在新的標(biāo)準(zhǔn)中,對于數(shù)據(jù)備份和災(zāi)難恢復(fù)有了新的變化,我們先來看一看新標(biāo)準(zhǔn)中的規(guī)定:
下面我們來看一下和老的標(biāo)準(zhǔn)相比,二者的區(qū)別:
一級
技術(shù)要求:
1.0
|
應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù)。
|
2.0
|
應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能
|
管理要求:
1.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
|
2.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
|
注:一級基本上沒有大的變化,只是技術(shù)部分多了本地兩個(gè)字。要求提供重要數(shù)據(jù)的本地備份和恢復(fù)。
二級
技術(shù)要求:
1.0
|
-
應(yīng)能夠?qū)χ匾畔⑦M(jìn)行備份和恢復(fù);
-
應(yīng)提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的可用性。
|
2.0
|
-
應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能;
-
應(yīng)提供異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)能將重要數(shù)據(jù)定時(shí)批量傳送至備用場地。
|
管理要求:
1.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等;
-
應(yīng)根據(jù)數(shù)據(jù)的重要性及其對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運(yùn)輸方法。
|
2.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
-
應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。
|
在二級中的技術(shù)部分,去掉了對業(yè)務(wù)系統(tǒng)的高可用要求,將該要求移到三級部分,增加了異地備份的要求,要求定時(shí)批量將數(shù)據(jù)傳送到異地保存。
三級
技術(shù)要求:
1.0
|
-
應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場外存放;
-
應(yīng)提供異地?cái)?shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地;
-
應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障;
-
應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。
|
2.0
|
-
應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能
-
應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)能將重要數(shù)據(jù) 實(shí)時(shí)備份至備份場地
-
應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性
|
管理要求:
1.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度,對備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)范;
-
應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒?/span>;
-
應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,對備份過程進(jìn)行記錄,所有文件和記錄應(yīng)妥善保存;
-
應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性,確保可以在恢復(fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù)。
|
2.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
-
應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。
|
三級中,技術(shù)部分中取消了對網(wǎng)絡(luò)架構(gòu)和通信鏈路的冗余要求。對異地備份的要求改為了實(shí)時(shí)。對管理部分的要求中對于備份恢復(fù)策略、備份恢復(fù)程和恢復(fù)演練的要求都去掉了,統(tǒng)一為制定相應(yīng)的策略和過程,這些都是恢復(fù)策略中的一部分。
四級
技術(shù)要求:
1.0
|
-
應(yīng)提供數(shù)據(jù)本地備份與恢復(fù)功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場外存放;
-
應(yīng)建立異地災(zāi)難備份中心,配備災(zāi)難恢復(fù)所需的通信線路、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)處理設(shè)備,提供業(yè)務(wù)應(yīng)用的實(shí)時(shí)無縫切換;
-
應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時(shí)備份至災(zāi)難備份中心;
-
應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),避免存在網(wǎng)絡(luò)單點(diǎn)故障;
-
應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。
|
2.0
|
-
應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能
-
應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)能將重要數(shù)據(jù)定時(shí)批量傳送至備用場地
-
應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性
-
應(yīng)建立異地災(zāi)備中心,提供業(yè)務(wù)應(yīng)用的實(shí)時(shí)切換
|
管理要求:
1.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)建立備份與恢復(fù)管理相關(guān)的安全管理制度,對備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)和保存期等進(jìn)行規(guī)定;
-
應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略,備份策略須指明備份數(shù)據(jù)的放置場所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸?shù)姆椒ǎ?/span>
-
應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過程的程序,記錄備份過程,對需要采取加密或數(shù)據(jù)隱藏處理的備份數(shù)據(jù),進(jìn)行備份和加密操作時(shí)要求兩名工作人員在場,所有文件和記錄應(yīng)妥善保存;
-
應(yīng)定期執(zhí)行恢復(fù)程序,檢查和測試備份介質(zhì)的有效性,確??梢栽诨謴?fù)程序規(guī)定的時(shí)間內(nèi)完成備份的恢復(fù);
-
應(yīng)根據(jù)信息系統(tǒng)的備份技術(shù)要求,制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃,并對其進(jìn)行測試以確保各個(gè)恢復(fù)規(guī)程的正確性和計(jì)劃整體的有效性,測試內(nèi)容包括運(yùn)行系統(tǒng)恢復(fù)、人員協(xié)調(diào)、備用系統(tǒng)性能測試、通信連接等,根據(jù)測試結(jié)果,對不適用的規(guī)定進(jìn)行修改或更新。
|
2.0
|
-
應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
-
應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
-
應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。
|
四級的技術(shù)要求中去掉了關(guān)于網(wǎng)絡(luò)和鏈路高可用的要求,改為有本地高可用和異地業(yè)務(wù)容災(zāi)系統(tǒng),對于備份的一些具體要求也去掉了,因?yàn)檫@也屬于備份策略中的一部分。所以都?xì)w到了管理部分的備份策略中。管理部分具體的備份和恢復(fù)策略都去掉了,改為制定恢復(fù)策略和程序,即制定災(zāi)難恢復(fù)計(jì)劃。
對比
我們把一到四級的技術(shù)要求放在一起對比一下(增加部分用加粗標(biāo)注):
級別
|
要求
|
一級
|
本地備份與恢復(fù)
|
二級
|
本地備份與恢復(fù)+異地定時(shí)備份
|
三級
|
本地備份與恢復(fù)+異地?cái)?shù)據(jù)實(shí)時(shí)備份+本地業(yè)務(wù)高可用
|
四級
|
本地備份與恢復(fù)+異地?cái)?shù)據(jù)實(shí)時(shí)備份+本地業(yè)務(wù)高可用+異地業(yè)務(wù)高可用
|
一到四級管理要求對比:
級別 |
要求 |
一級
|
a.應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b.應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
|
二級
|
a. 應(yīng)識別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等;
b. 應(yīng)規(guī)定備份信息的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。
c. 應(yīng)根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)的備份策略和恢復(fù)策略、備份程序和恢復(fù)程序等。
|
三級
|
同二級
|
四級
|
同二級
|
總結(jié)
總結(jié)一下等保中關(guān)于數(shù)據(jù)備份和災(zāi)難恢復(fù)的幾個(gè)關(guān)鍵點(diǎn):
1、本地的備份和恢復(fù)是基礎(chǔ),不管幾級都要有。
2、級別越高,對數(shù)據(jù)和業(yè)務(wù)的連續(xù)性要求越高,除了備份之外,還要有數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的本地高可用和異地容災(zāi)手段。
3、備份的內(nèi)容包括重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)。
業(yè)務(wù)數(shù)據(jù)是指業(yè)務(wù)應(yīng)用程序運(yùn)行所產(chǎn)生的數(shù)據(jù)包括:數(shù)據(jù)庫、文檔、圖像影像等。
系統(tǒng)數(shù)據(jù)是指操作系統(tǒng)和應(yīng)用系統(tǒng)在運(yùn)行時(shí)所需要的配置信息,包括:應(yīng)用程序及配置文件、中間件配置文件、數(shù)據(jù)庫系統(tǒng)備份、操作系統(tǒng)配置信息等
軟件系統(tǒng)是指為滿足業(yè)務(wù)需要所運(yùn)行的軟件,包括:操作系統(tǒng)、應(yīng)用軟件等。
4、二到四級的從字面上看管理要求是一樣的,都是要求制定災(zāi)難恢復(fù)計(jì)劃(包括備份與恢復(fù)策略以及備份與恢復(fù)程序),但不同級別對于災(zāi)難恢復(fù)計(jì)劃的內(nèi)容是不一樣的。