初入企业
作为一名安全人员进入一家新企业,很容易将过往的实践经历和行业最佳实践经验带入新的岗位中,虽然这种做法很容易发现差距,但很多时候不适合当前企业状况。
这种情况我们需要逐步开展工作,而不是根据经验急于求成。
第一步:与IT总监沟通了解当前企业最急迫的安全需求及正在进行的项目;
第二步:与Infra沟通了解网络架构及当前安全策略(这家企业第一次设置安全岗位,过往均为Infra兼任);
第三步:与应用Owner沟通,了解当前业务状态(如果正好碰到内审之类的一定要参与进去,能够更快了解安全状况);
第四步:根据实际项目与一线业务人员、合规部门、法务部门沟通(了解业务流程、业务需求、合规/法务需求)。
安全项目
根据前三步的沟通很快能够知道自己需要做什么,先顺着做,顺利开展工作后再考虑体系化安全。
灾难恢复安全标准
安全是为保障业务服务,保障企业高效连续发展,因此企业灾难恢复计划是一项对企业来说至关重要的策略和计划,以下列出了一些与灾难恢复相关的安全标准,企业应根据所处行业、国家的情况选择合适的安全标准。
| 国家 | 相关标准 | 相关条款 |
|---|---|---|
| 英国BSI | ISO/IEC 27031"业务连续性管理体系" | 帮助组织建立、实施、维护和改进业务连续性管理系统(BCMS) |
| 英国BSI | ISO/IEC 24762"IT-灾难恢复服务" | 支持ISO/IEC 27031,并提供关于选择恢复策略、设计恢复安排并实现恢复解决方案的具体方针 |
| 美国国家标准和技术研究所 | NIST SP 800-34"业务连续性计划大纲" | 为联邦信息系统定制应急计划的指导,但其内容也在非联邦和私营部门得到了广泛应用 |
| 美国ISACA | COBIT 2019 | 提供IT灾难恢复控制目标 |
| 信用卡公司联盟 | PCI DSS"支付卡行业数据安全标准" | 支付卡行业有关于灾难恢复、业务连续性相关的内容 |
| 美国国会 | HIPAA"健康保险可携性和责任法案" | 明确要求医疗服务提供者和公司实施灾难恢复计划 |
| 中国 | GB/T 20988—2007"信息安全技术 信息系统灾难恢复规范" | 信息系统的灾难恢复工作,包括灾难恢复规划和灾难备份中心的日常运行 |
灾难恢复计划路径
确定灾难恢复需求
1、通过CMDB或资产管理平台等形式收集当前应用系统、基础架构资源清单。
2、确定信息系统的资产价值,识别面临的威胁,识别脆弱性,分析各种威胁发生的可能性并定量或定性描述可能造成的损失,确定风险防范和控制措施。(GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南)
3、业务影响分析确定灾难恢复目标
采用定量和/或定性的方法,对各种业务功能的中断造成的影响进行评估,确定灾难恢复目标(RTO、RPO)
1)业务影响分析
评估业务中断对财务、运营、声誉等方面的影响,识别关键业务流程和资源。
①定量评估
- 使用财务模型分析关键业务中断造成的具体收入损失。计算中断时间与收入损失的关系。
- 评估客户流失的可能性。根据历史数据,确定中断时间和客户流失率的关系。
- 预测品牌和声誉损失对未来收入的影响。可以通过市场调研进行模型定量化。
- 估算遭受罚款或违约的风险和金额。
②定性评估
- 访谈业务主管,评估他们对不同中断时间情况下业务受影响的程度的看法。
- 考察同行业可容忍中断时间的基准水平。
- 分析未来计划推出的重要业务活动的时间表。
- 评估法规要求的时限及影响。
- 判断关键供应商中断是否会扩大影响范围。
- 考虑公共关系影响和舆论反应的严重程度。
2)设置优先级
根据业务影响分析,为各关键业务流程/资源设置恢复优先级。优先级越高,恢复时间目标越短。
3)设置RTO、RPO
①评估可承受中断时间:预测关键业务中断的最大允许时间,超过这个时间会造成无法接受的影响;
②根据优先级和可承受中断时间为各业务初步设置合理的恢复时间目标;
③识别业务流程对数据的依赖关系,评估可承受的数据丢失量;
④依据数据依赖分析为核心数据资源设置恢复点目标;
⑤评估实现RTO和RPO的成本,必要时进行调整以达到最优效益;
⑥通过演练测试RTO和RPO的可实现性,根据结果进行调整;
⑦business需求发生变化时重新进行评估,确保RTO和RPO与业务需求一致。
灾难恢复组织架构
设置应用系统灾难恢复组织架构可以考虑以下内容:
- 成立灾难恢复指导委员会,由高管组成,负责制定灾难恢复策略和监督实施。
- 组建应急管理团队,负责开发灾难恢复计划、管理日常工作、响应事件、组织演练等。
- 针对不同应用系统设立应用恢复组,每个小组负责对应系统的备份、恢复测试、执行具体的恢复操作。
- IT运维团队负责提供基础设施支持,辅助执行系统恢复。
- 业务部门代表加入恢复组织,确保满足业务需求。还需要考虑供应商代表。
