浅谈档案灾备需求的特殊性.docx

浅谈档案灾备需求的特殊性摘要：档案灾备是近年来档案保护技术在信息化环境下拓展的新领域。本文从档案灾备与业务信息系统灾备对比的角度，分析了档案灾备需求的原理、层级、目标、法律、空间、周期和介质七个方面的特殊性。本文的研究结论对于档案灾备系统的开发具有一定的指导价值。 关键词：档案馆；图书馆；服务壁垒；分析 1档案灾备需求的概念 人类社会活动整体上可以总结为“造福”与“避祸”两个方面。根据乌尔里希贝克(Ultrich Beck)的“风险社会理论”，人类社会已经进入“风险社会”时期，所面临的风险种类不断增加，风险程度不断加大。按照世界发展进程的一般规律，一个国家和地区发展到人均GDP为5003000美元时，往往对应着人口、资源、环境与效率等社会矛盾最为严重的“瓶颈”时期。当前中国正处在这一阶段，对应问题之一就是各类灾难已经表现出增多和更为严重的趋势，近年的台风、雪灾、地震、泥石流等自然灾害和一些人为事件已经对经济社会持续发展造成了巨大影响。 1.1灾难 目前，学术界对灾难(Disaster)的定义主要有两种角度。第一种是从灾难的一般性特征进行，如灾难恢复杂志(DRJ)将灾难定义为：“造成机构的某一部分无法在预定的一段时间内提供关键业务功能的事件。”第二种是从信息系统的角度进行，我国2005年出台的重要信息系统灾难恢复指南中从信息系统的角度，将灾难定义为：由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件，通常导致信息系统需要切换到备用场地运行。美国学者John William Toigo在其灾难恢复规划一书中也采用了类似的角度进行定义。笔者认为第二种定义是第一种定义在信息系统条件下的特例，因此本文采用第一种定义方式。灾难既包括自然灾害，也包括导致机构核心业务中断或受损的各类人为事件。 思想汇报 1.2灾备 近年来，“灾备”一词在文献中出现的频率很高，但学者们对其内涵的理解并不一致。灾备的“备”有多种理解方式。第一种，认为“备”就是“备份”，其重点是数据备份(Data Backup)，认为灾难备份是指“利用技术手段以及相关资源确保既定的关键数据、关键信息处理系统和关键业务在灾难发生后可以恢复的过程”。第二种，认为“备”就是“备用”，其重点是系统备用(System Spare)，就是在生产系统之外，建立一个冗余系统，当生产系统发生灾难的时候，备用系统立即投入使用。第三种，认为“备”就是“备援”，灾难备援(Disaster Preparedness)是指“利用科学的技术手段和方法，提前建立系统化的数据应急方式，以应对灾难的发生，其内容包括数据备份和系统备份，业务连续规划、人员架构、通信保障、危机公关，灾难恢复规划、灾难恢复预案、业务恢复预案、紧急事件响应、第三方合作机构和供应链危机管理，等等”。 笔者认为，“灾备”的三种理解方式之间是一种层次包含关系，核心层以数据为中心，中间层以系统为中心，扩展层以管理为中心，但是外层的实现必须以内层的实现为前提，如图1所示。本文认为一般意义上的灾备是指第三种，也就是从融合了技术和管理的交叉视角理解的灾备概念。 1.3档案灾备需求 档案是人类在社会活动中形成的原始记录，是人类历史记忆的载体，是人类文化的宝贵财富。档案一旦在灾难中被损毁，将给人类社会造成永远无法弥补的损失和缺憾。本文所指的档案既包括纸质载体的档案，也包括以数字形式存在的电子文件。 辩证唯物主义认为，事物的存在是矛盾的普遍性与特殊性的有机统一。档案作为信息资源的一种，其灾备需求必然会与一般信息的灾备具有一定的共性，比如灾备系统两个中心的划分，灾备系统规划的步骤和方法、应急响应预案的编制方法等。但是，档案又是一类特殊的信息资源，必然有一些特征是档案本身所特有的，而这些特殊性正是档案灾备系统设计开发过程中必须予以考虑的问题。投照系统工程的观点，建没一个系统必须经过系统规划、需求分析、系统设计、系统设施等过程，而需求(Requirement)正是解决“做什么”的问题。因此，本文将档案灾备需求定义为：“对档案灾备系统应该实现的各类功能的系统化描述。” 2档案灾备需求的特殊性 “档案灾备”并不是一个新名词，我国档案工作者以数据备份方式应对灾难的实践一直就没有停止过。