我国综合档案馆电子档案灾备与恢复机制研究
2016-03-21王欣蕊1黄新荣2
王欣蕊1 黄新荣2
(1.中国科学院文献情报中心,北京,100190;2.西北大学公共管理学院,陕西 西安,710127)
我国综合档案馆电子档案灾备与恢复机制研究
王欣蕊1 黄新荣2
(1.中国科学院文献情报中心,北京,100190;2.西北大学公共管理学院,陕西 西安,710127)
文章论述了我国综合档案馆电子档案灾备与恢复工作中遇到的重点难点,结合信息系统灾备与恢复机制,从政策体制建设、应用技术改进与创新两方面提出适用于我国电子档案灾备工作的措施。
电子档案 灾难备份 灾难恢复 机制
随着社会信息化的发展,信息安全已不仅仅是传统意义上的理论概念,也是影响重大且值得关注的现实对象。我国“十三五”规划提高了对信息及信息安全的重视程度,更提出要以“战略思维”看待信息安全。2014年11月10日召开的“全球性信息技术主管大会”也格外关注信息安全并将其提升到战略高度。
数字档案馆及电子文件(备份)中心的建设成为我国档案信息化建设中用以保障电子档案安全的重要措施[1]。其中,信息系统灾难备份与恢复是保障电子档案信息安全的重要手段。国内各级档案馆在电子档案灾难备份与恢复工作(后文简称“灾备”)方面做出了一定努力,但要建立起可实时监控,及时反应,较为系统、联动、完善的安全保障机制,尚需时日。
1 从信息系统灾备到电子档案信息系统灾备
现今广泛应用的信息系统中,数据备份系统和高可用系统是数据系统安全环节中的两个重要部分,前者保证数据可以完整恢复,后者则为保证系统迅速恢复运行。因此,标准意义上的信息系统灾备,包含对数据和对应用系统的处理,既可以实现业务数据的复制,又可以提供紧急状况下应用系统恢复运行的工作环境。
备份工作是灾备的基础和前提。传统意义上的备份仅仅是通过复制技术将数据或系统再存储,不能达到灾备的目的。只有将备份工作做到灾难发生时可全面、及时地恢复整个系统及其数据的程度,才可基本断定信息系统达到灾备级别[2]。常见的灾备级别包括:第0级的本地备份、本地保存冷备份;第1级的本地备份、异地保存冷备份;第2级的热备份站点备份;第3级的活动互援备份。不同单位针对信息系统情况、保有数据量情况、紧急情况发生时所限制的恢复时间、资源投入状况、人员分配情况等,确定采用不同灾备级别及完全、增量或差分备份的备份策略,制定灾难恢复计划(DRP)并评价信息系统灾难承受度(BIA),随之开展相关工作。无论何种灾备级别都要基本保障数据级安全、系统级安全和业务级安全。
普遍用于衡量灾难中业务数据与应用系统恢复能力的技术指标有RPO(Recovery Paint Object恢复点目标)、RTO(Recovery Time Object恢复时间目标)、NRO(Network Recovery Object网络恢复目标)和DOO(Degrade Operation Object降级运作目标)。RPO是指灾难与最后一次数据备份的时间差,代表了当灾难发生时允许丢失的数据量。RTO是指恢复系统启用所需的时间,代表了系统恢复的能力。DOO是指灾难恢复完成到再次灾难,所需启用恢复机制的时间间隔,反映了系统发生故障后降级运行的能力。由于不同行业对信息安全关注侧重有所不同,在主要技术指标基础上对灾备措施具体调整,如军事信息安全保障体系结构框架包括预警(W)、保护(P)、检测(D)、反应(R)、恢复(R)、反击(C)6个环节[4],强化事前监督与事后控制,商业信息安全机制强调零差错与及时恢复,重视信息无断点无缝对接传输和可操作权限。
电子档案安全领域,信息系统灾备工作则是为了在紧急情况发生时恢复原有的数据信息内容、数据信息环境、数据存储方式、检索方式;维持正常业务项目的运转、保证业务的连续性,将损失降低到最低。电子档案所面临的灾难可分内容层面和载体层面:内容层面是指对电子档案内容无意或故意地篡改、删除,排版格式上的错乱等;载体层面则指对电子档案的载体、保管环境、读取平台等的破坏。风险来源于突发自然灾难或人为有意无意破坏。因此,电子档案备灾工作要考虑到电子档案的特殊性——存储载体、读取平台、灾备方式、组织机构管理,还要考虑到数据上的信息环境、信息管理、信息保密、信息读取、信息活性。
2 电子档案灾备工作现状
