前言:想要寫出一篇引人入勝的文章?我們特意為您整理了信息安全管理體系中信息備份研究范文,希望能給你帶來靈感和參考,敬請閱讀。
[摘要]隨著互聯網等信息技術的迅速發(fā)展,企業(yè)的信息面臨越來越多的威脅,信息備份成為企業(yè)防止主動型信息攻擊、保護數據高可用性的最后一道防線。本文從信息備份的重要性入手,深入分析企業(yè)在信息備份中的常見問題,給出信息備份的有效實踐,指導企業(yè)在信息安全管理中更好地實施對重要信息和數據的有效保護。
[關鍵詞]信息技術;信息備份;備份策略
在信息技術飛速發(fā)展的今天,信息與企業(yè)經營活動的關系越來越緊密。企業(yè)在經營活動中往往涉及信息的收集、存儲、處理和應用等。隨著業(yè)務的發(fā)展,信息數量越來越多,種類也越來越復雜。信息以不同的方式和形態(tài)存在,對企業(yè)的運營和生存發(fā)展至關重要,一旦損壞或丟失,將會給企業(yè)造成業(yè)務中斷、經營受損等不可挽回的影響。
一、信息備份的目的
信息備份是為了使數據、信息以及應用程序等因操作失誤、系統(tǒng)故障、惡意操作、遭受破壞或其他災難、事故發(fā)生后能夠得以恢復,對已有的信息數據和系統(tǒng)實施拷貝、復制、異地存放的過程。信息備份作為容災的基礎手段,不僅可以極大地提高信息及系統(tǒng)的可用性,而且能夠減少因各種不確定因素給企業(yè)帶來的風險。
二、企業(yè)信息備份常見問題
標準GB/T22080-2016《信息技術安全技術信息安全管理體系要求》附錄A.12.3“信息備份”指出,企業(yè)在信息管理活動中應按照既定的備份策略,對信息、軟件和系統(tǒng)鏡像進行備份,并定期測試。以信息技術服務類企業(yè)為例,這類企業(yè)通常面對信息數量大、種類多、關鍵信息系統(tǒng)復雜、部署方式繁雜、客戶對信息安全要求高等特點。因此,為了確保各類數據信息的完整性、可用性,防范因數據、信息丟失而帶來的重大損失和不良影響,信息備份就顯得尤為重要。在審核中發(fā)現,絕大多數企業(yè)在其“適用性聲明”中,往往采用了附錄A.12.3信息備份的控制措施,但在實施過程中普遍存在不少問題,主要表現為以下幾點。
一是管理者對信息備份缺乏認知,重視程度不夠,對所需資源投入不足,支持力度不夠。
二是備份目標不明確,也未在企業(yè)相應部門進行分解落地。
三是備份職責不清晰,責任人、實施人和監(jiān)督人職責定義模糊。
四是備份策略不準確,未建立符合企業(yè)實際的備份策略,如明確哪些重要數據文件和系統(tǒng)需要備份;備份介質是否按照企業(yè)對數據存儲的最高安全等級進行保護;備份周期和方式與識別出的數據信息的重要性和可接受風險程度是否一致等。五是備份技術不充分,受人力、軟硬件等資源所限,所采用的備份技術不能滿足客戶和業(yè)務需求,如系統(tǒng)災難恢復、數據遠程復制、數據保護技術等選擇和使用。六是備份恢復測試不到位,不能驗證備份數據信息的完整性和有效性、備份介質的可用性等。
三、如何實施信息備份
企業(yè)實施信息備份的具體步驟可以概括為以下四點。
1.建立備份目標
企業(yè)應在信息安全管理總目標下,基于法律法規(guī)、內外部環(huán)境、相關方需求,結合企業(yè)自身開展風險分析和評估的基礎上,確立符合自身實際的信息備份目標。信息備份目標應盡量量化和可測量。
2.選擇備份策略
基于已確定的備份目標,結合企業(yè)的軟硬件資源,確立適宜充分的備份策略。策略要明確所采用的備份方式、備份技術、備份介質、備份頻次等,且與重要數據信息的可接受風險水平相一致。常見的信息備份方式有全量備份、增量備份和差異備份,每種方式均有其優(yōu)缺點。全量備份是指針對目標文件或系統(tǒng)進行的完全備份。該方式備份數據全面且容錯率較高,當數據丟失時,只需一份備份文件就可恢復丟失的數據,缺點是備份時間較長,資源消耗較大,成本增加。增量備份是指在第一次全量備份的基礎上,分別記錄每次的變化。該方式因為備份的僅是變化情況,故備份速度快、資源消耗少,缺點是數據恢復效率低,可靠性差。差異備份是先指進行一次全量備份,一段時間后備份新的或修改的數據,該方式優(yōu)缺點適中,在效率、資源消耗上介于以上兩種方式之間。常見的備份技術可選擇系統(tǒng)災難恢復(IDR)、數據遠程復制、數據保護技術(CDP)等。在實際應用中,企業(yè)可根據資源配置、成本投入等情況綜合分析,確定備份策略,備份方式上也可采取以上三種方式的組合。例如:每周六、日進行全量備份,每周一至周五進行一次增量備份,每月底進行一次全量備份。
3.確立備份職責與過程準則
明確信息備份職責,確立有效的過程準則并形成備份計劃,是信息備份的核心。備份計劃中,企業(yè)應定義信息備份責任人、實施人和檢查人的職責、確定備份范圍、需備份的數據文件和系統(tǒng)、備份頻率和具體操作流程等。責任人應根據業(yè)務需要,針對業(yè)務和內容設置備份頻次,如關鍵數據1次/日,個人數據1次/周,歸檔數據1次/月;檢查人監(jiān)視備份過程是否有效實施。值得注意的是,當備份頻次較緩時,實施人的備份意識往往會淡化。因此,可采用一些措施或工具,如FreeFileSync(文件同步工具),設置同步周期、同步文件類型,定時將要備份的數據同步到企業(yè)硬盤中。
4.實施備份恢復測試
數據恢復測試是檢驗備份有效性的關鍵。企業(yè)應制定一個恢復測試計劃,階段性對備份數據進行恢復測試,以驗證備份信息的有效性和恢復效率。在恢復測試中,要關注恢復點目標(RPO)和恢復時間目標(RTO)兩個關鍵的衡量指標。RPO是企業(yè)在發(fā)生災難時能容忍的最大數據丟失量,通常由備份頻率決定。如果系統(tǒng)每天備份一次,則RPO為24小時;RPO越低,實現頻繁備份所需的數據存儲、計算和網絡資源就越多。RTO是企業(yè)從備份中恢復數據或系統(tǒng),并恢復正常操作所需時間,也是企業(yè)能容忍的恢復時間。通過恢復測試,評價其結果與信息備份目標的一致性,確保備份策略的可行性,評價結果應作為改進RPO和RTO的輸入。通常可采用連續(xù)復制和創(chuàng)建鏡像快照技術改進RPO和RTO。
總之,不管是哪種類型的企業(yè),在其信息安全管理過程中,信息備份始終都是一種必要的信息保護手段。實施有效的信息備份,不僅能夠為企業(yè)的業(yè)務連續(xù)性提供支撐,更能夠為企業(yè)健康有序發(fā)展帶來更多的益處。
作者:董曉燕許翔單位:北京泰瑞特認證有限責任公司