周洲 章亚

1云南省电子政务网络管理中心 云南 650228 2云南省招标采购局信息处 云南 650011

0 前言

信息系统的灾难恢复工作，包括灾难恢复规划和灾难备份中心的日常运行，还包括灾难发生后的应急响应、关键业务功能在灾难备份中心的恢复和继续运行，以及生产系统的灾后重建和回退工作。但灾难恢复不仅仅是恢复计算机系统和网络，除了技术层面的问题，还涉及到风险分析、业务影响分析、策略制定和实施等方面，总体来说灾难恢复是一项系统性、多学科的专业性工作。

1 Y省电子政务数据灾备中心建设与应用

目前中国的各级政府都在积极行动，制定灾难恢复的指导性意见，各政府部门也开始规划或建设数据灾难备份中心。2003年，中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》，文件要求：要高度重视灾难备份工作。原国务院信息化工作办公室于2004年9月份下发了《关于做好重要信息系统灾难备份工作的通知》，文件强调了“统筹规划、资源共享、平战结合”的灾备工作原则。原国信办又于2007年11月颁布了关于信息系统灾难恢复的国家标准GB/T20988-2007《信息安全技术—信息系统灾难恢复规范》。北京市、上海市、四川省、深圳市、杭州市等地方政府已经启动建设政府数据灾备中心，有的目前已经投入了运营。本文以Y省电子政务网络管理中心在Y省规划建设政府数据灾备中心为实例来阐述政府数据灾备中心建设与应用方面的内容。

Y省政府数据灾备中心项目是规划复杂程度高、建设周期长、运维难度高的一个项目。并且建设过程是一个周而复始、持续改进的过程。对于Y省政府某个信息系统来讲，建设和管理它的灾难恢复系统的工作，主要包含了以下几个阶段或步骤：

① 灾难恢复需求的确定：通过风险分析及业务影响分析等手段对单位的风险和业务系统进行分析，确定灾难恢复的目标。

② 灾难恢复策略的制定：根据灾难恢复需求、技术手段的可行性、资源获取方式和预算费用情况确定灾难恢复策略和方案。

③ 灾难恢复策略的实现：根据既定的策略和方案建设灾难备份基础设施、灾难备份系统、灾难恢复预案及管理制度。

1.1 灾难恢复需求的确定

灾难恢复的需求分析主要包含风险分析和业务影响分析。进行风险分析，识别可能造成业务中断的灾难、具有负面影响的事件等因素，可控的风险与控制范围以外的风险，确定由这些风险可能造成的直接经济损失，确定业务系统的弱点，明确防范控制风险的技术和管理措施：进行业务影响分析，识别关键业务以及业务的优先级，识别由于业务中断造成的直接和间接后果，确定业务中断的影响程度，确定可以接受的损失范围，关键业务恢复的优先顺序以及恢复时间目标。

(1) 风险分析

对于Y省电子政务信息系统灾难恢复来说，风险分析的范围主要考虑各单位所在地区范围和与之在经济、业务上有紧密联系的邻近地区的交通、电讯、能源及其他关键基础设施遭到严重破坏，或造成此地区的大规模人口疏散或无法联系后所面对的可能性风险，同时还需要考虑各单位信息系统中断所造成的系统性风险。

目前在Y省电子政务各应用系统中，总体来看，数据的可靠存放和备份主要存在以下方面的风险：

① 缺乏针对硬件故障、天灾(地震、雷击等)、人祸(机房火灾、机房进水、电力故障等)和渐变式灾难(人为操作失误、系统软件 BUG、病毒、黑客等)的全面而有效的数据保护措施和恢复手段。

② 接入电子政务网络的政府单位数量众多，地理位置和应用环境非常复杂，普通的备份和恢复手段实现困难，造价高昂、管理复杂。

③ 电子政务系统涵盖的应用及信息数据的种类非常多，不同的应用对容灾保护的需求各不相同，接入电子政务网络的政府单位政务应用系统平台复杂，操作系统有Windows、Unix、Linux等，数据库有 Oracle、DB2、MSSQL、MYSQL等，其中的数据都有不同层次的容灾需求。

