容灾备份技术是关键信息基础设施安全、重要与核心数据安全防护的底座。我国已形成由公安部主管的“网络安全等级保护”,保密局主管的“涉密信息系统分级保护”,公安部和网信办联合主管的“关键信息基础设施保护”,以及密码局主管的“商用密码应用安全性评估”的“三保一评”网络安全审查体系。
但根据《中国数据灾备产业白皮书》(2021年),建设层面,我国整体灾备投入占比低于欧美近3倍,大量国计民生行业“本地备份完备度低,缺乏容灾,严重缺乏异地灾备”,人才缺乏,意识不足;已经建起的灾备系统依然使用2007年制定的《信息安全技术信息系统灾难恢复规范》;实际操作层面,我国各领域容灾备份安全审查缺乏“真拉闸,真倒换”“勒索病毒攻防”等操作性强的详细过程规定和模拟训练。
近日,全国政协委员、中国科学院计算技术研究所高级工程师傅川表示,数据基础设施容灾备份已有顶层设计的雏形,但管理执行体系相对分散没有考虑协同,管理所依赖的基础性规章陈旧,缺少有效发现问题的检查监督机制。
他建议,进一步加强和细化顶层设计,补充协同机制形成合力,建立跨公安部、保密局、网信办、密码局及相关部委的容灾备份审查联席会议,形成统一的灾备检查监督机制,并定期或不定期组织交叉检查,将检查结果与具有执法能力的单位共享,督促问题及时纠正,通过联席会议共享各行业容灾备份成果与经验,提高行业整体水平。
同时,针对《信息安全技术信息系统灾难恢复规范》陈旧问题,请国家有关责任单位组织产业界专家,对灾备相关政策与标准进行梳理与刷新,面对层出不穷的攻击和侵害,建立敏捷迭代机制,发布最新的灾备风险,滚动刷新的灾备实施建议与审查建议。
此外,加强相关核心软件工业体系软硬件安全检查,成立我国自己的灾备开源软件社区,从根本上确保容灾备份软件供应链安全。加强关键信息基础设施“真拉闸,真倒换”审查过程。发挥产业组织的引导作用,提供灾备演练靶场进行灾备审查、验证与灾备人才培养。
最后,他提出,选择有全国一体化规划的行业为标杆,如电子政务和通信领域,依托一体化算力、存力与运力资源,提供先进与绿色集约的统一灾备集群服务。在提升自身容灾备份安全能力的同时,服务医疗、教育等信息系统建设相对独立的行业。
来源:央广网