電子政務信息系統災備建設探討

管東升 李俊安

摘 ? 要：近年來，隨著我國電子政務系統建設的不斷深入完善，其重要性和意義已越來越凸顯，相應的對其安全性與可用性也提出了更高的要求。為了在遇到各類信息系統災難時能夠快速恢復，作為維持電子政務系統正常運行，保障關鍵政務數據長期可用的重要措施，電子政務信息系統的災備系統建設越來越受到關注。文章以項目為例介紹了電子政務信息系統災備建設的步驟、指標設計和測試過程， 希望為類似項目建設提供借鑒，更好地推進我國電子政務災備系統建設。

關鍵詞：信息化建設;災難恢復;電子政務

中圖分類號： TP309.3 ? ? ? ? ?文獻標識碼：A

Abstract： The importance and significance of e-government system construction in China has become more and more prominent， which puts forward higher requirements for its availability. In order to recover quickly in the event of various information system disasters， as an important measure to maintain the normal operation of e-government system and ensure the long-term availability of key government data， the disaster recovery system of e-government information system More and more attention has been paid to construction. Taking the project as an example， this paper introduces the steps， index design and testing process of e-government information system disaster recovery construction， hopes to provide reference for similar project construction and better promote the construction of disaster recovery system of E-government in China.

Key words： information technology; disaster recovery;E-government system

1 引言

容災備份恢復（Backup and Prepare for Disaster Recovery，本文簡稱災備）是指為了能夠在災難發生時，在盡可能短的時間內，以盡可能小的數據丟失量快速恢復信息系統的正常運行而做的數據備份和其他準備工作。

對于信息系統來說，災難不僅包括通常意義上所指的自然災難，還包括各種由于人為或自然的原因，造成信息系統運行故障或癱瘓，使信息系統支持的業務發生停頓或服務水平不可接受等各類突發性事件。信息系統的災備體系是指以數據備份為核心，對不同類型的政府信息資源所實施的數據備份、系統備用、災難備援等一系列技術和管理手段的總稱。

災備系統的建設在銀行保險等信息化和業務敏感度程度高的行業已經成為慣例，而對于政務系統來說還不算普遍。伴隨著我國電子政務信息化建設的不斷深入，政務信息系統已成為行使職能的重要抓手，行使職能越來越依賴于信息化手段，對于系統的可用性要求也就越來越高。對于政府來說，信息資源的災備體系是維持電子政務系統正常運行，保障關鍵政務數據長期可用的重要措施。

2 災備信息系統實現過程

2.1信息系統災備的基礎作用

信息系統三大核心指標是機密性、可用性和完整性。而災備系統受到關注就是因為其顯著提高信息系統的業務可用性。

信息系統災備的建設需要首先完成業務連續性規劃（BCP），確認確保業務正常運轉所需的資源會提供給依賴他們的所有人和系統，這意味著需要認真的執行備份，并且在信息系統架構、網絡和操作建設冗余。雖然以往在提到信息系統災備建設時，可能首先關注的是備份數據和提供冗余硬件上，這些是非常基礎和重要的，但他們只是業務整體運行體系中的一部分，人員配置和操作也同樣應該受到關注。因此，災備項目的推進需要采用自上而下的體系方法，由管理層推動項目，統籌規劃，全員參與。

2.2 業務連續性規劃

災備系統的建設是為了盡可能快速全面恢復信息系統業務的正常運行，那么進行災備建設的基礎就必然是全面梳理業務，進行完整的業務連續性規劃。進行業務連續性規劃時應當考慮的因素有出現緊急狀況時提供及時和適當的應對措施、保護生命和確保安全、減少對業務的影響、盡快恢復關鍵業務功能、需要與外部供應商和合作伙伴等。

