浅谈高校档案信息系统灾难恢复建设

2010-04-05吴登国张永生

档案与建设 2010年11期

□吴登国张永生

《档案事业发展“十一五”规划》提出“采取一切必要措施，提高档案馆、档案室抵御自然灾害和危及档案安全的突发事件的能力”，“建立完备的档案信息数据备份和灾难恢复机制，确保档案信息数据安全”。随着高校档案信息化程度的不断提高，相随而生的档案信息安全问题亦应得到重视，尤其是作为高校档案信息安全最后一道“防火墙”的灾难恢复。

一、灾难恢复理论简述

（一）灾难恢复定义

2007年11月1日正式实施的国家标准《信息系统灾难恢复规范GB/T20988-2007》将灾难恢复定义为：为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受的状态，而设计的活动和流程。信息系统的灾难恢复具体是指利用先进的软、硬件设备和网络环境，以灾难恢复等级为核心，综合运用各种技术手段和管理措施，实现信息系统的灾难恢复要求。

需要指出的是，很多高校档案管理人员将灾难恢复简单地与备份混为一谈，认为只要平时做好数据备份，或是做了双机互备、热备就是完成了灾难恢复建设。其实这是种错误的认识。数据备份是灾难恢复的基础，而灾难恢复建设不仅要进行数据备份，还要对数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份，亦即灾难备份。灾难备份再加上灾难恢复预案的管理，才是真正意义上的灾难恢复。

（二）灾难恢复等级

灾难恢复等级一般是用灾难恢复指标来衡量的，最常用的指标有恢复点目标RPO（灾难发生时信息系统能够容忍的最大数据丢失量）和恢复时间目标RTO（信息系统所能容忍的应用停止服务的最长时间）。

国际上比较通用的信息系统灾难恢复等级是1992年由IBM公司和SHARE用户组共同提出的SHARE78标准。它将灾难恢复的等级从低到高分为七级：

0级没有异地数据（Nooff-site Data）：即没有任何异地备份或应急计划。数据仅在本地进行恢复，没有送往异地。实际上，这一级并不真正具备灾难恢复的能力。

1级 PTAM卡车运送访问方式(Pickup Truck Access Method)：设计一个应急方案，备份关键数据并将其存储在异地。

2级 PTAM卡车运送访问方式+热备份中心 (PTAM+HotCenter)：在1级的基础上加上热备份中心。热备份中心拥有足够的硬件和网络设备去支持关键应用的及时恢复。

3级电子链接(Electronic Vaulting)：在2级的基础上用电子链接取代了卡车进行数据的传送。

4级活动状态的备份中心(Active Secondary Center)：指主中心和备份中心同时处于活动状态并同时互相备份业务数据。在灾难发生时，关键应用的恢复可降低到小时级或分钟级。

5级两中心两阶段提交（Two-Site Two-Phase Commit）:采用两阶段提交来同步两个中心的数据,在灾难发生时，仅是传送中的数据被丢失，恢复时间被降低到分钟级。

6级零数据丢失 (Zero Data Loss)：灾难恢复的最高级别，可实现零数据丢失和自动系统故障切换。

（三）灾难恢复的层次

从主中心与灾备中心距离来看，灾难恢复有本地灾难恢复、同城灾难恢复和异地灾难恢复。从应用层次分类，灾难恢复可以分为数据级、系统级和应用级灾难恢复。数据级灾难恢复指建立一个本地或异地的数据系统，作为主系统关键业务数据的一个备份；系统级灾难恢复在备份业务数据之外，还要对信息系统运行环境、数据库系统和通信网络等进行备份，以便迅速恢复整个信息系统；应用级灾难恢复在系统级灾难恢复之上，提供保证信息系统所支持的业务持续运行所需要的各种资源，包括主机、存储、网络、相关基础建设和相应的技术支持能力。

（四）灾难恢复的管理

为了确保灾难恢复的成功，必须对灾难恢复建设的全过程进行管理，明确组织在灾难前、灾难中和灾难后应当采取的行动和步骤。灾难恢复建设是一个系统工程，具体可分为如下几个阶段：

项目启动阶段：这个阶段是灾难恢复计划组织化、概念化的阶段，争取领导和相关各部门的支持。

确定灾难恢复需求阶段：基于对信息系统风险分析的结果，确定关键业务功能及灾难对关键功能的影响，从而得出各功能的灾难恢复优先级、恢复目标、恢复等级。

制定灾难恢复策略阶段：根据灾难恢复需求，对机构自身情况和成本效益做分析，确定灾难恢复资源的需求和获取方式。

灾难恢复方案实施阶段：选定合适的产品、技术，建设灾备中心，实现灾难恢复策略。

灾难恢复预案制定阶段：在此阶段组织要制定灾难恢复预案，预案包含从灾难中恢复的步骤、相关人员职责以及操作流程和规范。

灾备系统持续运行阶段：灾难恢复建设中最长的一个阶段。包括灾难恢复预案的管理、教育、培训、演练和灾备中心的日常运行维护管理。

灾难恢复建设不可能一蹴而就，将是一个长期持续的过程，组织应根据内外部环境的变化，定期或按需重新分析灾难恢复需求，并根据变化了的需求调整灾难恢复策略、灾备方案和审核、变更灾难恢复计划。

