災(zāi)難恢復(fù)計劃

損失減少公司劫難恢復(fù)計劃七步曲正如現(xiàn)實生活中其它事物的不可預(yù)料性同樣，公司很難預(yù)先知道其網(wǎng)絡(luò)、數(shù)據(jù)中心運作過程中何時會受到威脅。但減輕劫難的后果并不是一個輕松的過程。下面筆者給出可以幫助公司提供實用指南并實現(xiàn)高效的業(yè)務(wù)連續(xù)性和劫難恢復(fù)計劃的七個環(huán)節(jié)：第一步：認(rèn)可劫難的也許性業(yè)務(wù)連續(xù)性及劫難恢復(fù)的第一步是認(rèn)可自己的單位會碰到可以損害公司發(fā)展的現(xiàn)實性威脅。假如公司沒有在一個高級的層次上采用這一步，其它的環(huán)節(jié)就免談。第二步：列表并分類公司面臨的威脅公司及其社會環(huán)境的性質(zhì)可以影響一個單位所面臨的威脅類型。在列示了威脅之后，單位應(yīng)當(dāng)根據(jù)這些威脅對不同系統(tǒng)的也許影響對其分類。應(yīng)當(dāng)在劫難的響應(yīng)成本和可容忍的“宕機時間”之間實現(xiàn)平衡，可容忍的“宕機時間”越少，則公司就需要越多的成本來創(chuàng)建恰當(dāng)?shù)捻憫?yīng)。比如，一些系統(tǒng)必須在幾分鐘或幾秒內(nèi)實現(xiàn)功能恢復(fù)，尚有一些系統(tǒng)可容忍的“宕機時間”為幾小時，尚有其它系統(tǒng)即使“宕機時間”多達幾天也不會產(chǎn)生嚴(yán)重的后果。第三步：概要描述單位的業(yè)務(wù)連續(xù)性和劫難恢復(fù)技術(shù)的基礎(chǔ)結(jié)構(gòu)業(yè)務(wù)連續(xù)性和劫難恢復(fù)技術(shù)基礎(chǔ)結(jié)構(gòu)的關(guān)鍵技術(shù)要素由以下幾部分組成：關(guān)鍵數(shù)據(jù)中心、一個可以備份重要數(shù)據(jù)中心資源的遠(yuǎn)程站點、高帶寬的網(wǎng)絡(luò)連接等部分組成。在整個數(shù)據(jù)中心，業(yè)務(wù)連續(xù)性和劫難恢復(fù)的最佳策略都要遵循所有要素成分都保持冗余性的觀點。在生產(chǎn)性和備份數(shù)據(jù)設(shè)施中都應(yīng)當(dāng)運營多臺主機和服務(wù)器。假如一個生產(chǎn)性系統(tǒng)的一個組件碰到了一個問題，此系統(tǒng)組件就立即將其功能轉(zhuǎn)移給本地的備份系統(tǒng)，這可以作為對付劫難的第一道防線。在業(yè)務(wù)連續(xù)性和劫難恢復(fù)策略中，最關(guān)鍵的要素之一就是電源。根據(jù)調(diào)查，電力故障是最為常見的也是可防止的中斷性故障。不管公司的網(wǎng)絡(luò)帶寬多么大，假如一個粗心大意的施工人員偶爾弄斷了光纖，其作用也就壽終正寢了。網(wǎng)絡(luò)的連接不僅要足夠，還要在一個更寬廣的WAN技術(shù)范圍內(nèi)遵循不同的途徑，避免業(yè)務(wù)限于停頓。第四步：清查單位的IT資產(chǎn)一旦單位已經(jīng)草擬了其業(yè)務(wù)連續(xù)性和劫難恢復(fù)基礎(chǔ)結(jié)構(gòu)的拓?fù)?，下一步就是要制定IT資產(chǎn)的一個精確而具體的目錄。這就使得單位可以理解需要保護的資源和業(yè)務(wù)過程。現(xiàn)在有不少業(yè)務(wù)管理工具有助于制定和維護IT資源的精確目錄。這些工具的廠商都提供了一些依靠軟件代理來優(yōu)化IT基礎(chǔ)結(jié)構(gòu)的工具模塊，并可將硬件和軟件資產(chǎn)的細(xì)節(jié)及其配置參數(shù)存儲到配置管理數(shù)據(jù)庫中（CMDB）。第五步：設(shè)立服務(wù)水平盼望并定義意外事故策略配置管理數(shù)據(jù)庫中（CMDB）不僅存儲著單位軟件和硬件資產(chǎn)的細(xì)節(jié)信息，還包含著服務(wù)水平的約定規(guī)定信息，這些約定規(guī)定可以定義正常運營時間及這些資源的恢復(fù)參數(shù)?