- 恢复站点配备专职运维人员,管理站点设施,为灾难恢复提供稳定运行环境。
- 明确定义每个团队和角色的职责,设置恢复操作流程和沟通协调机制。
- 提供足够的资源和预算支持,包括人员、设备、运行经费等。
灾难恢复方案选择
我所在的企业业务已全部上云,所以方案选择方面尽量以Azure云原生服务为主,异云备份需要采用CloudEndure等工具进行在线复制迁移,大大提高迁移难度及企业成本。
Azure-->Azure方案(ASR)
ASR将物理机和虚拟机VM上运行的工作负载从主站点复制到辅助位置。主站点发生停机时,可以故障转移到辅助位置,从该位置访问应用。在主站点再次运行后,可以恢复到该位置。
关键能力:
- 自动保护和复制
- 可编排的灾备恢复计划
- 基于日志的连续复制
- 集中化管理、监控和预警
- 满足企业的RPO和RTO
- 支持Failback
- 不影响生产环境的模拟切换演练
![灾难恢复体系建设]( "灾难恢复体系建设")
灾难恢复演练
开展灾难恢复演练可以提高应对突发事件的能力,保证业务的连续性,同时验证灾难恢复方案的可行性,通过定期演练,可以持续提高企业的灾难响应和恢复能力。
开展灾难恢复演练的主要步骤如下:
- 确定演练目标:测试哪些方案或功能,达到什么效果。
- 制定详细演练方案:确定演练时间、地点、场景、参与人员、过程等。要有文档记录。
- 预测试硬件设备:提前检查硬件环境是否ready,避免影响演练。
- 准备测试数据:恢复演练使用测试数据而非实际生产数据。
- 执行演练:按照预定方案执行,同时记录过程、问题等。可以分阶段进行。
- 收集反馈:通过问卷、访谈收集参与人员的反馈意见。
- 分析结果:分析存在的问题和差距,提取改进建议。量化考核达成的指标。
- 改进优化:根据反馈制定后续优化措施,提高效能。
- 更新文档:更新灾难恢复计划和相关文档。
- 建立定期评审机制:如每年一次大型演练,配合业务变化进行。
灾难恢复教育培训
信息系统灾难恢复计划的教育培训是为了确保组织内部成员理解和熟悉信息系统灾难恢复计划的内容和流程,并具备必要的技能来有效执行计划。
确定培训目标:
- 了解信息系统灾难恢复计划的重要性和目的。
- 熟悉信息系统灾难恢复计划的各个组成部分和流程。
- 掌握应急响应和恢复措施的执行步骤。
- 培养员工对信息系统灾难恢复的责任意识和紧迫感。
识别目标受众:
- 确定参与培训的目标受众,包括信息技术部门的员工、关键岗位人员和其他需要了解计划的人员。
分析信息系统灾难恢复计划:
- 对现有的信息系统灾难恢复计划进行详细分析,包括计划的目标、策略、流程、责任分工、备份和恢复方案等。
制定培训计划:
- 根据目标受众和信息系统灾难恢复计划的内容,制定培训计划。确定培训的时间、地点、培训形式(如面授、在线、混合式)。
确定培训内容:
- 信息系统灾难恢复计划概述:介绍信息系统灾难恢复计划的重要性、目的和优势。
- 灾难风险评估:了解可能的灾难类型和风险,以及对信息系统的潜在影响。
- 应急响应流程:详细介绍信息系统灾难发生时的紧急响应步骤和流程。
- 恢复策略和措施:讲解不同类型的灾难恢复策略和措施,包括备份和恢复、灾难恢复设施的使用等。
- 测试和演练计划:介绍如何进行定期测试和模拟演练,以验证信息系统灾难恢复计划的有效性。
- 通信和协调:强调在灾难事件中的沟通和协调重要性,包括内部和外部的沟通渠道和协作方式。
选择培训方法:
- 根据目标受众和培训内容,选择适合的培训方法。可以使用面对面培训、虚拟培训、在线学习平台、案例分析、角色扮演、模拟演练等多种方式。
开展培训:
- 为培训师提供所需的教材、资源和培训工具。
- 在培训中使用实际案例和情景,以加强学习效果和参与度。
- 鼓励参与者提问、讨论和分享他们的经验和观点。
- 提供实际操作和模拟演练的机会,让参与者亲身体验信息系统灾难恢复的过程。
培训评估和反馈:
- 设计培训评估工具和问卷,以评估参与者对培训内容的理解程度和满意度。
- 收集参与者的反馈和建议,用于改进未来的培训计划。
持续培训和更新:
- 信息系统灾难恢复计划是一个不断演化的过程,因此需要定期进行培训和更新。
- 定期组织针对新员工或现有员工的培训,以确保他们了解最新的计划内容和最佳实践。
内部宣传和意识提升:
- 在组织内部进行宣传,提高信息系统灾难恢复计划的知名度和重要性。
- 制作宣传资料,如海报、宣传册等,以便员工随时参考和了解计划。
- 定期组织相关活动,如演习、讲座、研讨会等,以进一步提高员工的意识和参与度。
感兴趣的小伙伴,或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动,德斯克信息安全专家服务,为你解决信息安全问题!!!
原文始发于微信公众号(德斯克安全小课堂):灾难恢复体系建设
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论