1、信息安全技術教學課件 V2010.03 信息系統的災難備份信息系統的災難備份與恢復技術與恢復技術共共 2 20 0 頁頁第第 2 2 頁頁 / / 本章要點本章要點p信息系統的組成是多元的、復雜的，每一部分都可能因各種信息系統的組成是多元的、復雜的，每一部分都可能因各種原因發生故障。如何在災難發生時，保持系統的持續運行，原因發生故障。如何在災難發生時，保持系統的持續運行，將損失控制在最小范圍內，是技術人員首先要考慮的。災難將損失控制在最小范圍內，是技術人員首先要考慮的。災難備份與恢復技術就是為這一目的而部署的。備份與恢復技術就是為這一目的而部署的。 p為了保證發生硬件故障、突發事故等災難時，系

2、統能正常地為了保證發生硬件故障、突發事故等災難時，系統能正常地持續運行，將損失控制在最小范圍內，持續運行，將損失控制在最小范圍內，2005年國家信息化年國家信息化辦公室制訂了辦公室制訂了重要信息系統災難恢復指南重要信息系統災難恢復指南，2007年正年正式實施式實施信息系統災難恢復規范信息系統災難恢復規范（GBT 20988-2007），），針對針對GB17859-1999 計算機信息系統安全保護等級劃分計算機信息系統安全保護等級劃分準則的要求，準則的要求，為每一等級分別提出了災難備份與恢復的技術、為每一等級分別提出了災難備份與恢復的技術、部署和實施管理等要求部署和實施管理等要求。p意在意在“未

3、雨先綢繆未雨先綢繆”、“防患于未然防患于未然”。 共共 2 20 0 頁頁第第 3 3 頁頁 / / 一、一、災難備份與災難恢復災難備份與災難恢復p人類無法避免天災人禍，而當信息系統日益成為國人類無法避免天災人禍，而當信息系統日益成為國家的重要基礎設施時，任何天災人禍對家的重要基礎設施時，任何天災人禍對信息系統的信息系統的破壞都有可能影響到國家安全、人民利益、社會穩破壞都有可能影響到國家安全、人民利益、社會穩定，關系到每一個老百姓的切實生活定，關系到每一個老百姓的切實生活。p據美國的一項研究報告顯示，在災害之后，如果無據美國的一項研究報告顯示，在災害之后，如果無法在法在14天內恢復業務數據，天

4、內恢復業務數據，75%的公司業務會完的公司業務會完全停頓，全停頓，43%的公司再也無法重新開業，的公司再也無法重新開業，20%的的企業將在兩年之內宣告破產。美國企業將在兩年之內宣告破產。美國Minnesota大學大學的研究表明，遭遇災難而又沒有恢復計劃的企業，的研究表明，遭遇災難而又沒有恢復計劃的企業，60%以上將在兩到三年后退出市場。在所有數據安以上將在兩到三年后退出市場。在所有數據安全戰略中，全戰略中，數據備份是最基礎的工作數據備份是最基礎的工作。共共 2 20 0 頁頁第第 4 4 頁頁 / / 一、一、災難備份與災難恢復災難備份與災難恢復p1、系統防護與保護系統防護與保護p網絡環境下的

5、數據安全網絡環境下的數據安全應分為兩個層面：數據的應分為兩個層面：數據的靜態安全靜態安全和和數據的數據的動態安全動態安全。靜態安全是指防止存放在數據服務器存儲靜態安全是指防止存放在數據服務器存儲設備內的數據被盜竊、修改、刪除和破壞設備內的數據被盜竊、修改、刪除和破壞；而；而動態安全則指動態安全則指在數據傳輸交易過程中，防止被截獲或篡改在數據傳輸交易過程中，防止被截獲或篡改。p系統防護技術，指從桌面系統至網絡環境到數據服務器的防系統防護技術，指從桌面系統至網絡環境到數據服務器的防病毒、防黑客入侵技術，重點在于病毒、防黑客入侵技術，重點在于“防防”。p系統保護技術，指數據備份、快速恢復、異地存放、

