政府數據災備中心建設與應用研究

周洲 章亞

1云南省電子政務網絡管理中心 云南 650228 2云南省招標采購局信息處 云南 650011

0 前言

信息系統的災難恢復工作，包括災難恢復規劃和災難備份中心的日常運行，還包括災難發生后的應急響應、關鍵業務功能在災難備份中心的恢復和繼續運行，以及生產系統的災后重建和回退工作。但災難恢復不僅僅是恢復計算機系統和網絡，除了技術層面的問題，還涉及到風險分析、業務影響分析、策略制定和實施等方面，總體來說災難恢復是一項系統性、多學科的專業性工作。

1 Y省電子政務數據災備中心建設與應用

目前中國的各級政府都在積極行動，制定災難恢復的指導性意見，各政府部門也開始規劃或建設數據災難備份中心。2003年，中共中央辦公廳、國務院辦公廳下發了《國家信息化領導小組關于加強信息安全保障工作的意見》，文件要求：要高度重視災難備份工作。原國務院信息化工作辦公室于2004年9月份下發了《關于做好重要信息系統災難備份工作的通知》，文件強調了“統籌規劃、資源共享、平戰結合”的災備工作原則。原國信辦又于2007年11月頒布了關于信息系統災難恢復的國家標準GB/T20988-2007《信息安全技術—信息系統災難恢復規范》。北京市、上海市、四川省、深圳市、杭州市等地方政府已經啟動建設政府數據災備中心，有的目前已經投入了運營。本文以Y省電子政務網絡管理中心在Y省規劃建設政府數據災備中心為實例來闡述政府數據災備中心建設與應用方面的內容。

Y省政府數據災備中心項目是規劃復雜程度高、建設周期長、運維難度高的一個項目。并且建設過程是一個周而復始、持續改進的過程。對于Y省政府某個信息系統來講，建設和管理它的災難恢復系統的工作，主要包含了以下幾個階段或步驟：

① 災難恢復需求的確定：通過風險分析及業務影響分析等手段對單位的風險和業務系統進行分析，確定災難恢復的目標。

② 災難恢復策略的制定：根據災難恢復需求、技術手段的可行性、資源獲取方式和預算費用情況確定災難恢復策略和方案。

③ 災難恢復策略的實現：根據既定的策略和方案建設災難備份基礎設施、災難備份系統、災難恢復預案及管理制度。

1.1 災難恢復需求的確定

災難恢復的需求分析主要包含風險分析和業務影響分析。進行風險分析，識別可能造成業務中斷的災難、具有負面影響的事件等因素，可控的風險與控制范圍以外的風險，確定由這些風險可能造成的直接經濟損失，確定業務系統的弱點，明確防范控制風險的技術和管理措施：進行業務影響分析，識別關鍵業務以及業務的優先級，識別由于業務中斷造成的直接和間接后果，確定業務中斷的影響程度，確定可以接受的損失范圍，關鍵業務恢復的優先順序以及恢復時間目標。

(1) 風險分析

對于Y省電子政務信息系統災難恢復來說，風險分析的范圍主要考慮各單位所在地區范圍和與之在經濟、業務上有緊密聯系的鄰近地區的交通、電訊、能源及其他關鍵基礎設施遭到嚴重破壞，或造成此地區的大規模人口疏散或無法聯系后所面對的可能性風險，同時還需要考慮各單位信息系統中斷所造成的系統性風險。

目前在Y省電子政務各應用系統中，總體來看，數據的可靠存放和備份主要存在以下方面的風險：

① 缺乏針對硬件故障、天災(地震、雷擊等)、人禍(機房火災、機房進水、電力故障等)和漸變式災難(人為操作失誤、系統軟件 BUG、病毒、黑客等)的全面而有效的數據保護措施和恢復手段。

