网络恢复与灾难恢复：有何区别？

当今企业的安全、资产和关键业务流程面临着广泛的威胁。无论是准备应对复杂的网络攻击还是自然灾害，采取主动方法并选择合适的业务连续性灾难恢复 (BCDR) 解决方案，对于提高适应性和弹性至关重要。

网络安全和网络恢复是灾难恢复 (DR) 实践的类型，主要针对企图窃取、暴露、更改、瘫痪或破坏关键数据。灾难恢复本身通常针对更广泛的威胁，而不仅仅是那些本质上是网络的威胁。虽然网络恢复和灾难恢复不同（主要是因为它们有助于缓解事件起因），但它们通常是互补的，许多企业明智地选择同时部署两者。

网络恢复旨在帮助各组织针对网络攻击做好准备并从中恢复，网络攻击是指通过未经授权访问网络、计算机系统或数字设备，蓄意窃取或破坏数据、应用程序和其他数字资产的行为。虽然灾难恢复可以包括有助于应对网络威胁的计划，但它主要针对的范围要广泛得多，包括自然灾害、人为错误、大规模停电等。

网络恢复和灾难恢复之间最重要的区别也许是它们想要缓解的威胁的性质。网络恢复侧重于恶意造成的灾难，包括黑客、外国和其他人。灾难恢复涵盖各种威胁，通常背后没有恶意。

以下是上述一些术语的简要摘要：

什么是灾难恢复？

灾难恢复 (DR) 是 IT 技术与最佳实践的结合，旨在防止数据丢失并最大限度地减少意外事件造成的业务中断。灾难恢复可以指设备故障、停电、网络攻击、民事紧急情况、自然灾害以及刑事或军事攻击等所有方面，但最常用于描述非恶意原因造成的事件。

什么是网络恢复？

网络恢复是指在发生网络攻击时，提高组织的网络弹性的过程或恢复对关键 IT 系统和数据的访问和功能的能力。网络恢复的主要目标是从备份环境中恢复业务系统和数据，并尽可能快速有效地将它们恢复到工作状态。强大的 IT 基础设施和异地数据备份解决方案有助于确保业务连续性，并针对各种网络相关威胁做好准备。

通过制定网络恢复计划，包括通过自定义脚本进行数据验证、通过机器学习来提高数据备份和数据保护能力，以及部署虚拟机 (VM)，公司可以从网络攻击中恢复，并防止将来再次受到恶意软件的感染。

什么是网络攻击？

网络攻击是指通过未经授权的方式访问网络、计算机系统或数字设备，故意窃取、暴露、篡改、禁用或破坏数据完整性的行为。威胁参与者出于各种原因发起网络攻击，包括小额盗窃和战争行为。

忽视制定可靠的网络和灾难恢复战略的组织会面临各种威胁，可能会造成毁灭性后果。例如，最近的 Kyndril 研究（ibm.com 外部链接）得出结论，基础设施故障可能给企业造成每小时高达 10 万美元的损失，而应用程序故障的损失则在每小时 50 万美元到 100 万美元之间。许多中小型企业没有资源从造成如此规模损害的破坏性事件中恢复过来。根据 Access Corp（ibm.com 外部链接）最近的一项研究，40% 的小企业在灾难后无法重新开业，即便是重新开业的企业，也有 25% 的企业在次年倒闭。

无论面对的是不良分子的恶意网络攻击，还是没有恶意的地震或洪水，公司都需要做好应对各种复杂威胁的准备。制定完善的灾难恢复计划有助于向客户、员工、企业领导者和投资者保证，企业正在稳健运营，并已做好应对任何情况的准备。以下是网络和灾难恢复计划的一些好处：

• 提高业务连续性：在整个网络攻击或其他攻击过程中保持最关键业务流程的连续性，是网络和灾难恢复计划最重要的优势之一。
• 降低意外事件的成本：网络和灾难恢复的代价可能非常高昂，员工、数据和基础设施等关键资产都会受到威胁。数据泄露是网络攻击的常见结果，其破坏性尤为严重。根据 IBM 2023 年《数据泄露成本报告》，去年数据泄露的平均成本为 445 万美元，在过去 3 年内增长了 15%。
• 减少停机时间：现代企业依赖于云计算解决方案和蜂窝网络等复杂技术。当意外事件扰乱正常运营时，可能会导致代价高昂的停机和媒体不必要的关注，从而导致客户和投资者流失。部署一个强大的网络或灾难恢复解决方案，可以增加企业从各种威胁中全面有效恢复的机会。
• 提升合规能力：医疗保健和个人理财等受严格监管的行业一旦发生客户数据泄露，将被处以巨额罚款。这些领域的企业必须制定强大的网络和灾难恢复策略，缩短响应和恢复时间并确保客户数据的私密性。

网络恢复和灾难恢复计划可帮助各组织做好应对各种威胁的准备。从使用虚假电子邮件针对客户的恶意网络钓鱼攻击到威胁关键基础设施的洪水，无论组织担心什么，都有一个网络恢复或灾难恢复计划可以提供帮助：

