业务持续计划和灾难恢复计划(ppt)
业务持续计划和灾难恢复计划 Business Continuity Planning and Disaster Recovery Planning

综 述
学 习 目 标
本 域 的 定 义
BCP和DRP域强调在面临主要的业务运行中断时的业务保护。 BCP和DR包含：准备、测试和对于关键业务保护以及网络服务失效的更新行为。
CISSP投考人员必须理解当主要业务操作规程再以外事件造成中断时所采取的保护行为。

业务可持续计划 Business Continuity Planning
业务可持续计划是为了防止正常业务行为的中断而被建立的计划。
当面对由于自然或人为造成的故障或灾难以及由此造成的财产损和正常业务不能正常使用时，BCP主要被设计用来保护关键业务步骤。
BCP是最小化对于业务的干扰效果和使业务能恢复正常运行的计划。

BCP的目标是：最小化业务中断事件对公司造成的影响。
BCP的主要目标：减小财产损失风险和增强公司对于意外事件造成的业务中断的恢复能力。
BCP的作用：BCP将帮助企业最小化由于意外事件造成的损失成本和减轻相关的风险。

BCP应当检查企业所有关键信息处理步骤
例如：
本地和广域网络和网络服务；
远程通讯和数据通讯链路；
工作站和工作空间；
应用、软件和数据；
存储媒体和信息记录存放场地；
员工职责和生产过程；

BCP和DRP处理的优先级别：
BCP和DRP的优先考虑的因素是：人

造成业务中断的事件
大部分会造成业务中断的事件，在物理安全域中文档都作了详细的描述。这里我们主要考虑的是这样的事件：不是由于自然灾难造成的就是由于人为破坏所造成的，事件发生的实质是对企业业务的持续造成现实的威胁。所有的事件都是已经发生，且不能象运行安全中讨论的采取任何预防性的控制手段来控制。
业务持续计划被设计来最小化上述破坏事件造成的损失，同时便于迅速的完全恢复组织的业务运作能力。

造成业务中断的事件的简单列表
自然因素造成对业务持续有破坏作用的事件：
火灾 、 爆炸 、 危险物质泄漏 、 生化毒素的威胁；
地震 、 风暴 、 洪水 、 自然因素造成的火灾；
电力系统电力供应中断或其它的系统功能失效；
人为因素造成对业务持续有破坏作用的事件：
轰炸 、 蓄意人为破坏 、 其它有目的的攻击；
罢工 、怠工；
由于操作人员撤离危险环境造成的功能失效，或其它自然或人为造成的功能失效的情况；
通信基础不可用或者与测试相关的过载（包括大部分的管理控制功能失效）

BCP的四个主要元素
范围和计划的初始化；
这个阶段标志着BCP过程的开始，它必须限定计划的范围和计划涉及的各项线定因素。
业务影响分析(BIA –Business Impact Assessment) ；
被用来帮助各业务单元理解紧急事件对于业务造成的影响，这个阶段还包含漏洞分析。
业务持续计划发展；
利用BIA信息来发展业务持续计划，这个过程包括计划执行、计划测试、计划运行当中的维护。
业务持续计划的批准和执行；
这个阶段包括最终由企业的最高管理者签署，建立全企业对于BCP意识，执行根据变化更新处理步骤的计划维护工作。

业 务 影 响 分 析
目 的：BIA目的是建立用来帮助理解对业务持续运行有影响的各种意外事件。影响可能是资金方面的（需要量化），操作方面的（需要定性），漏洞分析也常常是BIA的一部分。
目 标：
危险程度分类 ---每个关键的业务运行单元都需要被标记和赋予一个优先权，并且对会造成影响的事件作一个评价。“时效是优先处理要考虑的因素”
停工期评估 –BIA被用来评价企业业务运行所能容且维持公司可生存的最大停工时间 ( MTD-Maximum Tolerable Time )，在企业所有业务没有恢复的情况下,多长的时期是企业关键业务所能停顿的。通过BIA可以发现，时间不象我们设想的那么长。
业务需求 -- 关键业务所需要的资源，在BIA阶段也必须被标示。对于时间敏感的关键业务，将被分配更多的资源。

