信息系统审计
(信息系统风险管理和持续性计划)
杨 烺 (CISA)
国际注册信息系统审计师
主要内容:
信息系统的风险
信息系统运行的安全控制
物理控制与环境控制
逻辑访问控制
网络控制
持续性计划(灾难恢复计划)
信息系统的应用控制
1.信息系统的风险
风险的概念:风险是发生某种威胁使资产损失或破坏的潜在可能。
风险的概念包括以下内容:
威胁、薄弱点、处理过程或资产;
对资产基于威胁和薄弱点的影响;
袭击的可能性。
风险审计管理过程
信息系统资产
信息和数据
硬件
软件
服务
文档
人员
另外还有一些需要考虑的传统资产包括:建筑物、存货、资金和无形资产等。
信息的潜在威胁
错误
恶意破坏
欺诈
盗窃
软硬件故障
信息系统的薄弱点
用户缺乏知识
缺乏安全措施
口令缺少变化
未经测试的技术
无保护的数据传输
威胁一旦发生所造成的影响
直接的经济损失
违反法律
名誉声望受损
员工或客户受到威胁
信心受损
商业机会的损失
经营效率与性能的降低
商业经营中断。
整体风险
整体风险是对企业风险的整体评价,通常做法是:
∑影响×可能性
剩余风险
剩余风险是采用控制以后所遗留的风险水平。
管理人员使用剩余风险确认某些地方是否需要更多的控制措施以进一步降低风险。
2.信息系统运行的控制
控制的基本概念
物理控制与环境控制
逻辑访问控制
网络控制与互联网的使用
控制的基本概念
控制是为实现企业目标,避免、检查、纠正不受欢迎事件发生提供合理担保的政策、措施和组织结构。
控制目标是通过实施控制过程要达到的目的或结果。
一些信息系统控制目标:
到目前为止自动系统上的数据一直被正确的处理和保存,从而处于安全状态。
每项操作都经过授权,并且只处理一次。
所有的操作都有记录,并且都是在正确的时间段进行的。
所有的拒绝操作都有报告。
重复操作有报告
文件都经过充分备份,以备正确的恢复。
对软件的所有变动都经核实,并进行了测试。
预防性控制
作用:
检查发现未发生的问题;
监督操作和输入;
在问题发生之前及时预测和调整;
避免错误、疏漏和欺诈行为的发生。
信息系统中常见的预防性控制
只雇佣经过良好训练,具备任职资格的人员;
职责分离;
对接触或访问各种物理设备进行控制;
使用设计规范的文档;
建立适当的交接授权过程;
程序化的编辑检查;
使用访问控制软件,只有获得授权的人员才能访问敏感文件。
发现性控制
用于检测发生的错误、遗漏或者欺诈、作弊行为,并就当前状态作出汇报。
信息系统中常见的发现性控制有:
哈西总数(hash totals);
生产过程中的检测点(check points);
远程通信中的回叫(echo)控制;
重复的计算检查;
定期报告各种变化和不一致;
内部审计职能。
纠正控制
纠正控制的作用包括:
降低威胁的影响;
对发现的问题进行补救;
确认问题的原因;
修正已发问题引起的错误;
修改处理系统,降低将来再次发生问题的可能性。
信息系统中常见的纠正控制包括:
意外事故计划;
备份过程;
系统重启过程。
综合控制与应用控制
综合控制是对组织各部门设计、安全、使用计算机程序的总体上的控制。
应用控制是各个计算机应用程序中的特别的控制。
综合控制是最低水平的控制。综合信息技术控制形成了一个整体控制信息技术行为和确保整体控制目标的框架。在此基础上可以进一步增加应用控制。
综合控制与应用控制
信息系统的综合控制
综合信息技术控制主要关注企业的信息技术基础,包括任何与信息技术相关的政策、过程和工作实践。他们并不针对某一特别的交易流或财务应用系统。大多数情况下,综合控制的元素主要集中在信息技术部门或相似部门。
综合控制主要包括以下几类:
组织和管理(高水平的信息技术政策和标准);
职责分离;
物理控制(接触与环境控制);
逻辑访问控制;
系统开发和程序修改;
对计算机人员(包括程序员、系统分析员和计算机操作人员)的控制(包括内部和外部信息技术服务);
确保计算机系统可用性的控制;
对最终用户计算的控制。
应用控制
