數(shù)據(jù)備份管理中的分類(lèi)定級(jí):方法、標(biāo)準(zhǔn)與策略

數(shù)據(jù)是企業(yè)最重要的數(shù)字資產(chǎn),主要包括企業(yè)業(yè)務(wù)經(jīng)營(yíng)所依賴(lài)的信息系統(tǒng)所產(chǎn)生的各種業(yè)務(wù)數(shù)據(jù)以及支撐信息系統(tǒng)運(yùn)行的程序、配置數(shù)據(jù)、日志、操作系統(tǒng)等其他數(shù)據(jù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后一道防線(xiàn),可有效抵御外部黑客攻擊、內(nèi)部人員誤操作以及各種軟硬件故障導(dǎo)致的數(shù)據(jù)丟失風(fēng)險(xiǎn),很大程度上保證了數(shù)據(jù)的完整性和可用性。

隨著數(shù)字化轉(zhuǎn)型的深入,除了關(guān)注數(shù)據(jù)備份技術(shù)的運(yùn)用,數(shù)據(jù)備份管理也需要多關(guān)注數(shù)據(jù)對(duì)象本身,基于信息系統(tǒng)的分類(lèi)定級(jí)是從業(yè)務(wù)連續(xù)性出發(fā),并不是數(shù)據(jù)管理層面最科學(xué)的方法,數(shù)據(jù)備份策略還是需要從數(shù)據(jù)層面分析其可用性和完整性需求,來(lái)制定分類(lèi)定級(jí)的備份策略。本文作者結(jié)合金融行業(yè)特征分享了相關(guān)經(jīng)驗(yàn)。

1.數(shù)據(jù)備份管理工作中的四類(lèi)難題

數(shù)據(jù)是企業(yè)最重要的數(shù)字資產(chǎn),主要包括企業(yè)業(yè)務(wù)經(jīng)營(yíng)所依賴(lài)的信息系統(tǒng)所產(chǎn)生的各種業(yè)務(wù)數(shù)據(jù)以及支撐信息系統(tǒng)運(yùn)行的程序、配置數(shù)據(jù)、日志、操作系統(tǒng)等其他數(shù)據(jù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后一道防線(xiàn),可有效抵御外部黑客攻擊、內(nèi)部人員誤操作以及各種軟硬件故障導(dǎo)致的數(shù)據(jù)丟失風(fēng)險(xiǎn),很大程度上保證了數(shù)據(jù)的完整性和可用性。

由于金融行業(yè)對(duì)數(shù)據(jù)的敏感性,重要的業(yè)務(wù)數(shù)據(jù)往往需要滿(mǎn)足長(zhǎng)時(shí)間保存、備查的要求。因此,數(shù)據(jù)備份工作不僅僅關(guān)系到企業(yè)的業(yè)務(wù)連續(xù)性,還需要滿(mǎn)足國(guó)家法律、監(jiān)管機(jī)構(gòu)的合規(guī)要求。以筆者所在中小保險(xiǎn)公司為例,目前在數(shù)據(jù)備份管理工作中,普遍存在著以下四類(lèi)運(yùn)維管理要素的難題:

1)人員要素問(wèn)題

在運(yùn)維管理體系中,人員的管理是第一要素,數(shù)據(jù)備份工作也不例外。一般來(lái)說(shuō),公司的研發(fā)或業(yè)務(wù)人員應(yīng)該根據(jù)內(nèi)外部監(jiān)管和業(yè)務(wù)連續(xù)性需求提出不同業(yè)務(wù)系統(tǒng)的數(shù)據(jù)備份策略,是數(shù)據(jù)備份的需求提出方;而運(yùn)維人員按照數(shù)據(jù)備份策略的需求建立數(shù)據(jù)備份系統(tǒng)及運(yùn)維流程,扮演著數(shù)據(jù)備份的執(zhí)行和管理角色。由于不同的業(yè)務(wù)系統(tǒng)對(duì)應(yīng)著不同的需求提出方,備份管理人員不能很好地獲取準(zhǔn)確的備份需求,會(huì)存在很高的溝通成本問(wèn)題。

