一、业务连续性管理与灾备的区别
灾备行业里经常能够听到备份、容灾、灾难恢复、业务连续性等等概念,说的好像都是差不多的事情,那它们具体有什么区别呢?
1、业务连续性管理(BCM:BusinessContinuityManagement)
这是一项综合管理流程,它使企业或组织找出潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业或组织的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。(业务连续性管理包括企业或组织面临灾难时对业务活动的恢复和连续性管理,以及为保证业务连续性进行的培训、演练等而进行的整个方案的管理)
图1-业务连续性管理
总的来说,业务连续性管理是指企业或组织开展的一项综合管理流程。它涉及到各种灾难场景下对各项业务的影响分析和风险评估,并开发制定出应对各种情况的灾难恢复计划、方法和流程,并在日常工作中去执行,以减轻灾难可能带来的不利影响。
2、灾难备份(Backup)及灾难恢复(Restore)
备份其实很好理解,就是将你的文件或者数据复制一份到另外一个地方。假设你把C盘的文件复制了一份到D盘,当C盘的文件损坏之后,你就可以将D盘的文件副本再拷贝回来,这个就是恢复(Restore)的过程。
图2-灾备1
有的时候,你C盘的这个文件要编辑很久,例如在一周内你每天都编辑完后复制一份到D盘,以V1、V2、V3……V7的方式来给文件进行重命名,由于你坚持不懈的复制,那么当你的C盘文件损坏的时候,你就可以恢复V1~V7之间的任意版本,V1~V7的这些文件就是你备份产生的多个副本了。一般情况下,灾备软件会使用时间来标记你的文件或数据副本。
图3-灾备2
2.1容灾(DisasterTolerance)
容灾,其实就是指能够容忍灾难的能力。对于IT系统来讲,要容忍的灾难类型就包括地震、洪水等自然灾害;软硬件故障;网络或病毒攻击;人为蓄意破坏或者误操作等等。容灾能力建设的主要目的,就是在上述灾难发生的时候,能够保证生产业务系统的不间断运行。当然,各种技术方案都有一定的缺陷,要做到百分百的不间断一般是不太现实的,但不遗余力的帮助你的业务系统在更短的时间恢复,丢失的数据更少,这个就是各个灾备产品追求的目标了,这也是业界最关注的RTO和RPO指标。
来举个例子,假设你正在奋笔疾书自己的毕业论文,论文放在了云盘上,你在自己的笔记本上每编辑一下,更新的数据都会同步到云盘上。
图4-容灾1
笔记本因为已经用了四年,当你论文完成到99%的时候,一阵白烟从键盘冒了出来……但是你并不担心你的毕业论文丢失了,因为云盘有你论文的备份,你只需要用舍友的设备登录云端就能重新编辑。
图5-容灾2
在这个过程中,你的电脑损坏就是一个灾难事件,云盘系统就可以认为是一种容灾系统(当然云盘的主要功能不是这个),它可以帮助你在很短的时间内继续你的业务(写毕业论文)。对于一个组织,一家企业来讲,业务系统要复杂得多,如何保证业务系统可以快速拉起而不产生数据丢失,影响生产,就是一个系统又专业的工程了。
2.2容错(FaultTolerance)
大多数重要的计算机应用程序需要一个包括多个冗余组件的设计。这种容错设计通常包括硬件、软件、电源备份,以及网络故障安全措施。容错是一种确保计算机应用程序在发生灾难性故障时仍能正常工作的设计。
接着举例:比如存储你毕业论文的云盘的后端存储有个节点突然损坏了,你担心你的论文在云盘上丢失。但是云盘发布公告说因为云盘后端存储做了3副本的数据冗余,一个节点损坏并不会丢失数据,论文还保存在云端。
2.3灾难恢复(DR:DisasterRecovery)
灾难恢复就比较好理解了,就是指在灾难发生后,将生产系统恢复到正常状态的过程。这里面会涉及到数据的恢复,整个业务系统的重建等等。如果前期灾备系统做得好的话,这个灾难恢复的工作就会比较轻松,可以很快的让业务系统恢复起来,且基本不丢失数据。
对于IT系统来讲,灾难恢复是个系统的工作,需要做详细的规划和严谨的执行。
二、业务连续性管理与灾备的历史渊源
业务连续性管理起源于上个世纪70年代的容灾恢复计划。在那个时代,灾难恢复的活动由数据处理经理来管理。在那个时候,如果出现大的故障或危机,中断是以天计算而不是小时计算的。金融组织,如银行和保险公司大都选择在另外一个远离主中心的地方存储备份磁带。恢复活动经常是由火灾、水灾、暴风或其他物理损坏引发的。
