高效IT灾难恢复计划应该涵盖的7大要素

安全
您的灾难恢复计划考虑得周全吗?它上次进行更新和测试是什么时候?您是否考虑过采用新技术和服务,使灾难恢复工作变得更容易?以下为您列出了IT灾难恢复计划应该涵盖的7大关键事项,一起来看看吧。

由于自然和人为灾害,企业网络和数据访问可能会毫无征兆地被中断。当然,您可能无法阻止所有这一切的发生,但是如果有一个好的灾难恢复计划,您就可以更好地应对这些意外事件。

飓风、龙卷风、地震、火灾、洪水、恐怖袭击以及网络攻击,您要知道所有这些问题都可能会随时发生在您的公司。您可能也已经制定了灾难恢复(DR)计划,来保护企业的数据、员工和业务安全。

[[230578]]

但是您的灾难恢复计划考虑得周全吗?它上次进行更新和测试是什么时候?您是否考虑过采用新技术和服务,使灾难恢复工作变得更容易?以下为您列出了IT灾难恢复计划应该涵盖的7大关键事项,一起来看看吧:

1. 分析所有潜在的威胁及其可能发生的反应

研究公司IDC的数据恢复研究总监Phil Goodwin建议称,您的灾难恢复计划应该考虑到“潜在中断”对您业务全方位的影响。然后,您应该针对每种情况制定一份恢复计划。例如,Goodwin表示:

“如果发生了一次网络攻击,关闭了华盛顿特区(D.C.)的服务器,那么您有针对该场景的过渡计划吗?”

当然,并非所有场景都会发生。所以,应该尽您所能地去尝试预测哪些潜在的中断最有可能出现。Goodwin指出,不幸的是,网络攻击正在成为“最有可能发生的场景”。因此,在您的灾难恢复计划中,应该将针对网络攻击的计划置于优先位置。

2. 业务影响分析(business impact analysis,简称BIA)

SAP公司总裁兼首席执行官Mark Testoni建议称,为了有效地确定灾难恢复优先级,应该对每个主要信息系统进行业务影响分析。

跟据Gartner的说法,业务影响分析会“识别和评估自然以及人为灾害对业务运营产生的潜在影响(金融、生命/安全、监管、法律/合同、信誉等等)。”

Testoni指出,

“对主要IT系统进行一次全面的业务影响分析,将有助于确定系统的优先级和相关性。这有助于对系统进行优先级排序,制定恢复策略和减少损失的优先事项。业务影响分析检查三个安全目标:保密性、完整性以及可用性。制定一个全面的灾难恢复计划的标准方法是:首先制定政策,然后进行业务影响分析,通过业务影响分析建立优先次序后,制定应急策略,并在应急计划中正式实施。”

您可以在Ready.gov和国家标准与技术研究所等网站上,找到业务影响分析模板和问卷。

3. 员工

Goodwin表示,许多企业在其灾难恢复计划中常犯的错误是“过分关注技术,而不太重视人员和过程”。IT是一个使能者(enabler)。永远不要忘记,您不仅仅是要恢复数据和服务器。他建议,可以考虑如何在整个企业环境内制定一个灾难恢复计划。他说,

“您需要从您的用户社区获得哪些行为?灾难发生后,他们需要什么样的帮助才能重新启动并运行?”

FBI网络部前安全顾问兼发言人John Iannarelli表示,除此之外,还应当确定负责应对危机的关键人员;确保您有他们的电子邮件、手机号码以及家庭座机号等信息;明确危机处理期间的当班者;知道您应向谁求助,例如执法部门,如果可能的话,在灾难发生前就要与当局建立好联系;事先确定好在灾难发生时,谁将代表公司面对受害者、客户和员工。最后,他还补充说,发言人还需要想好打算说什么,打算披露多少信息,以及如何处理好让那些怀疑贵公司业务能力的人感到放心。

4. 更新

Gartner公司的IT基础设施战略研究总监Mark Jaggers指出,组织易犯的另一重大错误,是在对其内部系统进行更改后(例如进行了重大的软件更新),并没有更新其灾难恢复计划。除非考虑到目前使用的所有技术、系统和应用程序,否则您的计划并不完整。

此外,自制定完成灾难恢复计划以来,可能还会有新的技术或产品出现。灾难恢复计划是基于计划完成时,对可用过程和工具的假设。网络弹性公司Veriflow的产品管理副总裁Milind Kulkarni指出,

“由于如今的技术发展比以往任何时候都更快,创新也总是会从意想不到的地方涌现出来,这些假设可能会发生重大变化。计算机科学和预测算法的进步,以及价格合理的超强计算能力等因素,促进了新方法和解决方案的出现,保证了IT系统的弹性、正常运行时间、可用性和灾难恢复能力。”

例如,通过亚马逊的AWS Snowball等服务,企业可以把PB级(千万亿字节)的业务数据转移到现场专用安全设备上。传输完成后,就可以将设备发送到您选择的AWS中心,在该中心将您的数据传送到云端。Kulkarni指出,AWS Snowball和其他类似的服务为企业提供了创新且价格合理的新方法,来确保数据冗余——这是任何一个灾难恢复计划的基础。

5. 优先事项

Iannarelli建议称,确定什么是最重要的。并不是所有的业务都值得保存或者需要保护。当然,您的个人信息是的!但任何已公开发布的信息都不那么重要。试想一下,如果您的房子着火了,在您跑出家门时最想抓在手里带出火海的是什么?

6. 定期地练习和演练

Kulkarni警告称,只是制定灾难恢复计划是不够的。还需要定期对该计划进行测试,人们需要实践练习,就像学校会定期让学生参加消防和应急演习一样。如果不经常演练,该计划将是无效的。

7. 考虑灾难恢复即服务(disaster recovery as a service,简称DRaaS)

将数据操作业务转移到云端的做法日益流行,这有助于实现灾难恢复即服务(DRaaS)。Goodwin认为,诸如iland和IBM等提供商所提供的按需服务,使灾难恢复工作变得更容易且更经济,同时也让更多的企业能够更好地应对灾难。

Goodwin建议称,在考虑DRaaS时,需要询问供应商将如何测试和验证数据及工作流程的恢复状态,因为有些测试可能会比其他测试的范围要广。

不要等待

Iannarelli表示,大多数公司犯下的最大错误,就是等到发生网络攻击或者灾难之后,才去想下一步该怎么做。他说,

“在联邦调查局工作的20多年时间里,我从来没有见过任何人因为数据泄露而被公司解雇。但我看到很多人因为没有能处理好泄露事件而被解雇。”
责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-11-28 10:25:32

灾难恢复DR数据备份

2009-02-18 10:19:00

2015-11-10 09:50:22

2022-06-20 08:00:00

Kubernete容器集群

2022-07-06 09:54:27

物联网安全物联网

2018-04-18 10:28:15

数据中心灾难恢复DR

2017-09-20 18:45:42

系统运维备份

2009-06-19 08:33:36

Windows 7微软操作系统

2015-11-19 19:28:33

企业

2021-07-05 09:18:08

UPS电源

2011-09-02 09:44:08

虚拟化服务器数据中心

2020-10-13 10:27:43

灾难恢复备份存储

2013-09-18 20:14:46

云灾难恢复

2010-01-06 15:26:14

JSON语法

2011-02-15 09:03:55

广域网数据中心网络灾难恢复

2010-08-26 22:27:58

2023-11-27 15:27:21

2020-12-02 10:35:09

云端灾难恢复云迁移

2010-10-14 10:25:41

数据中心灾难

2011-06-29 10:13:49

服务器灾难恢复
点赞
收藏

51CTO技术栈公众号