数据恢复计划：如何创建以及包含哪些内容

---

专家强调，可靠的数据恢复计划对于每个组织都至关重要。毕竟，IT 生态系统面临的威胁是不可避免的，从勒索软件等网络攻击到野火和飓风等天气紧急情况，再到 IT 专业人员过度劳累造成的毁灭性错误。

您无法消除这些威胁，但您可以在它们来袭时最大限度地提高恢复能力。加速恢复并使您的业务重新站稳脚跟的关键是制定可靠的、经过测试的数据备份灾难恢复计划。正如 Gartner 指出的那样：“在攻击发生后尝试临时恢复过程将不可避免地导致错误并延长停机时间。 ”[1]

但数据恢复计划包括哪些内容？如何确保您的系统对于勒索软件恢复和其他威胁恢复均有效？这篇文章将引导您了解您需要了解的内容。

制定可靠的数据恢复计划：四个关键领域

建立健全的数据恢复计划的核心策略可分为四个领域：

• 盘点与评估
• 规划和优先顺序
• 备份与恢复策略
• 审查和测试

让我们深入研究其中的每一个。

1. 盘点与评估

对您的数据和应用程序进行分组。

制定数据备份灾难恢复计划的第一步是对数据进行分组。哪些数据和应用程序对组织最重要？没有什么你可以活得更久一点？哪些数据大部分是静态的？数据到底位于哪里？

下表显示了分为三类的数据分组：静态、业务关键和关键任务。这只是一个例子；您可能会决定您的恢复计划需要一组不同的分类。

Classification Application Server/VM Static File system FLS-001 Business vital



SharePoint Microsoft 365


MOSS-001
SQL-001
SQL-002
Mail-001 Mission critical

Oracle
Active Directory ORC-001
AD-001

图 1. 数据分类

要确定哪些数据属于每个类别，请考虑它的动态性以及它对核心业务功能的重要性。例如，Microsoft 365 和 SharePoint 等工具对于用户协作和通信至关重要，因此存储在其中的敏感数据可能会被分配到比文件系统更高的分类，而文件系统可能不会经常更改。

最高级别的任务关键型包括用于金融交易的数据库等，这对于保持业务活力以及满足合同和法律要求至关重要。请注意，Active Directory 也完全属于这一类。 Active Directory 提供身份验证和授权服务，使您的 IT 生态系统能够正常运行。如果没有 Active Directory，用户将无法登录其端点或访问 IT 资产，并且应用程序和服务也无法运行。简而言之，你的生意已经泡汤了。 Gartner 的说法是：“许多有据可查的勒索软件攻击的恢复过程因没有完整的 Active Directory 恢复过程而受到阻碍。 ”[2]

制定恢复目标。

接下来，是时候为每种类型的数据建立恢复时间目标 (RTO) 和恢复点目标 (RPO)。与利益相关者合作，确定需要恢复数据的速度以及可接受的数据丢失量。请记住，他们的最初反应可能是要求零停机和零数据丢失。您需要帮助他们了解该目标的成本有多大，并就您的数据恢复计划达成合理、平衡的期望。

在许多情况下，您需要更深入地设置版本恢复目标 (VRO) 和地理恢复目标 (GRO)。要建立 VRO，请询问您需要能够恢复的数据的最新版本。 GRO 解决了备份的存储位置以及它如何影响其他恢复要求；例如，从灾难恢复站点恢复时的 RTO 可能比从本地备份恢复时的 RTO 更长。

以下是数据恢复计划生成的扩展表的示例：

Application Server/VM RTO RPO VRO GRO Static File system FLS-001 24 hrs 24 hrs 6 daily
4 weekly
12 monthly Local
DR site
Cloud Business vital SharePoint
Microsoft 365 MOSS-001
SQL-001
SQL-002
Mail-001
OneDrive 12 hrs 12 hrs 24 hourly
6 daily
4 weekly Local
DR site Mission critical Oracle
Active Directory ORC-001
AD-001 1 hour 10 min 6-10 min
24 hourly
6 daily Local
Standby
DR site

