2021年10月11日,《信息安全技术数据备份和恢复产品技术要求及试验评价办法》(GB/T29765-2021)国家标准获批,取代了2013年9月18日发布的标准号GB/T29765-2013版本,并将于2022年5月1日正式实施。

1.制定背景和修改内容1、背景近年来中国的化发展迅速,随着《中华人民共和国网络安全法》的实施,安全迅速发展,数据呈爆发性增长,数据也不断更新,其价值不可估量。随着《中华人民共和国数据安全法》的正式颁布,数据安全首次被提升到国家安全的最高水平。数据备份和恢复技术作为信息安全领域的一个重要方向,其重要性日益凸显。面对大数据、云计算等新场景,对数据备份和恢复产品也提出了新的要求。2018年,腾讯云1000万起数据丢失索赔事件给云服务提供商敲响了警钟,许多云服务提供商更加重视云计算环境下的数据备份和恢复能力及其方案的可靠性。同时,在传统产品的基础上,在众多新的数据备份和恢复产品中逐渐融入了实时备份技术:不仅融合了数据备份和数据复制的优势,而且在RTO和RPO方面也有着较高的标准。在实时数据保护的同时,也可以在任意时间点恢复历史数据。近年来,随着数据备份和恢复技术的发展,原标准内容落后于技术的发展,特别是随着《网络安全法》、《数据安全法》的进一步落地,四部门联合发布了《网络关键设备和网络安全专用产品目录首批》。其中,由于将数据备份和还原产品指定为网络安全专用产品,因此开展标准修改尤为紧迫。第一章直接说明了该文件的适用范围,明确指出原标准不包括数据复制产品和连续数据保护产品。新标准在第一章规定的标准范围中删除了这一限制,其中“数据备份和恢复产品”包括数据复制产品和连续数据保护产品。GB/T29765-2021(新标准)GB/T29765-2013(旧标准)本文件规定了数据备份和恢复产品的安全功能要求、专有安全要求、安全保证要求和测试评估方法。本文件适用于数据备份和恢复产品的开发、生产、测试和评估。该标准规定了数据备份和恢复产品的技术要求和测试评估方法。本标准适用于数据备份和恢复产品的开发、生产、测试和评估。(c)本标准意义上的数据备份和恢复产品是指实施和管理信息系统数据备份和恢复过程的产品,但数据复制产品和连续数据保护产品除外。虽然原始标准明确排除了CDP连续数据保护产品,但新标准不仅在术语定义中添加了连续数据保护的概念,而且CDP连续数据保护技术定义:可以持续监控和存储目标数据的更改,而不影响关键数据操作,并可以恢复到以前的任何时间点。CDP也有一个关于“缩写”的章节。

