1網絡安全技術信息系統災難恢復規范GB50174—2017數據中心設計3.13.2災難恢復中心（3.19）替代主中心（3.21），支持關鍵業務3.3關鍵業務功能criticalbus3.43.5恢復時間目標recoverytimeobj23.6支持業務運作的信息系統從災難恢復中心（3.19）重新回到主中心（3.21）運行的過3.73.8放方式，以保證達到恢復時間目標(3.5)和恢復點目標3.9業務連續性管理businesscontinuitym識別對組織的潛在威脅及其一旦發生可能對業務運行所帶來影響的整套管理過程，該過程為建立具有有效響應能力的組織韌性提供框架，以保護其關3.103.113.12平不可接受、達到特定的時間的突發性事件。通常導致信3.13為了災難恢復(3.14)而對系統、基礎設施、專業技術3.14為了將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態，并將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態，而33.153.16災難恢復能力disasterrecover在災難發生后利用災難恢復資源和災難恢復預案及時恢復和繼續運作的能3.173.183.193.203.214擔當了多重角色，災難恢復應用方可以根據實際情況增信息系統的災難恢復工作依據恢復能力目標劃分為6級。各階段具體工作應符合第6章至第9章的要求，等級劃分應符合附錄A的要求，測試評價方法應符合第5災難恢復的組織機構設置并明確其職責。其中一些人可負責兩種或多種職責，一些職c)災難恢復技術與執行小組和災難恢復保障小組。組織可聘請外部專家協助災難恢復實施工作，也可委托具有相應資質的外部機構承擔實施組以及5.2組織機構的職責5——災難恢復領導小組是信息系統災難恢復工作的組織領導機構，組長應由組織最高管理層成員擔任。災難恢復領導小組的職責是領導和決策信息系統災難恢復的重大事宜，主要包括并批準災難恢復經費預算、審核并批準災難恢復的策略、預案、及批準災難恢復預案——災難恢復管理小組主要由組織的業務、技術、后勤等相關部門負責人組成，在災難恢復領導小組領導下開展工作，主要負責管理和協調信息系統災難恢復工作，包括組織制定災經費預算、組織制定災難恢復的策略及預案、協調災難恢復內外部資源、檢查災難——災難恢復保障小組主要由組織的人力資源、后勤保障人員組成，主要負責保障災難恢復工作弱性，識別現有的風險防范和控制措施，風險評估方法具體可參考GB/T209識別組織各項業務功能及各項業務功能之間的相關性，確定支持各項業務功能的相應信息系統資應采用定量和/或定性的方法，對各種業務功能的中斷造成的影響應根據風險分析和業務影響分析的結果，應確定災難恢復需求，a)綜合風險分析和業務影響分析的結果，確定信息系統的恢復優先級；錄B給出了某行業RTO和RPO與災難恢復能力等級的6a)可根據風險分析結果確定信息系統的分類分級，分類分級具體方法根據提供服務重要性、時效性要求和建設規劃，災難恢復a)數據級災難恢復：在災難發生之后，可以確保數據不受到損壞；戶和業務人員的辦公場所，當發生災難時，用戶和業務人員提供注：數據級、應用級和業務級三種類別的恢復能力等級由其各自類別的RT——一主一備：一個生產中心，一個災難恢復中心；——一主多備：一個生產中心，多個災難恢復中心；——互為備份：兩個及兩個以上生產中心互相備份；注：互為備份包括雙活和多活方式，所有的中心均提供實時服務，互為備e)專業技術支持能力：對災難恢復系統的運轉提供支撐和綜合保障的能力,以實現f)運行維護管理能力：包括運行環境管理、系統管理、安全管理和變更管理等；7g)災難恢復預案：包括觸發啟動條件、實施目標、實施團隊6.2.5采用云計算技術的災難恢復在采用云計算技術的災難恢復工作中，在滿足6.2.4要求的基礎上，應考慮生產中心、災難恢復中上、云下、跨區、跨云場景下的適用性和兼容性需求。