美國國家標準與技術研究院（NIST）在其出版的800-34中概述了信息技術系統的業務連續性規劃指南，其描述的業務連續性規劃主要內容和工作為七項：

（1）制定業務連續性規劃策略，提供必要的指導文檔，并給相關部門分配必要的職位來完成任務。

（2）進行業務影響分析，識別關鍵系統和功能，并允許根據功能和系統的必要性，對其進行優先排序，識別漏洞和威脅，并計算風險。

（3）制定預防性控制措施，一旦識別到威脅，需要確定并實施控制和對策，以權衡經濟的方法來降低組織的風險級別。

（4）制定恢復策略，制定方法確保系統和關鍵功能可以快速恢復。

（5）制定應急計劃，制定在應急狀態下可以保持業務正常運行的措施和方案。

（6）測試計劃及進行培訓與演練，確定連續性計劃中的不足，進行培訓以確保個人對他們應負責的任務做好充分準備。

（7）維護確保BCP定期更新。

2.3 災備建設的關鍵指標設計概念

在業務連續性規劃中業務影響分析期間需要科學制定出指標值，從而能夠把關鍵資源投入用于具體的業務功能、資源和數據類型中，保證災備項目建設的科學合理以及經濟。

業務連續性規劃中涉及到相關的關鍵指標和概念有MTD、RTO、RPO、WRT等。

最大允許中斷時間（MTD）指某個業務功能出現故障但是不會對業務產生無法彌補的損失的最大終端時間。

恢復時間目標（Recovery Time Objective，RTO）指為避免在災難發生后業務連續性中斷帶來不可接受的結果而使業務流程必須恢復的最早時間期限和服務水平，RTO通常指使得基礎設施和系統恢復運行的時間。

恢復點目標（Recovery Point Objective， RPO）指最大可容忍的數據丟失量，用時間來衡量，這個值代表著數據必須恢復的最早時間點，數據量越大，意味著要投入的資金或者其他資源越多，才能確保在災難事件中損失的數據越少。

工作恢復時間（Work Recovery Time，WRT）指整個MTD值的剩余。

RPO、RTO、WRT和MTD相互之間的關系如圖2所示。

要達到不同的RTO、RPO目標，就需要不同的恢復技術，同樣也需要不同的建設成本和實現的技術復雜度。同步復制技術的恢復時間可以做到幾小時內，需要付出的成本和實現的復雜度最高，異步復制需要幾小時到幾天，磁帶恢復需要幾天以上，成本和實現復雜度最低。

3 政務災備系統建設參考

3.1 電子政務災備系統的意義及背景

國家規定了必須建立災備基礎的8個重點行業，包括金融、民航、稅務、海關、鐵路、證券、保險、電力行業，同時要求各基礎信息網和重要系統建設要充分考慮抗毀性和災難恢復，制訂和不斷完善信息安全應急處置預案。2005年4月國務院信息化工作辦公室下發的《重要信息系統災難恢復指南》目前仍是我國災難備份綱領性文件。《GB/T20988-2007 信息系統災難恢復規范》是國家級參考標準。

但是，災難備份是一個系統工程，其建設和維護專業性要求非常高。如何擺脫災備系統成本高、建設難的困擾，仍是目前各地政府數據異地集中備份首先需要考慮的問題。

當前各地政府以實際基礎情況在推進本地電子政務災備系統建設，例如北京市和上海市這類信息化基礎較好的地區都已經建設了全市統一的電子政務災備中心，以提高抵御災難和重大事故的能力，減少災難打擊和重大事故造成的損失、確保重要信息系統的數據安全和作業連續性，避免引起社會重要服務功能的嚴重中斷，保障社會經濟的穩定。

3.2 電子政務災備系統指標設計

對于電子政務系統來說，選擇什么樣的災備模式要受到政府信息資源的重要程度甚至涉密程度、政府組織災備專業人才的數量、管理便捷性，以及各種災備模式的容災能力、容災成本的高低等因素的制約。

