□吳登國 張永生

《檔案事業(yè)發(fā)展“十一五”規(guī)劃》提出“采取一切必要措施，提高檔案館、檔案室抵御自然災(zāi)害和危及檔案安全的突發(fā)事件的能力”，“建立完備的檔案信息數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制，確保檔案信息數(shù)據(jù)安全”。隨著高校檔案信息化程度的不斷提高，相隨而生的檔案信息安全問題亦應(yīng)得到重視，尤其是作為高校檔案信息安全最后一道“防火墻”的災(zāi)難恢復(fù)。

一、災(zāi)難恢復(fù)理論簡述

（一）災(zāi)難恢復(fù)定義

2007年11月1日正式實(shí)施的國家標(biāo)準(zhǔn)《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T20988-2007》將災(zāi)難恢復(fù)定義為：為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受的狀態(tài)，而設(shè)計(jì)的活動(dòng)和流程。信息系統(tǒng)的災(zāi)難恢復(fù)具體是指利用先進(jìn)的軟、硬件設(shè)備和網(wǎng)絡(luò)環(huán)境，以災(zāi)難恢復(fù)等級(jí)為核心，綜合運(yùn)用各種技術(shù)手段和管理措施，實(shí)現(xiàn)信息系統(tǒng)的災(zāi)難恢復(fù)要求。

需要指出的是，很多高校檔案管理人員將災(zāi)難恢復(fù)簡單地與備份混為一談，認(rèn)為只要平時(shí)做好數(shù)據(jù)備份，或是做了雙機(jī)互備、熱備就是完成了災(zāi)難恢復(fù)建設(shè)。其實(shí)這是種錯(cuò)誤的認(rèn)識(shí)。數(shù)據(jù)備份是災(zāi)難恢復(fù)的基礎(chǔ)，而災(zāi)難恢復(fù)建設(shè)不僅要進(jìn)行數(shù)據(jù)備份，還要對(duì)數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份，亦即災(zāi)難備份。災(zāi)難備份再加上災(zāi)難恢復(fù)預(yù)案的管理，才是真正意義上的災(zāi)難恢復(fù)。

（二）災(zāi)難恢復(fù)等級(jí)

災(zāi)難恢復(fù)等級(jí)一般是用災(zāi)難恢復(fù)指標(biāo)來衡量的，最常用的指標(biāo)有恢復(fù)點(diǎn)目標(biāo)RPO（災(zāi)難發(fā)生時(shí)信息系統(tǒng)能夠容忍的最大數(shù)據(jù)丟失量）和恢復(fù)時(shí)間目標(biāo)RTO（信息系統(tǒng)所能容忍的應(yīng)用停止服務(wù)的最長時(shí)間）。

國際上比較通用的信息系統(tǒng)災(zāi)難恢復(fù)等級(jí)是1992年由IBM公司和SHARE用戶組共同提出的SHARE78標(biāo)準(zhǔn)。它將災(zāi)難恢復(fù)的等級(jí)從低到高分為七級(jí)：

0級(jí) 沒有異地?cái)?shù)據(jù)（Nooff-site Data）：即沒有任何異地備份或應(yīng)急計(jì)劃。數(shù)據(jù)僅在本地進(jìn)行恢復(fù)，沒有送往異地。實(shí)際上，這一級(jí)并不真正具備災(zāi)難恢復(fù)的能力。

1級(jí) PTAM卡車運(yùn)送訪問方式(Pickup Truck Access Method)：設(shè)計(jì)一個(gè)應(yīng)急方案，備份關(guān)鍵數(shù)據(jù)并將其存儲(chǔ)在異地。

2級(jí) PTAM卡車運(yùn)送訪問方式+熱備份中心 (PTAM+HotCenter)：在1級(jí)的基礎(chǔ)上加上熱備份中心。熱備份中心擁有足夠的硬件和網(wǎng)絡(luò)設(shè)備去支持關(guān)鍵應(yīng)用的及時(shí)恢復(fù)。

3級(jí) 電子鏈接(Electronic Vaulting)：在2級(jí)的基礎(chǔ)上用電子鏈接取代了卡車進(jìn)行數(shù)據(jù)的傳送。

4級(jí) 活動(dòng)狀態(tài)的備份中心(Active Secondary Center)：指主中心和備份中心同時(shí)處于活動(dòng)狀態(tài)并同時(shí)互相備份業(yè)務(wù)數(shù)據(jù)。在災(zāi)難發(fā)生時(shí)，關(guān)鍵應(yīng)用的恢復(fù)可降低到小時(shí)級(jí)或分鐘級(jí)。