到了上个世纪80年代,曾出现了很多商业恢复中心,在共享设备上提供计算服务,但重点还在IT的恢复。到了上个世纪90年代,IT出现重大的革命,灾难恢复计划发展为业务连续性计划。
针对业务连续性,IBM首先利用一套系统的方法来了解用户独特的业务连续性和可用性需求。IBM可以帮助用户构思和架构一套连续性规划。该规划可以使中断的威胁降到最低或消除中断威胁,充分考虑最关键需求的优先级,并将恢复时间降到最短。IBM连续性解决方案采用了基础架构管理方面(存储管理方面领先的自动化软件、服务器供应和端到端的可用性管理)的先进技术和最佳实践经验。
IBM使用自动化、前瞻性和适应性功能,将现场和非现场的备份功能结合起来满足用户的独特需求。通过IBM系统存储部提出的基于GDOC和存储HA的解决方案,可以真正地帮助客户实现业务的连续运转,保证了用户可以在IT技术层实现第七级的业务连续性解决方案。
同时配合IBM业务连续性和灾难恢复方法论,由分析评估、设计实施和维护管理组成一个循环往复的闭合系统,推动企业的业务连续和灾难恢复能力不断提升。
这个方法论将贯穿于IBM所有的业务连续性和灾难恢复服务当中。循环前进的方案体现了IBM对客户长期技术支持的承诺。IBM提供的服务将始终与环境变迁保持同步,并根据最新的技术、客户的需求及时进行服务升级及补充,以确保企业的连续运作,实现企业的灾难恢复能力的螺旋形上升,使业务连续性计划与外界环境变同步发展。
三、业务连续性管理(BCM)与业务连续性计划(BCP)
业务连续性管理(BusinessContinuityManagement,BCM),是一项综合管理流程,使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标在于提高企业的风险防范能力,有效地响应非计划的业务破坏并降低不良影响。
3.1业务连续管理(BCM)十大最佳IT实践标准之一
1. 项目启动和管理
确定业务连续性计划(BCP)过程的需求,包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。
2.风险评估和控制
确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
3.业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。
4.制定业务连续性策略
确定和指导备用业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能。
5.应急响应和运作
制定和实施用于事件响应以及稳定事件所引起状况的规程,包括建立和管理紧急事件运作中心,该中心用于在紧急事件中发布命令。
6.制定和实施业务连续性计划
设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。
7.意识培养和培训项目
准备建立对机构人员进行意识培养和技能培训的项目,以便业务连续性计划能够得到制定、实施、维护和执行。
8.维护和演练业务连续性计划
对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率,并使用简明的语言报告验证的结果。
9.公共关系和危机通信
制定、协调、评价和演练在危机情况下与媒体交流的计划。制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主/股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。确保所有利益群体能够得到所需的信息。
10.与公共当局的协调
建立适用的规程和策略用于同地方当局协调响应、连续性和恢复活动以确保符合现行的法令和法规。
3.2业务连续性计划(BCP)应急处置预案
业务连续性计划(BusinessContinuityPlanning,BCP)是一套事先被定义和文档化的计划,明确定义了恢复业务所需要的关键人员、资源、行动、任务和数据。需要考虑的问题包括:关键业务数据被彻底破坏,只能用昨天的备份恢复,该怎么办?服务器瘫痪,该怎么办?技术更新换代,怎么样对业务影响最小?发生了灾难事件,该怎么办?IT系统恢复是否就可以开放业务运营?
