存儲級數(shù)據(jù)容災方案模板

1、方案設計1. 用戶現(xiàn)狀與需求1.1. 用戶IT系統(tǒng)現(xiàn)狀用戶現(xiàn)有系統(tǒng)包括數(shù)據(jù)庫、應用、WEB、郵件等系統(tǒng)，雖然是雙機架構，但是其穩(wěn)定性和可靠性都沒有達到核心系統(tǒng)應該具備的標準，而且直連的存儲架構對于性能和管理型都有一定的局限性。業(yè)務數(shù)據(jù)是企業(yè)業(yè)務的生命線，如何保護好計算機系統(tǒng)里存儲的數(shù)據(jù)，保證系統(tǒng)穩(wěn)定可靠地運行，并為業(yè)務系統(tǒng)提供快捷可靠的訪問，是系統(tǒng)建設中最重要的問題之一。為了保護業(yè)務系統(tǒng)的關鍵業(yè)務數(shù)據(jù)，我們必須對這些數(shù)據(jù)進行有效的備份，并支持快速恢復。通過備份的方式將文件、數(shù)據(jù)庫等重要數(shù)據(jù)做一個副本，只能在本地建立數(shù)據(jù)保護。但因意外(如火災、地震等)停止工作時，隨之而來的損失更是不可估量，為避

2、免類似風險的存在，就需要建立異地容災系統(tǒng)，整個應用系統(tǒng)可以切換到另一處，使得該系統(tǒng)功能可以繼續(xù)正常工作，保證業(yè)務穩(wěn)定運行。1.2. 用戶需求1.2.1. 建設目標從容災的級別來說，可以規(guī)劃數(shù)據(jù)級容災和應用級容災，根據(jù)業(yè)務種類多，業(yè)務方式多樣化的特點，僅建設一個數(shù)據(jù)級容災是不夠，容災發(fā)生時，業(yè)務快速的恢復是容災系統(tǒng)的一大需求。應用級容災是建立在數(shù)據(jù)級容災的基礎上，在容災切換時，除了切換核心的數(shù)據(jù)庫數(shù)據(jù)外，還包含了IP地址切換（按客戶需要選擇），中間件服務，用戶級業(yè)務。應用級容災從流程上實現(xiàn)了全業(yè)務的連續(xù)性需求。從我們的災難系統(tǒng)建設經(jīng)驗出發(fā)，xxx有限公司可以考慮以下業(yè)務連續(xù)性計劃目標：²

3、;RPO（最大允許數(shù)據(jù)丟失時間）：零數(shù)據(jù)丟失²RTO（最大允許宕機時間）：30分鐘²應用級容災需求1.2.2. 需求分析用戶需要保障數(shù)據(jù)的長期安全可靠的，數(shù)據(jù)對于災難的安全性和可恢復性：災難切換時間要求災難系統(tǒng)切換時間不超過30分鐘，最好在10分鐘內(nèi)實現(xiàn)。多種災難切換方式提供自動災難系統(tǒng)切換和手動災難切換方式計劃內(nèi)維護要求提供計劃內(nèi)維護支持能力，計劃內(nèi)維護切換時間不多于10分鐘數(shù)據(jù)丟失性要求原則上要求零數(shù)據(jù)丟失，可以依據(jù)情況進行調(diào)整數(shù)據(jù)同步方式提供同步和異步兩種方式備份和災難備份方式采用物理備份方式實現(xiàn)物理部件失敗要求支持部分磁盤，文件系統(tǒng)，主機，磁盤柜等各種物理部件失敗導

4、致的失敗保護。站點失敗要求支持由于火災，電力以及其他因素導致站點失敗的數(shù)據(jù)保護。邏輯失敗要求支持由于數(shù)據(jù)塊腐敗導致的數(shù)據(jù)庫無法啟動，數(shù)據(jù)丟失等邏輯失敗保護人類錯誤失敗要求支持由于人類誤操作以及入侵等導致人類錯誤失敗導致的數(shù)據(jù)保護或者恢復。生產(chǎn)系統(tǒng)的性能影響要求生產(chǎn)系統(tǒng)性能影響不超過5%生產(chǎn)系統(tǒng)可用性要求容災系統(tǒng)不會降低生產(chǎn)系統(tǒng)可用性網(wǎng)絡鏈路分鐘級別短暫故障要求不會對生產(chǎn)系統(tǒng)產(chǎn)生影響網(wǎng)絡鏈路小時級別長期故障要求不會對生產(chǎn)系統(tǒng)產(chǎn)生影響網(wǎng)絡鏈路密集的秒級別短暫故障要求不會對生產(chǎn)系統(tǒng)產(chǎn)生影響網(wǎng)絡鏈路容錯支持網(wǎng)絡鏈路的容錯，可以利用網(wǎng)絡的備份鏈路，比如多路網(wǎng)卡等災難系統(tǒng)的硬件故障由于災難系統(tǒng)硬件故障導致

