(計世網(wǎng) 安全頻道專稿)我國的信息化建設(shè)從1994年發(fā)展至今,十余年的建設(shè)歷程使得各行各業(yè)賴以生存和發(fā)展的應用業(yè)務廣泛搭建于信息化平臺上����。然而,在人們享受信息化高速發(fā)展帶來的便利的同時��,我們對信息化平臺的依賴卻引發(fā)了另一種焦慮:信息系統(tǒng)中出現(xiàn)的任何災難性問題都有可能使政府的公眾服務中斷�����、使行業(yè)的業(yè)務能力喪失��、甚至使一個企業(yè)徹底垮臺……在國際上�,眾所周知的美國9.11事件�����、東京機場的紅色病毒事件等���,都是由于災難導致信息系統(tǒng)癱瘓�、業(yè)務中斷的案例,而2006年臺灣大地震所致的六條國際電纜損壞使國際互聯(lián)網(wǎng)訪問業(yè)務全部中斷的事件也影響重大��?�?梢韵胂?�,如果證交所網(wǎng)絡(luò)癱瘓�,則會導致股民無法正常進行股票交易,銀行信息系統(tǒng)癱瘓將會導致金融交易被迫中斷���,民航信息系統(tǒng)癱瘓會導致飛機無法落地����、乘客滯留……所有這些都警示我們:容災工作����,刻不容緩。
信息化發(fā)展到今天����,如果信息系統(tǒng)沒有相應的災難備份策略,那么其生存和發(fā)展必然會在某些要害時刻遭受致命威脅。面對大大小小的災難對信息系統(tǒng)以及構(gòu)建其上的業(yè)務平臺的破壞�����,特別是9.11事件對美國社會帶來的巨大影響����,災難備份引起了世界各國的廣泛關(guān)注:美國Board、SEC����、OCC發(fā)布了強化金融容災能力的白皮書,限定容災能力到位的時間表����;美國政府制定的COOP計劃,確定了政府容災能力下限�;其他國家也重新評估了銀行容災能力并提出監(jiān)管要求,如英國的FSA�、德國的HKMA以及新加坡的MAS。另據(jù)了解���,迄今為止全球70%的大型企業(yè)已經(jīng)啟動了自身的災備計劃����。
撥開實施困擾
“小概率��,高風險����;高投入,低效率��;建設(shè)易���,維持難”是曲成義研究員對災難備份本質(zhì)特點的經(jīng)典歸納����。要做好災備建設(shè)�����,需要對災備的特點有清醒的認識��,同時要避免實施過程中的種種誤區(qū)����。
災難的發(fā)生是小概率事件,它不會經(jīng)常性的全面爆發(fā)�,因此人們往往忽視它發(fā)生的可能。“我在任的幾年里哪有那么幸運會碰到災難呢�����?”一些單純注重當前工作業(yè)績�、對災難高風險性認識不足的領(lǐng)導人往往不愿意在自己的任期內(nèi)建設(shè)災備系統(tǒng),然而這種疏忽卻將企業(yè)置于巨大的風險中——災難一旦爆發(fā)��,企業(yè)甚至可能喪失生存的能力���。
災難小概率的特點容易讓領(lǐng)導者忽視災備體系的建設(shè)���,而其“高投入、低效率”的特點又往往讓管理者難下資金投入的決心�。管理者的最主要目標是企業(yè)利潤最大化,他的關(guān)注重點更多地集中于企業(yè)的生產(chǎn)任務�����,災備體系高投入?yún)s難于產(chǎn)生眼前效益的特性并不符合企業(yè)常規(guī)的投入產(chǎn)出比����。因此,在資金有限的情況下�����,管理者很難下定決心開展災備建設(shè)。
“建設(shè)易���、維護難”的特點則使得一些投入建設(shè)后的災備系統(tǒng)的效益難于發(fā)揮。曲成義在介紹以往災備建設(shè)案例時談到�,“一些災備系統(tǒng)建成幾年后,能人就都走光了����。”的確����,在災難來臨時,災備系統(tǒng)的效益可以立即體現(xiàn)�����,然而在沒有災難時��,災備系統(tǒng)除了演練���、檢測����、維修外是不是就沒有了用武之地,無法發(fā)揮效益�。因此,如何籌劃災備系統(tǒng)在非災難時期的合理應用與效益發(fā)揮需要深入思考�����,不少體現(xiàn)“平戰(zhàn)結(jié)合”思想的災備中心建設(shè)案例也值得借鑒�����。
只有正確理解和把握災備的特點�����,才能合理科學地應對�����。事實上��,國家許多相關(guān)政策的出發(fā)點也正是基于災難備份的上述特點�。
