從容災技術到管理

1、清華大學信息技術研究院 清華-威視數(shù)據安全研究所2021年12月災難恢復災難恢復 從技術到管理從技術到管理侯海波清華-威視數(shù)據安全研究所內容o災難恢復管理概述n概念、背景、價值、o災難恢復技術概覽n高可用性、備份、復制、遠程集群n持續(xù)數(shù)據保護、其他關鍵技術o災難恢復實施概述n管理體系要素n項目實施過程清華-威視數(shù)據安全研究所一、災難恢復管理概述o災難恢復n“將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)，并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)的活動和流程”。 重要信息系統(tǒng)災難恢復指南，2005年4月，國信辦o災難恢復管理n利用技術、管理手段以及相關資源，確保已有的

2、關鍵數(shù)據和關鍵業(yè)務在災難發(fā)生后在確定的時間內可以恢復和繼續(xù)運營的過程，是一項集技術和管理于一體的系統(tǒng)工程。清華-威視數(shù)據安全研究所高度依賴o業(yè)務系統(tǒng)對信息技術的依賴性越來越強n無論是政府部門、企業(yè)還是個人n信息系統(tǒng)停機往往導致業(yè)務中斷n信息數(shù)據已成為企業(yè)的生命源泉o同時，信息系統(tǒng)的復雜性帶來更大的脆弱性n越來越多的漏洞清華-威視數(shù)據安全研究所風險變大o調查顯示n20%的企業(yè)平均每五年就會遇到影響公司運營的意外情況o越來越多的威脅n自然風險：地震、火災、 水災、氣象、疾病、戰(zhàn)爭、n人為風險：錯誤操作、黑客攻擊、病毒發(fā)作、員工惡做、n技術風險：設備失效，軟件錯誤，通訊中斷、電力失效、o最近事件n美

3、國911事件、中國“非典”疫情、印度洋海嘯、n莫斯科大停電、倫敦地鐵爆炸、清華-威視數(shù)據安全研究所后果嚴重o美國明尼蘇達大學：美國明尼蘇達大學：如果在發(fā)生災難后的兩個星期內，無法恢復公司的業(yè)務系統(tǒng)，75%的公司業(yè)務將會完全停頓，43%的公司將再也無法開業(yè) oIDC統(tǒng)計：統(tǒng)計：美國在2000年以前的十年間發(fā)生過災難的公司中，有55當時倒閉，剩下的45中，因為數(shù)據丟失，有29也在兩年之內倒閉，生存下來的僅占16。oGartner Group：在經歷大型災難而導致系統(tǒng)停運的公司中有2/5再也沒有恢復運營，剩下的公司中也有1/3在兩年內破產。o業(yè)務業(yè)務每小時停機損失每小時停機損失證券經濟類645萬美元

4、信用卡銷售授權260萬美元航班預售9萬美元ATM服務1.5萬美元突發(fā)事件造成的行業(yè)服務損失情況數(shù)據來源：Strategic Research Corporation清華-威視數(shù)據安全研究所最后防線最后防線o傳統(tǒng)信息安全技術無法抵御大的風險和威脅n例如地震、洪水、戰(zhàn)爭等等o傳統(tǒng)信息安全技術對付傳統(tǒng)風險具有局限性n病毒、黑客攻擊等造成的業(yè)務中斷時間可能過長，導致需要切換o保險無法保證企業(yè)的生存n無法找回用戶數(shù)據。盡管可以挽回部分損失o信息安全概念也在不斷發(fā)展nCOMSEC（保密，通信保密）nINFOSEC（保護，保密性/完整性/可用性）nIA （保障，PTO*PDRR*)n清華-威視數(shù)據安全研究所

5、實施價值o減少風險損失n2000年2月7日美國8大知名網站癱瘓損失12億美元 nebay：1999年6月12日: 22小時故障，損失: $3M-5M + 26% 股票市值損失nAT&T：1998年4月13日: 6-26小時故障，損失: $40M用于折扣o確保持續(xù)發(fā)展n9.11生存啟示（1200/400/6%）o滿足商業(yè)需要n服務于全球客戶的復雜性，以及消費者的高期望值n據介紹是否引入有效的BCM機制，已經成為一些發(fā)達國家政府機構與企業(yè)選擇合作伙伴或供應商的一個必要條件o已經成為現(xiàn)代企業(yè)的管理戰(zhàn)略之一oMeta預測：在全球大公司中用于災難恢復管理的投入從4%上升到7%清華-威視數(shù)據安全研