2)資源要素問(wèn)題

數(shù)據(jù)備份管理需要建設(shè)一套完整的系統(tǒng),包括備份管理系統(tǒng)、備份存儲(chǔ)設(shè)備、備份介質(zhì)等,并定期對(duì)數(shù)據(jù)中心的數(shù)據(jù)進(jìn)行轉(zhuǎn)儲(chǔ)備份。如果只投入較少的資源,導(dǎo)致數(shù)據(jù)備份不能有效覆蓋,在緊急情況下需要采用數(shù)據(jù)恢復(fù)手段、而數(shù)據(jù)備份又無(wú)法提供有效支持時(shí),這是這種嚴(yán)重失職;而為了數(shù)據(jù)備份能有效覆蓋,采取投入過(guò)多備份資源的手段,又會(huì)增加數(shù)據(jù)備份管理成本。

3)技術(shù)要素問(wèn)題

數(shù)字化轉(zhuǎn)型的沖擊下,數(shù)據(jù)備份工作不能只關(guān)注于傳統(tǒng)數(shù)據(jù)庫(kù)的備份,而數(shù)據(jù)量更加龐大的非結(jié)構(gòu)化數(shù)據(jù)也不容忽視,需要結(jié)合實(shí)際工作需要,制定完善備份方案。

4)過(guò)程要素問(wèn)題

在運(yùn)維過(guò)程管理中,最突出的是沒(méi)有體現(xiàn)涉及數(shù)據(jù)備份的需求方和管理執(zhí)行方的配置管理、變更管理、容量管理等過(guò)程。在大多數(shù)運(yùn)維實(shí)踐中,數(shù)據(jù)備份管理往往成了IT運(yùn)維部門(mén)單方面的工作。

2.如何應(yīng)對(duì)

隨著業(yè)務(wù)范圍、業(yè)務(wù)渠道、業(yè)務(wù)內(nèi)容的變化,企業(yè)的IT系統(tǒng)數(shù)量迅速增加,出現(xiàn)了各種類(lèi)型的業(yè)務(wù)系統(tǒng),必然需要不同的數(shù)據(jù)備份策略。數(shù)據(jù)備份策略既不能簡(jiǎn)單的采用一刀切的方式,也不能過(guò)于復(fù)雜。一刀切的方式雖然簡(jiǎn)單,但往往需要投入更多的資源才能有效覆蓋,實(shí)踐過(guò)程中也會(huì)有諸多技術(shù)難點(diǎn)需要解決;而過(guò)于復(fù)雜的策略會(huì)增加運(yùn)維管理成本,也沒(méi)有有效解決溝通成本的問(wèn)題。

數(shù)據(jù)備份管理的溝通成本問(wèn)題,關(guān)鍵還是需要建立高效的數(shù)據(jù)備份策略標(biāo)準(zhǔn)。企業(yè)往往已經(jīng)建立了IT系統(tǒng)災(zāi)難恢復(fù)等級(jí)體系,結(jié)合業(yè)務(wù)連續(xù)性的需求,將不同的IT系統(tǒng)劃分為不同災(zāi)難恢復(fù)等級(jí),并采用不同的災(zāi)備恢復(fù)方案。數(shù)據(jù)備份管理一般可參照IT系統(tǒng)的災(zāi)難恢復(fù)等級(jí)分類(lèi)來(lái)定級(jí),制定不同的數(shù)據(jù)恢復(fù)方案。

