管東升 李俊安

摘 ? 要：近年來(lái)，隨著我國(guó)電子政務(wù)系統(tǒng)建設(shè)的不斷深入完善，其重要性和意義已越來(lái)越凸顯，相應(yīng)的對(duì)其安全性與可用性也提出了更高的要求。為了在遇到各類(lèi)信息系統(tǒng)災(zāi)難時(shí)能夠快速恢復(fù)，作為維持電子政務(wù)系統(tǒng)正常運(yùn)行，保障關(guān)鍵政務(wù)數(shù)據(jù)長(zhǎng)期可用的重要措施，電子政務(wù)信息系統(tǒng)的災(zāi)備系統(tǒng)建設(shè)越來(lái)越受到關(guān)注。文章以項(xiàng)目為例介紹了電子政務(wù)信息系統(tǒng)災(zāi)備建設(shè)的步驟、指標(biāo)設(shè)計(jì)和測(cè)試過(guò)程， 希望為類(lèi)似項(xiàng)目建設(shè)提供借鑒，更好地推進(jìn)我國(guó)電子政務(wù)災(zāi)備系統(tǒng)建設(shè)。

關(guān)鍵詞：信息化建設(shè);災(zāi)難恢復(fù);電子政務(wù)

中圖分類(lèi)號(hào)： TP309.3 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The importance and significance of e-government system construction in China has become more and more prominent， which puts forward higher requirements for its availability. In order to recover quickly in the event of various information system disasters， as an important measure to maintain the normal operation of e-government system and ensure the long-term availability of key government data， the disaster recovery system of e-government information system More and more attention has been paid to construction. Taking the project as an example， this paper introduces the steps， index design and testing process of e-government information system disaster recovery construction， hopes to provide reference for similar project construction and better promote the construction of disaster recovery system of E-government in China.

Key words： information technology; disaster recovery;E-government system

1 引言

容災(zāi)備份恢復(fù)（Backup and Prepare for Disaster Recovery，本文簡(jiǎn)稱(chēng)災(zāi)備）是指為了能夠在災(zāi)難發(fā)生時(shí)，在盡可能短的時(shí)間內(nèi)，以盡可能小的數(shù)據(jù)丟失量快速恢復(fù)信息系統(tǒng)的正常運(yùn)行而做的數(shù)據(jù)備份和其他準(zhǔn)備工作。

對(duì)于信息系統(tǒng)來(lái)說(shuō)，災(zāi)難不僅包括通常意義上所指的自然災(zāi)難，還包括各種由于人為或自然的原因，造成信息系統(tǒng)運(yùn)行故障或癱瘓，使信息系統(tǒng)支持的業(yè)務(wù)發(fā)生停頓或服務(wù)水平不可接受等各類(lèi)突發(fā)性事件。信息系統(tǒng)的災(zāi)備體系是指以數(shù)據(jù)備份為核心，對(duì)不同類(lèi)型的政府信息資源所實(shí)施的數(shù)據(jù)備份、系統(tǒng)備用、災(zāi)難備援等一系列技術(shù)和管理手段的總稱(chēng)。

災(zāi)備系統(tǒng)的建設(shè)在銀行保險(xiǎn)等信息化和業(yè)務(wù)敏感度程度高的行業(yè)已經(jīng)成為慣例，而對(duì)于政務(wù)系統(tǒng)來(lái)說(shuō)還不算普遍。伴隨著我國(guó)電子政務(wù)信息化建設(shè)的不斷深入，政務(wù)信息系統(tǒng)已成為行使職能的重要抓手，行使職能越來(lái)越依賴于信息化手段，對(duì)于系統(tǒng)的可用性要求也就越來(lái)越高。對(duì)于政府來(lái)說(shuō)，信息資源的災(zāi)備體系是維持電子政務(wù)系統(tǒng)正常運(yùn)行，保障關(guān)鍵政務(wù)數(shù)據(jù)長(zhǎng)期可用的重要措施。

2 災(zāi)備信息系統(tǒng)實(shí)現(xiàn)過(guò)程

2.1信息系統(tǒng)災(zāi)備的基礎(chǔ)作用

信息系統(tǒng)三大核心指標(biāo)是機(jī)密性、可用性和完整性。而災(zāi)備系統(tǒng)受到關(guān)注就是因?yàn)槠滹@著提高信息系統(tǒng)的業(yè)務(wù)可用性。