附錄D給出了一個使用云計算技術場景下的災難b)數據備份的時間間隔；數據備份容災系統可由組織自行建設，也可通過租用其它機構的系統或由云廠商提供的災難恢復數據備份容災系統應提供數據一致性和完整性驗證，以確保災難恢復中心與生產中心數據的一致組織應根據業務功能的災難恢復對備用數據處理系統的要求和未來發展的需要，按照成本風險平f)事先購買所需的設備并存放在災難恢復中心或安全的設備倉庫；組織應根據業務功能的災難恢復對網絡容量及切換時間的要求和未來發展的需要，按照成本風險組織可通過6.3.1.2所述的方式獲取備用網絡系統；備用數據通信線路可使用自建的數據通信線路8組織應根據災難恢復目標，按照成本風險平衡原則，確定對備用基礎設施的要求a)與主中心的距離要求；a)災難恢復中心設置專職技術支持人員；組織應根據需求分析的結果，按照成本風險平衡原則，明確災難恢b)制定過程的要求；組織可選用以下方式，完成災難恢復預案的制定、落a)數據級災難恢復能力；d)獨立于生產云平臺的場外云平臺系統。9e)由組織所有或運行，實現自身云服務需要并提供災難恢復功能；f)租用由外部機構提供的災難恢復服務。災難恢復系統的網絡安全要求不低于其承載的信息系統的最高級別，具體安全要求可參考相關法c)對重要的國家戰略層面的災難恢復中心的根據災難恢復中心功能和災難恢復的目標對時效性的要求，參照GB50174—2017的等級要求建設災難恢復中心基礎設施。災難恢復中心基礎設施的6.5災難恢復技術方案的驗證和確認根據第7章災難恢復的需求和規劃設計，制定災難恢復系統實施方案，同時根據實施方案進行災難恢復系統部署和配置，并對部署系統進行測a)建設目標和建設內容；對災難恢復系統進行部署和配置，應主要包含但不限于以下整相關策略。系統實施的各個環節應遵照質量控制方案的要求，部署實現質量控制目并對生產中心和災難恢復中心的網絡進行配置，使得備用網b)對生產中心和災難恢復中心間的網絡進行測試，保證客戶端可與備用數據處理系統通信正常；理制度，如：運行環境管理制度、系統管理制度、安全管理制度和變更管理制度等。7.2災難恢復中心建設災難恢復中心的建設過程應與7.1章節一致，具體災難恢復建設標準可參照GB50174—2017要求執災難恢復中心基礎設施建設可根據組織的建設要求組織實施，其建設內容應包含但不限于以下內心（多媒體室）等災難恢復輔助設施；培訓教室、模擬演練室等e)應符合有關國家標準的要求與發展規劃，并遵循綠色、低碳、集約、高效的原則；具有項目對應工程資質和數據中心建設經驗的施工承包單位、造價咨詢單位和施工監理單位數據備份容災系統應本著數據的一致性以及業務持續性的原則進行建設，確保災難恢復中心與生生產中心共享的災難恢復中心，災難恢復系統建設中還應考慮不同生產系統在災難恢復中心備份數據為滿足組織業務持續性運行的建設要求，災難恢復中心的備用數據處理系統應在系統運行環境和災難恢復中心的備用網絡系統包括災難恢復中心內部網絡、生產中心和災難恢復中心間的備份網8.2安全管理制度技術體系、運行維護體系、保障體系等方面進行規劃,加強機構、人員相關人員。災難恢復系統安全策略應每年至少修訂一次,或發生重大變化時進行b)應建立災難恢復系統的管理制度和安全策略，并根據災難恢復系統面臨的安全風險和威脅的災難恢復安全管理機構遵循第6章災難恢復的組織機構設置，從災難恢復系統安全性角度還包含以a)應在災難恢復的組織機構中明確負責人專職管理災難恢復系統安全保護工作，建立并實施考b)應建立災難恢復系統系統安全教育培訓c)當災難恢復系統安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發生變化或必要應實現災難恢復系統的通信線路“一主多備”的多