BCP的内容不应该只局限在IT方面,应该涵盖如下几个方面:
- 应急响应计划(业务连续性管理组织结构、应急初始评估流程、灾难宣布流程、灾难评估流程);容灾恢复计划(IT切换流程/步骤/启用条件、IT回切流程/步骤/启用条件);
- 运维恢复计划(ORP);
- 业务恢复计划。
BCP必须简单有效,定期演练,演练之前充分准备,遵守相关流程,从而保持业务连续性计划的有效性。演练的关键点在于通过真实的演练来检验并提高,演练规划要详细、模块化,演习手册要能满足指挥员和操作员不同的需求,演习结果要量化衡量。每次演练都有新的问题发生,在事前不要给领导100%的预期,因为演练的目的是要成长和提高,通常实现80%的目标就已经是一种成功。
3.3业务连续性计划(BCP)的基本要素
笼统地说,BCP的目标只有一个,那就是确定并减少危险可能带来的损失,有效地保障业务的连续性。而有关BCP的一些特定目标我们将在以下各个部分中加以描述。
BCP实施的最终结果是:
- 一组防范危险的评测指标;
- 一支执行团队,在经过培训后可以处理各种危险事件;
- 一套计划,提供危险发生时的路线图。该计划应该是充分和完备的,必须详细落实到该计划实施范围内的每一个单位、人员或设备。
每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色,彼此之间不会完全一致,但大致上说来,一个完备的BCP主要是由以下一些关键部分构成的:
3.3.1. 危险评估
危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是:
- 各种区域性的天然灾难,如洪水、地震、疫病等;
- 人为事故或蓄意破坏造成的严重灾难,如火灾、恐怖主义袭击等;
- 安全威胁、硬件、网络或通信故障;
- 灾难性的应用系统错误。
所有的危险都应纳入企业的危险评估范围,并且应对各种危险的可能来源地进行较准确的定位。对于每一种危险的来源都应该认识到:
- 危险的类型;
- 危险的程度;
- 危险发生的可能性。
比如说,如果按照有无警示性先兆来分,各类危险还可以分为:
- 有些危险可能没有任何先兆而突然发生,无法事先防范;
- 有些危险可以有一定的先兆,可以迅速启动应急计划加以防范,比如疫病的传播;
- 有些危险可能从来不会发生。
如果按照危险的破环类型或程度来分,它们对业务的影响可以分为:
- 经营场所及设备完全破环;
- 经营场所及设备部分破环;
- 经营场所及设备完好,但人员不能进入,比如疫病的隔离、恐怖威胁造成的人员输散等。
显然,对于企业来说,一个完备的BCP必须尽可能多地考虑到所有可能的危险情况,只有处理灾难性事件的计划而没有处理应用系统失误的计划,这样的BCP是不完备的;反之亦然。
企业所制定的BCP应该同时兼顾两个方面——预防和控制。例如,人为事故和蓄意破坏可以通过物理安全和个人行为的评测来预防。而应用系统的错误则可以通过对软件的有效评测与测试来预防。
危险评估的最后结果应该是一份有关危险效益分析的详细陈述报告,要有对危险的精确描述、哪些危险可能发生,以及需要采取的保障业务连续性和缓和危险的措施,同时要有因为克服了危险而带来的收益分析。这份报告还应该描述清楚任何现有的前提或者限制因素。
3.3.2. 业务影响分析(BIA)
业务影响分析(BusinessImpactAnalysis)实质上就是对关键性的企业功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析。
对于企业业务运营的关键人员来说,他们需要分析:
A.影响
- 哪种功能对于企业的整体战略而言是生死攸关的
- 该功能在多长时间内失效不会造成影响和损失