BIA的四个主要步骤
（一）收集相关的分析资料 BIA的最初步步骤要标示出关键业务单元对于业务运行合理的运行级别，通过整个组织的共同讨论发现各个业务单元之间的相互关系。当资料被收集后，并且各个业务被标示，BIA将透过不同的视角来测试业务单元的相互依赖性，在业务单元之间建立一套优先顺序，并且发现对于关键业务单元是否可利用其他的可替代的方式来操作。
（二）执行漏洞分析 和风险分析域的主要不同点是：范围较小，主要关注业务持续和灾难恢复计划。 漏洞分析的功能是导入损失影响分析。对于这种漏洞分析有定量和定性两部分的分析，因此有必要定义定量和定性损失尺度。 定量损失尺度： 由于税收的损失导致资金损失，资金支出，个人负债 由于意外中断时间造成的运行费用支出 由于违反合同条款招致的资金损失 由于违反调整所依赖的资源招致的资金损失 定性损失尺度： 市场份额和竞争优势的损失 公众对于企业的信心和信任损失，或招致公众不便
在漏洞分析阶段，为了分析中断事件造成的影响，关键支持区域(critical support areas)必须定义。关键支持区域是为了维持业务持续，维护生命安全，避免公共关系障碍所必需存在的业务单元或功能。 Critical support areas 可能包含下列要素： 远程通讯 ， 数据通讯 ，信息数据， 信息技术区域 物质基础或设备不可用，传输服务 账目、工资表、交易过程、客户服务、采购


业 务 持 续 计 划 批 准 和 执 行
在最后的阶段BCP被执行。计划必需存在执行的“路标”。执行在这列不仅仅是指执行一个灾难假想和测试计划，并且计划执行还引用下面的步骤：
1、 被最高管理人员批准；
明确高级管理人员的职责，（对于计划负有全部的责任），为什么由他批准？（监督、执行、决定）
2、 建立全企业的业务持续计划的认知感；
认知感的重要性，组织恢复的能力是由不同独立的部门合作完成的，
计划的认知感强调组织对雇员承担的义务
对于部分计划执行人员进行不要的特殊训练，使他们能完成自己的任务
（quality training) 模拟训练的好处是能感知BCP过程的兴趣增加和人员承担的义务
3 、维护业务执行计划，在需要的情况下更新业务持续计划
BCP经常会变得过时：同DRP计划被很快荒废一样，由于公司重组，计划中的关键业务可能和现实的业务情况不符。最常见的情况是：网络和计算基础的变化，包括硬件、软件和其它组件。可管理的理由是：麻烦的计划不容易被更新（适应新的情况），人员的遗忘或缺乏兴趣，员工轮换岗位，
业 务 持 续 计 划 批 准 和 执 行
无论何种原因，计划维护技巧将来必需被使用以确保计划维持在可用和最新。
重要的两点：

维护过程
保持计划版本的唯一性

灾 难 恢 复 计 划 Disaster Recovery Planning
灾 难 恢 复 计 划
灾难恢复计划是一个全面的状态，它包括在事前，事中，和灾难对信息系统资源造成重大损失后所采取的行动。灾难恢复计划是对于紧急事件的应对过程。在中断的情况下提供后备的操作，在事后处理恢复和抢救工作，should an organization experience a substantial loss of processing capability
主要目标是：有能力在另外的站点提供关键步骤，并且在一个时间段内恢复主站的正常运行。通过迅速的恢复步骤来最小化企业的损失。

提示：有些公司不需要灾难恢复计划，由于公司的关键业务能够抵挡意外事件的冲击。
灾 难 恢 复 计 划
灾难恢复计划的目标和目的
DRP主要目标是提供有组织的果断方式来应对中断时间的发生。
DRP的目标是减少危机发生时的混乱和增强组织处理危机的能力。

明显的，在事故发生的现场，组织没有机会从容的建立和执行恢复计划，因此，大量的预先计划和测试将决定组织对于灾难的抵抗能力
DRP目的很多，但是每一点都非常重要，DRP目的可能包含下列几点：


灾 难 恢 复 计 划
灾难恢复计划步骤
这个阶段包含恢复计划的建立和发展，这和BCP过程有些相似。然而，在BCP中，我们包含了BIA和对于企业维持持续的关键范围和资金生存能力损失尺度标示，在DRP中，我们假设标示性的工作已经完成并且基本原理已经建立。下面的工作是定义我们需要执行的步骤来在实际灾难发生时保护业务。
在灾难计划处理阶段将采取如下的步骤：
数据处理连续计划—Data Processing Continuity Planning
针对灾难的计划和建立拷贝数据的计划
数据恢复计划维护—Data Recovery Plan Maintenance
保持计划的时效性和相关性
Http://www.isc2.org 提供数据恢复计划软件


数据处理连续计划
常见的可选的处理类型：
Mutual aid agreements –互助协议
Subscription services – 定购服务
Multiple center – 若干中心
Service bureaus -- 服务局（？）
Other data center backup alternatives – 其它数据可选备份



