業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)計劃講述

1、業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)計劃計劃BUSINESS CONTINUITY & DISASTER RECOVERY PLANNING概述業(yè)務(wù)持續(xù)性及災(zāi)難恢復(fù)計劃論述當業(yè)務(wù)運行陷入重大混亂時，如何保持正常的業(yè)務(wù)活動。BCP 和DRP 包含對具體措施的準備、測試與更新，以此保護關(guān)鍵業(yè)務(wù)流程不受重大系統(tǒng)與網(wǎng)絡(luò)故障的影響。業(yè)務(wù)持續(xù)性計劃（BCP）有助于識別機構(gòu)承受的內(nèi)部與外部的威脅；協(xié)調(diào)硬資產(chǎn)與軟資產(chǎn)以向機構(gòu)提供有效的預(yù)防和恢復(fù)途徑，并保持其競爭優(yōu)勢與價值系統(tǒng)完整性。BCP抵御商務(wù)活動受到的干擾，應(yīng)用于保護關(guān)鍵業(yè)務(wù)流程不受重大故障與災(zāi)難的影響。BCP應(yīng)對自然與人為事件，并處理未能及

2、時有效地應(yīng)對所帶來的后果。業(yè)務(wù)影響分析（BIA）斷定在計算服務(wù)或通信服務(wù)嚴重中斷后，各個業(yè)務(wù)單位所承受的影響程度。這些影響可能是財政方面的，體現(xiàn)為金錢損失；或是運行方面的，體現(xiàn)為無法履行業(yè)務(wù)。災(zāi)難恢復(fù)計劃（DRP）在電腦設(shè)備遭受部分或全部電腦資源與物理設(shè)施損失時，提供應(yīng)急響應(yīng)、延長備份運行以及災(zāi)后恢復(fù)的程序。DRP的首要目標是讓必需任務(wù)程序得以在降級模式下運行，并在合理時間內(nèi)恢復(fù)回正常的運行模式。概述 考生應(yīng)了解業(yè)務(wù)持續(xù)性計劃與災(zāi)難恢復(fù)計劃之間的區(qū)別；了解業(yè)務(wù)持續(xù)性計劃的項目范圍與規(guī)劃、業(yè)務(wù)影響分析、恢復(fù)策略、恢復(fù)計劃發(fā)展與實施。此外，考生還應(yīng)掌握災(zāi)難恢復(fù)計劃的開發(fā)、實施與修復(fù)。關(guān)鍵知識領(lǐng)域A

3、. 理解業(yè)務(wù)持續(xù)性要求 A.1 起草并記錄項目范圍與規(guī)劃B. 進行業(yè)務(wù)影響分析 B.1 識別關(guān)鍵業(yè)務(wù)功能并進行優(yōu)先排序 B.2 判斷可接受的最長停工時間以及其他標準 B.3 評估運行中斷的威脅（如本地范圍、區(qū)域范圍、全球范圍） B.4 定義恢復(fù)目標C. 制定恢復(fù)策略 C.1 實施備份存儲策略（如異地存儲、電子倉儲、磁帶輪換） C.2 站點恢復(fù)策略D. 理解災(zāi)難恢復(fù)過程 D.1 應(yīng)對 D.2 人員 D.3 通訊 D.4 評估 D.5 修復(fù) D.6 提供培訓E. 執(zhí)行、評估與維護計劃（如版本控制、發(fā)行）主要內(nèi)容 項目起始步驟 恢復(fù)與連續(xù)性規(guī)劃要求 業(yè)務(wù)影響分析 選擇、開發(fā)和實現(xiàn)災(zāi)難和連續(xù)性計劃 備

4、份與離線設(shè)備 演習和測試類型u 災(zāi)難（Disaster）是突發(fā)的、導(dǎo)致重大損失的不幸事件，包括： 自然的（Natural），如地震（Earthquakes）、洪水（Floods）、強對流天氣（Storms）、火山爆發(fā)（Volcanic Eruptions）、自然火災(zāi)（National Fires）； 系統(tǒng)/技術(shù)的（System/Technical）,如硬件、軟件中斷（Outages）、系統(tǒng)/編程錯誤（Errors）； 供應(yīng)系統(tǒng)（Supply Systems），通訊中斷、配電系統(tǒng)（Power Distribution）中斷、管道破裂（Burst Pipes）； 人為的（Man-Made ），爆炸

5、（Explosions）、火災(zāi)（Fires）、故意破壞（Purposeful Destruction）、航空器墜毀（Aircraft Crashes）、有害物質(zhì)泄漏（Hazardous Spills）、化學污染（Chemical Contamination）、有害代碼（Malicious Code） 政治的（Political），如恐怖襲擊（Terrorist Attacks）、騷亂（Riots）、罷工（Strikes）。災(zāi)難的定義u 對于機構(gòu)來說，任何導(dǎo)致機構(gòu)關(guān)鍵業(yè)務(wù)功能在一定時間內(nèi)無法進行的事件都被視為災(zāi)難，其特點表現(xiàn)為： 計劃之外的服務(wù)中斷； 長時間的服務(wù)中斷； 中斷無法通過正常的問題管

