【数据备份与恢复产品】新国标五一正式实施,美创作为参编单位解读
2021年10月11日《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》(GB/T 29765-2021)国家标准获批发布,替代2013年9月18日发布的标准号GB/T29765-2013版本,并将于2022年5月1日起正式实施,美创 科技 作为参编单位作深度解读。
一、标准制定背景与修改内容
1、标准编制背景
近几年我国信息化发展迅猛,随着《中华人民共和国网络安全法》的贯彻落实,信息安全行业飞速发展,数据爆炸式增长,数据也成为各行各业的新资产,其价值无可估量。《中华人民共和国数据安全法》的正式发布,让数据安全工作首次升至国家安全最高监管层级。数据备份与恢复技术作为信息安全领域一个重点的方向,其重要性日益凸显。
而面向大数据、云计算等新场景,也对数据备份与恢复产品提出了新的要求。2018年腾讯云丢失数据遭千万索赔事件给云服务商敲响了警钟,使得很多云服务商更加重视云计算环境下的数据备份与恢复能力及其方案的可靠性。
同时在传统产品基础上,很多新的数据备份与恢复产品中已逐渐融入了实时备份技术:不仅融合了数据备份和数据复制的优点,在RTO和RPO方面也有了高的标准。在实时数据保护的同时,还可实现任意时间点的历史数据恢复。
近年来,随着数据备份与恢复技术发展,原标准内容相对技术发展较滞后,尤其随着《网络安全法》、《数据安全法》进一步落地,四部门联合发布《网络关键设备和网络安全专用产品目录(第一批)》,其中将数据备份与恢复产品列为了网络安全专用产品,因此开展标准修订就显得尤为迫切。
2、新标准升级变化
①标准适用范围变化
标准第一章直接表明文件的适用范围,原标准明确指出不包括数据复制产品和持续数据保护产品,新标准在第一章对标准范围的规定中,删除了这项限制,意味着“数据备份和恢复产品”包括数据复制产品和持续数据保护产品。
GB/T 29765-2021(新标)
GB/T 29765-2013(原标)
a.本文件规定了数据备份与恢复产品安全功能要求、自身安全要求、安全保障要求与测试评价方法。
b.本文件适用于对数据备份与恢复产品的研制、生产、测试和评价。
a.本标准规定了数据备份与恢复产品的技术要求与测试评价方法。
b.本标准适用于对数据备份与恢复产品的研制、生产、测试、评价。
c.本标准所指的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的产品,不包括数据复制产品和持续数据保护产品。
②单独对CDP进行解释
原标准中CDP持续数据保护产品明确被排除在外的,而新标准不仅在术语定义中增加了持续数据保护的概念,CDP 持续数据保护技术(Continuous Data Protection)定义:在不影响主要数据运行的前提下,可以实现持续监测和保存目标数据所发生的任何改变,并且能够恢复到此前任意时间点的方法;还单独为 CDP 列出“缩略语”一章,进行强调突出。
③对所有“测评方法”增加了“结果判定”
原标准只提供了“测试方法”和“预期结果”的内容,新标准梳理了所有测试方法和预期结果,并给出了“结果判定”的信息,进一步直观明确展示了判定结果是否符合的具体要求。
3、三类技术要求升级变化
新标依然采用基本级和增强级对产品安全等级进行划分,划分主要依据是安全功能与自身安全的强弱、以及安全保障要求的高低,增强级相对基本级的安全能力更高、保障更强。同时新标对三类技术要求描述和内容做了更改,修订后整体逻辑顺序更清晰,内容更简单易懂。
从整体技术要求内容来看,新标对基本级和增强级的定义均有提高,即原先属于增强级的技术要求,新标定义为基本级别的要求,如“磁带管理”;原先增强级的要求则增加了新的高级技术要求,如“重复数据删除”;以及原先基本级和增强级均无要求的内容,新标准增加了新的共同要求规则,如“持续数据保护(有则适用)”。这也体现了随着信息的发展,产品整体安全性也在提高。