应用控制特别针对某个应用系统,并对交易事务的处理产生直接的影响。这些控制用于确保所有交易均是合法的,经过授权,并被记录下来。由于应用控制与交易流存在关系,因此通常包括:
交易(transactions)输入的控制;
处理控制;
输出控制;
固定数据(standing data)和主文件的控制。
物理与环境控制
物理控制:是用于阻止对IT设备未经授权访问,防止其发生故障的机制和管理过程。
环境控制:是用于保护计算机软硬件,避免其受到火灾、水灾、灰尘、电源事故伤害的行为和过程。
与物理和环境控制相关的风险
(1)物理风险
员工 (IT雇员、清洁工、警卫及其他人员)有意或无意的破坏;
计算机或其零部件失窃;
电压波动导致设备损坏或数据丢失或损坏;
存在绕过逻辑访问控制的旁路;
复制或查阅敏感或机密的信息。
(2)环境风险
水灾或火灾破坏,以及其他自然灾害的破坏;
电源掉电导致内存数据丢失;
电压不稳导致系统故障、处理错误和设备部件的损坏;
由于温度、湿度恶劣导致系统故障;
炸弹破坏;
静电破坏敏感的电子部件;
其他诸如。照明设备停工,灰尘或污垢聚集等。
物理控制
三个方面:
安全区的物理控制
管理控制
门禁系统(locks on doors)
安全区的物理控制
物理访问安全应基于信息技术设备所处区域的定义。例如,可以将一栋大楼、一个计算机房、一个打印间当作一个管理区域。管理区域的定义应该清晰明白,雇员能够意识到它的边界。
从安全区的在外层防护到建筑物的入口、计算机间和终端,应该通过多层控制措施,控制对用户站点和安全区域的访问。
管理控制
雇员佩带身份或姓名证章;
解除辞退人员的访问权限;
来访人员必须登记,包括他是谁,在哪工作,找谁、来访时间、离开时间等。来访人在放行之前应提供一些证件加以确认。
办公室无人照管时的控制过程。例如当雇员晚上回家或外出吃饭时,应锁好键盘、将笔记本电脑锁入抽屉、锁好软盘等。
门禁系统(locks on doors)
常见的门禁系统包括:
使用机械钥匙的锁。
组合门禁系统或密码锁
电子门禁系统
生物门禁系统
其他常见的物理控制措施
电视摄像头
警卫
雇员在上班时间以外的控制;
计算机锁
手工日志记录:来客需要登记姓名、单位、事由和会见人。在进入前需要出示身份证明。
电子日志:在电子或生物安全系统中,所有的来客都要做日志记录,特别是失败的进入试图需要被特别标记。
控制的来客接触:所有来客都应有雇员护送。
其他常见物理控制措施(续)
人员担保:所有服务人员应该有担保。
死人门(deadman doors):该系统使用一对门。前一门未锁上,后一门不能打开。在两个门之间只能有一个人。以防止未经授权的人跟随其他人进入。
不宣扬敏感设备的位置;
计算机终端锁;
经控制的单个输入点;
夜贼警报系统;
安全的文件分发车。
环境控制
火灾的预防、检测和扑救
防水
电源的保护和控制
高温、通风和空调
维护与房间保洁
火灾的预防、检测和扑救
火灾的预防控制
火灾扑救系统包括:
手持灭火器;
一些灭火器适合电子设备,例如二氧化碳或halon(BCF)灭火器。
水灭火器可以放在计算机耗材库房中。
自动灭火系统
自动灭火器通常使用水或halon。Halon对计算机设备无害,并且相对二氧化碳来说,危害较小。
防水
进入机房的水可能来自以下方面:
洪水;
屋顶漏水;
爆裂的管道;
洗手间或水池溢水;
冷却系统漏水。
逻辑访问控制
基本概念
逻辑访问的风险
需要保护的资源、文件和工具
访问安全框架
操作系统和应用访问控制
日志
基本概念
逻辑访问安全有三个最基本的组成部份
用户身份
通常使用用户名或登录ID号,来表明用户的身份。
身份
计算机需要核实这个人到底是谁。可以通过用户拥有的,或知道的东西加以确认。一般到办法是口令(passwords)、身份证代码、签名或其他生物特征例如手印等。
资源保护
资源是计算机文件、目录和外围设备。资源保护应基于每个用户的需要。例如当某个用户登录计算机以后,可以其只能访问某些文件、应用或其他工作需要的资源。
逻辑访问的风险
