■ 昆明国际航空枢纽工程建设指挥部 范怀炜

编者按：企业业务连续性对企业的生存发展至关重要。本文以信息系统生命周期为主线，从技术和管理两个维度分析各阶段应重点关注的内容以及可以采取的措施。

不同业务的连续性保障措施大不相同，但从方法论上看，主要包括生产设施设备的冗余备份、原材料储备、人力资源储备、应急预案、管理体系等。信息系统业务连续性方案，涉及技术措施层面和管理体系层面，涵盖了信息系统规划设计、建设实施、运行维护等信息系统全生命周期。

基本概念

根据《公共安全业务连续性管理体系 》（GB/T 30146-2013/ISO 22301:2012）的定义，业务连续性是指在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。业务连续性方案是指由最高管理者和适当的资源所支撑的，为实施和保持业务连续性管理所进行持续不断的管理和治理过程。最小业务连续性目标是指在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和（或）产品。恢复点目标（RPO）是指为使活动能够恢复进行，而必须将该活动所用的信息恢复到某时间点。恢复时间目标（RTO）是指事件发生后到产品或服务必须恢复，或者活动必须恢复，或者资源必须复原完成之前的时间段。

GB/T 30146-2013采用了PDCA模型来策划、建立、实施、运行、监视、评审、保持和改进组织业务连续性管理体系（BCMS）的有效性。

信息系统业务连续性的最高目标是数据不丢失（RPO=0）、应用不中断（RTO=0）。但显然这个最高目标只是一个理想状态，企业应根据实际需求和投资能力确定目标，达到“可接受的水平”。信息系统典型组成包括的硬件有网络设备及通信线路、服 务 器、存储、负载均衡设备、机房等，软件有操作系统、数据库管理系统、中间件、应用软件、虚拟化软件等，以及保障信息系统正常运行的管理体系及人力资源。

信息系统业务连续性的威胁包括通信线路不可用，硬件设备故障，软件故障，数据损坏，病毒、蠕虫、木马等发作，系统资源（如CPU、内存、磁盘）消耗殆尽，灾难事件（如自然灾害、恐怖事件、火灾、战争），机房环境问题，人为误操作，网络入侵，接入终端不安全等。任何威胁事件的发生都可能导致系统服务中断。

信息系统业务连续性的技术措施主要是高可用性（HA）和灾难恢复（DR）。

HA采用冗余和集群的思路，强调本地生产系统服务不中断。

DR采用在异地建设备份生产系统或者重新创建生产系统应用，强调当本地系统服务中断后，异地系统能够在“可接受的水平”范围内提供服务。

实际操作中，信息系统发生故障后可以采用“降效运行”的方案，降效运行方案应能够达到“最小业务连续性目标”的要求。

信息系统业务连续性方案，除了考虑软硬件等设施设备方面，更应该重视管理体系的建设和改进。信息系统业务连续性管理体系，是企业业务连续性管理体系（BCMS）的重要组成部分。

表1 信息业务连续性措施与指标

信息系统业务连续性管理体系的范围，应包括IT组织机构及职责、工作过程、资源配置、风险管理、内外部的协作合约等，其中职责须涵盖信息系统规划设计、建设实施、运行维护、退役停用等信息系统全生命周期。

信息系统业务连续性管理体系的建立，除了依照《公共安全业务连续性管理体系》的要求外，还应依照《信息安全技术 信息系统灾难恢复规范》（GB/T 20988）和《信息安全技术 网络安全等级保护基本要求》（GB/T 22239）等的要求执行。

信息系统业务连续性的规划设计

对于单个相对独立的信息系统，规划设计阶段管理上应明确：系统功能及边界，评估系统服务中断后对企业业务连续性的影响，确定系统的网络安全保护等级、灾难恢复能力等级，制订系统业务连续性方案（包括技术措施层面和管理体系层面）。上述工作过程是一个反复研讨、确认的过程，在此基础上再对系统进行详细技术方案设计和应急预案设计。