5、的災難系統(tǒng)不可用不會對生產(chǎn)系統(tǒng)產(chǎn)生影響，比如網(wǎng)卡，磁盤以及控制卡等災難系統(tǒng)的軟件故障由于災難系統(tǒng)軟件故障導致的災難系統(tǒng)不可用不會對生產(chǎn)系統(tǒng)產(chǎn)生影響，比如災難系統(tǒng)管理軟件部件等網(wǎng)絡協(xié)議采用IP網(wǎng)絡實現(xiàn)網(wǎng)絡帶寬一般的百兆或者千兆帶寬RTT要求RTT要求在10ms以內(nèi)即可滿足要求，可以容忍部分時間的30ms響應在線實施要求要求在備份系統(tǒng)實施期間保持生產(chǎn)系統(tǒng)運行存儲系統(tǒng)失敗的原址運行在生產(chǎn)系統(tǒng)主機可用的情況下可以支持系統(tǒng)原址運行部分文件失敗的原址運行在部分文件失敗的情況下可以支持系統(tǒng)原址運行2. 建議方案2.1設計原則通過對用戶具體環(huán)境和需求的分析，我們在針對性的方案設計上應遵循以下原則：Ø

6、 最高的性價比，根據(jù)用戶的實際需求，提供合適的解決方案，在有限的資金許可范圍內(nèi)提供符合需求的方案。Ø 優(yōu)化的策略，關鍵業(yè)務系統(tǒng)和一般應用系統(tǒng)優(yōu)先級的策略化，需要確保關鍵業(yè)務系統(tǒng)的數(shù)據(jù)不丟失。Ø 廣泛的適用性，支持異構平臺，產(chǎn)品可以適應不同類型的應用、數(shù)據(jù)以及主機存儲設備。2.3.8容災方案設計目前有很多種容災技術，分類也比較復雜。根據(jù)用戶應用系統(tǒng)特點的不同，應用系統(tǒng)持續(xù)服務緊迫性的區(qū)別，應有針對性的選擇容災系統(tǒng)方案。（1）基于應用程序容災解決方案u 方案優(yōu)點· 應用程序在本地、遠端雙寫I/O；· 該方案能夠?qū)崿F(xiàn)業(yè)務系統(tǒng)在發(fā)生災難時自動切換，保證業(yè)務的完全

7、連續(xù)性；u 方案缺點· 投資非常高，容災軟件價格昂貴；· 實施復雜，應用系統(tǒng)需要重新搭建；· 該方案完全由軟件實現(xiàn)，需消耗主機系統(tǒng)資源，效率底；（2） 基于數(shù)據(jù)庫復制的遠程容災解決方案u 方案優(yōu)點· 數(shù)據(jù)庫本身的遠程復制（Oracle DB Guard）；· 實施相對簡便，支持異構存儲；u 方案缺點· 只能復制數(shù)據(jù)庫文件，實現(xiàn)數(shù)據(jù)庫容災；· 需要重新調(diào)試、安裝數(shù)據(jù)庫；· 停機時間較長；（3） 基于主機的遠程數(shù)據(jù)復制軟件容災解決方案u 方案優(yōu)點· 復制軟件在卷管理器層面截獲I/O，遠程復制· 支持

8、異構存儲；· 可以實現(xiàn)應用的實時、自動切換；u 方案缺點· 需要重新配置存儲卷，停機時間較長；· 新增容災系統(tǒng)需要增加軟件授權；（4） 基于存儲的遠程數(shù)據(jù)復制容災解決方案u 方案優(yōu)點· 智能存儲遠程數(shù)據(jù)復制，技術較成熟；· 設備、軟件投資費用低；· 實施簡便，應用系統(tǒng)僅需短時間停機；· 不需要對應用、數(shù)據(jù)庫重新安裝調(diào)試；u 方案缺點· 只支持同一廠商同一系列存儲；· 不能實現(xiàn)應用的實時、自動切換；根據(jù)用戶的應用特點：建議使用基于存儲的容災方案。2.3.9系統(tǒng)整體架構本地災備中心服務器均采用原有服務器，所有

9、服務器配置HBA卡，連接至用戶現(xiàn)有光纖交換機；新增存儲加入SAN網(wǎng)絡，存儲空間可根據(jù)業(yè)務需求，自由劃分給多套系統(tǒng)使用；新增一臺備份服務器，安裝NBU服務端，新增一臺HDS虛擬帶庫作為備份介質(zhì)保存?zhèn)浞輸?shù)據(jù)，實現(xiàn)SAN備份。主數(shù)據(jù)中心和災備中心之間通過高速光纖鏈路連接，為數(shù)據(jù)復制和備份提供了很好的鏈路基礎。利用HDS 容災管理軟件TrueCopy實現(xiàn)磁盤陣列之間數(shù)據(jù)的復制。建立同城異地容滅系統(tǒng)，通過數(shù)據(jù)同步保證在總部運行中心出現(xiàn)重大災難故障時，能啟用災備中心進行正常交易。異地備份中心容災中心新增容災服務器、容災交換機，新增的HDS AMS 2100作為容災存儲設備，該備份中心只需要保存業(yè)務系統(tǒng)數(shù)據(jù)

10、一份可用的備份。當本地機房癱瘓時，容災服務器接管ERP及交易系統(tǒng)。3. 災備中心運行維護方案3.1. 解決方案選擇保持業(yè)務持續(xù)性，恢復業(yè)務處理的方法可以包括與冷、溫或熱站點供應商簽訂商業(yè)合同、移動站點、鏡像站點、與內(nèi)部或外部機構簽訂互惠協(xié)議、與設備供應商簽訂服務水平協(xié)議（SLA）。另外，在制定系統(tǒng)恢復策略時應該考慮諸如獨立磁盤冗余陣列（RAID）、自動故障切換、不間斷電源（UPS）和鏡像系統(tǒng)等技術。業(yè)務持續(xù)性計劃必須包括在比較長的期間在備用設施中恢復和執(zhí)行系統(tǒng)運行的策略。通常，有三種備用站點可供選擇：n由機構擁有或運行的專用站點 n與內(nèi)部或外部實體簽訂的互惠協(xié)議或協(xié)議備忘錄 n商業(yè)租用設施 無

