متااندیش | ۲۰ سال تخصص در طراحی زیرساخت، شبکه و مجازی‌سازی امن، پایدار و قابل توسعه برای سازمان‌ها در تهران

برنامه بازیابی فاجعه (DRP) را چطور برای شرکت تدوین کنیم؟

بگذارید همین اول کار روراست باشیم. خیلی از مدیران تصور می‌کنند فاجعه یعنی زلزله یا سیل. اما در دنیای واقعی، فاجعه می‌تواند خرابی یک کنترل‌کننده ذخیره‌سازی ، حذف اشتباهی دیتابیس مشتریان توسط یک کارمند خسته، یا حمله باج‌افزاری باشد که همه فایل‌ها را رمزنگاری می‌کند.

تازه اینها فجایع نرم هستند. در ایران با چالش‌های زیرساختی مثل قطع برق برنامه‌ریزی‌نشده، محدودیت پهنای باند اینترنت در زمان اختلالات و تحریم‌هایی که دسترسی به ابزارهای ابری را پیچیده می‌کند، تعریف فاجعه گسترده‌تر هم می‌شود.

برنامه بازیابی فاجعه (Disaster Recovery Plan) دقیقاً برای همین روزها نوشته می‌شود؛ روز مبادایی که همه چیز از کار می‌افتد. قرار است بعد از خواندن این مقاله، نه فقط یک تعریف کلی، بلکه یک نقشه راه روشن و عملی برای نوشتن DRP شرکت خود داشته باشید؛ راهکاری که با واقعیت‌های اقتصاد و فناوری ایران جور دربیاید و به درد شما بخورد.

فهرست مطالب

برنامه بازیابی فاجعه چیست و چرا یک سند زنده محسوب می‌شود؟

برنامه بازیابی فاجعه، مجموعه‌ای از دستورالعمل‌های مدون، نقش‌های اجرایی و تنظیمات فنی است که مشخص می‌کند بعد از وقوع یک اختلال بزرگ – چه آتش‌سوزی در دیتاسنتر باشد، چه از کار افتادن سرور اصلی سیستم‌های حیاتی چگونه و در چه مدت زمانی دوباره راه‌اندازی شوند.

نکته کلیدی اینجاست: DRP یک سند بایگانی‌شده نیست. باید مثل یک موجود زنده نفس بکشد، با هر تغییر در معماری شبکه، نرم‌افزارها و حتی اعضای تیم به‌روز شود.

اغلب مدیران DRP را با طرح تداوم کسب‌وکار (BCP) اشتباه می‌گیرند. فرقشان ساده است: BCP می‌گوید «کسب‌وکار چطور در بحران سرپا بماند» و DRP می‌گوید «فناوری چطور بلند شود». DRP زیرمجموعه BCP است و بدون آن، تداوم کسب‌وکار فقط یک شعار باقی می‌ماند.

واقعیت تلخ: بیش از ۶۰ درصد کسب‌وکارهایی که قطعی طولانی‌مدت یا حمله سایبری جدی را تجربه می‌کنند و برنامه بازیابی ندارند، ظرف ۶ ماه از بازار خارج می‌شوند. در ایران با وجود نوسانات برق، تحریم‌های دسترسی به سرویس‌های ابری جهانی و تهدیدهای باج‌افزاری و اینترنت فاجعه، این ریسک دوچندان است. یک ساعت خوابیدن سامانه فروش یا نرم‌افزار تولید، بسته به اندازه شرکت، بین ۵۰ تا ۲۰۰ میلیون تومان ضرر مستقیم عملیاتی می‌زند. برنامه بازیابی فاجعه یک سند تشریفاتی نیست؛ خط نجات شرکت است.

