信息安全管理體系中信息備份研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全管理體系中信息備份研究范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

[摘要]隨著互聯(lián)網(wǎng)等信息技術(shù)的迅速發(fā)展，企業(yè)的信息面臨越來越多的威脅，信息備份成為企業(yè)防止主動(dòng)型信息攻擊、保護(hù)數(shù)據(jù)高可用性的最后一道防線。本文從信息備份的重要性入手，深入分析企業(yè)在信息備份中的常見問題，給出信息備份的有效實(shí)踐，指導(dǎo)企業(yè)在信息安全管理中更好地實(shí)施對(duì)重要信息和數(shù)據(jù)的有效保護(hù)。

[關(guān)鍵詞]信息技術(shù)；信息備份；備份策略

在信息技術(shù)飛速發(fā)展的今天，信息與企業(yè)經(jīng)營(yíng)活動(dòng)的關(guān)系越來越緊密。企業(yè)在經(jīng)營(yíng)活動(dòng)中往往涉及信息的收集、存儲(chǔ)、處理和應(yīng)用等。隨著業(yè)務(wù)的發(fā)展，信息數(shù)量越來越多，種類也越來越復(fù)雜。信息以不同的方式和形態(tài)存在，對(duì)企業(yè)的運(yùn)營(yíng)和生存發(fā)展至關(guān)重要，一旦損壞或丟失，將會(huì)給企業(yè)造成業(yè)務(wù)中斷、經(jīng)營(yíng)受損等不可挽回的影響。

一、信息備份的目的

信息備份是為了使數(shù)據(jù)、信息以及應(yīng)用程序等因操作失誤、系統(tǒng)故障、惡意操作、遭受破壞或其他災(zāi)難、事故發(fā)生后能夠得以恢復(fù)，對(duì)已有的信息數(shù)據(jù)和系統(tǒng)實(shí)施拷貝、復(fù)制、異地存放的過程。信息備份作為容災(zāi)的基礎(chǔ)手段，不僅可以極大地提高信息及系統(tǒng)的可用性，而且能夠減少因各種不確定因素給企業(yè)帶來的風(fēng)險(xiǎn)。

二、企業(yè)信息備份常見問題

標(biāo)準(zhǔn)GB/T22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》附錄A.12.3“信息備份”指出，企業(yè)在信息管理活動(dòng)中應(yīng)按照既定的備份策略，對(duì)信息、軟件和系統(tǒng)鏡像進(jìn)行備份，并定期測(cè)試。以信息技術(shù)服務(wù)類企業(yè)為例，這類企業(yè)通常面對(duì)信息數(shù)量大、種類多、關(guān)鍵信息系統(tǒng)復(fù)雜、部署方式繁雜、客戶對(duì)信息安全要求高等特點(diǎn)。因此，為了確保各類數(shù)據(jù)信息的完整性、可用性，防范因數(shù)據(jù)、信息丟失而帶來的重大損失和不良影響，信息備份就顯得尤為重要。在審核中發(fā)現(xiàn)，絕大多數(shù)企業(yè)在其“適用性聲明”中，往往采用了附錄A.12.3信息備份的控制措施，但在實(shí)施過程中普遍存在不少問題，主要表現(xiàn)為以下幾點(diǎn)。

一是管理者對(duì)信息備份缺乏認(rèn)知，重視程度不夠，對(duì)所需資源投入不足，支持力度不夠。

二是備份目標(biāo)不明確，也未在企業(yè)相應(yīng)部門進(jìn)行分解落地。

三是備份職責(zé)不清晰，責(zé)任人、實(shí)施人和監(jiān)督人職責(zé)定義模糊。

四是備份策略不準(zhǔn)確，未建立符合企業(yè)實(shí)際的備份策略，如明確哪些重要數(shù)據(jù)文件和系統(tǒng)需要備份；備份介質(zhì)是否按照企業(yè)對(duì)數(shù)據(jù)存儲(chǔ)的最高安全等級(jí)進(jìn)行保護(hù)；備份周期和方式與識(shí)別出的數(shù)據(jù)信息的重要性和可接受風(fēng)險(xiǎn)程度是否一致等。五是備份技術(shù)不充分，受人力、軟硬件等資源所限，所采用的備份技術(shù)不能滿足客戶和業(yè)務(wù)需求，如系統(tǒng)災(zāi)難恢復(fù)、數(shù)據(jù)遠(yuǎn)程復(fù)制、數(shù)據(jù)保護(hù)技術(shù)等選擇和使用。六是備份恢復(fù)測(cè)試不到位，不能驗(yàn)證備份數(shù)據(jù)信息的完整性和有效性、備份介質(zhì)的可用性等。

三、如何實(shí)施信息備份

企業(yè)實(shí)施信息備份的具體步驟可以概括為以下四點(diǎn)。

1.建立備份目標(biāo)

企業(yè)應(yīng)在信息安全管理總目標(biāo)下，基于法律法規(guī)、內(nèi)外部環(huán)境、相關(guān)方需求，結(jié)合企業(yè)自身開展風(fēng)險(xiǎn)分析和評(píng)估的基礎(chǔ)上，確立符合自身實(shí)際的信息備份目標(biāo)。信息備份目標(biāo)應(yīng)盡量量化和可測(cè)量。