11、論選擇哪種類型的備用站點，設施必須能夠支持應急計劃中所定義的系統(tǒng)操作。三種站點類型可以根據(jù)運行的準備程度進行分類。這樣的話，站點可以被確定為冷站點、溫站點、熱站點、移動站點和鏡像站點。 根據(jù)BIA的結(jié)果和銀聯(lián)對業(yè)務持續(xù)性的要求，選擇的解決方案可以描述為：（1）建立異地容災中心將完全復制生產(chǎn)中心的數(shù)據(jù)，并實現(xiàn)兩中心間的數(shù)據(jù)實時同步，其功能為：a正常工作狀態(tài)下，災備中心將配置為生產(chǎn)中心的完全數(shù)據(jù)復制，以保證當生產(chǎn)中心發(fā)生災難時，數(shù)據(jù)的完整性。b當生產(chǎn)中心的存儲系統(tǒng)及數(shù)據(jù)不可訪問時,可以通過對備份數(shù)據(jù)中心的數(shù)據(jù)的訪問。（2）建立災備中心，生產(chǎn)中心的數(shù)據(jù)將完全復制到災備中心，允許存在一定的時間差，但應

12、滿足RPO和RTO要求。災備中心配置有與生產(chǎn)中心架構相同的服務器系統(tǒng)，在生產(chǎn)中心無法運行的情況下接替生產(chǎn)中心的生產(chǎn)業(yè)務，實現(xiàn)對業(yè)務持續(xù)性的要求。a正常工作狀態(tài)下，備份中心將配置為生產(chǎn)中心的數(shù)據(jù)復制源，以最大限度的不影響生產(chǎn)中心的主機和存儲系統(tǒng)的性能。b當生產(chǎn)中心災難發(fā)生時，災備中心的完全復制數(shù)據(jù)將用于生產(chǎn)數(shù)據(jù)中心的數(shù)據(jù)同步，以保證當生產(chǎn)中心災難發(fā)生時，災備中心沒有數(shù)據(jù)丟失；業(yè)務可以恢復運行。3.2. 業(yè)務持續(xù)性策略3.2.1. 日常運行狀態(tài)在沒有任何異常情況發(fā)生的情況下，系統(tǒng)按照正常的運行狀態(tài)運轉(zhuǎn)，工作人員按照各自的崗位職責開展工作。定期將工作內(nèi)容和工作結(jié)果向上級管理人員匯報并接受上級管理人員

13、的監(jiān)督和檢查。3.2.2. 切換流程切換流程分計劃內(nèi)切換流程和計劃外切換流程，首先討論計劃為切換流程。1. 發(fā)現(xiàn)并確定災難情況運行中心運行保障室是負責發(fā)現(xiàn)可能導致業(yè)務系統(tǒng)災難的事件的主要部門。同時，網(wǎng)絡維護室、系統(tǒng)維護室和安全管理室等其它部門應該將所發(fā)現(xiàn)的可能導致災難的時間隨時向運行保障室報告。2. 通知負責恢復的人員運行保障室按照預定程序通知業(yè)務持續(xù)管理小組的值班人員，值班人員需要監(jiān)控事件的發(fā)展，必要時將向業(yè)務持續(xù)小組負責人通報。當發(fā)生可能導致業(yè)務處理中心的情況后，需要通知以下人員：u 信息中心主管u 業(yè)務持續(xù)管理小組負責人u 業(yè)務持續(xù)行政小組負責人u 負責維護發(fā)生以外事件的系統(tǒng)的部門負責人

14、3. 判斷異常影響程度，啟動BCP計劃啟動BCP計劃是業(yè)務持續(xù)管理小組和/或業(yè)務持續(xù)行政小組的職責。通常由業(yè)務持續(xù)管理小組和/或業(yè)務持續(xù)行政小組的負責人宣布BCP計劃的啟動。在被授權的組織會負責人確定需要啟動災備站點后，宣布BCP計劃啟動。按照BCP所定義的工作內(nèi)容，損害評估小組和災難恢復小組開始工作。4. 激活災備站點在通知恢復的人員過程中，災備站點的值班人員必須被通知并立即投入工作，做好業(yè)務運行環(huán)境的檢查等工作。關閉可能對恢復業(yè)務運行有影響的任何應用系統(tǒng)，做好恢復業(yè)務運行的準備。在收到BCP啟動的通知后，按照BCP所定義的操作流程，與生產(chǎn)中心陪著或獨立執(zhí)行業(yè)務恢復工作。5. 發(fā)布公告業(yè)務持

15、續(xù)管理小組的相關成員按照BCP所定義的工作內(nèi)容向外發(fā)布公告6. 提供業(yè)務恢復所需的服務在業(yè)務恢復以及業(yè)務在災備站點運行期間，內(nèi)部和外部的支持團隊以及相關工作人員按照BCP所定義的工作內(nèi)容為業(yè)務的持續(xù)運行服務。對于計劃內(nèi)切換流程，其大部分內(nèi)容與計劃為流程相同，通常由通知負責恢復的人員開始，直到提供業(yè)務恢復所需的服務。計劃內(nèi)切換可能是由于演習或需要進行站點級的設備維護造成的，有很強的計劃性，災備站點人員應該提早完成恢復業(yè)務運行的準備工作，如所有工作人員到位等。3.2.3. 非切換異常處理流程切換流程用于處理不會導致業(yè)務切換的異常事件，如部分設備的損壞沒有影響業(yè)務處理的正常運行，或備份中型和/或災備

