浅谈中国灾备标准和产业发展现状.

1、浅谈中国灾备标准和产业发展现状随着中国信息化战略的逐步推进和信息技术的不断发展完善，目前，中国信息化发展得到了质的飞跃：农业、工业、科技、教育和国防等各行业信息化水平正稳步提高；重大信息化工程(诸如“金税”、“金审”等以“十二金”为代表的金字工程)进展顺利、成果显著；中国电子政务系统广泛应用。可以说，中国已经成为具有一定规模基础的信息化国家。 与此同时，伴随着信息成为社会发展的重要战略资源的是“信息获取、使用和控制”已成为了信息化发展和完善的核心，相应地，信息安全和保护就演变成国家发展战略中亟待解决、影响国家大局和长远利益的重大关键问题。信息安全保障能力必将成为信息化国家21世纪综合国力、经济

2、竞争实力和生存能力的重要组成部分。为此，国家高度重视，对信息安全的体系、模式和战略进行了大量的研究和探索。2006年，中共中央办公厅、国务院办公厅联合正式发布了文件2006-2020年国家信息化发展战略，明确提出要建立国家信息安全保障体系。 从技术上看，信息安全可以分为物理安全、运行安全、数据安全和内容安全4个层面：其中，物理安全围绕着网络与信息系统的物理装备及其有关信息的安全；运行安全围绕着网络与信息系统的运行过程和运行状态的安全；数据安全围绕着数据(信息)的生成、处理、传输和存储等环节中的安全；内容安全围绕非授权信息在网络上进行传播的安全。显然，物理安全是信息安全中的基础性安全，是实现信息

3、系统安全的前提。而在信息系统物理安全的威胁因素中，各种灾难威胁由于其危害大、后果严重而正受到越来越多的关注。 在国外，据IDC统计，美国在2000年以前的10年间，发生过灾难的公司中，有55当时倒闭，剩下的45中，因为数据丢失，有29也在两年之内倒闭，生存下来的仅占16。国际调查机构GartnerGroup的统计数据也表明，在经历大型灾难而导致系统停运的公司中有25再也没有恢复运营，剩下的公司中也有13在两年内破产。尤其是在“9.11”事件之后，越来越多的企业认识到容灾的重要性，纷纷采取了相应的容灾措施，建立了灾难备份中心。 在中国，由于灾难性事故所导致的信息系统崩溃的事件也有发生：2002年

4、7月5日，深交所因通信系统发生异常导致部分营业部无法正常交易；2003年7月1日，上海市轨道交通4号线发生险情，临江花苑大厦内的劳动保障局和市财税局的重要信息系统被迫中断和搬迁；2004年5月1日，黄金周第一天，北京市铁路局电脑售票系统出现临时性故障，致使全市各火车站的售票窗口、代售网点的售票工作全部处于瘫痪状态，时间长达一个多小时；2008年5月12日，四川省汶川发生强地震，震区受地震波及的信息系统大部分完全瘫痪。 这些经验和教训表明，由于社会信息化放大了灾难效应，灾难备份与恢复将成为信息化社会必备的基础性安全设施。目前。信息系统灾难备份已经提高到国家信息化发展的战略高度，成为国家信息安全保

5、障体系中的核心问题之一。 1信息系统灾备的概念、范畴和指标 随着社会信息化程度的提高，企事业单位对于信息数据和信息化系统依赖程度的不断增加，由于灾难发生所造成的数据丢失和业务中断的损失也越来越大。 根据国家标准信息系统灾难恢复规范(GBT20988-2007)定义：灾难是指由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平降至不可接受、达到特定的时间的突发性事件。典型的灾难事件包括自然灾难(如火灾、水灾、地震、风灾等)、设备灾难(如设备故障、软件错误、电信网络中断和电力故障等)和人为灾难(如操作员错误、破坏、植入有害代码和恐怖袭击等)。 灾难备份(从严格意

6、义上说，应该称为灾难备份与恢复，简称灾备)，就是指利用技术、管理手段以及相关资源确保关键数据、关键数据处理系统和关键业务在灾难发生后可以恢复的过程。从这个意义上说，灾备的目的就是确保关键业务持续运行以及减少非计划宕机时间。 基于上述定义，信息领域的灾备系统可以理解为是以存储系统作为基本支撑系统、以网络作为基本传输手段、以容错软硬件技术为直接技术手段、以管理技术为重要辅助手段的综合系统。 由于信息系统灾难已经涉及信息系统运行的诸多方面，因此，容灾抗毁能力已经成为衡量信息系统安全性和可靠性的重要指标，其具体指标包括4个指标。 (1)恢复点目标(RPO)指出现灾难之时到可以让业务继续运作的时间。 (