- 企业的其他业务功能由于该功能的失效会受到何种影响——运营影响分析
- 该功能的失效可能造成的收入影响——财务影响分析
- 该功能是否会对客户关系造成影响——客户信心的损失
- 该功能是否会对市场份额造成影响——市场占有率的下滑
- 该功能是否会对企业在行业中的地位造成影响——企业竞争力的损失
- 该功能是否会影响今后的销售——机会的丧失
- 什么是最大的/可承受的/可允许的失效
B.业务恢复需求
- 要使该功能连续,需要哪些资源和数据纪录
- 最少的资源需求是什么
- 哪些资源可能来自企业外部
- 它与企业其他功能的依赖关系以及依赖程度
- 企业的其他功能与该功能的依赖关系以及依赖程度
- 该功能与企业的外部业务/供应商/其他厂商的依赖关系以及依赖程度
- 在缺少试验环境的情况下进行恢复,需要采取怎样的预防措施或检验手段
在进行了这些分析之后,才有可能对企业的各种功能进行分类:
a) 关键功能——如果这类功能被中断或失效,就会彻底危及企业的业务并造成严重损失。
b) 基础功能——这些功能一旦失效将会严重影响企业长期运营的能力。
c) 必要功能——企业可以继续运营,但这些功能的失效会在很大程度上限制企业的效率。
d) 有利功能——这些功能对企业是有利的;但它们的缺失不会影响企业的运营能力。
根据各种功能的恢复需求,企业便可为上述各类功能制定标准的恢复时间架构。例如,关键功能<1天;基础功能:2~4天;必要功能:5~7天;有利功能:>10天。
影响分析可以帮助企业确定各类业务功能的优先顺序,换句话说,也就确定了各业务功能的优先恢复顺序。
BIA有助于定义恢复对象。在进行了影响分析之后可能会发现,在一次灾难之后恢复业务运营时,首先恢复部分功能就足够了,比如说在24小时内先恢复日常业务的40%就够了。
详细定义好在灾难或业务中断之后保障业务功能运营的资源需求也是可能的。这些资源需求包括基础设施、人力资源、文档、记录、设备、电话、传真机等,无论需要什么资源都要有完备的规范要求。拥有适当的细节要求是非常重要的,因为在危险事件发生时,会产生一定程度的慌乱,到那时再决定这类细节已经不可能了。
成本因素在进行影响分析时也是不能忽略的。我们需要记住以下一些事项:
- 收入的损失和商机的丧失与恢复所需的时间直接成正比
- 一种恢复策略的成本与恢复所需的时间成反比
- 可能的恢复策略的成本必须和在采纳该策略之前由于业务功能中断而造成的实际损失进行比较。如果所建议的恢复策略的成本远高于预计的成本,那么这种策略就是不可取的。
3.3.3. 处置预案及处置策略(BCP)
BCP应包括以下策略:
A.预防预防的目的在于减少灾难发生的可能性。
有关预防的策略应该包括制止和预防控制。制止控制可以减少危险的可能性。预防控制则是保护企业的弱点区域,以防御危险的发生并降低其影响。这两类控制在实际运营中广泛存在,比如经营场所的安全、人员控制、相关基础设施(如UPS、后备电池、烟火探测器、灭火器等)、软件控制、相关的存储和恢复等。
企业希望保障其资源(包括信息资产)的可用性和安全性,其安全策略必须针对这些对象而制定,并且提供有关资源使用和管理的指南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后,才可能拿出实施安全策略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和测试。
如果一种安全策略,能将预防措施都部署到位,可以监控对系统的入侵并防范那些试图破坏系统的行为,那么其本身就是一种制止控制。预防计划的执行必须小心谨慎。必须保证实施安全策略时既不能对日常业务带来限制,出现瓶颈,也不能引起可用性问题,或者给系统的访问和使用带来障碍。