信息系統(tǒng)災(zāi)備的建設(shè)需要首先完成業(yè)務(wù)連續(xù)性規(guī)劃（BCP），確認(rèn)確保業(yè)務(wù)正常運(yùn)轉(zhuǎn)所需的資源會(huì)提供給依賴他們的所有人和系統(tǒng)，這意味著需要認(rèn)真的執(zhí)行備份，并且在信息系統(tǒng)架構(gòu)、網(wǎng)絡(luò)和操作建設(shè)冗余。雖然以往在提到信息系統(tǒng)災(zāi)備建設(shè)時(shí)，可能首先關(guān)注的是備份數(shù)據(jù)和提供冗余硬件上，這些是非?；A(chǔ)和重要的，但他們只是業(yè)務(wù)整體運(yùn)行體系中的一部分，人員配置和操作也同樣應(yīng)該受到關(guān)注。因此，災(zāi)備項(xiàng)目的推進(jìn)需要采用自上而下的體系方法，由管理層推動(dòng)項(xiàng)目，統(tǒng)籌規(guī)劃，全員參與。

2.2 業(yè)務(wù)連續(xù)性規(guī)劃

災(zāi)備系統(tǒng)的建設(shè)是為了盡可能快速全面恢復(fù)信息系統(tǒng)業(yè)務(wù)的正常運(yùn)行，那么進(jìn)行災(zāi)備建設(shè)的基礎(chǔ)就必然是全面梳理業(yè)務(wù)，進(jìn)行完整的業(yè)務(wù)連續(xù)性規(guī)劃。進(jìn)行業(yè)務(wù)連續(xù)性規(guī)劃時(shí)應(yīng)當(dāng)考慮的因素有出現(xiàn)緊急狀況時(shí)提供及時(shí)和適當(dāng)?shù)膽?yīng)對(duì)措施、保護(hù)生命和確保安全、減少對(duì)業(yè)務(wù)的影響、盡快恢復(fù)關(guān)鍵業(yè)務(wù)功能、需要與外部供應(yīng)商和合作伙伴等。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）在其出版的800-34中概述了信息技術(shù)系統(tǒng)的業(yè)務(wù)連續(xù)性規(guī)劃指南，其描述的業(yè)務(wù)連續(xù)性規(guī)劃主要內(nèi)容和工作為七項(xiàng)：

（1）制定業(yè)務(wù)連續(xù)性規(guī)劃策略，提供必要的指導(dǎo)文檔，并給相關(guān)部門(mén)分配必要的職位來(lái)完成任務(wù)。

（2）進(jìn)行業(yè)務(wù)影響分析，識(shí)別關(guān)鍵系統(tǒng)和功能，并允許根據(jù)功能和系統(tǒng)的必要性，對(duì)其進(jìn)行優(yōu)先排序，識(shí)別漏洞和威脅，并計(jì)算風(fēng)險(xiǎn)。

（3）制定預(yù)防性控制措施，一旦識(shí)別到威脅，需要確定并實(shí)施控制和對(duì)策，以權(quán)衡經(jīng)濟(jì)的方法來(lái)降低組織的風(fēng)險(xiǎn)級(jí)別。

（4）制定恢復(fù)策略，制定方法確保系統(tǒng)和關(guān)鍵功能可以快速恢復(fù)。

（5）制定應(yīng)急計(jì)劃，制定在應(yīng)急狀態(tài)下可以保持業(yè)務(wù)正常運(yùn)行的措施和方案。

（6）測(cè)試計(jì)劃及進(jìn)行培訓(xùn)與演練，確定連續(xù)性計(jì)劃中的不足，進(jìn)行培訓(xùn)以確保個(gè)人對(duì)他們應(yīng)負(fù)責(zé)的任務(wù)做好充分準(zhǔn)備。

（7）維護(hù)確保BCP定期更新。

2.3 災(zāi)備建設(shè)的關(guān)鍵指標(biāo)設(shè)計(jì)概念

在業(yè)務(wù)連續(xù)性規(guī)劃中業(yè)務(wù)影響分析期間需要科學(xué)制定出指標(biāo)值，從而能夠把關(guān)鍵資源投入用于具體的業(yè)務(wù)功能、資源和數(shù)據(jù)類(lèi)型中，保證災(zāi)備項(xiàng)目建設(shè)的科學(xué)合理以及經(jīng)濟(jì)。