16、中心發(fā)生異常等。雖然這些異常事件不會對業(yè)務的運行造成直接影響，但是使系統(tǒng)整體的穩(wěn)定性降低，業(yè)務運行的風險加大了，而且這樣的事件大量存在，應該引起足夠的重視。初步計劃的非切換異常處理流程如下：1. 發(fā)現(xiàn)并確定災難情況運行中心運行保障室是負責發(fā)現(xiàn)可能導致業(yè)務系統(tǒng)災難的事件的主要部門。同時，網(wǎng)絡維護室、系統(tǒng)維護室和安全管理室等其它部門應該將所發(fā)現(xiàn)的可能導致災難的時間隨時向運行保障室報告。2. 通知負責恢復的人員運行保障室按照預定程序通知業(yè)務持續(xù)管理小組的值班人員，值班人員需要監(jiān)控事件的發(fā)展，必要時將向業(yè)務持續(xù)小組負責人通報。當發(fā)生可能導致業(yè)務處理中心的情況后，需要通知以下人員：u 信息中心主管u 業(yè)

17、務持續(xù)管理小組負責人u 業(yè)務持續(xù)行政小組負責人u 負責維護發(fā)生以外事件的系統(tǒng)的部門負責人3. 判斷異常影響程度業(yè)務持續(xù)管理小組和/或業(yè)務持續(xù)行政小組的負責人在判斷異常影響程度的基礎上，做出不啟動BCP的決定。4. 異常處理在通知恢復的人員過程中，發(fā)生異常的站點的值班人員必須并立即投入異?；謴凸ぷ?，并與內(nèi)部和外部的支援團隊取得聯(lián)系，獲得相應支持。4. 災難恢復預案容災系統(tǒng)建成之后，必須能夠發(fā)揮相應的效益。鑒于本次容災項目為數(shù)據(jù)級的容災系統(tǒng)，在發(fā)生系統(tǒng)故障的時候，需要手工對應用系統(tǒng)進行切換，因此，我們應對各種系統(tǒng)狀況提前做出操作預案，這樣才能保證容災系統(tǒng)真正發(fā)揮效益。4.1. 計劃內(nèi)和計劃外停機的

18、切換步驟4.1.1. 計劃內(nèi)停機生產(chǎn)中心操作：u 檢查生產(chǎn)中心和容災中心所有的主機、存儲、網(wǎng)絡、卷復制軟件是否都正常；u 正常停止生產(chǎn)中心的所有應用；u 斷開產(chǎn)中心和容災中心的復制關系；容災中心操作：u 陣列上的卷MAP給容災中心的主機；u 手工啟動應用系統(tǒng)；4.1.2. 計劃外停機生產(chǎn)中心不能做任何操作的情況；容災中心操作：u 陣列上的卷MAP給容災中心的主機；u 手工啟動應用測試；4.2. 設備故障的影響和處理4.2.1. 生產(chǎn)中心主機故障I 一臺主機問題；應用切換到cluster另外的一臺主機；對應用有小切換的影響；II 兩臺主機問題或者cluster問題；數(shù)據(jù)切換到容災中心；在容災中心

19、啟用應用；對應用有大切換影響；4.2.2. 生產(chǎn)中心存儲系統(tǒng)故障I陣列自己的冗余功能；替換故障備件；對應用無影響；II 陣列不能冗余問題（2塊控制器故障；多塊硬盤同時故障），數(shù)據(jù)切換到容災中心；在容災中心啟用應用；對應用有大切換影響；4.2.3. 復制鏈路故障數(shù)據(jù)復制中斷；對應用無影響；鏈路恢復后數(shù)據(jù)正常復制；4.2.4. 容災中心設備故障容災中心設備故障對應用系統(tǒng)無影響。4.3. 實施風險提示根據(jù)xxxx的業(yè)務應用需求，本方案旨在用最低的投資達到xxxx所需在60分鐘心實現(xiàn)應用系統(tǒng)切換的系統(tǒng)容災效果，無法規(guī)避如下風險因素：u 應用系統(tǒng)的自動實施切換本方案在需要切換系統(tǒng)時，必須人工干預，無法實

20、現(xiàn)自動切換；u 數(shù)據(jù)庫數(shù)據(jù)異常當數(shù)據(jù)庫數(shù)據(jù)存在異常時，容災系統(tǒng)在進行切換時首先需要進行數(shù)據(jù)數(shù)據(jù)的回滾才能啟動數(shù)據(jù)庫，回滾時間視數(shù)據(jù)庫的數(shù)據(jù)量而定，可能會超出60分鐘的恢復時限。（所有容災方案均無法規(guī)避該問題）u 同城災難本容災方案無法規(guī)避地震、電網(wǎng)大規(guī)模斷電等覆蓋全市的災難恢復；5. 應急管理預案5.1. 緊急響應策略5.1.1. 緊急相應策略概述緊急響應策略包括三個部分：緊急事件響應、恢復和復原。緊急事件響應包括為保護生命和減輕損失所采取的最初行動策略?；謴褪侵咐^續(xù)支持關鍵業(yè)務所采取的步驟。復原是回到業(yè)務的運行狀態(tài)。緊急響應策略是用于減少緊急事件對業(yè)務連續(xù)性造成負面影響的一套機制、計劃、方法