但是，2008年“汶川地震”造成档案损毁的教训使档案界开始重新思考这一问题，一些研究人员开始尝试将国内外灾难恢复的相关理论引入档案灾备领域，并取得了一些成果。张永生的硕士论文档案信息系统灾难恢复研究、黄南风的硕士论文档案数据备份研究、刘清杰的论文档案灾备的特点、过程、模式和应注意的问题等可以看作是对这一问题的尝试，对于提高档案灾备的理论水平作出了重要贡献。但是，纵观这些研究，理论基础却大多沿用了信息系统灾备的相关理论，特别是受到国务院信息化办公室出台的重要信息系统灾难恢复指南的影响很大。由于重要信息系统灾难恢复指南所针对的对象主要是银行、铁路、电力、民航、证券、保险、海关等部门的业务信息系统，而业务信息的特征与档案信息资源具有较大的差异性，直接照搬必然带来不能适应档案灾备实际需求的问题。因此，对档案灾备需求的特殊性进行系统分析，对于识别档案灾备与业务信息系统灾备的差异性，设计出符合档案工作实际需求的灾备系统具有重要的指导意义。 2.1档案灾备原理的特殊性 业务信息系统灾备体系架构如图2所示，其中最主要的两个部分是“生产中心(PC，Production Center)”和“容灾中心(DTC，Disaster Tolerance Center)”。生产中心是指正常情况下机构核心业务运行所在地(包括支持业务应用的机房、设备、软件和人员在内)。容灾中心是指为了减少灾难给机构造成的损失而在异地建设的一套生产中心的同级克隆或者降级克隆(包括支持业务应用的机房、设备、软件和人员在内)，在生产中心不能处理的灾难发生之后，容灾中心接管生产中心的业务，在生产中心恢复正常以后业务再回切到生产中心。 业务信息灾备体系中，生产中心以业务处理为中心，主要表现在流程的复杂性，人员参与的复杂性，数据量较小但是变动频率相对较快等。档案机构是一种服务机构，不具备生产的功能，其核心职能是保存档案信息资源并提供给大众利用。因此，我们将档案灾备中的核心机构称为“服务中心”。档案灾备系统的“服务中心”指的就是档案馆和档案室等档案保管利用机构，其业务特征有：第一，流程相对简单，线性流程为主，交叉和循环等流程较少；第二，参与人员有限，主要涉及档案管理人员和档案利用者，但是总量不会太多；第三，数据量较大，有的机构所存储的档案信息量可至“海量”，而且档案只允许查阅而不允许改动。正是由于上述特征，档案灾备过程中，来自服务中心业务过程的风险较小，而来自系统外部的风险相对较大，应当重点关注的风险主要是火灾、洪水、飓风、地震、泥石流等自然灾害和来自系统外部的人为破坏，因此档案灾备系统的设计必须侧重于异地灾备，保征服务中心和容灾中心不在同一地震带、不在同一流域、不在同一功能的地域(如政治中心、金融中心和商业中心等)。 2.2档案灾备层级的特殊性 从灾备层级的角度分，灾备系统可以分为数据级容灾、系统级容灾和应用级容灾三类。数据是信息系统的核心，数据级容灾以数据保护为目标，保汪灾难发生后，系统业务相关数据的安全。系统级容灾以数据保护为基础，同时需要对信息系统的数据库、中间件、操作系统、通信网络等运行环境进行备份，需要保证业务数据、系统数据和网络通信系统的完整性、可靠性和安全性。应用级容灾通过对系统业务数据、应用环境、网络组织及相关子系统接口等整个信息系统进行容灾，从而实现整个业务流程的保护。数据级容灾、系统级容灾和应用级容灾分别对应灾备的数据备份、系统备用和灾难备援三个层次，如图1。 业务信息系统运行着其组织机构的核心业务，业务的中断可能会给机构带来直接的经济损失，同时会对机构的公众形象造成负面影响，可能使机构失去持续发展的潜力。因此，业务信息灾备的重点在于维持业务系统运行的连续性，一般而言，业务的重要程度越高，就越是倾向于采用系统级或应用级容灾。档案作为一种信息资源，呈现出的数据特征要大于业务特征，档案灾备的重点在于维护档案数据的长期可用，使档案数据在灾难发生的时候仍然可以通过特定方式进行读取。在电子化环境中，如果档案信息集成到业务信息系统当中，也会涉及系统级和应用级容灾的情况。因此，档案灾备层级会呈现出以数据级容灾为主，在特殊情况下也可能涉及系统级和应用级容灾的特征。 思想汇报 2.3档案灾备目标的特殊性 灾备系统的目标一般用三个指标来衡量：RTO(Recovery Time Objective)、RPO(Recovery Point Objective)和DOI(Degrade Operation Interval)，如图4所示。