ccidnet????

出版日期:2004-12-20 总期号:1374 本年期号:95

本期导读
要闻综合
中国信息化
2004编辑选择奖特别发布 
渠道与市场
华东专刊
华南专刊
西南专刊
东北专刊
存储世界
 灾难恢复——BCM的最后一道防线

国家信息化专家咨询委员会委员 曲成义

  经常困惑企业的一个核心问题就是如何调整“效率和弹性”的关系,所谓效率是指企业以利润最大化作为目标,而弹性则是保证一个企业在面临任何风险情况下都可以正常的生存,但这是要增加企业的成本的,那麽如何在保证效率与弹性之间寻求一个平衡点?这就是BCM(Business Continuity Management)所要规划的目标,它将保障企业有更好的生存和发展的能力,而灾难恢复则是BCM的一道最后防线。

  众多的灾难过后,留给人们的思考就是如何减少损失、如何有效地防范风险、如何让业务不间断等等。例如纽约交易所(NYBOT)就是个很好的案例,NYBOT的前身CSCF曾经历了世贸中心车库爆炸案(1993年),从此吸取教训而与美国著名的Sun Gard灾难恢复服务企业制定了BCP计划,这个计划坚持演练了10年。当“9·11”事件发生而导致NYBOT大楼被毁时,几小时后就在“长岛”又开始恢复交易,这样短的时间内NYBOT恢复了它在异地的运营,因为它很早就制定了BCP计划,而在灾难发生时发挥了重要作用,NYBOT劫后逢生的关键是BCP计划的策划和坚持。

  灾难恢复重在策略

  灾难事件是具有小概率、高风险的特点;而容灾则具有高投入、低效率的特征;灾难系统是建设易、维护难。这些特点对于企业领导者的难处就是决心难下和维持不易,因此在灾难恢复面前采取何种科学的策略就显得十分重要。国家 在《关于做好国家重要信息系统灾难备份的通知》中提出的“在灾难备份中一定要统筹规划、资源共享、平战结合、等级容灾”这几条原则意义深远,对开展工作将起着重要指导作用。

  基于这几条原则,对灾难恢复首先就要做好需求分析:企业自身的威胁与风险分析、信息资产及其服务的价值分析、业务的关键性和时效性分析、业务中断的影响分析、系统中断可容忍的时限分析、系统中断可容忍的数据丢失分析、各项业务恢复的优先级和相关性分析。然后是制定灾难恢复目标的参考点:系统恢复的时间间隔(RTO)、数据恢复点的滞后时间(RPO)、总成本的控制(TCC)、灾备点距离选择(安全、联络、生活、电力)、确立容灾等级。如果一个企业拥有完善的BCM机制,就能够定期通过演练检验到自己的不足和缺点,并且提出完善的改进方案,那么综合起来便会降低企业面临灾难的风险。

  我国灾难恢复总体策略

  根据国家信息化领导小组第三次会议中办发[2003]27号文《关于加强信息安全保障工作的意见》,重点提到要建立完善的国家信息安全保障体系,其中特别重视信息安全应急处理工作,包括指挥、响应、协调、通报、支援、抗毁、灾备等内容;在“关于在灾难应急情况下怎麽保护并支持政府重要信息系统的生存能力”里面就提到了抗毁性和灾难恢复等问题。特别是在今年1月9日召开的“国家信息安全高峰会议”上,国家信息安全协调小组组长黄菊副总理的总结报告中又一次提出“全社会动员起来构建国家信息安全保障体系”,谈到了灾难恢复及抗毁性。根据此次国家《关于做好国家重要信息系统灾难备份的通知》中特别指出了国家重点信息系统包括七大部门、三大信息基础设施等,强调重点信息系统的建设及安全保障是直接关系到社会稳定、国计民生等的大问题。

  在系统面临自然灾害、网络攻击、恐怖活动、战争行为、人为蓄意破坏以及大规模的设施故障等意想不到的灾难突发事件情况下,要提前做好灾难备份工作,提升企业系统灾难恢复能力,达到系统抗毁的有效性、重要数据保护的完整性和业务的连续性。通知中还明确强调“谁主管谁负责、谁运营谁负责”,这就是国家对于重要信息系统和灾难恢复的总体策略。

  BCM工作任重道远

  在我国,近年来信息化建设事业取得了举世瞩目的成绩,但我们必须承认,从总体上看,我国信息化建设仍然处于起步阶段,基础薄弱,面临的形势还很严峻,还存在不少亟待解决的问题。就企业信息化来说,大部分企业还没有真正建立起统一的BCM机制,虽然部分企业的相应做法已经有了BCM机制的一些要素,但并没有制度化。与国外相比存在着较大差距,根据国内权威机构的统计数据,目前90%以上的中国企业在应对危机事件时漏洞明显,企业对BCM专业知识的了解远远不够,专业人士十分匮乏。因此,我国BCM标准规范的推广工作责任重大、任务艰巨。

  根据国外的经验,在配套的法律法规和行业规范出台的同时,还要有政府对相关产业的政策扶持。另外,信息安全公共基础设施的建设、社会力量的参与、相关人才的培养等也是必不可少的。中国信息化推进联盟BCM专业委员会成立的重要意义在于,协助政府职能部门制定BCM产业的发展路线,颁布BCM标准的指导原则和框架,以便于企业参照执行,使企业逐步建立更有效防范各种灾难事件的冲击和保证业务连续性管理的保障体系,以保障国家信息化的健康发展,让中国企业在国际市场的竞争力形成质的飞跃。 (E9)