2.選擇備份策略

基于已確定的備份目標(biāo)，結(jié)合企業(yè)的軟硬件資源，確立適宜充分的備份策略。策略要明確所采用的備份方式、備份技術(shù)、備份介質(zhì)、備份頻次等，且與重要數(shù)據(jù)信息的可接受風(fēng)險(xiǎn)水平相一致。常見的信息備份方式有全量備份、增量備份和差異備份，每種方式均有其優(yōu)缺點(diǎn)。全量備份是指針對(duì)目標(biāo)文件或系統(tǒng)進(jìn)行的完全備份。該方式備份數(shù)據(jù)全面且容錯(cuò)率較高，當(dāng)數(shù)據(jù)丟失時(shí)，只需一份備份文件就可恢復(fù)丟失的數(shù)據(jù)，缺點(diǎn)是備份時(shí)間較長(zhǎng)，資源消耗較大，成本增加。增量備份是指在第一次全量備份的基礎(chǔ)上，分別記錄每次的變化。該方式因?yàn)閭浞莸膬H是變化情況，故備份速度快、資源消耗少，缺點(diǎn)是數(shù)據(jù)恢復(fù)效率低，可靠性差。差異備份是先指進(jìn)行一次全量備份，一段時(shí)間后備份新的或修改的數(shù)據(jù)，該方式優(yōu)缺點(diǎn)適中，在效率、資源消耗上介于以上兩種方式之間。常見的備份技術(shù)可選擇系統(tǒng)災(zāi)難恢復(fù)（IDR）、數(shù)據(jù)遠(yuǎn)程復(fù)制、數(shù)據(jù)保護(hù)技術(shù)（CDP）等。在實(shí)際應(yīng)用中，企業(yè)可根據(jù)資源配置、成本投入等情況綜合分析，確定備份策略，備份方式上也可采取以上三種方式的組合。例如：每周六、日進(jìn)行全量備份，每周一至周五進(jìn)行一次增量備份，每月底進(jìn)行一次全量備份。

3.確立備份職責(zé)與過程準(zhǔn)則

明確信息備份職責(zé)，確立有效的過程準(zhǔn)則并形成備份計(jì)劃，是信息備份的核心。備份計(jì)劃中，企業(yè)應(yīng)定義信息備份責(zé)任人、實(shí)施人和檢查人的職責(zé)、確定備份范圍、需備份的數(shù)據(jù)文件和系統(tǒng)、備份頻率和具體操作流程等。責(zé)任人應(yīng)根據(jù)業(yè)務(wù)需要，針對(duì)業(yè)務(wù)和內(nèi)容設(shè)置備份頻次，如關(guān)鍵數(shù)據(jù)1次/日，個(gè)人數(shù)據(jù)1次/周，歸檔數(shù)據(jù)1次/月；檢查人監(jiān)視備份過程是否有效實(shí)施。值得注意的是，當(dāng)備份頻次較緩時(shí)，實(shí)施人的備份意識(shí)往往會(huì)淡化。因此，可采用一些措施或工具，如FreeFileSync（文件同步工具），設(shè)置同步周期、同步文件類型，定時(shí)將要備份的數(shù)據(jù)同步到企業(yè)硬盤中。

4.實(shí)施備份恢復(fù)測(cè)試

數(shù)據(jù)恢復(fù)測(cè)試是檢驗(yàn)備份有效性的關(guān)鍵。企業(yè)應(yīng)制定一個(gè)恢復(fù)測(cè)試計(jì)劃，階段性對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)測(cè)試，以驗(yàn)證備份信息的有效性和恢復(fù)效率。在恢復(fù)測(cè)試中，要關(guān)注恢復(fù)點(diǎn)目標(biāo)（RPO）和恢復(fù)時(shí)間目標(biāo)（RTO）兩個(gè)關(guān)鍵的衡量指標(biāo)。RPO是企業(yè)在發(fā)生災(zāi)難時(shí)能容忍的最大數(shù)據(jù)丟失量，通常由備份頻率決定。如果系統(tǒng)每天備份一次，則RPO為24小時(shí)；RPO越低，實(shí)現(xiàn)頻繁備份所需的數(shù)據(jù)存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)資源就越多。RTO是企業(yè)從備份中恢復(fù)數(shù)據(jù)或系統(tǒng)，并恢復(fù)正常操作所需時(shí)間，也是企業(yè)能容忍的恢復(fù)時(shí)間。通過恢復(fù)測(cè)試，評(píng)價(jià)其結(jié)果與信息備份目標(biāo)的一致性，確保備份策略的可行性，評(píng)價(jià)結(jié)果應(yīng)作為改進(jìn)RPO和RTO的輸入。通?？刹捎眠B續(xù)復(fù)制和創(chuàng)建鏡像快照技術(shù)改進(jìn)RPO和RTO。

總之，不管是哪種類型的企業(yè)，在其信息安全管理過程中，信息備份始終都是一種必要的信息保護(hù)手段。實(shí)施有效的信息備份，不僅能夠?yàn)槠髽I(yè)的業(yè)務(wù)連續(xù)性提供支撐，更能夠?yàn)槠髽I(yè)健康有序發(fā)展帶來更多的益處。

作者:董曉燕許翔單位:北京泰瑞特認(rèn)證有限責(zé)任公司