|
千呼万唤始出来,等保2.0终于在5月13号正式发布了,将在12月1日正式实施。 在新的标准中,对于数据备份和灾难恢复有了新的变化,我们先来看一看新标准中的规定: 
下面我们来看一下和老的标准相比,二者的区别: 一级 技术要求: 1.0 | 应能够对重要信息进行备份和恢复。 | 2.0 | 应提供重要数据的本地数据备份与恢复功能 |
管理要求: 1.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
| 2.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应规定备份信息的备份方式、备份频度、存储介质、保存期等。
|
注:一级基本上没有大的变化,只是技术部分多了本地两个字。要求提供重要数据的本地备份和恢复。 二级 技术要求: 1.0 | 应能够对重要信息进行备份和恢复; 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。
| 2.0 | 应提供重要数据的本地数据备份与恢复功能; 应提供异地数据备份功能,利用通信网络能将重要数据定时批量传送至备用场地。
|
管理要求: 1.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应规定备份信息的备份方式、备份频度、存储介质、保存期等; 应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。
| 2.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
|
在二级中的技术部分,去掉了对业务系统的高可用要求,将该要求移到三级部分,增加了异地备份的要求,要求定时批量将数据传送到异地保存。 三级 技术要求: 1.0 | 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地; 应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
| 2.0 | 应提供重要数据的本地数据备份与恢复功能 应提供异地实时备份功能,利用通信网络能将重要数据 实时备份至备份场地 应提供重要数据处理系统的热冗余,保证系统的高可用性
|
管理要求: 1.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范; 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; 应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存; 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
| 2.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
|
三级中,技术部分中取消了对网络架构和通信链路的冗余要求。对异地备份的要求改为了实时。对管理部分的要求中对于备份恢复策略、备份恢复程和恢复演练的要求都去掉了,统一为制定相应的策略和过程,这些都是恢复策略中的一部分。 四级 技术要求: 1.0 | 应提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; 应建立异地灾难备份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备,提供业务应用的实时无缝切换; 应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心; 应采用冗余技术设计网络拓扑结构,避免存在网络单点故障; 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
| 2.0 | 应提供重要数据的本地数据备份与恢复功能 应提供异地实时备份功能,利用通信网络能将重要数据定时批量传送至备用场地 应提供重要数据处理系统的热冗余,保证系统的高可用性 应建立异地灾备中心,提供业务应用的实时切换
|
管理要求: 1.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规定; 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; 应建立控制数据备份和恢复过程的程序,记录备份过程,对需要采取加密或数据隐藏处理的备份数据,进行备份和加密操作时要求两名工作人员在场,所有文件和记录应妥善保存; 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复; 应根据信息系统的备份技术要求,制定相应的灾难恢复计划,并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性,测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等,根据测试结果,对不适用的规定进行修改或更新。
| 2.0 | 应识别需要定期备份的重要业务信息、系统数据及软件系统等; 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
|
四级的技术要求中去掉了关于网络和链路高可用的要求,改为有本地高可用和异地业务容灾系统,对于备份的一些具体要求也去掉了,因为这也属于备份策略中的一部分。所以都归到了管理部分的备份策略中。管理部分具体的备份和恢复策略都去掉了,改为制定恢复策略和程序,即制定灾难恢复计划。 对比
我们把一到四级的技术要求放在一起对比一下(增加部分用加粗标注): 级别 | 要求 | 一级 | 本地备份与恢复 | 二级 | 本地备份与恢复 异地定时备份 | 三级 | 本地备份与恢复 异地数据实时备份 本地业务高可用 | 四级 | 本地备份与恢复 异地数据实时备份 本地业务高可用 异地业务高可用 |
一到四级管理要求对比: | 级别 | 要求 | 一级 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。 | 二级 | a. 应识别需要定期备份的重要业务信息、系统数据及软件系统等; b. 应规定备份信息的备份方式、备份频度、存储介质、保存期等。 c. 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | 三级 | 同二级 | 四级 | 同二级 |
总结 总结一下等保中关于数据备份和灾难恢复的几个关键点: 1、本地的备份和恢复是基础,不管几级都要有。 2、级别越高,对数据和业务的连续性要求越高,除了备份之外,还要有数据和业务系统的本地高可用和异地容灾手段。 3、备份的内容包括重要业务信息、系统数据及软件系统。 业务数据是指业务应用程序运行所产生的数据包括:数据库、文档、图像影像等。 系统数据是指操作系统和应用系统在运行时所需要的配置信息,包括:应用程序及配置文件、中间件配置文件、数据库系统备份、操作系统配置信息等 软件系统是指为满足业务需要所运行的软件,包括:操作系统、应用软件等。 (图片来源:2018年杭州CHINC大会,公安部等保测评中心演讲《网络安全等级保护2.0政策及基本要求解读》PPT) |