标准编号
GB/T 29765-2021(新标)
GB/T 29765-2013(原标)
分类角度
安全功能要求
自身安全要求
安全保障要求
功能要求
安全功能要求
安全保证要求
①第一类
“安全功能要求”,对标原标的“功能要求”,主要增加了云环境适应性(有则适用)、重复数据删除、持续数据保护(有则适用)、副本数据管理(有则适用)等新技术的要求,以满足新型技术发展下的产品能力。其次原标中将备份策略及恢复功能相关的要求分到系统管理和附加功能要求下,而作为产品最主要的功能,新标将备份策略支持、恢复功能支持的技术要求进行汇总并单独列项,更能体现备份策略和恢复功能对数据备份和恢复产品的重要性。
②第二类
“自身安全要求”,对标原标的“安全功能要求”,是对数据备份与恢复产品自身的安全提出的技术要求。一方面对自身安全要求的顺序做了修改;另一方面对相关的技术要求和测试方法,也提供了更详尽的具体指标和方法步骤,如“数据保护”增加了对增强级产品的要求“应提供完整性校验机制,保证备份数据完整性,一旦发现完整性破坏应及时告警”;且对产品自身安全的要求是包括但不限于标准中已知的内容。具体自身安全要求如下:
③第三类
“安全保障要求”,对标原标的“安全保证要求”。除了对要求类别做了汇总与二级分类,同时在内容上也做了更全面的补充,如对产品“开发”的要求下增加“安全架构”的要求:“开发者应提供产品安全功能的安全架构描述”且需要满足对应要求。
二、美创科技灾备产品标准满足性
1、标准升级的变化
标准升级后变化较大,除了新增了7项大的功能或安全技术要求,同时还修订了十多条具体技术要求,有新增也有删减,整体要求更贴合新型技术下的数据备份和恢复产品能力。部分新增要求如下:
新增云环境适应性(有则适用):应支持云环境中虚拟机操作系统、文件、数据库、虚拟机整机等备份对象的备份与恢复。
新增持续数据保护(有则适用):1) 数据跟踪捕获:应支持数据跟踪捕获功能,能对备份对象数据的改变进行连续的监测和保存。2) 任意时间点恢复:应支持任意时间点恢复功能,管理员无需事先定义目标恢复点,即可在任意时间点恢复目标数据。
新增重复数据删除:应支持重复数据删除功能。
新增备份存储空间监控告警:应能监控备。
此外新标准保留了原标准的大部分内容信息,尤其将一些重要的技术要求延续保留了下来,也是对传统技术信息的一个认可,如“快照技术”、“恢复重定向”等,是市面上大部分标准产品的常用技术,也是实现数据备份和恢复的主要能力之一,理应继续沿用。
2、美创科技产品功能满足性分析
①美创DBRA数据级容灾产品
美创DBRA数据级容灾产品是一款以灾难完整性和容灾可用性为基准点,以业务系统为视角单元的容灾软硬一体产品,适应各类平台和各种场景,可以最大限度地满足容灾系统RPO、RTO需求,同时所具备的活动站点等亮点功能极大提升的产品价值,保护用户 投资 、降低TCO。本产品完全满足GB/T29765-2021中基本级数据备份和恢复产品的要求。
备份对象支持
DBRA支持数据库、文件的实时和定时同步,支持全量和增量同步,能通过网络备份和恢复数据,备份介质支持磁盘方式进行存储。符合“6.1.6.1 备份对象要求”。
任意时间点恢复
DBRA误操作恢复功能保证产品具备了回溯到指定时刻的历史数据的能力,同时支持随时恢复,在数据回溯后可先在容灾站点进行可用性验证后再反向同步到生产库中,完成误操作数据的还原。符合”6.1.7.3 恢复时间点选择和6.1.10.2任意时间点恢复”要求。
断点续传
DBRA具备实时监测数据传输状态的功能,并且当链路故障恢复后可自动执行断点续传。符合“6.1.9.1 断点续传”要求。
压缩传输
DBRA通过高压缩比技术对容灾数据进行压缩,适应在窄带宽传输的要求。符合“6.1.9.4 压缩传输”要求。
身份鉴别
DBRA提供统一身份管理能力:用户管理、角色管理、部门管理、操作权限管理、安全认证等,同时提供“三权”账户体系、多因素鉴别认证技术,实现严格的权限管理和账户安全控制。符合“6.2.1身份鉴别”要求。