(2) 业务影响分析

风险分析完成后，得到各用户单位一系列存在风险的业务系统范围，业务影响分析则是对这些存在风险的业务系统的功能、以及当这些功能一旦失去作用时可能造成的损失和影响进行分析，以确定单位关键业务功能及其相关性，确定支持各种业务功能的资源，明确相关信息的保密性、完整性和可用性要求，确定这些业务系统的恢复需求，为下一阶段制定灾难恢复策略提供基础和依据。

(3) 确定灾难恢复目标

根据前面的风险分析和业务影响分析的结果，就能够了解目前各用户单位所存在的各种风险及其程度，以及各单位灾难恢复系统建设的需求、业务系统的应急需求和恢复先后顺序，完成了系统灾难恢复的各项指标。将根据风险分析和业务影响分析的结论确定最终用户需求和灾难恢复目标，将该包括以下几方面：

① 灾难恢复范围：根据业务影响分析确定业务恢复范围，确定信息系统的恢复范围。

② 灾难恢复时间范围：根据业务影响分析的结果，确定各系统的灾难恢复时间目标(RTO)和恢复点目标(RPO)。

③ 灾难恢复顺序要求：根据业务影响分析中业务恢复的优先级要求，结合各系统间的资源依赖关系，制定各信息系统的恢复顺序和优先级关系。

④ 灾难恢复系统建设规划：根据灾难恢复范围、恢复时间目标和灾难恢复处理能力的要求，结合单位未来发展规划，制定灾难恢复系统建设的项目目标和时间进度目标。并按照进度要求合理规划预算投入。

1.2 灾难恢复策略的制定

经过风险分析和业务影响分析，明确了Y省政府信息系统灾难恢复目标以后，即需要制定能够满足灾难恢复目标的灾难恢复策略。制定Y省一份完整的灾难恢复策略我们主要考虑了以下七个要素：

(1) 数据备份系统；(2) 备用数据处理系统；

(3) 备用网络系统；(4) 备用基础设施；

(5) 技术支持能力；(6) 运行维护管理能力；

(7) 灾难恢复预案。

上述七个要素水平和能力的高低，也就决定了一个信息系统灾难恢复水平能力的高低，为了便于描述，我们通常将灾难恢复水平定为六个等级，从低往高分别是：

(1) 第1级：基本支持：

(2) 第2级：备用场地支持：

(3) 第3级：电子传输和部分设备支持；

(4) 第4级：电子传输及完整设备支持；

(5) 第5级：实时数据传输及完整设备支持；

(6) 第6级：数据零丢失和远程集群支持。

通过借鉴国内其他省市电子政务数据灾备中心和其他行业的先进经验，为了便于各政府部门的信息系统确定自身的灾难恢复等级要求，Y省制定了本省电子政务信息系统灾难恢复目标(RTO，RPO)与灾难恢复等级对应关系图如下：

灾难恢复能力等级 信息系统灾难恢复时间目标(RTO)信息系统灾难恢复点目标(RPO)1 2天以上 1天至7天2 24小时以上 1天至7天3 12小时以上 数小时至1天4 数小时至2天 数小时至1天5 数分钟至2天 0至30分钟6 数分钟 0

以Y省某厅为例，其在Y省政务网络上运行着大量政务应用系统。经过依次对每个系统进行风险分析和业务影响分析，最终可以确定各系统的重要性等级和灾难恢复目标如下：

Y省某厅电子政务业务系统 重要性等级 RTO RPO城镇职工基本医疗保险管理信息系统 关键 2小时 0城镇居民基本医疗保险管理信息系统 关键 2小时 0劳动力市场管理信息系统 关键 2小时 ≈ 0养老、工伤、生育保险管理信息系统 重要 6小时 ≈ 0联网数据交换系统 重要 12小时 1天内网站系统 一般 24小时 1天内邮件系统 一般 24小时 1天内办公自动化系统 一般 24小时 1天内统计数据及决策分析 一般 24小时 1-2天虚拟主机 一般 24小时 1-2天