信息缺乏逻辑访问控制的主要影响包括:
未经允许的泄漏;
未经授权的修改;
系统完整性受到破坏。
计算机系统可能受到不同方面的袭击,包括:
(1)黑客
(2)雇员
(3)已辞退的雇员
(4)外部人员
(5)供货商或咨询商
需要保护的资源、文件和工具
(1)数据文件
(2)应用软件
(3)口令文件
(4)系统软件和工具
(5)日志文件
(6)缓冲区文件和临时文件
访问安全框架
确保充分的控制应防范任何可能的风险是用户经理的责任。管理人员通过制定公司的访问安全政策,从而为逻辑访问控制指明方向。
在制定政策时,管理人员应定义企业经营对访问控制的需求,及每个系统的访问需求。公司的安全政策通常是以上较短的文档。包括以下内容:
定义
安全政策陈述;
责任
详细的逻辑访问控制将基于公司IT安全并向高层陈述。
操作系统和应用访问控制
逻辑访问控制存在两个层次:系统层次(installation level)和应用层次(application level)。因此访问控制可以建立于:
操作系统(或系统工具)
每个应用
每层的逻辑访问控制均由不同的管理员实现。IT部门人员负责管理谁能登录网络,以及登录网络以后可以访问什么应用和数据文件。这些人在系统层次控制访问。应用管理员则负责管理在应用软件中谁能做什么。
IT部门的系统管理员对操作系统及其资源有更好理解,知道什么应用软件和工具程序需要保护。这样可以保护系统资源不被外部人员和未经授权IT人员使用。
应用管理员对应用软件以及谁将使用软件比较了解。这有助于应用管理员依据每个用户的需要设置访问权限。这样可以确保用户只拥有工作需要的访问权限。
系统管理员与应用管理员的职责应分离。
系统级的逻辑访问控制
各种操作系统软件中都内置了逻辑访问控制,例如UNIX、Novell、NT。各家产品不同,逻辑访问控制的力度也不同。一些组织对操作系统的安全特征进行了独立测试。美国国家计算机安全信息中心(NCSC)于1983年提出了可信计算机系统评估准则TCSEC(trusted computer system evaluation criteria),规定了安全计算机系统的基本准则,通常称为“桔皮书”(orange book)。
桔皮书将计算机系统的安全等级划分为四类七级:D、C1、C2、B1、B2、B3、A1。其中A1级是最安全的。除非有特别的安全需要,否则多数财务系统都依照C2级标准。C2级标准要求操作系统使用登录控制、审计安全相关事件以及隔离资源等措施,控制访问。因此如果审计人员被告知该系统达到C2级,则意味着系统中包括了用户辨别(identification)、身份鉴定(authentication)和日志(logging)控制。
如果操作系统中没有逻辑访问安全措施,用户可以安装一个独立的软件包。例如在IBM大型机中安装访问控制软件包RACF或ACF2。也有一些用于微机的安全软件包。
逻辑访问控制
(1)登录过程(logon procedures)
(2)用户辨别(identification)
(3)身份鉴定(authentication)
(4)资源保护
(5)其他逻辑访问控制
日志
前面讲述到控制均用于防止非法用户访问计算机系统。而下一步控制则是检测非法用户的访问试图和行为。这通常可以从事件日志记录中获得。计算机系统中的审计日志一般有两种:安全审计日志和交易审计日志。
安全审计日志用于记录各种用户操作信息。
交易审计日志用于记录交易被系统处理的路径和过程。
网络控制与互联网的使用
1.与网络相关的风险
2.网络控制(network controls)
3.互联网控制(internet control )
与网络相关的风险
网络将用户的计算机带入了一个广阔,存在众多潜在匿名用户到空间。一旦客户的系统连入了网络,就可能存在被外部人员(黑客)和未经授权的同事访问的风险。容易导致:
数据丢失:数据可能被故意删除或在传输过程中丢失。
数据破坏:数据可能被用户破坏,数据传输过程中可能发生错误。例如由于线路的噪音干扰,发出的数据“1”,接收时变成了“0”。