21、和規(guī)程。緊急響應策略包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發(fā)布命令。緊急事件響應方式概述緊急事件響應方式根據(jù)不同類別的緊急事件，由有關部門組成緊急事件響應指揮中心，用戶主管領導人擔任總指揮，統(tǒng)一領導、統(tǒng)一指揮緊急事件處理，協(xié)調(diào)、調(diào)動相關力量和資源，決定采取處理緊急事件的重大措施；確定對外口徑，指導對外新聞發(fā)布；其中容災工作委員會 的主要指責是組織開展對緊急事件的監(jiān)測與報告、分析和預警；需要啟動緊急事件緊急預案時，提請決策層 批準，進行組織和協(xié)調(diào)專業(yè)技術機構及其人員進行現(xiàn)場調(diào)查與處理，實施現(xiàn)場撤離與搶修等緊急處理措施；組織制定有關的調(diào)查方案、技術標準和規(guī)范；依照條例規(guī)定及時對緊急

22、事件評估；發(fā)布、通報緊急事件信息，可以授權其他部門向社會發(fā)布本行政區(qū)域緊急事件信息；開展健康教育、技術人員培訓和演練；會同有關部門提出物資和經(jīng)費儲備計劃；檢查督導緊急事件緊急預案的落實情況等。5.1.2. 緊急響應和運作的需求1、識別潛在的緊急事件類型和所需的響應（如火災、危險物質(zhì)泄漏、疾病等）2、識別現(xiàn)有的、正確的緊急事件相應規(guī)程通知規(guī)程：（1）內(nèi)部的（逐級規(guī)程），包括本地的、機構的。（2）外部的（響應規(guī)程），包括公共機構和媒體、產(chǎn)品和服務的供應商事件前的準備：（1）根據(jù)災難的類型：自然事件、事故、有意的破壞（2）管理和職權的連續(xù)性（3）指定人員的角色緊急措施：（1）疏散（2）醫(yī)療和人員咨詢

23、（3）危險材料響應（4）滅火（5）通知（6）其他設施的穩(wěn)定：消減損失：測試規(guī)程和責任：3、建議制定還沒有的緊急事件規(guī)程，規(guī)程包括以下內(nèi)容：人員的保護：（3）人員集合的位置以及確保所有員工識別和安全的過程，如果需要包括適當?shù)闹鸺夁^程（4）認識和了解充分和更嚴格地履行任何相關法律要求的重要性（5）識別直接部署和后續(xù)合同的選項（6）了解法律規(guī)定的內(nèi)在意義事件的控制：（1）了解拯救和控制損失的原則（2）了解用于控制業(yè)務影響的緊急事件服務工作進行補充的可用選項（3）了解業(yè)務功能本身控制災難影響的可能性后果的評估：（1）分析形勢并提供有效的評估報告（2）評價事件對機構的直接影響（3）將形勢通報給相關設施和

24、機構其他地點中的員工（4）提供對媒體可能關注事項的理解并與現(xiàn)存的公共關系和/或市場部門聯(lián)合制定響應方案決定最適宜的行動：（1）了解在建議或決定連續(xù)性選項過程中需要考慮的事項（2）了解緊急事件服務的角色（3）維護安全的原則（人員、物理和信息）4、將災難恢復、業(yè)務連續(xù)性規(guī)程與緊急事件規(guī)程整合起來5、識別管理緊急事件的命令和控制需求設計和裝備緊急事件運作中心在事件中命令和決策的職權角色通信載體（如郵件、無線電、信使和移動電話等）6、建議制定對角色、職權進行定義的命令和控制規(guī)程以及管理緊急事件的通信規(guī)程開啟緊急事件運作中心緊急事件運作中心的安全緊急事件運作中心團隊的進度安排緊急事件運作中心的管理和運作

25、關閉緊急事件運作中心7、緊急事件響應和分類救護制定、實施和演練緊急事件響應和分類救護規(guī)程，包括確定緊急事件中行動的優(yōu)先順序制定、實施和演練分類救護規(guī)程，如急救和醫(yī)療；確定地點和制定到附近醫(yī)院的運輸規(guī)程8、拯救和復原需求集合適當?shù)膱F隊：（7）了解通過電話進行有效診斷的需要（8）了解在受到影響的地點對相關資源進行有效集中的需要（9）制定內(nèi)部逐級規(guī)程以便在事件/響應展開的現(xiàn)場提供所需等級的資源定義初始現(xiàn)場的行動策略：（1）了解對直接消減損失和拯救需求進行識別的需要（2）了解其需求并在需要的情況下準備站點保安、安全和穩(wěn)定措施計劃（3）識別保護現(xiàn)場資產(chǎn)的適當方法，包括設備房產(chǎn)和文檔（4）認識建立與外部機

26、構聯(lián)絡的潛在需求（如法律法規(guī)、緊急事件服務如消防部門以及警察、保險公司、損失理賠等）（5）了解業(yè)務需求和對其進行解釋以協(xié)助物理資產(chǎn)的恢復（6）與公共當局建立設施訪問的規(guī)程（7）與第三方服務提供商盡力規(guī)程，包括適當?shù)暮贤瑓f(xié)議9、確保緊急事件響應規(guī)程與公共當局的要求相統(tǒng)一5.1.3. 緊急響應場所的分類和功能、建設描述緊急響應場所至少包括避難所（shelter in place）、緊急操作中心EOC（emergency operation center）、緊急事件運作中心ICS（incident command center）；緊急響應場所建設描述，包括建設內(nèi)容、設備需求、場地需求、環(huán)境需求等；緊