根据以上各业务系统的灾难恢复目标，我们不难得出各系统分别对应的灾难恢复等级如下：

Y省某厅业务系统 RTO RPO 灾难恢复等级城镇职工基本医疗保险管理信息系统 2小时 0 6城镇居民基本医疗保险管理信息系统 2小时 0 6劳动力市场管理信息系统 2小时 ≈ 0 6养老、工伤、生育保险管理信息系统 6小时 ≈ 0 6联网数据交换系统 12小时 1天内 3网站系统 24小时 1天内 2邮件系统 24小时 1天内 2办公自动化系统 24小时 1天内 2统计数据及决策分析 24小时 1-2天 2虚拟主机 24小时 1-2天 2

可以看到，不同的业务系统的灾难恢复等级要求并不相同，例如城镇职工基本医疗保险管理信息系统的灾难恢复等级要求为第六级--数据零丢失和远程集群支持。因此为了达到这一等级，我们在制定该系统的灾难恢复策略的时候，就必须同时考虑上述的灾难恢复七个要素，使之能够达到该级别的要求：

Y省某厅城镇职工基本医疗保险管理信息系统 灾难恢复策略第6级灾难恢复要求—数据零丢失和远程集群支持七个要素 要求数据备份系统 完全数据备份至少每天一次；备份介质场外存放；远程实时备份，实现数据零丢失。备用数据处理系统备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容；应用软件是集群的，可无缝切换；具备远程集群系统的实时监控和自动切换能力。备用网络系统配备与主系统相同等级的通信线路和网络设备；备用网络处于运行状态；最终用户可通过网络同时接入主、备中心。有符合介质存放条件的场地；有符合备用数据处理系统和备用网络设备运行要求的场地；有满足关键业务功能恢复运作要求的场地；以上场地保持7X24h运作。备用基础设施专业技术支持能力在灾备中心7X24h有专职的：计算机机房管理人员；专职数据备份技术支持人员；专职硬件、网络技术支持人员；专职操作系统、数据库和应用软件技术支持人员。运行维护管理能力有介质存取、验证和转储管理制度；按介质特性对备份数据进行定期的有效性验证；有备用计算机机房管理制度；有硬件和网络运行管理制度；有实时数据备份系统运行管理制度；有操作系统、数据库和应用软件运行管理制度。灾难恢复预案 有相应的经过完整测试和演练的灾难恢复预案。

1.3 灾难恢复策略的实现

在确定了灾难恢复策略后，我们将根据灾难恢复策略确定具体的建设方案和建设计划并开始实施项目。还是主要包括数据备份系统、备用数据处理系统和备用的网络系统等七个灾难恢复要素。对于Y省政府来说，对于灾难备份中心的选择和建设模式、灾难恢复预案的制定、管理和演练等几个方面是重点和难点，以下分别阐述：

(1) 灾备中心的选址

国标文件GB/T 20988-2007<<信息安全技术-信息系统灾难恢复规范>>中对灾备中心的选址原则有以下叙述：“选择或建设灾难备份中心时，将根据风险分析的结果，避免灾难备份中心与主中心同时遭受同类风险。灾难备份中心包括同城和异地两种类型，以规避不同影响范围的灾难风险”。同城与异地灾备中心的优缺点比较如下：