業(yè)務(wù)連續(xù)性規(guī)劃中涉及到相關(guān)的關(guān)鍵指標(biāo)和概念有MTD、RTO、RPO、WRT等。

最大允許中斷時(shí)間（MTD）指某個(gè)業(yè)務(wù)功能出現(xiàn)故障但是不會(huì)對(duì)業(yè)務(wù)產(chǎn)生無(wú)法彌補(bǔ)的損失的最大終端時(shí)間。

恢復(fù)時(shí)間目標(biāo)（Recovery Time Objective，RTO）指為避免在災(zāi)難發(fā)生后業(yè)務(wù)連續(xù)性中斷帶來(lái)不可接受的結(jié)果而使業(yè)務(wù)流程必須恢復(fù)的最早時(shí)間期限和服務(wù)水平，RTO通常指使得基礎(chǔ)設(shè)施和系統(tǒng)恢復(fù)運(yùn)行的時(shí)間。

恢復(fù)點(diǎn)目標(biāo)（Recovery Point Objective， RPO）指最大可容忍的數(shù)據(jù)丟失量，用時(shí)間來(lái)衡量，這個(gè)值代表著數(shù)據(jù)必須恢復(fù)的最早時(shí)間點(diǎn)，數(shù)據(jù)量越大，意味著要投入的資金或者其他資源越多，才能確保在災(zāi)難事件中損失的數(shù)據(jù)越少。

工作恢復(fù)時(shí)間（Work Recovery Time，WRT）指整個(gè)MTD值的剩余。

RPO、RTO、WRT和MTD相互之間的關(guān)系如圖2所示。

要達(dá)到不同的RTO、RPO目標(biāo)，就需要不同的恢復(fù)技術(shù)，同樣也需要不同的建設(shè)成本和實(shí)現(xiàn)的技術(shù)復(fù)雜度。同步復(fù)制技術(shù)的恢復(fù)時(shí)間可以做到幾小時(shí)內(nèi)，需要付出的成本和實(shí)現(xiàn)的復(fù)雜度最高，異步復(fù)制需要幾小時(shí)到幾天，磁帶恢復(fù)需要幾天以上，成本和實(shí)現(xiàn)復(fù)雜度最低。

3 政務(wù)災(zāi)備系統(tǒng)建設(shè)參考

3.1 電子政務(wù)災(zāi)備系統(tǒng)的意義及背景

國(guó)家規(guī)定了必須建立災(zāi)備基礎(chǔ)的8個(gè)重點(diǎn)行業(yè)，包括金融、民航、稅務(wù)、海關(guān)、鐵路、證券、保險(xiǎn)、電力行業(yè)，同時(shí)要求各基礎(chǔ)信息網(wǎng)和重要系統(tǒng)建設(shè)要充分考慮抗毀性和災(zāi)難恢復(fù)，制訂和不斷完善信息安全應(yīng)急處置預(yù)案。2005年4月國(guó)務(wù)院信息化工作辦公室下發(fā)的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》目前仍是我國(guó)災(zāi)難備份綱領(lǐng)性文件?！禛B/T20988-2007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》是國(guó)家級(jí)參考標(biāo)準(zhǔn)。

但是，災(zāi)難備份是一個(gè)系統(tǒng)工程，其建設(shè)和維護(hù)專(zhuān)業(yè)性要求非常高。如何擺脫災(zāi)備系統(tǒng)成本高、建設(shè)難的困擾，仍是目前各地政府?dāng)?shù)據(jù)異地集中備份首先需要考慮的問(wèn)題。

當(dāng)前各地政府以實(shí)際基礎(chǔ)情況在推進(jìn)本地電子政務(wù)災(zāi)備系統(tǒng)建設(shè)，例如北京市和上海市這類(lèi)信息化基礎(chǔ)較好的地區(qū)都已經(jīng)建設(shè)了全市統(tǒng)一的電子政務(wù)災(zāi)備中心，以提高抵御災(zāi)難和重大事故的能力，減少災(zāi)難打擊和重大事故造成的損失、確保重要信息系統(tǒng)的數(shù)據(jù)安全和作業(yè)連續(xù)性，避免引起社會(huì)重要服務(wù)功能的嚴(yán)重中斷，保障社會(huì)經(jīng)濟(jì)的穩(wěn)定。

