解读《信息系统灾难恢复规范》---转

2007年7月,国务院信息化工作办公室领导编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007 )。

~~~~~~~~~~~~

l        灾备建设国家标准的诞生

随着社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,经济和社会发展对基础信息网络和重要信息系统的依赖越来越大,由此而产生的信息安全问题日趋严重。

2003年8月,中央办公厅、国务院办公厅联合下发了《国家信息化领导小组关于加强信息安全保障工作的意见》,对基础信息网络和重要信息系统灾难备份与恢复作了原则规定,第一次提到了重要信息系统需要具备灾难恢复能力。

2004年9月,国务院信息化工作办公室下发了《关于加强国家重要信息系统灾难备份工作的意见》,要求重要信息系统的各主管部门要制定行业的灾难备份建设政策和规划,对本行业各单位的灾难备份建设进行指导和管理,确保国家和行业灾难备份政策法规的贯彻落实;要求各重要信息管理运行机构要明确灾难备份管理和执行部门,负责落实国家和行业主管部门的灾难备份建设政策和要求,确定本单位的灾难备份的建设目标和建设模式,制定完善的灾难恢复计划,确保在发生灾难和出现重大事故后能快速地恢复业务系统的运行。

2005年4月,国务院信息化办公室联合银行、电力、民航、铁路、证券、税务、海关、保险等国内八大重点行业,制定发布了《重要信息系统灾难恢复指南》,对国内各行业的灾难备份与恢复工作的开展和实施提供了指导和参考。

2007年7月,经过两年的实施以及广泛征求意见,《重要信息系统灾难恢复指南》经过修改完善后正式升级成为国家标准GB/T 20988-2007《信息系统灾难恢复规范》(以下简称《规范》),并于2007年11月1日开始正式实施。这是中国灾难备份与恢复行业的第一个国家标准,是各行业进行灾备建设的重要参考性文件,具有重大意义。

l        《信息系统灾难恢复规范》解读

核心内容

《规范》规定了信息系统灾难恢复应遵循的基本要求,适用于信息系统灾难恢复的规划、审批、实施和管理。《规范》主要包括以下几部分内容:

1、灾难恢复行业相应的术语和定义;

2、灾难恢复概述(包括灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复规划的管理、灾难恢复的外部协作、灾难恢复的审计和备案);

3、灾难恢复需求的确定(包括风险分析、业务影响分析、确定灾难恢复目标);

4、灾难恢复策略的制定(包括灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求);

5、灾难恢复策略的实现(包括灾难备份系统计数方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现)。

由此可见,《规范》对灾难恢复建设的全流程实现给出了详细的指导意见,具有很高的可操作性。

灾难恢复能力等级

灾难恢复等级的确定是信息系统灾备建设的重要考虑因素。《规范》将灾难恢复能力划分为6级:

等级一:基本支持。要求数据备份系统能够保证每周至少进行一次数据备份,备份介质能够提供场外存放。对于备用数据处理系统和备用网络系统,没有具体要求。

等级二:备用场地支持。在满足等级一的条件基础上,要求配备灾难恢复所需的部分数据处理设备,或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地;要求配备部分通信线路和相应的网络设备,或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地。

等级三:电子传输和设备支持。要求每天至少进行一次完全数据备份,备份介质场外存放,同时每天多次利用通信网络将关键数据定时批量传送至备用场地。配备灾难恢复所需的部分数据处理设备、通信线路和相应的网络设备。

等级四:电子传输及完整设备支持。在等级三的基础上,要求配置灾难恢复所需的所有数据处理设备、通行线路和相应的网络设备,并且出于就绪或运行状态。

等级五:实时数据传输及完整设备支持。除要求每天至少进行一次完全数据备份,备份介质场外存放外,还要求采用远程数据复制技术,利用通信网络将关键数据实时复制到备用场地。