5級(jí) 兩中心兩階段提交（Two-Site Two-Phase Commit）:采用兩階段提交來同步兩個(gè)中心的數(shù)據(jù),在災(zāi)難發(fā)生時(shí)，僅是傳送中的數(shù)據(jù)被丟失，恢復(fù)時(shí)間被降低到分鐘級(jí)。

6級(jí) 零數(shù)據(jù)丟失 (Zero Data Loss)：災(zāi)難恢復(fù)的最高級(jí)別，可實(shí)現(xiàn)零數(shù)據(jù)丟失和自動(dòng)系統(tǒng)故障切換。

（三）災(zāi)難恢復(fù)的層次

從主中心與災(zāi)備中心距離來看，災(zāi)難恢復(fù)有本地災(zāi)難恢復(fù)、同城災(zāi)難恢復(fù)和異地災(zāi)難恢復(fù)。從應(yīng)用層次分類，災(zāi)難恢復(fù)可以分為數(shù)據(jù)級(jí)、系統(tǒng)級(jí)和應(yīng)用級(jí)災(zāi)難恢復(fù)。數(shù)據(jù)級(jí)災(zāi)難恢復(fù)指建立一個(gè)本地或異地的數(shù)據(jù)系統(tǒng)，作為主系統(tǒng)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的一個(gè)備份；系統(tǒng)級(jí)災(zāi)難恢復(fù)在備份業(yè)務(wù)數(shù)據(jù)之外，還要對(duì)信息系統(tǒng)運(yùn)行環(huán)境、數(shù)據(jù)庫系統(tǒng)和通信網(wǎng)絡(luò)等進(jìn)行備份，以便迅速恢復(fù)整個(gè)信息系統(tǒng)；應(yīng)用級(jí)災(zāi)難恢復(fù)在系統(tǒng)級(jí)災(zāi)難恢復(fù)之上，提供保證信息系統(tǒng)所支持的業(yè)務(wù)持續(xù)運(yùn)行所需要的各種資源，包括主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)、相關(guān)基礎(chǔ)建設(shè)和相應(yīng)的技術(shù)支持能力。

（四）災(zāi)難恢復(fù)的管理

為了確保災(zāi)難恢復(fù)的成功，必須對(duì)災(zāi)難恢復(fù)建設(shè)的全過程進(jìn)行管理，明確組織在災(zāi)難前、災(zāi)難中和災(zāi)難后應(yīng)當(dāng)采取的行動(dòng)和步驟。災(zāi)難恢復(fù)建設(shè)是一個(gè)系統(tǒng)工程，具體可分為如下幾個(gè)階段：

項(xiàng)目啟動(dòng)階段：這個(gè)階段是災(zāi)難恢復(fù)計(jì)劃組織化、概念化的階段，爭取領(lǐng)導(dǎo)和相關(guān)各部門的支持。

確定災(zāi)難恢復(fù)需求階段：基于對(duì)信息系統(tǒng)風(fēng)險(xiǎn)分析的結(jié)果，確定關(guān)鍵業(yè)務(wù)功能及災(zāi)難對(duì)關(guān)鍵功能的影響，從而得出各功能的災(zāi)難恢復(fù)優(yōu)先級(jí)、恢復(fù)目標(biāo)、恢復(fù)等級(jí)。

制定災(zāi)難恢復(fù)策略階段：根據(jù)災(zāi)難恢復(fù)需求，對(duì)機(jī)構(gòu)自身情況和成本效益做分析，確定災(zāi)難恢復(fù)資源的需求和獲取方式。

災(zāi)難恢復(fù)方案實(shí)施階段：選定合適的產(chǎn)品、技術(shù)，建設(shè)災(zāi)備中心，實(shí)現(xiàn)災(zāi)難恢復(fù)策略。

災(zāi)難恢復(fù)預(yù)案制定階段：在此階段組織要制定災(zāi)難恢復(fù)預(yù)案，預(yù)案包含從災(zāi)難中恢復(fù)的步驟、相關(guān)人員職責(zé)以及操作流程和規(guī)范。

災(zāi)備系統(tǒng)持續(xù)運(yùn)行階段：災(zāi)難恢復(fù)建設(shè)中最長的一個(gè)階段。包括災(zāi)難恢復(fù)預(yù)案的管理、教育、培訓(xùn)、演練和災(zāi)備中心的日常運(yùn)行維護(hù)管理。

災(zāi)難恢復(fù)建設(shè)不可能一蹴而就，將是一個(gè)長期持續(xù)的過程，組織應(yīng)根據(jù)內(nèi)外部環(huán)境的變化，定期或按需重新分析災(zāi)難恢復(fù)需求，并根據(jù)變化了的需求調(diào)整災(zāi)難恢復(fù)策略、災(zāi)備方案和審核、變更災(zāi)難恢復(fù)計(jì)劃。