6、遠程控系統保護技術，指數據備份、快速恢復、異地存放、遠程控制、災難恢復等技術，重點在于制、災難恢復等技術，重點在于“保保”。 p系統防護技術是網絡安全的課題，而系統保護技術主要是指系統防護技術是網絡安全的課題，而系統保護技術主要是指數據備份及恢復技術（本章）。數據備份及恢復技術（本章）。 共共 2 20 0 頁頁第第 5 5 頁頁 / / 一、一、災難備份與災難恢復災難備份與災難恢復p2、災難備份、災難備份p災難災難是指由于人為或自然的原因，造成系統運行嚴重故障或癱瘓，使信是指由于人為或自然的原因，造成系統運行嚴重故障或癱瘓，使信息系統支持的業務功能停頓或服務水平不可接受、達到特定的時間的突息

7、系統支持的業務功能停頓或服務水平不可接受、達到特定的時間的突發事件。包括地震、火災、水災等自然災難，以及戰爭、恐怖襲擊、網發事件。包括地震、火災、水災等自然災難，以及戰爭、恐怖襲擊、網絡攻擊、設備系統故障和人為破壞等。絡攻擊、設備系統故障和人為破壞等。p所謂所謂災難備份災難備份，是指利用技術、管理手段以及相關資源，確保已有的關，是指利用技術、管理手段以及相關資源，確保已有的關鍵數據和關鍵業務在災難發生后在確定的時間內可以恢復和繼續運營的鍵數據和關鍵業務在災難發生后在確定的時間內可以恢復和繼續運營的過程。過程。p災難備份三要素災難備份三要素：一是系統中的部件、數據都具有：一是系統中的部件、數據都

8、具有冗余冗余性，即一個系統性，即一個系統發生故障，另一個系統能夠保持數據傳送的順暢；二是具有發生故障，另一個系統能夠保持數據傳送的順暢；二是具有長距離長距離性，性，因為災害總是在一定范圍內發生，因而保持足夠長的距離才能保證數據因為災害總是在一定范圍內發生，因而保持足夠長的距離才能保證數據不會被同一個災害全部破壞；三是災難備份系統追求全方位的不會被同一個災害全部破壞；三是災難備份系統追求全方位的數據復制數據復制，上述三要素也稱為上述三要素也稱為“3R要素要素”（Redundance、Remote、Replication）。）。 備份備份=拷貝拷貝+管理管理 共共 2 20 0 頁頁第第 6 6

9、頁頁 / / 一、一、災難備份與災難恢復災難備份與災難恢復3、災難恢復、災難恢復p所謂所謂災難恢復災難恢復，是指將信息系統從災難造成的故障，是指將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態，并將其支持的或癱瘓狀態恢復到可正常運行狀態，并將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀業務功能從災難造成的不正常狀態恢復到可接受狀態的活動和流程。顯而易見，災難恢復比災難備份態的活動和流程。顯而易見，災難恢復比災難備份的外延要大。的外延要大。p實現實現災難恢復的基礎是有良好的災難備份規劃、實災難恢復的基礎是有良好的災難備份規劃、實施和日常管理措施施和日常管理措施。災難恢復是一項既包

10、括。災難恢復是一項既包括技術技術，也包括也包括業務業務、管理管理的周密的周密的系統工程的系統工程。共共 2 20 0 頁頁第第 7 7 頁頁 / / 數據容災與數據備份的聯系數據容災與數據備份的聯系 1 1數據備份是數據容災的基礎數據備份是數據容災的基礎 數據備份是數據高可用的最后一道防線，其目的是數據備份是數據高可用的最后一道防線，其目的是為了系統數據崩潰時能夠快速地恢復數據。為了系統數據崩潰時能夠快速地恢復數據。 2 2容災不是簡單備份容災不是簡單備份 真正的數據容災就是要避免傳統冷備份所具有先天真正的數據容災就是要避免傳統冷備份所具有先天不足，它能在災難發生時，全面、及時地恢復整個系統。

11、不足，它能在災難發生時，全面、及時地恢復整個系統。容災按其容災能力的高低可分為多個層次。容災按其容災能力的高低可分為多個層次。3 3容災不僅是技術容災不僅是技術 容災是一個工程，不僅包括容災技術，還應有一整容災是一個工程，不僅包括容災技術，還應有一整套容災流程、規范及其具體措施。套容災流程、規范及其具體措施。 共共 2 20 0 頁頁第第 8 8 頁頁 / / 備份與容災的功能聯系備份與容災的功能聯系表表6-16-1項項 目目 數據備份技術數據備份技術容災技術容災技術防范意外事件防范意外事件 物理硬件故障物理硬件故障是是是是病毒發作病毒發作 是是 部分部分 人為誤操作人為誤操作 是是 部分部分