图 2. 定义每个分类的恢复指标

2. 规划和优先顺序

发现并评估漏洞。

制定数据恢复计划的另一个核心步骤是发现对手可以利用的弱点，然后通过评估发生这种情况的可能性以及可能造成的潜在损害来确定其优先级。

以下是一个标准风险评估矩阵，用于根据概率和影响的组合将风险分类为低、中、高或极端风险：

图 3. 标准风险评估矩阵

在此过程中，请务必考虑内部威胁和外部攻击。例如，黑客现在正积极试图贿赂员工植入恶意软件。努力建立零信任模型至关重要。

了解数据的依赖性。

在制定数据恢复计划时，请考虑不仅恢复数据，而且还恢复数据访问所涉及的依赖关系。毕竟，快速恢复任务关键型 Oracle 数据库本质上没有任何价值，除非您还恢复了启动该数据库并使用户能够访问它所需的组件。

此外，应关注恢复时间而不是备份速度。备份通常进行得很快，因为在初始完整备份之后，后续备份只需要覆盖差异更改。因此，真正确定您是否有足够的带宽在恢复计划所需的时间内恢复数据非常重要。如上所述，此过程通常涉及了解备份的地理位置。

评估您加速恢复的工具。

考虑一下您还有哪些其他工具可以加快恢复过程。数据复制工具非常有帮助。快照也可以，但需要注意的是，快照并不能替代企业备份，而且在网络攻击期间通常很容易被损坏。

确定执行计划的权限并确保有效的沟通。

确保您的数据备份灾难恢复计划明确谁有权启动恢复操作。否则，没有人可以采取主动，从而延长停机时间并对组织造成损害。

此外，请确保恢复计划包括不依赖于可能已关闭或无法访问的系统的通信策略。您不希望计划的唯一副本位于已加密的服务器上，甚至位于未成为目标但由于 Active Directory 已关闭而无人可以登录的平台上。

3. 备份与恢复策略

超越“数据”思考 — 您的策略也必须涵盖 Active Directory。

虽然您的备份和恢复策略显然必须包括数据库和文件系统中存储的记录等数据，但如果由于您的 Active Directory 已关闭而没有人可以访问这些数据，那么这些数据将毫无用处。因此，如前所述，Active Directory 本身就被视为关键任务数据。例如，当航运巨头马士基受到恶意软件攻击时，它备份了大部分数据，但没有备份 Active Directory。它之所以能够免于从头开始重建 AD，只是因为它发现了一个在攻击期间处于离线状态的单独域控制器，并且能够费尽周折地将其运送到数千英里之外作为备份。

请记住，备份和恢复 Active Directory 是一个复杂的过程。例如，您需要最大限度地减少恶意软件隐藏的地方，以免在恢复域控制器时恢复感染，并尽可能简化冗长的本机域恢复过程，以最大限度地减少业务停机时间。因此，拥有可提供控制、灵活性和自动化的高级 Active Directory 备份和恢复解决方案至关重要。 Gartner 建议：“如果可能，请投资用于 Active Directory 恢复的专用工具，因为 Microsoft 工具和程序以及企业备份工具的有限功能通常不适合用途。”[3]

保护您的备份。

由于没有可行的备份就不可能进行恢复，因此保护您的备份系统和数据免受加密、损坏、删除和其他干扰至关重要。限制备份存储库网络接口的一种方法是创建子网并将存储库放置在公共网络上看不到的位置。此外，您的备份过程应包括对备份数据进行加密，而不是将其存储为可识别的格式，以使数据对不良行为者尽可能无用。

拥有多个数据副本。

您的数据恢复计划应涵盖备份位置和格式。经典策略是 3-2-1：在两个不同的存储介质上拥有三个副本，其中一个副本位于异地。下图说明了该模型。主要备份存储在公司总部的数据中心，并复制到区域办事处。此外，备份数据存储在云端。

图 4. 具有多个数据位置和格式的示例备份策略

虽然云服务可能是数据恢复计划的重要组成部分，但也有一些注意事项需要牢记。首先，请记住，即使在云中，也存在可以加密文件的威胁。此外，许多云服务提供了很大的带宽用于上传到云，但不提供相同的带宽用于从云下载数据。因此，仔细研究云提供商以及与他们签订的协议的详细信息至关重要，以确保您能够实现恢复目标。

确保您的备份不可变。

除了严格限制对备份文件的访问之外，组织还需要确保即使有人获得访问权限也无法修改或删除数据。一些备份和恢复解决方案提供不可变的备份，可以在备份数据的既定生命周期（保留期）内保护备份数据。