等级六:数据零丢失和远程集群支持。要求实现远程实时备份,数据零丢失;备用数据处理系统具备与生产数据处理系统一致的处理能力,应用软件是“集群的”,可实时无缝切换。

由此可见,灾难恢复能力等级越高,对于信息系统的保护效果越好,但同时成本也会急剧上升。因此,需要根据成本风险平衡原则(即灾难恢复资源的成本与风险可能造成的损失之间取得平衡),确定业务系统的合理的灾难恢复能力等级。对于多个业务系统,不同业务可采用不同的灾难恢复策略。

信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系,各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。在《规范》中,也给出了某个特定行业灾难恢复能力等级与RTO、RPO之间关系的示例,可作为参考:


灾难恢复能力等级


RTO


RPO


1


2天以上


1天至7天


2


24小时以后


1天至7天


3


12小时以上


数小时至1天


4


数小时至2天


数小时至1天


5


数分钟至2天


0至30分钟


6


数分钟


0

灾难恢复资源要素

在明确了灾备建设中灾难恢复能力等级目标之后,另一个重要问题是在具体建设中应该考虑哪些资源要素。下表是对《规范》中灾备建设内容的总结,我们称之为灾备建设的七要素:


序号


要素


要素的考虑要点


1


备用基础设施


灾难备份中心选址与建设;

备用的机房及工作辅助设施和生活设施;


2


数据备份系统


数据备份范围与RPO;

数据备份技术;

数据备份线路;


3


备用数据处理系统


数据处理能力;

与生产系统的兼容性要求;

平时的状态(处于就绪还是运行);


4


备用网络系统


备用网络通信设备系统与备用通信线路的选择;

备用通信线路的使用状况;


5


灾难恢复预案


明确灾难恢复预案的:

A)整体要求

B)制订过程的要求

C)教育、培训和演练要求

D)管理要求


6


运行维护管理能力


运行维护管理组织架构;

人员的数量和素质;

运行维护管理制度;

其他要求;


7


技术支持能力


软件、硬件和网络等方面的技术支持要求;

技术支持的组织架构;

各类技术支持人员的数量和素质等;

《规范》中对灾备恢复资源七要素的详细定义,可以引导灾备建设单位全面考虑灾难恢复建设的各个相关方面,防止片面强调个别要素而忽略整体。

l        小结

《信息系统灾难恢复规范》推出后,我国各个行业的信息系统灾难恢复规划和建设将逐渐规范化和统一化。特别是《规范》中对灾难恢复能力六等级、七要素的定义,使得我们在灾备建设中能够更加明确和清晰的确定建设目标和内容

时间: 2024-10-17 10:04:30

解读《信息系统灾难恢复规范》---转的相关文章

DBA,六个灾难恢复等级你都知道吗?

银行基本应该是在四级.5级和六级.总资产规模越大的级别就应该越高. 灾难恢复等级是指灾难恢复能力国家标准等级,以下简要为大家分别介绍六个等级的内容: 灾难恢复等级:第一级 需满足国标<信息系统灾难恢复规范>(GB/T 20988-2007)灾难恢复等级第1级要求,存储介质为各种磁介质.光介质和纸介质,完全数据备份至少要每周一次,备份介质要场外存放,并且要有介质存取.验证和转储管理制度. 灾难恢复等级:第二级 满足国标<信息系统灾难恢复规范>(GB/T 20988-2007)灾难恢复

运维杂记-02

################################################### 当我们系统架构出现瓶颈的时候一般扩展方法分为: 纵向扩展也可以叫垂直扩展,比如扩充服务器的cpu 1颗到2颗 内存8G到16G 磁盘容量扩容... 横向扩展也可以叫水平扩展,比如web服务器从1台,增加到2台... ###################################################负载均衡实现方法  之 http的header头    DNS轮询 http

互金企业安全建设总结