12、 人為惡意破壞人為惡意破壞 是是 否否 自然災害自然災害 否否 是是 保護對象保護對象 數據和文件數據和文件 是是 是是 應用和設置應用和設置 部分部分 是是 操作系統操作系統 部分部分 是是 網絡系統網絡系統 否否 是是 供電系統供電系統 否否 是是 系統恢復系統恢復 系統連續性系統連續性 不保證不保證 保證保證 數據損失數據損失 有少量損失有少量損失 完全不損失完全不損失 可恢復到時間點可恢復到時間點 多個多個 當前當前 其他方面其他方面 數據管理方式數據管理方式 搬移到離線搬移到離線 在線同步在線同步 適用系統規模適用系統規模 任何系統規模任何系統規模 大型系統大型系統 共共 2 20

13、0 頁頁第第 9 9 頁頁 / / 二、二、災難恢復關鍵技術災難恢復關鍵技術 1、災難備份技術災難備份技術 p一個完整的一個完整的災難備份系統主要由數據備份系統、備災難備份系統主要由數據備份系統、備份數據處理系統、備份通信網絡系統和完善的災難份數據處理系統、備份通信網絡系統和完善的災難恢復計劃組成恢復計劃組成。在災難備份系統建設中，數據備份。在災難備份系統建設中，數據備份是關鍵，如何將數據（包括系統、應用和業務等數是關鍵，如何將數據（包括系統、應用和業務等數據）完整、實時地復制到災難備份中心，是災難備據）完整、實時地復制到災難備份中心，是災難備份系統建設中首先要考慮的重點。份系統建設中首先要考

14、慮的重點。 p通過數據備份，一個存儲系統乃至整個網絡系統，通過數據備份，一個存儲系統乃至整個網絡系統，完全可以回到過去的某個時間狀態，或者重新完全可以回到過去的某個時間狀態，或者重新“克克隆隆”一個指定時間狀態的系統。一個指定時間狀態的系統。共共 2 20 0 頁頁第第 1010 頁頁 / / 二、二、災難恢復關鍵技術災難恢復關鍵技術 1、災難備份技術災難備份技術 p服務器集群和容災技術服務器集群和容災技術是保護系統的在線狀態，保是保護系統的在線狀態，保證數據可以隨時被訪問。證數據可以隨時被訪問。p數據數據備份是指數據從在線狀態剝離到離線狀態備份是指數據從在線狀態剝離到離線狀態的過的過程程 。

15、備份技術的目的，是將整個系統的數據或狀態。備份技術的目的，是將整個系統的數據或狀態保存下來，這種方式不僅可以挽回硬件設備損壞帶保存下來，這種方式不僅可以挽回硬件設備損壞帶來的損失，也可以挽回邏輯錯誤和人為惡意破壞的來的損失，也可以挽回邏輯錯誤和人為惡意破壞的損失。但是，數據備份技術并不保證系統的實時可損失。但是，數據備份技術并不保證系統的實時可用性。用性。 p在具有一定規模的系統中，在具有一定規模的系統中，備份技術、集群技術和備份技術、集群技術和容災技術互相不可替代容災技術互相不可替代。共共 2 20 0 頁頁第第 1111 頁頁 / / 二、二、災難恢復關鍵技術災難恢復關鍵技術 p數據備份方

16、式數據備份方式（1）全備份）全備份n全備份（全備份（Full Backup）是指對整個系統進行包括系統）是指對整個系統進行包括系統和數據的完全備份。和數據的完全備份。 （2）增量備份）增量備份n增量備份（增量備份（Incremental Backup）是指每次備份的數）是指每次備份的數據只是相當于上一次備份后增加的和修改過的數據。據只是相當于上一次備份后增加的和修改過的數據。 （3）差分備份）差分備份n差分備份（差分備份（Differential Backup）就是每次備份的數）就是每次備份的數據是相對于上一次全備份之后新增加的和修改過的數據。據是相對于上一次全備份之后新增加的和修改過的數據。