二、高校檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)的必要性及現(xiàn)狀

隨著檔案信息化建設(shè)的不斷推進(jìn)，各高校檔案館（室）的數(shù)字化資源不斷增加，電子文件和數(shù)字化檔案的高速增長不僅給高校檔案事業(yè)注入了新的活力，更給高校檔案管理模式帶來了新的挑戰(zhàn)。如何保證這些數(shù)字資源的安全正越來越多地受到高校的重視。

目前各高校檔案信息化的一個(gè)努力方向就是將檔案信息系統(tǒng)建設(shè)成為高校各類權(quán)威信息的集中地，以確保能夠提供更全面的信息服務(wù)。數(shù)據(jù)集中減少了檔案信息系統(tǒng)的管理成本，促進(jìn)了檔案信息的共享，提供了進(jìn)一步挖掘檔案信息資源價(jià)值的機(jī)會(huì)。但與此同時(shí)，數(shù)據(jù)大集中也給檔案信息安全帶來了更大的風(fēng)險(xiǎn)，一旦檔案信息系統(tǒng)所在地遭受災(zāi)難，其損失將影響到高校各方面的事業(yè)，產(chǎn)生災(zāi)難性后果。這就要求高校在進(jìn)行檔案信息化建設(shè)過程中必須同步加強(qiáng)災(zāi)難恢復(fù)建設(shè)。

據(jù)筆者了解，東南大學(xué)檔案館開發(fā)了網(wǎng)絡(luò)存儲(chǔ)、雙機(jī)互備及異地容災(zāi)一體化系統(tǒng)，實(shí)現(xiàn)了同城兩個(gè)校區(qū)之間的災(zāi)備。目前國內(nèi)其他高校檔案館（室）進(jìn)行災(zāi)難恢復(fù)建設(shè)的寥寥無幾，究其原因，無外乎三個(gè)方面的因素：一是眾多高校領(lǐng)導(dǎo)及高校檔案管理人員對(duì)檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)的重要性認(rèn)識(shí)不足；二是由于多數(shù)高校辦學(xué)經(jīng)費(fèi)、檔案經(jīng)費(fèi)緊張，無力承擔(dān)昂貴的災(zāi)難恢復(fù)建設(shè)費(fèi)用；三是由于高校檔案館（室）高級(jí)技術(shù)人才儲(chǔ)備不足，即使經(jīng)濟(jì)上允許也無力獨(dú)自進(jìn)行災(zāi)難恢復(fù)建設(shè)。

三、高校檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)途徑

（一）加強(qiáng)宣傳，提高災(zāi)難意識(shí)

長期的安穩(wěn)生活讓人們對(duì)災(zāi)難缺乏直觀感受，普遍缺乏災(zāi)難意識(shí)。而各種災(zāi)難卻是時(shí)時(shí)、處處可能發(fā)生的，比如地震、洪水、暴風(fēng)雨、火災(zāi)，甚至戰(zhàn)爭等等。高校檔案館室在進(jìn)行災(zāi)難恢復(fù)建設(shè)前，應(yīng)大力宣傳和培訓(xùn)，特別是要對(duì)高校領(lǐng)導(dǎo)層宣傳災(zāi)難恢復(fù)建設(shè)的重要性。只有領(lǐng)導(dǎo)層重視起來，親自過問、參與，檔案館室才有可能開展進(jìn)一步的建設(shè)工作。

（二）分析災(zāi)難恢復(fù)需求，確定災(zāi)難恢復(fù)等級(jí)

信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)是高投入、低回報(bào)的項(xiàng)目，同時(shí)是針對(duì)高風(fēng)險(xiǎn)、低概率事件準(zhǔn)備的。高校檔案館室必須做到災(zāi)難恢復(fù)目標(biāo)等級(jí)和建設(shè)成本之間的平衡。高校檔案館室應(yīng)對(duì)檔案信息系統(tǒng)可能遭遇的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)可能產(chǎn)生的業(yè)務(wù)影響有清晰的了解，同時(shí)需要分析檔案信息系統(tǒng)關(guān)鍵性的功能以及這些功能一旦喪失可能帶來的損失和影響。根據(jù)上述分析結(jié)果來確定可以容忍信息系統(tǒng)丟失多少數(shù)據(jù)以及中斷多長時(shí)間，最后據(jù)此確定災(zāi)難恢復(fù)等級(jí)。

高校檔案信息系統(tǒng)應(yīng)首要關(guān)注各類檔案數(shù)據(jù)的存儲(chǔ)安全，然后再保證查詢、著錄等其他功能正常使用。這就決定了高校檔案信息系統(tǒng)災(zāi)難恢復(fù)實(shí)時(shí)性要求不是很高，前述災(zāi)難恢復(fù)等級(jí)的第2級(jí)或第3級(jí)即可滿足要求，一般設(shè)計(jì)為數(shù)據(jù)級(jí)災(zāi)難恢復(fù)或系統(tǒng)級(jí)災(zāi)難恢復(fù)即可。

