《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM正式成為國標對外發(fā)布，并已正式實施。美創(chuàng)科技將以DSMM數(shù)據(jù)安全治理思路為依托，針對各過程域，基于充分定義級視角（3級），提供數(shù)據(jù)安全建設實踐建議，形成系列文章。本文作為本系列第九篇文章，將介紹數(shù)據(jù)存儲安全階段的數(shù)據(jù)恢復和備份過程域（PA09）。

01定義

數(shù)據(jù)備份和恢復，DSMM官方描述定義為通過執(zhí)行定期的數(shù)據(jù)備份和恢復,實現(xiàn)對存儲數(shù)據(jù)的冗余管理，保護數(shù)據(jù)的可用性。

DSMM標準在充分定義級對數(shù)據(jù)備份和恢復要求如下：

1.       組織建設

美創(chuàng)科技專家建議組織應明確負責組織統(tǒng)一的數(shù)據(jù)備份和恢復管理丁作的崗位利人員，負責建立相應的制度流程并部署相關的安全措施。

2.       制度流程

①      應明確數(shù)據(jù)備份與恢復的管理制度，以滿足數(shù)據(jù)服務可靠性、可用性等安全目標；

②      應明確數(shù)據(jù)備份與恢復的操作規(guī)程，明確定義數(shù)據(jù)備份和恢復的范圍、頻率、工具、過程、日志記錄、數(shù)據(jù)保存時長等；

③      應明確數(shù)據(jù)備份與恢復的定期檢查和更新工作程序，包括數(shù)據(jù)副本的更新頻率、保存期限等；

④      應依據(jù)數(shù)據(jù)生存周期和業(yè)務規(guī)范，建立數(shù)據(jù)生存周期各階段數(shù)據(jù)歸檔的操作流程；

⑤      應明確歸檔數(shù)據(jù)的壓縮或加密要求；

⑥      應明確歸檔數(shù)據(jù)的安全管控措施，非授權(quán)用戶不能訪問歸檔數(shù)據(jù)；

⑦      應識別組織適用的合規(guī)要求，按監(jiān)管部門的要求對相關數(shù)據(jù)予以記錄利保存；

⑧      應明確數(shù)據(jù)存儲時效性管理規(guī)程，明確數(shù)據(jù)分享、存儲、使用和刪除的有效期、有效期到期時對數(shù)據(jù)的處理流程、過期存儲數(shù)據(jù)的安全管理要求；

⑨      應明確過期存儲數(shù)據(jù)的安全保護機制，對超出有效期的存儲數(shù)據(jù)應具備再次獲取數(shù)據(jù)控制者授權(quán)的能力。

3.       技術(shù)工具

①      應建立數(shù)據(jù)備份與恢復的統(tǒng)一技術(shù)工具，保證相關工作的自動執(zhí)行；

②      應建立備份和歸檔數(shù)據(jù)安全的技術(shù)手段，包括但不限于對備份和歸檔數(shù)據(jù)的訪問控制、壓縮或加密管理、完整性和可用性管理，確保對備份和歸檔數(shù)據(jù)的安全性、存儲空間的有效利用、安全存儲和安全訪問；

③      應定期采取必要的技術(shù)措施查驗備份利歸檔數(shù)據(jù)完整性和可用性；

④      應建立過期存儲數(shù)據(jù)及其備份數(shù)據(jù)徹底刪除或匿名化的方法和機制，能夠驗證數(shù)據(jù)已被完全刪除、無法恢復或無法識別到個人，并告知數(shù)據(jù)控制者和數(shù)據(jù)使用者；

⑤      應通過風險提示和技術(shù)手段避免非過期數(shù)據(jù)的誤刪除，確保在一定的時間窗口內(nèi)的誤刪除數(shù)據(jù)可以手動恢復；

⑥      應確保存儲架構(gòu)具備數(shù)據(jù)存儲跨機柜或跨機房容錯部署能力。

4.       人員能力

①      負責該項工作的人員應了解數(shù)據(jù)備份媒體的性能和相關數(shù)據(jù)的業(yè)務特性,能夠確定有效的數(shù)據(jù)備份和恢復機制；

②      負責該項工作的人員應了解數(shù)據(jù)存儲時效性相關的合規(guī)性要求，并具備基于業(yè)務對合規(guī)要求的解讀能力和實施能力。

02實踐指南

1.       組織建設

美創(chuàng)科技專家建議組織機構(gòu)在條件允許的情況下應該設立數(shù)據(jù)備份和恢復管理部門并招募相關人員負責為公司制定整體的數(shù)據(jù)備份和恢復制度、為公司建立數(shù)據(jù)備份和恢復的標準操作流程，定義公司內(nèi)部所覆蓋的數(shù)據(jù)備份和恢復范圍，指定日志記錄的規(guī)范、數(shù)據(jù)保存的時長等指標，依據(jù)數(shù)據(jù)生命周期和業(yè)務要求，建立不同階段的數(shù)據(jù)歸檔存儲標準操作流程，為公司制定數(shù)據(jù)存儲、使用、分享、清除時的時效性規(guī)定和管理策略，并推動以上相關要制度確實可靠的落地執(zhí)行。