6、理規(guī)程得到解決； 中斷造成重大損失。u 中斷事件是否被機構(gòu)視為災(zāi)難，與中斷所影響的業(yè)務(wù)功能對機構(gòu)的關(guān)鍵程度，以及中斷的時間長短有關(guān)。機構(gòu)的災(zāi)難u 業(yè)務(wù)連續(xù)性計劃（Business Continuity Plan，BCP） 關(guān)注在中斷期間和之后維持機構(gòu)的業(yè)務(wù)功能，提供重大中斷恢復(fù)期間維持重要業(yè)務(wù)運行的規(guī)程，和IT相關(guān)的僅限于其對業(yè)務(wù)處理的支持，災(zāi)難恢復(fù)計劃、業(yè)務(wù)恢復(fù)/復(fù)原計劃和場所緊急計劃可以附加在BCP之后。 業(yè)務(wù)恢復(fù)/復(fù)原計劃（Business Recovery/Resumption Plan，BRP） 涉及到在緊急事件后對業(yè)務(wù)處理的恢復(fù)，提供災(zāi)難后立即恢復(fù)業(yè)務(wù)運行的規(guī)程，但和BCP不同，它

7、在整個緊急事件或中斷過程中缺乏確保關(guān)鍵處理連續(xù)性的規(guī)程。BRP的制定應(yīng)該與災(zāi)難恢復(fù)計劃和BCP進行協(xié)調(diào)。BRP應(yīng)該附加在BCP之后。BCP相關(guān)計劃之間的關(guān)系u 操作連續(xù)性計劃（Continuity of Operations Plan，COOP） 關(guān)注位于機構(gòu)（通常是總部單位）備用站點的關(guān)鍵功能，以及這些功能在回到正常操作狀態(tài)之前最多30天的運行。由于COOP涉及到總部級的問題，它和BCP是互相獨立制定和執(zhí)行的。COOP強調(diào)機構(gòu)在備用站點恢復(fù)運行能力，所以計劃不一定需要包括IT運行。另外，它不涉及到無需重新配置到備用站點的小型危害。COOP可以將BCP、BRP和災(zāi)難恢復(fù)計劃做為附錄。 支持連續(xù)

8、性計劃IT應(yīng)急計劃 （Continuity of Support Plan/IT Contingency Plan） 支持連續(xù)性計劃和IT應(yīng)急計劃是同義詞，每一個重要的應(yīng)用和通用支持系統(tǒng)都要制定IT應(yīng)急計劃，在機構(gòu)的BCP中可能會維護多個應(yīng)急計劃。BCP相關(guān)計劃之間的關(guān)系（續(xù)）u 危機通信計劃（Crisis Communications Plan） 機構(gòu)應(yīng)該在災(zāi)難之前做好其內(nèi)部和外部通信規(guī)程的準備工作。危機通信計劃通常由負責公共聯(lián)絡(luò)的機構(gòu)制定。危機通信計劃規(guī)程應(yīng)該和所有其它計劃協(xié)調(diào)以確保只有受到批準的內(nèi)容公之于眾。計劃規(guī)程應(yīng)該做為附錄包含在BCP中。通信計劃通常指定特定人員做為在災(zāi)難反應(yīng)中回答

9、公眾問題的唯一發(fā)言人。它還可以包括向個人和公眾散發(fā)狀態(tài)報告的規(guī)程。計劃中包括記者招待會的模板。 計算機事件響應(yīng)計劃（Cyber Incident Response Plan） 建立處理針對機構(gòu)IT系統(tǒng)攻擊的規(guī)程。這些規(guī)程被設(shè)計用來協(xié)助安全人員對有害的計算機事件進行識別、消減并進行恢復(fù)，這些事件的例子包括對系統(tǒng)或數(shù)據(jù)的非法訪問、拒絕服務(wù)攻擊、或?qū)τ布?、軟件、?shù)據(jù)的非法更改（如有害邏輯：病毒、蠕蟲或木馬等）。本計劃可以包含在BCP的附錄中。BCP相關(guān)計劃之間的關(guān)系（續(xù)）u 災(zāi)難恢復(fù)計劃 （Disaster Recovery Plan，DRP） 應(yīng)用于重大的、通常是災(zāi)難性的、造成長時間無法訪問正常設(shè)

10、施的事件。通常，DRP指用于緊急事件后在備用站點恢復(fù)目標系統(tǒng)、應(yīng)用或計算機設(shè)施運行的IT計劃。DRP的范圍可能和IT應(yīng)急計劃重疊，但是DRP的范圍比較狹窄，它不涉及到無需重新配置的小型危害。根據(jù)機構(gòu)的需要，可能會有多個DRP附加在BCP之后。 場所緊急計劃（Occupant Emergency Plan，OEP） 在發(fā)生有可能對人員的安全健康、環(huán)境或財產(chǎn)構(gòu)成威脅的事件時，為設(shè)施中的人員提供反應(yīng)規(guī)程。 OEP在設(shè)施級制定，與特定的地理位置和建筑結(jié)構(gòu)有關(guān)。根據(jù)美國總務(wù)管理局（GSA）的OEP模板維護GSA所屬設(shè)施的OEP計劃。設(shè)施OEP可以附加在BCP之后，但是獨立執(zhí)行。BCP相關(guān)計劃之間的關(guān)系（

