业务连续性计划

灾难风险管理策略
•
同城 regional
− 与主站点处于同一地理区域。主站点和备用站点一般距 离在数十公里以内，可实现同步数据复制，但面临同一 区域性灾难风险
灾难风险管理策略

区域性灾难
•
异地 non-regional
− 与主站点处于不同地理区域。主站点和备用站点一般距 离在数百公里以上，不会同时遭受与生产中心同一区域 性灾难风险
业务连续管理
业务策略
Business Strategy 业务流程 Business Process
信息 Information
业务连续管理
生命
周期
业务连续规划
应用服务 Application Services
应用基础架构
业务与办公环 境连续管理
Application Infrastructure
核心基础架构 IT 连续管理
•
数据中心风险
− 因人为错误、技术故障等局限于数据中心内部的风险造 成信息系统中断服务，通过加强本地的技术和管理提高 高可用，降低风险
2018年8月16日星术语来源： 期四 《GB/T 20988-2007信息 安全技术信息系统灾难恢复规范》
高可用设计 冗余设计 完善管理 制度

机房内事件
--系统单点故障、机房电源系统故障、广域网故障、 机房漏水、空调系统故障、存储阵列等关键设备硬件 故障、人为恶意破坏、软件逻辑错误、信息安全故障 等
恢复时间 RTO
恢复数据点 RPO IT应用 恢复策略
方案选择
灾备组织 结构 响应和决策 流程 演练
方案设计
技术恢复 步骤 测试演练 计划 培训
Baidu Nhomakorabea
容灾技术分析
方案实施
3
2018年8月16日星 期四
组织的业务所面临的风险-RA
高 自然灾害－火灾，水灾，恶劣天气 人为灾害－恐怖行动，恶意破坏 安全破坏－电脑黑客 服务中断攻击 病毒攻击 内部安全/欺诈 影响
机房/园区级灾难
•
机房/园区级灾难
− 建筑物外部火灾、建筑物内部火灾、机房内部火灾、长 时间停电等，例如 机房电源系统故障、广域网故障、机 房漏水、空调系统故障、存储阵列等关键设备硬件故障
-- 建筑物外部火灾、建筑物内部火灾、机房内部火 灾、长时间停电等 -- 机房电源系统故障、广域网故障、机房漏水、空 调系统故障、存储阵列等关键设备硬件故障
灾难恢复： 从理论到实践
牛林海
业务连续管理服务经理 2009/10/29
© 2008 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice
软件故障 硬件故障 计划内停工 低 低
4 2018年8月16日星 期四
电源/网络故障
应用程序故障
频率
高
风险分析（RA）
数据中心风险分析的计算方法
资产价值分析 影响程度 资产识别 脆弱识别 脆弱性的程度 可能性 风险权重
威胁识别
威胁的频率
5 4.5 4 3.5 3 2.5 2 1.5 1 0.5 0
收入确认、现金流、信用等 级、股票价格、违规罚款
2018年8月16日星 期四
上百万美元
直接财务损失/ 客户损失 连续增长 分钟
耗时
天
宕机造成的间接影响更加严重，无法预测
7
业务影响分析（BIA ）
BIA是在风险分析的基础上，分析业务功能依赖的重要信息系统资源、评估特定灾难场景 下各种信息系统中断产生的经济损失和非财务因素影响 识 别 业 务 、 技 术 、 管 理 、 用 户 的 灾 难 恢 复 需 求
6
风险对业务的影响-BIA：量化分析影响
几十亿美元
收入： 直接损失、补偿金、损失的 未来收入、款项损失和投资 损失 生产效率： 雇员人数 x 受影响员工数 x 停工时间 x 需要补回的时间 =? 声誉损失：
指数级增长 财务业绩
影响（美元）
声誉损失 生产效率/雇员
客户、竞争对手获得优势、 供应商、金融市场、业务合 作伙伴 财务业绩：
8
务访 管谈 理业 部务 门人 员 、 关 键 用 户 、 业 经访 理谈 、 人 主员 管 项 目 (

识别系统功能，业务流程同IT的关系，用户数量、分布、关键时段 了解业务应急处理方案是否明确，可支持业务多久，以及方案的局限性
中断时间 无 / 可轻 微明 显严 重非常严 中断时间 无 / 可轻 微明 显严 重非常严 忽略 影响 影响 影响 重影响 中断时间 无 / 可轻 微明 显严 重非常严 ※ 影响 影响 影响 重影响 8小时以内 忽略 忽略 影响 影响 影响 重影响 ※ 8小时以内 24小时以内 ※ ※ 8小时以内 ※ 24 小时以内 ※ 2 天以内 ※ 24 小时以内 ※ 2 天以内 ※ 5天以内 ※ 2天以内 ※ ※ 5天以内 15天以内 ※ 5天以内 ※ 15 天以内 ※ 30 天以内 ※ 15天以内 xxxxxxxx ※ 原因说明 30 天以内 ※ 30 天以内 xxxxxxxx 原因说明 xxxxxxxx 原因说明
威胁程度
某机房主要风险指标评级
可能性 威胁程度 影响程度
电源故 地震（5 空调故障 广域网中 核心网络 长时间停 障，短时 级或更 外部火灾 停机 断 设备故障 电 间停电 高） 5 3 3 4 3 3 4 2 4 4 2 4 2 3 5 3 2 5 3 2 5
5
2018年8月16日星 期四
可能性 威胁程度 影响程度
Core Infrastructure
基础架构 Infrastructure
2
2018年8月16日星 期四
管理和控制
Management & Control
灾难恢复建设过程
灾难风险评估(RA) 业务影响分析(BIA) 恢复技术方案设计 DRP开发 运行维护
风险因素
业务关键性 分析
业务架构 IT现状分析
--造成所在地区或有紧密联系的邻近地区的交通、电讯、
异地灾备 能源及其它关键基础设施受到严重破坏，或大规模人口
疏散的事件。
--例如：地震、大型公共卫生事件、恐怖袭击、区域
性通信网故障、区域性电网故障等

•
区域性灾难 regional disaster
− 造成所在地区或有紧密联系的邻近地区的交通、电讯、 能源及其它关键基础设施受到严重破坏，或大规模人口 疏散的事件。 − 例如：地震、大型公共卫生事件、恐怖袭击、区域性通 信网故障、区域性电网故障等 同城灾备