项目实践中，保障信息系统正常运行的机房环境如机房位置及承重、温湿度及灰尘控制、机房物理安全（防盗、防火、防水、防鼠、防虫）、机房供配电、机房环境监控、机房运维管理等，以及通信线路、网络及网络安全设备、终端设备安全措施等，在规划设计阶段往往被轻视。

图1 信息系统部署架构拓扑结构

信息系统业务连续性主要指标是RPO和RTO，通常规划设计阶段产品选型或开发要考虑的技术措施如表1所示。

在组织内企业如果需要建立信息系统业务连续性，则在规划设计阶段的方案非常重要。上表所列技术措施往往是根据信息系统业务连续性的要求综合选用。另外，不同产品所使用的技术有所差别，方案和产品选型应以满足要求及扩展性为原则。

图1是一个简单的两地三中心的信息系统部署架构示意图。在示意图中，生产中心聚焦于系统的高可用，采用了负载均衡、双机热备、服务器集群、数据库集群、存储双活、持续数据保护、虚拟技术等技术措施。灾备中心的配置是一个“降效”版的生产中心，聚焦于当生产中心不可用时能够及时接替生产中心提供服务。

在规划设计阶段，技术方案的产品选型是个关键，产品所支持的协议以及数据和时间的恢复窗口期应满足整个方案的目标要求。

信息系统业务连续性的建设实施

规划设计阶段已经框定了信息系统业务连续性管理体系和技术措施。建设实施阶段的重点工作是测试、验证和文档管理。

管理体系的测试重点是应急预案，有两个方面：

一是企业依赖于信息系统的业务所对应的业务层面应急预案，即在信息系统降效使用、停用的情况下，以及数据丢失甚至丢失的数据超出可接受程度、服务中断的时间超出可接受程度的情况下，企业的相关业务如何应急。

二是当信息系统发生业务连续性风险事件时，信息系统的运维保障部门在管理层面如何应急。管理体系的测试、验证以相关的业务流程或业务程序的模拟审查和桌面演练为主，测试、验证的结论应推进应急预案的修改完善，同时应完善为实施应急预案应具备的资源条件。

技术措施的测试内容是依据方案中采用的具体技术来确定的。一般来说，单台设备冗余部件如双电源的测试是由厂家出厂前完成的。方案中如果使用到节点设备冗余技术及其延展出来的数据连续性技术、网络连续性技术、应用连续性技术，以及虚拟化技术和负载均衡技术等，须由企业进行详细的测试，比如网络设备双机热备/集群服务器/虚拟机/Oracle RAC的转移、存储备份及恢复、双活存储系统、环形网络等，必须进行详细测试并达到设计标准。

测试的目的是尽力发现问题，但测试不能发现所有问题。通过测试来验证所建系统是否符合预定目标是通常的手段，但是即便系统通过了严格的测试仍然难免会发生意外，所以业务层面的应急预案不可或缺。

信息系统业务连续性的运行维护

在这一阶段，管理体系的重点工作是完善与系统运维服务提供商（或产品厂商）的协约及工作机制，完善应急预案并演练验证，完善信息系统日常运维的管理体系等。

技术措施的重点工作，是做好日常运维特别是网络信息安全保障方面的工作。

信息系统业务连续性的退役停用

纳入企业业务连续性管理的信息系统，其对企业的重要性是显然的。当这个系统需退役停用时，系统运行所留存的数据，以及系统规划设计、建设实施、运行维护所留存的资料文档，对企业来说是有价值的无形资产。应对这些无形资产进行甄别、筛选，确定没有价值的给予登记、销毁，其余的应采取措施保护，做到不被丢失、不被篡改、日后可查。

信息系统业务连续性是企业业务连续性重要组成部分。信息系统业务连续性除了按照网络安全等级保护要求、信息系统灾难恢复规范等进行规划设计、建设实施、运行维护外，还应该纳入企业业务连续性统筹范围，遵循企业整体业务连续性体系的要求。