2007年7月,国务院信息化工作办公室领导编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007 )。
~~~~~~~~~~~~
l 灾备建设国家标准的诞生
随着社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,经济和社会发展对基础信息网络和重要信息系统的依赖越来越大,由此而产生的信息安全问题日趋严重。
2003年8月,中央办公厅、国务院办公厅联合下发了《国家信息化领导小组关于加强信息安全保障工作的意见》,对基础信息网络和重要信息系统灾难备份与恢复作了原则规定,第一次提到了重要信息系统需要具备灾难恢复能力。
2004年9月,国务院信息化工作办公室下发了《关于加强国家重要信息系统灾难备份工作的意见》,要求重要信息系统的各主管部门要制定行业的灾难备份建设政策和规划,对本行业各单位的灾难备份建设进行指导和管理,确保国家和行业灾难备份政策法规的贯彻落实;要求各重要信息管理运行机构要明确灾难备份管理和执行部门,负责落实国家和行业主管部门的灾难备份建设政策和要求,确定本单位的灾难备份的建设目标和建设模式,制定完善的灾难恢复计划,确保在发生灾难和出现重大事故后能快速地恢复业务系统的运行。
2005年4月,国务院信息化办公室联合银行、电力、民航、铁路、证券、税务、海关、保险等国内八大重点行业,制定发布了《重要信息系统灾难恢复指南》,对国内各行业的灾难备份与恢复工作的开展和实施提供了指导和参考。
2007年7月,经过两年的实施以及广泛征求意见,《重要信息系统灾难恢复指南》经过修改完善后正式升级成为国家标准GB/T 20988-2007《信息系统灾难恢复规范》(以下简称《规范》),并于2007年11月1日开始正式实施。这是中国灾难备份与恢复行业的第一个国家标准,是各行业进行灾备建设的重要参考性文件,具有重大意义。
l 《信息系统灾难恢复规范》解读
核心内容
《规范》规定了信息系统灾难恢复应遵循的基本要求,适用于信息系统灾难恢复的规划、审批、实施和管理。《规范》主要包括以下几部分内容:
1、灾难恢复行业相应的术语和定义;
2、灾难恢复概述(包括灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复规划的管理、灾难恢复的外部协作、灾难恢复的审计和备案);
3、灾难恢复需求的确定(包括风险分析、业务影响分析、确定灾难恢复目标);
4、灾难恢复策略的制定(包括灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求);
5、灾难恢复策略的实现(包括灾难备份系统计数方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现)。
由此可见,《规范》对灾难恢复建设的全流程实现给出了详细的指导意见,具有很高的可操作性。
灾难恢复能力等级
灾难恢复等级的确定是信息系统灾备建设的重要考虑因素。《规范》将灾难恢复能力划分为6级:
等级一:基本支持。要求数据备份系统能够保证每周至少进行一次数据备份,备份介质能够提供场外存放。对于备用数据处理系统和备用网络系统,没有具体要求。
等级二:备用场地支持。在满足等级一的条件基础上,要求配备灾难恢复所需的部分数据处理设备,或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地;要求配备部分通信线路和相应的网络设备,或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地。
等级三:电子传输和设备支持。要求每天至少进行一次完全数据备份,备份介质场外存放,同时每天多次利用通信网络将关键数据定时批量传送至备用场地。配备灾难恢复所需的部分数据处理设备、通信线路和相应的网络设备。
等级四:电子传输及完整设备支持。在等级三的基础上,要求配置灾难恢复所需的所有数据处理设备、通行线路和相应的网络设备,并且出于就绪或运行状态。
等级五:实时数据传输及完整设备支持。除要求每天至少进行一次完全数据备份,备份介质场外存放外,还要求采用远程数据复制技术,利用通信网络将关键数据实时复制到备用场地。
等级六:数据零丢失和远程集群支持。要求实现远程实时备份,数据零丢失;备用数据处理系统具备与生产数据处理系统一致的处理能力,应用软件是“集群的”,可实时无缝切换。
由此可见,灾难恢复能力等级越高,对于信息系统的保护效果越好,但同时成本也会急剧上升。因此,需要根据成本风险平衡原则(即灾难恢复资源的成本与风险可能造成的损失之间取得平衡),确定业务系统的合理的灾难恢复能力等级。对于多个业务系统,不同业务可采用不同的灾难恢复策略。
信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系,各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。在《规范》中,也给出了某个特定行业灾难恢复能力等级与RTO、RPO之间关系的示例,可作为参考:
灾难恢复能力等级 |
RTO |
RPO |
1 |
2天以上 |
1天至7天 |
2 |
24小时以后 |
1天至7天 |
3 |
12小时以上 |
数小时至1天 |
4 |
数小时至2天 |
数小时至1天 |
5 |
数分钟至2天 |
0至30分钟 |
6 |
数分钟 |
0 |
灾难恢复资源要素
在明确了灾备建设中灾难恢复能力等级目标之后,另一个重要问题是在具体建设中应该考虑哪些资源要素。下表是对《规范》中灾备建设内容的总结,我们称之为灾备建设的七要素:
序号 |
要素 |
要素的考虑要点 |
1 |
备用基础设施 |
灾难备份中心选址与建设; 备用的机房及工作辅助设施和生活设施; |
2 |
数据备份系统 |
数据备份范围与RPO; 数据备份技术; 数据备份线路; |
3 |
备用数据处理系统 |
数据处理能力; 与生产系统的兼容性要求; 平时的状态(处于就绪还是运行); |
4 |
备用网络系统 |
备用网络通信设备系统与备用通信线路的选择; 备用通信线路的使用状况; |
5 |
灾难恢复预案 |
明确灾难恢复预案的: A)整体要求 B)制订过程的要求 C)教育、培训和演练要求 D)管理要求 |
6 |
运行维护管理能力 |
运行维护管理组织架构; 人员的数量和素质; 运行维护管理制度; 其他要求; |
7 |
技术支持能力 |
软件、硬件和网络等方面的技术支持要求; 技术支持的组织架构; 各类技术支持人员的数量和素质等; |
《规范》中对灾备恢复资源七要素的详细定义,可以引导灾备建设单位全面考虑灾难恢复建设的各个相关方面,防止片面强调个别要素而忽略整体。
l 小结
《信息系统灾难恢复规范》推出后,我国各个行业的信息系统灾难恢复规划和建设将逐渐规范化和统一化。特别是《规范》中对灾难恢复能力六等级、七要素的定义,使得我们在灾备建设中能够更加明确和清晰的确定建设目标和内容