2025年6月30日,GB/T 20988-2025《網絡安全技術 信息系統災難恢復規范》(以下簡稱“新國標”)正式發布,標志著我國在災難恢復領域的技術規范化進程邁入新階段。
該標準將全面替代 GB/T 20988—2007《信息安全技術 信息系統災難恢復規范》和 GB/T 30285—2013 《信息安全技術 災難恢復中心建設與運維管理規范》,其確立了信息系統災難恢復工作原則,給出了信息系統災難恢復生命周期,規定了信息系統災難恢復應遵循的基本要求,描述了災難恢復能力等級劃分和測試評價方法,并將于2026年1月1日起正式實施。
美創科技深度參與新國標內容研究與制定,本文將深度解讀新國標的核心突破,并剖析其對企業災備體系建設的戰略意義。
新國標以災難恢復生命周期為主線,融合管理、技術和安全等核心要素,旨在指導組織提升信息系統應對各類風險和災難的能力。
總綱與基礎:
包括標準的范圍、引用文件以及術語和定義,為災難恢復工作奠定基礎。同時,災難恢復概述部分明確了災難恢復目標,并引入了貫穿災難恢復工作的生命周期概念。
災難恢復生命周期三階段:
-
規劃設計:指導如何確定災難恢復需求、制定策略、設計技術方案,并考慮如云災備等新興技術應用。
-
建設實施:詳細闡述災難恢復系統和中心建設、部署、測試和驗收過程。
-
運行管理:強調日常的運行維護、預案管理、應急響應、災難接管與回退,以及災難恢復審計。
支撐與保障:
-
組織機構:明確災難恢復的組織架構及其職責,強調人員保障。
-
測試評價:新增系統的測試評價方法,全面評估災難恢復體系的有效性。
-
安全建設:強化災難恢復系統的安全建設要求,可依據網絡安全等級保護級別要求,確保災備系統自身的安全性。
-
其他附加信息:包括災難恢復能力等級劃分、災難恢復中心 RTO/RPO 與災難恢復能力等級的關系示例、云計算技術災難恢復服務示例等參考內容。
總的來說,新國標框架重點關注災難恢復工作的系統化和全生命周期管理,著重強化在云計算趨勢下的適應性,以及災難恢復系統安全建設的融入,為組織提供了一套更為現代化和實用的災難恢復指南。
新國標引入了“災難恢復生命周期”概念,強調在全生命周期過程中應進行有效性分析和安全管控,以實現持續優化 ,并指出災難恢復是一個持續優化的過程,而非一次性項目。
其中,有效性分析和安全管控是貫穿災難恢復生命周期的關鍵要素:
·有效性分析:通過定期的審查、測試和演練,評估災難恢復、方案有效性,確保其能夠滿足業務需求和RTO/RPO目標。
·安全管控:強調災難恢復系統自身安全性,確保系統在為災難兜底的同時,不會成為新的安全漏洞。
新標準中明確增加了對云計算環境下災難恢復(即“云災備”)的考慮和要求。隨著信息系統越來越多的部署在云上,組織在規劃設計階段確定災難恢復需求和制定策略時,應充分考慮云計算環境下的各種災備場景和技術路線,以適應新技術的發展。
新標準在云災備方面的核心要求如下:
· 適用性分析:需根據業務的RTO、RPO以及成本、安全性等方面的要求,分析和評估不同云災備模式的適用性。
· 兼容性需求:確保選擇的云災備方案能夠與現有的信息系統環境、數據格式和應用架構兼容。
· 方案設計:針對選定的云災備模式,詳細設計技術方案,包括數據復制、應用部署、網絡連接、安全隔離等細節。
· 持續管理:云災備系統同樣需要遵循災難恢復生命周期的要求,進行規劃、建設、測試、運維和審計,確保其長期有效。
新國標新增了“災難恢復測試評價方法”,旨在為組織評估其災難恢復能力、發現潛在問題并為持續改進提供明確的指導,這也意味著災難恢復能力應具備可度量性,以準確驗證災難恢復工作的落地性和有效性。