تصویر برنامه بازیابی فاجعه (DRP) متااندیش

گام اول: تحلیل اثر بر کسب‌وکار (BIA)؛ کف و سقف تحمل را بشناسید

تا ندانید کدام سیستم‌ها حیاتی‌ترین هستند و چند دقیقه توقف آن‌ها شرکت را فلج می‌کند، نمی‌توانید یک DRP واقعی بنویسید. تحلیل اثر بر کسب‌وکار (Business Impact Analysis) همین کار را می‌کند. دو عدد از دل BIA بیرون می‌آید که مثل نبض برنامه شما هستند: RTO و RPO.

RTO (هدف زمان بازیابی) یعنی حداکثر زمانی که یک سرویس می‌تواند از کار بیفتد تا سازمان آسیب جبران‌ناپذیر ببیند. مثلاً برای سامانه ثبت سفارش یک فروشگاه اینترنتی، RTO شاید ۱۵ دقیقه باشد. برای سیستم حقوق و دستمزد، می‌تواند ۴۸ ساعت باشد.

RPO (هدف نقطه بازیابی) یعنی حداکثر حجم داده‌ای که از دست دادنش قابل قبول است. اگر RPO را ۱ ساعت بگذارید، باید هر یک ساعت بکاپ بگیرید؛ در غیر این صورت هر داده‌ای که بین آخرین بکاپ و حادثه تولید شده، برای همیشه از دست می‌رود.

در شرکت‌های ایرانی، اغلب این تحلیل روی کاغذ نمی‌آید و نتیجه می‌شود که کل زیرساخت را با یک RTO و RPO یکسان می‌بینند. اما منابع مالی محدود است. باید اولویت‌بندی کنید. سامانه مالی و انبار را در اولویت بگذارید؛ سیستم اتوماسیون اداری معمولاً تحمل توقف بیشتری دارد.

برای تعیین دقیق این دو عدد، زیان مالی هر ساعت توقف هر سیستم را محاسبه کنید. مثلاً اگر قطع سامانه تولید به‌طور میانگین ۱۲۰ میلیون تومان در ساعت ضرر بزند، قطعاً RTO آن نباید بیشتر از ۲ ساعت تعیین شود.

گام دوم: دارایی‌های حیاتی و وابستگی‌ها را فهرست کنید

حالا که می‌دانید کدام فرایندها اولویت دارند، باید تک‌تک اجزای فنی که آن فرایندها را زنده نگه می‌دارند شناسایی کنید: سرورها (فیزیکی یا مجازی)، دیتابیس‌ها، تجهیزات شبکه، لایسنس‌های خاص، اپلیکیشن‌های داخلی و حتی ارتباطات VPN بین شعب. در این مرحله، یک جدول ساده اما دقیق بسازید که هر دارایی، وابستگی‌هایش و مقدار RTO/RPO مرتبط را نشان دهد. بدون این جدول، در لحظه بحران نمی‌دانید اول کابل کدام سرور را وصل کنید.

متااندیش : راهنما و راه حل شما در دنیای شبکه

از مشاوره و راه اندازی شبکه تا پشتیبانی فنی و دقیق . ما زیرساخت های شما را بهینه سازی میکنیم با امنیت تضمین شده و گزارش ۲۴ ساعته متااندیش

مشاوره رایگان و تخصصی
خدمات پشتیبانی شبکه
مجازی سازی دسکتاپ
خدمات راه اندازی شبکه
  • پاسخگویی ۲۴ ساعته
  • تضمین تخصص
  • در همه جای تهران

گام سوم: ارزیابی ریسک با نگاه بومی ایران

همه جای دنیا ریسک‌های مشترکی مثل خرابی سخت‌افزار، خطای انسانی، حملات سایبری یا بلایای طبیعی وجود دارند. اما کسب‌وکار ایرانی با چند متغیر خاص روبه‌روست:

  • قطع برق بدون هشدار: حتی با وجود UPS و ژنراتور، گرمای تابستان بعضی ژنراتورها را از نفس می‌اندازد. در DRP باید مشخص کنید ژنراتور چند ساعت سوخت دارد، با کدام تأمین‌کننده تماس بگیرید و اگر برق بیش از ۸ ساعت رفت، سناریوی انتقال بار به دیتاسنتر دوم چه خواهد بود.
  • اختلال در اینترنت و محدودیت‌های بین‌المللی: تحریم‌ها باعث شده خیلی از سرویس‌های ابری معروف دردسترس نباشند یا پرداختشان پیچیده شود. روی سرویس‌های داخلی یا حداقل ترکیبی (هیبریدی) حساب کنید. ضمن اینکه قطع کابل‌های دریایی یا فیلترینگ می‌تواند دسترسی به برخی درگاه‌ها را قطع کند. برنامه باید راه جایگزین ارتباطی (مثلاً اینترنت همراه سازمانی) را از قبل تعیین کند.
  • باج‌افزار و حملات هدفمند: نمونه‌های واقعی نشان می‌دهد بسیاری از شرکت‌های ایرانی که بکاپ‌هایشان روی همان شبکه داخلی بوده، در حمله باج‌افزاری همه نسخه‌های پشتیبان را هم از دست داده‌اند. DRP باید یک نسخه آفلاین و ایزوله از بکاپ‌های حیاتی را الزامی کند.

گام چهارم: استراتژی بازیابی را انتخاب کنید

اینجا تصمیم می‌گیرید با چه روشی می‌خواهید سیستم‌ها را برگردانید. سه رویکرد کلاسیک وجود دارد که هنوز جواب می‌دهند؛ به‌اضافه یک رویکرد نوین مبتنی بر ابر که برای شرکت‌های ایرانی بسیار منطقی‌تر از گذشته شده است:

  • سایت گرم (Hot Site): یک کپی کاملاً فعال و آماده‌به‌کار از زیرساخت که داده‌ها لحظه‌ای با آن همگام‌سازی می‌شوند. هزینه سنگینی دارد و برای سازمان‌های بسیار بزرگ که حتی ۱۰ دقیقه توقف هم برایشان قابل تحمل نیست توجیه دارد.
  • سایت گرم ملایم (Warm Site): سخت‌افزار و شبکه آماده است اما نرم‌افزارها و داده‌ها باید بارگذاری شوند. زمان راه‌اندازی معمولاً ۴ تا ۸ ساعت. برای شرکت‌های متوسط که RTO آنها در این محدوده است، انتخاب هوشمندانه‌ای محسوب می‌شود.
  • سایت سرد (Cold Site): یک فضای فیزیکی با برق و شبکه که تجهیزات در آن حاضر نیست. بعد از فاجعه باید سخت‌افزار تهیه کنید، نصب کنید و داده‌ها را برگردانید. زمان راه‌اندازی ۲۴ تا ۷۲ ساعت و گاهی بیشتر. ارزان است، اما برای خیلی از کسب‌وکارها ریسک بالایی دارد.
  • بازیابی مبتنی بر ابر (Cloud DR یا DRaaS): از دیتاسنترهای ابری داخلی (مثل ابر آروان، ابر دیده‌بان یا زیرساخت ابری آسیاتک) استفاده می‌کنید. می‌توانید ماشین‌های مجازی را از پیش تنظیم کنید و فقط در زمان بحران روشن کنید. هزینه‌اش بر اساس مصرف است و از سرمایه‌گذاری اولیه سنگین جلوگیری می‌کند. زمان بازیابی معمولاً بین ۱ تا ۴ ساعت.