7、2)恢复时间目标(RTO)指从IT系统当机导致业务停顿之刻开始，到IT系统恢复至可以支持各部门运作，业务恢复运营的时间。 (3)降级操作目标(DOO)指宕机恢复以后到第二次故障的灾难以后的时间。 (4)网络恢复目标(NRO)指用户在灾难后可以连接到灾备中心的时间。 4个指标之间的时序关系如图1所示。由于篇幅所限，灾难备份相关技术具体内容参见文献。 2中国灾备相关政策发展历程 中国对信息系统灾备建设高度重视，在政策支持方面逐级加深。2003年7月22日，温家宝总理在国家信息化小组第三次会议上指示，要求各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难备份，制订和不断完善信息安全应急处置预案。

8、随后，2003年9月7日，中共中央办公厅、国务院办公厅发出通知，转发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)。文件要求各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制订和不断完善信息安全应急处置预案；灾难备份建设要从实际出发，提倡资源共享、互为备份；加强信息安全应急支援服务队伍建设，鼓励社会力量参与灾难备份设施建设和提供技术服务，提高信息安全、应急响应能力。 2004年1月9日，国务院副总理黄菊在全国信息安全保障工作会议上进一步强调，要提高抵御灾难和重大事故的能力，减少灾难打击和重大事故造成的损失，确保重要信息系统的数据安全和作业的持续性，避免引

9、起重要社会服务功能的严重中断，保障社会经济的稳定。 中国 WWw.lwlm.coM2004年9月，国务院信息工作办公室下发了关于加强国家重要信息系统灾难备份工作的意见(信安通200411号)，进一步贯彻了中办发200327号文件精神。文件要求国家重要信息系统灾难备份要坚持“统筹规划、资源共享、平战结合”三大原则。同时，灾难备份建设要从实际出发，提倡资源共享，可以采用自建、共建和利用社会化服务等模式，鼓励社会力量参与灾难备份设施建设，提倡使用社会化灾难备份服务，走专业化 服务道路。 2005年4月，国务院信息工作办公室下发了关于印发“重要信息系统灾难恢复指南”的通知。指南指明了灾难恢复工作的流程

10、、灾备中心的等级划分(6个等级)及灾难恢复预案的制订框架。 2006年3月，中共中央办公厅、国务院办公厅发布20062020年国家信息化发展战略。在“建设国家信息安全保障体系”中要求信息系统建设要从实际出发，促进资源共享，重视灾难备份建设，增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。 2006年5月，信息产业部发布信息产业科技发展“十一五”规划和2020年中长期规划(纲要)(信部科2006209号)。纲要中，明确将“应急响应和灾难恢复技术”作为今后的发展重点。 2008年3月，国家发展和改革委员会下发了国家发展改革委办公厅关于请组织申报2008年第一批国家工程研究中心及国家工程实验

11、室项目的通知(发改办高技2008622号)，“灾备技术国家工程实验室”项目名列其中。这意味着国家加快推进信息系统灾难备份战略，促进灾备技术标准体系、关键技术研究和人才培养，以提高中国容灾备份领域的自主创新能力，规范、促进中国灾备市场的健康发展，为建设中国自主可控的灾备体系提供技术支持。 2008年11月，国家发展和改革委员会在国家发展改革委办公厅关于组织实施2009年信息安全专项有关事项的通知(发改办高技20082494号)中，首次将“应急与灾备标准”作为重点支持项目，标志着国家进一步完善灾难备份相关关键标准的策略。同时，2009年度信息安全专项中还对“容灾备份软件产业化项目”和“基于介质的数据恢复、容灾备份信息安全专业化服务”进行了重点支持，这表明国家开始对灾难备份产业进行全方位推进。 2009年5月，国家发展和改革委员会正式发文国家发展改革委办公厅关于灾备技术国家工程实验室项目的复函(发改办高技20091160号)，批准由北京邮电大学作为法人单位，联合清华大学、中科院计算所和中国邮政集团公司共同参与，建设中国唯一的专门从事灾备相关标准制订、关键技术研发、产业化服务和人才培养重任的“