；叵肭懊娴牡诙剑呒壒芾聿块T對服務(wù)水平盼望作出規(guī)定是很重要的，由于這些可以決定在某次故障中的5分鐘內(nèi)或5小時之內(nèi)某種特定的資產(chǎn)是否必須啟動和運營。這種決定可以直接影響高級管理部門日后會尋求支持的業(yè)務(wù)連續(xù)性和劫難恢復(fù)的成本支出。根據(jù)對IT資產(chǎn)及配置和服務(wù)水平約定的清楚理解，單位就可以定義意外事故的應(yīng)對策略。這些策略必須得到主管人員的支持，因而需要將IT資產(chǎn)的性能直接與公司需求聯(lián)系起來。為了形成這種重要的聯(lián)系，單位需要執(zhí)行業(yè)務(wù)影響分析來充實系統(tǒng)需求、過程、系統(tǒng)交互關(guān)系的細(xì)節(jié)。主管人員必須理解系統(tǒng)癱瘓的后果，以便于支持意外事故的應(yīng)對策略。第六步：制定一個業(yè)務(wù)連續(xù)性和劫難恢復(fù)的計劃意外事故的應(yīng)對計劃應(yīng)當(dāng)直接根據(jù)意外事故的應(yīng)對策略，具體表述不同部門和個人的角色和責(zé)任，以保持技術(shù)系統(tǒng)的可用性，并闡明緊急情況下恢復(fù)IT系統(tǒng)的過程。意外事故的應(yīng)對計劃的關(guān)鍵元素還涉及資源需求、培訓(xùn)需要、培訓(xùn)練習(xí)和測試的頻率、維護時間表、數(shù)據(jù)庫備份的時間表等。意外事故的應(yīng)對計劃的階段涉及以下幾個方面，一是劫難降臨時的告知過程，二是應(yīng)急團隊動員后的恢復(fù)過程，三是回歸正常運作過程。第七步:測試業(yè)務(wù)連續(xù)性和劫難恢復(fù)計劃在定制了正式的策略和過程之后,最為重要然而卻最容易被忽略的一個方面是劫難恢復(fù)計劃。公司必須從一開始就測試其計劃的完整性和有效性，然后再在運作過程中重新測試，以保證對IT基礎(chǔ)結(jié)構(gòu)和業(yè)務(wù)過程的日后改變不會產(chǎn)生策略改變的需要。此外，單位應(yīng)當(dāng)創(chuàng)建測試平臺，以精確地反映平常的業(yè)務(wù)條件，以使演練可以模擬真實的條件。在當(dāng)今復(fù)雜的條件下，要讓公司防御每一種劫難事故的確有點兒困難。但是，在無法預(yù)料的事情發(fā)生后，假如公司采用了恰當(dāng)?shù)募夹g(shù)、清楚的服務(wù)水平盼望、實用的恢復(fù)策略，再通過劫難恢復(fù)計劃和嚴(yán)格的測試方法，單位就可以將劫難對業(yè)務(wù)的影響降至最低。公司業(yè)務(wù)連續(xù)性和劫難恢復(fù)規(guī)劃實行公司部署了全面的劫難恢復(fù)規(guī)劃，而不到10%的中小公司擁有危機管理、應(yīng)急措施、業(yè)務(wù)重組和業(yè)務(wù)恢復(fù)計劃。對于中小公司來說，部署劫難恢復(fù)計劃是十分重要的。根據(jù)Gartner調(diào)查顯示，五分之二的公司在五年內(nèi)都經(jīng)歷過至少一次嚴(yán)重劫難。此外，劫難的發(fā)生頻率比我們想象中的還要高，由于大約80%的應(yīng)用程序停工是人為的或者進程犯錯導(dǎo)致的，而不是由于劫難或者技術(shù)故障。設(shè)立一個停機時間限制當(dāng)我們在部署劫難恢復(fù)計劃時，最開始的目的應(yīng)當(dāng)是擬定恢復(fù)點目的和恢復(fù)時間目的。劫難恢復(fù)點目的(RPO)指明了可以允許的數(shù)據(jù)丟失范圍，而恢復(fù)時間目的(RTO)則是應(yīng)用程序可以允許的停工時間范圍，即根據(jù)可承受的最長停電時間來擬定。假如劫難真的發(fā)生了，那么你的公司可以承受多長時間呢？一個小時？一天？還是一個星期？