11、續(xù)）BCP步驟u BCP項目規(guī)劃階段的活動包括： 確定BCP需求，可以包括有針對性的風險分析以識別關(guān)鍵系統(tǒng)可能的中斷； 向管理層推銷BCP理念，獲得管理層的支持； 了解相關(guān)法律、法規(guī)、行業(yè)規(guī)范以及機構(gòu)的業(yè)務(wù)和技術(shù)規(guī)劃的要求，以確保BCP與其相一致； 任命BCP項目負責人，建立BCP團隊，包括業(yè)務(wù)和技術(shù)部門的代表； 制定項目管理計劃書（Work Plan），其中應(yīng)明確項目范圍、目標、方法、責任、任務(wù)及其進度； 確定收集數(shù)據(jù)所需的自動化工具； 向管理層提交項目規(guī)劃和狀態(tài)報告； 確定項目進度。BCP項目規(guī)劃u 業(yè)務(wù)連續(xù)性協(xié)調(diào)人做為BCP項目負責人全面負責項目的規(guī)劃、準備、培訓等各項工作： 計劃的開發(fā)

12、團隊與管理層的溝通和聯(lián)絡(luò)； 有權(quán)與計劃相關(guān)的所有人員進行直接接觸和溝通； 充分了解中斷對機構(gòu)業(yè)務(wù)的影響； 全面了解機構(gòu)的需求和運作，有能力平衡機構(gòu)中相關(guān)部門的不同需求； 比較容易接觸到高級管理層； 了解機構(gòu)的業(yè)務(wù)方向和高級管理層的意圖； 有能力影響高級管理層的決策。BCP項目負責人u 對BCP項目的規(guī)劃最終應(yīng)該形成業(yè)務(wù)連續(xù)性策略條款，該條款記錄BCP的： 目的、范圍和需求； 基本原則和指導(dǎo)方針； 職責和責任； 關(guān)鍵環(huán)節(jié)的基本要求；u 策略條款應(yīng)得到高級管理層的正式批準，并公布成為機構(gòu)的政策，指導(dǎo)機構(gòu)業(yè)務(wù)連續(xù)性相關(guān)工作。BCP策略條款業(yè)務(wù)連續(xù)性規(guī)劃要求關(guān)鍵的業(yè)務(wù)流程（1）薪金處理（2）時間和考勤

13、報告（3）時間和考勤核對（4）時間和考勤批準業(yè)務(wù)流程（2）：時間和考勤報告關(guān)鍵的資源lLAN服務(wù)器lWAN訪問l電子郵件l大型機訪問l電子郵件服務(wù)器資源 恢復(fù)優(yōu)先順序lLAN服務(wù)器 高lWAN訪問 中l(wèi)電子郵件 低l大型機訪問 高l電子郵件服務(wù)器 高關(guān)鍵資源lLAN服務(wù)器lWAN訪問l電子郵件l大型機訪問l電子郵件服務(wù)器確認關(guān)鍵的IT資源來自用戶、業(yè)務(wù)流程、所有者、應(yīng)用程序所有者和其他相關(guān)組的輸入確認中斷的影響和允許的最長停工時間確定恢復(fù)優(yōu)先次序允許的最長時間：8小時影響l考勤卡處理延遲l無法執(zhí)行薪金操作l薪金處理延時BIA分析u 協(xié)助機構(gòu)管理者了解潛在中斷對機構(gòu)的影響；u 識別機構(gòu)的關(guān)鍵功能

14、以及支持這些功能的IT資源；u 協(xié)助管理人員識別機構(gòu)功能支持方面的不足；u 排定IT資源的恢復(fù)順序；u 分析中斷的影響，包括損失的利潤、增加的運行費用、收入的延期以及對競爭能力和公眾信心的打擊；u 確定每一項業(yè)務(wù)功能的恢復(fù)窗口（Recovery Windows），如確定機構(gòu)可以使用手工作業(yè)或其它替代方式執(zhí)行關(guān)鍵功能的時間長度。BIA的目的u 確定信息收集技術(shù)；u 選擇受訪者（Interviewees）；u 定制收集經(jīng)濟和運作影響信息的問卷；u 分析信息；u 確定時間關(guān)鍵（Time-Critical）的業(yè)務(wù)功能；u 確定最大允許中斷時間（Maximum Tolerable Downtime，MT

15、D）；u 基于MTDs排定關(guān)鍵業(yè)務(wù)功能的恢復(fù)順序；u 準備和提交BIA報告。BIA的過程支持資源的種類 支持關(guān)鍵功能的資源包括： 人力資源（Human resources），如操作員、專家、系統(tǒng)用戶等。 處理能力（Processing capability），如數(shù)據(jù)中心、備用數(shù)據(jù)中心、網(wǎng)絡(luò)、小型機、工作站、個人計算機等。 基于計算機的服務(wù)（Computer-based services），如語音和數(shù)據(jù)通信服務(wù)、數(shù)據(jù)庫服務(wù)、公告服務(wù)等。 自動化應(yīng)用和數(shù)據(jù)（Automated applications and data），計算機設(shè)備上運行的各種程序和存儲的數(shù)據(jù)。 物理基礎(chǔ)設(shè)施（Physical i