這種基于信息系統(tǒng)的分類(lèi)定級(jí)方法是高效的,比如對(duì)于保險(xiǎn)行業(yè)來(lái)說(shuō),包含承保、理賠等業(yè)務(wù)功能的核心系統(tǒng)、財(cái)務(wù)系統(tǒng)、投資系統(tǒng)是最關(guān)鍵的業(yè)務(wù)系統(tǒng),必然需要高級(jí)別的數(shù)據(jù)保護(hù)策略。但是信息系統(tǒng)本身是復(fù)雜的,信息系統(tǒng)上的數(shù)據(jù)更是多樣的,基于信息系統(tǒng)的分類(lèi)定級(jí)是從業(yè)務(wù)連續(xù)性出發(fā),并不是數(shù)據(jù)管理層面最科學(xué)的方法。例如在某些IT系統(tǒng)的非結(jié)構(gòu)化數(shù)據(jù)中,既大量存在著低價(jià)值信息,也存在一些敏感數(shù)據(jù)或高價(jià)值數(shù)據(jù)。數(shù)據(jù)備份策略還是需要從數(shù)據(jù)層面分析其可用性和完整性需求,來(lái)制定分類(lèi)定級(jí)的備份策略,主要基于以下兩方面的需求:

1)滿(mǎn)足合規(guī)需求。近年來(lái),《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等國(guó)家層面的數(shù)據(jù)安全領(lǐng)域的法律法規(guī)陸續(xù)出臺(tái),數(shù)據(jù)備份管理與數(shù)據(jù)安全、數(shù)據(jù)保護(hù)息息相關(guān),需要從數(shù)據(jù)層面去優(yōu)化IT運(yùn)維管理;

2)滿(mǎn)足企業(yè)自身運(yùn)營(yíng)要求。隨著企業(yè)信息化治理水平的提高,數(shù)據(jù)資產(chǎn)化理念逐漸深入,精細(xì)化的數(shù)據(jù)管理對(duì)數(shù)據(jù)備份策略提出了更高的要求。

3.數(shù)據(jù)備份的分類(lèi)定級(jí)策略

數(shù)據(jù)分類(lèi)強(qiáng)調(diào)的是根據(jù)數(shù)據(jù)種類(lèi)的不同,依照數(shù)據(jù)的屬性、特征而進(jìn)行的劃分;定級(jí)則側(cè)重于按照特定的一些評(píng)價(jià)標(biāo)準(zhǔn),對(duì)同類(lèi)型的數(shù)據(jù)制定相應(yīng)的數(shù)據(jù)備份保護(hù)級(jí)別;最后是綜合運(yùn)用不同的數(shù)據(jù)備份的技術(shù)手段來(lái)實(shí)現(xiàn)數(shù)據(jù)備份策略的分類(lèi)定級(jí)。

3.1數(shù)據(jù)分類(lèi)方法

數(shù)據(jù)可以從多個(gè)維度去分類(lèi),不同的分類(lèi)維度會(huì)產(chǎn)生不同數(shù)據(jù)歸類(lèi)結(jié)果,為了統(tǒng)一數(shù)據(jù)分類(lèi)結(jié)果,一般采用多級(jí)分類(lèi)的方法。數(shù)據(jù)分類(lèi)維度也不宜過(guò)細(xì),要考慮數(shù)據(jù)備份的實(shí)際顆粒度。

以業(yè)務(wù)系統(tǒng)一般作為一級(jí)子類(lèi),該分類(lèi)比較明確,分別對(duì)應(yīng)于不同的業(yè)務(wù)系統(tǒng);電子數(shù)據(jù)的存在形式主要包括數(shù)據(jù)庫(kù)等結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)這兩種類(lèi)型,作為二級(jí)子類(lèi),該分類(lèi)也比較明確;再按照數(shù)據(jù)來(lái)源進(jìn)行分類(lèi)補(bǔ)充,可分為客戶(hù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、運(yùn)營(yíng)管理數(shù)據(jù)以及辦公數(shù)據(jù),作為三級(jí)子類(lèi),按照重要性從高到低的順序如下:

1)客戶(hù)數(shù)據(jù):在客戶(hù)保險(xiǎn)服務(wù)過(guò)程中直接(或間接)采集的相關(guān)數(shù)據(jù);

2)業(yè)務(wù)數(shù)據(jù):提供保險(xiǎn)服務(wù)的應(yīng)用系統(tǒng)產(chǎn)生的業(yè)務(wù)數(shù)據(jù);