为了解工作中实际情况,笔者专门就“公共档案馆电子档案灾难备份与灾难恢复机制建设情况”制作调查问卷,并对全国30多个省市综合档案馆主要负责电子档案管理及备份工作部门进行电话调查。收回有效问卷20份(尚未保存任何电子档案的统计数据不计入),20份全部来自电子档案管理实践部门工作人员或领导。
公共档案馆大多对电子档案(资料)开展了防灾减灾容灾工作,全部(100%)做到本地与异地及时备份,估计全部(100%)做到零容差恢复。福建省档案馆与广东省档案馆结对子,每天异地、本地增量备份,遇紧急情况一天就可恢复基本业务运转;西安市档案馆与济南市档案馆结成对子,每年定期交换光盘备份资料,一个星期或一个季度定期实现本地增量备份,至多七天可完全恢复业务活动。镜像复制、网络存储与传输技术也有一定应用——上海市档案馆采用Oracle与文件系统镜像代理单向复制信息至外滩馆镜像存储服务器,实现及时备份[4];武汉市档案馆采用存储区域网络SAN和双机互备方式[5]等。
就总体情况来说,电子档案灾备系统灾难承受度较低,体现在机制建设缺乏系统性、无统一可量化评估的指标、应急策略欠完善、对灾难或故障难以实时监测或知晓、技术应用急需改进与完善、馆员防灾意识不突出。在20个已保存电子档案或电子目录的调查对象中,具有整体备份机制的仅为55%,其中仅有四个调查对象表示馆内对电子档案备份有明确工作标准规定;基本上所有受访者均表示,部门内专门负责电子档案备份工作的人员仅为1—2人。
3 我国综合档案馆电子档案灾备与恢复工作存在的问题及原因
具体来说,综合档案馆电子档案灾难备份与恢复工作正面临体制建设层面和技术应用层面两大问题。
3.1 体制建设层面
(1)缺乏明确规范
档案行业在《档案事业发展“十一五”规划》中首次明确提出了建立完备的电子档案信息系统灾难恢复机制。但业内尚未对电子档案灾备与恢复作出明确规范,仅鼓励“结对子”并呼吁各级综合档案馆进行灾备与恢复机制,其后的监管和监督力度又不强。杨冬权先后于2009年、2012年发出重要指示,提出“加快建设五位一体的电子档案备份工作”,重点鲜明,但缺乏宏观规范性的指导、缺乏制定总体灾备和恢复策略,造成评估标准多元化、机制建设零散化、建设方向混杂化、责任主体不明确等问题。
总结缺乏政策标准原因有以下几点:一为各级公共档案馆的电子档案工作基本处于起步阶段,难提保障电子档案安全问题;二为已保存电子档案全文或目录的公共档案馆对于保障电子档案安全问题尚未引起足够重视,资源投入不足,相关工作进展缓慢;三为试点地区电子档案灾备工作成效尚不显著,不足以推行到全国,且不同省市档案馆拥有经费、技术、设备、馆藏资源程度不同,难以形成普遍使用的行业规范。
(2)馆内工作落实难,缺少监管
以异地备份工作为例,我国综合档案基本做到了初级数据级灾备,即采用磁盘、磁带、光盘、硬盘等不同载体对重要档案异质备份于本馆内保存一份,并通过人工传递方式将重要电子档案在异地保存一份。早在2008年,国家档案局就提出各级国家档案馆要建立异地备份库,异地备份要求省以上档案馆选择不属同一江河流域、同一电网、同一地震带并相距300公里以上的公共档案馆“结对子”,相互保管,异地备份库中应存放重要档案。除此之外的地级、县级档案馆由省级档案行政管理部门指导异地备份工作。2010年3月,47家副省级以上国家档案馆全部结为对子,异地备份结对工作已基本完成,互为对方异地备份,馆际互备工作已全面启动[6]。但在实际工作中,“结对子”虽然完成,递送异质备份档案的周期仍不确定,一年递送一次、几年递送一次情况都存在;各单位存储档案的介质存在差异,造成“结对子”档案馆保存标准制定困难,馆际存储介质保存环境不统一;出于保密原因,很少对已保存的异质备份档案进行复查,档案存储载体可用性存在问题。
此外,综合档案馆现有灾备工作多为馆内自行完成,包括制定工作标准、安排人员、外请专门企业设计调试相关软件、确定异质备份存储载体、制定灾备策略并确定评估标准等。调查中,仅极少数(四所档案馆,占20%)档案馆已制定馆内电子档案安全保障的规范和工作具体要求,极少有人对现有工作进行监管和评估。
3.2 技术应用层面
(1)相关资源投入不足
电子档案灾备工作多归属科技处、科技信息处、电子档案处进行,这些部门一般外购专门备份软件如Symantec公司的Ghost、VERITAS公司的Backup Exec管理,此外,双机热备份、异质备份都需要大型设备。除购买软件、设备外,有时还需外聘专门人员操作和维护,费用较高。经费紧张成为拖延电子档案灾备工作的重要原因。
