城建檔案城際對等互備體系探析

摘 要：針對我國城建檔案災備體系的規范化建設問題，根據城建檔案災備需求的以數據零丟失為目標、異地容災、數字化形式、分布式容災、異地對等管理等特征，結合我國城建檔案管理工作實際，從理論層面分析城際對等互備體系的整體架構，探討這一體系的主要特征以及確保體系正常運轉的管理措施。本文的研究結論對促進城建檔案異地災備體系建設的規范化具有一定的指導意義。

關鍵詞：城建檔案；災備；城際對等互備

Abstract：Focus on standardization of disaster recovery system of urban archives of China， according on requirement features of urban archives recovery system， such as zero data losing， remote recovery， digital form， distribute recovery， upside management etc， take the practice of urban archive management into consideration， the architecture of intercity upside mutual disaster recovery system is analyzed theoretically， and the characters as well as management measures to ensure its running are discussed. The conclusion is crucial to construction of remote disaster recovery system of urban archives.

Key words： Urban archive；disaster recovery system；intercity upside mutual disaster recovery system

城建檔案是在城市規劃、建設及管理活動中直接形成的有價值的各種形式的歷史記錄[1]，是編制城市規劃，組織新建、再建和維修工程的主要依據，在抵御自然災害和戰爭破壞中發揮著不可替代的作用。如果城建檔案在災難中遭到毀損，不僅會造成應急救援和恢復重建的困難，城市公共基礎設施和建筑系統的復雜性將會使此后的建設項目面臨重復勘測和不可預知的各類風險，所造成的城市建設記憶斷層也將永遠無法彌補。2008年6月，國家住房和城鄉建設部印發了《關于積極防御地震等自然災害充分發揮城建檔案作用的通知》（建辦檔[2008]39號）[2]，要求各地城建檔案館要適時、有序推進館藏檔案數字化，并加強與其他省市建設（規劃）行政主管部門之間的聯系與協作，通過東西結合、南北合作以及省市之間的協作，積極開展本地重要城建檔案的電子化、數字化載體在異地備份的相關工作。目前，各地正在對這種城際異地互備模式進行積極的實踐探索[3]，從理論層面上分析這種模式的基本原理和主要特征，對于掌握這種模型的基本規律，促進城建檔案災備體系建設的規范化具有非常重要的意義。

1 城建檔案災備的需求分析

“災備”一詞有多種理解方式，從“災難備援（Disaster Preparedness）”的角度理解，就是指利用科學的技術手段和方法，提前建立系統化的數據應急方式，以應對災難的發生，其內容包括數據備份和系統備份，業務連續規劃、人員架構、通信保障、危機公關，災難恢復規劃、災難恢復預案、業務恢復預案、緊急事件響應、合作機構危機管理等[4]。

城建檔案災備具有特殊性：第一，城建檔案作為數據資源的一種，具有數據備份的特征；第二，城建檔案在災難發生時又要承擔災難救援的信息提供和決策支持的任務，因此又有應急利用的要求，所體現的是“災難備援”的特征。因此，城建檔案災備是以維護城建檔案的可用性為目標，以城建檔案數據備份為核心，利用科學的技術手段和方法提前建立的災難應對和應急利用措施的總稱。城建檔案災備需求可以從目標、范圍、方式、管理等方面分析如下：

1.1 災備目標的選擇。災備系統的目標一般用指標RTO（Recovery Time Objective）和RPO（Recovery Point Objective）進行衡量。檔案完整性的破壞往往意味著憑證價值的消失，因而檔案系統對數據丟失量的要求極為苛刻。檔案災備系統的重點在于保證檔案信息的可用性，要求在災難發生時備份數據或系統可以投入使用，但是對災難發生后的恢復和重建時間要求不是特別嚴格。因此，城建檔案災備的目標以RPO為主，即最大限度保證檔案的完整性，盡可能減少因災難造成的檔案信息丟失。

1.2 災備范圍的選擇。按照災備系統的范圍劃分，數據災備方式可以分為部門災備、同城災備和異地（城際）災備[5]。城建檔案是一類特殊的專門檔案，其內容大多局限于某一特定區域，利用的方式大多是通過檢索和閱讀進行，對于業務連續性要求相對較低，來自系統內部的風險較小。同時，城建檔案保存應該能夠應對各類災害，保證地震、火災、洪水、戰爭等災難對當地各類設施造成嚴重毀損的時候，仍然可以有安全的城建檔案信息備份供應急處理和搶險救災使用。因此，城建檔案災備的最佳方式就是城際異地災備，保證業務系統與災備系統處在兩個不同的地震帶、不同的流域[6]。