27、急事件運作中心ICS是緊急指揮體系的首腦部門，也是緊急事件處理指揮的場所。實現(xiàn)對緊急事件的分析、計劃、組織、協(xié)調(diào)和管理控制等指揮功能。緊急事件運作中心的總體目標是：面對緊急事件，能夠為指揮首長和參與指揮的業(yè)務人員和專家，提供各種通訊和信息服務，提供決策依據(jù)和分析手段，和指揮命令實施部署和監(jiān)督方法能及時、有效地調(diào)集各種資源，實施事故、災難控制和搶修救治工作，減輕緊急事件對生命安全和業(yè)務造成的威脅，用最有效的控制手段和最小的資源投入，將損失控制在最小范圍內(nèi)。緊急事件運作中心基本功能包括：1.緊急事件的評估與觸發(fā)啟動，根據(jù)對各種資料數(shù)據(jù)的分析評估，對事件進行級別判定，經(jīng)核實后向相應級別的部門提出預案

28、啟動建議。2.指揮功能：指揮現(xiàn)場為參加指揮首長提供會議設施、桌面終端網(wǎng)絡、電話系統(tǒng)。參謀人員為首長提供各種輔助決策信息。3.通訊功能：利用專線、因特網(wǎng)、衛(wèi)星網(wǎng)絡、電話設備、移動通訊設備與及其他相關單位的通訊網(wǎng)絡。4.信息收集分析功能：收集、整理各種相關信息資源。緊急事件運作中心應急指揮系統(tǒng)具有以下六大功能：（1）可實現(xiàn)針對特定事件的特定范圍內(nèi)資源實時調(diào)度方案的輔助制定，合理配置有關資源，及時控制事件蔓延。（2）可實現(xiàn)對特定范圍內(nèi)緊急事件的實時監(jiān)測，及時發(fā)現(xiàn)突發(fā)事件。（3）可生成針對不同應急事件的多種處理預案。（5）可實現(xiàn)具有真實感的虛擬環(huán)境下的事件演化模型，并對處理方案的預期效果進行模擬。（6

29、）可實現(xiàn)相關資源管理業(yè)務和信息管理的統(tǒng)一性和一致性，并實現(xiàn)網(wǎng)絡化遠程調(diào)度管理，從根本上提高管理效率。5.1.4. 緊急場所設施使用人員的權限分配建議制定對角色、職權進行定義的命令和控制規(guī)程，考慮管理和職權的連續(xù)性。5.1.5. 緊急事件發(fā)生前的監(jiān)測、監(jiān)控與預警系統(tǒng)監(jiān)測、監(jiān)控與預警系統(tǒng)是緊急預警處理的基礎。平時細致有效的監(jiān)測與監(jiān)控是第一步。一旦發(fā)現(xiàn)有緊急事件出現(xiàn)，對局部事件進行實時監(jiān)控，就可以展開及時的調(diào)查和分析，防止事件的擴散，在全面分析和科學判斷的前提下，發(fā)出預警信號，提醒企業(yè)和社會進行相關的應對和準備工作，防患于未然。監(jiān)測預警主要包括：u 火災監(jiān)測u 供電監(jiān)測u 監(jiān)測u 急救監(jiān)測u 影響區(qū)

30、域監(jiān)測以上部分根據(jù)風險分析來完善。預警系統(tǒng)是指對監(jiān)測數(shù)據(jù)進行整合、分析和判斷，建立診斷和預測模型，對易造成重大危害的分布狀態(tài)及危險因素進行早期報告。緊急事件緊急預警處理系統(tǒng)要想達到高效、快速反應，首先必須形成完全覆蓋，不留漏點。但完全覆蓋必然涉及到社會的方方面面，其中包括許多單位和行政、事業(yè)單位。5.1.6. 緊急事件發(fā)生后的緊急事件響應程序緊急事件的一般響應程序是：緊急事件的一般處理程序包括事件通知、事件評估、緊急預案啟動及相關措施；5.1.6.1. 事件通知通知規(guī)程事件的發(fā)生可能有先兆也可能沒有先兆。例如，颶風將影響某個地區(qū)或計算機病毒會在某日發(fā)作經(jīng)常會得到實現(xiàn)通知。但是，設備故障或者犯罪

31、活動就可能沒有先兆。通知規(guī)程應該在計劃中包含這兩種情況。適當?shù)耐ㄖ獙p少IT系統(tǒng)的影響是很重要的；在一些情況下，它可以為允許系統(tǒng)人員正常關閉系統(tǒng)避免系統(tǒng)崩潰贏得足夠的時間。在災難發(fā)生后，應該通知損害評估小組使其能夠確定事態(tài)的嚴重程度和下一步將要采取的行動。損害評估完成后，應該通知相應的恢復和支持小組?？梢酝ㄟ^各種方法完成通知，包括電話、傳呼、電子郵件或者移動電話。由于無法確定能否有效恢復，所以通過電子郵件發(fā)送通知應該謹慎從事。在工作時間發(fā)送的通知應該發(fā)送到辦公地址，在局域網(wǎng)停頓的事件中可以使用個人電子郵箱傳送消息。在影響廣泛的災難事件中，有效的通知工具是電臺、電視廣播和WEB網(wǎng)站。通知策略應該

