信息安全管理体系中信息备份研究

[摘要]随着互联网等信息技术的迅速发展，企业的信息面临越来越多的威胁，信息备份成为企业防止主动型信息攻击、保护数据高可用性的最后一道防线。本文从信息备份的重要性入手，深入分析企业在信息备份中的常见问题，给出信息备份的有效实践，指导企业在信息安全管理中更好地实施对重要信息和数据的有效保护。

[关键词]信息技术；信息备份；备份策略

在信息技术飞速发展的今天，信息与企业经营活动的关系越来越紧密。企业在经营活动中往往涉及信息的收集、存储、处理和应用等。随着业务的发展，信息数量越来越多，种类也越来越复杂。信息以不同的方式和形态存在，对企业的运营和生存发展至关重要，一旦损坏或丢失，将会给企业造成业务中断、经营受损等不可挽回的影响。

一、信息备份的目的

信息备份是为了使数据、信息以及应用程序等因操作失误、系统故障、恶意操作、遭受破坏或其他灾难、事故发生后能够得以恢复，对已有的信息数据和系统实施拷贝、复制、异地存放的过程。信息备份作为容灾的基础手段，不仅可以极大地提高信息及系统的可用性，而且能够减少因各种不确定因素给企业带来的风险。

二、企业信息备份常见问题

标准GB/T22080-2016《信息技术安全技术信息安全管理体系要求》附录A.12.3“信息备份”指出，企业在信息管理活动中应按照既定的备份策略，对信息、软件和系统镜像进行备份，并定期测试。以信息技术服务类企业为例，这类企业通常面对信息数量大、种类多、关键信息系统复杂、部署方式繁杂、客户对信息安全要求高等特点。因此，为了确保各类数据信息的完整性、可用性，防范因数据、信息丢失而带来的重大损失和不良影响，信息备份就显得尤为重要。在审核中发现，绝大多数企业在其“适用性声明”中，往往采用了附录A.12.3信息备份的控制措施，但在实施过程中普遍存在不少问题，主要表现为以下几点。

一是管理者对信息备份缺乏认知，重视程度不够，对所需资源投入不足，支持力度不够。

二是备份目标不明确，也未在企业相应部门进行分解落地。

三是备份职责不清晰，责任人、实施人和监督人职责定义模糊。

四是备份策略不准确，未建立符合企业实际的备份策略，如明确哪些重要数据文件和系统需要备份；备份介质是否按照企业对数据存储的最高安全等级进行保护；备份周期和方式与识别出的数据信息的重要性和可接受风险程度是否一致等。五是备份技术不充分，受人力、软硬件等资源所限，所采用的备份技术不能满足客户和业务需求，如系统灾难恢复、数据远程复制、数据保护技术等选择和使用。六是备份恢复测试不到位，不能验证备份数据信息的完整性和有效性、备份介质的可用性等。

三、如何实施信息备份

企业实施信息备份的具体步骤可以概括为以下四点。

1.建立备份目标

企业应在信息安全管理总目标下，基于法律法规、内外部环境、相关方需求，结合企业自身开展风险分析和评估的基础上，确立符合自身实际的信息备份目标。信息备份目标应尽量量化和可测量。

2.选择备份策略

基于已确定的备份目标，结合企业的软硬件资源，确立适宜充分的备份策略。策略要明确所采用的备份方式、备份技术、备份介质、备份频次等，且与重要数据信息的可接受风险水平相一致。常见的信息备份方式有全量备份、增量备份和差异备份，每种方式均有其优缺点。全量备份是指针对目标文件或系统进行的完全备份。该方式备份数据全面且容错率较高，当数据丢失时，只需一份备份文件就可恢复丢失的数据，缺点是备份时间较长，资源消耗较大，成本增加。增量备份是指在第一次全量备份的基础上，分别记录每次的变化。该方式因为备份的仅是变化情况，故备份速度快、资源消耗少，缺点是数据恢复效率低，可靠性差。差异备份是先指进行一次全量备份，一段时间后备份新的或修改的数据，该方式优缺点适中，在效率、资源消耗上介于以上两种方式之间。常见的备份技术可选择系统灾难恢复（IDR）、数据远程复制、数据保护技术（CDP）等。在实际应用中，企业可根据资源配置、成本投入等情况综合分析，确定备份策略，备份方式上也可采取以上三种方式的组合。例如：每周六、日进行全量备份，每周一至周五进行一次增量备份，每月底进行一次全量备份。

3.确立备份职责与过程准则

明确信息备份职责，确立有效的过程准则并形成备份计划，是信息备份的核心。备份计划中，企业应定义信息备份责任人、实施人和检查人的职责、确定备份范围、需备份的数据文件和系统、备份频率和具体操作流程等。责任人应根据业务需要，针对业务和内容设置备份频次，如关键数据1次/日，个人数据1次/周，归档数据1次/月；检查人监视备份过程是否有效实施。值得注意的是，当备份频次较缓时，实施人的备份意识往往会淡化。因此，可采用一些措施或工具，如FreeFileSync（文件同步工具），设置同步周期、同步文件类型，定时将要备份的数据同步到企业硬盘中。

4.实施备份恢复测试

数据恢复测试是检验备份有效性的关键。企业应制定一个恢复测试计划，阶段性对备份数据进行恢复测试，以验证备份信息的有效性和恢复效率。在恢复测试中，要关注恢复点目标（RPO）和恢复时间目标（RTO）两个关键的衡量指标。RPO是企业在发生灾难时能容忍的最大数据丢失量，通常由备份频率决定。如果系统每天备份一次，则RPO为24小时；RPO越低，实现频繁备份所需的数据存储、计算和网络资源就越多。RTO是企业从备份中恢复数据或系统，并恢复正常操作所需时间，也是企业能容忍的恢复时间。通过恢复测试，评价其结果与信息备份目标的一致性，确保备份策略的可行性，评价结果应作为改进RPO和RTO的输入。通常可采用连续复制和创建镜像快照技术改进RPO和RTO。

总之，不管是哪种类型的企业，在其信息安全管理过程中，信息备份始终都是一种必要的信息保护手段。实施有效的信息备份，不仅能够为企业的业务连续性提供支撑，更能够为企业健康有序发展带来更多的益处。

作者:董晓燕许翔单位:北京泰瑞特认证有限责任公司