原标准只提供了“测试方法”和“预期结果”,而新标准将所有测试方法和预期结果进行了组织,提供了“结果判定”的信息,更加直观、清晰地显示出判定结果是否符合具体要求。

新标准对三大类技术要求的升级和修改,仍将产品安全等级分为基本级和强化级,主要是基于安全功能和自身安全性的强度,以及安全保障要求的等级。强化等级比基本等级具有更高的安全能力,有更强的保障。同时,三项技术要求的说明和内容都发生了变化,整体逻辑顺序更加清晰,内容更加清晰。从总体技术要求的内容来看,对基础级和扩展级新标准的定义进行了完善。也就是说,以前是扩展级别的技术要求,而新标准则被定义为基本级别的要求,如“磁带管理”。在以前的扩展级别要求的基础上,增加了新的高级技术要求,如“重复数据删除”。除了基本和扩展级别未要求的规则外,还增加了新的共同要求规则,如“连续数据保护(如果适用)”。这也说明,随着信息化的发展,整个产品的安全性也在不断提高。标准号GB/T29765-2021(新标准)GB/T29765-2013(旧标准)分类角度安全功能要求独特安全要求安全保证要求功能要求安全功能要求增加连续数据保护(如果适用)对新技术的要求,如复制数据管理(如适用),是满足新技术发展下的产品能力所必需的。其次,在原标准中,将与备份策略和恢复功能相关的要求分为系统管理和附加功能要求,作为产品最重要的功能,在新标准中,将备份策略支持和恢复功能支持的技术要求汇总并单独列出。它更充分地体现了数据备份和恢复产品备份策略和恢复功能的重要性。第二种类型的“自我安全要求”,即标准原始主体的“安全功能要求”,是对数据备份和恢复产品本身安全性的技术要求。同时,安全要求的顺序也发生了变化。另一方面,相关技术要求和测试方法提供了更详细的指标和方法步骤,增加了对产品的要求,如“数据保护”,“应提供完整性验证机制,以确保备份数据的完整性。对产品本身安全性的要求包括但不限于标准中已知的内容。以下是其独特的安全要求:第三类“安全保证要求”,标准对象“安全保证要求”。除了需求类别的总结和二次分类外,内容也得到了更全面的补充,如在产品的“开发”要求下增加“安全架构”要求。“开发人员必须对产品的安全功能提供安全架构描述,并必须满足相应的要求。二是符合美国科技灾害应对产品标准1、标准升级变更,除新增7项主要功能或安全技术要求外,经过重大变更后,对10余项具体技术要求进行修订、新项和减少,总体要求更适合下数据备份和恢复能力的产品。新的云环境适应性(如果适用):它必须支持备份对象的备份和还原,如虚拟机操作系统、文件、数据库和云环境中的整个虚拟机。连续数据保护(如适用):1)数据跟踪捕获:必须支持数据跟踪捕获功能。连续监视和存储对备份数据的更改。2)任意时间点恢复:必须支持任意时间点恢复功能,管理员无需事先定义目标恢复点,即可在任意时间点恢复目标数据。添加重复数据删除必须支持重复数据删除功能。新的备份存储空间监视警报:应该可以监视。此外,新标准还保留了原标准的大部分内容信息,特别是一些关键技术要求,也是对传统技术信息的认可,如“快照技术”、“恢复重定向”等,是市场上大多数标准产品常用的技术。它也是实现数据备份和恢复的主要功能之一,应该继续使用。2、美创科技产品功能满意性分析①美创DBRA数据级灾难恢复产品美创DBRA数据级灾难恢复产品是以灾难完整性和灾难恢复可用性为基准点,以业务系统为视角单元的灾难恢复软件一体化产品,适应各种平台和各种场景,灾难恢复系统RPO,最大限度地满足RTO需求,同步活动站点等突出显示功能是显著提高的产品价值,保护用户投资并降低总拥有成本。该产品完全满足GB/T29765-2021基本级数据备份和恢复产品的要求。备份对象支持DBRA,支持数据库、文件的实时和调度同步,支持总量和增量同步,可通过网络备份和还原数据,备份介质支持磁盘方式进行存储。符合“6.1.6.1备份目标要求”。任意时间点DBRA的误操作恢复功能保证产品具有追溯到指定时间的历史数据的能力,同时支持随时恢复,数据追溯后,首先在灾难恢复站点进行可用性验证,然后反向同步到生产基地,完成误操作数据的恢复。满足“6.1.7.3点恢复选择”和“6.1.10.2点恢复”的要求。DBRA具有实时监控数据传输状态的功能,并在链路故障恢复时自动更新断点。满足“6.1.9.1断点更新”的要求。压缩传输DBRA采用高压缩比技术对灾难恢复数据进行压缩,以适应窄带宽的传输要求。满足“6.1.9.4压缩传输”的要求。身份认证DBRA提供用户管理、角色管理、部门管理、操作权限管理、安全认证等统一身份管理能力,同时提供“三权”账户系统、多因素认证认证技术,实现严格的权限管理和账户安全控制。满足“6.2.1认证”的要求。Metron CDP灾难应对一体机是一款软件和软件集成、易于使用、经济高效的连续数据保护解决方案产品,具有数据备份和业务恢复功能,可用于操作系统、数据库、应用程序环境、它支持实时捕获和同步备份文件等数据,并根据任何历史时间点提供快速灾难接管功能。该产品完全满足GB/T29765-2021基本级数据备份恢复产品的要求,消除了“恢复自动化”的应用要求,是美国CDP救灾一体机符合新国家标准的增强型数据备份恢复产品。云环境适应性Medro CDP灾难应对一体机支持云环境的实时备份、恢复和接管功能,可全面保护云环境中的所有虚拟机。如果您的企业使用多个云环境,则还可以在不同的云之间迁移数据。包括本地到云、云到本地、云到云的数据迁移,数据迁移支持的云类型有阿里云、腾讯云、百度云、华为云、亚马逊AWS、谷歌、AQYun等。符合“6.1.2云环境兼容性(如适用)”中的要求。连续数据保护CDP灾难防护一体机采用基于快照的整机备份+增量备份(CDM)技术,对整个客户机的数据进行完整备份,按照设定的备份任务计划对客户机数据进行增量备份,只备份更改后的数据。大大减少了备份的数据总量,同时由于备份数据量的减少,通过网络传输的数据也会大大减少,同时对网络带宽的影响也会很小。结构性数据和非结构性数据都得到充分备份,实现数据的一致性、完整性和可用性,实现应用级的灾难恢复备份。CDP实现数据的实时复制,满足对受保护客户机的连续数据备份,保存受保护客户机的历史历史点状态,保证备份窗口和RPO向0移动。满足并超过标准要求“6.1.10连续数据保护(如适用)”的要求;Metro CDP灾难防护可以根据备份对象、备份时间、备份方法、备份介质、备份模式等来制定备份策略。符合“6.1.6.1政策定制”的要求。

3.美创科技产品典型应用例1、实践例郑州大学第一附属医院:实现每日数据量在8G以上的his系统数据库的灾修复建设,保障HIS业务系统7*24小时不间断运行,系统数据库发生故障时,实现一键快速切换和交接。中国银联:1200km超长距离异地灾后恢复建设,在狭窄的带宽环境下,保障海量数据的实时同步和高完整性,数据安全和业务连续的文档运行。