RTO即恢复时间目标，是系统从业务功能的停顿到恢复所能容忍的时间。RPO即恢复点目标，是系统必须恢复到的时间点要求，衡量系统灾难发生时业务能够容忍的数据丢失量。DOI即降级运行目标，是指恢复完成后到防止第二次灾难的所有保护恢复以前的时间。一般而言，RTO、RPO和DOI设定的级别越高，机构对灾备系统投入的成本就应越多。业务信息灾备的重点在于保证业务的连续性，因此其目标设定的优先顺序为：RTO为第一目标，RPO为第二目标，DOI为第三目标。档案灾备系统的重点在于保证档案信息的可用性，大多数档案系统对数据丢失量的要求是0，降级运行的时间尽量缩短以降低二次灾难的风险，而对恢复所用时间要求不是很严格。因此其目标优先顺序为：RPO为其第一目标，DOI为第二目标，RTO为第三目标。 2.4档案灾备法律的特殊性 业务信息系统的价值在于支持结构完成业务处理，业务信息系统中流动数字信息的第一价值是管理价值，也就是通过电子化方式促进快速共享和传播，减少纸质信息传播的过程成本。同时，数字信息的快速检索功能也是纸质载体的信息所无法比拟的。因此，业务信息系统中的数字信息首先是作为管理的工具而存在，并不是天然就具备凭证效力。如果没有特殊的规定，业务信息灾备系统中在容灾中心同步复制数据时可以直接复制，由容灾中心切换到生产中心运行时，只要能保证生产系统业务的连续性，数字信息的凭证功能可以不考虑。 档案作为人类社会活动的原始记录，具有其他信息所不具备的凭证价值。因此，档案灾备系统的设计必须考虑到档案的凭证效力，比如在服务中心向容灾中心复制档案数据的时候，就应该考虑档案复制件或副本的法律地位问题。在由容灾中心向服务中心回切的时候，也要考虑到向服务中心逆向复制的这些数据的真实性、完整性是否得到了有效维护。同时，如果服务中心的档案被毁，容灾中心的数据是否具有原有档案的凭证效力等问题都是档案系统灾备必须考虑的问题。真实性是档案灾备的底线，如果档案灾备系统中的数据的真实性无法保障，即使其数据保存得再完整，其档案价值也将彻底消失，不能作为凭证使用。 2.5档案灾备空间的特殊性 业务信息灾备的核心目标在于维护业务的连续性。一般而言，业务系统中数据的访问频率与其产生的时间长短成反比，产生的年代越是久远，其被重复使用的概率就越小。因此，业务信息灾备系统中可以对业务数据实行分级存储管理(HSM，Hierarchical Storage Management)，对于活跃的数据采取在线存储(OnStore)，近期历史数据采取近线存储(NearStore)，存档数据采取离线存储(OffStore)。每隔一定周期，可以对使用概率很小的数据进行清理和删除以腾出存储空间。整体而言，业务信息容灾系统所需存储空间是一定的。 档案灾备是“只有起点，没有终点”的事业，虽然档案也会进行定期销毁，但是整体而言随着时间的推移，服务中心所存储的数据总量将会越来越多，对存储空间要求会越来越大。要保证档案灾备的容灾中心与服务中心的一致性，对存储空间的需求量就会持续增长，整体需要多大的空间将无法预计。虽然从服务中心挑选重要档案在容灾中心进行备份是一种解决方案，但是容灾中心数据总量的持续增长却是无法改变的趋势。 2.6档案灾备周期的特殊性 业务信息灾备一般不会跨越较长的时间周期，容灾系统中的数据只要能够完成在业务连续性保障中的任务就可以删除，因而其不会涉及数字媒体的形体寿命和技术寿命问题。档案灾备却在时间跨度上大得多，档案副本在容灾中心当中可能会存储相当长的时间，如果属于长期保存的档案，其副本在容灾中心中也将要求被长期保存。因此，档案灾备可能会涉及媒体的寿命问题，如果档案在容灾中心是以数字化形式进行备份，一方面其存储载体可能会老化或损坏，另外一方面技术的更新换代有可能使这些信息的读取设备和技术被淘汰，从而使这些信息失去可读性。目前，在数字档案长期保存实践中采用的方法主要有更新(Refreshing)、迁移(Migration)和仿真(Emulation)，这些因素的存在将会使档案的真实性与完整性保障以及服务中心和容灾中心的同步变得异常复杂。 2.7档案灾备介质的特殊性 业务信息灾备系统中，生产中心和容灾中心中的数据都是以数字化形式存在