管東升 李俊安

摘 ? 要：近年來，隨著我國電子政務系統(tǒng)建設的不斷深入完善，其重要性和意義已越來越凸顯，相應的對其安全性與可用性也提出了更高的要求。為了在遇到各類信息系統(tǒng)災難時能夠快速恢復，作為維持電子政務系統(tǒng)正常運行，保障關鍵政務數(shù)據(jù)長期可用的重要措施，電子政務信息系統(tǒng)的災備系統(tǒng)建設越來越受到關注。文章以項目為例介紹了電子政務信息系統(tǒng)災備建設的步驟、指標設計和測試過程， 希望為類似項目建設提供借鑒，更好地推進我國電子政務災備系統(tǒng)建設。

關鍵詞：信息化建設;災難恢復;電子政務

中圖分類號： TP309.3 ? ? ? ? ?文獻標識碼：A

Abstract： The importance and significance of e-government system construction in China has become more and more prominent， which puts forward higher requirements for its availability. In order to recover quickly in the event of various information system disasters， as an important measure to maintain the normal operation of e-government system and ensure the long-term availability of key government data， the disaster recovery system of e-government information system More and more attention has been paid to construction. Taking the project as an example， this paper introduces the steps， index design and testing process of e-government information system disaster recovery construction， hopes to provide reference for similar project construction and better promote the construction of disaster recovery system of E-government in China.

Key words： information technology; disaster recovery;E-government system

1 引言

容災備份恢復（Backup and Prepare for Disaster Recovery，本文簡稱災備）是指為了能夠在災難發(fā)生時，在盡可能短的時間內，以盡可能小的數(shù)據(jù)丟失量快速恢復信息系統(tǒng)的正常運行而做的數(shù)據(jù)備份和其他準備工作。

對于信息系統(tǒng)來說，災難不僅包括通常意義上所指的自然災難，還包括各種由于人為或自然的原因，造成信息系統(tǒng)運行故障或癱瘓，使信息系統(tǒng)支持的業(yè)務發(fā)生停頓或服務水平不可接受等各類突發(fā)性事件。信息系統(tǒng)的災備體系是指以數(shù)據(jù)備份為核心，對不同類型的政府信息資源所實施的數(shù)據(jù)備份、系統(tǒng)備用、災難備援等一系列技術和管理手段的總稱。

災備系統(tǒng)的建設在銀行保險等信息化和業(yè)務敏感度程度高的行業(yè)已經成為慣例，而對于政務系統(tǒng)來說還不算普遍。伴隨著我國電子政務信息化建設的不斷深入，政務信息系統(tǒng)已成為行使職能的重要抓手，行使職能越來越依賴于信息化手段，對于系統(tǒng)的可用性要求也就越來越高。對于政府來說，信息資源的災備體系是維持電子政務系統(tǒng)正常運行，保障關鍵政務數(shù)據(jù)長期可用的重要措施。

2 災備信息系統(tǒng)實現(xiàn)過程

2.1信息系統(tǒng)災備的基礎作用

信息系統(tǒng)三大核心指標是機密性、可用性和完整性。而災備系統(tǒng)受到關注就是因為其顯著提高信息系統(tǒng)的業(yè)務可用性。

信息系統(tǒng)災備的建設需要首先完成業(yè)務連續(xù)性規(guī)劃（BCP），確認確保業(yè)務正常運轉所需的資源會提供給依賴他們的所有人和系統(tǒng)，這意味著需要認真的執(zhí)行備份，并且在信息系統(tǒng)架構、網(wǎng)絡和操作建設冗余。雖然以往在提到信息系統(tǒng)災備建設時，可能首先關注的是備份數(shù)據(jù)和提供冗余硬件上，這些是非?；A和重要的，但他們只是業(yè)務整體運行體系中的一部分，人員配置和操作也同樣應該受到關注。因此，災備項目的推進需要采用自上而下的體系方法，由管理層推動項目，統(tǒng)籌規(guī)劃，全員參與。

2.2 業(yè)務連續(xù)性規(guī)劃

災備系統(tǒng)的建設是為了盡可能快速全面恢復信息系統(tǒng)業(yè)務的正常運行，那么進行災備建設的基礎就必然是全面梳理業(yè)務，進行完整的業(yè)務連續(xù)性規(guī)劃。進行業(yè)務連續(xù)性規(guī)劃時應當考慮的因素有出現(xiàn)緊急狀況時提供及時和適當?shù)膽獙Υ胧⒈Ｗo生命和確保安全、減少對業(yè)務的影響、盡快恢復關鍵業(yè)務功能、需要與外部供應商和合作伙伴等。

美國國家標準與技術研究院（NIST）在其出版的800-34中概述了信息技術系統(tǒng)的業(yè)務連續(xù)性規(guī)劃指南，其描述的業(yè)務連續(xù)性規(guī)劃主要內容和工作為七項：