2003年8月,中共中央辦公廳下發(fā)了《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件)��,文件中提到各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災難恢復,制定和不斷完善信息安全應急處置預案����;責任的法律化落實要做到“誰主管誰負責、誰運營誰負責”���,避免責任不清晰帶來的問題��。
繼27號文從戰(zhàn)略層面提出災備建設(shè)對策后,2004年9月�,國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室又出臺了《關(guān)于做好重要信息系統(tǒng)災難備份工作的通知》(信安通[2004]11號文件)。通知作為國家信息化災難備份體系建設(shè)的綱領(lǐng)性文件��,提出了很多具有鮮明政策意義的觀點�。文件提出要提高抵御災難和重大事故的能力,減少災難打擊和重大事故造成的損失�����、確保重要信息系統(tǒng)的數(shù)據(jù)安全和作業(yè)連續(xù)性�,避免引起社會重要服務功能的嚴重中斷,保障社會經(jīng)濟的穩(wěn)定����;要加速推進對國計民生有重大影響的機構(gòu)�、行業(yè)的災備建設(shè)����,要在災難出現(xiàn)時認真做好應急預案與災難備份,將重點行業(yè)的災難備份問題提到了更高的層次����。
此后,在2005年4月��,國信辦又出臺了《關(guān)于印發(fā)“重要信息系統(tǒng)災難恢復指南”的通知》(國信辦[2005]8號文件)���。文件指出重要信息系統(tǒng)的災難恢復應遵循的基本要求����,從原則�����、技術(shù)����、規(guī)劃、管理等層面給予了指導�,指明了災難恢復工作的流程���、災備中心的等級劃分及災難恢復預案的制訂框架。
建設(shè)中的戰(zhàn)略反思
在解讀政策的過程中��,曲成義著重分析了11號文中的四句話:“統(tǒng)籌規(guī)劃�����、資源共享�、平戰(zhàn)結(jié)合、等級容災”�����。
談及“統(tǒng)籌規(guī)劃����、資源共享”�,曲成義以北京市政府災備建設(shè)為例講到,“首先��,災難備份一定要統(tǒng)籌規(guī)劃����。在集約化建設(shè)模式下��,北京市政府對63個委辦局的災備進行統(tǒng)一規(guī)劃��、統(tǒng)一策劃�,這就是災備中心統(tǒng)籌規(guī)劃的一種形式�。而資源共享,也就是說我們不要每一家都自己花錢建設(shè)運營���。北京市政府的集約化建設(shè)做到了資源共享���。”
另外�����,“平戰(zhàn)結(jié)合”�,也就是要考慮扭轉(zhuǎn)災備“高投入、低效率”的特點��,在非災難時期����,充分利用災備中心的資源,做到“戰(zhàn)時能戰(zhàn)、平時有用”���。曲成義舉了工行的案例�����,工行的災備中心與生產(chǎn)中心具有“1:1”的資產(chǎn)能力和建設(shè)規(guī)模��,都是大投資的項目�����。由于金融產(chǎn)品不斷地發(fā)展更新��,許多金融產(chǎn)品����、應用軟件需要調(diào)試���、開發(fā)、測試�����,于是災備中心在“平時”便充當了對軟件進行檢測、運行�、驗收的角色,新型金融產(chǎn)品經(jīng)過災備中心的檢測���、運行����、驗收再由生產(chǎn)中心進行應用�,這樣便很好的發(fā)揮了災備中心平時的效用,讓系統(tǒng)在非災難時期依舊有用����。另外,北京地稅在生產(chǎn)中心運營網(wǎng)上納稅等核心業(yè)務���,在災備中心運營管理和統(tǒng)計報表等非核心業(yè)務�,也是一種“平戰(zhàn)結(jié)合”的應用模式�。盡管各個行業(yè)的災備建設(shè)存在差別,但工行與北京地稅的案例無疑是其他信息系統(tǒng)災備建設(shè)時的有益參考����。