那些需要立即恢復(fù)運營的公司必須投入更多的資金來進行劫難恢復(fù)部署，而那些幾天內(nèi)仍然可以繼續(xù)運營的公司則可以投入較少的資金。同樣來說，較高的劫難恢復(fù)點目的相對來說更加昂貴，但是中小公司必須權(quán)衡防止性支出與重要數(shù)據(jù)丟失帶來的潛在高額費用之間的關(guān)系。認(rèn)真擬定劫難恢復(fù)點目的和恢復(fù)時間目的可以幫助你合理分派資源，而不會浪費成本。假如你的公司對于擬定劫難恢復(fù)點目的和恢復(fù)時間目的，那么就可以使用業(yè)務(wù)影響分析(BIA)。業(yè)務(wù)影響分析方法依據(jù)的基本假設(shè)條件就是，公司的每一個因素都依賴于任何其他因素的連續(xù)運營，但是有些因素比其他因素要更加重要。業(yè)務(wù)影響分析優(yōu)先考慮了關(guān)鍵任務(wù)數(shù)據(jù)和系統(tǒng)，它可以幫助公司在考慮劫難性事件時將資源進行合理分派。BIA可以讓IT經(jīng)理和中小公司業(yè)主清楚地看到，假如他們不部署劫難恢復(fù)計劃，他們將也許損失的成本價值。建立劫難恢復(fù)計劃當(dāng)擬定了RPO和RTO之后，你就可以正式建立劫難恢復(fù)計劃了。當(dāng)你在建立劫難恢復(fù)計劃時，要牢記以下這些最佳做法：要讓公司所有的利益相關(guān)者參與進來，而不只是IT部門。舉例來說，人力資源部在對員工進行劫難恢復(fù)計劃培訓(xùn)以及計劃溝通中時將發(fā)揮重要的作用，所以人力資源部應(yīng)當(dāng)參與進來；首席執(zhí)行官和其他高級管理人員對于保證劫難恢復(fù)計劃的資金和公司性購買方面是必不可少的角色；假如你的公司場合是租賃的，那么物業(yè)管理也應(yīng)當(dāng)了解你的計劃；此外，最佳還要告知本地的執(zhí)法部門你所要實行的計劃。將所有的利益相關(guān)者參與到規(guī)劃和部署中是十分重要的。防止數(shù)據(jù)倉庫的產(chǎn)生：也許你會認(rèn)為將文獻保存到桌面是很方便的事情，但是這卻是個不好的習(xí)慣。員工的個人電腦硬盤通常沒有得到IT部門的備份支持，所以最佳部署一個中央服務(wù)器來解決這種令人頭疼的問題，讓所有的員工可以規(guī)范地使用電腦。優(yōu)先備份：擬定需要保存的數(shù)據(jù)以及保存時間，然后執(zhí)行存儲策略來優(yōu)先備份關(guān)鍵數(shù)據(jù)和應(yīng)用程序，一方面要備份最關(guān)鍵的部分?，F(xiàn)場備份和非現(xiàn)場備份：我們現(xiàn)在擁有各種備份技術(shù)，從在線備份服務(wù)到磁盤和磁帶解決方案等。在考慮選擇何種備份服務(wù)時，最佳選擇既可以進行現(xiàn)場備份又可以進行非現(xiàn)場備份的備份服務(wù)，那樣當(dāng)你的重要業(yè)務(wù)場合無法使用時也可以對數(shù)據(jù)和應(yīng)用程序進行備份。舉例來說，有了磁盤鏡像，至少會有兩個硬盤同時進行復(fù)制和存儲數(shù)據(jù)，那么，假如其中有一個磁盤出現(xiàn)故障，系統(tǒng)就可以自動切換至另一臺磁盤，不管這兩個磁盤在同一數(shù)據(jù)中心或是分布在不同城市，這樣就可以減少數(shù)據(jù)和服務(wù)的損失。保證遠(yuǎn)程訪問：數(shù)據(jù)保存期限和網(wǎng)絡(luò)訪問同樣重要。假如實體辦公室不能避免劫難的發(fā)生，員工還是需要接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施來保持業(yè)務(wù)運營。假如讓所有員工實現(xiàn)遠(yuǎn)程訪問不現(xiàn)實，至少密鑰持有者應(yīng)當(dāng)可以進行遠(yuǎn)程訪問。擬定了停工時間限制以及部署了劫難恢復(fù)計劃后，有必要進行定期測試。當(dāng)然，測試需要花費一定的時間和金錢，所以公司的測試頻率可以根據(jù)預(yù)算來設(shè)立。