自然灾难反映了我们生存环境的恶劣之处

1. 地震

2. 洪水

4. 火灾

5. 流行病

6. 其他自然事件

在 BCP/DRP 实施过程中，评估团队应当分 析组织的所有运营地区，并评估这类事件可能对业务造成的影响。

1. 火灾

2. 恐怖行为

3. 爆炸

4. 电力中断

5. 网络、公共设施和基础设施故障

6. 硬件／软件故障

7. 罢工示威抗议

8. 偷窃／故意破坏

确保备用站点位于离主场所足够远的地方，从而使其不容易受到同一灭难的影响。

需要记住，组织会面对来自内部和外部的威胁

灾难往往不会有预警

DRP和BCP都是事后行为，属于纠正性措施

在计算机中添加容错和系统恢复组件的常见方法是使用 RAID 阵列。

RAID 类型

RAID 可基于软件，也可基于硬件

大多数基于硬件的阵列支持热插拔，不必关闭系统电源就可以更换损坏的磁盘。

可通过容灾切换集群将容错功能添加到关键服务器中

容灾切换集群：包含两个或多个服务器，如果其中一台服务器出现故障，集群中的另一台服务器可通过名为容灾切换的自动化过程接管其负载。容灾切换集群可包含多台服务器（不只两台），它们可为多个服务或应用程序提供容错功能。

如图 18.2 所示， DB1 和 DB2 都能访问数据库中的数据，这些数据存储在 RAID 阵列上，为磁盘提供了容错能力。

此外， 3 台 Web 服务器被配置在网络负载均衡集群中。负载均衡可基于软件，也可基于硬件，它平衡 3 台服务器上的负载

如果你正在使用云服务商提供的服务器，那么可充分利用他们提供的容错服务。例如，许多 IaaS 供应商提供负载均衡服务，在需要时自动缩放资源

同样，在设计云环境时，一定要考虑数据中心在世界各地的可用性

容错：指系统层面，可以抵御一个或多个组件故障，服务器

冗余：指组件层面，比系统低一级，电源、网线、磁盘阵列

可使用不间断电源（Uninterruptible Power Supply，UPS）、发电机或将两者结合起来为电源添加容错功能。

般来说， UPS 只能短时间供电，持续时间在 5 到 30 分钟之间

发电机提供长期电源

UPS 的目标是在足够长的时间内供电，以完成系统的逻辑关机，或直到发电机通电并提供稳定的电源

发电机在长期停电期间为系统供电。发电机提供电力的时间取决于有多少燃料，只要有 充足的燃料且发电机正常工作，就可以持续供电

可信恢复确保系统在发生故障或崩溃后，能够与之前一样安全。

恢复过程的两个要素能够确保可信解决方案的实施

通用标准(Common Criteria)定义了 4 种类型的可信恢复

服务质量(Quality of Service，QoS)：控制能够保护负载下的数据网络的可用性

有助于提升服务质最的一些因素

6R模型

定义灾难或错误发生后想恢复哪些功能或以将是一个极好的资源。什么样的顺序恢复。在执行此任务时，你在业务连续性工作期间所做的业务影响分析(BIA)

要完成这一目标， DRP 团队必须首先标识关键业务单元，这对于实现组织的使命至关重要

任务完成后的结果应该至少包含一张业务单元优先级列表

最后的结果应该按优先级顺序列出检查表，并列出风险和成本评估，这包括平均恢复时间(MTTR)、最大允许中断时间(MTD) 、恢复时间目标(RTO)和恢复点目标(RPO)