16、nfrastructure），如辦公室、辦公家具、環(huán)境控制系統(tǒng)、電力、上下水、郵件服務(wù)等。 文檔和票據(jù)（Documents and papers），如合同、票據(jù)、計劃、規(guī)程等文件、文檔和資料。u 預(yù)期各種可能出現(xiàn)的緊急情況時需要考慮類似下面這些問題： 人力資源，人們還能否工作？在罷工事件中關(guān)鍵人員能否工作？是否有人能夠替代這些人員？人們能否便捷地抵達備用站點？ 處理能力，計算機是否損壞？如果部分計算機無法使用應(yīng)該怎么辦？ 基于計算機的服務(wù)，能否進行計算機通信？人們之間如何通信？信息服務(wù)是否中斷？會中斷多長時間？ 自動化應(yīng)用和數(shù)據(jù)，數(shù)據(jù)的完整性是否遭到損壞？應(yīng)用程序是否被破壞？應(yīng)用程序能夠在其它

17、平臺下運行？ 物理基礎(chǔ)設(shè)施，人們是否有地方辦公？人們是否有完成工作所需的設(shè)備？ 文檔和票據(jù)，所需的文件能否找到？找到后還能否使用？預(yù)期潛在緊急情況確定防御性控制 BIA中確定的一些中斷影響可以通過遏制、探測和或降低對系統(tǒng)影響的防御性措施予以消減或清除。一些常用措施如下所列： UPS和/或備用發(fā)電機 空調(diào)系統(tǒng)預(yù)留富余容量 火災(zāi)、煙感探測器和消防系統(tǒng) 水害探測器和防水措施 緊急斷路器 備份和離站存儲 最小特權(quán)u 緊急響應(yīng)（Emergency response）階段，事件發(fā)生初期為保護生命和減少損失所采取的行動。u 恢復(fù)（Recovery）階段，事件發(fā)生后為了繼續(xù)關(guān)鍵功能所采取的行動。u 復(fù)原（Re

18、sumption）階段，事件發(fā)生后為了恢復(fù)到正常運行狀態(tài)所采取的行動。不同階段的應(yīng)急計劃策略u 業(yè)務(wù)恢復(fù)（Business Recovery） 確定關(guān)鍵業(yè)務(wù)功能及其支持資源的恢復(fù)順序；u 設(shè)施和供應(yīng)恢復(fù)（Facility and Supply Recovery） 確定備用設(shè)施的恢復(fù)規(guī)程，包括確定建筑、場地、安防、環(huán)境供電等配套設(shè)施、辦公設(shè)備、家具、用品等；u 用戶恢復(fù)（User Recovery） 確定人工操作規(guī)程及其相關(guān)的關(guān)鍵記錄的管理、人員的通知、交通、飲食、住宿等相關(guān)事宜；u 技術(shù)恢復(fù)（Technical Recovery） 確定數(shù)據(jù)中心和網(wǎng)絡(luò)的恢復(fù)方法；u 數(shù)據(jù)恢復(fù)（Data Reco

19、very） 確定關(guān)鍵軟件、數(shù)據(jù)的備份、存儲和恢復(fù)方法。不同層次的恢復(fù)策略恢復(fù)場所完備場所（hot site） 優(yōu)點租用設(shè)施，幾小時即可投入運行高度可用性常用于短期解決方案而非長期解決方案可以進行年度檢查 缺點價格昂貴硬件和軟件的選擇有限 基本完備場所（warm site）和基礎(chǔ)場所（cold site） 租用設(shè)施，只有部分設(shè)施 優(yōu)點便宜成本較低，因此可以使用較長時間如果使用所有權(quán)硬件或者軟件，更為實用 缺點不能立即投入使用不能進行年度運作測試不能立即獲得運作所需的資源u 恢復(fù)時間目標（Recovery Time Objectives，RTO ）在系統(tǒng)的不可用性嚴重影響到機構(gòu)之前所允許消耗的最長

20、時間。u 恢復(fù)點目標（Recovery Point Objectives，RPO ）數(shù)據(jù)必須被恢復(fù)以便繼續(xù)進行處理的點。也就是所允許的最大數(shù)據(jù)損失量BCP策略的技術(shù)指標不同類型的恢復(fù)計劃計劃類型計劃類型說說 明明業(yè)務(wù)恢復(fù)計劃著重于恢復(fù)必須重建的業(yè)務(wù)流程而非IT組件（即面向流程而非面向措施）操 作 連 續(xù) 性 計 劃（Continuity Of Operations Plan，COOP）在災(zāi)難發(fā)生后建立高級管理層和總部。說明角色和權(quán)威、繼任順序以及不同角色的任務(wù)IT應(yīng)急計劃在破壞發(fā)生之后，用于網(wǎng)絡(luò)、系統(tǒng)和主要的應(yīng)用程序恢復(fù)過程的計劃。每個主要的系統(tǒng)和應(yīng)用程序都應(yīng)分別制定一個應(yīng)急計劃緊急通信計劃包