来自内部或外部的欺诈:窃贼不再依赖枪和盗窃工具来打劫银行。一个风度翩翩的君子在世界的另一端,就可以侵入银行系统,将资金划走。
系统无法使用:网络连接以及服务器都可以被轻易破坏。一个集线器的丢失,可以影响众多用户的操作处理。通信线路也超出了用户的范围而失去控制。
泄密:一旦一些重要 的系统例如,人事系统、科研开发系统被连接到网络上,就更增加了信息有意或无意泄漏的风险。
病毒与蠕虫感染:蠕虫感染是特别经过设计,用于网络传播的。病毒感染经常发生,用户应经常使用杀病毒软件进行检查,并对杀病毒软件及时升级。
违反版权和数据保护法:由于用户可以从网上随便获得数据和软件,从而导致触犯当地的版权和数据保护法。
网络控制(network controls)
网络的特点决定了物理访问控制的作用是有限的。因此在保护网络设备不被滥用和盗窃的同时,还需要将精力集中于逻辑访问和管理控制。根据各个用户所确认的风险、操作系统、网络控制软件以及网络和通信政策不同,用户所需的逻辑访问控制也不一样。
审计人员可能遇到的控制:
(1)网络安全政策
这可能是企业整体IT安全政策的一部分。
(2)网络标准、过程和操作指令
这些应该基于网络安全政策,并且文档化;相关人员应可以得到该文档的复印件。
(3)网络文档
用户应有数份描述网络逻辑和物理层次的文档。例如网络布线图。这些文档通常作为机密文档保存。
(4)逻辑访问控制
这是特别重要的。用户应确保拥有合适的登录口令和资源访问权限。
(5)对外部连接的限制,例如调制解调器。这些连接可能是用户系统的薄弱点,特别是当这些连接未被允许时。
审计人员可能遇到的控制:
(6)当用户被允许使用调制解调器时,可以考虑使用回叫调制解调器(call back modems)。这种调制解调器只允许由自己呼叫出去的连接访问。例如,一个在家办公的远程用户希望访问系统。他可以通过调制解调器呼叫办公系统。办公系统建立连接并要求用户提供ID号。然后办公系统断开连接。如果ID号是正确的,办公系统按照预先设置好的电话号码拨回。在这里是该雇员家中的电话。然后该雇员就可以访问系统了。还可以通过使用其他标记(token)来进行控制,确认外部用户的确获得访问系统的权限。
(7)网络应该由经过适当培训,具备相当经验的雇员管理和控制。管理人员对这些雇员的工作进行监督管理。
(8)特定的网络事件应该被网络操作系统自动记入日志。应定期检查日志,寻找未经授权的行为。
审计人员可能遇到的控制:
(9)使用网络管理和监控软件包和设备。网络管理员可以找到很多的工具、软件监督网络的使用及网络的性能。它们也可以用于检查每个终端用户计算机中所安装的软件。
(10)外部供应商和咨询商的访问也应受到监督。客户经常允许软件供应商通过远程访问连接对系统进行维护和故障修复。这些工具的使用应受到监督,并且只有在需要且经过授权以后才可以使用。远程连接的调制解调器只有管理人员同意才能激活,并且一旦任务完成,就应断开。
(11)联入网络的终端只能是特定的终端。这可以通过终端号码(例如网卡的号码)或IP地址进行控制。
(12)数据加密(data encryption)。在某些环境下,用户可以将网上数据加密。即使未授权用户能够搭线窃听获取了数据,也会因为加过密而无法使用。
审计人员可能遇到的控制:
(13)使用应答设备(challenge-response devices)。这是典型的手持设备,大小与计算器相仿。这种设备通过允许远程用户对系统提出的信号作出应答的方式验证远程用户的身份。例如当有人想远程登录系统时,中心系统发出一个“挑战”例如“121288”。远程用户将这个代码输入手持设备。该手持设备生成一个相称的“响应”“22233”。一般情况,用户可以有60秒钟将信号输入计算机。中心系统收到响应信号以后,经核实正确就可以允许用户访问系统。这种设备 的优点在于每个“挑战”“响应”信号是唯一的。因此未授权用户无法重复使用密码访问系统。
(14)使用私有线路或专线