6、究所災難恢復-未來法規(guī)遵從的要求o法規(guī)遵從法律的高度的要求n2004年，國際“法規(guī)遵從年”o國際，超過16000部法規(guī)n沙賓法案Sarbanes-Oxley Act、全美證券交易商協(xié)會行為規(guī)定（NASD 3110）n美國健康保險便利和責任法案（HIPAA）、聯(lián)邦條例21CFR第11部分nFDA、 NYSE、 AMEX、 FERC、 o國內n國家信息化領導小組關于加強信息安全保障工作的意見 (中辦發(fā)200327號)n關于做好重要信息系統(tǒng)災難備份工作通知(信安通200411號）n重要信息系統(tǒng)災難恢復指南（2005.5.26 廣東南海）n清華-威視數(shù)據安全研究所二、災難恢復技術概覽高可用性技術數(shù)據備

7、份技術數(shù)據復制技術遠程集群技術持續(xù)數(shù)據保護技術其他關鍵技術清華-威視數(shù)據安全研究所系統(tǒng)停機原因及防護技術時間點復制備份數(shù)據倉庫遠程備份遠程復制系統(tǒng)熱備高可用性技術磁帶備份數(shù)據復制時間點復制人為過失32%計算機病毒7%硬件或系統(tǒng)故障44%站點災難3%軟件故障14%時間點復制備份清華-威視數(shù)據安全研究所災難恢復技術思路-3Ro冗余性（冗余性（Redundancy）n災難恢復實現(xiàn)的基礎o可恢復性（可恢復性（Recoverability）n確保冗余的內容能在災難發(fā)生后可以使用o遠程性（遠程性（Remoteness）n確保能夠抵御災難的影響清華-威視數(shù)據安全研究所高可用性技術o設備冗余技術o路徑冗余技術

8、o系統(tǒng)冗余技術o技術特點：n減少停機時間n保護內容全面n本地的保護措施n基礎容災技術n切換是關鍵SAN Fabric清華-威視數(shù)據安全研究所數(shù)據備份技術oHost-Based備份架構oLAN-Based備份架構oLAN-Free備份架構oServer-Less備份架構oZero-impact備份架構o相關技術n數(shù)據恢復n備份策略n虛擬磁帶庫n壓縮技術no技術特點n數(shù)據剝離-離線n可以抵御邏輯錯誤o抵御大災難需要n遠程備份或傳輸o適合業(yè)務n對數(shù)據丟失不敏感n對應用停機不敏感o其他容災技術的基礎LANNTUNIX存儲區(qū)域網清華-威視數(shù)據安全研究所數(shù)據復制技術o基于存儲子系統(tǒng)數(shù)據復制o基于存儲網絡層

9、數(shù)據復制o基于卷管理器數(shù)據復制o基于應用數(shù)據復制o技術特點n數(shù)據在線狀態(tài)n需要配合時間點技術抵御邏輯錯誤o抵御大災難需要n遠程數(shù)據傳輸o適合業(yè)務n數(shù)據很重要o遠程應用集群基礎清華-威視數(shù)據安全研究所遠程集群技術o主要技術架構n11 或 N1nOSBased 或 ApplicationBasedo全冗余架構實現(xiàn)集群n冗余服務器、冗余應用、冗余信號傳輸路徑、冗余數(shù)據訪問路徑、o切換是關鍵n應用切換n數(shù)據切換n訪問地址切換保護應用的運行狀態(tài)清華-威視數(shù)據安全研究所持續(xù)數(shù)據保護技術o“持續(xù)數(shù)據保護是一套方法，它可以捕獲或跟蹤數(shù)據的變化，并將其在生產數(shù)據之外獨立存放，以確保數(shù)據可以恢復到過去的任意時間點