17、 共共 2 20 0 頁頁第第 1212 頁頁 / / 二、二、災難恢復關鍵技術災難恢復關鍵技術 p數據備份技術數據備份技術（1）基于磁盤系統的災難備份技術）基于磁盤系統的災難備份技術n分同步數據復制模式和異步數據復制模式兩種。分同步數據復制模式和異步數據復制模式兩種。 （2）基于軟件方式的災難備份技術）基于軟件方式的災難備份技術 n與操作系統平臺相關，而對應用程序是透明的。與操作系統平臺相關，而對應用程序是透明的。 （3）其它災難備份技術的解決方案）其它災難備份技術的解決方案n 通過磁帶庫技術實現數據遠程備份解決方案。通過磁帶庫技術實現數據遠程備份解決方案。n ORACLE、Sybase的數

18、據庫鏡像技術解決方案。的數據庫鏡像技術解決方案。共共 2 20 0 頁頁第第 1313 頁頁 / / 二、二、災難恢復關鍵技術災難恢復關鍵技術 2、數據的存儲備份技術數據的存儲備份技術 p數據的存儲備份技術是災難備份的另一關鍵技術。其中，存數據的存儲備份技術是災難備份的另一關鍵技術。其中，存儲優化是提高災難備份系統性能的重要指標之一。儲優化是提高災難備份系統性能的重要指標之一。p目前，常用的存儲優化技術有：目前，常用的存儲優化技術有：p直接連接存儲直接連接存儲DAS（Direct Attached Storage, DAS）：數據被存）：數據被存儲在各服務器的磁盤族或磁盤陣列等存儲設備中。儲在

19、各服務器的磁盤族或磁盤陣列等存儲設備中。 p網絡連接存儲網絡連接存儲NAS（Network Attached Storage, NAS）：數據）：數據的存儲（的存儲（DAS）和處理（服務器）功能分離。）和處理（服務器）功能分離。p存儲區域存儲存儲區域存儲SAN（Storage Area Network, SAN）：）：SAN是用是用于連接服務器和存儲裝置（大容量磁盤陣列和備份磁帶庫）的專用網絡。于連接服務器和存儲裝置（大容量磁盤陣列和備份磁帶庫）的專用網絡。 p虛擬存儲技術：虛擬存儲虛擬存儲技術：虛擬存儲(Storage Virtualization)，就，就是把多個存儲介質模塊（如硬盤、是把

20、多個存儲介質模塊（如硬盤、RAID等）通過一定的手等）通過一定的手段集中管理起來，所有的存儲模塊在一個存儲池中得到統一段集中管理起來，所有的存儲模塊在一個存儲池中得到統一管理。調配靈活、使用合理，是目前的發展方向之一。管理。調配靈活、使用合理，是目前的發展方向之一。共共 2 20 0 頁頁第第 1414 頁頁 / / 三、三、災難恢復的規劃與實施災難恢復的規劃與實施1、災難備份規劃災難備份規劃 p容災計劃包括一系列應急計劃：容災計劃包括一系列應急計劃：n業務持續計劃業務持續計劃(BCP-Business Continuity Plan)n業務恢復計劃業務恢復計劃(ERP-Business Re

21、covery Plan)n運行連續性計劃運行連續性計劃(COOP-Continuity of Operations Plan)n事件響應計劃事件響應計劃(IRP-Incident Response Plan)n場所緊急計劃場所緊急計劃(OEP-Occupant Emergency Plan)n危機通信計劃危機通信計劃(CCP-Crisis Communication Plan)n災難恢復計劃災難恢復計劃(DRP-Disaster Recovery Plan)等等共共 2 20 0 頁頁第第 1515 頁頁 / / 1、業務持續計劃、業務持續計劃(BCP-Business Continuity

22、Plan) 是一套用來降低組織的重要營運功能遭受未料的是一套用來降低組織的重要營運功能遭受未料的中斷風險的作業程序，它可能是人工的或系統自中斷風險的作業程序，它可能是人工的或系統自動的。業務持續計劃的目的是使一個組織及其信動的。業務持續計劃的目的是使一個組織及其信息系統在災難事件發生時仍可以繼續運作。息系統在災難事件發生時仍可以繼續運作。 共共 2 20 0 頁頁第第 1616 頁頁 / / 2、業務恢復計劃、業務恢復計劃(ERP-Business Recovery Plan) 業務恢復計劃業務恢復計劃(BRP)也叫業務繼續計劃，涉及緊也叫業務繼續計劃，涉及緊急事件后對業務處理的恢復。急事件后