新國標在附錄中新增了“災難恢復系統的安全建設”這一重要章節,強調在災難恢復的全生命周期中,應將安全管理和技術措施融入到災備系統的規劃、設計、建設、運行和維護的各個環節。
這也體現了新版國標將災難恢復與網絡安全深度融合的理念,它強調:
· 一體化安全:災備系統不僅僅是業務連續性的保障,其本身也必須是一個高度安全的系統。
· 全方位防護:從管理制度到技術實施,從人員到供應鏈,從通信到數據,需構建一個多層次、立體化的安全防護體系。
· 合規性要求:指出要符合網絡安全等級保護等國家標準的要求,提升了災備工作的合規性。
-
建設實施細化:對災難恢復系統的建設實施流程提出更具體要求,提升操作規范性。
-
運行管理加強:強化災難恢復系統的日常運行維護、應急響應、重建回退及審計要求。
-
能力等級調整:重新劃分災難恢復能力等級,提供更細致的評估標準。
GB/T 20988-2025新國標,通過技術整合(云災備/雙活)、安全強化(供應鏈/數據)、流程精細化(預案/演練),以及三階能力模型、閉環生命周期管理、量化測評體系三大革新,推動災難恢復從“數據備份”向“業務連續性保障”轉型,將災備從“成本中心”重塑為“業務韌性引擎”。企業需重新定位災備體系,以實戰演練驗證、供應鏈安全、智能化管理為核心抓手,系統性升級災備體系,方能滿足新規要求。
新國標的發布,標志著災備標準化建設從“備份可用”向“業務韌性”轉型邁出關鍵一步。但具體到組織機構實際落地過程中,依然存在RPO、RTO需求高,災備建設復雜、少安全、管理難、缺演練、不敢切、必須切等挑戰。
作為運行安全領域的先行者,美創科技連續十余年聚焦業務連續性和數據完整性,基于韌性安全理念,持續專注并深入洞察用戶的災備需求,實現從數據庫容災、邏輯復制、CDP、云災備、應用級容災到全新災備一體化的跨越。
美創災備一體化平臺DRCC,以數據完整性、可用性和業務連續性為目標,基于“云-端”架構,提供“1個災備管控中心+N個災備能力(數據庫物理復制、數據庫邏輯復制、文件同步、CDP持續數據保護、數據備份、數據安全)”,實現災備能力可選購、災備數據可防護、災備狀態可感知、災備演練可掌控、災難切換可指揮等的災備全生命周期管控,高效賦能組織機構“韌性災難恢復體系”的體系化建設,高度符合《網絡安全技術 信息系統災難恢復規范》明確的災難恢復規劃設計、實施建設、運行管理和測試評價的標準化要求。
支持資產自動發現、災備拓撲自動識別、災備切換腳本內置封裝、災備預案自動推薦,以“業務系統”為主視角形成從日常的監控、評估、計劃、演練到災難時一鍵切換的全生命周期管理鏈路,輔以行業個性化工具、切換報告和可視化大屏,讓災備管控真正實現標準化、體系化、流程化和自動化。
美創災備產品歷經十余年的打磨,提供面向數據庫、應用、中間件、海量文件、操作系統、主機等本地或云上資產的專業化容災備份能力,高效保障數據完整性和可用性。
以業務RTO為目標,通過專業化的技術隊伍,體系化的流程機制、平臺化管理模式,以及常態化、流程化災備運營,持續優化切換RTO和成功率,保障演練場景和災難場景下的一鍵切換和敢切快切,保證切換成功率和切換時長最小化。
提供業務日常監控大屏、災備運行監控大屏、切換過程跟蹤大屏、領導現場指揮大屏、年度計劃演練大屏等多維可視化大屏,滿足不同場景、不同用戶視角的多維觀測,以充分掌控容災運行全貌與切換過程詳情,實現從“看到”到“看見”的跨越。
災備一體化平臺結合美創災備項目最佳實踐和災備運營經驗,內置數據庫原生容災技術的切換能力,開箱即用;快速適配第三方容災技術,實現災備集中化管控;廣泛支持云環境、國產化環境,以構筑更加完善的災備一體化生態體系。
浙公網安備 33010502006954號 
