烟草行业信息系统容灾备份建设规范Word格式文档下载.docx

1、6.规划阶段6.1.本地数据保护6.1.1.生产中心加固6.1.2.本地数据备份6.2.灾难恢复范围和目标6.3.灾备系统建设模式7.建设阶段7.1.信息系统现状梳理技术要求7.2.方案设计7.2.1.数据级灾备技术要求7.2.2.应用级灾备技术要求7.2.3.数据复制方案选择7.2.4.数据复制方案技术要求7.2.5.网络解决方案7.2.6.域名解析部署要求7.2.7.时间同步服务部署要求7.3.预案开发7.3.1.预案总体要求7.3.2.预案组成8.交付阶段8.1.功能测试8.2.预案验证9.运维阶段9.1.运行维护9.1.1.运行维护原则9.1.2.运行维护内容9.2.容灾演练附录A （

2、资料性附录）风险等级评估模板前言本标准由国家烟草专卖局烟草经济信息中心提出。本标准由全国烟草标准化技术委员会信息分技术委员会归口。本标准主要起草单位：国家烟草专卖局烟草经济信息中心、中国烟草总公司信息系统上海容灾中心、杭州新世纪电子科技有限公司。本标准主要起草人：本标准规定了烟草行业信息系统容灾备份建设应遵循的分析、规划、实施和运行管理要求。本标准适用于烟草行业各单位开展信息系统容灾备份工作。下列文件中的有关条款通过在本规范有关部分的引用而成为本规范的条款。凡注明日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本规范，但提倡使用本规范的各方探讨使用其最新版本的可能

3、性。凡不注明日期或版次的引用文件，其最新版本适用于本规范。GB/T 20988-2007信息安全技术信息系统灾难恢复规范GB/T 30285-2013灾难恢复中心建设与运维管理规范GB50174-2008电子信息系统机房设计规范国烟办2016339号国家烟草专卖局关于烟草行业信息系统容灾备份工作的指导意见3.1业务影响分析 business impact analysisBIA分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。GB/T 20988-2007，定义3.53.2恢复时间目标recovery time objectiveRTO灾难发生后，信息系统或业务功能从停

4、顿到必须恢复的时间要求。GB/T 20988-2007，定义3.183.3恢复点目标recovery point objectiveRPO灾难发生后，系统和数据必须恢复到的时间点要求GB/T 20988-2007，定义3.193.4生产中心production center利用数据中心场地和环境支撑机构生产系统运行，对机构的重要信息进行集中管理和处理的场所和组织。GB/T 30285-2013，定义3.43.5灾难恢复中心disaster recovery center满足机构关键业务运营连续性的要求，利用数据中心场地和环境支撑机构灾难备份系统运行，抵御导致生产系统全部或部分不可用的灾难，用以

5、接替生产中心部分或全部职能，对机构重要信息进行集中管理和处理的场所和组织。注：灾难恢复中心也称为容灾中心或灾备中心。灾难恢复中心按照其风险防范职能及与生产中心的距离，可分为同城灾难恢复中心和异地灾难恢复中心。GB/T 30285-2013，定义3.53.6数据备份data backup数据备份是利用备份软件将信息系统数据按照既定备份策略定期备份到磁带或磁盘等介质的一种数据保护措施。3.7数据级灾备data level disaster recovery数据级灾备用于保护信息系统数据安全，通过数据复制工具在异地建立一个本地数据的可用副本。当本地生产系统出现不可恢复的故障时，灾备系统提供数据恢复功

6、能。3.8应用级灾备application level disaster recovery应用级灾备是在信息系统数据级灾备的基础上，部署与原信息系统功能相同的后备系统，当生产系统发生灾难时，信息系统切换至后备系统运行，相关功能或服务可快速恢复并承担应用负荷。根据GB/T 30285-20134.2定义，灾难恢复项目分为五个阶段：分析、规划、建设、交付、运维。图1灾难恢复中心建设与运维管理生命周期模型风险识别的结果是列出生产中心面临的潜在风险。可参考潜在风险包括但不局限以下内容：a）自然灾害：如洪水、地震、雪灾、台风、海啸等；b）机房灾难：如火灾、供电中断、UPS故障、空调故障、通信线路故障等。

7、c）系统故障：如重大软硬件故障、人为误操作、病毒攻击等。a）风险频率根据经验或统计数据评估各类自然灾难、机房灾难风险发生的频率，并对风险发生的频率进行等级化处理，不同等级分别代表风险发生的频率的高低。等级数值越大，风险发生的频率越高。风险频率等级定义如下：表1 风险频率等级定义表等级标识定义5很高出现的频率很高；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高；或在大多数情况下很有可能发生；或可以证实多次发生过3中等出现的频率中等；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低几乎不可能发生；仅可能在非常罕见和例