2.       人員能力

針對數(shù)據(jù)備份和恢復管理部門的相關人員，必須具備良好的數(shù)據(jù)安全風險意識，熟悉國家網(wǎng)絡安全法律法規(guī)以及組織結(jié)構(gòu)所屬行業(yè)的政策和監(jiān)管要求，再進行數(shù)據(jù)備份和恢復以及指定相關制度規(guī)范的時候，應該嚴格按照《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等國家相關法律法規(guī)和行業(yè)規(guī)范執(zhí)行。

同時還需要相關人員具備良好的數(shù)據(jù)備份和恢復的建設基礎，了解數(shù)據(jù)存儲時效性相關的合規(guī)性要求，并具備基本的基于業(yè)務對合規(guī)要求的解讀能力和實施能力，熟悉主流的針對存儲數(shù)據(jù)的冗余管理方案，熟悉市面上常用的自動化執(zhí)行備份和恢復的安全工具，了解數(shù)據(jù)備份介質(zhì)的性能和相關數(shù)據(jù)的業(yè)務特性，能夠結(jié)合真實的業(yè)務情景制定確實有效的數(shù)據(jù)備份和恢復機制、數(shù)據(jù)備份加密策略、數(shù)據(jù)備份和恢復的安全管理制度和操作規(guī)范等。相關人員還應該具備一定的對備份數(shù)據(jù)采取安全管理的經(jīng)驗，包括但不限于針對備份數(shù)據(jù)的訪問控制管理、壓縮管理、加密管理、完整性管理、可用性管理。

3.       落地執(zhí)行性確認

針對數(shù)據(jù)備份和恢復管理崗位人員能力的實際落地執(zhí)行性確認，可通過內(nèi)部審計、外部審計等形式以調(diào)研訪談、問卷調(diào)查、流程觀察、文件調(diào)閱、技術(shù)檢測等多種方式實現(xiàn)。

4.       制度流程

①      數(shù)據(jù)備份

數(shù)據(jù)備份指為防止計算機系統(tǒng)出現(xiàn)操作失誤或故障導致數(shù)據(jù)丟失，將全部或部分數(shù)據(jù)從計算機掛接的硬盤或磁盤陣列復制到其它存儲介質(zhì)的過程。

數(shù)據(jù)備份包括定期備份和臨時備份兩種。定期備份指按照規(guī)定的日期對數(shù)據(jù)進行備份；臨時備份指在特殊情況下（如軟件升級、設備更換、感染病毒等），臨時對數(shù)據(jù)進行備份。

根據(jù)不同的數(shù)據(jù)內(nèi)容和系統(tǒng)情況，數(shù)據(jù)備份可分為完全備份和增量備份。完全備份是指對所有數(shù)據(jù)進行整體備份；增量備份是指僅備份相對于上一次備份后新增加和修改過的數(shù)據(jù)。

②      數(shù)據(jù)備份管理安全規(guī)范

美創(chuàng)科技專家建議組織應制定完備的數(shù)據(jù)備份管理制度，以保證數(shù)據(jù)備份工作的規(guī)范性。關于數(shù)據(jù)備份的流程以及相關注意事項如下：

確定需要備份的數(shù)據(jù)→制定備份計劃→執(zhí)行備份計劃并記錄→備份存檔→備份測試→備份恢復

③      數(shù)據(jù)恢復

數(shù)據(jù)恢復指當數(shù)據(jù)存儲設備物理損壞或由于人員誤操作、操作系統(tǒng)故障導致數(shù)據(jù)不可見、無法讀取、丟失等情況，通過已有的數(shù)據(jù)備份將數(shù)據(jù)復原的過程。數(shù)據(jù)恢復是為了保證系統(tǒng)數(shù)據(jù)的完整性和可用性。

④      數(shù)據(jù)恢復管理安全規(guī)范

為保證數(shù)據(jù)恢復過程中的安全性和規(guī)范性，組織應制定數(shù)據(jù)恢復的相關安全規(guī)范。關于數(shù)據(jù)恢復的流程以及注意事項如下：

5.       技術(shù)工具簡述

數(shù)據(jù)的備份恢復在數(shù)據(jù)全生命周期十分重要，其關系到數(shù)據(jù)在丟失或者損壞后能否在最短的時間內(nèi)恢復數(shù)據(jù)以及系統(tǒng)的可用性。數(shù)據(jù)備份與恢復的過程就是利用技術(shù)工具將數(shù)據(jù)以某種方式保留，以便在數(shù)據(jù)或者整個系統(tǒng)遭到破壞時，能夠重新對保留的的數(shù)據(jù)進行使用。

