2025年6月30日,GB/T 20988-2025《网络安全技术 信息系统灾难恢复规范》(以下简称“新国标”)正式发布,标志着我国在灾难恢复领域的技术规范化进程迈入新阶段。
该标准将全面替代 GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》和 GB/T 30285—2013 《信息安全技术 灾难恢复中心建设与运维管理规范》,其确立了信息系统灾难恢复工作原则,给出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法,并将于2026年1月1日起正式实施。
美创科技深度参与新国标内容研究与制定,本文将深度解读新国标的核心突破,并剖析其对企业灾备体系建设的战略意义。
新国标以灾难恢复生命周期为主线,融合管理、技术和安全等核心要素,旨在指导组织提升信息系统应对各类风险和灾难的能力。
总纲与基础:
包括标准的范围、引用文件以及术语和定义,为灾难恢复工作奠定基础。同时,灾难恢复概述部分明确了灾难恢复目标,并引入了贯穿灾难恢复工作的生命周期概念。
灾难恢复生命周期三阶段:
-
规划设计:指导如何确定灾难恢复需求、制定策略、设计技术方案,并考虑如云灾备等新兴技术应用。
-
建设实施:详细阐述灾难恢复系统和中心建设、部署、测试和验收过程。
-
运行管理:强调日常的运行维护、预案管理、应急响应、灾难接管与回退,以及灾难恢复审计。
支撑与保障:
-
组织机构:明确灾难恢复的组织架构及其职责,强调人员保障。
-
测试评价:新增系统的测试评价方法,全面评估灾难恢复体系的有效性。
-
安全建设:强化灾难恢复系统的安全建设要求,可依据网络安全等级保护级别要求,确保灾备系统自身的安全性。
-
其他附加信息:包括灾难恢复能力等级划分、灾难恢复中心 RTO/RPO 与灾难恢复能力等级的关系示例、云计算技术灾难恢复服务示例等参考内容。
总的来说,新国标框架重点关注灾难恢复工作的系统化和全生命周期管理,着重强化在云计算趋势下的适应性,以及灾难恢复系统安全建设的融入,为组织提供了一套更为现代化和实用的灾难恢复指南。
新国标引入了“灾难恢复生命周期”概念,强调在全生命周期过程中应进行有效性分析和安全管控,以实现持续优化 ,并指出灾难恢复是一个持续优化的过程,而非一次性项目。
其中,有效性分析和安全管控是贯穿灾难恢复生命周期的关键要素:
·有效性分析:通过定期的审查、测试和演练,评估灾难恢复、方案有效性,确保其能够满足业务需求和RTO/RPO目标。
·安全管控:强调灾难恢复系统自身安全性,确保系统在为灾难兜底的同时,不会成为新的安全漏洞。
新标准中明确增加了对云计算环境下灾难恢复(即“云灾备”)的考虑和要求。随着信息系统越来越多的部署在云上,组织在规划设计阶段确定灾难恢复需求和制定策略时,应充分考虑云计算环境下的各种灾备场景和技术路线,以适应新技术的发展。
新标准在云灾备方面的核心要求如下:
· 适用性分析:需根据业务的RTO、RPO以及成本、安全性等方面的要求,分析和评估不同云灾备模式的适用性。
· 兼容性需求:确保选择的云灾备方案能够与现有的信息系统环境、数据格式和应用架构兼容。
· 方案设计:针对选定的云灾备模式,详细设计技术方案,包括数据复制、应用部署、网络连接、安全隔离等细节。
· 持续管理:云灾备系统同样需要遵循灾难恢复生命周期的要求,进行规划、建设、测试、运维和审计,确保其长期有效。
新国标新增了“灾难恢复测试评价方法”,旨在为组织评估其灾难恢复能力、发现潜在问题并为持续改进提供明确的指导,这也意味着灾难恢复能力应具备可度量性,以准确验证灾难恢复工作的落地性和有效性。