② 接入電子政務網絡的政府單位數量眾多，地理位置和應用環境非常復雜，普通的備份和恢復手段實現困難，造價高昂、管理復雜。

③ 電子政務系統涵蓋的應用及信息數據的種類非常多，不同的應用對容災保護的需求各不相同，接入電子政務網絡的政府單位政務應用系統平臺復雜，操作系統有Windows、Unix、Linux等，數據庫有 Oracle、DB2、MSSQL、MYSQL等，其中的數據都有不同層次的容災需求。

(2) 業務影響分析

風險分析完成后，得到各用戶單位一系列存在風險的業務系統范圍，業務影響分析則是對這些存在風險的業務系統的功能、以及當這些功能一旦失去作用時可能造成的損失和影響進行分析，以確定單位關鍵業務功能及其相關性，確定支持各種業務功能的資源，明確相關信息的保密性、完整性和可用性要求，確定這些業務系統的恢復需求，為下一階段制定災難恢復策略提供基礎和依據。

(3) 確定災難恢復目標

根據前面的風險分析和業務影響分析的結果，就能夠了解目前各用戶單位所存在的各種風險及其程度，以及各單位災難恢復系統建設的需求、業務系統的應急需求和恢復先后順序，完成了系統災難恢復的各項指標。將根據風險分析和業務影響分析的結論確定最終用戶需求和災難恢復目標，將該包括以下幾方面：

① 災難恢復范圍：根據業務影響分析確定業務恢復范圍，確定信息系統的恢復范圍。

② 災難恢復時間范圍：根據業務影響分析的結果，確定各系統的災難恢復時間目標(RTO)和恢復點目標(RPO)。

③ 災難恢復順序要求：根據業務影響分析中業務恢復的優先級要求，結合各系統間的資源依賴關系，制定各信息系統的恢復順序和優先級關系。

④ 災難恢復系統建設規劃：根據災難恢復范圍、恢復時間目標和災難恢復處理能力的要求，結合單位未來發展規劃，制定災難恢復系統建設的項目目標和時間進度目標。并按照進度要求合理規劃預算投入。

1.2 災難恢復策略的制定

經過風險分析和業務影響分析，明確了Y省政府信息系統災難恢復目標以后，即需要制定能夠滿足災難恢復目標的災難恢復策略。制定Y省一份完整的災難恢復策略我們主要考慮了以下七個要素：

(1) 數據備份系統；(2) 備用數據處理系統；

(3) 備用網絡系統；(4) 備用基礎設施；

(5) 技術支持能力；(6) 運行維護管理能力；

(7) 災難恢復預案。

上述七個要素水平和能力的高低，也就決定了一個信息系統災難恢復水平能力的高低，為了便于描述，我們通常將災難恢復水平定為六個等級，從低往高分別是：

(1) 第1級：基本支持：

(2) 第2級：備用場地支持：

(3) 第3級：電子傳輸和部分設備支持；

(4) 第4級：電子傳輸及完整設備支持；

(5) 第5級：實時數據傳輸及完整設備支持；

(6) 第6級：數據零丟失和遠程集群支持。

通過借鑒國內其他省市電子政務數據災備中心和其他行業的先進經驗，為了便于各政府部門的信息系統確定自身的災難恢復等級要求，Y省制定了本省電子政務信息系統災難恢復目標(RTO，RPO)與災難恢復等級對應關系圖如下：

災難恢復能力等級 信息系統災難恢復時間目標(RTO)信息系統災難恢復點目標(RPO)1 2天以上 1天至7天2 24小時以上 1天至7天3 12小時以上 數小時至1天4 數小時至2天 數小時至1天5 數分鐘至2天 0至30分鐘6 數分鐘 0

以Y省某廳為例，其在Y省政務網絡上運行著大量政務應用系統。經過依次對每個系統進行風險分析和業務影響分析，最終可以確定各系統的重要性等級和災難恢復目標如下：

Y省某廳電子政務業務系統 重要性等級 RTO RPO城鎮職工基本醫療保險管理信息系統 關鍵 2小時 0城鎮居民基本醫療保險管理信息系統 關鍵 2小時 0勞動力市場管理信息系統 關鍵 2小時 ≈ 0養老、工傷、生育保險管理信息系統 重要 6小時 ≈ 0聯網數據交換系統 重要 12小時 1天內網站系統 一般 24小時 1天內郵件系統 一般 24小時 1天內辦公自動化系統 一般 24小時 1天內統計數據及決策分析 一般 24小時 1-2天虛擬主機 一般 24小時 1-2天