21、括內(nèi)部和外部通信結(jié)構(gòu)和角色。確定與外部實體進行通信的具體人員，并包括寫好的即將發(fā)布的聲明網(wǎng)絡(luò)事故響應(yīng)計劃主要關(guān)注惡意軟件、黑客、入侵、攻擊和其他安全問題。概述了事故響應(yīng)程序災(zāi)難恢復(fù)計劃重點說明在發(fā)生災(zāi)難后如何恢復(fù)各種IT機制。應(yīng)急計劃通常針對非災(zāi)難事故，而災(zāi)難恢復(fù)計劃則針對需要將IT數(shù)據(jù)處理轉(zhuǎn)移到另一處設(shè)施的災(zāi)難事故場所應(yīng)急計劃建立人員安全和撤離程序u 廉價磁盤冗余陣列（Redundant Arrays of Inexpensive Disks， RAID）使用三種技術(shù)： 鏡像（Mirroring），系統(tǒng)同時將數(shù)據(jù)寫到兩個分離的硬盤驅(qū)動器或驅(qū)動器陣列。 優(yōu)點是減少停機時間、簡化數(shù)據(jù)恢復(fù)和提高從

22、磁盤讀取的性能。缺點是磁盤寫入較慢。 較驗（Parity），確定數(shù)據(jù)是否丟失或被覆蓋的技術(shù)。 優(yōu)點是無需存儲數(shù)據(jù)拷貝就可以保護數(shù)據(jù)。條紋（Striping），通過將數(shù)據(jù)分布到所有的驅(qū)動器來提高硬件陣列控制器的性能。條紋可以在字節(jié)或數(shù)據(jù)塊級別進行。 u RAID的技術(shù)可以通過硬件也可以通過軟件實現(xiàn)。u 熱交換（Hot-Swappable）驅(qū)動器，在磁盤驅(qū)動器故障時無需關(guān)閉系統(tǒng)就可以交換磁盤驅(qū)動器。廉價磁盤冗余陣列u 防故障磁盤系統(tǒng)（Failure Resistant disk Systems，F(xiàn)RDSs） 能夠防止因磁盤故障丟失數(shù)據(jù)；u 容錯磁盤系統(tǒng)（Failure Tolerant disk

23、Systems，F(xiàn)TDSs） 磁盤系統(tǒng)單一部件故障情況下仍能提供數(shù)據(jù)訪問；u 容災(zāi)磁盤系統(tǒng)（Disaster Tolerant disk Systems，F(xiàn)TDSs）包含多套位于不同區(qū)域的組件，任何組件都可獨立提供存儲數(shù)據(jù)訪問；RAID的新分類u 電子跳躍（Electronic vaulting）是在主站點通過電子方式向遠程站點進行備份或取回備份。u 使用寬帶通信鏈路進行的電子跳躍可以使系統(tǒng)備份更加自動化、減少了人力消耗、節(jié)省了時間、提高了效率并降低了成本。u 電子跳躍可以實現(xiàn)交易信息的實時備份，提高了系統(tǒng)的可用性。u 電子跳躍站點的位置可以是機構(gòu)自己的備份站點，也可以是商業(yè)備份站點或互惠站點

24、。電子跳躍u 遠程日記（Remote Journal），將事務(wù)（特別是數(shù)據(jù)庫）處理的明細記錄通過電子的方式傳輸?shù)竭h程設(shè)施的存儲設(shè)備中。u 如果需要對服務(wù)器進行恢復(fù)，可以通過電子的方式從遠程設(shè)施中取回所存儲的明細記錄來恢復(fù)交易、應(yīng)用或數(shù)據(jù)庫數(shù)據(jù)。u 遠程日記可以通過批處理進行也可以使用緩存軟件不間斷地進行。 u 遠程日記縮短了恢復(fù)時間并且減少了兩次傳統(tǒng)備份之間服務(wù)器遭到損害時的數(shù)據(jù)損。 遠程日記u 同步復(fù)制也被稱為鏡像復(fù)制（Mirroring）u 主服務(wù)器的變化被同時添加到復(fù)制服務(wù)器u RTO可減小到幾個小時，RPO可被減少為未提交工作的損失。u 會降低主服務(wù)器的性能，帶寬要求高u 適用于可用性

25、要求很高的應(yīng)用。磁盤復(fù)制-同步復(fù)制u 異步復(fù)制也被稱為投影復(fù)制（Shadowing）u 不斷地獲取主服務(wù)器的日志變化并將此變化添加到復(fù)制服務(wù)器u RTO在數(shù)小時和一天之間。RPO是映像服務(wù)器接收的最后數(shù)據(jù)u 對主服務(wù)器的性能影響小，帶寬要求低u 適用于小帶寬長距離的網(wǎng)絡(luò)磁盤復(fù)制-異步復(fù)制u通過負載均衡（Load Balance），流量可以被動態(tài)分配到一組運行相同應(yīng)用程序的多個服務(wù)器上。 u負載均衡既可以提高整個系統(tǒng)的性能，又可以在服務(wù)器出現(xiàn)故障時將該服務(wù)器承擔的服務(wù)分配到運行中的服務(wù)器執(zhí)行。u在不同站點的服務(wù)器之間進行的負載均衡還可以在某一站點無法提供服務(wù)時將該站點承擔的服務(wù)分配到運行中的站點