3)運(yùn)營(yíng)管理數(shù)據(jù):公司經(jīng)營(yíng)管理過(guò)程中采集或產(chǎn)生的業(yè)務(wù)數(shù)據(jù);

4)辦公數(shù)據(jù):?jiǎn)T工辦公相關(guān)的數(shù)據(jù)或臨時(shí)業(yè)務(wù)數(shù)據(jù)等。

根據(jù)上述的分類(lèi)結(jié)果來(lái)看,依據(jù)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)存在形式是非常便于數(shù)據(jù)備份管理的,而數(shù)據(jù)來(lái)源這樣的三級(jí)子類(lèi)往往與數(shù)據(jù)備份的顆粒度不一致,比如某個(gè)IT系統(tǒng)的數(shù)據(jù)庫(kù)中包含了客戶(hù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù),這樣的情況下則優(yōu)先記錄為重要性更高的客戶(hù)數(shù)據(jù)。最終業(yè)務(wù)系統(tǒng)的備份數(shù)據(jù)分類(lèi)可參考如下表:

2345截圖20211028093243.png

3.2數(shù)據(jù)備份定級(jí)標(biāo)準(zhǔn)

數(shù)據(jù)備份重點(diǎn)保障了數(shù)據(jù)的可用性和完整性,所以定級(jí)標(biāo)準(zhǔn)中應(yīng)該體現(xiàn)可用性和完整性需求的不同。上文的數(shù)據(jù)分類(lèi)方法已經(jīng)提供了部分的定級(jí)依據(jù),但是還需要綜合考慮數(shù)據(jù)被破壞后的影響范圍、影響客體以及數(shù)據(jù)自身價(jià)值等特點(diǎn)。包括以下的數(shù)據(jù)特征的定級(jí)評(píng)估因素:

數(shù)據(jù)實(shí)時(shí)性:評(píng)估數(shù)據(jù)的實(shí)時(shí)性要求,實(shí)時(shí)性高的數(shù)據(jù)需要考慮更高的數(shù)據(jù)保護(hù)級(jí)別;

數(shù)據(jù)影響性:評(píng)估數(shù)據(jù)完整性被破壞后,對(duì)社會(huì)秩序、客戶(hù)權(quán)益以及企業(yè)利益的影響程度,一般來(lái)說(shuō)社會(huì)秩序和客戶(hù)權(quán)益應(yīng)高于企業(yè)利益,但在備份管理定級(jí)中,影響客體區(qū)分度不大,更關(guān)注影響程度;

數(shù)據(jù)獨(dú)有性:業(yè)務(wù)應(yīng)用重現(xiàn)數(shù)據(jù)的完整程度、數(shù)據(jù)接受補(bǔ)錄的難易程度;

數(shù)據(jù)的審計(jì)需求與法律風(fēng)險(xiǎn):數(shù)據(jù)是否涉及后期審計(jì)的需求,是否存在一定的法律風(fēng)險(xiǎn),一般來(lái)說(shuō)法律風(fēng)險(xiǎn)是需要特別關(guān)注的。

綜合上述分析,最終制定如下四個(gè)數(shù)據(jù)備份保護(hù)級(jí)別:

2345截圖20211028093243.png

數(shù)據(jù)備份保護(hù)級(jí)別最高為4級(jí),對(duì)于保險(xiǎn)行業(yè)來(lái)說(shuō),一般符合第4級(jí)數(shù)據(jù)特征的數(shù)據(jù)可總結(jié)為核心系統(tǒng)中的客戶(hù)、承保、賠付相關(guān)業(yè)務(wù)數(shù)據(jù),資金系統(tǒng)中的資金運(yùn)用數(shù)據(jù),財(cái)務(wù)系統(tǒng)中的財(cái)務(wù)數(shù)據(jù)、官網(wǎng)系統(tǒng)銷(xiāo)售數(shù)據(jù)及相關(guān)系統(tǒng)日志;第3級(jí)主要是其他客戶(hù)相關(guān)對(duì)外服務(wù)的業(yè)務(wù)系統(tǒng)數(shù)據(jù),這類(lèi)數(shù)據(jù)往往也具有一定的法律風(fēng)險(xiǎn);第2級(jí)一般為其他業(yè)務(wù)系統(tǒng)數(shù)據(jù),有一定的數(shù)據(jù)價(jià)值;第1級(jí)為公司運(yùn)營(yíng)管理或辦公相關(guān)的數(shù)據(jù),往往能承受一定的數(shù)據(jù)丟失。