電信運營商多路由保護,宜對網絡關鍵節點和重b)應保證災難恢復系統跨邊界的訪問和數據流通過邊界設備的受a)應對災難恢復系統的數據備份、恢復、刪a)應對用戶身份進行標識和鑒別，并配置合適的口令復雜度策略；b)應明確災難恢復系統重要業務操作、重要用戶操作c)應對災難恢復系統設備、用戶、服務或應用、數據進行安全管控,對于重要業戶操作或異常用戶操作行為,建立動態的身份鑒別方式，或者采用多因子身份鑒別a)應采取技術手段,提高對高級可持續威脅等網絡攻擊行為的入侵防范能力；應使用自動化工具來支持系統賬戶、配置、漏洞、補丁、病毒庫等的管理。對于漏洞、補丁,應在a)應保證災難恢復系統的運維地點位于中國境內,如確需境外運維，應符合我國相關規定;b)應在運維前與維護人員簽訂安全保密協議；b)應采購、使用符合相關國家標準要求的的災難恢復產品和服務。可能影響國家安全的,應通過c)應建立和維護合格供應方目錄。應選擇有保障的供應方,防范出現因政治、外交、e)采購災難恢復產品和服務時，應明確提供者的安全責任和義務,要求提供者對災據、控制和操縱用戶系統和設備,或利用用戶對產品的依賴性謀取不正當利益f)應與災難恢復產品和服務的提供者簽訂安全保密協議,協議內容應包括安全職責、保密內容、g)應要求災難恢復產品和服務的提供者對災難恢復產品和服務研發、制造過程中涉及的實體擁h)災難恢復產品和服務的提供者應提供中文版運行維護、二次開發等技術資料；i)應自行或委托第三方服務機構對定制開發的軟件進行源代碼安全檢測,或由供應方提供第三a)應對災難恢復系統在備份、恢復過程中的數據完整性進行校驗；b)應支持防病毒軟件掃描，防止文件被病毒感染；c)應支持數據防泄露功能，數據存儲d)應在災難恢復系統設施退役廢棄時,按照數據安全保護策略對數據刪除、銷毀和存9災難恢復系統運行管理9.1.1預案制定原則應預案，并進行落實和管理。預案的制定應遵循以下a)針對性：面向數據級、應用級、業務級等不同災難恢復類別設計相應的預案；b)完整性：預案包含可能發生的災難場景；c)易用性：預案采用易于理解的語言、流程圖等形式，適合在緊急情況下使用；f)兼容性：災難恢復預案應與網絡安全9.1.2預案制定過程e)審核和批準：由災難恢復領導小組對審批稿進行審核和批準，確定為預案的執行稿；b)預案實施所需資源；g)預案切換資產依賴、關聯和切換流程；h)預案關聯部門、通知流程、通知內容；a)在災難恢復規劃初期，開始災難恢復觀念的宣傳教育工作；c)組織災難恢復預案教育培訓后的監督考核，確保預案實9.1.5預案變更為了保證災難恢復預案的有效性，從以下方面對災難恢復預案應進行嚴格的維護和變b)應對預案測試、演練和災難發生后執行的效果進行9.1.6預案保存和分發經過審核和批準的災難恢復預案，應按照以下原則進行保a)預案由專人負責；b)預案具有多份拷貝，保存在不同的地點；c)預案分發給參與災難恢復工作的所有人員；d)預案實施嚴格的版本管理，每次修訂后所有拷貝統一更新；9.2.1運行維護原則a)安全性原則：災難恢復系統的安全管理等級和要求與生產系統保持一致或低一級；b)關聯性原則：災難恢復系統運行維護體系與生產系統運行維護體系實現聯動；c)制度化原則：災難恢復系統運行維護管理制度化、流程化，提高運行維護管理質量、效率；d)可用性原則：災難恢復系統運行維護管理通過全面測試和定期驗證機制,確保災難9.2.2運行監控運行監控原則上要求覆蓋災難恢復資源和過程，監控內容應包括但不限于以下內容：a)災難恢復中心動力環境可用性；9.2.3.1巡檢內容形成巡檢報告，并對歷史巡檢結果進行比對分析。災難恢復巡檢內容應包含但不限于a)災難恢復中心動力環境可用性；9.2.3.2巡檢頻次9.2.3.3巡檢報告c)巡檢報告可采用紙質文檔或電子文件方式保存。