淺談高校檔案信息系統(tǒng)災難恢復建設

□吳登國 張永生

《檔案事業(yè)發(fā)展“十一五”規(guī)劃》提出“采取一切必要措施，提高檔案館、檔案室抵御自然災害和危及檔案安全的突發(fā)事件的能力”，“建立完備的檔案信息數(shù)據(jù)備份和災難恢復機制，確保檔案信息數(shù)據(jù)安全”。隨著高校檔案信息化程度的不斷提高，相隨而生的檔案信息安全問題亦應得到重視，尤其是作為高校檔案信息安全最后一道“防火墻”的災難恢復。

一、災難恢復理論簡述

（一）災難恢復定義

2007年11月1日正式實施的國家標準《信息系統(tǒng)災難恢復規(guī)范GB/T20988-2007》將災難恢復定義為：為了將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)、并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受的狀態(tài)，而設計的活動和流程。信息系統(tǒng)的災難恢復具體是指利用先進的軟、硬件設備和網(wǎng)絡環(huán)境，以災難恢復等級為核心，綜合運用各種技術(shù)手段和管理措施，實現(xiàn)信息系統(tǒng)的災難恢復要求。

需要指出的是，很多高校檔案管理人員將災難恢復簡單地與備份混為一談，認為只要平時做好數(shù)據(jù)備份，或是做了雙機互備、熱備就是完成了災難恢復建設。其實這是種錯誤的認識。數(shù)據(jù)備份是災難恢復的基礎，而災難恢復建設不僅要進行數(shù)據(jù)備份，還要對數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎設施、技術(shù)支持能力和運行管理能力進行備份，亦即災難備份。災難備份再加上災難恢復預案的管理，才是真正意義上的災難恢復。

（二）災難恢復等級

災難恢復等級一般是用災難恢復指標來衡量的，最常用的指標有恢復點目標RPO（災難發(fā)生時信息系統(tǒng)能夠容忍的最大數(shù)據(jù)丟失量）和恢復時間目標RTO（信息系統(tǒng)所能容忍的應用停止服務的最長時間）。

國際上比較通用的信息系統(tǒng)災難恢復等級是1992年由IBM公司和SHARE用戶組共同提出的SHARE78標準。它將災難恢復的等級從低到高分為七級：

0級 沒有異地數(shù)據(jù)（Nooff-site Data）：即沒有任何異地備份或應急計劃。數(shù)據(jù)僅在本地進行恢復，沒有送往異地。實際上，這一級并不真正具備災難恢復的能力。

1級 PTAM卡車運送訪問方式(Pickup Truck Access Method)：設計一個應急方案，備份關(guān)鍵數(shù)據(jù)并將其存儲在異地。

2級 PTAM卡車運送訪問方式+熱備份中心 (PTAM+HotCenter)：在1級的基礎上加上熱備份中心。熱備份中心擁有足夠的硬件和網(wǎng)絡設備去支持關(guān)鍵應用的及時恢復。

3級 電子鏈接(Electronic Vaulting)：在2級的基礎上用電子鏈接取代了卡車進行數(shù)據(jù)的傳送。

4級 活動狀態(tài)的備份中心(Active Secondary Center)：指主中心和備份中心同時處于活動狀態(tài)并同時互相備份業(yè)務數(shù)據(jù)。在災難發(fā)生時，關(guān)鍵應用的恢復可降低到小時級或分鐘級。

5級 兩中心兩階段提交（Two-Site Two-Phase Commit）:采用兩階段提交來同步兩個中心的數(shù)據(jù),在災難發(fā)生時，僅是傳送中的數(shù)據(jù)被丟失，恢復時間被降低到分鐘級。

6級 零數(shù)據(jù)丟失 (Zero Data Loss)：災難恢復的最高級別，可實現(xiàn)零數(shù)據(jù)丟失和自動系統(tǒng)故障切換。

（三）災難恢復的層次

從主中心與災備中心距離來看，災難恢復有本地災難恢復、同城災難恢復和異地災難恢復。從應用層次分類，災難恢復可以分為數(shù)據(jù)級、系統(tǒng)級和應用級災難恢復。數(shù)據(jù)級災難恢復指建立一個本地或異地的數(shù)據(jù)系統(tǒng)，作為主系統(tǒng)關(guān)鍵業(yè)務數(shù)據(jù)的一個備份；系統(tǒng)級災難恢復在備份業(yè)務數(shù)據(jù)之外，還要對信息系統(tǒng)運行環(huán)境、數(shù)據(jù)庫系統(tǒng)和通信網(wǎng)絡等進行備份，以便迅速恢復整個信息系統(tǒng)；應用級災難恢復在系統(tǒng)級災難恢復之上，提供保證信息系統(tǒng)所支持的業(yè)務持續(xù)運行所需要的各種資源，包括主機、存儲、網(wǎng)絡、相關(guān)基礎建設和相應的技術(shù)支持能力。