3.2 電子政務(wù)災(zāi)備系統(tǒng)指標(biāo)設(shè)計(jì)

對(duì)于電子政務(wù)系統(tǒng)來(lái)說(shuō)，選擇什么樣的災(zāi)備模式要受到政府信息資源的重要程度甚至涉密程度、政府組織災(zāi)備專(zhuān)業(yè)人才的數(shù)量、管理便捷性，以及各種災(zāi)備模式的容災(zāi)能力、容災(zāi)成本的高低等因素的制約。

一般對(duì)電子政務(wù)中重要業(yè)務(wù)系統(tǒng)應(yīng)實(shí)現(xiàn)異地?cái)?shù)據(jù)級(jí)災(zāi)備，核心業(yè)務(wù)系統(tǒng)應(yīng)該實(shí)現(xiàn)異地應(yīng)用級(jí)災(zāi)備。同時(shí)，對(duì)于數(shù)據(jù)存儲(chǔ)及容災(zāi)業(yè)務(wù)應(yīng)預(yù)留擴(kuò)展能力，方便依據(jù)后期情況展開(kāi)升級(jí)建設(shè)。

例如，某地災(zāi)備項(xiàng)目最終針對(duì)不同應(yīng)用場(chǎng)景，設(shè)計(jì)出災(zāi)難發(fā)生后不同級(jí)別的業(yè)務(wù)系統(tǒng)恢復(fù)時(shí)間（RTO）和系統(tǒng)在此期間數(shù)據(jù)丟失程度（RPO）指標(biāo)有三點(diǎn)。

核心應(yīng)用系統(tǒng)：恢復(fù)耗時(shí)RTO<2小時(shí);數(shù)據(jù)丟失RPO<1小時(shí)。

重要業(yè)務(wù)系統(tǒng)：恢復(fù)耗時(shí)4小時(shí)

一般業(yè)務(wù)系統(tǒng)：恢復(fù)耗時(shí)RTO大于1天;數(shù)據(jù)丟失RPO大于1天。

根據(jù)業(yè)務(wù)的重要程度采取不同的容災(zāi)備份策略，重要業(yè)務(wù)系統(tǒng)采用異步復(fù)制方式實(shí)現(xiàn)數(shù)據(jù)級(jí)災(zāi)備，核心應(yīng)用系統(tǒng)采用雙活容災(zāi)解決方案實(shí)現(xiàn)應(yīng)用級(jí)災(zāi)備。

針對(duì)上述中核心業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)恢復(fù)的容災(zāi)備份需求，建設(shè)方采用在異地災(zāi)備中心建設(shè)資源池，支撐災(zāi)備中心實(shí)現(xiàn)應(yīng)用系統(tǒng)的應(yīng)用接管功能;按照現(xiàn)有核心業(yè)務(wù)系統(tǒng)的規(guī)模和業(yè)務(wù)類(lèi)型，配置服務(wù)器，重點(diǎn)進(jìn)行業(yè)務(wù)連續(xù)性保護(hù)，考慮業(yè)務(wù)負(fù)載，配合實(shí)現(xiàn)高性能備份存儲(chǔ)，以保證輸入輸出能力、吞吐能力的合理支撐，且后續(xù)可繼續(xù)平滑擴(kuò)展。

建設(shè)方案最終使用傳統(tǒng)的IP連接將磁盤(pán)數(shù)據(jù)復(fù)制到異地備份系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)的異步更新。在源地發(fā)生災(zāi)難后，可以將異地站點(diǎn)的數(shù)據(jù)反向復(fù)制到源。為了保證數(shù)據(jù)能夠恢復(fù)并保持有效，需要定期的在原始數(shù)據(jù)中心，在進(jìn)行正常生產(chǎn)的情況下進(jìn)行災(zāi)難恢復(fù)演習(xí)。

遠(yuǎn)程復(fù)制原理為當(dāng)數(shù)據(jù)寫(xiě)入時(shí)，同時(shí)會(huì)存入緩沖池，緩沖池文件通過(guò)IP 進(jìn)行數(shù)據(jù)傳遞，直至完全傳遞到異地的設(shè)備中;異地中的容災(zāi)卷，可以執(zhí)行本地所有的功能。