电子档案有“数字档案载体类型多样、信息存储方式多样、数字读取的平台多样、防治功能的复杂、管理因素与社会因素的影响”[7]的特殊性,使得灾备机制建设复杂、投入较大,还可能对馆内原有设备、制度、编制进行大范围调整,而灾难小概率、高风险,一些档案馆对电子档案灾备工作草草了事,实际抵御灾难能力弱,并且暂时不愿投入太多资源。
(2)缺乏量化评估体系
只有通过评估与反馈工作才能对在进行的业务予以修正和更新。现有灾备工作却缺少相关量化评估业务能力的指标——整体的灾难备份与恢复方案是否合理?本地备份软件硬件是否可支持?系统的灾难抵御能力如何?增量备份多久合宜?恢复周期多久合适?人员素质和岗位设置是否与实际工作情况调和?安全方案选择与成本代价如何权衡?是否在工作中还需多方帮助指导?这些都是在实际情况中亟待解决的问题。
我国综合档案馆在灾备与恢复机制实际构建中困难重重,导致现今电子信息安全并未得到充分保障。综合档案馆理应加强对电子档案信息灾备和恢复建设工作“全过程”把控。
4 我国电子档案灾难备份与恢复机制设计的政策建议
电子档案灾难备份与恢复机制建设应以目标管理为导向,即想方设法达到电子信息安全的目的。笔者认为,在工作起步阶段,通过政策体制规范,对原有技术创新与改进,总结经验,优势合作,才是更为经济有效的途径。
4.1 政策体制建设
(1)宏观结合微观制定政策
相关部门应根据公共档案馆实际工作情况进行顶层设计,建立完善的统一的法规体系,达到标准化和规范化统一,形成联动的监管监督机制。“上”重视才能引起“下”重视,“上下”共同关注才能将措施落到实处。首先要从综合档案馆开始谋求改变,由国家档案局负责,调查了解实际情况并结合优秀试点,牵头确定内容全面具体、可操作性强的总章程规范,适当可拨发一定资金给以支持。各级综合档案馆在总章程规范基础上,建立符合区域特色的管理制度,详细到馆内日常档案检查、系统设备检验、定期维护、人员教育培训。由此政策与实际相对应,真正为发挥技术的效用做铺垫;自上而下形成一个有机整体,通过统一化标准化,达到系统优化的目的,发挥最大价值。
(2)具体行业工作标准尽快确定
在管理层面上,首先应完善统一的法规体系,再确定具体工作标准。标准确定应谨慎,并具有灵活性,可以通过实践反馈进行修正,其内容将涉及详细的支持信息灾备软硬件规范、读取平台统一等标准化构建。从管理上统一、物质上支持电子档案灾备工作,才能改变现有工作局部化、碎片化的情况,体现出行业工作标准的实际效用。
(3)建立共建与部分业务外包机制
通过建立标准化的合作组织可以取得分工优势,并实现优势共享,节约资源。综合来看,共建与部分业务外包在该机制建设初期效益较高。笔者认为依据数字信息负责主体间关系划分的合作模式更适合电子档案灾备工作现状,具体其包括:①馆际合作——不同档案馆间共建灾备。异地备份即为一种共建形式,此外,还可以就其他相关事务、技术分享、设备共用等形成合作。主管者可为国家档案局,也可为其他公认的协调组织。②对应职能部门合作——系统内部涉及相同事务的部门间合作。基于共同的问题和情况,有明确的关注内容,更易协调与沟通。③部分业务外包。该种合作方式被美国多数档案馆采用,他们赞同“政府主导与市场运作并举”的方式,[8]并鼓励有资质第三方服务机构参与灾备。美国一些档案馆严格划分电子档案密级,将最关键的文件由独立灾备中心灾备,将不太关键的数据托管给文件中心或者商业性的灾备中心[9]。
专业技术企业在软件设计等方面更具优势,术业有专攻,毕竟发生灾难是小概率事件,不应是工作的经常状态。在合作机制构建中,特别要注重权衡各方利益,及时沟通,形成积极愉悦、平等互利的合作氛围,构建符合相关法律法规和行业规范的合作模式。
(4)馆内人员与设备设置
人员是档案馆工作中的核心和主体。结合总规章制度与特色管理制度,人岗匹配意义重大。不仅要引进一定技术人才,还要进行灾备与恢复机制培训教育,加强其备灾防灾和容灾意识。要求相关人员熟悉掌握日常使用的信息系统和危机时的恢复系统的使用方式,更要加强相关人员日常对相关系统的维护与检修工作,从日常工作细节着手。应关注和鼓励熟悉情况的本馆员工进行创新活动,建立符合条件的备灾方案和系统。适时也可安排相关人员到外地或外国学习先进技术和经验。对人员和设备的定期演习可锻炼人员的实战能力,定时不定时的演习和机制评估有利于形成良好的反馈,及时发现问题,调整灾备策略。最后,馆内应根据资源情况添置或共用必要设备和场所,如双机热备份设备、专门电子档案本地备份库房等。
