标準應用 | 重視備份數據恢複驗證，保障數據的可恢複性與可用性

Time：2021-11-15

以下文章來源于CCIA數據安全工作委員會(huì)，作者吳陽

《中華人民共和國(guó)數據安全法》中明确指出數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等。數據安全，是指通過(guò)采取必要措施，确保數據處于有效保護和合法利用的狀态，以及具備保障持續安全狀态的能(néng)力。當前，最有效的保障數據安全的方式仍然是數據備份，即企業針對(duì)核心生産業務的數據、文件制定備份策略生成(chéng)備份數據，一旦業務數據發(fā)生丢失或損壞，則恢複備份數據提供業務訪問，傳統的數據備份方案并未提供數據的恢複驗證手段，因此企業在發(fā)生數據丢失時(shí)，啓用備份數據恢複失敗的案例屢見不鮮，這(zhè)也給各行業客戶造成(chéng)了巨大的經(jīng)濟損失和不良的社會(huì)影響，爲滿足法律的合規性要求，備份數據的恢複驗證成(chéng)爲備份恢複解決方案的必要需求，但由于備份數據量巨大、涉及業務系統繁多、專業人員數量有限，定期的備份數據恢複驗證仍然是一道(dào)難題，上訊敏捷數據備份恢複驗證解決方案爲備份數據的恢複驗證提供了創新的技術手段，包括備份數據的分鍾級快速恢複、秒級可用性驗證、按計劃周期性定時(shí)自動恢複驗證，保障了備份數據的可恢複性與可用性。

本文我們針對(duì)GB/T 37988-2019《信息安全技術數據安全能(néng)力成(chéng)熟度模型》标準中的條款，從具體應用角度出發(fā)，結合标準内容展示實踐中的示範案例。

應用标準

應用标準：GB/T 37988-2019 《信息安全技術數據安全能(néng)力成(chéng)熟度模型》

一、條款解析

應用标準GB/T 37988-2019《信息安全技術數據安全能(néng)力成(chéng)熟度模型》

二、實踐案例

案例背景：

當前，以移動互聯網、雲計算、大數據等爲代表的新一代信息技術，與傳統的銀行業務需求相結合，帶來了數據的爆發(fā)式增長(cháng)，爲保障數據的安全性，數據備份業務需求強烈，但作爲資金密集型行業銀行業不僅要求對(duì)數據進(jìn)行實時(shí)備份，還(hái)要求對(duì)備份數據進(jìn)行定期的自動化恢複驗證，查驗備份數據的可恢複性與可用性，提高企業信息化建設的自動化與智能(néng)化發(fā)展。敏捷數據備份恢複驗證實現了分鍾級的恢複時(shí)間、秒級的恢複粒度以及備份數據有效性的自動校驗。

敏捷數據備份：

敏捷數據備份采用旁路式接入方式備份數據庫或文件，借助數據庫自身成(chéng)熟的備份接口，例如中興GoldenDB可通過(guò)xtrabackup/mysqldump等方式，進(jìn)行首次全量備份，後(hòu)續永久增量備份，實時(shí)日志同步，三者結合進(jìn)行全量快照的合成(chéng)，保障每一次恢複均爲完全恢複，同時(shí)，采用日志校驗技術，保證了同步數據和生産數據的完整性和一緻性。在數據備份方面(miàn)，敏捷數據備份更注重備份功能(néng)的穩定性，最小化對(duì)生産業務系統的影響，因此，越是成(chéng)熟穩定的技術越容易被(bèi)應用。

敏捷數據存儲：

敏捷數據存儲對(duì)數據處理環節中的數據存儲部分進(jìn)行了創新，采用獨特的壓縮存儲池存放備份數據，將(jiāng)獨立的卷管理器和文件系統角色結合在一起(qǐ)，由文件系統掌握磁盤的基礎結構，傳統文件系統一次隻能(néng)在單個磁盤上創建，如果有兩(liǎng)個磁盤，則必須創建兩(liǎng)個單獨的文件系統，而卷管理器和文件系統的組合解決了這(zhè)個問題，它允許創建許多共享可用存儲池的文件系統。該存儲池的最大優勢之一是對(duì)磁盤物理布局的控制，當將(jiāng)其他磁盤添加到池中時(shí)，現有文件系統可以自動增長(cháng)，而新空間可用于所有文件系統，即可以通過(guò)添加硬盤來增大池的存儲容量，進(jìn)行分區和格式化。

此外，該存儲池具備高效的壓縮比，能(néng)夠降低基礎備份數據的存儲成(chéng)本，相較于傳統的備份方案，存儲設備的采購成(chéng)本得到了明顯的節約。

敏捷數據恢複驗證：

傳統的數據備份技術是將(jiāng)備份數據形成(chéng)備份集，如果需要恢複則必須做Restore動作才能(néng)打開(kāi)，在大數據量的情況下，Restore耗時(shí)較長(cháng)、耗費資源，因此，企業通常難以驗證大數據量的備份數據的可恢複性與可用性，這(zhè)就(jiù)導緻在企業構建的數據備份體系中存在大量的“暗數據”，這(zhè)些數據長(cháng)期積累，既沒(méi)有過(guò)期删除釋放存儲資源，也沒(méi)有脫敏存在安全隐患。

敏捷數據恢複驗證是保障備份數據恢複可用性的創新手段，由于敏捷數據備份的數據格式同原始數據格式一緻，因此，當備份數據需要恢複時(shí)，隻需虛拟化爲副本直接挂載至原主機或者應急備用目标機，連接啓用副本數據庫即可實現恢複，由于采用網絡遠程挂載的方式，以TB量級的數據庫爲例恢複時(shí)間可以是分鍾級的，因此，每一份備份數據都(dōu)可以做到快速地恢複驗證，每一份備份數據都(dōu)可以是活躍的、可用的“活數據”。

最後(hòu)，敏捷數據備份恢複驗證方案提供自動化恢複驗證流程，針對(duì)接入的備份數據均可以實現周期性、自動化恢複驗證，周期跨越日、月、季度、半年、年的具體時(shí)間點，有效簡化了複雜的恢複工作流程；且針對(duì)過(guò)期數據則根據預定策略删除過(guò)期數據，合理釋放存儲資源，從而提高數據備份的效率，防護數據恢複環節中的安全。

數據備份一直以來被(bèi)認爲是數據保護的最後(hòu)一道(dào)防線，然而卻承載著(zhe)企業第一手數據資産，因此，備份數據的可恢複性和可用性至關重要。喚醒大量淪爲“暗數據”的備份數據，讓數據備份即可用！

（本文作者：上海韋獅信息技術有限公司吳陽）