一般對電子政務中重要業務系統應實現異地數據級災備，核心業務系統應該實現異地應用級災備。同時，對于數據存儲及容災業務應預留擴展能力，方便依據后期情況展開升級建設。

例如，某地災備項目最終針對不同應用場景，設計出災難發生后不同級別的業務系統恢復時間（RTO）和系統在此期間數據丟失程度（RPO）指標有三點。

核心應用系統：恢復耗時RTO<2小時;數據丟失RPO<1小時。

重要業務系統：恢復耗時4小時

一般業務系統：恢復耗時RTO大于1天;數據丟失RPO大于1天。

根據業務的重要程度采取不同的容災備份策略，重要業務系統采用異步復制方式實現數據級災備，核心應用系統采用雙活容災解決方案實現應用級災備。

針對上述中核心業務系統實現業務恢復的容災備份需求，建設方采用在異地災備中心建設資源池，支撐災備中心實現應用系統的應用接管功能;按照現有核心業務系統的規模和業務類型，配置服務器，重點進行業務連續性保護，考慮業務負載，配合實現高性能備份存儲，以保證輸入輸出能力、吞吐能力的合理支撐，且后續可繼續平滑擴展。

建設方案最終使用傳統的IP連接將磁盤數據復制到異地備份系統，實現數據的異步更新。在源地發生災難后，可以將異地站點的數據反向復制到源。為了保證數據能夠恢復并保持有效，需要定期的在原始數據中心，在進行正常生產的情況下進行災難恢復演習。

遠程復制原理為當數據寫入時，同時會存入緩沖池，緩沖池文件通過IP 進行數據傳遞，直至完全傳遞到異地的設備中;異地中的容災卷，可以執行本地所有的功能。

3.3 電子政務災備系統測試過程

為測試災備系統的建設效果，對災備系統測試，測試要求及過程為兩項內容。

（1）災備基礎環境要求

在異地容災機房中，應用主機、機房用電、網絡都完全具備主站點災難恢復的條件，一旦發生災難，可直接在容災機房進行恢復，需要完全熱備站點。

（2）測試內容

1）數據恢復（數據級災備）。數據恢復是利用遠程復制功能，通過異步同步來實現本地機房數據庫數據復制到容災端，在災難發生時，創建當前時間的快照，將快照映射給災備應用服務器，來實現應用數據恢復，查看測試恢復時間和數據丟失程度是否滿足系統要求。

2）應用恢復（應用級災備，以門戶應用為例）。應用恢復測試時應保證本地雙活組對應的數據磁盤已經建立好遠程復制并初始化完成，本地雙活組與災備端網絡互通，相應的端口已經開啟。

測試過程包括檢查本地卷狀態，檢查卷是否正常映射到門戶服務器，檢查災備卷狀態，檢查災備端新建快照拉起驗證，新建快照（在災備端），映射到災備主機，最終災備端查看應用門戶是否正常。在功能實現的基礎上，查看測試恢復時間和數據丟失程度是否滿足系統要求。

4 結束語

本文對災備系統在電子政務類信息系統中的意義及推進建設的過程步驟考慮進行了闡述，并介紹了指標設計思考和針對不同類型的測試過程，希望本文的分析和研究能夠為我國各地電子政務災備系統的建設提供參考和借鑒。

參考文獻

[1] 趙生輝，侯希文.政府信息資源災備體系建設模式綜述[J].電子政務， 2011（7）：41-47.

[2] 楊義先，姚文斌，陳釗.信息系統災備技術綜論[J].北京郵電大學學報， 033（2）：1-6.

[3] 姚文斌，伍淳華.中國災備標準和產業發展現狀[J].中興通訊技術（5）：6-9+19.

[4] 胡曉燕.城市電子政務災備中心建設方案研究[J].計算機安全， 2008， 000（001）：71-74.

[5] 朱洪斌， 王重， ZHUHong-bin，等. 應用級災備關鍵技術研究[J]. 電力信息與通信技術， 2011， 09（12）：40-43.