壹进制为保障关键信息基础设施业务连续性添助力

　　据新华社11月7日报道，十二届全国人大常委会第二十四次会议7日上午经表决，通过了《中华人民共和国网络安全法》，该法自2017年6月1日起施行。这是中国知名部有关网络安全方面的法律，首次明确了网络空间主权的原则、网络产品和服务提供者及运营者的安全义务，进一步完善个人信息保护规则，建立了关键信息基础设施安全保护制度，增加惩治破坏我国关键信息基础设施的境外组织和个人，确立了关键信息基础设施重要数据跨境传输的规则等。

　　关键信息基础设施为国家正常运转提供必需的产品和服务，是结构体系中被强依赖的关键节点，存储或传输的信息数据大量集中或极其敏感 ，被攻击和破坏可影响社会稳定。因此保障关键信息基础设施的数据安全和业务连续性是尤为重要的。

　　《中华人民共和国网络安全法》中第三章第二十五条中提到“国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施)，实行重点保护。关键信息基础设施安全保护办法由国务院制定”。第二十七条中提到“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”同时，第十七条和第二十八条中还将“采取数据分类、重要数据备份和加密等措施”和“对重要系统和数据库进行容灾备份”作为安全保护义务写入本法。

　　壹进制作为一家自主可控的国产数据安全厂商，主营业务为提供专业数据保护和业务连续性管理产品、解决方案与服务。其中，数据保护着重解决数据安全的完整性与保密性问题，业务连续性管理帮助提升数据与应用系统的高可用性。公司主要产品已通过国家信息安全产品3C认证、国家保密局涉密产品认证、军用信息安全产品军B级认证和公安部信息系统安全专用产品认证。

　　壹进制的使命是致力于用户数据保护与业务连续性管理，具体包含两项核心任务目标：一是在灾难后提供数据的应急恢复，确保核心数据不丢失;二是在灾难后提供应用系统的应急接管，保障业务连续不中断。壹进制基于自身的使命感，更应当为保障国家关键信息基础设施的数据安全和业务连续性尽自己的一份义务，贡献自己的一份力量，成为建设关键信息基础设施安全保护的最后一道防线!

　　对于如何保障关键信息基础设施的业务连续性我们也提出了一些建议：

　　1、在团队组建上，要组建一支业务连续性管理团队，并确定在灾难事件发生时与发生后相关人员和团队的角色与职责。为确保该项工作的成功，高级管理层必须参与其中。

　　2、在目标明确上，明确在灾难后保障核心数据不丢、关键应用不停顿的这样一个目标。

　　3、在风险分析上，围绕业务连续性保障目标，进行详细而量化的风险分析，以确定当前 IT 环境之中存在哪些无法接受的风险、威胁或者可能发生的灾难，并对灾难发生的可能性、目前可能的防护措施的有效性和该灾难所威胁的资产价值进行分析，最终得到带有优先级别的需要防护的风险与灾难列表。

　　4、在策略制定上，要结合以上各阶段的分析成果，以及组织本身的投入能力，制订短期、长期范围内的业务连续性保障策略，并有意识地将组织本身的人员组成和组织架构做出调整以适应策略要求。最重要的是制订出实施步骤，优先解决最为重点的问题。

　　5、在方案设计上，前提是自主可控，其次方案必须考虑的因素包括恢复时间目标、恢复点目标、实施与维护所需的投入以及自主可控等。恢复时间的需求越短，所需的实施成本就越大，实施难度也就越高。

　　6、在实施运行上，将设计好的业务连续性保障方案付诸实施，定期进行演练并评估和记录计划演练的结果。制定维持业务连续性能力和灾难恢复计划的文档。计划必须编排得像一本操作手册，由一系列简单明确的指令构成，恢复团队完全可以按照这些指令进行恢复操作。

　　各种操作之间的相互关系也必须加以明确说明。所有的指令和说明必须明白无误，以免因可能引起误解或不明了而导致时间损失。

　　7、在持续改进上，任何制订的计划，都必须经过不断的测试和修正，才能满足继续发展和持续改进的需求。基于管理评审以及重新评审的业务连续性保障目标、策略与运行结果等，采取纠正措施，以持续改进业务连续性保障体系。