最后需要強調(diào)的是“等級容災”?!皣荫R上要出臺一個關(guān)于災難備份實施的國家標準���,其中將我國的災難備份分為六級,”曲成義介紹說��,“六級中包括兩部分��,前三級是數(shù)據(jù)級災備����,后三級是應用級災備,級別越高建設(shè)的花費就越多�����,其應用效率也就越好��?!笔聦嵣希瑸膫浣ㄔO(shè)中的等級容災與等級保護一樣��,并不是建設(shè)級別越高越好��。而是需要評估各個業(yè)務的重要程度及對信息系統(tǒng)的依賴程度����,根據(jù)系統(tǒng)的業(yè)務實效性、關(guān)鍵性���、安全性等方面進行認真分析���,科學合理地確定災備系統(tǒng)建設(shè)等級。定級原則�����、定級實施辦法����、定級后的測評以及等級保護的范圍等應認真研究、貫徹這些規(guī)范對于用戶和業(yè)主考慮采取何種策略�、如何投入、選擇何種實施級別都有非常重要的指導意義����。
“災難恢復的規(guī)范現(xiàn)在已經(jīng)最后審定,很快就會出臺�。規(guī)范出臺后就可以直接指導你根據(jù)系統(tǒng)需求進行分析定級就可以了?�!鼻闪x隨后提到了災難恢復規(guī)范中指出的“災難備份七大要素”���,包括數(shù)據(jù)備份采取何種對策���、主處理系統(tǒng)采取何種對策���,網(wǎng)絡(luò)通訊的信道、設(shè)施���、切換等因素如何考慮����,災難應急預案包括哪些要點����,災難備份系統(tǒng)建立后該怎樣運維管理,整個系統(tǒng)的技術(shù)支持與人力資源該如何使用����,災難備份的基礎(chǔ)設(shè)施進入安全環(huán)境該采取什么對策?���!斑@七要素是災難建設(shè)備份中的關(guān)鍵環(huán)節(jié),對業(yè)務具有關(guān)鍵性�、指導性的作用���,企業(yè)應該結(jié)合自身需求進行學習參照�。”
此外�,關(guān)于災難備份還有一些因素值得認真考慮。比如災備建設(shè)前根據(jù)不同行業(yè)��、部門進行需求分析�����;重視等級保護和災難恢復機制的選擇��,從而合理平衡災備的投入產(chǎn)出�;嚴格遵守災難恢復規(guī)范和標準,從而在節(jié)約成本的同時又保證系統(tǒng)的科學性與健壯性�;作為災備建設(shè)的基礎(chǔ)與起點的數(shù)據(jù)災備,成本不高又有重要價值��,必須立即啟動�����;積極推進國家支持鼓勵的災難恢復的集約化建設(shè)和社會化服務等��。
社會化服務待推進
在實際建設(shè)過程中,獨立自建�����、聯(lián)合共建(即集約化建設(shè))����、社會化服務是災備建設(shè)的三種模式。
目前在我國�,獨立自建的模式主要集中于銀行、海關(guān)�����、稅務等災備建設(shè)需求迫切���、擁有強大經(jīng)濟實力�����、有較好技術(shù)支撐的行業(yè)�?�!斑@些行業(yè)的獨立自建是符合他的行業(yè)現(xiàn)狀的,” 曲成義介紹說����,“他們的災備建設(shè)對國家經(jīng)濟的健康發(fā)展有著重要意義,因此對于這些行業(yè)的獨立建設(shè)模式國家是支持的����?�!?/P>
另一種災備建設(shè)模式是聯(lián)合共建��,也叫集約化建設(shè)模式���。曲成義再次列舉北京市政府集約型建設(shè)案例作為說明����,“北京市政府有63個委辦局��,如果每一個委辦局都建一個同城異地的災備中心����,要花多少錢?而集約化建設(shè)就是大家共同統(tǒng)籌規(guī)劃�、合作建設(shè)、資源共享�����,共建一個統(tǒng)一的機構(gòu)為大家服務?���!迸c北京市政府相似,上海市政府與深圳市政府的災備建設(shè)也都采取了集約化建設(shè)模式��,這種模式通過某種程度上的政府行為讓大家聯(lián)合建設(shè)�、資源共享,從而很好地減少了投入�����、降低了成本����。
以災備產(chǎn)業(yè)發(fā)展較為成熟的美國為例,其獨立自建�����、聯(lián)合共建與社會化服務三者分別占災備建設(shè)的29%�����、15%和56%,從數(shù)據(jù)可以明顯看出社會化服務所占據(jù)的高比例���?��!吧鐣照诔蔀橐粋€主流的趨勢?!鼻闪x認為。簡單來說���,社會化服務就是將行業(yè)或企業(yè)的災難備份業(yè)務交由第三方,由專業(yè)的災備服務提供商提供支持和服務��。由于災備服務提供商服務于廣泛的客戶群�,因此擁有更為廣泛專業(yè)的技能。此外��,用戶還可以利用服務商的規(guī)模經(jīng)濟降低成本并實現(xiàn)資源共享�����。因此����,相比于自建與共建����,社會化服務模式具有專業(yè)化程度高���、成本投入低�����、資源共享���、高服務質(zhì)量的鮮明優(yōu)勢,也正是這種優(yōu)勢賦予了社會化服務“主流趨勢”的強大生命力�����。
