目前网络安全等级保护2.0标准,于2019年12月1日全国已正式实施,在新的标准中,对于数据备份和灾难恢复有了新的变化。
下面我们来看一下和老的标准相比,二者的区别:
一级
技术要求:
1.0 | 应能够对重要信息进行备份和恢复。 | |
2.0 | 应提供重要数据的本地数据备份与恢复功能。 |
管理要求:
1.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。 | |
2.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。 |
注:一级基本上没有大的变化,只是技术部分多了本地两个字。要求提供重要数据的本地备份和恢复。
二级
技术要求:
1.0 | a.应能够对重要信息进行备份和恢复; b.应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。 | |
2.0 | a.应提供重要数据的本地数据备份与恢复功能; b.应提供异地数据备份功能,利用通信网络能将重要数据定时批量传送至备用场地。 |
管理要求:
1.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等; c.应根据数据的重要性及其对系统运行的影响,制定数据的备份策略和恢复策略,备份策略指明备份数据的放置场所、文件命名规则、介质替换频率和数据离站运输方法。 | |
2.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。 c.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 |
在二级中的技术部分,去掉了对业务系统的高可用要求,将该要求移到三级部分,增加了异地备份的要求,要求定时批量将数据传送到异地保存。
三级
技术要求:
1.0 | a.应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; b.应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地; c.应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障; d.应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 | |
2.0 | a.应提供重要数据的本地数据备份与恢复功能; b.应提供异地实时备份功能,利用通信网络能将重要数据 实时备份至备份场地; c.应提供重要数据处理系统的热冗余,保证系统的高可用性。 |
管理要求:
1.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范; c.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; d.应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存; e.应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。 | |
2.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等; c.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 |
三级中,技术部分中取消了对网络架构和通信链路的冗余要求。对异地备份的要求改为了实时。对管理部分的要求中对于备份恢复策略、备份恢复程和恢复演练的要求都去掉了,统一为制定相应的策略和过程,这些都是恢复策略中的一部分。
四级
技术要求:
1.0 | a.应提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; b.应建立异地灾难备份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备,提供业务应用的实时无缝切换; c.应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心; d.应采用冗余技术设计网络拓扑结构,避免存在网络单点故障; e.应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。 | |
2.0 | a.应提供重要数据的本地数据备份与恢复功能; b.应提供异地实时备份功能,利用通信网络能将重要数据定时批量传送至备用场地; c.应提供重要数据处理系统的热冗余,保证系统的高可用性; d.应建立异地灾备中心,提供业务应用的实时切换。 |
管理要求:
1.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规定; c.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; d.应建立控制数据备份和恢复过程的程序,记录备份过程,对需要采取加密或数据隐藏处理的备份数据,进行备份和加密操作时要求两名工作人员在场,所有文件和记录应妥善保存; e.应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复; f.应根据信息系统的备份技术要求,制定相应的灾难恢复计划,并对其进行测试以确保各个恢复规程的正确性和计划整体的有效性,测试内容包括运行系统恢复、人员协调、备用系统性能测试、通信连接等,根据测试结果,对不适用的规定进行修改或更新。 | |
2.0 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。 c.应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 |
四级的技术要求中去掉了关于网络和链路高可用的要求,改为有本地高可用和异地业务容灾系统,对于备份的一些具体要求也去掉了,因为这也属于备份策略中的一部分。所以都归到了管理部分的备份策略中。管理部分具体的备份和恢复策略都去掉了,改为制定恢复策略和程序,即制定灾难恢复计划。
对比
我们把一到四级的技术要求放在一起对比一下(增加部分用加粗标注):
级别 | 要求 | |
一级 | 本地备份与恢复 | |
二级 | 本地备份与恢复+异地定时备份 | |
三级 | 本地备份与恢复+异地数据实时备份+本地业务高可用 | |
四级 | 本地备份与恢复+异地数据实时备份+本地业务高可用+异地业务高可用 |
一到四级管理要求对比:
级别 | 要求 | |
一级 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。 | |
二级 | a.应识别需要定期备份的重要业务信息、系统数据及软件系统等; b. 应规定备份信息的备份方式、备份频度、存储介质、保存期等; c. 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | |
三级 | 同二级 | |
四级 | 同二级 |
总结
总结一下等保中关于数据备份和灾难恢复的几个关键点:
1、本地的备份和恢复是基础,不管几级都要有。
2、级别越高,对数据和业务的连续性要求越高,除了备份之外,还要有数据和业务系统的本地高可用和异地容灾手段。
3、备份的内容包括重要业务信息、系统数据及软件系统。
业务数据是指业务应用程序运行所产生的数据包括:数据库、文档、图像影像等。
系统数据是指操作系统和应用系统在运行时所需要的配置信息,包括:应用程序及配置文件、中间件配置文件、数据库系统备份、操作系统配置信息等
软件系统是指为满足业务需要所运行的软件,包括:操作系统、应用软件等。
4、二到四级的从字面上看管理要求是一样的,都是要求制定灾难恢复计划(包括备份与恢复策略以及备份与恢复程序),但不同级别对于灾难恢复计划的内容是不一样的。