26、執(zhí)行。負載均衡u 熱站點（Hot Site）u 冷站點（Cold Site） u 溫站點（Warm Site） u 移動站點（Mobile Site）u 冗余站點（Redundant site）u 互惠協(xié)議（Reciprocal/mutual agreement）u 多處理中心（Multiple Processing Centers）u 服務(wù)中心（Service Bureaus）備用設(shè)施的類型u 熱站點，是滿足系統(tǒng)需求、規(guī)模適當?shù)霓k公場所，其中配置了所需的基礎(chǔ)設(shè)施、服務(wù)、系統(tǒng)硬件、軟件、實時數(shù)據(jù)和支持人員，通常24小時有人值守。接到應(yīng)急計劃啟動通知時只需要進行適當?shù)穆酚赊D(zhuǎn)換和通知就可以提供主站

27、點的關(guān)鍵應(yīng)用服務(wù)。u 冷站點，通常具有充足空間和支持IT系統(tǒng)的基礎(chǔ)設(shè)施和服務(wù)（電源、電信連接和環(huán)境控制），站點不包含IT設(shè)備并且通常也不包含辦公自動化設(shè)備如電話、傳真機或復(fù)印機。熱站和冷站u 溫站點，介于熱站點和冷站點之間，依據(jù)恢復(fù)策略需求和投入限制配置部分IT資源，不包含實時數(shù)據(jù)，運行主站點應(yīng)用之前需要進行部分設(shè)備或軟件安裝，數(shù)據(jù)上載工作。u 移動站點，是內(nèi)部配置適當電信裝備和IT設(shè)備的可移動拖車，可以被機動拖放和安置在所需的備用場所，提供關(guān)鍵的應(yīng)用服務(wù)，如電話交換功能等。溫站和移動站u 冗余站點，也被稱為鏡像站點，是具有完整和實時信息鏡像的完全的冗余設(shè)施。鏡像站點與主站點在所有的技術(shù)層面上

28、都是一致的。由于在主站點和備用站點同時處理和存儲數(shù)據(jù)所以這些站點提供了最高的可用性。u 互惠協(xié)議，兩個或多個在IT配置和備份技術(shù)上相似或相同的機構(gòu)簽訂正式協(xié)議互相做為對方的備用站點，或者聯(lián)合租用一個備用站點。因為在發(fā)生災(zāi)難事件期間，每一個站點必須能夠在承擔自己的工作負荷之外支持其它站點，所以達成互惠協(xié)議時必須謹慎從事。冗余站點和互惠協(xié)議u 多處理中心就是將處理任務(wù)分布到一個機構(gòu)的多個不同的兼容數(shù)據(jù)處理中心，由這些中心分擔處理工作，當某個中心發(fā)生災(zāi)難時，其它中心可以接替該中心處理的工作。這種方式需要處理中心維護比正常需要高出較多的處理能力，并且要確保各處理中心軟件版本和數(shù)據(jù)的同步；u 服務(wù)中心為

29、多個機構(gòu)提供數(shù)據(jù)處理服務(wù)，可以為客戶提供災(zāi)難恢復(fù)期間的數(shù)據(jù)處理服務(wù)。服務(wù)中心如果為用戶預(yù)留額外的處理能力，其成本也是很高的，所以提供災(zāi)難恢復(fù)服務(wù)的處理中心并不多。多處理中心和服務(wù)中心u 支持信息（SUPPORTING INFORMATION）u 通知啟動階段 （NOTIFICATION/ACTIVATION PHASE）u 恢復(fù)階段 （RECOVERY PHASE）u 重建階段 （RECONSTITUTION PHASE）u 計劃的附錄 應(yīng)急計劃的內(nèi)容u 目的（Purpose），闡述制定計劃的原因和目標。 u 適用性（Applicability），作用范圍以及與其它計劃的關(guān)系。 u 范圍（Sc

30、ope），設(shè)定啟用計劃的條件。 u 參考需求（References/Requirements），描述制定計劃的背景和法規(guī)需求。u 變化記錄（Record of Changes），記錄計劃的變動情況。支持信息的介紹部分u 系統(tǒng)描述（System Description） ，對系統(tǒng)的體系結(jié)構(gòu)和功能進行的一般性描述，包括運行環(huán)境、物理位置、用戶位置以及外部關(guān)系如備份規(guī)程、安全控制、電信鏈接等。u 繼任序列（Line of Succession），定義負責人缺席的情況下的繼任者，計劃的最高負責人通常是機構(gòu)的CIO。u 職責（Responsibilities），表述應(yīng)急團隊的整體結(jié)構(gòu)以及每一個團隊具體成

