六彩天下网
产品+服务
面临技术挑战,容域科技让您无需等待,无论是数字新基建的建设,还是以太网络的搭建及测试,都能得到积极快速的响应,专业的技术团队为您的需求提供优质服务
了解更多了解更多

等保2.0对云灾备的要求

作者:容域科技 发布时间:2021-07-11

灾备等级

灾难恢复等级的确定是信息系统灾备建设的重要考虑因素。《信息系统灾难恢复规范》将灾难恢复能力划分为6级,灾难恢复能力等级越高,对信息系统的保护效果越好,但同时成本也会急剧上升。因此,需要根据成本风险平衡原则(即灾难恢复资源的成本与风险可能造成的损失之间取得平衡),确定业务系统合理的灾难恢复能力等级。对于多个业务系统,不同业务可采用不同的灾难恢复策略。
灾难本身是个小概率事件,但影响却是巨大的,提高投资回报率是必须考虑的重点。因此,灾难恢复等级的确定是信息系统灾备建设的重要考虑因素。灾备等级主要从RTO(恢复时间目标)和RPO(恢复点目标)来考虑,需要对业务和数据进行重要性评估和分级,以确定相应的RPO和RTO目标。对于多业务系统要按需划分灾备等级,灾备等级应与业务和数据的重要程度相匹配。确定级别后,需要调研IT应用环境,确定合适的灾备技术,并检查灾备建设成本是否符合预算并作相应调整,最终达到保护等级与成本投资的平衡点,获得最高的投资回报率。
根据对数据业务恢复的RPO和RTO的不同要求,灾备业务建设一般可分为:应用级灾备、数据级灾备和备份级灾备。保护等级越高,成本会呈级数增长。没有任何一种技术或方法能适应所有业务的灾难备份需求,最好的解决方案是采用不同等级灾难备份与恢复的组合,实现最大业务范围的灾难恢复和最少的成本投入。

目前网络安全等级保护2.0标准,于2019年12月1日全国已正式实施,在新的标准中,对于数据备份和灾难恢复有了新的变化。

我们把一到四级的技术要求放在一起对比一下(增加部分用加粗标注):
级别 要求
一级 本地备份与恢复
二级 本地备份与恢复+异地定时备份
三级 本地备份与恢复+异地数据实时备份+本地业务高可用
四级 本地备份与恢复+异地数据实时备份+本地业务高可用+异地业务高可用
一到四级管理要求对比:
级别 要求
一级 a.应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b.应规定备份信息的备份方式、备份频度、存储介质、保存期等。
二级 a.应识别需要定期备份的重要业务信息、系统数据及软件系统等;
b. 应规定备份信息的备份方式、备份频度、存储介质、保存期等;
c. 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。
三级 同二级
四级 同二级
总结
总结一下等保中关于数据备份和灾难恢复的几个关键点:
1、本地的备份和恢复是基础,不管几级都要有。
2、级别越高,对数据和业务的连续性要求越高,除了备份之外,还要有数据和业务系统的本地高可用和异地容灾手段。
3、备份的内容包括重要业务信息、系统数据及软件系统。
业务数据是指业务应用程序运行所产生的数据包括:数据库、文档、图像影像等。
系统数据是指操作系统和应用系统在运行时所需要的配置信息,包括:应用程序及配置文件、中间件配置文件、数据库系统备份、操作系统配置信息等
软件系统是指为满足业务需要所运行的软件,包括:操作系统、应用软件等。
4、二到四级的从字面上看管理要求是一样的,都是要求制定灾难恢复计划(包括备份与恢复策略以及备份与恢复程序),但不同级别对于灾难恢复计划的内容是不一样的。