自动化。

手动流程本质上缓慢、不可靠并且容易出现人为错误。对于备份和恢复来说都是如此。您需要正确进行备份并按计划进行，无论谁在度假或 IT 团队可能会出现什么其他优先事项。

自动化对于恢复操作可能更为重要，尤其是灾难恢复，因为每一秒的停机都会给企业带来损失。正如 Gartner 所说，“如果组织必须依赖手动流程和程序，就不可能迅速恢复受影响的系统。无论采用何种恢复方法，情况都是如此，如果无法实现恢复过程主要部分的自动化，将导致恢复正常服务时出现不可接受的延迟。 ”[4]

4. 审查和测试

定期测试和修改您的数据备份灾难恢复计划。

很多时候，组织投入了大量的思考、精力和时间来制定全面的数据恢复计划，但只进行了一两次，然后就将其搁置起来，直到灾难发生。然而，威胁在不断演变，IT 生态系统也在不断变化。例如，您可能采用对您的业务运营至关重要且对手正在积极寻求利用的技术，使其成为“高”甚至“极端”漏洞。但你的数据恢复计划甚至没有提到它。

同样，业务流程和需求即使在短时间内也可能发生巨大变化。今天对业务至关重要的数据明天的价值可能会大大降低。你不想在真正需要的时候发现你的计划失败了。

因此，有必要制定定期计划来审查和更新您的恢复计划，并测试修订后的计划以确保其满足您的需求。时间表将根据组织的需求而有所不同，但下表详细介绍了不同类型的测试并提供了有关建议频率的指导。

Test type Description Frequency Walk-through Review the layout on contents of your DR plan. As often as necessary to familiarize response teams and individuals with a documented plan or changes to a plan Tabletop exercise Using a scenario, discuss the response and recovery activities of your documented plan. At least 4 times per year and any time a change is made to the business or IT operating environment Component exercise Exercise a component of your DR plan, such as testing automated communications services or work- from-home capabilities together with IT or partner capabilities. At least twice per year and any time a change is made to the business or IT operating environment Full-scale simulation Using a scenario, carry out the response and recovery activities of a DR plan the entire organization. At least once or twice per year and any time a change is made to the business or IT operating environment

使用未开发数据恢复计划的人员来测试您的数据恢复计划。

最后，确保您的计划不依赖于任何特定个人。毕竟，当灾难发生时，负责制定该计划的 IT 专业人员可能正在休假。此外，随着现代 IT 技能短缺和更广泛的员工辞职，组织的 IT 团队出现了显着的人员流动。无论这些情况如何，您都需要确保数据恢复计划能够正确实施。

因此，请确保您的恢复计划有详细记录，并且即使您最有价值的 IT 专业人员已离开公司或根本无法工作，您的 IT 团队也可以执行该计划。

结论

快速浏览一下新闻就可以证明，没有任何组织能够免受现代网络威胁的影响。它们影响到从中小型企业到大型企业，从私营企业到学校、政府机构和关键基础设施的所有人。虽然网络攻击跃入脑海，但组织也容易受到自然灾害、内部威胁、管理员错误和其他风险的影响。

虽然您可以（并且应该）努力加强安全态势以最大程度地减少暴露风险，但您无法消除灾难发生的风险。问题是，当灾难发生时，您能够多快、多好地恢复？

为了实现保护您的组织所需的网络弹性，您需要制定可靠的数据恢复计划并定期进行测试。遵循此处列出的策略将帮助您建立并实现数据恢复目标。

1 Gartner, Inc.，“恢复与重建 — 勒索软件攻击后恢复应用程序的策略”，Nik Simpson 和 Ron Blair，2022 年 3 月 2 日 (ID G00761039)。

2Gartner, Inc.，“如何使用现代备份基础设施从勒索软件攻击中恢复”，Fintan Quinn，2021 年 6 月 4 日。

3 Gartner，“恢复与重建 — 勒索软件攻击后恢复应用程序的策略”，Nik Simpson 和 Ron Blair，2022 年 3 月 2 日 (ID G00761039)。

4 Gartner，“恢复与重建 — 勒索软件攻击后恢复应用程序的策略”，Nik Simpson 和 Ron Blair，2022 年 3 月 2 日 (ID G00761039)。