23、對業務處理的恢復。BRP的制定應該與的制定應該與災難恢復計劃及災難恢復計劃及BCP進行協調。進行協調。BRP應該附加在應該附加在BCP之后。之后。 共共 2 20 0 頁頁第第 1717 頁頁 / / 3、運行連續性計劃、運行連續性計劃(COOP-Continuity of Operations Plan) 操作連續性計劃操作連續性計劃(COOP)關注位于機構（通常是關注位于機構（通常是總部單位）備用站點的關鍵功能以及這些功能在總部單位）備用站點的關鍵功能以及這些功能在恢復到正常操作狀態之前最多恢復到正常操作狀態之前最多30天的運行。天的運行。 共共 2 20 0 頁頁第第 1818 頁頁 /

24、 / 4、事件響應計劃、事件響應計劃(IRP-Incident Response Plan) 事件響應計劃事件響應計劃(IRP)建立了處理針對機構的建立了處理針對機構的IT系系統攻擊的規程。這些規程用來協助安全人員對有統攻擊的規程。這些規程用來協助安全人員對有害的計算機事件進行識別、消減并進行恢復。害的計算機事件進行識別、消減并進行恢復。共共 2 20 0 頁頁第第 1919 頁頁 / / 5、場所緊急計劃、場所緊急計劃(OEP-Occupant Emergency Plan) 場所緊急計劃場所緊急計劃(OEP)在可能對人員的安全健康、在可能對人員的安全健康、環境或財產構成威脅的事件發生時，為

25、設施中的環境或財產構成威脅的事件發生時，為設施中的人員提供反應規程。人員提供反應規程。 OEP在設施級別進行制定，在設施級別進行制定，與特定的地理位置和建筑結構有關。與特定的地理位置和建筑結構有關。 共共 2 20 0 頁頁第第 2020 頁頁 / / 6、危機通信計劃、危機通信計劃(CCP-Crisis Communication Plan) 機構應該在災難之前做好其內部和外部通信規程機構應該在災難之前做好其內部和外部通信規程的準備工作。危機通信計劃的準備工作。危機通信計劃(CCP)通常由負責公通常由負責公共聯絡的機構制定。危機通信計劃規程應該和所共聯絡的機構制定。危機通信計劃規程應該和所有

26、其他計劃協調，以確保只有受到批準的內容公有其他計劃協調，以確保只有受到批準的內容公之于眾，它應該作為附錄包含在之于眾，它應該作為附錄包含在BCP中。中。 共共 2 20 0 頁頁第第 2121 頁頁 / / 7、災難恢復計劃、災難恢復計劃(DRP-Disaster Recovery Plan) 災難恢復計劃災難恢復計劃(DRP)應用于重大的、通常是災難應用于重大的、通常是災難性的、造成長時間無法對正常設施進行訪問的事性的、造成長時間無法對正常設施進行訪問的事件。通常，件。通常，DRP指用于緊急事件后在備用站點恢指用于緊急事件后在備用站點恢復目標系統、應用或計算機設施運行的復目標系統、應用或計算

27、機設施運行的IT計劃。計劃。 共共 2 20 0 頁頁第第 2222 頁頁 / / 四、四、災難備份的等級劃分災難備份的等級劃分災難備份方案可分為七個等級。分別是（詳見表災難備份方案可分為七個等級。分別是（詳見表5-1）：）：p0級級無異地備份無異地備份p1級級實現異地備份實現異地備份p2級級熱備份站點備份熱備份站點備份p3級級在線數據恢復在線數據恢復p4級級定時數據備份定時數據備份p5級級實時數據備份實時數據備份p6級級零數據丟失零數據丟失 一個完整的災難備份方案應基于災難備份需求分析所得出一個完整的災難備份方案應基于災難備份需求分析所得出的各業務系統災難恢復目標，主要包括數據備份方案、備份的各業務系統災難恢復目標，主要包括數據備份方案、備份處理系統、災難備份中心建設、規程與管理制度。處理系統、災難備份中心建設、規程與管理制度。共共 2 20 0 頁頁第第 2323 頁頁 / / 三、三、災難恢復的規劃與實施災難恢復的規劃與實施2、災難備份建設流程災難備份建設流程 p建立災難備份的專門機構建立災難備份的專門機構p分析災難備份需求分析災難備份需求 p制定災難備份方案制定災難備份方案 p實施災難備份方案實施災難備份方案 p制定災難恢復計劃制定災難恢復計劃 p保持災難恢復計