31、員角色和職責。支持信息的運行概要部分u 應(yīng)該描述在工作時間和非工作時間通知恢復(fù)人員的方法。 u 一種通用通知方法是呼叫樹（Call Tree）。應(yīng)該包括主要的和備用的聯(lián)絡(luò)方法，應(yīng)該包括在某個人無法聯(lián)系上時應(yīng)該采取的規(guī)程。u 通知還應(yīng)該發(fā)給會因為不知情而受到負面影響的外部機構(gòu)或互聯(lián)的伙伴系統(tǒng)。u 通知中所傳遞的信息類型應(yīng)該在計劃中載明。 通知/啟動階段的通知部分u 損害評估（Damage Assessment）小組通常是第一個得到事件通知的小組。 u 應(yīng)該在確保人員安全的前提下盡快完成。 u 在書面計劃無法得到的情況下，具有損害評估職責的人員應(yīng)該了解和能夠執(zhí)行這些規(guī)程。 u 損害評估應(yīng)該涉及到緊

32、急情況的原因、損失情況、影響范圍、物理結(jié)構(gòu)現(xiàn)狀、IT設(shè)備的功能狀態(tài)（可用、部分可用、完全喪失）、需更換的項目、預(yù)計恢復(fù)所需的時間等。u 一旦系統(tǒng)的影響被確定，就應(yīng)該將最新信息和對此情況的響應(yīng)計劃通知給適當?shù)膱F隊。 通知/啟動階段的損害評估部分u 只有當損害評估的結(jié)果顯示一個或多個系統(tǒng)啟動條件被滿足時，IT應(yīng)急計劃才應(yīng)被啟動（Activation）。 u 如果滿足啟動條件，應(yīng)急計劃協(xié)調(diào)人或CIO（如果適用）應(yīng)啟動計劃 。u 啟動條件應(yīng)該在應(yīng)急計劃策略條款中予以說明，可以根據(jù)人員安全、設(shè)施損失、 系統(tǒng)損失、受損系統(tǒng)的關(guān)鍵程度、預(yù)計的中斷持續(xù)時間等確定。通知/啟動階段的計劃啟動部分u 恢復(fù)行動的順序

33、（Sequence of Recovery Activities） 行動的順序應(yīng)該反映出系統(tǒng)允許的中斷時間，以避免對相關(guān)系統(tǒng)及其應(yīng)用的重大影響。 u 恢復(fù)規(guī)程 （Recovery Procedures） 恢復(fù)規(guī)程應(yīng)該按照直接和逐步的風格書寫。 為了防止在緊急事件中產(chǎn)生困難或混亂，不能假定或忽略規(guī)程的步驟。 檢查列表的形式有助于撰寫順序的恢復(fù)規(guī)程和在系統(tǒng)無法正?；謴?fù)時解決問題。 恢復(fù)階段u 恢復(fù)原站點 確保充足的基礎(chǔ)設(shè)施支持，如電源、供水、電信、安全、環(huán)境控制、辦公設(shè)備和用品 安裝系統(tǒng)硬件、軟件和固件。此行動應(yīng)該包括與恢復(fù)階段類似的詳細恢復(fù)規(guī)程u 測試系統(tǒng) 測試系統(tǒng)運行以確保完全的功能性 備份應(yīng)

34、急系統(tǒng)中的運行數(shù)據(jù)并上載到被恢復(fù)系統(tǒng)中u 終止操作關(guān)閉應(yīng)急系統(tǒng)、終止應(yīng)急操作對應(yīng)急站點的所有敏感材料加以保護、清除和或重新配置安排恢復(fù)人員回到原設(shè)施重建階段u 應(yīng)急計劃團隊成員的聯(lián)絡(luò)信息。u 供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲和備用站點的POC（Point Of Contact）。u 系統(tǒng)恢復(fù)或處理的標準操作規(guī)程和檢查列表。u 支持系統(tǒng)所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單。每個條目應(yīng)該包含詳細內(nèi)容，包括型號或版本號、規(guī)格說明和數(shù)量。u 供應(yīng)商SLA、與其它機構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄。u 備用站點的描述和說明。u BIA報告，包含系統(tǒng)各部分相互關(guān)系、風險、優(yōu)先級別和影響的有價值的信息

35、。BIA應(yīng)該做為一個附錄包含在計劃中以便在啟動計劃時參考。計劃的附錄u 應(yīng)該指定適當?shù)膱F隊來執(zhí)行所選擇的應(yīng)急計劃策略。除了計劃的總協(xié)調(diào)人以外還可能包括： 高級管理人員 管理小組 損害評估小組 操作系統(tǒng)管理小組 系統(tǒng)軟件小組 服務(wù)器恢復(fù)小組（如客戶服務(wù)器、Web服務(wù)器） LAN/WAN恢復(fù)小組 數(shù)據(jù)庫恢復(fù)小組 網(wǎng)絡(luò)運行恢復(fù)小組 應(yīng)用程序恢復(fù)小組BCP團隊組成 電信恢復(fù)小組 硬件拯救小組 備用站點恢復(fù)協(xié)調(diào)小組 原站點恢復(fù)拯救協(xié)調(diào)小組 測試小組 監(jiān)管支持小組 運輸布置小組 媒體公關(guān)小組 法律事務(wù)小組 物理人員安全小組 采購小組（設(shè)備和用品）BCP團隊組成(續(xù))u 應(yīng)該根據(jù)其所具備的技能和知識將人員分