3.3 電子政務(wù)災(zāi)備系統(tǒng)測(cè)試過(guò)程

為測(cè)試災(zāi)備系統(tǒng)的建設(shè)效果，對(duì)災(zāi)備系統(tǒng)測(cè)試，測(cè)試要求及過(guò)程為兩項(xiàng)內(nèi)容。

（1）災(zāi)備基礎(chǔ)環(huán)境要求

在異地容災(zāi)機(jī)房中，應(yīng)用主機(jī)、機(jī)房用電、網(wǎng)絡(luò)都完全具備主站點(diǎn)災(zāi)難恢復(fù)的條件，一旦發(fā)生災(zāi)難，可直接在容災(zāi)機(jī)房進(jìn)行恢復(fù)，需要完全熱備站點(diǎn)。

（2）測(cè)試內(nèi)容

1）數(shù)據(jù)恢復(fù)（數(shù)據(jù)級(jí)災(zāi)備）。數(shù)據(jù)恢復(fù)是利用遠(yuǎn)程復(fù)制功能，通過(guò)異步同步來(lái)實(shí)現(xiàn)本地機(jī)房數(shù)據(jù)庫(kù)數(shù)據(jù)復(fù)制到容災(zāi)端，在災(zāi)難發(fā)生時(shí)，創(chuàng)建當(dāng)前時(shí)間的快照，將快照映射給災(zāi)備應(yīng)用服務(wù)器，來(lái)實(shí)現(xiàn)應(yīng)用數(shù)據(jù)恢復(fù)，查看測(cè)試恢復(fù)時(shí)間和數(shù)據(jù)丟失程度是否滿足系統(tǒng)要求。

2）應(yīng)用恢復(fù)（應(yīng)用級(jí)災(zāi)備，以門(mén)戶應(yīng)用為例）。應(yīng)用恢復(fù)測(cè)試時(shí)應(yīng)保證本地雙活組對(duì)應(yīng)的數(shù)據(jù)磁盤(pán)已經(jīng)建立好遠(yuǎn)程復(fù)制并初始化完成，本地雙活組與災(zāi)備端網(wǎng)絡(luò)互通，相應(yīng)的端口已經(jīng)開(kāi)啟。

測(cè)試過(guò)程包括檢查本地卷狀態(tài)，檢查卷是否正常映射到門(mén)戶服務(wù)器，檢查災(zāi)備卷狀態(tài)，檢查災(zāi)備端新建快照拉起驗(yàn)證，新建快照（在災(zāi)備端），映射到災(zāi)備主機(jī)，最終災(zāi)備端查看應(yīng)用門(mén)戶是否正常。在功能實(shí)現(xiàn)的基礎(chǔ)上，查看測(cè)試恢復(fù)時(shí)間和數(shù)據(jù)丟失程度是否滿足系統(tǒng)要求。

4 結(jié)束語(yǔ)

本文對(duì)災(zāi)備系統(tǒng)在電子政務(wù)類(lèi)信息系統(tǒng)中的意義及推進(jìn)建設(shè)的過(guò)程步驟考慮進(jìn)行了闡述，并介紹了指標(biāo)設(shè)計(jì)思考和針對(duì)不同類(lèi)型的測(cè)試過(guò)程，希望本文的分析和研究能夠?yàn)槲覈?guó)各地電子政務(wù)災(zāi)備系統(tǒng)的建設(shè)提供參考和借鑒。

參考文獻(xiàn)

[1] 趙生輝，侯希文.政府信息資源災(zāi)備體系建設(shè)模式綜述[J].電子政務(wù)， 2011（7）：41-47.

[2] 楊義先，姚文斌，陳釗.信息系統(tǒng)災(zāi)備技術(shù)綜論[J].北京郵電大學(xué)學(xué)報(bào)， 033（2）：1-6.

[3] 姚文斌，伍淳華.中國(guó)災(zāi)備標(biāo)準(zhǔn)和產(chǎn)業(yè)發(fā)展現(xiàn)狀[J].中興通訊技術(shù)（5）：6-9+19.

[4] 胡曉燕.城市電子政務(wù)災(zāi)備中心建設(shè)方案研究[J].計(jì)算機(jī)安全， 2008， 000（001）：71-74.

[5] 朱洪斌， 王重， ZHUHong-bin，等. 應(yīng)用級(jí)災(zāi)備關(guān)鍵技術(shù)研究[J]. 電力信息與通信技術(shù)， 2011， 09（12）：40-43.