9.2.4.1演練類型握預案中所規定的職責和程序，提高指揮決策和協同配合c)數據恢復演練：對備份數據做恢復測試，驗證備份數據可用性和完整性；驗證災難恢復預案和系統可用性。實戰演練應確保數據真實有效或回退到演練前的狀態。9.2.4.2演練頻次9.2.4.3演練報告b)演練報告模版要求定期評審、修訂；9.2.4.4演練培訓a)在災難恢復運行維護初期，開展演練觀念宣傳教育工作；b)在災難恢復演練前，對演練目標、演練預案等開展針對性培訓；9.3.1應急事件響應a)采取必要控制措施，最大限度地保護運行b)結合災難場景選擇對應災難恢復預案，確認啟動災難恢復預案；e)根據業務和系統可用性驗證結果，a)針對災難恢復事件，形成災難恢復事件報告；c)災難恢復事件報告模版要求定期評審、修9.4重建和回退災難恢復完成后，第一時間制定災難后重建和回退方案，方案應包括但不限a)生產中心故障修復或重建，恢復生產中心運行正常；b)實施災難恢復中心到生產中心的數據同步，保證生產中心和災難恢復中心數據一致性；d)業務從災難恢復中心回切到生產中心后，驗證業務可用性；f)災難恢復系統巡檢報告歸檔記錄；信息系統災難恢復工作中應參照附錄A中的要素和準則對不同災難恢復能力等級的災難恢復中心和保障數據的機密性、完整性、可用性，保障業務的10.2災難恢復的組織機構設置測試評價方法1）結合日常組織機構建立災難恢復組織機構，設置災難恢復領導小組、災難恢復管理小組、部分或全部工作情況的，外部專家或外部機構具備相及其職責是否為領導和決策信息系統災難恢復的重大事關部門負責人組成，及其職責是否為管理和協調信息系統災人員、運行維護人員和服務供應商組成，及其職責是否為具體實10.3災難恢復規劃設計測試評價方法施等，以及檢查是否參考GB/T20984—2022標準開展風險結合組織業務情況，參考GB/T20984-2022開展了風險分析活動，風險分析內容包括識別信息系統的資產及其價值、面臨的威脅和存在的脆弱性，識別現有的風險防范和源，是否明確相關的保密性、完整性、可用性（包括時間敏感性）要2）查看災難恢復設計方案，檢查是否采用定量和/或定性的方法，對各種業務功能的中斷造析的結果確定信息系統的恢復優先級，是否確定災難策略的要素是否包括參照GB/T20984—2022方法和附錄C進行信息系統的分類分級、確定災難恢復的業務功能采用不同的災難恢復策略。災難恢復策略要素包括參照GB/T20984—2022方法和附錄C且類別為數據級、應用級或業務級中的一項局模式為一主一備、一主多備、互為備份、多主一備和混合方式中的一源要素，檢查災難恢復各能力等級所需的資源要素是否上述預期結果均滿足判定為符合，1)項不滿足判何種獲取方式，檢查技術方案中是否包含系統運行環境和軟件版本兼容性相3）災難恢復技術方案中備用數據處理系統相關文檔內容完整，包括了資源要求和獲取2）訪談災難恢復技術與執行小組成員，查看災難恢復技術方案文檔，檢查是否通過由自有、2）災難恢復技術方案中運行維護管理能力要求包括組織架構、各類技術人員的數量和素質、的接管能力、系統架構和兼容性能力要求、獨立于生產云平臺的場外云平臺系織所有或運行、租用由外部機構提供的災難恢復服務中的方上述預期結果均滿足判定為符合，1)項不滿足判定為不適用，否則為不符合或部分災難恢復系統的網絡安全要求不低于其承載的信息10.4災難恢復系統和中心建設測試評價方法部署到實際的應用環境中，以及檢查系統實施的各個環節是否遵照質量控制方案的要求，關配置是否正確，以及檢查災難恢復系統和備用網絡系統工查系統實施的各個環節遵照質量控制方案的要求，實現了質量1）結合災難恢復的需求和規劃設計文檔，查看系統測試文檔，檢查是否對規劃設計的功能、2）訪談災難恢復技術與執行小組成員是否設計驗收方案，并查看其是否滿足設計方案要求；檢查其是否結合詳細設計方案，對功能、性能和安全性等進行查其是否明確給出驗收意見和驗收結論，對于提出修改建議的，檢查整改和重新收情況；記錄和培訓記錄，檢查是否建立技術支持組織及其能力，以及是否開展培訓及其頻次等。