定购服务—Subscription Services
Hot site 热备份站点
热备份站点被认为是灾难恢复计划备用站点中的“卡迪拉克(Cadilac) 豪华型”。热备份站点拥有和正常工作站点相同的计算设备，有电源、加热、通风、空调 ( HVAC- heating ventilation air-conditioning),和文件/打印服务器以及工作站。安装在服务器和工作站上的应用程序需有能力维持远程传输处理，并且保持对于镜像生产站点的数据同步更新。理论上，个人或组织有能力步行进入站点，从最后的备份文件中通过修改文件来恢复数据。这种站点能在非常短的时间开始全部操作。如果站点在异地，镜像传输处理将使用高速数据链路连接到热备份站点，甚至备份时间可以忽略不计。
这种站点需要固定的硬件、软件、数据和应用的维护工作量来保持镜像站点和生产站点的数据同步。这增加了管理的难度，并可能使资源超负荷使用，尤其是在灾难恢复小组不在的情况下。
热备份站点的优点有很多。主要的优点是7/24小时可用以及不用担心服务是否可用。这种站点在灾难发生后立刻可用（可容忍的允许时间）。这种站点可以承担短期或长期的超负荷运转。
热备份站点的运行也存在一些问题，例如：
显然，成本太高，所有的计算设备的完全冗是非常昂过的，并且服务提供者对于上述功能提供的支持费用也不低；
通常服务提供者将自己的处理能力都卖完。服务提供上总认为自己的客户不可能都同时利用这些资源。当灾难大到危及很大的地理区域时，会造成各个站点资源之间的争夺。
热备份站点也存在安全风险，由于应用程序需要将目前处理的生产数据镜像到备份站点，因此，所有在生产站点上的安全控制手段和机制在热备份站点上也同时也有拷贝，所以，对于热备份站点的访问必需加以控制。并且企业必须知道服务提供者的安全方法的执行情况。
热备份站点对于管理资源的需求十分强烈，由于需要保持数据的同步和安装软件补丁


多（服务）中心—Mutiple Centers
Mutiple centers or dual sites
在若干中心的概念中，处理过程被分为几个运行中心，建立分发机制来冗余或共享资源。多中心站点可能被相同的组织拥有或管理（内部），或者被用来连接达成互惠协议的双方的站点。

它的优点主要是资金上的，成本能被接受，这种站点允许服务或支持在多个站点之间共享。
它的主要的缺点和互助协议一样，大的灾难将使得站点超负荷运行，并且对于不同站点的配置要求也不同。

灾难恢复计划维护
由于业务实际情况变更引起与现实情况不符合，因此需要计划更新维护。
无论何种原因，灾难恢复技术能在外部使用，以确保计划维持在最新的可用状态，采取的行动: 在工作任务说明中描述灾难恢复计划更新，建立审计过程来报告站点的变化，必须保证没有多个灾难恢复计划存在。
目标 ：测试人员对于模拟灾难的响应能力。
方法：
并行测试 对于恢复计划的完全测试，利用所有的人员来从事这项测试，主要不同于中断测试的地方是不中断正常的生产过程。测试在同正式生产环境并行的条件下进行，测试主要目的是关键业务能在备份站点上运行，系统能重新在备份站点上布置。测试进行后，事物处理结果和其他因素将用来做比较。这是最为通用的测试方法
全中断测试 模拟真实灾难发生时对于业务造成中断的情况，停止正常的业务来测试，测试的要点包括紧急服务。这是一种引起人们惊慌的测试。也是最好的测试方式。
五种主要的灾难恢复测试类型

灾难恢复步骤 Disaster Recovery Procedures
灾难恢复计划的主要元素：

灾难恢复小组
拯救小组
正常运行恢复
其它的恢复事项

恢 复 小 组
恢复小组在宣布灾难发生后要被明确定义，恢复小组的主要任务是在另外的站点上执行关键业务的操作。
恢复小组由许多的工作任务，首先是从不能工作的站点存储设备上取回需所得的材料，这些设备可能是备份磁带，其他媒介，工作站等等。当这些材料被取回，恢复小组将安装关键系统，应用程序，和关键业务所需的数据到备份系统上。

正 常 运 行 恢 复
这通常是恢复小组的工作或者由其它的俄小组来负责完成。灾难恢复计划中必须有将公司业务及时和最小风险地从备份站点服务到生产主站过程的详细描述。
这个过程和灾难恢复步骤不同，在恢复正常运行的步骤中，需要注意的一点是，尽可能少的将关键业务从备份站点回迁到主要站点上。
认识到：“在所有业务没有正常运转之前，灾难还没有结束” ，是十分重要的。


其 它 灾 难 恢 复 因 素
面对组织外部的群体 Interfacing with external groups
雇员关系 Employee relations
欺骗和犯罪 Fraud and crime
财政支持 Financial disbursement
同传媒的关系 Media relations


业务持续计划和灾难恢复计划(ppt)