3.3數(shù)據(jù)備份定級(jí)策略

從技術(shù)方案層面看,數(shù)據(jù)備份保護(hù)手段主要包括:

1)本地備份:定期數(shù)據(jù)備份,備份數(shù)據(jù)保存在本地?cái)?shù)據(jù)中心,保留多個(gè)備份版本,備份頻率依據(jù)備份管理成本和投入資源來(lái)定,個(gè)別數(shù)據(jù)量級(jí)高的備份任務(wù)可能是每月執(zhí)行一次;

2)備份同城轉(zhuǎn)儲(chǔ):定期數(shù)據(jù)備份,備份數(shù)據(jù)轉(zhuǎn)儲(chǔ)到同城數(shù)據(jù)中心,保留多個(gè)備份版本(同城數(shù)據(jù)容災(zāi));

3)備份異地轉(zhuǎn)儲(chǔ):數(shù)據(jù)備份轉(zhuǎn)儲(chǔ)到異地的數(shù)據(jù)中心(異地?cái)?shù)據(jù)容災(zāi));

4)長(zhǎng)期歸檔:設(shè)定數(shù)據(jù)歸檔保存期限,歸檔至少會(huì)有兩份數(shù)據(jù),分布在不同的數(shù)據(jù)中心(最通用的針對(duì)數(shù)據(jù)的長(zhǎng)期數(shù)據(jù)保存和備份的方法);

5)數(shù)據(jù)異步復(fù)制:一般用于重要數(shù)據(jù)被誤刪時(shí)應(yīng)急處置措施;

6)數(shù)據(jù)同步復(fù)制或存儲(chǔ)同步:基于數(shù)據(jù)同步復(fù)制或存儲(chǔ)鏡像技術(shù)的數(shù)據(jù)保護(hù),保障數(shù)據(jù)實(shí)時(shí)同步。

對(duì)于不同的數(shù)據(jù)保護(hù)級(jí)別的數(shù)據(jù),綜合采用上述的數(shù)據(jù)保護(hù)方案,建議如下表:

2345截圖20211028093243.png

金融行業(yè)的重要數(shù)據(jù)經(jīng)常會(huì)因?yàn)闃I(yè)務(wù)需要、內(nèi)外部監(jiān)管審計(jì)或司法相關(guān)事件而需要恢復(fù)多年前的業(yè)務(wù)數(shù)據(jù)。所以需要重點(diǎn)關(guān)注數(shù)據(jù)保護(hù)級(jí)別為3-4的數(shù)據(jù),不能隨意清理回收存儲(chǔ)資源,應(yīng)制定數(shù)據(jù)長(zhǎng)期歸檔策略,重要?dú)w檔數(shù)據(jù)應(yīng)至少保存到業(yè)務(wù)數(shù)據(jù)失效后的十年或永久存檔。

4.小結(jié)

隨著數(shù)字化轉(zhuǎn)型的深入,除了關(guān)注數(shù)據(jù)備份技術(shù)的運(yùn)用,數(shù)據(jù)備份管理也需要多關(guān)注數(shù)據(jù)對(duì)象本身,在數(shù)據(jù)分類(lèi)定級(jí)的基礎(chǔ)上,采用多種數(shù)據(jù)備份手段相配合的方式,來(lái)制定和完善符合企業(yè)發(fā)展需要的數(shù)據(jù)備份策略。

THEEND

最新評(píng)論(評(píng)論僅代表用戶(hù)觀(guān)點(diǎn))

更多
暫無(wú)評(píng)論