32、定義在事件發(fā)生后人員無法聯(lián)絡時的規(guī)程。一種通知方法是呼叫樹。這種技術指定特定人員執(zhí)行通知任務，此人負責通知其他的恢復人員。呼叫樹應該包括主要的和備用的聯(lián)絡方法，應該討論在某個人無法聯(lián)系時應該采取的規(guī)程。下面是一個呼叫樹（舉個例子）：需要通知的人員應該在計劃附錄中的聯(lián)系清單中標明。這個清單確定人員在其團隊中的職位、姓名和聯(lián)絡信息（如家庭、工作電話號碼及傳呼號碼、電子郵件地址和家庭地址）。通知還應該發(fā)給會因為不知情而受到負面影響的外部機構或者互聯(lián)的伙伴系統(tǒng)。根據(jù)中斷類型的不同，POC可能具有恢復能力。所以，與外部機構相連的每一個互聯(lián)系統(tǒng)應相互協(xié)助，協(xié)助的方式應該根據(jù)所提供的系統(tǒng)互聯(lián)協(xié)議確定。這些P

33、OC應該被列入計劃的附錄中。通知中所傳遞的信息類型應該在計劃中載明。所傳遞的信息數(shù)量和詳細程度可依據(jù)被通知的團隊而定。根據(jù)需要，通知信息可以包括以下內(nèi)容：u 所發(fā)生或者將發(fā)生的緊急情況的性質(zhì)u 死亡或者受傷情況u 任何已知的評估結(jié)果u 響應和恢復的細節(jié)u 何時何地召集會議介紹簡況或者聽取進一步的響應指令u 在評估期間進行重新部署準備的指令使用呼叫樹完成通知的指令（如果需要）5.1.6.2. 損害評估要確定緊急事件后如何實施緊急計劃，對系統(tǒng)損害性質(zhì)和程度的評估是非常重要的。這個損害評估應該在能夠確保人員安全這個最優(yōu)先任務的前提下盡快完成。所以，如果可能，損害評估小組是第一個得到時間通知的小組。損

34、害評估規(guī)程對于不同的系統(tǒng)是不同的；但是應該涉及到以下領域：u 造成緊急情況或者中斷的原因u 潛在的附加中斷和損失u 受到緊急情況影響的區(qū)域u 物理架構（如計算機室結(jié)構的完整性、電源、電信、以及制熱、通風和空調(diào)）的狀況u IT設備的總量和功能狀態(tài)u IT設備及其存貨的損失類型u 被更換的項目（如硬件、軟件、固件或者支持材料）u 估計恢復正常服務所需的事件在書面計劃無法得到的情況下,具有損害評估職責的人員應該了解和能夠執(zhí)行這些規(guī)程.一旦系統(tǒng)的影響被確定,就應該將最新信息和對此情況的響應計劃通知給適當?shù)膱F隊。通知應該按照通知規(guī)程進行。5.1.6.3. 計劃的啟動只有當損害評估的結(jié)果顯示一個或多個系統(tǒng)

35、啟動條件被滿足時，IT緊急計劃才應該被啟動。如果滿足啟動條件，緊急計劃協(xié)調(diào)人或者CIO應啟動計劃。各機構的啟動條件各不相同，應該在緊急計劃策略條款中予以說明。條件可以基于以下方面：u 人員的安全和/或設施損失的程度u 系統(tǒng)損失的程度u 系統(tǒng)對于機構使命的影響程度u 預期的中斷持續(xù)時間一旦明確了系統(tǒng)損害，緊急計劃協(xié)調(diào)人就可以選擇適當?shù)幕謴筒呗圆⑼ㄖ嚓P的恢復團隊。5.1.6.4. 通知和啟動階段模板本階段涉及到用來探測和評估由（系統(tǒng)名稱）中斷造成的損害的最初行為?；趯κ录脑u估，可以通過緊急計劃協(xié)調(diào)人啟動計劃。在緊急情況下，在執(zhí)行通知和啟動規(guī)程前（機構名稱）的最優(yōu)先任務是保護人員的健康和安全。

36、關聯(lián)人員的聯(lián)絡信息列在附錄中，通知順序如下：u 最初的反應是通知緊急計劃協(xié)調(diào)人。所有已知的信息被傳遞給緊急計劃協(xié)調(diào)人。u （系統(tǒng)負責人）與（損害評估小組負責人）聯(lián)系并將事件通知他們。（緊急計劃協(xié)調(diào)人）指示團隊負責人開始評估規(guī)程。u （損害評估小組負責人）通知小組成員并指導他們完成以下評估規(guī)程以確定損害的范圍和預計的恢復時間。如果由于安全條件的限制無法在本地繼續(xù)損害評估，（損害評估小組）可以遵循以下指導。損害評估規(guī)程：應該列出詳細的行動規(guī)程，包括確定中斷原因、確定潛在的附加中斷或者損害、確定受影響的物理區(qū)域和物理設施的狀態(tài)、確定包括需要更換的IT設備在內(nèi)的IT設備的功能和總量的狀態(tài)、預計將服務恢