（1）制定業(yè)務連續(xù)性規(guī)劃策略，提供必要的指導文檔，并給相關部門分配必要的職位來完成任務。

（2）進行業(yè)務影響分析，識別關鍵系統(tǒng)和功能，并允許根據(jù)功能和系統(tǒng)的必要性，對其進行優(yōu)先排序，識別漏洞和威脅，并計算風險。

（3）制定預防性控制措施，一旦識別到威脅，需要確定并實施控制和對策，以權衡經濟的方法來降低組織的風險級別。

（4）制定恢復策略，制定方法確保系統(tǒng)和關鍵功能可以快速恢復。

（5）制定應急計劃，制定在應急狀態(tài)下可以保持業(yè)務正常運行的措施和方案。

（6）測試計劃及進行培訓與演練，確定連續(xù)性計劃中的不足，進行培訓以確保個人對他們應負責的任務做好充分準備。

（7）維護確保BCP定期更新。

2.3 災備建設的關鍵指標設計概念

在業(yè)務連續(xù)性規(guī)劃中業(yè)務影響分析期間需要科學制定出指標值，從而能夠把關鍵資源投入用于具體的業(yè)務功能、資源和數(shù)據(jù)類型中，保證災備項目建設的科學合理以及經濟。

業(yè)務連續(xù)性規(guī)劃中涉及到相關的關鍵指標和概念有MTD、RTO、RPO、WRT等。

最大允許中斷時間（MTD）指某個業(yè)務功能出現(xiàn)故障但是不會對業(yè)務產生無法彌補的損失的最大終端時間。

恢復時間目標（Recovery Time Objective，RTO）指為避免在災難發(fā)生后業(yè)務連續(xù)性中斷帶來不可接受的結果而使業(yè)務流程必須恢復的最早時間期限和服務水平，RTO通常指使得基礎設施和系統(tǒng)恢復運行的時間。

恢復點目標（Recovery Point Objective， RPO）指最大可容忍的數(shù)據(jù)丟失量，用時間來衡量，這個值代表著數(shù)據(jù)必須恢復的最早時間點，數(shù)據(jù)量越大，意味著要投入的資金或者其他資源越多，才能確保在災難事件中損失的數(shù)據(jù)越少。

工作恢復時間（Work Recovery Time，WRT）指整個MTD值的剩余。

RPO、RTO、WRT和MTD相互之間的關系如圖2所示。

要達到不同的RTO、RPO目標，就需要不同的恢復技術，同樣也需要不同的建設成本和實現(xiàn)的技術復雜度。同步復制技術的恢復時間可以做到幾小時內，需要付出的成本和實現(xiàn)的復雜度最高，異步復制需要幾小時到幾天，磁帶恢復需要幾天以上，成本和實現(xiàn)復雜度最低。

3 政務災備系統(tǒng)建設參考

3.1 電子政務災備系統(tǒng)的意義及背景

國家規(guī)定了必須建立災備基礎的8個重點行業(yè)，包括金融、民航、稅務、海關、鐵路、證券、保險、電力行業(yè)，同時要求各基礎信息網(wǎng)和重要系統(tǒng)建設要充分考慮抗毀性和災難恢復，制訂和不斷完善信息安全應急處置預案。2005年4月國務院信息化工作辦公室下發(fā)的《重要信息系統(tǒng)災難恢復指南》目前仍是我國災難備份綱領性文件?！禛B/T20988-2007 信息系統(tǒng)災難恢復規(guī)范》是國家級參考標準。

但是，災難備份是一個系統(tǒng)工程，其建設和維護專業(yè)性要求非常高。如何擺脫災備系統(tǒng)成本高、建設難的困擾，仍是目前各地政府數(shù)據(jù)異地集中備份首先需要考慮的問題。

當前各地政府以實際基礎情況在推進本地電子政務災備系統(tǒng)建設，例如北京市和上海市這類信息化基礎較好的地區(qū)都已經建設了全市統(tǒng)一的電子政務災備中心，以提高抵御災難和重大事故的能力，減少災難打擊和重大事故造成的損失、確保重要信息系統(tǒng)的數(shù)據(jù)安全和作業(yè)連續(xù)性，避免引起社會重要服務功能的嚴重中斷，保障社會經濟的穩(wěn)定。

3.2 電子政務災備系統(tǒng)指標設計

對于電子政務系統(tǒng)來說，選擇什么樣的災備模式要受到政府信息資源的重要程度甚至涉密程度、政府組織災備專業(yè)人才的數(shù)量、管理便捷性，以及各種災備模式的容災能力、容災成本的高低等因素的制約。

一般對電子政務中重要業(yè)務系統(tǒng)應實現(xiàn)異地數(shù)據(jù)級災備，核心業(yè)務系統(tǒng)應該實現(xiàn)異地應用級災備。同時，對于數(shù)據(jù)存儲及容災業(yè)務應預留擴展能力，方便依據(jù)后期情況展開升級建設。