系統工作設施和保障系統工作設施）、輔助設施、生活配套設施，以及其他必要的區域，2）新建或選用災難恢復中心的基礎設施的，按照符合有關國家標準的要求與發展規劃建設，2）查看備用數據處理系統運行能力的測試驗證文檔，檢查是否開展測試驗證，及其有效性。對于多個生產中心共享的災難恢復中心，查看備用網絡系統和網絡設備的安全隔離策略和配10.5災難恢復系統的安全建設測試評價方法災難恢復系統的安全建設網絡安全等級保護測試評照GB/T22239—2019，根據其網絡安全等級保護級災難恢復系統參照GB/T22239—2019，根據其網絡安全等級保護災難恢復系統的安全建設安全管理制度測試評查看相關的預算分配記錄、人員培訓記錄、裝備采購和維護記錄等，以檢查機構、人員、全策略是否至少每年修訂一次，或在發生重大變化時是否進行恢復組織機構中明確指定了負責災難恢復系統安全保護工作的專職管錄，檢查是否建立了針對災難恢復系統安全保護工作的考核及監督問2）災難恢復安全管理機構人員被有效納入組織的決策體系中，能夠在決策過程中發揮災難恢復系統的安全建設安全管理人員測試評價內3）針對安全管理機構負責人和關鍵崗位人員變動，組織及時進行了身份和安全背景的核查，要設施的配置和網絡拓撲圖，檢查網絡關鍵節點和重要設施是否為“雙節點”冗余備份。故障時能夠無縫切換至備用線路，保障通信不中斷。網絡的關鍵節點和重要設施采用了“雙節點”災難恢復系統的安全通信網絡互聯安全測試評1）訪談災難恢復技術與執行小組技術人員，查看網絡架構和安全邊界防系統跨邊界的訪問和數據流是否通過邊界設備的受控災難恢復系統的安全通信網絡安全審計測試評對用戶身份進行標識和鑒別，是否配置合適的口令復雜度策略，以及測試驗證其有效性；3）訪談災難恢復技術與執行小組技術人員，查看鑒別與授權相關文檔和身份管理系統配置，災難恢復系統的安全計算環境入侵防范測試評和其他網絡攻擊，以及相關工具和技術的選擇和實施情況。檢查是否采用入侵檢測系統、和管理過程。檢查是否采用后臺加密、動態口令等安全措施提升災難恢復系統的安全性。和配置，包括賬戶創建、修改、禁用和刪除的流程是否補丁管理，包括漏洞的自動識別、評估和補丁的自動2）通過開展安全測試和評審驗證了災難恢復系統的安全性，并有效識別和解決了安全問題；3）訪談負責災難恢復保障小組供應鏈管理的采購和供應鏈管理人員，查看合格供應方目錄，行或委托第三方服務機構定制開發的軟件是否進行源代碼安全檢測,或供應方是否提供第提供用于供應鏈安全管理的資金、人員和權限等可3）成功建立和維護了一個包含經過嚴格評估查看退役和廢棄設施處理流程，檢查災難恢復系統設施退役廢棄時,是否按照數據安全保護策略對數據刪除、銷毀和存儲介質的重用提出相等過程，檢查對應過程記錄、簽字、評審意見報告等文檔案，檢查預案內容是否全面，以及是否與災難恢復需求和災難恢復技術方作手冊等內容,且預案內容與災難恢復需求和災難恢復技術方2）查看預案實施團隊成員的考核記錄，并質詢相關人員2）查看預案變更過程記錄，檢查是否對預案測試、演練和災難發生后執行的效果進行評估，訪談災難恢復技術與執行小組人員和災難恢復保障小組人員，查看災難恢復系統運行維護制復系統運行維護體系與生產系統運行維護體系是否實現聯動，檢查災難恢復系統運行維護管否通過全面測試和定期驗證機制,能確保災難災難恢復系統的安全管理等級和要求與生產系統保持一致或低一級，災難恢復系統運行維護用性、災難恢復資源使用率、災難恢復資源安全性、災難恢復任務運源使用率變化、災難恢復資源變更記錄、災難恢復資源錯誤日志、災難恢復資源安全性、3）巡檢報告包含了巡檢時間、巡檢對象、巡檢步驟、巡檢腳本、巡檢結果、巡檢執行人員、2）查看演練過程記錄，檢查演練頻次巡是否與查看應