如果线路是私有线路或专线,数据被截取的风险就低得多。并且使用专线可以传输更多的数据,数据传输错误也较少。
(15)使用数字线路而不是模拟线路。数字线路具有较高的容量,不需要调制解调器,不会发生数字与模拟信号转换错误。
互联网控制(internet control)
如果需要将计算机直接连接到互联网络上,那么最安全的措施是:
将计算机与主要信息系统物理隔离;
指定有经验可靠的管理员管理互联网计算机;
禁止匿名访问计算机。如果一定要的话,应避免将目录设为即可读又可写;
从计算机中移走所有不必要的数据和软件;
关闭所有互联网服务器上不必要的逻辑端口;
监视登录计算机的企图;
只有经过仔细检查以后,才将文件在主要信息系统和互联网计算机之间传递。应牢记程序可以附带在电子邮件信息中传递;
尽可能少的设置互联网计算机的用户帐户,并定期更换期密码;
如果不是特别需要的话,应避免运行一些诸如互联网聊天室之类的服务器应用。
其他安全控制技术
防火墙(firewall)
口令
访问控制
加密
安全电子邮件PEM(privacy enhanced mail)
良好隐私PGP(pretty good privacy)
站点安全工具
事故报告与更改
持续计划
基本概念
灾难备份系统的组成
灾难恢复计划的制定
基本概念
1.商业持续计划(business continuity planning,BCP)
商业持续能力是指企业在信息系统支持中断情况下的继续经营能力以及发生灾难性事件情况下的生存能力。商业持续计划用于灾难的预测和预防处理。灾难包括从洪水、火灾、地震到劳动市场的动荡、重要文件的丢失。商业持续计划主要处理两个问题:公司信息完整性的维护,保持信息系统的运行直到正常业务能重新使用。商业持续计划是在灾难来临时如何恢复所有经营业务的方法,而不仅仅限于信息部门的业务。
基本概念
2.信息系统的灾难
信息系统灾难是指造成重要业务数据丢失,使业务中断了不可忍受的一段时间的计算机系统事故,这些事故导致银行丧失了全部或部分业务处理能力,引起企业营业收入下降、信誉降低和形象受损,甚至威胁其生存。造成计算机系统灾难性事故的原因有自然灾害、基础设施的突发性事故、计算机系统故障和各种人为因素等。
基本概念
3.灾难备份
灾难备份是指为了减少灾难发生的概率,以及减少灾难发生时或发生后造成的损失而采取的各种防范措施。
4.灾难恢复
灾难恢复是一个在发生计算机系统灾难后,在远离灾难现场的地方重新组织系统运行和恢复营业的过程。
灾难恢复的目标一是保护数据的完整性,使业务数据损失最少甚至没有业务数据损失。二是快速恢复营业,使业务停顿时间最短甚至不中断业务。
基本概念
5.灾难备份中心
灾难备份中心是一个拥有备份系统与场地,配备了专职人员,建立并制定了一系列运行管理制度、数据备份策略和灾难恢复程序,可以承担灾难恢复任务的机构。
6.灾难应急方案
灾难应急方案是指在发生计算机系统灾难事件时,为了尽可能减少损失,而对计算机应用系统采取的抢救措施、故障隔离措施、恢复过程以及工作人员救护和撤离计划等。
7.灾难恢复方案
灾难恢复方案是一套为保证在计算机系统发生灾难后恢复业务运行而预先制定的一套技术措施、管理方法和处理步骤。它是在充分考虑经济、技术、管理和社会条件的可行性的基础之上,提出的最佳灾难恢复策略。
灾难备份系统的组成
灾难备份系统一般由可接替生产系统运行的后备运行系统、数据备份系统、终端用户切换到备份系统的备用通讯线路等部分组成。
在正常生产和数据备份状态下,生产系统通过人工或网络传输方法向备份系统传送需备份的各种数据。备份中心与生产中心及终端用户的关系如图所示。
灾难备份系统的组成
灾难发生后,备份系统将接替生产系统继续运行,备份中心、生产中心及终端用户三者之间的关系如图所示。此时重要营业终端用户将从生产主机切换到备份中心主机,继续对外营业。
数据备份方式
目前比较实用的的数据备份方式可分为本地备份异地保存、远程磁带库与光盘库、远程关键数据+定期备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。