37、復到正常運行狀態(tài)所需的時間。u 接到（緊急計劃協(xié)調(diào)人）的通知后（損害評估小組負責人）應該.u （損害評估小組）應該.備用評估規(guī)程：u 接到（緊急計劃協(xié)調(diào)人）的通知后（損害評估小組負責人）應該.u （損害評估小組）應該.-當完成損害評估后，（損害評估小組負責人）將結(jié)果通知（緊急計劃協(xié)調(diào)人）。-（緊急計劃協(xié)調(diào)人）對結(jié)果進行評估并確定是否啟動緊急計劃以及是否需要重新進行配置。-依據(jù)評估結(jié)果，在適當?shù)那闆r下（緊急計劃協(xié)調(diào)人）將評估結(jié)果通知國家緊急情況相關人員（如警察、消防）。以下一個或者多個標準得到滿足將啟動緊急預案：1、（系統(tǒng)名稱）超過規(guī)定時間內(nèi)無法使用。2、設施受損并且超過規(guī)定時間內(nèi)無法使用。3、

38、其他適當?shù)臉藴?。u 如果要啟動緊急預案，（緊急計劃協(xié)調(diào)人）要通知所有團隊的負責人并將事件的細節(jié)以及是否需要重新配置通知他們。u 收到（緊急計劃協(xié)調(diào)人）的通知，團隊負責人要通知各自團隊。應該將所有適當信息通知團隊成員，團隊成員應該做好響應和重新配置的準備。u （緊急計劃協(xié)調(diào)人）要通知（離站存儲設施）發(fā)生了緊急事件并且（損害評估確定的情況下）將所需材料送到（備用站點）。u （緊急計劃協(xié)調(diào)人）要通知（備用站點）發(fā)生了緊急事件并要求其為(機構)的到達進行準備。u （緊急計劃協(xié)調(diào)人）要將事件的大致情況通知剩余人員（通過通知規(guī)程）。5.1.6.5. 局部事故緊急響應預案局部事故應急預案指企業(yè)單位針對本單位

39、存在的現(xiàn)實危險和有可能發(fā)生的事故，在積極預防的基礎上，為避免和防止事故中人員傷亡和財產(chǎn)損失擴大而實施應急救援的組織方案和行動計劃。(一)應急預案的編制原則1、應根據(jù)本單位危險源的特點編制，要有較強的針對性。2、救援措施、避險要領應該簡潔明了，有較強的可操作性。3、應急救援預案的編制應遵循企業(yè)自救與社會救援相結(jié)合的原則。(二)應急預案的主要內(nèi)容1、危險源辨識及評價結(jié)果。2、事故類型及可能造成的危害分析。3、事故應急救援及緊急避險措施。4、事故應急救援組織指揮機構、救援隊伍及職責分工。5、事故應急救援器材、裝備。6、需請求社會救援的事項。7、事故應急預案演練的考核評價標準。8、事故應急預案管理制度

40、。(三)應急預案制定的基本程序及要求應急預案的制定是針對各項事故應急措施(含信息)、程序和行動計劃的文件化過程。預案的制定應按如下程序及要求進行。1、危險源評估。通過辨識危險因素和危險部位，確定危險(危害)類型。2、事故類型與危害分析。事故類型與危害分析是在危險源評估的基礎上對其可能發(fā)生的危害類型進行分析認定，從而科學地預測可能發(fā)生事故的類型及事故產(chǎn)生危害的大小，以此作為制定事故應急措施的依據(jù)。3、制定應急措施。根據(jù)不同的事故類別、事故危害等，研究制定相應的應對措施。對可能發(fā)生無法直接施救或可產(chǎn)生較大次生災害的事故要給予特別關注，制定緊急疏散等應急措施，防止盲目施救導致傷亡擴大。4、根據(jù)事故應

41、急措施需要，制定應急救援裝備、器材配置方案。主要包括搶險器材設備、人員防護裝備、通訊設備、救護器材設備的種類和數(shù)量等。5、制定應急救援組織指揮機構和應急救援隊伍方案，并明確職責分工。保證事故應急救援組織指揮機構在發(fā)生事故時能根據(jù)事故狀況實施有效的協(xié)調(diào)指揮；應急救援隊伍能夠?qū)嵤┯行У膽睋岆U、排險、救援、救護等工作。6、分析確定需社會救援的事項。為了在發(fā)生重、特大事故時能夠及時得到有效的社會救援支持，應依據(jù)可能發(fā)生的事故類型及危害，分析確定需要社會救援的事項，納入預案管理。7、制定有關人員培訓內(nèi)容和預案演練考核標準。為使應急指揮人員和救援隊伍掌握應急指揮與救援要領，危險崗位工作人員掌握事故狀態(tài)下

42、應急搶險或避險逃生的要領，應研究制定相關培訓內(nèi)容和預案演練考核標準。8、形成預案。在上述工作的基礎上，經(jīng)過專家評審和領導審批后，作為執(zhí)行性文件。特大事故應急救援預案應報有關管理部門備案。 (四)預案措施的落實與管理應急救援預案確定后，企業(yè)單位的主要負責人要組織預案措施的落實工作。 (五)預案演練預案演練是保證一旦發(fā)生事故，預案可以有效發(fā)揮作用的重要環(huán)節(jié)。演練的主要內(nèi)容：1、事故報告與接報。包括第一時間的事故現(xiàn)場人員或事故發(fā)現(xiàn)人員的報告；事故單位接報響應；事故單位向當?shù)卣捌鋺北Ｕ舷到y(tǒng)報告，請求外圍應急救援支援及其接報響應。2、事故發(fā)生后第一時間的現(xiàn)場應急搶險或避險。3、事故應急調(diào)度指揮部指揮與搶險。包括指揮部人員迅速趕赴現(xiàn)場預定位置指揮搶