根據以上各業務系統的災難恢復目標，我們不難得出各系統分別對應的災難恢復等級如下：

Y省某廳業務系統 RTO RPO 災難恢復等級城鎮職工基本醫療保險管理信息系統 2小時 0 6城鎮居民基本醫療保險管理信息系統 2小時 0 6勞動力市場管理信息系統 2小時 ≈ 0 6養老、工傷、生育保險管理信息系統 6小時 ≈ 0 6聯網數據交換系統 12小時 1天內 3網站系統 24小時 1天內 2郵件系統 24小時 1天內 2辦公自動化系統 24小時 1天內 2統計數據及決策分析 24小時 1-2天 2虛擬主機 24小時 1-2天 2

可以看到，不同的業務系統的災難恢復等級要求并不相同，例如城鎮職工基本醫療保險管理信息系統的災難恢復等級要求為第六級--數據零丟失和遠程集群支持。因此為了達到這一等級，我們在制定該系統的災難恢復策略的時候，就必須同時考慮上述的災難恢復七個要素，使之能夠達到該級別的要求：

Y省某廳城鎮職工基本醫療保險管理信息系統 災難恢復策略第6級災難恢復要求—數據零丟失和遠程集群支持七個要素 要求數據備份系統 完全數據備份至少每天一次；備份介質場外存放；遠程實時備份，實現數據零丟失。備用數據處理系統備用數據處理系統具備與生產數據處理系統一致的處理能力并完全兼容；應用軟件是集群的，可無縫切換；具備遠程集群系統的實時監控和自動切換能力。備用網絡系統配備與主系統相同等級的通信線路和網絡設備；備用網絡處于運行狀態；最終用戶可通過網絡同時接入主、備中心。有符合介質存放條件的場地；有符合備用數據處理系統和備用網絡設備運行要求的場地；有滿足關鍵業務功能恢復運作要求的場地；以上場地保持7X24h運作。備用基礎設施專業技術支持能力在災備中心7X24h有專職的：計算機機房管理人員；專職數據備份技術支持人員；專職硬件、網絡技術支持人員；專職操作系統、數據庫和應用軟件技術支持人員。運行維護管理能力有介質存取、驗證和轉儲管理制度；按介質特性對備份數據進行定期的有效性驗證；有備用計算機機房管理制度；有硬件和網絡運行管理制度；有實時數據備份系統運行管理制度；有操作系統、數據庫和應用軟件運行管理制度。災難恢復預案 有相應的經過完整測試和演練的災難恢復預案。

1.3 災難恢復策略的實現

在確定了災難恢復策略后，我們將根據災難恢復策略確定具體的建設方案和建設計劃并開始實施項目。還是主要包括數據備份系統、備用數據處理系統和備用的網絡系統等七個災難恢復要素。對于Y省政府來說，對于災難備份中心的選擇和建設模式、災難恢復預案的制定、管理和演練等幾個方面是重點和難點，以下分別闡述：

(1) 災備中心的選址

國標文件GB/T 20988-2007<<信息安全技術-信息系統災難恢復規范>>中對災備中心的選址原則有以下敘述：“選擇或建設災難備份中心時，將根據風險分析的結果，避免災難備份中心與主中心同時遭受同類風險。災難備份中心包括同城和異地兩種類型，以規避不同影響范圍的災難風險”。同城與異地災備中心的優缺點比較如下：

