E14　应急计划

14.1 Contingency Planning
应急计划
应急计划或业务持续性计划的目的是当组织及其信息系统在灾难事件发生时，能够减少或避免关键业务中断，保证组织生存且持续运营。应急计划应纳入企业IT总体规划，并成为企业风险管理框架的组成部分。
保证企业的业务持续性是最高管理层的职责，应急计划的制定不是某个人或某个部门的事情，必须组成一个团队，该团队及其领导人应具有足够的权威，能够和相关部门和人员进行充分的沟通。应定期对员工进行风险管理培训，并使每一个人明确其在业务持续性计划中所承担的角色和责任。
完整的应急计划实施包括业务影响分析和目标设定、运行分类和重要性分析、计划制定、计划测试和实施、检测：
◆ 业务影响分析（BIA）是制定应急计划的首发步骤，它对每一种可能影响企业正常运营的潜在风险，如火灾、洪水、飓风、系统崩溃、数据丢失、黑客攻击和恐怖袭击等事件发生的可能性及后果进行评估。
◆ 确定风险后，应根据不同业务可以承受的后果（如宕机时间、恢复成本）对业务进行分类和重要性分析，以此来制定不同类别业务的保护级别和恢复顺序。不同的组织拥有不同的业务分类和优先级，以下是一种可能的分类：
■ 关键（Critical）系统：远程通信和核心处理，如订单处理、开票和发运
■ 重要（Vital）系统：财务（应收／应付、总账）和客服。
■ 敏感（Sensititive）系统：薪资和终端用户数据。
■ 非关键（Noncritical）系统：人力资源、预算和采购。
◆ 制定计划：应急计划应该考虑到方方面面，如备份和恢复的技术手段、财产保险、人员角色和通信方式、恢复阶段的员工交通和生活设施等。以下是恢复计划中应包括的若干内容：
■ 简明介绍
■ 团队职责列表和紧急联系方式
■ 备份计划和异地备份的地点
■ 问题升级的流程
■ 行动计划，包括恢复的时间期限、恢复策略以及关于硬件、软件、网络和远程通信的分类计划
■ 保险文件
◆ 测试和实施计划： 计划有效性的最佳证据是对计划进行了成功的测试。最好的测试是在生产环境，并且拥有同等规模的业务量情况下完成的。有些业务系统可能无法进行全面的实战性测试，只能进行模拟中断测试和纸面上的串行测试，此时应精心设计测试环境，使之尽可能接近实际环境。
◆ 监测：最好的计划如果不进行更新也会过时，当组织的结构和运营发生改变时，灾难恢复计划必须随之改变，以保证恢复计划的及时、有效。
14.2 Backup & Recovery Technologies and Facilities
备份恢复技术和设施
故障弱化保护（fail—soft protection）是发生紧急故障时的第一道屏障，当系统发生自身故障时，故障弱化保护控制可将故障的影响限制在一定范围内，或仅导致系统性能的下降。故障弱化技术包括：
磁盘冗余磁盘阵列RAID：将多只容量较小的、相对廉价的硬盘驱动器进行有机组合，使其性能超过一只昂贵的大硬盘，并且当其中一块或几块硬盘发生故障时，只会降低读写速度而不会丢失数据。 RAID技术使用三种冗余技术：镜像、校验和条带集。
虚拟存储：存储虚拟化概念是将多个物理存储设备结合成一个逻辑虚拟存储设备的方法，存储虚拟化的好处是存储设备可以在无需中断系统的情况下调整。
服务器双机热备：两台服务器同时运行相同或不同的任务，当其中一台服务器故障时，另一台可以接管其关键任务，从而保证关键任务的不间断运行。
负载均衡／服务器集群：通过负载均衡，流量可以被动态分配到一组运行相同应用程序的服务器组中的不同服务器上，这样可以避免某台服务器过载，也可以确保在某一台服务器故障时，不会停机。
数据异地备份是防止系统故障或重大灾难时的数据保存手段，根据备份数据的产生方式可分为脱机和联机备份，根据备份数据的存放地点和防灾难级别可分为异楼备份（防火灾）、异城备份（防地震、洪水）、跨国备份（防战争）。
◆ 脱机异地备份：利用磁带机，定期对数据进行备份（全备份或增量备份）后通过物理手段送至存放地。
◆ 联机异地备份：通过网络进行联机实时备份。
■ 电子链接——通过电子线路自动传送数据备份和实现数据的自动恢复。
■ 远程日志——通过电子线路自动传送处理日志和实现数据的自动恢复（通过重新执行处理日志中记录的处理）。
信息设施异地冗余是防止系统故障或重大灾难时的信息设施恢复手段，以下是几类异地冗余信息设施或方法：
热站（Hot Site）：提供从机房环境、网络、主机、操作系统、数据库、通信等各方面的全部配置，灾难发生后，一般几个小时就可以使业务系统恢复运行。启用时，只需操作人员到位并安装应用程序、数据与文件即可运行。
温站（Warm Site）：只配备了部分设备，通常没有主机，只提供网络连接和一些外部设备（如：磁盘驱动器、磁带驱动与控制器、UPS设备等）。安装计算机或其他所缺少的设备可能要花几天时间。
冷站（Cold Site）：为降低成本，冷站只提供支持信息处理设施运行的基本环境（如电线、空调、场地等）。灾难发生时，所有设备都必须运送到站点上，要从基础设施开始安装，因此故障恢复时间可能会很长，可能要几周时间。
冗余信息处理设施：冗余信息处理设施是组织自己配备的、专用的恢复站点，用来对关键应用系统进行备份与恢复。
移动站点：移动站点是一种特别设计的拖车式计算设备，它可以快速地转移到业务部门或到恢复站点。
组织之间签订互惠协议：组织之间签订互惠协议是指具有相同设备与应用系统的两个组织或多个组织之间互相为对方建立备份的方法。