(5)安全方案成本与选择的权衡
电子档案灾备工作“不只是发生时干什么,而是全过程控制”[10],不同公共档案馆应根据国家档案馆制定的总体规范,结合区域性特征采取不同应对方式,如地震多发区、沿海地区等地公共档案馆应根据自身特点评估灾难发生概率,通过制定灾难恢复计划(DRP)使灾备和恢复有序化、标准化。
在其他因素固定条件下,安全方案与建设成本成正相关关系。选择不同安全方案影响资金、人力、设备、岗位设置等投入,要建立完备的电子档案灾备与恢复体制,基于本馆情况考量。若只追求“面子工程”,大刀阔斧建立使用范围过广、操作复杂的应急措施,只能加重公共档案馆经济负担,缺少实效。为此,所建立的灾备与恢复机制应权衡关键业务档案与普通档案抢救、电子档案数量、保存所需软硬件情况、保存环境、应急恢复机制启用、本馆实际经济条件、政策管理、人员素质、应急策略、建设预算,确定在电子档案灾备与恢复机制工作中投入多少人力物力财力,选择最为合适最为经济有效的安全方案。
(6)强化日常监管,建立量化评估体系
日常防护监管活动起到基础性作用,又是实践工作中最可控的环节。日常监管活动既有对相关设备营运的维护和更新,也有对人员活动的掌控。日常监管活动既可以排除故障,又可以及时对紧急情况采取应急处理,以防为主,防治结合。在电子档案灾难备份与恢复机制中同样适用。电子档案信息同其他档案信息一样,在一定时间和范围内具有保密性,防止失密、窃密、漏密,应被格外注意:如何防止无意或恶意修改档案内容的行为,如何在灾备与恢复中同样保持其信息原始性及有效性,如何对灾备信息加密并控制访问人员权限等问题,仍值得在技术及管理层面上仍值得探讨。
要建立起完善的监管机制,就要形成事前评估——事中监管——事后反馈的联动监管机制,机制结构完善合理,善于发挥各方力量的作用。如美国档案馆为电子档案投保,虽不能从根本上阻止突发情况,但保险公司聘用专业人员对应急系统进行评估,形成有力的社会力量监督,促使相关建设完善;美国综合档案馆有自上而下的监管指导机制,易通过监管形成良性反馈,及时发现并解决新问题。
4.2 技术改进与创新
笔者认为,在现阶段工作中,脱机冷备份与随时热备份都值得重视。将本地备份与异地备份相结合,异质备份与原载体多备份相结合,实时增量备份与定期全备份相结合,辅之技术改进与创新,可有效增强电子档案安全。
(1)建议在电子档案灾备中采用层级备份
完整的备份系统应该包括存储介质和存储设备、备份管理软件及管理策略。数据备份方式含动态备份和静态备份。选择的方式要结合其信息管理系统耦合程度:耦合程度较高,采用动态形式;耦合程度较低较低,采用静态形式。对数据内容的备份采用正常备份、增量备份、差异备份、复制备份、定期备份等方式,通过灵活选择不同方式,可筛选有价值信息并实现信息的完整或部分存储。
电子档案灾备宜采用层级结构模型,对已区分密级的电子档案分别灾备——严格区分突发灾难时哪些电子档案需要及时抢救并恢复,哪些可以延缓;哪些电子档案须时刻密切关注,哪些不须。区分灾备的轻重层次和优先级,便于电子档案信息的调用,减少损失并及时恢复主要业务。此外,分级灾备有利于保证电子档案的成套性和完整性,便于实现普通业务数据与关键业务数据的灵活切换和服务的及时激活。在层级结构中对访问权限也有设定,使用密匙、验证等方式规范访问人员、访问内容,力争杜绝“趁乱生事”。最后可选择采用数据存储技术(直接连接存储技术DAS、网络连接存储NAS、存储区域网络技术SAN、IP存储网络技术)、本地数据恢复技术、远程数据恢复技术、网络恢复技术、服务恢复技术(失效检测技术、服务切换),把控信息存储环境,了解信息活性,以便灾后信息恢复。
不同于前文提及的商业信息系统与军事信息系统灾备与恢复,电子档案信息系统灾备工作中,普通业务数据和应用系统时间价值不强,时间上可以存在滞后,将完全恢复时间延至三天至一周,因此,对应用技术的选择要求不宜过高。
(2)对现有备份存储介质的改进并重视检查