同城災備 異地災備含義災難備份中心與生產中心處于同一區域性風險威脅，但又有一定距離的地點.如在數十公里以內，可實現數據同步復制的區域.災難備份中心不會同時遭受與生產中心同一區域性風險威脅的地點。如一般距離生產中心在100公里以上。優點技術上可以支持同步的數據實時備份方式，運營管理和災難演練比較方便。對地震、戰爭等大規模災難防范能力較強。缺點 抵御災難能力方面有局限性，對地震、戰爭等大規模災難防范能力較弱。技術上只支持異步的數據實時備份方式，運營管理和災難恢復演練不方便。

根據以上分析，Y省規劃按照“先建同城，后建異地”的模式進行政府數據災備中心的建設，以抵御不同范圍和不同影響力的風險威脅。

在政府數據災備中心的建設模式上，一般有自建、共建和外包三種模式。自建是指單位自己擁有并操作災難恢復設施，有自己的災難恢復運營和管理團隊；共建是指多個單位共同出資建設災備中心，在這些單位內部互相提供災備服務；外包是指單位選擇外部專業技術與服務資源，以替代內部資源來承擔災難恢復系統的規劃、建設、運營、管理和維護。應該說這三種模式各有利弊，主要如下：

優點 缺點一次性投資巨大；年運營成本高；專業技術及實施難度大；資源利用率低；運營隊伍難以保持穩定；建設周期長。建設投資和運營費用難以協調和分攤；管理復雜；災難恢復系統的可用性難以保障。增加了用戶對外包服務商的依賴性；增加了用戶的商業風險；數據安全與保密控制較難。自建模式數據安全保密較為便利；災備中心資源控制與使用的便利；災難恢復策略的調整便利；災難恢復演練靈活性高；災難恢復運維管理，風險控制較為方便。共建模式在共享資源、降低建設成本、加強行業聯合等方面有優勢。外包模式可節省大量一次性投資；可節省大量的年運營成本；可享受高質量的專業服務；可在較短時間內實現災難恢復目標；可使用高等級災備中心資源；可使用完善的配套設施。

Y省政府目前有一部分單位已經選擇了自建模式來建設自己的數據災備中心，但隨著技術發展與災備行業應用的不斷發展和用戶需求的不斷擴大，相信外包模式應該會在Y省成為一種主流的災備模式。

(2) 災難恢復預案的制定、管理和演練

災難恢復預案是指信息系統災難恢復過程中所需的任務、行動、數據和資源的文件，以便在單位面臨災難時快速的響應并恢復信息系統服務到可接受的程度，尤其是在預定的災難恢復目標內恢復信息系統支持的關鍵業務功能。

Y省政府數據災備中心在災難恢復預案的制定上主要遵從完整性、易用性、明確性、有效性、兼容性等幾方面原則。在制定原則的指導下，制定過程主要如下：起草—評審—測試—完善—審核和批準。

Y省在災難恢復預案的管理方面主要包括對災難恢復預案的保存與分發、更新管理、問題控制等幾個方面。經過審核和批準的災難恢復預案，需要做好保存與分發的工作，必須進行定期/不定期的更新和審核，還要對災難恢復中發現的問題和缺陷提出改進方案。

另外，對災難恢復預案的教育、培訓和演練也是必不可少的工作。Y省規劃主要從以下方面來著手開展工作：加強災難恢復觀念宣傳；預先對培訓需求進行評估；預先制定演練計劃；每年至少完成一次有最終用戶參與的完整演練。

2 結束語

本文闡述了信息系統災難備份與恢復的基本概念和原理，描述了當前電子政務系統對于數據災難恢復的總體要求和發展概況，并以Y省實際為例，對我國政府部門建設與應用數據災備中心等方面的內容進行了研究。同時，Y省通過對數據災備中心的建設和應用，提高了其電子政務信息安全的整體水平，保障了重要政務信息系統的連續穩定運行與持續發展，有利于行業監管，在保證國家安全、人民利益、社會穩定和經濟發展等方面也有重要意義。

[1]GB/T20988-2007.信息安全技術.信息系統災難恢復規范.

[2]王渝次主編.信息系統災難恢復的規劃及實施.北京交通大學出版社.2006.