مقایسه استراتژی‌های بازیابی؛ کدام به کار شرکت ایرانی می‌آید؟

استراتژی هزینه تقریبی (تومان) زمان راه‌اندازی پیچیدگی مناسب برای
سایت گرم راه‌اندازی اولیه بالای ۵۰۰ میلیون + ماهانه بالای ۸۰ میلیون کمتر از ۱ ساعت زیاد بانک‌ها، پرداخت‌یارها، شرکت‌های بورسی
سایت گرم ملایم ماهیانه ۱۵ تا ۳۵ میلیون (فضای رک و سخت‌افزار اشتراکی) ۴ تا ۸ ساعت متوسط شرکت‌های تولیدی و پخش متوسط
سایت سرد ماهیانه ۴ تا ۸ میلیون (اجاره رک) + تهیه سخت‌افزار در زمان بحران ۲۴ تا ۷۲ ساعت کم کسب‌وکارهای کوچک با RTO بالا
DR ابری (دیتاسنتر ایرانی) بر اساس مصرف؛ حدود ۱۰ تا ۴۰ میلیون تومان در ماه برای محیط متوسط ۱ تا ۴ ساعت متوسط استارتاپ‌ها، فروشگاه‌های اینترنتی، شرکت‌های خدماتی

اعداد جدول بر اساس قیمت‌های رایج دیتاسنترها و تأمین‌کنندگان داخلی در سال ۱۴۰۴ برآورد شده است. هزینه واقعی به تعداد سرورها، حجم داده و سطح پشتیبانی بستگی دارد. نکته مهم اینکه در ایران، ترکیب یک سایت سرد یا گرم ملایم با فضای ابری برای داده‌های حساس، اغلب بهترین تعادل بین هزینه و سرعت است.

گام پنجم: مستندات را طوری بنویسید که در بحران گم نشوید

بزرگترین دشمن یک DRP خوب، غیرقابل‌فهم بودن آن در ساعت ۳ نیمه‌شب است، وقتی که تیم فنی تحت فشار است و آژیرها به صدا درآمده‌اند. دستورالعمل‌ها باید شفاف، قدم‌به‌قدم و به زبان ساده نوشته شوند.

برای هر سناریو (خرابی سرور اصلی، حمله باج‌افزاری، قطع برق گسترده) یک برگه عملیاتی جداگانه داشته باشید که دقیقاً بگوید نفر اول چه کسی را خبر کند، کدام اسکریپت اجرا شود، چگونه VPN را روی مسیر جایگزین فعال کنند و اعتبارنامه‌ها از کجا قابل دسترسی است.

در این مستندات، فهرست تماس اضطراری تیم بازیابی را هم بگنجانید. اسم، شماره موبایل، و یک پیام‌رسان داخلی مثل بله یا ایتا برای هماهنگی سریع. در اختلالات اینترنتی، خیلی وقت‌ها حتی واتس‌اپ هم وصل نیست. یک کانال پشتیبان ارتباطی بدون وابستگی به زیرساخت داخلی تعیین کنید. همچنین چک‌لیست بازیابی اولویت‌بندی شده: اول سامانه مالی و تراکنش‌ها، بعد سامانه مشتریان، بعد بقیه.

گام ششم: تست و تمرین؛ جایی که همه چیز لو می‌رود

برنامه‌ای که تست نشود، یک فایل PDF بی‌ارزش است. متأسفانه اغلب شرکت‌ها بعد از نوشتن DRP، آن را کنار می‌گذارند. آمارهای بین‌المللی نشان می‌دهد ۴۰ درصد کسب‌وکارهایی که DRP نوشته‌اند، هرگز آن را تست نکرده‌اند. نتیجه؟ روز حادثه تازه می‌فهمند که بکاپ‌ها ناقص بوده یا سناریوی جایگزین شبکه کار نمی‌کند.

