灾备标准与灾备新技术探讨

灾备标准与灾备新技术探讨 博士 教授 灾备技术国家工程实验室 副主任 云安全技术北京市工程实验室 主 任 13911679579 邮 箱：yangxin@bupt.edu.cn 一、灾备国内外标准 二、灾备新技术探讨 三、云灾备概述 交流内容 四、灾备技术国家工程实验室 一、灾备国内外标准 二、灾备新技术探讨 三、云灾备概述 交流内容 四、灾备技术国家工程实验室 灾备的三个发展阶段 起源：20世纪70年代 美国 关注信息系统的灾难备份 从业务的角度关注灾难备份 从管理的角度关注灾备和业务连续 70-90年代 90年代-2000年 2000年以后 国际标准组织 /机构（1） 国家 组织/机构 发布文件或指南 美国 国际灾难恢复协会 （DRII） 《业务连续性计划操作实务 》等文件 美国国家标准和技术学会 （NIST） 《信息技术系统的应急计划指南 》 《信息技术系统风险管理的指南 》 《制定信息技术系统安全计划的指南 》 英国 金融服务管理局 （FSA） 《金融服务管理局事件管理：通用指南 》 《高级管理人员安排：制度及监控 》 从信息技术的角度 提出应急风险管理 和灾难恢复 提出制定业务连续性 管理计划的方法 国际标准组织 /机构（2） 国家 组织/机构 发布文件或指南 澳大 利亚 国家审计署 （ANAO） 《更佳业务连续管理实践指南 》 《业务连续性审计 》 新加 坡 金融管理部门 SPRING 等体系： 内控环节和审计环节的灾难恢复和业务 延续的规划和标准 —— ISO/IEC、COBIT、IBM等 系列灾备相关文件或指引 灾难恢复监管的体系是有国家范畴的，比如联邦范畴、 行业范畴等，标准非常多，没有进一步统一 国际灾难恢复标准一览（ 1） 标准名称 要点 IBM SHARE78标准 将灾难恢复分成了八个层次； 定义了异地灾备七个级别； 明确RTO、RPO、TCO三个主要参数 BS 25999:2007 业务持续性管理标准 BS 25999-1详细描述了制定 BC计划的 过程、原则和术语； BS 25999-2提出了业务持续管理体系 的建立、实施与文档化的具体要求。 ISO 27001 对业务连续性和灾难恢复管理要求 明确提出：业务连续管理的目标是防止 业务活动中断，保护关键业务过程免受 信息系统重大失误或灾难的影响，并确 保它们的及时恢复。 国际灾难恢复标准一览（ 2） 标准名称 要点 COBIT(信息系统和技术控制目标 ) 对业务连续性和灾难恢复要求 COBIT有一个专门的流程 DS4“保证服 务的连续性”对业务连续管理提出了要 求与相应的控制措施； COB