（三）選擇適當(dāng)?shù)慕ㄔO(shè)模式進(jìn)行災(zāi)備中心建設(shè)

災(zāi)備中心建設(shè)模式目前主要有三種：自建、共建或外包。自建是指高校檔案館自行建設(shè)并維護(hù)災(zāi)備中心，此模式雖有利于檔案信息保密與安全，減少檔案數(shù)據(jù)丟失風(fēng)險(xiǎn)，但其建設(shè)費(fèi)用昂貴、運(yùn)維成本高，而且高校檔案館也無相應(yīng)的人力儲(chǔ)備，所以自建模式不適合高校檔案館。共建模式是指兩方或多方組織按照一定的投資比例投入資金、人力、物力進(jìn)行災(zāi)備中心的建設(shè)和運(yùn)行維護(hù)管理。外包模式指通過專業(yè)的、具備災(zāi)難恢復(fù)服務(wù)資質(zhì)的IT公司來建設(shè)備份中心。

高校檔案館應(yīng)根據(jù)自身情況，靈活選擇災(zāi)備中心建設(shè)模式。高校檔案館可以選擇和其他高校檔案館合作共建或互為備份基地；可以與圖書館合作共建；可以共享各級(jí)公共檔案館的建設(shè)成果?？紤]到目前各高校都有幾個(gè)校區(qū)，和高校信息中心共建災(zāi)備中心，分別將主系統(tǒng)和備用系統(tǒng)安置在不同校區(qū)，對(duì)于較低級(jí)別的災(zāi)難恢復(fù)建設(shè)也是不錯(cuò)的選擇。高校檔案館還可以選擇自建與外包模式相結(jié)合，將主要技術(shù)服務(wù)外包給IT服務(wù)商，核心業(yè)務(wù)由高校檔案館自行建設(shè)。

（四）制定災(zāi)難恢復(fù)預(yù)案，加強(qiáng)災(zāi)難恢復(fù)管理

高校檔案館應(yīng)制定災(zāi)難恢復(fù)計(jì)劃，規(guī)范災(zāi)難發(fā)生后檔案館響應(yīng)災(zāi)難方式。只有預(yù)先規(guī)定詳細(xì)的響應(yīng)步驟和每個(gè)相關(guān)人員應(yīng)承擔(dān)的責(zé)任，這樣在災(zāi)難發(fā)生后，才不會(huì)出現(xiàn)混亂，才可以按照計(jì)劃進(jìn)入災(zāi)難恢復(fù)流程，發(fā)揮災(zāi)備中心作用。

完成災(zāi)備中心建設(shè)，并不意味著從此就可以高枕無憂。災(zāi)備中心應(yīng)時(shí)刻處于可響應(yīng)狀態(tài)，當(dāng)災(zāi)難發(fā)生時(shí)，可隨時(shí)進(jìn)入災(zāi)難恢復(fù)流程，這就要求強(qiáng)化災(zāi)備中心地日常管理，制定相應(yīng)的管理制度并有效實(shí)施。

四、結(jié)語

為保證檔案信息安全，高校檔案信息系統(tǒng)必須進(jìn)行災(zāi)難恢復(fù)建設(shè)。高校檔案館應(yīng)合理規(guī)劃，綜合平衡建設(shè)成本和風(fēng)險(xiǎn)，以較小的投入保證檔案信息系統(tǒng)抵御災(zāi)難的能力，減少檔案數(shù)據(jù)損失，確保高校檔案的安全、完整和及時(shí)恢復(fù)利用，更好地為高校事業(yè)的科學(xué)發(fā)展服務(wù)。

①劉洋：《談高校管理信息化建設(shè)過程中的IT災(zāi)備問題》，《科教文匯(中旬刊)》2009年第3 期：23-24。

②劉家真：《我國文獻(xiàn)信息管理系統(tǒng)災(zāi)難備份的思考》，《情報(bào)學(xué)報(bào)》2007年第1期：141-147。

③魏伶俐：《構(gòu)建國家檔案信息災(zāi)難備份中心的設(shè)想》，《北京檔案》2009年第7期：23-24。

④柳萍、蘇衛(wèi)平、張魁：《高校檔案館網(wǎng)絡(luò)存儲(chǔ)、雙機(jī)互備及異地容災(zāi)一體化系統(tǒng)研究與設(shè)計(jì)》，《檔案與建設(shè)》2008年第5期：21-23。