1.3 災備介質的選擇。數據災備的介質形式主要有紙質副本、縮微膠片、電子文件三種。城建檔案涉及大量的圖紙和工程數據，采用紙質副本方式體積較大，異地傳輸的成本也相對較高。采用縮微膠片作為災備介質具有容量大、體積小的優點，但不能保證異地連續傳輸，也不能進行快速檢索，因此不能滿足城建檔案應急利用需求。隨著數字城市建設的推進，城市規劃、建設和管理對GIS的依賴程度將與日俱增，以電子文件形式存在的城建檔案將越來越多。而數字化方式可以兼顧體積、傳輸和檢索的多重需求。因此，城建檔案災備的介質可以有多種選擇，但是應該以電子化方式為主，對于館藏的紙質檔案也應盡量對其進行數字化備份以保證傳輸和應急利用的要求。

1.4 災備方式的選擇。數據災備的方式可以分為集中式災備（政府或商業機構建立的容災中心）與分布式災備（由各類組織獨立建設的災備系統）兩種[7]。 城建檔案的非授權擴散可能對公共安全造成威脅，因而信息保密性要求較高。同時，系統相比文書檔案，城建檔案涉及的空間信息較多，以圖紙形式存在的檔案數量較多，其管理和維護需要一定的專業知識。鑒于城建檔案的保密性和專業性要求，由城建檔案管理部門獨立建設災備系統是現階段的理性選擇。

1.5 異地管理模式的選擇。災備系統異地管理的主要模式為機構獨立投資建設和管理，這種方式可以保證檔案維護的專業性和檔案信息的保密性，但存在諸多不足：第一，建設單位必須遠離本單位所在的城市單獨征地、建設基礎設施、配備管理和技術人員等，其總體成本較高；第二，單位必須同時對本地與異地兩個機構進行有效控制，其管理的復雜性和難度較大。因此，采用城際對等互備方式，由兩個處在不同地域的規模相當、業務一致的部門相互為對方建設和管理災備系統就可以解決上述問題，同時由于雙方的業務系統具有相似性，可以保證災備系統維護的專業性。

綜上所述，城建檔案災備的通用需求體現出以數據零丟失為目標、異地容災、數字化形式、分布式容災、異地對等管理等特征，在災備體系建設當中必須充分考慮到這些需求，并結合各地的實際情況設計出對應的災備管理體系。

2 城建檔案城際對等互備的體系架構

基于對城建檔案災備需求的分析，本文構建出一種可以有效滿足上述需求的災備體系架構模式——“城際對等互備模式”。所謂“城際對等互備”，是指由地理上處在不同風險地區的兩個規模相當城市的城建檔案管理部門，相互為對方管理檔案信息資源的備份件，并按照不同的災備級別，在對方出現危機時進行應急響應，滿足緊急情況下的城建檔案利用需求。“城際對等互備”方式是滿足城建檔案災備管理需求的解決方案，是一種互惠互利的雙贏模式，是現階段我國當前城建檔案災備的理性選擇。現對這種模式的原理和特征進行剖析如下：

2.1 城際對等互備的原理。城建檔案災備與業務信息系統災備具有一定的聯系，但是又具有自己的特殊性。業務信息系統災備原理如圖1所示，容災體系最主要的部分是“生產中心（Production Center）”和“容災中心（Disaster Tolerance Center）”。生產中心是指正常情況下機構核心業務運行所在地（包括支持業務應用的機房、設備、軟件和人員在內）。容災中心是指為了減少災難給機構造成的損失而在異地建設的一套生產中心的同級克隆或者降級克隆（包括支持業務應用的機房、設備、軟件和人員在內），在生產中心不能處理的災難發生之后，容災中心接管生產中心的業務，在生產中心恢復正常以后業務再回切到生產中心[8]。

“城建檔案城際對等互備”，是指兩個規模等級相當、地理上位于不同風險帶的城市的城建檔案管理部門，分別為對方建立、管理和維護檔案災備系統，相互承擔確保對方檔案信息可用性責任的災備模式，如圖2所示，A市城建檔案館和B市城建檔案館在各自管理工作中，建立各自保存的重要電子檔案的復制件，通過在線加密傳輸或車載運輸方式在對方建立遠程備份。A市城建檔案館和B市城建檔案館同時承擔本地“生產中心”和對方的異地“容災中心”的雙重功能。在正常運行期間，兩地要各自承擔起對方電子檔案備份件的保存職責，確保其可讀性，對于涉及業務連續性保障所需的電子檔案備份件，還要保障其處于待命狀態，以保證隨時可以在線讀取。在特殊情況下，其中一方由于技術等因素導致數據丟失時，可以通過保存在另外一方的遠程備份件進行逆向傳輸進行數據恢復。為了保證上述過程的順利運轉，需要建立專門針對各自災備體系建設和應急響應服務的應急管理中心，負責兩地的業務聯絡和工作協調。

