的故障所承担责任越来越多。有时,在公司造成某种损失后,他们甚至将面对股东或客户的民事诉讼。“工作疏忽”(duecare)被赋予新的含义:包含计算能力的损失,由于目前人们越来越多的依赖数据信息来工作。业务影响分析目的:BIA目的是建立用来帮助理解对业务持续运行有影响的各种意外事件。影响可能是资金方面的(需要量化),操作方面的(需要定性),漏洞分析也常常是BIA的一部分。目标:•危险程度分类---每个关键的业务运行单元都需要被标记和赋予一个优先权,并且对会造成影响的事件作一个评价。“时效是优先处理要考虑的因素”•停工期评估–BIA被用来评价企业业务运行所能容且维持公司可生存的最大停工时间(MTD-MaximumTolerableTime),在企业所有业务没有恢复的情况下,多长的时期是企业关键业务所能停顿的。通过BIA可以发现,时间不象我们设想的那么长。•业务需求--关键业务所需要的资源,在BIA阶段也必须被标示。对于时间敏感的关键业务,将被分配更多的资源。BIA的四个主要步骤•(一)收集相关的分析资料BIA的最初步步骤要标示出关键业务单元对于业务运行合理的运行级别,通过整个组织的共同讨论发现各个业务单元之间的相互关系。当资料被收集后,并且各个业务被标示,BIA将透过不同的视角来测试业务单元的相互依赖性,在业务单元之间建立一套优先顺序,并且发现对于关键业务单元是否可利用其他的可替代的方式来操作。•(二)执行漏洞分析和风险分析域的主要不同点是:范围较小,主要关注业务持续和灾难恢复计划。漏洞分析的功能是导入损失影响分析。对于这种漏洞分析有定量和定性两部分的分析,因此有必要定义定量和定性损失尺度。定量损失尺度:由于税收的损失导致资金损失,资金支出,个人负债由于意外中断时间造成的运行费用支出由于违反合同条款招致的资金损失由于违反调整所依赖的资源招致的资金损失定性损失尺度:市场份额和竞争优势的损失公众对于企业的信心和信任损失,或招致公众不便•在漏洞分析阶段,为了分析中断事件造成的影响,关键支持区域(criticalsupportareas)必须定义。关键支持区域是为了维持业务持续,维护生命安全,避免公共关系障碍所必需存在的业务单元或功能。Criticalsupportareas可能包含下列要素:远程通讯,数据通讯,信息数据,信息技术区域物质基础或设备不可用,传输服务账目、工资表、交易过程、客户服务、采购•(三)汇总、分析信息在BIA分析信息阶段,进行下列活动,例如:记录需要的步骤,标示业务的相互关系,决定能够接受的业务中断时间。这个阶段的目标是:清楚地描述关键支持区域所需什么支持,来防止更多的损失并且维持预先定义的处理过程,例如办理级别和客户服务级别。因此,需要分析来自企业的各个方面的因素。•(四)将总结写成文档,并且提出建议BIA的最后一步是:建立所有处理过程、步骤、分析、结果的文档,向适当的高级管理人员提出建议。报告将包含以前收集的材料,列出被标示的关键支持范围(criticalsupportareas),定性的和定量的总结影响状态,并且从分析中提出恢复优先顺序建议BIA的四个主要步骤业务持续计划的发展业务持续计划的发展引用BIA阶段收集的信息来建立恢复战略计划以达到支持关键业务功能的目的。我们使用BIA收集的信息描述出业务持续计划的战略。这个阶段包含两个主要步骤:定义业务持续战略;文档化业务持续战略;定义业务持续战略为了定义BCP战略,从BIA收集的信息用来为企业建立持续战略。这是个非常大的任务,许多企业元素必须被包含在持续战略。例如:计算:战略需要保护的硬件、软件、通讯线路、应用和数据;设备:战略需要强调的建筑物,计算机和远程的设备;人员:操作员,管理人员,技术支持人员将在持续战略中定义不同的角色;补给和装备:文件、forms,HVAC,指定的安全设备必需在持续被定义用途;文档化持续战略文档化持续战略简单的引用在持续战略定义阶段的文档结果。业务持续计划批准和执行在最后的阶段BCP被执行。计划必需存在执行的“路标”。执行在这列不仅仅是指执行一个灾难假想和测试计划,并且计划执行还引用下面的步骤:1、被最高管理人员批准;明确高级管理人员的职责,(对于计划负有全部的责任),为什么由他批准?(监督、执行、决定)2、建立全企业的业务持续计划的认知感;认知感的重要性,组织恢复的能力是由不同独立的部门合作完成的,计划的认知感强调组织对雇员承担的义务对于部分计划执行人员进行不要的特殊训练,使他们能完成自己的任务(qualitytraining)模拟训练的好处是能感知BCP过程的兴趣增加和人员承担的义务3、维护业务执行计划,在需要的情况下更新业务持续计划BCP经常会变得过时:同DRP计划被很快荒废一样,由于公司重组,计划中的关键业务可能和现实的业务情况不符。最常见的情况是:网络和计算基础的变化,包括硬件、软件和其它组件。可管理的理由是:麻烦的计划不容易被更新(适应新的情况),人员的遗忘或缺乏兴趣,员工轮换岗位,业务持续计划批准和执行无论何种原因,计划维护技巧将来必需被使用以确保计划维持在可用和最新。重要的两点:维护过程保持计划版本的唯一性灾难恢复计划DisasterRecoveryPlanning灾难恢复计划灾难恢复计划是一个全面的状态,它包括在事前,事中,和灾难对信息系统资源造成重大损失后所采取的行动。灾难恢复计划是对于紧急事件的应对过程。在中断的情况下提供后备的操作,在事后处理恢复和抢救工作,shouldanorganizationexperienceasubstantiallossofprocessingcapability主要目标是:有能力在另外的站点提供关键步骤,并且在一个时间段内恢复主站的正常运行。通过迅速的恢复步骤来最小化企业的损失。提示:有些公司不需要灾