B.响应响应就是当危险发生时的反应。
它必须能够阻止危险的进一步扩大,评估危险的程度,通过与外部世界的正常通信联络挽回企业的声誉,并启动必要的恢复时间表。
对业务中断的第一反应应该是告知所有相关的人员。如果危险有事前警示的话(比如这次的非典爆发),那么这种告知就可以提前进行。及时的告知非常重要,因为这可能会给阻止危险的进一步扩大创造机会。如果在适当的时机执行一次关机、一次转换或者一次撤离,甚至有可能完全防止危险的发生。但是这需要有诊断或探测控制的存在。这类控制或者可以持续扫描以探测发生中断的征候(网络、服务器),或者可以从外部资源搜集信息(自然灾害)。
准确的告知程序必须事先制定好。必须清楚地记录在案:需要告知谁,怎样告知,由谁告知,而且还得有逐步扩大的机制。
在BCP中必须设立好一棵告知树。最初的告知发送给一组人,然后再由他们中的每个人去告知另一组人,依次类推。属于这棵告知树的人都有不同的责任和作用,所涉及的人员应包括:
- 管理团队——需要获得有关危险发展状况的信息。该团队有权力启动紧急响应体系和下一步的行动。管理团队还要负责与媒体、公众、客户以及股东们打交道。
- 危险评估团队——需要立刻对危险进行评估,评价业务中断的严重程度。
- 技术团队——应当为关键决策制定者如何采取下一步BCP行动提供服务。
- 运营团队——应当执行BCP的实际运作。
还有很重要的一点就是每一个团队都应明确第二负责人。万一第一负责人没有通知到或者无法负起责任,那么必须告知第二负责人。告知可以使用各种工具或手段:如手机、呼机、短信、电话和E-mail。每个团队都应当有相应的配备。
危险评估团队应该是最早(或者与管理团队同时)被告知的。他们应当最早来到现场,以便评估所遭受的危险程度和级别。如果工作现场已经遭到破坏,那么他们就应该做好各项准备,一旦允许进入现场就开始工作。
评估过程本身也应有计划地进行,必须与保障业务连续性的优先顺序密切相关。这就是说评估团队应当意识到危险所影响到的工作区域和工作流程是否对整个业务的运行至关重要。这将有助于他们优化其评估进程,同时也可正确地关注关键性工作区域。这支团队需要察看以下事项:
- 中断的原因是什么
- 阻止危险扩大的前景如何
- 基础设施和设备受损情况
- 业务受影响状况
- 关键记录受损情况
- 可以挽回什么损失
- 什么设备需要修理、恢复和更换
有了危险评估团队提供的有关受损程度和受损区域的详尽信息,技术团队便可立刻投入工作。
BCP必须拥有一组基于业务影响分析和持续性目标的预设参数,这些参数应该能够区分出中断和灾难的不同性质,同时也能评价出危险的严重程度。
当危险评估团队和技术团队开始工作时,其他BCP团队也应依照警示告知到位,以便按照连续性计划采取应当采取的行动。
C.业务接续(Resumption)
业务接续只涉及那些时间敏感的业务流程,要么是在中断发生后立即接续,要么是在可允许的一段平均时间后接续,但不是对所有业务的恢复。
一旦BCP被激活,命令将从指挥中心发出。这个指挥中心应该是在一个不同于日常经营场所的地方。该中心应配备相应的通信设施、办公设备,可能的话还应该构建局域网和VPN。
需要做出的第一个决策是,关键性业务的运营能否在日常的工作场所或者在一个备选场所很快恢复运营。
备选场所可以分成以下几类:
(a) 空场所(ColdSite)——该场所只需配备必要的环境条件即可,比如说,应配备电话插座、电源以及UPS等,但要避免其内有任何其他设备,它的作用就是准备将保障业务持续所需的全部设备搬移进来。
(b) 热场所(HotSite)——该场所是一个完全的备份场所,有人员工作的空间,所有设施一应俱全,数据备份也是最新的。一旦灾难发生,BCP团队只需进驻该场所就可开始工作,不会有额外的时间拖延。