然而����,我國的災備建設(shè)目前仍然處于起步階段,社會化服務模式的發(fā)展水平也很低��。首先�,我國的災備社會化服務提供企業(yè)還正在成長中����,絕大多數(shù)企業(yè)都處于策劃���、籌建����、成長初期��。另一方面�,用戶還不信任社會化服務。畢竟我國還沒有出臺相應的標準或法規(guī)對災備服務供應商的市場準入和行為進行約束���、對企業(yè)的資金與技術(shù)能力等條件進行要求;也沒有明確的規(guī)定或制度對企業(yè)的服務質(zhì)量���、服務級別進行有效的控制��;而且用戶與服務企業(yè)在權(quán)力和義務的界定上存在著很多模糊地帶��。另外��,我國企業(yè)自身的誠信水平參差不齊��,國家對企業(yè)誠信的管理有待加強��,在這樣缺乏約束的市場環(huán)境中�����,用戶難將系統(tǒng)放心交給社會化災備服務企業(yè)����;而涉密或敏感信息和數(shù)據(jù)不在自己的控制范圍內(nèi)也可能帶來新的風險。當然�����,另外一些用戶也存在“肥水不流外人田”����、“寧可養(yǎng)一幫人搞災備自建”的心理誤區(qū),這既導致了災備建設(shè)高成本也阻礙了社會化服務的發(fā)展����。
可以說,社會化服務的快速發(fā)展還有一段路要走���,其間需要服務企業(yè)自身能力的增強�����、誠信度的提高�����,也需要用戶觀念的更新�����,更需要國家相關(guān)法律法規(guī)體系的快速出臺�,國家信用體系的逐步建立,從而正確引導企業(yè)�、用戶,共同來支持���、扶持���、推動社會化災備服務的發(fā)展����。據(jù)曲老師介紹,目前國信辦正在就兩會中關(guān)于災備社會化的提案進行廣泛調(diào)查����,準備出臺政策以支撐扶持社會化服務業(yè)的建設(shè)�����,讓用戶體會到社會化服務的好處���。
“8+2”行業(yè)災備建議
除了走在災備建設(shè)前列的銀行、海關(guān)等行業(yè)外�����,稅務�、電力、鐵路�����、證券����、保險、民航��、電信�、廣電等關(guān)系國計民生的重要行業(yè)都在積極啟動災備建設(shè)工作��。
談到國家引導并率先啟動的“8+2”重要行業(yè)災備體系建設(shè)時�����,曲成義認為�,“8+2”行業(yè)災備建設(shè)應首先做好統(tǒng)籌規(guī)劃���,從頂層設(shè)計開始進行全局規(guī)劃����,然后再逐步實施����。“因為你是一個龐大的信息系統(tǒng)�,一旦做爛,很難回過頭來收拾的����。”對于重點行業(yè)的災備建設(shè)模式���,曲成義認為可以采用獨立建設(shè)��、集約化建設(shè)���、也可以采用社會化服務,還可以三種模式相結(jié)合�����,“三種模式在一個系統(tǒng)完全可以實現(xiàn)”���。關(guān)鍵在于在頂層設(shè)計和統(tǒng)籌規(guī)劃階段進行深入分析��,科學合理地選擇恰當?shù)慕ㄔO(shè)模式��,前期分析得越清晰�����,建設(shè)才會越合理���。另外,“8+2”災備建設(shè)最好采用“同城+異地”并行的模式���。曲成義認為�����,由于核心業(yè)務的關(guān)鍵性以及對快速反應的要求�,同城核心部位應用級災備建設(shè)是比較合適的。而對于類似地震等大范圍的災難事件�����,僅有同城災備是不夠的�,這就需要異地建設(shè)全額應用級災備進行補充。由于“8+2”行業(yè)對業(yè)務時效性的高要求�����,因此“同城的核心災備+異地的全額災備”是較為合理的模式���,當然�,對于大系統(tǒng)來說�����,再設(shè)一個第三處的數(shù)據(jù)災備也是必要的����,畢竟數(shù)據(jù)災備是信息系統(tǒng)的基礎(chǔ)和命脈��。另外,“平戰(zhàn)結(jié)合”亦是“8+2”行業(yè)需要關(guān)注的重點�,只有切實做到“平戰(zhàn)結(jié)合”的災備中心,其生存能力才更有保障��。
