CISP业务持续性和灾难恢复.pptVIP

信息安全管理业务持续性和灾难恢复 中国信息安全产品测评认证中心（CNITSEC） CISP-3-业务持续性和灾难恢复（培训样稿） 目录 持续性计划/灾难恢复概述 相关定义和关系 持续性计划实施方法论 业务持续性和灾难恢复管理介绍 概述 风险，灾难，故障------中断！！ 9/11 直接和间接的损失 业务发生中断。。。 业务持续性和灾难恢复管理介绍 相关定义和关系 持续性计划同风险管理关系 持续性计划同风险管理关系 恢复点目标-RPO/恢复时间目标-RTO 恢复点目标 (RPO) – 应用必须恢复以重开始业务交易的时间点 恢复时间目标 (RTO) – 需要恢复应用数据所需的最长时间 后备站点类型和定义 冷站（Cold Sites） 通常包含用于支持IT系统的足够空间和基础设施（电力，电信连接和环境控制）。此空间应有抬升地板和其他用于IT操作的设施。此站点并不包含IT设备并且通常不包含办公自动化设备，例如：电话、传真机或复印机。组织机构使用冷站负责提供和安装必要的设备和通信能力。 温站（Warm Sites） 是有部分装备的包含部分或所有系统硬件、软件、电信和电源的办公空间。温站维持于一个运行维护状态以接受重定位的系统。此站点在接受系统和恢复人员前需要进行一些准备。在很多情况下，温站用作其他系统或功能的正常操作设施，当持续性计划启动事件发生后，其正常行动将临时替换以容纳被中断的系统。 热站（Hot Sites） 是有足够空间大小以支持系统要求和配备了必要的系统硬件、支持基础设施和支持人员的办公空间。热站通常配备了1周7天、每天24小时24*7的人员。热战人员在接到持续性计划启动通知后，开始立即准备系统的到达。 移动站（Mobile Sites） 是带有满足系统需求的特定电信和IT设备的客户量身定做的自包含、可传送的站点。它们可以通过商业厂商租用。此设施通常包含在拖车尾部并可以开往和]设置于所需的后备地点。在绝大多数情况下，在绝大多数情况下，要成为一个可行的恢复方案，移动站的设计应预先同厂商联系，并在双方间签订一个服务级别协议（SLA）。这是必要的，因为配置移动站所需的时间可能较长，如果没有预先的协调，将移动站送达的时间可能会超过系统允许的中断时间。 镜像站（Mirrored Sites） 是包含全部、实时信息镜像的冗余设施。镜像站点同主站点在技术方面是完全相同的。因为数据的处理和存储在主站和后备站同时进行，这种站点提供了最高级别的可用性。这种站点通常是由组织机构自己设计、建设、操作维护和维持。 业务持续性和灾难恢复管理介绍 业务持续性计划实施方法论 持续性计划实施流程 持续性计划内容 持续性计划内容呼叫树实例 业务持续性和灾难恢复管理介绍 技术考虑和相应方案 应用恢复点目标/恢复时间目标 恢复点目标 恢复时间目标 恢复时间包括 故障检测 恢复数据 将应用带回在线 后备站点考虑 “足够”远 同主站有多远？ 后备站所拥有的资源？ 站点战略（热站、温站、冷站、移动站、镜像站） 考虑 通信情况 电力供应 气候区域 同其他站点的本地关系（例如：机场） 地理边界 远程客户 远程员工 持续性计划顾问现场检查 …… 后备站点选择比较 持续性计划特定平台考虑和方案 台式计算机和便携系统（笔记本和手持计算机） 服务器 网站 局域网 广域网 分布系统 大型机系统 特定系统和平台 。。。。。。 持续性技术方案原理图 无单点故障持续性技术方案原理图 问题？ * cnitsec * * 交流的主题 间接损失 新闻头条 公众声誉 直接损失 数据丢失、设备损坏 人员伤害。。。 恢复的时间 故障、灾难 业务中断 紧急响应 重定位备份 资源 在行动 恢复操作系统 重装载 数据库 回滚和 再同步 持续性计划 安全措施实现 风险管理 持续性计划执行 紧急事件 自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。 潜在风险 风险评估 安全控制 管理控制 运行维护控制 技术控制 。 。 。 持续性计划 范围 飓风 操作员错误 硬件故障 数据残缺 。 。 自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。 火灾 飓风 洪水 阴谋破坏 硬件故障 数据残缺 电信故障 操作员错误 自然 火灾 飓风 洪水 台风 。 。 人 阴谋破坏 恶意代码 操作员错误 。 。 技术 硬件故障 数据残缺 电信故障 电力故障 。 硬件故障 数据残缺 操作员错误 飓风 标识的风险 残余的风险 秒 分 小时 日 周 秒 分 小时 日 周 恢复点 恢复时间 开发 持续性计划 策略 进行 业务影响 分析 标识