(c) 温场所(WarmSite)——该场所实际上就是配备了部分设备的热场所,数据备份不算最新,但也不能太旧。
(d) 机动场所(MobileSite)——该场所是一个具有较小设施配置的机动场所。可以位于主要经营场所附近,因而也可节省关键人员在路程上花费的时间。
(e) 镜像场所(MirroredSite)——该场所在所有方面都与主要经营场所完全相同,信息和数据也与主要场所同步。实际上该场所就是正常状况下的一个冗余场所,因而通常也是成本最高的一种选择。
在备选场所(或主要场所,如果仍然可用的话),工作环境需要恢复。通信、网络和工作站需要设置。与外界的联系必须持续畅通。企业可以首先手动恢复一些业务,直到关键的IT业务可以继续运行为止。当然,如果恢复计划(下面就要讲到)允许,那么关键业务功能也可采用自动方式迅速恢复。
D.业务恢复(Recovery)
业务恢复是启动时间敏感度稍低一些的业务流程。业务恢复的开始时间要取决于接续那些时间敏感的业务流程需要的时间。
在进行业务恢复的场所(可以是主要经营场所或备选场所),需要在备份的设备上恢复操作系统,并按照关键性次序恢复必要的应用系统。当服务于关键功能的应用系统恢复之后,则需要从备份磁带或其他异地备份媒介上恢复数据。
备份数据也必须经常保持同步,也就是说,重建的数据应当与业务中断之前的某一预先确定的时点的数据相吻合。该时点的选择取决于关键业务的要求。由于商业数据有各种不同的来源,因此重建的每一种数据都必须达到所需的数据一致性状态。经过同步的数据必须经常进行复查并保持其有效。这种复查必须强制执行,因为在危险发生的紧急关头,不可能再有闲暇来测试数据是否可用。因此,必须要有一套清楚的方法、策略或复查清单来执行这个让数据保持其有效性的过程。
一旦数据达到了可靠的状态,企业的事务就可以加速运行,因为灾难已经得到处理,所有的关键性功能都已得到接续。逐步地,其他业务也可开始恢复其功能。
E.复原(Restoration)
复原则是修复并恢复主要的经营场所。最终是要在原有的场所或者一个全新的场所完全恢复所有的业务流程。
就在恢复团队开始从某个备选场所开始支持恢复运营的时候,对主要场所的全部功能进行复原的工作也可以展开。如果原有场所在灾难后的确无法恢复,则需要在一个新的场所进行复原工作。恢复团队和复原团队的成员有可能是同一组人。
必须确保该复原场配备必要的基础设施、设备、硬件、软件和通信设备。而且要对该场所能否处理全部的业务流程进行测试。
执行上述所有行动的计划应当包括一个时间跨度定义,确定在某一跨度内必须完成哪些行动。这个时间跨度的定义必须与企业的恢复目标相一致。BCP团队必须意识到,如果在任一时点,他们的行动超出了规定的时间跨度,那么这个意外事件就必须立刻上报到指挥中心,由指挥中心马上制定相应的解决办法,否则企业就无法实现其恢复目标。
3.3.4. 指标定义
在危险评估和业务影响分析阶段之后,保持业务连续的基础业务就已经显现出来。我们在上面已经说过,按照业务术语可将企业的业务功能分成4类,即关键业务、基础业务、必要业务和有利业务。
这种分类可以让业务连续的优先顺序十分清晰,这样,业务恢复的目标就可以用下面的指标进行量化:
- 恢复的时间目标(RTO)——最大可允许中断时间
- 恢复的时点目标(RPO)——数据损失可允许的最远回溯时点
- 由于引进了BCP的评测指标而导致的企业性能退化
- 实施BCP的成本
参考资料:
1、同创永益 备份、容灾、业务连续性?有什么区别?;
2、业务连续性管理(BCM)与业务连续性计划(BCP)的区别.
好文章!技术活,当赏??