حداقل سه نوع تمرین باید در تقویم شرکت باشد:

  • بازبینی رومیزی (Tabletop): تیم دور یک میز جمع می‌شود و سناریوی فرضی را قدم‌به‌قدم مرور می‌کند. هزینه ندارد و اشکالات فرایندی را سریع نمایان می‌کند. هر فصل یک بار انجام شود.
  • تست شبیه‌سازی محدود: یک بخش غیرحیاتی را عملاً روی سایت جایگزین راه‌اندازی می‌کنید. اینجا می‌فهمید که آیا دستورالعمل‌های نوشته‌شده واقعاً اجرا می‌شوند یا نه. حداقل سالی دو بار.
  • تست کامل قطع دسترسی: یک بار در سال، سناریوی قطع کامل سایت اصلی را شبیه‌سازی کنید و ببینید کل عملیات از مسیر جایگزین چقدر طول می‌کشد. این تست، اعداد واقعی RTO و RPO را به شما نشان می‌دهد، نه اعداد روی کاغذ را.

چالش‌های رایج در ایران و نسخه‌ای که جواب می‌دهد

در کنار مسائل فنی، چند مانع عملی هم هست که اگر برایشان فکری نکنید، برنامه را زمین می‌زنند:

  • نوسان قیمت تجهیزات و ارز: اگر بخشی از برنامه به خرید سریع سخت‌افزار وابسته باشد، ممکن است در زمان بحران نه موجودی باشد، نه قیمت معقول. راه‌حل: از قبل سخت‌افزار آماده‌به‌کار در سایت سرد تهیه کنید یا کاملاً به مدل ابری مهاجرت کنید.
  • کمبود نیروی متخصص در لحظه بحران: همه تیم ممکن است همزمان در دسترس نباشند. مستندات باید آنقدر ساده باشد که یک نیروی فنی با دانش متوسط هم بتواند مراحل اولیه را پیش ببرد. آموزش متقابل بین اعضای تیم (Cross-training) را جدی بگیرید.
  • دسترسی به لایسنس‌های نرم‌افزاری: بعضی لایسنس‌ها به سخت‌افزار قفل شده‌اند. اگر سرور اصلی بسوزد، نمی‌توانید نرم‌افزار را روی سخت‌افزار جدید فعال کنید. از قبل با تأمین‌کننده نرم‌افزار، سناریوی بحران را هماهنگ و یک توافقنامه پشتیبانی اضطراری امضا کنید.

سوالات متداول

تفاوت برنامه بازیابی فاجعه با طرح تداوم کسب‌وکار چیست؟

طرح تداوم کسب‌وکار (BCP) یک چتر بزرگتر است که می‌گوید همه فعالیت‌های سازمان در شرایط بحران چگونه ادامه پیدا کند؛ از جابه‌جایی کارکنان گرفته تا ارتباط با مشتریان. برنامه بازیابی فاجعه (DRP) زیرمجموعه آن و منحصراً روی بخش فناوری اطلاعات متمرکز است: چگونه سرورها، دیتابیس‌ها، شبکه و نرم‌افزارها احیا شوند. بدون DRP، تداوم کسب‌وکار در بخش فنی فلج می‌ماند.

چند وقت یکبار باید برنامه بازیابی را تست کنیم؟

بازبینی رومیزی هر سه ماه یکبار، تست شبیه‌سازی محدود هر شش ماه و تست کامل قطع دسترسی سالی یک‌بار. اگر تغییری اساسی در زیرساخت ایجاد کردید (مثلاً ERP جدید مستقر کرده‌اید)، حتماً ظرف یک ماه یک تست رومیزی یا محدود انجام دهید. بازه‌های طولانی‌تر، برنامه را ناکارآمد می‌کند.

آیا برای شرکت‌های کوچک و زیر ۲۰ نفر هم DRP ضروری است؟

بی‌برو‌برگرد بله. شاید یک شرکت کوچک نتواند سایت گرم احداث کند، اما یک برنامه ساده شامل بکاپ‌گیری آفلاین و یک لپ‌تاپ یدکی با نرم‌افزارهای کلیدی که بشود همان روز اول به آن وصل شد، هزینه ناچیزی دارد و ریسک ورشکستگی را چندین برابر کاهش می‌دهد. برای یک دفتر مهندسی یا آژانس دیجیتال مارکتینگ، از دست دادن فایل‌های پروژه یعنی از دست دادن اعتماد و مشتری.

