继等保1.0横空出世,我国等级保护制度已走过了十几年。2019年5月13日,《网络安全等级保护制度》2.0国家标准发布,作为一件具有里程碑意义的大事,标志着国家网络安全等级保护步入新时代。
最值得注意的是,进入等保2.0新时代,等级保护对象范围在传统系统的基础上纳入了云计算、移动互联、物联网、工业控制及大数据等。在新的等级保护制度下,对灾备业务有着怎么样的影响和改变,数据安全又该何去何从?
等保2.0的演变历程
1994年,《中华人民共和国计算机信息系统安全保护条例》发布,首次提出计算机信息系统必须实行安全等级保护;
1999年,《计算机信息系统安全等级保护划分准则》发布,计算机信息系统安全保护等级划分准则强制执行标准发布;
2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)明确指出“实行信息安全等级保护”;
2008年,《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)发布;
2010年,《信息安全技术 信息系统等级保护安全技术设计要求》(GB/T 25070-2010)发布;
2012年,《信息安全技术 信息系统等级保护测评要求》(GB/T 28228-2012)发布;
2016年,《中国人民共和国网络安全法》发布,第二十一条明确“国家实行网络安全等级保护制度…”;
2018年,《网络安全等级保护测评机构管理办法》、《网络安全等级保护条例(征求意见稿)》发布,等保2.0标准开始;
2019年,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)发布,宣布从2019年12月1日正式开始实施。
至此,标志着“等级保护2.0”时代正式到来,对加强中国网络安全保障工作,提升网络安全保护能力具有重要的指导意义。
等保2.0时代,发生的显著变化
“在业界,网络安全等级保护制度被誉为一项伟大创举,是中国网络安全的基石,是维护国家安全、社会秩序和公共利益的根本保障。”相比熟悉的等保1.0,等保2.0的制度上发生了突破性的变化。
01 标准名称变更
由《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中名称保持一致。
02 标准需求增加
针对共性安全保护需求提出安全通用要求,针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
03 安全通用要求控制领域变更
等保2.0控制措施由旧标准的10个分类合并为8个分类。分别为,技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
04 技术部分变更
等保2.0标准采用“一个中心、三重防护”的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态防护体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。
05 数据安全建设成为核心内容之一
在数据安全要求领域,相比等保1.0,等保2.0根据新业务场景和新计算环境做了更贴合实际情况的明确要求。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
等级的不同对数据和业务连续性的要求也就有所不同。在报告里,提供重要数据的本地数据备份与恢复功能【1】是基本要求,随着级别递增,应提供异地数据备份功能【2】、保证虚拟机迁移过程中重要数据的完整性【3】、提供异地实时备份功能及保证系统高可用性【4】、多云之间业务及数据的安全迁移【5】、建立异地灾难备份中心,提供业务应用的实时切换【6】等多项要求被明确提出。
从对数据安全建设愈加严苛的要求,可以看出建设统一的灾备体系已经势在必行。数腾在云灾备、云迁移领域深耕多年,云原生灾备技术解决了众多用户混合架构的灾备和迁移难题。
数腾云灾备支持多种数据库、多种异构平台,可以实现对操作系统、数据库数据、文件数据及应用环境的一体化定时同步保障,当生产业务发生物理或逻辑层面的故障时,可以通过容灾平台实现快速应急接管,完成负载切换,确保业务不中断,保障业务持续运行,实现本地数据的备份与恢复功能。通过在异地建立一套数腾远程容灾系统,可应对本地发生的电力、网络及其他灾难发生时业务中断的风险,当本地发生灾难时,异地保存的数据可用于灾后恢复,甚至在灾难中发生应急作用。
在生产业务运行的过程中,数据的完整性及一致性非常的重要。数腾云灾备能够通过分析文件系统、操作系统、集群缓存和存储算法,实时捕获数据变化,进行增量和差异版本的实时复制、运输,并恢复到任意时间点和任意版本,保障数据的连续完整。此外,也通过对Oracle Rac的灾备保护,来保证应用的高可用,Oracle Rac用来在集群环境下实现多机共享数据库,同时自动实现并处理负载均衡,实现数据库在故障时的容错和无断点恢复。
数腾云迁移能够实现任意x86环境(传统硬件架构、虚拟化、异构云)之间相互迁移,并采用独特的同步和校验算法,保证迁移过程中重要数据的完整性及一致性。
“等级保护从1.0到2.0是被动防御变为主动防御。”未雨绸缪,主动抵御风险,在满足等级保护安全要求的基础上,要打造符合业务发展实际的灾备安全体系。
参考文献
【1】 第一级安全要求-6.1.4.7数据备份恢复
应提供重要数据的本地数据备份及恢复功能。
【2】第二级安全要求-7.1.4.8 数据备份恢复
本项要求包括:
(a)应提供重要数据的本地数据备份与恢复功能;
(b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。
【3】第二级安全要求-7.2.4.3 数据完整性和保密性
本项要求包括:
(a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定;
(b)应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;
(c)应确保虚拟机迁移过程中重要数据的完整性,并在监测到完整性受到破坏时采取必要的恢复措施。
【4】第三级安全要求-8.1.4.9 数据备份恢复
本项要求包括:
(a)应提供重要数据的本地数据备份与恢复功能;
(b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
(c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
【5】第三级安全要求-8.2.4.6 数据备份恢复
本项要求包括:
(a)云服务客户应在本地保存其业务数据的备份;
(b)应提供查询云服务客户数据及备份存储位置的能力;
(c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致;
(d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完整迁移过程。
【6】第四级安全要求-9.1.4.9 数据备份恢复
本项要求包括:
(a)应提供重要数据的本地数据备份及恢复功能;
(b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
(c)应提供重要数据处理系统的热冗余,保证系统的高可用性;
(d)应建立异地灾难备份中心,提供业务应用的实时切换。