一.概述 首先,把要说的重点总结下,时间就是金钱,剩下的都是废话围绕这些去说的.(PS.本文所说的甲方安全,全部指一个或者两三个普通人的小团队,非大佬团队,非互联网航母企业) 安全一定要由上往下去推动 不制定奖惩措施的制度是很难推行落地的 外部机构的检查远远比自己找出来的问题更有影响力 作为甲方安全,你要以主人翁的角度去思考和推动,不要把开发看成敌人 不要任何事都自己造轮子,在现有的基础上加以改造 不要一直做救火队员,要推行有利于安全的流程 把安全做得有声音,最好有产出物(P神总结的) 好了,开

网络高可用衡量指标99 999 9999 99999 99% 99.9% 99.99% 99.999

网站可用性所谓网站可用性(availability)也即网站正常运行时间的百分比,业界用 N 个9 来量化可用性, 最常说的就是类似 "4个9(也就是99.99%)" 的可用性. 容灾恢复能力的关键指标 RPO:(Recovery Point Obejective,恢复点目标)是指业务系统所允许的在灾难过程中的最大数据丢失量,用来衡量容灾系统的数据冗余备份能力. RTO:(Recovery Time Objective,恢复时间目标)是指信息系统从灾难状态恢复到可运行状态所需的时间,用

基于DevOps 微服务以及k8s的高可用架构探索与实现

现代的企业面临着一个VUCA的时代,高可用系统架构面对着诸多不确定性带来的影响和挑战,如何才能能够突破困境,使得复杂的系统仍然能保持业务的连续性.业务的弹性扩容也同时会对高可用性的架构造成影响,在实践中,我们结合微服务/K8S/DevOps这三架马车进行了微服务的容器化的实践之路. 高可用架构的挑战 在现实的复杂而又不确定性的环境下,高可用架构面临诸多挑战,都可能对系统带来巨大影响,比如: 应用程序的异常退出 操作系统的突然宕机 服务器的意外断电 运维人员人为操作失误 地震等不可抵抗因素 业务量

[转]CISP(注册信息安全专业人员)认证(12天)

本文转自:http://www.topsec.com.cn/shpx/rzpx/pxkc/cisp/index.htm CISP(注册信息安全专业人员)认证(11天) 中国信息安全产品测评认证中心(CNITSEC)于2002年正式向社会推出“注册信息安全专业人员”资质认证项目. 一.什么是“注册信息安全专业人员”  “注册信息安全专业人员”,英文为Certified Information Security Professional,简称CISP,是指有关信息安全企业.信息安全咨询服务机构.信息

通达OA-医疗卫生行业系统解决方案

医疗卫生行业概述 2010年起中国医疗信息软件市场规模已达到约21亿人民币,并以每年20%的增长速度快速成长.最近三年来,医疗信息化市场不断升温,由此也让医疗卫生企业憧憬更好的发展愿景. 随着信息技术的发展与医疗卫生事业的深化改革,医院管理信息化的速度大大加快,医院的信息化建设取得了很大进展.医疗企业面对激烈竞争的市场,需要为病患者提供更人性化.更合理的服务的同时,医疗资源的规范化和业务流程的标准化,医疗部门办公网络化.自动化,实现全面信息共享已是大势所趋,越来越多的医院认识到,只有通过信息化建

业主工程项目管理实践应用

主办单位:共创国际项目管理顾问 2014年8月23-24日 北京 & 课程前言 业主投资工程项目并期待通过项目产品的运营回收投资收益.项目投资效率与收益水平取决于投资项目建设期的管理成果.业主总是期望项目尽快高质量的建成投产并发挥投资效益,但这并不简单. 无论采用何种项目管理模式,业主都不能放弃项目建设的主导管理责任,需要发挥管理的主动性与技巧性.利益导向的不同,决定业主方对项目的管理与其他主体项目管理,在管理目标.手段上存在着巨大的不同.业主管理团队的人员与经验构成往往离散的,尽管拥有业主的强

甘肃银行借助HDIM打造综合数据保护平台

地方金融行业普遍存在业务系统部署分散,数据统一灾备难度大.成本高等难题.甘肃银行借助HDS的HDIM综合数据保护平台,不仅解决了集中备份的问题,而且实现了较关键业务的连续保护,在满足监管部门要求的同时,也为甘肃银行今后更全面的灾备系统建设打下了基础. 甘肃银行是经中国银行业监督管理委员会批准,通过合并重组原平凉市商业银行和原白银市商业银行,并联合其他发起人共同设立的,且是由甘肃省政府直接管理的惟一一家省级法人股份制商业银行.甘肃银行的定位是"服务地方经济.服务中小企业.服务城乡居民",