10、。持續(xù)數(shù)據保護系統(tǒng)可以基于塊、文件或應用實現(xiàn)，可以為恢復對象提供足夠細的恢復粒度，實現(xiàn)幾乎無限多的恢復時間點” SNIA-DMF-CDP（SIG）數(shù)據丟失量少抵御邏輯錯誤更容易恢復備份窗口小主機影響小清華-威視數(shù)據安全研究所DR技術比較保護方式數(shù)據丟失量（RPO）系統(tǒng)恢復時間（RTO）高可用性減少停機時間本地、需要配合其他技術實現(xiàn)災難恢復備份/恢復離線數(shù)據周天小時周天小時復制/恢復在線數(shù)據分鐘秒天小時全局集群在線數(shù)據和系統(tǒng)分鐘秒小時分鐘秒持續(xù)數(shù)據保護在線數(shù)據分鐘秒小時分鐘秒清華-威視數(shù)據安全研究所三、災難恢復實施概述o管理體系o建設過程o最佳實踐o相關標準ProcessPeopleProduc

11、tPlan需求分析確定策略編制計劃測試部署維護更新項目啟動實施建設技術決策最佳實踐最佳實踐成本決策目標政策法規(guī)遵從管理現(xiàn)狀管理體系管理體系建設過程建設過程可用技術清華-威視數(shù)據安全研究所災難恢復管理體系模型ProcessPeopleProductPlan清華-威視數(shù)據安全研究所管理體系要素-流程（流程（Process）o日常維護和預警o應急響應 、評估與聲明o業(yè)務緊急接續(xù) 、過渡期處理o重新安置及啟動oo按照規(guī)范和最佳實踐：n預防災難，降低風險發(fā)生的概率n高效行動，降低災難造成的損失清華-威視數(shù)據安全研究所管理體系要素-團隊（團隊（People）o領導組o業(yè)務恢復操作組o技術功能操作組o外部協(xié)

12、調和聯(lián)系人員o設備和軟件供應商聯(lián)系人o外部協(xié)作機構oo人是流程的執(zhí)行主體和關鍵因素o合理架構、職責、人選、后備、培訓、管理清華-威視數(shù)據安全研究所管理體系要素-設施和技術（Product）o設備n包括能夠保證數(shù)據恢復和業(yè)務運行的信息系統(tǒng)基礎設施n主機、網絡、卡車、打印機、o場地n指揮、發(fā)布、系統(tǒng)、辦公、n冷場地 / 溫場地 / 熱場地 / 移動場地 / 商業(yè)場地 / o技術和方案n高可用性技術n數(shù)據備份與恢復技術n數(shù)據復制和遷移技術n遠程集群技術n其他關鍵技術技術決策要素：RTO、RPO、 保護距離、 TCC、保護對象、 清華-威視數(shù)據安全研究所管理體系要素-計劃（Plan）（例）目標和范圍目

13、標和范圍組織和職責組織和職責聯(lián)絡與通訊聯(lián)絡與通訊緊急響應流程緊急響應流程 恢復及重續(xù)運行流程恢復及重續(xù)運行流程災后重建和回退災后重建和回退 保障條件保障條件附錄附錄簡明扼要清華-威視數(shù)據安全研究所災難恢復建設建設過程模型風險分析和BIA確定策略編制計劃測試部署維護更新項目啟動實施建設清華-威視數(shù)據安全研究所實踐考慮時間$t0業(yè)務成效解決方案成本t1$1t1= 恢復時間目標(RTO)清華-威視數(shù)據安全研究所實踐考慮l自建災難恢復中心：l模式1：本地站點生產，遠程站點開發(fā)和測試l模式2：在遠程站點進行磁帶備份，無需運送磁帶 l模式3：在各站點間平衡應用負荷l模式4：在遠程站點設置數(shù)據倉庫并提供決策支持l等等l服務外包l專業(yè)規(guī)劃、能力維護、測試演練、清華-威視數(shù)據安全研究所SHARE78模型Tier7-接近零或是零數(shù)據丟失，遠程數(shù)據鏡像，并且業(yè)務環(huán)境可進行高自動化的業(yè)務接管Tier6-接近零或是零數(shù)據丟失，遠程數(shù)據鏡像保證數(shù)據的完整性和一致性Tier5-軟件級的，兩地點-兩階段提交（交易完整性）Tier4-批量/在線的數(shù)據庫鏡像或日志的傳輸，或重復的時間點拷貝Tier3-電子鏈接傳輸Tie