信息安全灾难恢复

《信息安全灾难恢复》由会员分享，可在线阅读，更多相关《信息安全灾难恢复（23页珍藏版）》请在文档大全上搜索。

1、信息系统灾难恢复信息系统灾难恢复 20134203023 梅洪梅洪目录目录灾难恢复的历史和现状灾难恢复规划和实施1234灾难恢复相关术语灾难恢复相关标准法规灾难恢复的历史和现状灾难恢复的历史和现状在美国宾夕法尼亚州的费城建立了专业的商业化的灾难备份中心并对外提供服务。1979年1989年1999年2005年灾难备份服务商之间进行了大规模的合并和重组，到1999年市场上只剩下31家灾难备份服务商，并以每年15%的速度增长。2005年，美国德勤公司针对灾难恢复建设及其驱动力等方面，对273 个机构进行了调查，结果显示，建设灾难恢复系统的比例在不断增高美国的灾难恢复行业得到了迅猛发展，拥有超过100

2、家灾难备份服务商。机构灾难恢复建设情况机构灾难恢复建设情况20042004年年20052005年年全部或部分业务关键业务建立灾难恢复系统的机构74.40%83.60%全部关键业务建立了灾难恢复系统的机构21.70%41.80%美国灾难恢复建设情况美国灾难恢复建设情况 911 事件后，Globe Continuity Inc. 对美国、英国、澳大利亚及加拿大共 565 个公司使用灾难备份中心的情况进行了调查，发现在拥有或租用了灾难备份中心的公司中，56%使用了商业化的灾难备份服务，29%使用自有的灾难备份中心，15%在商业化灾难备份服务的基础上同时拥有自己的备份设施。两项相加，使用灾难备份服务外

3、包的比例达到了71%。 从用户的行业划分来看，灾难恢复行业面向的主要客户还是金融业。事实上，有近一半的灾难备份中心是专门为金融行业服务的。据 CPR估计，美国灾难恢复行业的年销售额中有 45%来自金融行业。 西方发达国家重要机构都在远离主数据中心的地方拥有一个灾难恢复系统，如美国的Wells Fargo Bank、法国的法兰西银行、新加坡的 Citibank 等。对于信息系统依赖程度较高的公司往往需要拿出 IT 总预算的 7%15%用于灾难恢复，每月要支付大约 5 万10 万美元的费用，大公司甚至达到每月 100 万美元。据 Meta 预测，在全球大公司中，用于业务连续计划的投入将会持续上升，

4、到 2007 年，这笔投入将平均达到 7%。20 世纪 90 年代末期，一些单位在信息化建设的同时，开始关注对数据安全的保护，进行数据的备份。2000 年，“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注，但911 事件所带来的震动真正地引起了大家对灾难恢复的关注。2003 年， 国家信息化领导小组关于加强信息安全保障工作的意见2004 年 9 月份，关于做好重要信息系统灾难备份工作的通知 “统筹规划、资源共享、平战结合”的灾难备份工作原则。2007 年 6 月，重要信息系统灾难恢复指南经修订完善后正式升级为国家标准，国家质量监督检验检疫总局以国家标准的形式正式发布了信息安全技术信息

5、系统灾难恢复规范（GB/T 209882007），该标准于 2007 年 11 月正式实施。灾难恢复相关术语灾难恢复相关术语灾难：灾难：信息安全技术信息系统灾难恢复规范（GB/T 209882007）将灾难定义为：由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受，通常导致信息系统需要切换到备用场地运行的突发事件。典型的灾难事件包括自然灾害，如火灾、洪水、地震、飓风、龙卷风和台风等，还有技术风险和提供给业务运营所需服务的中断，如设备故障、软件错误、通信网络中断和电力故障等；此外，人为的因素往往也会酿成大祸，如操作员错误、植入有害代码和恐怖袭击等

6、。灾难恢复的含义和目标 灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。它的目的是减轻灾难对单位和社会带来的不良影响，保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作。灾难恢复规划是一个周而复始、持续改进的过程，包含以下几个阶段：（1）灾难恢复需求的确定；（2）灾难恢复策略的制定；（3）灾难恢复策略的实现；（4）灾难恢复预案的制定、落实和管理。灾难恢复主要涉及的技术和方案有数据的复制、备份和恢复，本地高可用性方案和远程集群等；但灾难恢复不仅仅是恢复计算机系统和网络，除了技术层面

7、的问题，还涉及到风险分析、业务影响分析、策略制定和实施等方面，灾难恢复是一项系统性、多学科的专业性工作。灾难恢复与灾难备份、数据备份 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程称为灾难备份。灾难备份是灾难恢复的基础，是围绕着灾难恢复所进行的各类备份工作，灾难恢复不仅包含灾难备份， 更注重的是业务的恢复。 数据备份通常包括文件复制、数据库备份。数据备份是数据保护的最后一道防线，其目的是为了在重要数据丢失时能够对原始数据进行恢复。从灾难恢复的角度来看，与数据的及时性相比更应关注备份数据和源数据的一致性和完整性，而不应片面地追求数据无丢失。任何灾

8、难恢复系统实际上都是建立在数据备份基础之上的；另一方面，数据备份策略的选择取决于灾难恢复的目标。主中心与灾难备份中心 主系统与灾难备份系统恢复时间目标与恢复点目标恢复时间目标恢复时间目标（Recovery Time Objective，RTO）是指灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。恢复点目标恢复点目标（Recovery Point Objective，RPO）是指灾难发生后，系统和数据必须恢复到的时间点要求。 当单位进行完风险分析和业务影响分析，了解单位所存在的各种风险及其程度，以及单位灾难恢复系统建设的需求、业务系统的应急需求和恢复先后顺序，完成了系统灾难恢复的各项指

9、标。我们应当根据风险分析和业务影响分析的结论确定最终用户需求和灾难恢复目标，而灾难恢复时间范围是灾难恢复目标的重要组成部分。需要根据业务影响分析的结果，确定各系统的灾难恢复时间目标和恢复点目标。信息系统灾难恢复相关标准法规美国灾难恢复的标准法规（）金融行业的监管BOARD（Board of Governors of the Federal Reserve System，联邦储备委员会）；OCC（Office of the Comptroller of the Currency，货币监理署（又称为财政部金融局）；SEC（Securities and Exchange Commission，证券交

10、易委员会）；FFIEC（Federal Financial Institutions Examiination Council，联邦金融机构检查委员会）；NASD（National Association of Securities Dealer，全美证券交易商协会）。Interagency White Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System（2）其他行业的监管美国卫生部美国卫生部在 1996 年对 1986 年制定的健康保险可行性和可信性法案(HIPAA)进行了修订，