《数据备份与恢复规范(试行)》

《数据备份与恢复规范(试行)》1.适用范围本规范适用于组织内所有信息系统产生的结构化数据（如关系型数据库、NoSQL数据库）、非结构化数据（如文档、日志、图片、视频）及半结构化数据（如JSON、XML文件）的备份与恢复管理。覆盖生产环境、测试环境及灾备环境中的数据，包括但不限于核心业务系统、客户管理系统、财务系统、办公自动化（OA）系统的数据。2.术语定义（1）全量备份：对指定数据对象的全部内容进行完整复制的备份方式。（2）增量备份：仅备份自上一次全量或增量备份后发生变更的数据。（3）差异备份：仅备份自上一次全量备份后发生变更的所有数据。（4）RPO（恢复点目标）：允许丢失的数据最大时间范围，以时间单位（如分钟、小时）表示。（5）RTO（恢复时间目标）：从数据丢失或系统故障发生到恢复业务可用的最长允许时间。（6）冷备份：在系统停机或数据不可写状态下执行的备份操作。（7）热备份：在系统正常运行、数据可读写状态下执行的备份操作。3.职责划分（1）IT运维部门：负责制定数据备份策略、选择备份工具、实施备份操作、维护备份介质，定期组织恢复演练并记录结果。（2）数据所有者（业务部门）：明确本部门数据的重要等级、RPO/RTO需求，确认备份范围及保留周期，参与恢复验证。（3）信息安全部门：监督备份过程的安全性（如加密、访问控制），审核备份策略的合规性（符合《个人信息保护法》《数据安全法》等要求），参与重大数据恢复事件的风险评估。（4）灾备管理团队：负责异地备份介质的存储管理，定期检查异地灾备中心的备份数据可用性，协调跨区域恢复资源。（5）审计部门：每季度对备份策略执行情况、备份日志完整性、恢复演练有效性进行独立审计，形成审计报告并提交管理层。4.备份策略制定（1）备份类型选择：核心业务系统数据库（如MySQL、Oracle）采用“全量备份+每日增量备份”策略；文件存储系统（如NAS、对象存储）采用“每周全量备份+每日差异备份”策略；关键配置文件（如服务器配置、网络设备配置）采用实时增量备份。（2）备份频率：生产数据库全量备份每72小时执行1次，增量备份每4小时执行1次；文件系统全量备份每周日23:00执行，差异备份每日23:00执行；日志数据（如应用日志、安全日志）实时采集并每小时备份至灾备中心。（3）保留周期：生产数据全量备份保留至少30个版本，增量/差异备份保留至下一次全量备份完成后72小时；测试环境数据备份保留15个版本；归档数据（如超过3年的历史业务数据）备份永久留存，每2年进行1次介质迁移验证。（4）RPO与RTO指标：核心业务系统RPO≤15分钟，RTO≤2小时；一般业务系统RPO≤1小时，RTO≤4小时；非核心系统（如内部文档系统）RPO≤24小时，RTO≤24小时。（5）存储介质要求：本地备份采用高性能磁盘阵列（RAID10），异地备份采用加密磁带（LTO-8及以上）或云存储（通过S3协议加密传输）；关键数据需同时存储于本地磁盘、同城磁带库（距离生产中心≥50公里）和异地云存储（跨省级区域），形成“三地六中心”备份架构。（6）加密要求：静态数据备份采用AES-256位加密，密钥由密钥管理系统（KMS）统一管理，密钥生命周期不超过90天；传输过程中使用TLS1.3协议加密，禁止明文传输备份数据。5.备份实施流程（1）备份前准备：检查源数据系统状态（如数据库连接状态、文件系统挂载状态），确认无正在执行的高风险操作（如大规模数据删除、索引重建）。验证备份存储空间可用性，确保可用空间≥当前备份数据量的1.5倍；检查网络带宽（本地备份需≥1Gbps，异地备份需≥100Mbps）。确认备份脚本或工具配置（如备份路径、排除列表、压缩级别）与最新策略一致，测试脚本执行权限（仅允许备份服务账号操作）。（2）备份执行：生产环境备份任务需在业务低峰期执行（如00:00-06:00），通过自动化工具（如Veeam、NetBackup）调度，禁止手动触发关键系统备份。备份过程中实时监控任务状态，记录日志（包括开始时间、结束时间、处理数据量、成功/失败对象、错误代码），日志字段需包含系统标识、备份类型、执行节点IP。对备份数据生成SHA-256校验和，与备份文件关联存储，用于后续完整性验证。（3）备份验证：全量备份完成后，随机抽取5%的文件或数据库表进行内容比对（如通过md5sum校验文件内容，通过数据库查询验证记录一致性）。增量/差异备份验证需检查变更日志与备份数据的匹配性（如数据库事务日志与增量备份的LSN（日志序列号）连续性）。验证结果需记录并留存，若验证失败，需在2小时内重新执行备份并通知IT运维负责人。（4）备份存储：本地磁盘备份需在完成后30分钟内同步至同城磁带库，磁带需标注项目名称、备份时间、数据类型（如“财务系统-20240515-全量”），并放入防磁、防火、防潮的专用柜中。云存储备份需通过API接口自动上传，上传完成后调用云服务提供的“对象锁定”功能，禁止未授权删除操作，锁定周期与备份保留周期一致。（5）备份记录管理：建立《备份台账》，字段包括备份时间、系统名称、备份类型、数据量、存储位置（本地磁盘路径/磁带编号/云存储桶名）、校验和、执行人员、验证结果。台账电子档每日同步至审计专用服务器，纸质记录（如磁带标签）留存至少1年。