( 1)本地备份异地保存
是指按一定的时间间隔(如一天)将系统某一时刻的数据备份到磁带、磁盘、光盘等介质上,然后及时地传递到远离运行中心的、安全的地方保存起来。
(2)远程磁带库、光盘库
是指通过网络将数据传送到远离生产中心的磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立通信线路。
( 3)远程关键数据+定期备份
本方式定期备份全部数据,同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。
数据备份方式
(4)远程数据库复制
在与生产系统相分离的备份系统上建立生产系统上重要数据库的一个镜像拷贝,通过通信线路将生产系统的数据库日志传送到备份系统,使备份系统的数据库与生产系统的数据库数据变化保持同步。
(5)网络数据镜像
是指对生产系统的数据库数据和重要的数据与目标文件进行监控与跟踪,并将对这些数据及目标文件的操作日志通过网络实时传送到备份系统,备份系统则根据操作日志对磁盘中数据进行更新,以保证生产系统与备份系统数据同步。
(6)远程镜像磁盘
利用高速光纤通信线路和特殊的磁盘控制技术将镜像磁盘安放到远离生产系统的地方,镜像磁盘的数据与主磁盘数据以实时同步或实时异步方式保持一致。磁盘镜像可备份所有类型的数据。
后备运行系统的选择
可以选择的后备运行系统包括互助协定、冷站、温站和热站。
(1)互助协定(mutual aid)
互助协定是指两个或多个公司达成灾害发生时相互共享资源的协定。要使该协定有效必须满足以下条件:
每家公司都必须具有额外的信息处理能力,或必须能够降低其业务量,以对另一家发生灾害的公司提供援助;
各公司业务系统的平台必须兼容;
所有签约方不能都受到灾害的影响;
公司之间具有很高的信任度。
由于这种方法在合并两家公司 的业务系统时,会出现意想不到的问题,所以现在已经不多采用。
后备运行系统的选择
(2)冷站(cold site)
公司为系统运行提供了最基本的环境,例如电源、空调、地板、办公桌椅等设备等。一旦发生灾难可以将恢复设备安装在该环境中。采用冷站备份企业还需 与设备供应商签订紧急情况下,及时供应设备的协议。
一旦发生灾难,可以从设备供应商处购买新的设备。安装在冷站环境中,用数据备份介质(磁带或光盘)恢复应用数据,手工逐笔或自动批量追补孤立数据,将终端用户通过通讯线路切换到备份系统,恢复业务运行。
优点:设备投资较少,节省通信费用,通信环境要求不高。
缺点:恢复时间较长,一般要数天至一周,数据完整性与一致性较差。
后备运行系统的选择
(3)温站(worm site)
温站中装备了部分设备,例如办公环境、通信设备、存储设备等。但是考虑道主机价格比较昂贵,并且需要时,可以迅速从供应商处获得,因此温站中没有配备主机。使用温站设备一旦发生灾难,可以迅速租借或购买主机,使用定期备份数据,手工逐笔或自动批量追补孤立数据或,将终端用户通过通讯线路切换到备份系统,恢复业务运行。
优点:设备投资较少,通信环境要求不高。
缺点:恢复时间长,一般要十几小时至数天,数据完整性与一致性较差。
后备运行系统的选择
(4)热站(hot site)
热站中装备了全套的处理设备,可以在数小时内投入运行。也可定时。一旦发生灾难,只需在备份系统上恢复生产系统的数据,并对备份后业务事项进行追补就可快速接替生产系统运行,恢复营业。
优点:恢复时间短,一般几十分钟到数小时,数据完整性与一致性最好,数据丢失可能性最小。
缺点:设备投资大。
后备运行系统的选择
(5)镜像系统(mirrored systems)
镜像系统是一个相对高成本的方案,适合于一些运行非常重要任务 的系统。例如航线管理、银行业务等等。这种方法要求在相距较远的两个不同地方,同时运行两套或更多套系统。每发生一笔业务,两套系统中的数据同时并行修改。一旦一个系统发生故障,所有业务处理可以直接切换到镜像系统中,对用户不会造成任何影响。美国“911”袭击事件中,总部在世贸大楼的摩根斯坦利银行遭到毁灭性打击。但是其业务数据却没有受到任何影响,就是因为采用了镜像系统备份。