• 网络恢复计划：网络恢复计划是灾难恢复计划的一种，专门用于挫败网络攻击，如网络钓鱼、恶意软件和勒索软件攻击。强大的网络恢复战略包括一项详细的计划，概述了组织如何应对破坏性网络事件。网络恢复计划的常见要素包括数据备份、防盗和减灾，以及有助于有效应对利益相关者（包括数据面临风险的客户）的沟通策略。 
• 灾难恢复计划：灾难恢复计划 (DRP)  是描述公司将如何应对不同类型灾难的详细文件。通常，企业要么自行构建 DRP，要么将其灾难恢复流程外包给第三方 DRP 供应商。与业务连续性计划 (BCP) 和事件响应计划 (IRP) 一样，DRP 在灾难恢复策略的有效性中发挥着关键作用。

网络攻击的类型

一提到灾难恢复，人们就会立刻想到一系列可能发生的情况，如自然灾害、大面积停电、设备故障等。但网络攻击呢？大多数人不太熟悉这个词，但它所包含的威胁对组织来说同样重要或频繁。以下是网络恢复工作有助于准备应对的一些常见网络攻击类型：

• 恶意软件：恶意软件是指任何试图损害计算机系统的软件代码或计算机程序。几乎所有现代的网络攻击都涉及某种类型的恶意软件。恶意软件的形式多种多样，既有极具破坏性、代价昂贵的勒索软件，也有会中断浏览器上的会话的烦人广告软件。
• 勒索软件：勒索软件是一种恶意软件，它会锁定数据或设备，并威胁要将其锁定甚至销毁，除非向背后的网络罪犯支付赎金。
• 网络钓鱼：在网络钓鱼攻击中，欺诈性电子邮件、短信、电话甚至网站被用来诱骗用户下载恶意软件、共享敏感信息或个人数据（如社会保障号码或信用卡号），或采取其他可能使自己或所在组织面临网络犯罪的行动。成功的网络钓鱼攻击会导致身份盗用、信用卡欺诈和数据泄露，而且往往会给个人和组织带来巨大的经济损失。
• 数据泄露：数据泄露是网络犯罪，可能由上述任何三种类型的网络攻击引起。数据泄露是指任何未经授权的人获取机密数据（如社会保障号码、银行账户信息或医疗记录）的访问权限的安全事件。

灾难恢复计划 (DRP)（无论是针对网络攻击还是其他类型的威胁）首先对最关键的业务流程进行深入分析（称为业务影响分析 (BIA)），同时进行全面的风险评估 (RA)。虽然每个企业都不同并且有独特的要求，但遵循这五个步骤已帮助各种规模的组织和许多不同行业做好更充分的准备并提升弹性。

第 1 步：开展 业务影响分析

业务影响分析 (BIA) 是对公司面临的每项威胁以及可能产生的结果进行仔细评估。全面的 BIA 会审视这些威胁可能如何影响日常运营、沟通渠道、员工安全和企业的其他关键方面。

第 2 步：进行风险分析

进行合理的风险分析 (RA) 是创建有效 DRP 的关键一步。通过考虑两件事分别评估每种潜在威胁：威胁发生的可能性及其对业务运营的潜在影响。

第 3 步：创建资产清单

灾难恢复有赖于全面了解企业拥有的每项资产。这包括硬件、软件、IT 基础设施、数据以及对业务运营至关重要的任何其他内容。以下是用于对资产进行分类的三个广泛使用的标签：

• 关键：正常业务运营所需的资产。
• 重要：企业每天至少使用一次，且一旦中断会影响业务运营的资产。
• 不重要：企业不经常使用，且对业务运营非必要的资产。

步骤 4：确立角色和职责

显然，分配角色和职责可以说是灾难恢复策略中最重要的部分。没有它，就没有人知道在发生灾难时该怎么办。以下是每个灾难恢复计划都应包括的一些角色和职责：

• 事件报告人：发生破坏性事件时，负责与利益相关者和有关当局沟通的人员。
• DRP 管理员：确保团队成员在整个事件过程中执行所分配任务的人。
• 资产管理员：当灾难来临时，保护关键资产安全的人。

第 5 步：测试和优化

为了确保灾难恢复策略合理，需要不断实践并根据任何有意义的变化定期更新它。DRP 和网络恢复计划的测试和优化可分为三个简单步骤：

• 搭建准确的模拟环境：在演练灾难或网络恢复计划时，尝试搭建一个尽可能接近公司将面临的实际场景的环境，但不要让任何人面临实际风险。
• 发现问题：利用测试过程找出计划中的错误和不一致之处，简化流程并解决备份程序中的任何问题。
• 测试程序：了解如何应对事件至关重要，但同样重要的是，要对在事件结束后恢复关键系统而制定的程序进行测试。测试如何让网络继续正常运行、恢复任何丢失的数据并恢复正常业务运营。

在帮助组织做好准备应对网络相关和非网络相关威胁时，需要现代化的综合方法，优先考虑缓解风险、部署尖端技术并提供快速且易于实施的方法。

IBM Cloud 网络弹性和恢复提供简化的业务连续性计划，具有经济高效的灾难恢复 (DR)、云备份和强大的勒索软件恢复解决方案，可在整个 IT 环境中保护和恢复数据。