（四）災難恢復的管理

為了確保災難恢復的成功，必須對災難恢復建設的全過程進行管理，明確組織在災難前、災難中和災難后應當采取的行動和步驟。災難恢復建設是一個系統(tǒng)工程，具體可分為如下幾個階段：

項目啟動階段：這個階段是災難恢復計劃組織化、概念化的階段，爭取領導和相關(guān)各部門的支持。

確定災難恢復需求階段：基于對信息系統(tǒng)風險分析的結(jié)果，確定關(guān)鍵業(yè)務功能及災難對關(guān)鍵功能的影響，從而得出各功能的災難恢復優(yōu)先級、恢復目標、恢復等級。

制定災難恢復策略階段：根據(jù)災難恢復需求，對機構(gòu)自身情況和成本效益做分析，確定災難恢復資源的需求和獲取方式。

災難恢復方案實施階段：選定合適的產(chǎn)品、技術(shù)，建設災備中心，實現(xiàn)災難恢復策略。

災難恢復預案制定階段：在此階段組織要制定災難恢復預案，預案包含從災難中恢復的步驟、相關(guān)人員職責以及操作流程和規(guī)范。

災備系統(tǒng)持續(xù)運行階段：災難恢復建設中最長的一個階段。包括災難恢復預案的管理、教育、培訓、演練和災備中心的日常運行維護管理。

災難恢復建設不可能一蹴而就，將是一個長期持續(xù)的過程，組織應根據(jù)內(nèi)外部環(huán)境的變化，定期或按需重新分析災難恢復需求，并根據(jù)變化了的需求調(diào)整災難恢復策略、災備方案和審核、變更災難恢復計劃。

二、高校檔案信息系統(tǒng)災難恢復建設的必要性及現(xiàn)狀

隨著檔案信息化建設的不斷推進，各高校檔案館（室）的數(shù)字化資源不斷增加，電子文件和數(shù)字化檔案的高速增長不僅給高校檔案事業(yè)注入了新的活力，更給高校檔案管理模式帶來了新的挑戰(zhàn)。如何保證這些數(shù)字資源的安全正越來越多地受到高校的重視。

目前各高校檔案信息化的一個努力方向就是將檔案信息系統(tǒng)建設成為高校各類權(quán)威信息的集中地，以確保能夠提供更全面的信息服務。數(shù)據(jù)集中減少了檔案信息系統(tǒng)的管理成本，促進了檔案信息的共享，提供了進一步挖掘檔案信息資源價值的機會。但與此同時，數(shù)據(jù)大集中也給檔案信息安全帶來了更大的風險，一旦檔案信息系統(tǒng)所在地遭受災難，其損失將影響到高校各方面的事業(yè)，產(chǎn)生災難性后果。這就要求高校在進行檔案信息化建設過程中必須同步加強災難恢復建設。

據(jù)筆者了解，東南大學檔案館開發(fā)了網(wǎng)絡存儲、雙機互備及異地容災一體化系統(tǒng)，實現(xiàn)了同城兩個校區(qū)之間的災備。目前國內(nèi)其他高校檔案館（室）進行災難恢復建設的寥寥無幾，究其原因，無外乎三個方面的因素：一是眾多高校領導及高校檔案管理人員對檔案信息系統(tǒng)災難恢復建設的重要性認識不足；二是由于多數(shù)高校辦學經(jīng)費、檔案經(jīng)費緊張，無力承擔昂貴的災難恢復建設費用；三是由于高校檔案館（室）高級技術(shù)人才儲備不足，即使經(jīng)濟上允許也無力獨自進行災難恢復建設。

三、高校檔案信息系統(tǒng)災難恢復建設途徑

（一）加強宣傳，提高災難意識

長期的安穩(wěn)生活讓人們對災難缺乏直觀感受，普遍缺乏災難意識。而各種災難卻是時時、處處可能發(fā)生的，比如地震、洪水、暴風雨、火災，甚至戰(zhàn)爭等等。高校檔案館室在進行災難恢復建設前，應大力宣傳和培訓，特別是要對高校領導層宣傳災難恢復建設的重要性。只有領導層重視起來，親自過問、參與，檔案館室才有可能開展進一步的建設工作。

