灾难恢复从技术到管理

清华大学信息技术研究院清华-威视数据安全研究所2020年5月,灾难恢复从技术到管理,侯海波,内容,灾难恢复管理概述概念、背景、价值、灾难恢复技术概览高可用性、备份、复制、远程集群持续数据保护、其他关键技术灾难恢复实施概述管理体系要素项目实施过程,一、灾难恢复管理概述,灾难恢复“将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程”。重要信息系统灾难恢复指南，2005年4月，国信办灾难恢复管理利用技术、管理手段以及相关资源，确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程，是一项集技术和管理于一体的系统工程。,高度依赖,业务系统对信息技术的依赖性越来越强无论是政府部门、企业还是个人信息系统停机往往导致业务中断信息数据已成为企业的生命源泉同时，信息系统的复杂性带来更大的脆弱性越来越多的漏洞,风险变大,调查显示20%的企业平均每五年就会遇到影响公司运营的意外情况越来越多的威胁自然风险：地震、火灾、水灾、气象、疾病、战争、人为风险：错误操作、黑客攻击、病毒发作、员工恶做、技术风险：设备失效，软件错误，通讯中断、电力失效、最近事件美国911事件、中国“非典”疫情、印度洋海啸、莫斯科大停电、伦敦地铁爆炸、,后果严重,美国明尼苏达大学：如果在发生灾难后的两个星期内，无法恢复公司的业务系统，75%的公司业务将会完全停顿，43%的公司将再也无法开业IDC统计：美国在2000年以前的十年间发生过灾难的公司中，有55当时倒闭，剩下的45中，因为数据丢失，有29也在两年之内倒闭，生存下来的仅占16。GartnerGroup：在经历大型灾难而导致系统停运的公司中有2/5再也没有恢复运营，剩下的公司中也有1/3在两年内破产。,最后防线,传统信息安全技术无法抵御大的风险和威胁例如地震、洪水、战争等等传统信息安全技术对付传统风险具有局限性病毒、黑客攻击等造成的业务中断时间可能过长，导致需要切换保险无法保证企业的生存无法找回用户数据。尽管可以挽回部分损失信息安全概念也在不断发展COMSEC（保密，通信保密）INFOSEC（保护，保密性/完整性/可用性）IA（保障，PTO*PDRR*),实施价值,减少风险损失2000年2月7日美国8大知名网站瘫痪损失12亿美元ebay：1999年6月12日:22小时故障，损失:$3M-5M+26%股票市值损失AT&T：1998年4月13日:6-26小时故障，损失:$40M用于折扣确保持续发展9.11生存启示（1200/400/6%）满足商业需要服务于全球客户的复杂性，以及消费者的高期望值据介绍是否引入有效的BCM机制，已经成为一些发达国家政府机构与企业选择合作伙伴或供应商的一个必要条件已经成为现代企业的管理战略之一Meta预测：在全球大公司中用于灾难恢复管理的投入从4%上升到7%,灾难恢复-未来法规遵从的要求,法规遵从法律的高度的要求2004年，国际“法规遵从年”国际，超过16000部法规沙宾法案Sarbanes-OxleyAct、全美证券交易商协会行为规定（NASD3110）美国健康保险便利和责任法案（HIPAA）、联邦条例21CFR第11部分FDA、NYSE、AMEX、FERC、国内国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)关于做好重要信息系统灾难备份工作通知(信安通200411号）重要信息系统灾难恢复指南（2005.5.26广东南海）,二、灾难恢复技术概览,高可用性技术数据备份技术数据复制技术远程集群技术持续数据保护技术其他关键技术,系统停机原因及防护技术,时间点复制备份,数据仓库远程备份远程复制系统热备,高可用性技术磁带备份数据复制时间点复制,人为过失,32%,计算机病毒,7%,硬件或系统故障,44%,站点灾难,3%,软件故障,14%,时间点复制备份,灾难恢复技术思路-3R,冗余性（Redundancy）灾难恢复实现的基础可恢复性（Recoverability）确保冗余的内容能在灾难发生后可以使用远程性（Remoteness）确保能够抵御灾难的影响,高可用性技术,设备冗余技术路径冗余技术系统冗余技术,技术特点：减少停机时间保护内容全面本地的保护措施基础容灾技术切换是关键,数据备份技术,Host-Based备份架构LAN-Based备份架构LAN-Free备份架构Server-Less备份架构Zero-impact备份架构相关技术数据恢复备份策略虚拟磁带库压缩技术,技术特点数据剥离-离线可以抵御逻辑错误抵御大灾难需要远程备份或传输适合业务对数据丢失不敏感对应用停机不敏感其他容灾技术的基础,数据复制技术,基于存储子系统数据复制基于存储网络层数据复制基于卷管理器数据复制基于应用数据复制,技术特点数据在线状态需要配合时间点技术抵御逻辑错误抵御大灾难需要远程数据传输适合业务数据很重要远程应用集群基础,远程集群技术,主要技术架构11或N1OSBased或ApplicationBased全冗余架构实现集群冗余服务器、冗余应用、冗余信号传输路径、冗余数据访问路径、切换是关键应用切换数据切换访问地址切换,保护应用的运行状态,持续数据保护技术,“持续数据保护是一套方法，它可以捕获或跟踪数据的变化，并将其在生产数据之外独立存放，以确保数据可以恢复到过去的任意时间点。持续数据保护系统可以基于块、文件或应用实现，可以为恢复对象提供足够细的恢复粒度，实现几乎无限多的恢复时间点”SNIA-DMF-CDP（SIG）,数据丢失量少抵御逻辑错误更容易恢复备份窗口小主机影响小,DR技术比较,三、灾难恢复实施概述,管理体系建设过程最佳实践相关标准,Process,People,Product,Plan,需求分析,确定策略,编制计划,测试部署,维护更新,项目启动,实施建设,技术决策,最佳实践,成本决策,目标,政策,法规遵从,管理,现状,管理体系,建设过程,可用技术,灾难恢复管理体系模型,Process,People,Product,Plan,管理体系要素-流程（Process）,日常维护和预警应急响应、评估与声明业务紧急接续、过渡期处理重新安置及启动按照规范和最佳实践：预防灾难，降低风险发生的概率高效行动，降低灾难造成的损失,管理体系要素-团队（People）,领导组业务恢复操作组技术功能操作组外部协调和联系人员设备和软件供应商联系人外部协作机构人是流程的执行主体和关键因素合理架构、职责、人选、后备、培训、管理,管理体系要素-设施和技术（Product）,设备包括能够保证数据恢复和业务运行的信息系统基础设施主机、网络、卡车、打印机、场地指挥、发布、系统、办公、冷场地/温场地/热场地/移动场地/商业场地/技术和方案高可用性技术数据备份与恢复技术数据复制和迁移技术远程集群技术其他关键技术技术决策要素：RTO、RPO、保护距离、TCC、保护对象、,管理体系要素-计划（Plan）（例）,目标和范围组织和职责联络与通讯紧急响应流程恢复及重续运行流程灾后重建和回退保障条件附录,简明扼要,灾难恢复建设建设过程模型,风险分析和BIA,确定策略,编制计划,测试部署,维护更新,项目启动,实施建设,实践考虑,实践考虑,自建灾难恢复中心：模式1：本地站点生产，远程站点开发和测试模式2：在远程站点进行磁带备份，无需运送磁带模式3：在各站点间平衡应用负荷