②美创CDP灾备一体机
美创CDP灾备一体机是一款软硬一体、简单可用、性价比极高的持续数据保护方案产品,兼具数据备份与业务恢复的功能,支持对操作系统、数据库、应用环境、文件等数据进行实时捕获并完成同步备份以及提供基于任意历史时间点进行快速灾难接管的能力。本产品完全满足GB/T 29765-2021中基本级数据备份和恢复产品的要求,去除“恢复自动化”有则适用的要求,美创CDP灾备一体机是一款满足新国标的增强级数据备份与恢复产品。
云环境适应
美创CDP灾备一体机支持云环境的实时备份,恢复,和接管功能,对于云环境的每一个虚机,都可以做全面的保护。在企业使用多种云环境的情况下,还可以做各种云之间的数据迁移。包括本地到云端、云端到本地、云端到云端的数据迁移,数据迁移支持的云类型有阿里云、腾讯云、百度云、华为云、Amazon AWS、Google、青云等。符合“6.1.2 云环境适应性(有则适用)”要求。
持续数据保护
美创CDP灾备一体机使用基于快照的整机备份+增量备份(CDM)技术,对客户端整机数据做先做一次完整备份,后续根据设定的备份任务计划对客户端数据做增量备份,仅备份有改变的数据,极大的减少了备份的数据总量,同时由于备份数据量的下降,通过网络传输的数据大幅减少,对网络带宽的影响同时被降到很低。无论是结构数据或非结构数据都做到了完备的备份,达到数据的一致性,完整性,可用性,实现应用级的容灾备份。CDP实现数据的实时复制,满足对被保护客户端的连续数据备份,可保存被保护客户端的过去历史点的状态,保证备份窗口和RPO趋于0。符合“6.1.10 持续数据保护(有则适用)”要求,且高于标准要求。
策略定制
美创CDP灾备一体机能根据备份对象、备份时间、备份方式、备份介质、备份模式等制定备份策略。符合“6.1.6.1 策略定制”要求。
数据重删
美创CDP灾备一体机基于哈希(Hash)算法的重复数据删除和快照的增量备份去重双重数据去重技术,提高存储的使用效率,降低存储成本,同时减少网络传输数据,降低网络带宽的占用。
第一重:灾备系统内置针对操作系统文件的去重数据库,客户端做第一次完整备份时会自动去除属于OS的文件,仅备份除OS之外的其它数据,节省更多存储空间。
第二重:基于快照的增量备份去重-Agent实时记录客户端本地被修改的数据块位置,备份时仅备份被记录的数据块,无需将被保护的全部数据读出并计算/判断这些数据是否可被去重,从而使得大量未经修改的数据无需被读出,也释放了大量的CPU资源和更多的内存资源的占用,将对客户端业务系统性能的影响降到了最低。符合“6.1.9.6 重复数据删除”的要求,且高于标准要求。
断点续传
美创CDP灾备一体机备份过程中如果遇到中断事件,再次备份的时候会开启断点续传功能,延续上一次的备份进度。符合“6.1.9.1 断点续传”的要求。
磁带管理
美创CDP灾备一体机带有磁带库归档功能,符合“6.1.8.4 磁带管理”的要求。
储存空间告警
美创CDP灾备一体机对于存储空间有图形化界面可以看到总容量、已用、未用以及已用空间占比未用空间占比,如存储空间不足,会发起告警。符合“6.1.8.2 储存空间监控告警”的要求。
面对云计算时代"散、杂、多、乱"的灾备实现,美创科技以灾备集中管控平台DRCC为云管中心,美创DBRA、CDP灾备一体机、数据复制系统、文件同步系统等为灾备接入端,形成“云|端”架构体系,更好满足云计算时代的业务连续性诉求。同时还提供业务容灾、多云平台容灾、灾备演练指挥、灾难一键切换、数据库在线迁移等解决方案,满足不同场景的业务诉求。
三、美创科技产品典型应用案例
1、实践案例
郑州大学第一附属医院:实现日增数据量在8G以上的his系统数据库容灾建设,保障HIS业务系统7*24小时不间断运行,系统数据库出现故障时,实现一键快速切换与接管。
中国银联:1200km超远距离异地容灾建设,窄带宽环境下,海量数据的实时同步和高度一致性,保障数据安全和业务持续文档运行。