（二）分析災難恢復需求，確定災難恢復等級

信息系統(tǒng)災難恢復建設是高投入、低回報的項目，同時是針對高風險、低概率事件準備的。高校檔案館室必須做到災難恢復目標等級和建設成本之間的平衡。高校檔案館室應對檔案信息系統(tǒng)可能遭遇的風險以及風險可能產(chǎn)生的業(yè)務影響有清晰的了解，同時需要分析檔案信息系統(tǒng)關(guān)鍵性的功能以及這些功能一旦喪失可能帶來的損失和影響。根據(jù)上述分析結(jié)果來確定可以容忍信息系統(tǒng)丟失多少數(shù)據(jù)以及中斷多長時間，最后據(jù)此確定災難恢復等級。

高校檔案信息系統(tǒng)應首要關(guān)注各類檔案數(shù)據(jù)的存儲安全，然后再保證查詢、著錄等其他功能正常使用。這就決定了高校檔案信息系統(tǒng)災難恢復實時性要求不是很高，前述災難恢復等級的第2級或第3級即可滿足要求，一般設計為數(shù)據(jù)級災難恢復或系統(tǒng)級災難恢復即可。

（三）選擇適當?shù)慕ㄔO模式進行災備中心建設

災備中心建設模式目前主要有三種：自建、共建或外包。自建是指高校檔案館自行建設并維護災備中心，此模式雖有利于檔案信息保密與安全，減少檔案數(shù)據(jù)丟失風險，但其建設費用昂貴、運維成本高，而且高校檔案館也無相應的人力儲備，所以自建模式不適合高校檔案館。共建模式是指兩方或多方組織按照一定的投資比例投入資金、人力、物力進行災備中心的建設和運行維護管理。外包模式指通過專業(yè)的、具備災難恢復服務資質(zhì)的IT公司來建設備份中心。

高校檔案館應根據(jù)自身情況，靈活選擇災備中心建設模式。高校檔案館可以選擇和其他高校檔案館合作共建或互為備份基地；可以與圖書館合作共建；可以共享各級公共檔案館的建設成果。考慮到目前各高校都有幾個校區(qū)，和高校信息中心共建災備中心，分別將主系統(tǒng)和備用系統(tǒng)安置在不同校區(qū)，對于較低級別的災難恢復建設也是不錯的選擇。高校檔案館還可以選擇自建與外包模式相結(jié)合，將主要技術(shù)服務外包給IT服務商，核心業(yè)務由高校檔案館自行建設。

（四）制定災難恢復預案，加強災難恢復管理

高校檔案館應制定災難恢復計劃，規(guī)范災難發(fā)生后檔案館響應災難方式。只有預先規(guī)定詳細的響應步驟和每個相關(guān)人員應承擔的責任，這樣在災難發(fā)生后，才不會出現(xiàn)混亂，才可以按照計劃進入災難恢復流程，發(fā)揮災備中心作用。

完成災備中心建設，并不意味著從此就可以高枕無憂。災備中心應時刻處于可響應狀態(tài)，當災難發(fā)生時，可隨時進入災難恢復流程，這就要求強化災備中心地日常管理，制定相應的管理制度并有效實施。

四、結(jié)語

為保證檔案信息安全，高校檔案信息系統(tǒng)必須進行災難恢復建設。高校檔案館應合理規(guī)劃，綜合平衡建設成本和風險，以較小的投入保證檔案信息系統(tǒng)抵御災難的能力，減少檔案數(shù)據(jù)損失，確保高校檔案的安全、完整和及時恢復利用，更好地為高校事業(yè)的科學發(fā)展服務。

①劉洋：《談高校管理信息化建設過程中的IT災備問題》，《科教文匯(中旬刊)》2009年第3 期：23-24。

②劉家真：《我國文獻信息管理系統(tǒng)災難備份的思考》，《情報學報》2007年第1期：141-147。

③魏伶俐：《構(gòu)建國家檔案信息災難備份中心的設想》，《北京檔案》2009年第7期：23-24。

④柳萍、蘇衛(wèi)平、張魁：《高校檔案館網(wǎng)絡存儲、雙機互備及異地容災一體化系統(tǒng)研究與設計》，《檔案與建設》2008年第5期：21-23。