2.2 城際對等互備模式的特征。第一，異地風險的差異性。城建檔案來自系統外部的風險相對較大，應當重點關注的風險主要是火災、洪水、颶風、地震、泥石流等自然災害和來自系統外部的人為破壞，災備系統的設計必須側重于異地災備，保證生產中心和容災中心不在同一地震帶，不在同一流域，不在同一功能的地域（如，政治中心、金融中心和商業中心等）。

第二，服務級別的對等性。我國災備領域的綱領性文件《重要信息系統災難恢復指南》將災備的等級分為基本支持、備用場地支持、電子傳輸和部分設備支持、電子傳輸和完整設備支持、實時數據傳輸和完整設備支持、數據零丟失和遠程集群支持共計6個服務級別，級別越高意味著機構對災備的投入就應該越大。城際對等災備過程中，兩地可以根據實際需要選擇災備的等級，但雙方的級別必須一致。

第三，責任分割的對等性。城際對等互備意味著雙方必須承擔為對方保證檔案信息可用性和保密性的責任，而責任的具體內容、未盡責行為的處理方法、發生糾紛的調解方法必須由雙方平等協商后簽訂書面的協議，并相互監督對方履行職責的情況。

第四，成本承擔的對等性。在城際對等互備系統中，原則上為對方建立、管理和維護災備系統所產生的成本應當對等，實踐出現了不對等的情況，應該采取一定的措施予以補償，以確保對等原則的落實。

第五，技術路線的對等性。城際對等互備中，兩地的城建檔案管理部門要分別為對方管理災備系統， 也要監督對方管理自己災備系統的行為，只有兩套系統采用的技術路線一致，才能保證雙方對系統具有足夠的了解，保證監督行為的效果。

3 城建檔案城際對等互備的管理保障

城建檔案城際對等互備是一個復雜的問題，必須從法律和管理角度進行配合才能保障正常運行[9]。

3.1 法律保障。城建檔案城際對等互備的實施需要考慮各類法律問題，例如災備系統中的城建檔案的數字化備份的法律地位的認定，如果檔案原件遭到損毀，其數字化備份是否能夠繼承原件的憑證效力以檔案數字化的法律效力如何進行認定。此外，城際災備跨越了行政區，應該事先確定糾紛的解決方式，甚至包括起訴所對應的受理法院等。

3.2 組織保障。城建檔案城際對等互備涉及兩座城市，兩套工作班子的協調配合問題，應該有一個統一的組織機構負責工作的組織和協調，比如可以成立“城際對等互備工作領導小組”之類的組織，并保證信息的及時溝通和機構的有效運轉。

3.3制訂預案并定期進行演習。制訂應急響應預案并進行演習是檢驗城建檔案城際對等互備系統準備狀況的有效手段，可以模擬出一方發生災難的情況下，另外一方災備系統中的數據及時提供應急利用的程度，從而在演習中發現問題并進行糾正，確保災難真正發生的時候災備系統作用的發揮。

參考文獻：

[1]秦玉功.城建檔案管理[M].武漢：武漢出版社.2003： 1-3.

[2] 中華人民共和國住房和城鄉建設部辦公廳. 關于積極防御地震等自然災害充分發揮城建檔案作用的通知[J/OL].[2012-08-23].http：//www.mohurd.

gov.cn/zcfg/jsbwj_0/jsbwjzh/200806/t20080627_173680.html.

[3] 新華網. 中國重要城建檔案將有異地備份[J/OL]. [2012-08-23].http：//news.qq.com/a/20080705

/000678.htm.

[4] 趙生輝.檔案災備需求的特殊性探析[J].檔案管理，2010（2）：3-7.

[5]張德元.從汶川地震看檔案的異地備份保管[J]，北京檔案.2008（6）：12-13.

[6]劉春波，韓曉穎.從德國科隆城市檔案館坍塌談檔案數據異地備份[J].黑龍江檔案.2009（3）：21-24.

[7]王玉鈺.論建立城建檔案災備基地的重要意義[J].云南檔案.2009（7）：5-8.

[8]李滿等.信息系統容災抗毀原理與應用[M].中國郵電出版社.2007：2-17.

[9]國務院信息化辦公室.重要信息系統災難恢復指南[J/OL]. [2012-08-23]. http：//info.secu.hc360.com

/2005/06/03124574104.shtml

（作者單位：西藏民族學院管理學院公共管理系，來稿日期：2012-08-23）</