作為一個基準(zhǔn)來說，中小公司至少每年進行兩次測試。假如每年對整個系統(tǒng)進行兩側(cè)測試不能實現(xiàn)，至少也應(yīng)當(dāng)定期地對最關(guān)鍵的應(yīng)用程序和系統(tǒng)進行測試。此外，在公司旺季的時候也應(yīng)當(dāng)進行測試，并且不需要告知所有的員工，除了必要的幾個工作人員外，這樣做是為了模擬真正的劫難。最后，IT經(jīng)理在每次測試后都應(yīng)當(dāng)對劫難恢復(fù)系統(tǒng)進行審查，看看哪些地方容易出現(xiàn)故障，以及時糾正錯誤。有效的劫難恢復(fù)計劃對于公司生存發(fā)展力是至關(guān)重要的，根據(jù)McGladrey和Pullen事務(wù)所記錄，每年每500個數(shù)據(jù)中心就會發(fā)生一次劫難事故，其中43%的劫難事故導(dǎo)致無法挽回的損失。而此外的29%公司將會被迫關(guān)閉兩年。劫難恢復(fù)相稱于公司保險，是你的公司不可缺少的部分保證劫難恢復(fù)(DR)計劃的實行在今年早些時候提出的一份劫難恢復(fù)(DR)報告中，F(xiàn)orrester研究公司建議，在制定劫難恢復(fù)計劃時，要采用以下七個環(huán)節(jié)來保證爭取到新的、額外的、正在運營的基金：1．實行一套連續(xù)性的管理流程。技術(shù)支持劫難恢復(fù)的準(zhǔn)備工作；這并不是一個連續(xù)的策略或者計劃。在能爭取到技術(shù)和服務(wù)的基金之前，你應(yīng)當(dāng)將劫難恢復(fù)的準(zhǔn)備工作看作是一個連續(xù)性的流程，而不是一個一時的事件，并且為此制定一個總體的框架。2．進行業(yè)務(wù)影響分析(BIA)和風(fēng)險評估。在IT部門爭取到資金之前，IT部門的人員必須坐下來與業(yè)務(wù)部門人員進行交流，共同擬定哪些是公司里最關(guān)鍵的流程，哪些依賴于IT資源并計算出由于發(fā)生故障而引發(fā)的成本。然后，你還需要制定出一份風(fēng)險評估，以擬定特定風(fēng)險的概率和頻率。3．計算出停機所產(chǎn)生的成本。理解停工成本是非常重要的，這有助于幫助業(yè)務(wù)人員和IT部門擬定在每一個業(yè)務(wù)流程中可接受的停機時間和數(shù)據(jù)丟失，指導(dǎo)將來的技術(shù)和服務(wù)投資。4．發(fā)展影響的情況，不只是解決“劫難”，要解決所有的風(fēng)險。業(yè)務(wù)部門和IT部門必須要同風(fēng)險管理專家合作一起評估那些真正的破壞性事件的風(fēng)險，例如，電力故障、IT故障、人為錯誤、設(shè)備故障、自然災(zāi)害和人為災(zāi)害。當(dāng)管理者考慮劫難恢復(fù)的準(zhǔn)備計劃時，他們通常是先考慮為那些反常的事件做準(zhǔn)備，例如，颶風(fēng)、地震和恐怖主義事件等等?，F(xiàn)實情況是，那些發(fā)生的劫難或重要業(yè)務(wù)的中斷最常見的因素通常是人為事件，例如，停電和IT故障。劫難恢復(fù)計劃者和IT運營專家必須要是管理人員明白劫難恢復(fù)的準(zhǔn)備工作不僅僅是應(yīng)對“劫難”而是應(yīng)對那些像公司停工這樣的事故的發(fā)生。5．將劫難恢復(fù)(DR)看作是競爭的必要手段。假如你的公司停工，這就有也許為你的競爭對手提供機會擴大他們的市場份額。同樣，正常開工就可以與競爭對手有平等的機會競爭市場份額。這有助于重新提起關(guān)于劫難恢復(fù)的討論，要制定一份保險策略保證劫難恢復(fù)（劫難復(fù)原），將它作為一個競爭的必要手段。大多數(shù)公司，不只是金融服務(wù)公司都有一個備用的站點，并且運用先進的復(fù)制技術(shù)來保護數(shù)據(jù)。公司應(yīng)當(dāng)與同行或競爭對手保持一致。6．制定一個劫難恢復(fù)(DR)服務(wù)目錄。正如你與業(yè)務(wù)部