8、外的情况下发生b）风险影响力风险影响力是各类自然灾难、机房灾难风险发生后对生产中心造成损害的严重程度。将风险影响力进行等级化处理，不同的等级分别代表不同风险造成损害严重程度的高低。等级数值越大，风险影响力严重程度越高。风险影响力等级定义如下：表2风险影响力等级定义表如果风险发生，将对生产中心基础设施及系统运行环境造成完全损害如果风险发生，将对生产中心基础设施及系统运行环境造成重大损害如果风险发生，将对生产中心基础设施及系统运行环境造成一般损害如果风险发生，将对生产中心基础设施及系统运行环境造成较小损害如果风险发生，对生产中心基础设施及系统运行环境造成的损害可以忽略c）风险评估值行业单位需要评估

9、生产中心所面临的每一类风险，并得出风险评估值。风险评估值的计算方法为风险频率和风险影响力等级的乘积。风险评估值=风险频率等级风险影响力等级。d）风险等级风险评估结果值根据范围划分为5个风险级别，划分方法见表3。行业单位需要根据生产中心面临的最高风险等级开展灾备建设工作。风险等级评估方法参见附录B。表3风险评估值1-56-89-1415-1920-25风险等级行业单位应开展本单位信息系统业务影响分析工作，采用定量分析和定性分析相结合的方式来评估各信息系统在发生灾难之后的损失。灾难损失评估方法参考但不限于以下评估内容：a）定量损失包括但不限于以下方面：由于业务停止导致资金损失，资金支出等；由于意外

10、中断时间造成的运行费用支出；由于违反合同条款、法规条款招致的资金损失；由于违反调整所依赖的资源招致的资金损失。b）定性损失包括但不限于以下方面：导致消费者、零售户、烟农、企业员工对相关信息系统的使用不便；消费者、零售户、烟农对企业的信任损失；企业市场份额和竞争优势的损失。明确各信息系统的关联关系及其所必需的配套系统和基础设施。门户、身份认证、消息中间件、企业服务总线等对于灾备系统切换后正常运行不可或缺，也需将其纳入相应容灾保护范围，并根据信息系统之间的依赖性关系确定其关键度等级。行业单位根据业务影响分析和信息系统关联分析结果，结合行业单位实际情况，确定各信息系统关键度等级。根据烟草行业特点，将

11、信息系统划分为核心、重要、一般三个关键度等级。a）核心：影响面大、业务连续性要求高，系统中断或数据丢失会造成重大经济损失，对行业经营管理及社会公众服务产生重大影响。b）重要：影响面较大、业务连续性要求较高，系统中断或数据丢失会造成较大经济损失，对行业经营管理及社会公众服务产生较大影响。c）一般：信息系统对数据丢失或系统停顿具有一定容忍度。行业单位需要首先完成生产中心加固和本地数据备份，抵御各类系统故障造成的风险。生产中心加固包括生产中心机房基础设施以及应用支持环境加固，用于抵御应用中断的风险。本地数据备份要求全面可靠，用于抵御数据丢失的风险。a）机房环境达到电子信息系统机房设计规范（GB501

12、74-2008）B类机房标准，并通过当地消防部门验收。b）机房具有两路或两路以上的电力供应接入方式。c）部署冗余的网络通讯接入线路。d）核心和重要信息系统的应用支撑环境（如主机、存储、网络等）采用冗余部署模式，避免单点故障。a）备份范围：生产中心内所有信息系统。b）备份内容：各信息系统的数据库、非结构化文件、应用程序包和源代码、配置信息、基础软件等进行系统恢复时必要的数据资源。c）备份指标：RTO48小时，RPO24小时。d）备份频率：核心和重要信息系统数据每周至少全备1次，一般信息系统数据每月至少全备1次，其余每日做好增量备份。e）保留周期：备份数据保留周期2个月以上。f）备份介质：备份介质

13、要求安全可靠，备份与恢复效率高。有条件的单位应实现主备份介质与冗余备份介质分建筑物存放。g）恢复手册：针对各信息系统制定详细恢复操作手册，明确所需资源及详细操作步骤。h）数据验证：建立备份恢复环境并开展异机数据恢复测试，确保备份数据可用。行业单位完成了本地数据保护后仍存在亟待抵御的自然及机房灾难，需要根据各信息系统的关键度等级以及生产中心面临的风险等级有针对性的选择灾难恢复策略，并制定本单位各级信息系统灾难恢复指标。灾难备份策略包括数据级灾备和应用级灾备。行业信息灾难恢复参考指标见表4。表4行业信息灾难恢复参考指标信息系统关键度等级生产中心灾难恢复策略参考恢复指标核心应用级灾备RTO6小时，RPO30分钟数据级灾备RTO6小时，RPO1小时重要很高、高RTO24小时，RPO4小时6.3.灾备系统