在日常生活中,我们总会尽量让自己免受各种灾难的困扰,企业主和IT经理是不是也应该以同样的方式来保护他们的网络和关键基础设施呢?
根据Gartner公司的调查结果显示,大多数中小企业(SMB)对于业务连续性和灾难恢复规划方面的资金投入不足。Gartner公司估计,只有大约35%的中小企业部署了全面的灾难恢复规划,而不到10%的中小企业拥有危机管理、应急措施、业务重组和业务恢复计划。
对于中小企业来说,部署灾难恢复计划是十分重要的。根据Gartner调查显示,五分之二的企业在五年内都经历过至少一次严重灾难。此外,灾难的发生频率比我们想象中的还要高,因为大约80%的应用程序停工是人为的或者进程出错造成的,而不是因为灾难或者技术故障。
设置一个停机时间限制
当我们在部署灾难恢复计划时,最开始的目标应该是确定恢复点目标和恢复时间目标。灾难恢复点目标(RPO)指明了可以允许的数据丢失范围,而恢复时间目标(RTO)则是应用程序可以允许的停工时间范围,即根据可承受的最长停电时间来确定。
如果灾难真的发生了,那么你的公司可以承受多长时间呢?一个小时?一天?还是一个星期?那些需要立即恢复运行的公司必须投入更多的资金来进行灾难恢复部署,而那些几天内仍然可以继续运行的公司则可以投入较少的资金。同样来说,较高的灾难恢复点目标相对来说更加昂贵,但是中小企业必须权衡预防性支出与重要数据丢失带来的潜在高额费用之间的关系。认真确定灾难恢复点目标和恢复时间目标能够帮助你合理分配资源,而不会浪费成本。
如果你的公司对于确定灾难恢复点目标和恢复时间目标,那么就可以使用业务影响分析(BIA)。业务影响分析方法依据的基本假设条件就是,公司的每一个因素都依赖于任何其他因素的持续运行,但是有些因素比其他因素要更加重要。业务影响分析优先考虑了关键任务数据和系统,它能够帮助公司在考虑灾难性事件时将资源进行合理分配。BIA可以让IT经理和中小企业业主清楚地看到,如果他们不部署灾难恢复计划,他们将可能损失的成本价值。
建立灾难恢复计划
当确定了RPO和RTO之后,你就可以正式建立灾难恢复计划了。当你在建立灾难恢复计划时,要牢记以下这些最佳做法:
要让公司所有的利益相关者参与进来,而不只是IT部门。举例来说,人力资源部在对员工进行灾难恢复计划培训以及计划沟通中时将发挥重要的作用,所以人力资源部应该参与进来;首席执行官和其他高级管理人员对于保证灾难恢复计划的资金和公司性购买方面是必不可少的角色;如果你的公司场所是租赁的,那么物业管理也应该了解你的计划;此外,最好还要告知当地的执法部门你所要实施的计划。将所有的利益相关者参与到规划和部署中是十分重要的。
防止数据仓库的产生:也许你会认为将文件保存到桌面是很方便的事情,但是这却是个不好的习惯。员工的个人电脑硬盘通常没有得到IT部门的备份支持,所以最好部署一个中央服务器来解决这种令人头疼的问题,让所有的员工能够规范地使用电脑。
优先备份:确定需要保存的数据以及保存时间,然后执行存储策略来优先备份关键数据和应用程序,首先要备份最关键的部分。
现场备份和非现场备份:我们现在拥有各种备份技术,从在线备份服务到磁盘和磁带解决方案等。在考虑选择何种备份服务时,最好选择既可以进行现场备份又可以进行非现场备份的备份服务,那样当你的主要业务场所无法使用时也可以对数据和应用程序进行备份。举例来说,有了磁盘镜像,至少会有两个硬盘同时进行复制和存储数据,那么,如果其中有一个磁盘出现故障,系统就可以自动切换至另一台磁盘,不管这两个磁盘在同一数据中心或是分布在不同城市,这样就可以减少数据和服务的损失。
确保远程访问:数据保存期限和网络访问同样重要。如果实体办公室不能避免灾难的发生,员工还是需要接入网络基础设施来保持业务运行。如果让所有员工实现远程访问不现实,至少密钥持有者应该能够进行远程访问。
确定了停工时间限制以及部署了灾难恢复计划后,有必要进行定期测试。当然,测试需要花费一定的时间和金钱,所以公司的测试频率可以根据预算来设置。作为一个基准来说,中小企业至少每年进行两次测试。如果每年对整个系统进行两侧测试不能实现,至少也应该定期地对最关键的应用程序和系统进行测试。另外,在公司旺季的时候也应该进行测试,并且不需要告知所有的员工,除了必要的几个工作人员外,这样做是为了模拟真正的灾难。最后,IT经理在每次测试后都应该对灾难恢复系统进行审查,看看哪些地方容易出现故障,以及时纠正错误。
有效的灾难恢复计划对于企业生存发展力是至关重要的,根据McGladrey和Pullen事务所统计,每年每500个数据中心就会发生一次灾难事故,其中43%的灾难事故造成无法挽回的损失。而另外的29%企业将会被迫关闭两年。灾难恢复相当于企业保险,是你的企业不可缺少的部分。