电子档案的特殊性,使得在存储介质应用方面需格外注意。我国综合档案馆较多使用磁盘存储介质(以磁盘为主)、光盘存储介质(以光盘为主)及移动硬盘存储异质备份,并定期对备份内容抽检或全检,以保证其信息内容活性和可读性。但在实际工作中现有存储介质易受消磁、光照、强震等保存环境或自身质量问题、老化等问题影响。一些实践部门正在革新思路,尝试使用新的存储介质,或对现有存储方式进行改进。同时,对异地备份内容也应定期检查、检测,保证内容的活性与可读性,对“结对子”档案馆存储环境、保存方式等都应严格限制。
(3)电子档案原件与灾备副本法律地位问题
电子档案副本是指抽取电子档案的所有内容信息,在内容上与电子档案保持完全一致,但不具备电子档案形成过程中封装的元数据信息,不具有凭证价值,仅为利用者提供信息查询而形成的数字信息。电子档案灾备中有必要形成副本文件,以便在恢复过程中“转正”,副本原则上仅含内容信息,不保存元数据信息也不具凭证价值,这就要求在准备工作中单独存放元数据信息。在灾备保存中保证元数据与内容相匹配,恢复时副本可以及时升级为正本,保证其凭证价值和法律价值。
在实际操作中,要结合情况,权衡各方因素,审慎选择采用的政策规章及应用技术。
5 总结
国内尚未制定统一的灾备标准和方案,但后发优势与先进经验的学习借鉴,使得我国在该领域内易取得成就。如前所述,我国综合档案馆缺少的不仅仅是技术应用,还有宏观统一的指导环境与量化的评估标准。政策与实际相契合将激发极大的发展潜力。
发挥我国“集中统一”档案管理模式的优势,一方面纵向指导,强调国家档案局制定总规章的构建、建设平台对接的构建、标准化的构建等;另一方面横向合作,强调合作共享更要注意结合实际,建立地方特色。电子档案灾备并不同于商业信息系统恢复中要求的实时性和无缝对接,可容许一定的滞后,但首要目标还是信息安全。电子档案信息同其他档案信息一样都是人类宝贵的财富,如何保障其安全,值得商榷与研究。
[1][2]王丽娜.信息安全导论[M].武汉大学出版社,2008:239-251.
[3]郑晨阳,洪海丽.军队信息系统安全容灾恢复机制研究[J].装备学院学报, 2009(4):78-81.
[4][5]张永生.档案信息系统灾难恢复研究[D].苏州大学,2009.
[6][9]刘转平.中美档案灾难备份工作比较研究[J].档案管理,2012(3):70-73.[7]唐跃进.数字档案灾难防治研究[J].档案学通讯,2014(3):12-14.
[8]华琳,张保稳,高明.国内外灾难恢复发展状况及建议[J].信息与电脑:理论版, 2011(8).
[10]王伟.信息安全,金融业必须承受之重[J].金融电子化,2013(10):14-17.
王欣蕊,女,中国科学院文献情报中心硕士研究生,主要研究方向为档案管理。
黄新荣,西北大学公共管理学院档案学系主任,主要研究方向为档案管理、电子文件管理。
Study on Com prehensive Archives of Electronic Archives Disaster Backup and Recovery Strategy in China
Wang Xinrui1,Huang Xinrong2
(1.National Science Library,Beijing,100190;2.Department of Information Management of Northwest University,Xi’an,Shanxi,710127)
This paper based on the key points and problems of the practical works on electronic archives backup strategy and data restoration methods,uses the related others information system theoretical research and practical experience for perfected the construction of electronic archives backup for disaster recovery system which both in polite support and technology applied.
Electronic Archives;Backup for Disaster;Recovery for Disaster;Mechanism
G273