同城灾备 异地灾备含义灾难备份中心与生产中心处于同一区域性风险威胁，但又有一定距离的地点.如在数十公里以内，可实现数据同步复制的区域.灾难备份中心不会同时遭受与生产中心同一区域性风险威胁的地点。如一般距离生产中心在100公里以上。优点技术上可以支持同步的数据实时备份方式，运营管理和灾难演练比较方便。对地震、战争等大规模灾难防范能力较强。缺点 抵御灾难能力方面有局限性，对地震、战争等大规模灾难防范能力较弱。技术上只支持异步的数据实时备份方式，运营管理和灾难恢复演练不方便。

根据以上分析，Y省规划按照“先建同城，后建异地”的模式进行政府数据灾备中心的建设，以抵御不同范围和不同影响力的风险威胁。

在政府数据灾备中心的建设模式上，一般有自建、共建和外包三种模式。自建是指单位自己拥有并操作灾难恢复设施，有自己的灾难恢复运营和管理团队；共建是指多个单位共同出资建设灾备中心，在这些单位内部互相提供灾备服务；外包是指单位选择外部专业技术与服务资源，以替代内部资源来承担灾难恢复系统的规划、建设、运营、管理和维护。应该说这三种模式各有利弊，主要如下：

优点 缺点一次性投资巨大；年运营成本高；专业技术及实施难度大；资源利用率低；运营队伍难以保持稳定；建设周期长。建设投资和运营费用难以协调和分摊；管理复杂；灾难恢复系统的可用性难以保障。增加了用户对外包服务商的依赖性；增加了用户的商业风险；数据安全与保密控制较难。自建模式数据安全保密较为便利；灾备中心资源控制与使用的便利；灾难恢复策略的调整便利；灾难恢复演练灵活性高；灾难恢复运维管理，风险控制较为方便。共建模式在共享资源、降低建设成本、加强行业联合等方面有优势。外包模式可节省大量一次性投资；可节省大量的年运营成本；可享受高质量的专业服务；可在较短时间内实现灾难恢复目标；可使用高等级灾备中心资源；可使用完善的配套设施。

Y省政府目前有一部分单位已经选择了自建模式来建设自己的数据灾备中心，但随着技术发展与灾备行业应用的不断发展和用户需求的不断扩大，相信外包模式应该会在Y省成为一种主流的灾备模式。

(2) 灾难恢复预案的制定、管理和演练

灾难恢复预案是指信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件，以便在单位面临灾难时快速的响应并恢复信息系统服务到可接受的程度，尤其是在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。

Y省政府数据灾备中心在灾难恢复预案的制定上主要遵从完整性、易用性、明确性、有效性、兼容性等几方面原则。在制定原则的指导下，制定过程主要如下：起草—评审—测试—完善—审核和批准。

Y省在灾难恢复预案的管理方面主要包括对灾难恢复预案的保存与分发、更新管理、问题控制等几个方面。经过审核和批准的灾难恢复预案，需要做好保存与分发的工作，必须进行定期/不定期的更新和审核，还要对灾难恢复中发现的问题和缺陷提出改进方案。

另外，对灾难恢复预案的教育、培训和演练也是必不可少的工作。Y省规划主要从以下方面来着手开展工作：加强灾难恢复观念宣传；预先对培训需求进行评估；预先制定演练计划；每年至少完成一次有最终用户参与的完整演练。

2 结束语

本文阐述了信息系统灾难备份与恢复的基本概念和原理，描述了当前电子政务系统对于数据灾难恢复的总体要求和发展概况，并以Y省实际为例，对我国政府部门建设与应用数据灾备中心等方面的内容进行了研究。同时，Y省通过对数据灾备中心的建设和应用，提高了其电子政务信息安全的整体水平，保障了重要政务信息系统的连续稳定运行与持续发展，有利于行业监管，在保证国家安全、人民利益、社会稳定和经济发展等方面也有重要意义。

[1]GB/T20988-2007.信息安全技术.信息系统灾难恢复规范.

[2]王渝次主编.信息系统灾难恢复的规划及实施.北京交通大学出版社.2006.