如果灾难袭击了你的组织，很可能引起恐慌，与之斗争的最好方法是准备一份系统的灾难恢复计划

许多事情可能看起来属于常识性问题（如发生火灾时拨打应急服务机构的电话），但在紧 急清况下，恐慌中的员工想到的可能只是迅速逃离

危机管理是一门科学，也是一门艺术。如果培训预算允许，不妨对主要员工进行危机培训

当灾难来袭时，组织必须能在内部以及与外界进行沟通

某些情形下，灾难可能破坏一些或所有的正常通信手段

在设计灾难恢复计划时，重要的是记住，目标是让工作组恢复到正常状态并且重新开始他们在日常工作地点的启动

为推动这项工作，有时最好为不同的工作组修建单独的恢复设施。

例如，如果有几家分支机构分布在不同地点，并且执行的任务与你所在办公室的工作组类似

灾难恢复计划中最重要的要素之一是在主要站点不可用时选择备用处理站点。

1. 冷站点

2 热站点

3. 温站点

4. 移动站点

6. 云计算

7. 相互援助协议

数据库内容离站备份的三种主要技术手段：电子链接、远程日志处理和远程镜像

1.电子链接

2. 远程日志处理

3 远程镜像

BCP主要关注业务的持续

DRP针对所有措施不起作用，必须有人宣布（高级管理层）进入灾难模式后启用

BCP、DRP人员都是最重要的

都基于BIA

执行概要，提供对计划的高度概括

具体部门的计划

对负责实现和维护关键备份系统的 IT 技术人员的技术指南

对灾难恢复团队人员的检查

灾难恢复团队重要成员准备的完整计划副本

灾难恢复计划中应当包含重要人员在识别出灾难或灾难即将来临时应立即遵守的简单清晰的指令

应急响应计划通常以检查表的形式放在一起，交给响应者

在设计这些检查表时，需要记住一条重要的设计原则：对检查表的任务进行优先级安排，最重要的任务排在第一位！

记住确保这些检查表将在危机发生时被执行

在这些基本任务中，有一项是正式宣布灾难

建筑物火灾的响应检查表通常包括下列步骤：

灾难恢复计划中还应该包括一份人员列表，以便在发生灾难时进行联络，BCP管理协调人

这份响应检查表应该包括备用的联系方式（如手机号码、呼机号码等），每一个角色还要有一个通讯录备份，以防联系不上主要联系人或其出于某种原因不能到达恢复场所的情况。

当灾难恢复团队抵达现场时，他们的首要任务之一就是评估现状

备份在灾难恢复计划中起着重要作用。它们是存储在磁带、磁盘、云或其他介质上的数 据拷贝，是最后的恢复选项

完整备份： 顾名思义，完整备份存储着受保护设备包含的数据的整个副本，一旦完整备份完成，每个文件的归档位都会被重置、关闭或设为 0

增量备份：增量备份只复制那些自最近一次完整备份或增量备份以来修改过的文件。一旦增量备份完成，被复制的文件的归档位都会被重置、关闭或设为 0 。

差异备份

备份解决方案

软件托管协议是一种特殊的工具，当软件开发商未能为产品提供足够的支持或软件开发 商破产而造成产品失去技术支持时，该协议可使公司免受影响。

最终用户和开发商之间的协议具体定义了什么是“触发事件”，如开发商无法满足服务水平协议(SLA)条款或开发商破产

组织要依靠一些公用设施来提供自身基础设施的关键要素，如电力、 水、天然气和管道服务等

因此，灾难恢复计划中应该包含联系信息和措施，以解决这些服务在灾难发生过程中出现的问题。

面临调拨大量人员、设备和供应物资到备用恢复站点的问题

恢复团队会负责给他们提供食物、水、避难所和适当的设施

灾难恢复团队成员可操作的时间很短，他们必须尽可能迅速地应用 DRP 并还原 IT 能力

抢救团队必须确保新的 IT 基础设施的可靠性

恢复：涉及将业务运营和流程还原至工作状态

还原：步及将业务设施和环境还原至可工作状态。

对全体新员工进行入职培训。

对第一次担任灾难恢复角色的员工进行初始培训。

对灾难恢复团队的成员进行详细的再培训。

所有的其他员工进行简要的意识培训（可以作为会议的一部分或通过电子邮件新闻之类的形式发给所有员工）。

通读测试

结构化演练

模拟测试

并行测试

完全中断测试

通读测试(read-through test)：是其中最简单的，但也是最重要的一种测试。

只需要向灾难恢复团队成员分发灾难恢复计划的副本，并要求他们进行审查，文档审查

三个目标：

结构化演练(structured walk-through)：执行进一步的测试

在这种经常被称为＂桌面演练”的测试类型中，灾难诙复团队成员聚集在一间大会议室中，不同的入扮演灾难发生时的不同角色。

结构化演练的范围和意图可能有所不同。一些演练包括采取物理动作或至少考虑其对演练的影响。例如，结构化演练可能要求所有人离开大楼，回家参加演练。

模拟测试(simulation test)：与结构化演练类似。模拟测试向灾难恢复团队成员呈现情景并要求他们做出适当的响应

这种测试可能会中断非关键的业务活动并使用某些运营人员。消防演习

并行测试(paralleI test)：表示下一个层级的测试，涉及将实际人员重新部署到备用恢复站点并实施站点启用过程

测试不会中断主要设施的运营，这个站点仍然处理组织的日常业务。

完全中断测试(full-interruption test)：与并行测试的操作方式类似，但涉及实际关闭主站点的运营并将其转移至恢复站点

这类测试有很大的风险，因为它们要求中断主站点的运营，并转移到恢复站点

完全中断侧试非常难以安排，通常会遇到来自管理层的阻力。

在任何灾难恢复行动或其他安全事件结束后，组织应举行一次总结经验教训的会议。

总结经验教训的最常见方式是把所有人召集起来，或通过视频会议或电话将他们联系起来，并邀请训练有素的主持人主持会议。

总结经验教训的过程。这些问题包括：

记住，灾难恢复计划是一份活的文档。随着纠织需求的变化，必须对灾难恢复计划进行 修改以适应这些变化，需要纳入变更管理流量

灾难恢复计划编制人员应当借鉴组织的业务连续性计划，把它用作恢复工作的模板

大多数组织都应用正式的变更管理流程，这样在 IT 基础设施发生变更时就能更新和检查 所有相关的文档，以便反映变更