هزینه راه‌اندازی یک سایت سرد چقدر تمام می‌شود؟

اگر بخواهید یک رک در دیتاسنتر اشتراکی اجاره کنید، هزینه ماهیانه بین ۳ تا ۷ میلیون تومان متغیر است. سخت‌افزار آماده‌به‌کار (یک سرور رفرش‌شده با پیکربندی متوسط) هم حدود ۸۰ تا ۱۵۰ میلیون تومان یک‌بار هزینه دارد. در مجموع، راه‌اندازی یک سایت سرد حداقلی با احتساب شبکه و ذخیره‌سازی، کمتر از ۲۵۰ میلیون تومان سرمایه‌گذاری اولیه می‌خواهد که در مقایسه با ضرر احتمالی چندروزه یک شرکت، رقم معقولی است.

RTO و RPO را چطور برای سیستم‌های مختلف انتخاب کنیم؟

برای هر سیستم، ضرر ریالی هر ساعت توقف را محاسبه کنید. اگر توقف سامانه انبارداری باعث خوابیدن خط تولید و روزی ۵۰۰ میلیون تومان ضرر شود، RTO باید زیر ۲ ساعت باشد و RPO زیر ۱ ساعت (یعنی بکاپ‌گیری تقریباً پیوسته). برای سیستم مدیریت آموزش کارکنان، شاید RPO یک روزه و RTO ۴۸ ساعته هم قابل قبول باشد. هیچ عدد جادویی وجود ندارد، معیار شما ریال است.

آیا استفاده از سرویس‌های ابری ایرانی برای DRP امن است؟

با الزامات فعلی و محدودیت‌های دسترسی به ابرهای خارجی، ابرهای داخلی انتخاب اول هستند. از نظر امنیت، دیتاسنترهای معتبر ایرانی گواهی‌نامه‌های امنیتی دارند و داده‌ها در داخل کشور باقی می‌ماند. حتماً داده‌های حساس را قبل از ارسال رمزنگاری کنید و کلید رمزنگاری را نزد خود نگه دارید. همچنین یک کپی آفلاین جداگانه همیشه داشته باشید؛ اتکای صرف به ابر، ریسک را صفر نمی‌کند.

اگر فقط بکاپ منظم بگیریم و برنامه مکتوب نداشته باشیم، کافی نیست؟

کافی نیست. بکاپ مثل داشتن قطعات یک ماشین است؛ DRP دفترچه راهنمای سرهم کردن آن قطعات در تاریکی و زیر باران است. بدون مستندات، احتمالاً نمی‌دانید ترتیب راه‌اندازی سرویس‌ها چیست، IPهای جدید چطور تنظیم شوند، یا چه کسی باید با مشتریان تماس بگیرد. نتیجه: بازیابی دوبرابر زمان می‌برد و خطاهای بیشتری رخ می‌دهد.

جمع‌بندی: از حرف تا عمل

برنامه بازیابی فاجعه یک پروژه نیست که تمام شود؛ یک قابلیت سازمانی است. با تحلیل BIA شروع کنید، RTO و RPO را برای هر سرویس واقعی تعیین کنید، استراتژی بازیابی را با توجه به بودجه و واقعیت‌های ایران انتخاب کنید و مستندات را به زبانی بنویسید که در بحران هم قابل اجرا باشند.

مهم‌تر از همه، تست را تبدیل به عادت کنید. برنامه‌ای که تست نشده، فقط یک حس امنیت کاذب می‌دهد. همین هفته یک جلسه رومیزی یک‌ساعته با تیم فنی بگذارید و اولین سناریو را مرور کنید. مطمئن باشید فایده‌اش بیشتر از چند ماه جلسات عمومی مدیریتی است.

 

پست های مرتبط