6.数据恢复流程（1）恢复需求确认：由数据所有者或系统管理员提交《数据恢复申请单》，注明需恢复的数据范围（如数据库名、文件路径）、目标恢复时间点（精确到分钟）、恢复原因（如误删除、硬件故障）。IT运维部门需在30分钟内审核申请，确认备份集中存在有效备份（未过期、未损坏），并评估恢复操作对生产系统的影响（如需要停机恢复时需协调业务部门）。（2）恢复环境准备：若为生产系统恢复，优先使用与原环境配置一致的备用服务器（CPU、内存、操作系统版本、数据库版本需完全匹配）；若备用服务器不可用，需在测试环境完成恢复验证后再迁移至生产环境。恢复前关闭目标系统的写入操作（如数据库设置为只读模式，文件系统卸载写权限），避免恢复过程中数据被覆盖。（3）恢复执行：数据库恢复：按“全量备份→差异备份→增量备份”顺序依次应用，使用数据库自带工具（如OracleRMAN、MySQLbinlog）执行恢复，过程中监控redo日志应用状态，确保无事务丢失。文件系统恢复：通过备份工具（如rsync、robocopy）将备份数据复制至目标路径，保留原始文件属性（如权限、创建时间），对大文件（≥10GB）采用分块恢复并校验每块完整性。云存储数据恢复：调用云服务API下载备份对象，通过预先存储的校验和验证文件完整性，下载速率限制为可用带宽的70%，避免影响其他业务。（4）恢复验证：业务功能验证：恢复完成后，由业务部门测试关键交易（如订单提交、支付接口），确认数据一致性（如订单号、金额、时间戳与原记录匹配）。性能验证：检查系统响应时间（如数据库查询延迟≤200ms）、吞吐量（如文件上传速率≥100MB/s）是否符合SLA（服务级别协议）要求。安全验证：扫描恢复后的数据是否存在恶意代码（如通过杀毒软件全盘扫描），检查文件权限是否与原环境一致（如敏感文件仅允许管理员读取）。（5）恢复回切与记录：验证通过后，将恢复后的数据同步至生产系统（如切换数据库主备节点，挂载恢复后的文件系统），恢复系统写入权限，通知业务部门恢复正常使用。填写《恢复报告》，内容包括恢复时间、使用的备份版本、处理数据量、验证结果、问题及解决方案（如备份介质读取失败时切换至异地云备份），报告需由IT运维负责人、数据所有者签字确认。7.监控与审计（1）备份监控：部署备份监控平台（如Nagios、Zabbix），实时采集备份任务状态（成功/失败）、进度百分比、数据传输速率等指标，设置告警规则（如任务超时≥30分钟、失败次数≥2次触发短信+邮件告警）。每日生成《备份健康日报》，包含任务完成率（目标≥99%）、平均备份时长、异常任务统计，发送至IT运维负责人及信息安全部门。（2）审计要求：内部审计每季度执行1次，重点检查：备份策略与实际执行的一致性（如是否按频率执行全量备份）、备份介质的物理安全性（如磁带库门禁记录、云存储访问日志）、恢复演练的有效性（如最近一次演练是否在RTO内完成）。外部审计每年委托第三方机构执行，审计范围包括备份流程合规性（符合ISO27001、等保三级要求）、数据隐私保护（如个人信息备份是否加密）、灾难恢复能力（如异地备份是否可独立恢复业务）。8.存储介质管理（1）介质生命周期：磁盘介质（SSD/HDD）使用寿命为3年，达到年限后需下线，通过DBAN工具进行7次覆写擦除（敏感数据需物理粉碎）。磁带介质（LTO-8）使用寿命为5年，每2年进行1次读检（随机抽取10%磁带验证数据可读性），读检失败的磁带需在48小时内重新备份数据至新磁带。（2）介质访问控制：本地磁盘备份存储区仅允许备份管理员和审计人员进入，需通过指纹+密码双重认证，访问记录留存至少1年。磁带库实行“双人双锁”管理，取出或放入磁带需由2名授权人员共同操作并签字确认。（3）介质销毁：对过期或损坏的介质，需填写《介质销毁申请单》，经信息安全部门审批后执行销毁。磁盘采用物理粉碎（碎片≤2mm），磁带采用消磁+粉碎；销毁过程需录像留存，录像文件保存至少6个月。9.应急响应（1）应急预案：制定《数据备份与恢复应急手册》，明确系统宕机、备份介质损坏、勒索软件攻击等场景的应对步骤（如勒索攻击时立即隔离感染主机，使用离线备份恢复数据）。每季度组织1次应急演练（如模拟生产数据库崩溃，从异地磁带恢复数据），演练需覆盖业务部门、IT运维、安全团队，记录演练中的瓶颈（如磁带读取速度慢）并优化流程。（2）跨部门协作：发生重大数据丢失事件（如影响核心业务超2小时），需启动应急指挥小组，由IT运维负责人任组长，协调业务部门提供恢复需求、安全部门分析攻击路径、灾备团队调度异地资源。（3）上报机制：恢复时间超过RTO的1.5倍时（如核心业务RTO为2小时，超过3小时未恢复），需在1小时内上报分管领导，说明延迟原因及预计完成时间。10.版本控制与清理（1）备份版本命名规则：采用“系统标识-备份类型-时间戳”格式（如“CRM-FULL-20240515230000”），时间戳精确到秒，确保唯一性。（2）多版本保留：关键业务数据需保留最近3个全量备份及所有增量/差异备份，非关键数据保留最近2个全量备份。（3）自动清理策略：通过备份工具设置过期规则（如全量备份超过30天自动标记为待删除），清理前需经IT运维负责人审批，审批通过后记录清理时间、版本号、责任人。11.培训与意识