灾难备份技术的发展
灾难备份技术的发展趋势主要有三个方面:
(1)采用实时热备份技术。实时热备份技术具有一次性投资昂贵、通讯费用高等缺点,但具有最好的数据完整性与业务连续性保证。随着商业银行的业务发展及竞争需要,银行的业务连续性要求将越来越高,采取实时热备份技术来实现灾难备份是未来的发展趋势。
(2)外包方式:灾难恢复计划涉及到业务风险分析、方案选择、实施、测试、培训、演习等内容,是一项既复杂又繁锁的工作。采用外包方式则可将灾难恢复计划交给专业计算机公司来完成,银行则可专心从事银行的生产与经营。
(3)开发灾难恢复计划辅助工具:灾难恢复计划是一项系统工程,开发灾难恢复计划的辅助工具与系统是非常必要的,它包括:备份策略决策系统,灾难恢复指引系统,自动运行管理系统等。
灾难恢复计划的制定
制定灾难恢复计划需要五个阶段:
阶段I――对公司经营环境进行评估;
阶段II――分析恢复策略;
阶段III――灾难恢复计划的文档;
阶段IV――设计灾难恢复计划;
阶段V――执行、评估和维护灾难恢复计划。
对公司经营环境进行评估
这个阶段的目标是确定公司遭受风险的类型和这些风险对信息系统运行的潜在影响。主要过程如下:
(1)确定公司最有可能面临的风险;
(2)确定公司遭受信息系统运行风险的潜在影响。公司应确定以下任务:
公司执行了信息系统那些功能;
确定系统中那些功能对业务成功是至关重要的;
确定如果在一小时、一天、一周、一个月或者更长的时间内不执行主要功能对公司将造成的影响。
最后,公司应对其可能遭受风险进行合理评估,并评估其对业务所造成的潜在影响。
分析恢复策略
这个阶段的目标是确定合适的信息资源,分析所有可选的恢复措施,并挑选最能满足公司目标的措施。公司的信息系统资源包括:中央计算机、个人电脑、网络、应用软件、系统软件以及数据中心。
灾难恢复计划的文档
以文档的形式将灾难计划记录下来,主要步骤包括:
(1)制定恢复时间。公司为每个重要功能安排恢复时间(如主机一定在48小时内恢复,个人电脑必须在一周内更换)。
(2)为每一个主要功能制定恢复行动计划。这个计划包括:应当完成的任务、每项任务的负责人、时间安排、执行地点、如何完成。
(3)制定恢复规划表。恢复规划表是灾难发生时需要执行的时间规划表。
设计灾难恢复计划
这个阶段的目的是制定灾难恢复计划。主要内容有:
(1)审阅灾难恢复计划。
(2)紧急应对程序。综述在灾难发生时应当采取的程序(如计算机的关闭、火灾扑灭、疏散和警报程序等)。
(3)灾难应对计划。评估损失、警告职员、执行灾难恢复计划。
(4)恢复运行方法。恢复硬件、软件、网络程序并确保数据及时恢复运行。
(5)如何恢复运行。在灾难发生地或其他地点恢复运行的计划。这个计划应当包括构建新设备、获取新硬件和软件、在实施前测试新系统。
(6)如何测试和维护数据。测试和维护的详细计划。
(7)附录:包括硬件、软件的详细目录、职员合同、保险政策、软件安全协议、网络和硬件供应商支持协议以及工作地点之外储存数据列表和如何获得它的指令。
(8)术语汇编。在计划中使用的技术性术语的定义。
需要注意的是,该计划一定要保存在与水火隔离的工作环境之外。一旦发生灾难,在必要保护下不会受到破坏。
执行评估和维护灾难恢复计划
这个阶段的主要目的是确保灾难恢复计划按照设计执行,并保证计划被正确地维护。测试的范围包括硬件、系统软件、应用软件和远程通信网络。主要步骤如下:
(1)研究灾难恢复计划测试目标和评估准则。特别是公司需要确定通过测试灾难恢复计划想要达到的目的,及如何评价测试的成功和失败。
(2)记录高水平测试灾难恢复计划。公司需要明确确认测试内容和测试方法。
(3)准备详细测试工作计划。
(4)执行测试。
(5)评估测试。
(6)准备测试报告。
(7)维护计划。定期审查和修订计划。