新国标在附录中新增了“灾难恢复系统的安全建设”这一重要章节,强调在灾难恢复的全生命周期中,应将安全管理和技术措施融入到灾备系统的规划、设计、建设、运行和维护的各个环节。
这也体现了新版国标将灾难恢复与网络安全深度融合的理念,它强调:
· 一体化安全:灾备系统不仅仅是业务连续性的保障,其本身也必须是一个高度安全的系统。
· 全方位防护:从管理制度到技术实施,从人员到供应链,从通信到数据,需构建一个多层次、立体化的安全防护体系。
· 合规性要求:指出要符合网络安全等级保护等国家标准的要求,提升了灾备工作的合规性。
-
建设实施细化:对灾难恢复系统的建设实施流程提出更具体要求,提升操作规范性。
-
运行管理加强:强化灾难恢复系统的日常运行维护、应急响应、重建回退及审计要求。
-
能力等级调整:重新划分灾难恢复能力等级,提供更细致的评估标准。
GB/T 20988-2025新国标,通过技术整合(云灾备/双活)、安全强化(供应链/数据)、流程精细化(预案/演练),以及三阶能力模型、闭环生命周期管理、量化测评体系三大革新,推动灾难恢复从“数据备份”向“业务连续性保障”转型,将灾备从“成本中心”重塑为“业务韧性引擎”。企业需重新定位灾备体系,以实战演练验证、供应链安全、智能化管理为核心抓手,系统性升级灾备体系,方能满足新规要求。
新国标的发布,标志着灾备标准化建设从“备份可用”向“业务韧性”转型迈出关键一步。但具体到组织机构实际落地过程中,依然存在RPO、RTO需求高,灾备建设复杂、少安全、管理难、缺演练、不敢切、必须切等挑战。
作为运行安全领域的先行者,美创科技连续十余年聚焦业务连续性和数据完整性,基于韧性安全理念,持续专注并深入洞察用户的灾备需求,实现从数据库容灾、逻辑复制、CDP、云灾备、应用级容灾到全新灾备一体化的跨越。
美创灾备一体化平台DRCC,以数据完整性、可用性和业务连续性为目标,基于“云-端”架构,提供“1个灾备管控中心+N个灾备能力(数据库物理复制、数据库逻辑复制、文件同步、CDP持续数据保护、数据备份、数据安全)”,实现灾备能力可选购、灾备数据可防护、灾备状态可感知、灾备演练可掌控、灾难切换可指挥等的灾备全生命周期管控,高效赋能组织机构“韧性灾难恢复体系”的体系化建设,高度符合《网络安全技术 信息系统灾难恢复规范》明确的灾难恢复规划设计、实施建设、运行管理和测试评价的标准化要求。
支持资产自动发现、灾备拓扑自动识别、灾备切换脚本内置封装、灾备预案自动推荐,以“业务系统”为主视角形成从日常的监控、评估、计划、演练到灾难时一键切换的全生命周期管理链路,辅以行业个性化工具、切换报告和可视化大屏,让灾备管控真正实现标准化、体系化、流程化和自动化。
美创灾备产品历经十余年的打磨,提供面向数据库、应用、中间件、海量文件、操作系统、主机等本地或云上资产的专业化容灾备份能力,高效保障数据完整性和可用性。
以业务RTO为目标,通过专业化的技术队伍,体系化的流程机制、平台化管理模式,以及常态化、流程化灾备运营,持续优化切换RTO和成功率,保障演练场景和灾难场景下的一键切换和敢切快切,保证切换成功率和切换时长最小化。
提供业务日常监控大屏、灾备运行监控大屏、切换过程跟踪大屏、领导现场指挥大屏、年度计划演练大屏等多维可视化大屏,满足不同场景、不同用户视角的多维观测,以充分掌控容灾运行全貌与切换过程详情,实现从“看到”到“看见”的跨越。
灾备一体化平台结合美创灾备项目最佳实践和灾备运营经验,内置数据库原生容灾技术的切换能力,开箱即用;快速适配第三方容灾技术,实现灾备集中化管控;广泛支持云环境、国产化环境,以构筑更加完善的灾备一体化生态体系。
浙公网安备 33010502006954号 