例如，某地災備項目最終針對不同應用場景，設計出災難發(fā)生后不同級別的業(yè)務系統(tǒng)恢復時間（RTO）和系統(tǒng)在此期間數(shù)據(jù)丟失程度（RPO）指標有三點。

核心應用系統(tǒng)：恢復耗時RTO<2小時;數(shù)據(jù)丟失RPO<1小時。

重要業(yè)務系統(tǒng)：恢復耗時4小時

一般業(yè)務系統(tǒng)：恢復耗時RTO大于1天;數(shù)據(jù)丟失RPO大于1天。

根據(jù)業(yè)務的重要程度采取不同的容災備份策略，重要業(yè)務系統(tǒng)采用異步復制方式實現(xiàn)數(shù)據(jù)級災備，核心應用系統(tǒng)采用雙活容災解決方案實現(xiàn)應用級災備。

針對上述中核心業(yè)務系統(tǒng)實現(xiàn)業(yè)務恢復的容災備份需求，建設方采用在異地災備中心建設資源池，支撐災備中心實現(xiàn)應用系統(tǒng)的應用接管功能;按照現(xiàn)有核心業(yè)務系統(tǒng)的規(guī)模和業(yè)務類型，配置服務器，重點進行業(yè)務連續(xù)性保護，考慮業(yè)務負載，配合實現(xiàn)高性能備份存儲，以保證輸入輸出能力、吞吐能力的合理支撐，且后續(xù)可繼續(xù)平滑擴展。

建設方案最終使用傳統(tǒng)的IP連接將磁盤數(shù)據(jù)復制到異地備份系統(tǒng)，實現(xiàn)數(shù)據(jù)的異步更新。在源地發(fā)生災難后，可以將異地站點的數(shù)據(jù)反向復制到源。為了保證數(shù)據(jù)能夠恢復并保持有效，需要定期的在原始數(shù)據(jù)中心，在進行正常生產的情況下進行災難恢復演習。

遠程復制原理為當數(shù)據(jù)寫入時，同時會存入緩沖池，緩沖池文件通過IP 進行數(shù)據(jù)傳遞，直至完全傳遞到異地的設備中;異地中的容災卷，可以執(zhí)行本地所有的功能。

3.3 電子政務災備系統(tǒng)測試過程

為測試災備系統(tǒng)的建設效果，對災備系統(tǒng)測試，測試要求及過程為兩項內容。

（1）災備基礎環(huán)境要求

在異地容災機房中，應用主機、機房用電、網(wǎng)絡都完全具備主站點災難恢復的條件，一旦發(fā)生災難，可直接在容災機房進行恢復，需要完全熱備站點。

（2）測試內容

1）數(shù)據(jù)恢復（數(shù)據(jù)級災備）。數(shù)據(jù)恢復是利用遠程復制功能，通過異步同步來實現(xiàn)本地機房數(shù)據(jù)庫數(shù)據(jù)復制到容災端，在災難發(fā)生時，創(chuàng)建當前時間的快照，將快照映射給災備應用服務器，來實現(xiàn)應用數(shù)據(jù)恢復，查看測試恢復時間和數(shù)據(jù)丟失程度是否滿足系統(tǒng)要求。

2）應用恢復（應用級災備，以門戶應用為例）。應用恢復測試時應保證本地雙活組對應的數(shù)據(jù)磁盤已經建立好遠程復制并初始化完成，本地雙活組與災備端網(wǎng)絡互通，相應的端口已經開啟。

測試過程包括檢查本地卷狀態(tài)，檢查卷是否正常映射到門戶服務器，檢查災備卷狀態(tài)，檢查災備端新建快照拉起驗證，新建快照（在災備端），映射到災備主機，最終災備端查看應用門戶是否正常。在功能實現(xiàn)的基礎上，查看測試恢復時間和數(shù)據(jù)丟失程度是否滿足系統(tǒng)要求。

4 結束語

本文對災備系統(tǒng)在電子政務類信息系統(tǒng)中的意義及推進建設的過程步驟考慮進行了闡述，并介紹了指標設計思考和針對不同類型的測試過程，希望本文的分析和研究能夠為我國各地電子政務災備系統(tǒng)的建設提供參考和借鑒。

參考文獻

[1] 趙生輝，侯希文.政府信息資源災備體系建設模式綜述[J].電子政務， 2011（7）：41-47.

[2] 楊義先，姚文斌，陳釗.信息系統(tǒng)災備技術綜論[J].北京郵電大學學報， 033（2）：1-6.

[3] 姚文斌，伍淳華.中國災備標準和產業(yè)發(fā)展現(xiàn)狀[J].中興通訊技術（5）：6-9+19.

[4] 胡曉燕.城市電子政務災備中心建設方案研究[J].計算機安全， 2008， 000（001）：71-74.

[5] 朱洪斌， 王重， ZHUHong-bin，等. 應用級災備關鍵技術研究[J]. 電力信息與通信技術， 2011， 09（12）：40-43.