36、配到這些團隊中。 u 每一個團隊都應(yīng)該得到培訓并時刻準備在中斷事件發(fā)生需要啟動計劃時展開工作。u 小組應(yīng)該具有充足的規(guī)模以便在某些成員缺席的情況下保持有效性，也可以指定預(yù)備小組成員。 u 繼任序列計劃 BCP團隊組成(續(xù))u 培訓是應(yīng)急團隊有效執(zhí)行應(yīng)急計劃的保證，培訓內(nèi)容應(yīng)該包括： 計劃的目的 團隊之間的協(xié)調(diào)與溝通 匯報規(guī)程 安全需求 團隊特有的處理過程（通知啟動、恢復(fù)和重建階段） 個人職責（通知啟動、恢復(fù)和重建階段）u 培訓應(yīng)該至少一年進行一次，新員工上崗之前應(yīng)該接受應(yīng)急計劃培訓。u 培訓最終應(yīng)該使得他們能夠無需實際文檔的協(xié)助就能夠執(zhí)行相應(yīng)的恢復(fù)規(guī)程。 BCP團隊培訓測試和審查計劃對應(yīng)急計劃

37、的測試有助于發(fā)現(xiàn)應(yīng)急計劃中存在的問題和缺陷，是對員工進行相關(guān)知識的培訓和技能的演練的重要手段，測試的方式有： 檢查列表（Checklist），將計劃分發(fā)到各職能部門，每個部門對計劃的要素進行逐一檢查以確保計劃涉及到了所有應(yīng)該考慮的因素。 結(jié)構(gòu)化檢查（Structured Walk-Through），召集職能部門的代表檢查計劃的細節(jié)，包括計劃的每一個步驟和相關(guān)規(guī)程以確保其正確性。 模擬（Stimulation），在模擬中斷場景下執(zhí)行應(yīng)急計劃以檢驗所有運行和支持功能在各種中斷情況下的響應(yīng)能力。不涉及到備用站點的實際部署。 并行（Parallel），是對備用站點的實際運行測試，將關(guān)鍵系統(tǒng)部署到備用站

38、點并且運行以檢驗其運行效果并與主站點的系統(tǒng)進行比較。 完全中斷（Full Interruption），完全關(guān)閉正常運行的系統(tǒng)，使用離站存儲的資源和應(yīng)急團隊在備用站點運行系統(tǒng)關(guān)鍵功能。BCP計劃測試(續(xù)) 其他類型的培訓（Other Types of Training），除了災(zāi)難恢復(fù)培訓之外，還應(yīng)該就其他問題接受培訓 應(yīng)急響應(yīng)（Emergency Response），制定好的行動計劃，用于幫助人們在危急情況下能夠更好地應(yīng)付遭到的破壞 應(yīng)該制定測試計劃，測試計劃應(yīng)設(shè)計為對所選擇的測試要素有明確的測試目標和成功標準。 測試結(jié)果和學習到的經(jīng)驗應(yīng)該記錄到文檔。在測試中和測試后檢查中收集到的有助于提高計劃

39、效率的信息應(yīng)該添加到應(yīng)急計劃中。 u 因為應(yīng)急計劃所涉及的各種因素如業(yè)務(wù)重心的轉(zhuǎn)移、技術(shù)的發(fā)展、人員的變動都會影響到應(yīng)急計劃的效率和可行性，所以應(yīng)急計劃應(yīng)該根據(jù)這些因素的變化進行更新。u 對應(yīng)急計劃的測試可以發(fā)現(xiàn)應(yīng)急計劃中的錯誤和缺陷以便對應(yīng)急計劃進行必要的修改。不同機構(gòu)根據(jù)其特點可采取不同的更新頻率，但是應(yīng)急計劃一年至少應(yīng)該進行一次測試和調(diào)整，在所涉及的因素發(fā)生重大變化時應(yīng)隨時更新。u 應(yīng)急計劃的更新和修改應(yīng)該納入更改管理（change management）系統(tǒng)中進行。BCP計劃更新維護計劃維護計劃 原因 業(yè)務(wù)連續(xù)性過程沒有整合入變更管理過程 基礎(chǔ)架構(gòu)和環(huán)境發(fā)生變化 公司進行重組、裁員或合

40、并 硬件、軟件和應(yīng)用程序發(fā)生變化 制定計劃后，人們認為沒有必要再做其他的工作 人員發(fā)生更換 大型計劃要進行許多維護工作 計劃并不直接帶來利潤 方法 使業(yè)務(wù)連續(xù)性成為每個業(yè)務(wù)決策的一部分 將維護責任整合入職位描述 將維護工作表現(xiàn)包含在個人評估中 執(zhí)行包括災(zāi)難恢復(fù)、連續(xù)性文檔與措施的內(nèi)部審計 進行應(yīng)用計劃的常規(guī)演習 將BCP整合入當前的變更管理過程練習 To get managements support and approval of the plan, a business case must be made. Which of the following is least important to this business case? Regulatory and legal requirements Company vulnerabilit