①      技術(shù)工具的方法和原理

?  數(shù)據(jù)備份技術(shù)

數(shù)據(jù)備份有三種常用的備份方式，全量備份、增量備份和差異備份。

全量備份：指的是對整個系統(tǒng)包括系統(tǒng)和數(shù)據(jù)進行的完全備份。全量備份是最可靠的備份方式，全量備份備份的數(shù)據(jù)量的三種備份方式中最大的，耗費的時間和資源也是最多的，但是恢復時間是最短的。

增量備份：增量備份中每次備份的數(shù)據(jù)是上一次備份后增加和修改過的數(shù)據(jù)。增量備份的數(shù)據(jù)量在三種備份方式中是最小的，相應的其恢復時間也是最長的。

差異備份：差異備份備份的數(shù)據(jù)是上一次全量備份后增加和修改過的數(shù)據(jù)，差異備份和增量備份的區(qū)別在于相對的上一次備份是否為全量備份。

主流的數(shù)據(jù)備份技術(shù)主要有三種：LAN備份、LAN Free備份和SAN Server-Free備份。LAN備份技術(shù)適用于所有存儲類型，而LAN Free備份技術(shù)和SAN Server-Free備份技術(shù)只能適用于SAN架構(gòu)的存儲類型。在這三種備份技術(shù)中，LAN備份技術(shù)使用得最為廣泛，成本也最低，但是對網(wǎng)絡帶寬占用和服務器資源消耗也是最大的；LAN Free備份技術(shù)不占用局域網(wǎng)網(wǎng)絡傳輸帶寬，對服務器的資源消耗由于SAN光纖本身負責了一部分處理過程所以也比LAN備份技術(shù)要小，成本也較高；SAN Server-Free備份技術(shù)對服務器資源的消耗是最小的，但是搭建難度和成本也是最高的。在現(xiàn)實場景中需要根據(jù)組織實際情況選擇相應的備份技術(shù)。

?  數(shù)據(jù)恢復技術(shù)

將數(shù)據(jù)從備份中恢復一般是先將最近的一次全量備份的數(shù)據(jù)恢復到指定的存儲空間，再在上面疊加增量備份和差異備份的數(shù)據(jù)，最后再重新加載應用和數(shù)據(jù)。

?  備份數(shù)據(jù)安全管理

備份的數(shù)據(jù)也是數(shù)據(jù)，其安全性同樣需要重視。除了需要在管理制度層面規(guī)范數(shù)據(jù)備份和恢復的流程之外，還需要技術(shù)工具來保證備份數(shù)據(jù)的安全性。

訪問控制：數(shù)據(jù)備份恢復工具需要具備認證措施，只有通過認證的身份才可以使用數(shù)據(jù)備份恢復工具，認證方式需要是多因素認證技術(shù)。賬戶嚴格劃分權(quán)限，如讀取、復制、粘貼、刪除等的權(quán)限。

數(shù)據(jù)加密：對備份的數(shù)據(jù)進行加密。數(shù)據(jù)備份恢復工具內(nèi)部提供加密手段和算法，對進行備份的數(shù)據(jù)進行加密，保證備份數(shù)據(jù)只能通過進行加密的數(shù)據(jù)備份恢復工具進行解密。此外，也可以使用數(shù)據(jù)源自帶的加密手段，然后由工具統(tǒng)一進行密鑰的管理。以數(shù)據(jù)庫為例，sqlserver就提供在備份時進行加密的功能。

恢復測試：備份的數(shù)據(jù)需要定期校驗其可用性和完整性，完整性校驗可以通過在備份數(shù)據(jù)中加入數(shù)字簽名和數(shù)字證書等手段進行。可用性校驗可以通過進行數(shù)據(jù)恢復測試來實現(xiàn)，通過恢復后的數(shù)據(jù)來判斷備份數(shù)據(jù)的可用性和完整性。

②      技術(shù)工具工作流程和目標

存儲媒體安全技術(shù)工具應能實現(xiàn)如下的目標：

數(shù)據(jù)備份恢復：提供自動化進行數(shù)據(jù)備份和數(shù)據(jù)恢復的功能，工具能夠根據(jù)定義的策略自動進行數(shù)據(jù)備份和恢復工作。

備份數(shù)據(jù)管理：對備份的數(shù)據(jù)進行安全管理，包括但不限于訪問控制、加密可用性和完整性校驗等，并能夠?qū)芾砣罩具M行記錄審計。

下圖為數(shù)據(jù)備份與恢復的技術(shù)工具進行作業(yè)的基本流程圖

美創(chuàng)科技對于數(shù)據(jù)存儲安全階段的邏輯存儲安全過程域的實踐指南就展開至此，《數(shù)據(jù)安全能力成熟度模型》實踐指南系列持續(xù)更新中，歡迎持續(xù)關注。