二、高校档案信息系统灾难恢复建设的必要性及现状

随着档案信息化建设的不断推进，各高校档案馆（室）的数字化资源不断增加，电子文件和数字化档案的高速增长不仅给高校档案事业注入了新的活力，更给高校档案管理模式带来了新的挑战。如何保证这些数字资源的安全正越来越多地受到高校的重视。

目前各高校档案信息化的一个努力方向就是将档案信息系统建设成为高校各类权威信息的集中地，以确保能够提供更全面的信息服务。数据集中减少了档案信息系统的管理成本，促进了档案信息的共享，提供了进一步挖掘档案信息资源价值的机会。但与此同时，数据大集中也给档案信息安全带来了更大的风险，一旦档案信息系统所在地遭受灾难，其损失将影响到高校各方面的事业，产生灾难性后果。这就要求高校在进行档案信息化建设过程中必须同步加强灾难恢复建设。

据笔者了解，东南大学档案馆开发了网络存储、双机互备及异地容灾一体化系统，实现了同城两个校区之间的灾备。目前国内其他高校档案馆（室）进行灾难恢复建设的寥寥无几，究其原因，无外乎三个方面的因素：一是众多高校领导及高校档案管理人员对档案信息系统灾难恢复建设的重要性认识不足；二是由于多数高校办学经费、档案经费紧张，无力承担昂贵的灾难恢复建设费用；三是由于高校档案馆（室）高级技术人才储备不足，即使经济上允许也无力独自进行灾难恢复建设。

三、高校档案信息系统灾难恢复建设途径

（一）加强宣传，提高灾难意识

长期的安稳生活让人们对灾难缺乏直观感受，普遍缺乏灾难意识。而各种灾难却是时时、处处可能发生的，比如地震、洪水、暴风雨、火灾，甚至战争等等。高校档案馆室在进行灾难恢复建设前，应大力宣传和培训，特别是要对高校领导层宣传灾难恢复建设的重要性。只有领导层重视起来，亲自过问、参与，档案馆室才有可能开展进一步的建设工作。

（二）分析灾难恢复需求，确定灾难恢复等级

信息系统灾难恢复建设是高投入、低回报的项目，同时是针对高风险、低概率事件准备的。高校档案馆室必须做到灾难恢复目标等级和建设成本之间的平衡。高校档案馆室应对档案信息系统可能遭遇的风险以及风险可能产生的业务影响有清晰的了解，同时需要分析档案信息系统关键性的功能以及这些功能一旦丧失可能带来的损失和影响。根据上述分析结果来确定可以容忍信息系统丢失多少数据以及中断多长时间，最后据此确定灾难恢复等级。

高校档案信息系统应首要关注各类档案数据的存储安全，然后再保证查询、著录等其他功能正常使用。这就决定了高校档案信息系统灾难恢复实时性要求不是很高，前述灾难恢复等级的第2级或第3级即可满足要求，一般设计为数据级灾难恢复或系统级灾难恢复即可。

（三）选择适当的建设模式进行灾备中心建设

灾备中心建设模式目前主要有三种：自建、共建或外包。自建是指高校档案馆自行建设并维护灾备中心，此模式虽有利于档案信息保密与安全，减少档案数据丢失风险，但其建设费用昂贵、运维成本高，而且高校档案馆也无相应的人力储备，所以自建模式不适合高校档案馆。共建模式是指两方或多方组织按照一定的投资比例投入资金、人力、物力进行灾备中心的建设和运行维护管理。外包模式指通过专业的、具备灾难恢复服务资质的IT公司来建设备份中心。

高校档案馆应根据自身情况，灵活选择灾备中心建设模式。高校档案馆可以选择和其他高校档案馆合作共建或互为备份基地；可以与图书馆合作共建；可以共享各级公共档案馆的建设成果。考虑到目前各高校都有几个校区，和高校信息中心共建灾备中心，分别将主系统和备用系统安置在不同校区，对于较低级别的灾难恢复建设也是不错的选择。高校档案馆还可以选择自建与外包模式相结合，将主要技术服务外包给IT服务商，核心业务由高校档案馆自行建设。