汪琪：災(zāi)難恢復(fù)的發(fā)展趨勢與變革

申請免費試用、咨詢電話：400-8352-114

大家好，今天上午其實聽了這么多專家和領(lǐng)導(dǎo)的發(fā)言，會有很多感觸。其實，我們國家的災(zāi)難恢復(fù)建設(shè)在過去的這么多年間從2000年的千年蟲問題開始考慮，一直到我們應(yīng)對了這么多的自然災(zāi)害，人為災(zāi)害，奧運的應(yīng)急保障，整個體系其實走過了一個由無到有，由簡到繁，深入淺出的過程。所以今天我到這里不做具體的探討某一項工作如何開展，而是希望我們一起看一下我們這個行業(yè)，看看我們的用戶，看看從政策層面發(fā)展的趨勢。

災(zāi)備的起源它是在70年代從美國的中西部地區(qū)開始有災(zāi)備這些方面準(zhǔn)備的工作，當(dāng)時主要是應(yīng)對自然的災(zāi)害，保護(hù)自己重要的數(shù)據(jù)，重要的系統(tǒng)。在過去這么多年間，災(zāi)難恢復(fù)整個的歷程應(yīng)該說有三個發(fā)展階段：第一個發(fā)展階段是在90年代之前，大家看到更多的是如何恢復(fù)自己的數(shù)據(jù)和信息系統(tǒng)，也就是說IT的災(zāi)難備份這方面；第二個階段從90年代一直到2000年左右，大家逐步從恢復(fù)災(zāi)后后臺的IT系統(tǒng)發(fā)展到所謂支撐我們的業(yè)務(wù)如何進(jìn)行恢復(fù)，從業(yè)務(wù)的角度來看我們一旦出現(xiàn)了問題，我們哪一些業(yè)務(wù)是最需要的，哪些業(yè)務(wù)恢復(fù)的范圍和恢復(fù)的指標(biāo)是什么；接著在2000年之后大家不單看自己了，不單從我要恢復(fù)什么來看，而是從管理的角度如何能夠使我們的企業(yè)，使我們的機(jī)構(gòu)能夠長期、持續(xù)、穩(wěn)定的運行。從管理的角度來看恢復(fù)和業(yè)務(wù)連續(xù)，這個時候不單單是自己的上下游，自己的供應(yīng)鏈，和自己相關(guān)的組織機(jī)構(gòu)災(zāi)難恢復(fù)體系的建設(shè)，整個社會體系的完善程度都跟自己有關(guān)，這是過去這么多年發(fā)展的三個階段。

下面我想從三個大的角度來看，這個發(fā)展在國外和國內(nèi)它的趨勢怎樣？一個是監(jiān)管機(jī)構(gòu)的政策方面的發(fā)展；第二個是我們的行業(yè)用戶在建設(shè)方面的發(fā)展；第三個是我們?yōu)槲覀兊目蛻?，為我們的行業(yè)提供服務(wù)的災(zāi)難恢復(fù)的服務(wù)商他們的發(fā)展。從國際上現(xiàn)在成熟的體系來講，從剛才我們的災(zāi)備協(xié)會的主席John B Copenhaver，還有彭勇主任都介紹了很多，從當(dāng)年我們DRII協(xié)會成立從80年代開始，從學(xué)術(shù)上逐步開始建立整個行業(yè)的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)管理的標(biāo)準(zhǔn)，并且逐步從所謂的最佳實踐開始將整個標(biāo)準(zhǔn)逐步進(jìn)行擴(kuò)充，并且在全世界范圍內(nèi)進(jìn)行整合，現(xiàn)在國際上成熟的體系是BS25999，還有剛剛提到的ISO，還有新加坡SPRING，整個業(yè)務(wù)聯(lián)系的架構(gòu)，這種對組織目標(biāo)的理解，對于戰(zhàn)略的開發(fā)，對我們整個發(fā)展的要點，以及維護(hù)評審和組織文化這些方面不斷的去把整個體系內(nèi)容豐富。

從監(jiān)管的角度來講，我們看到了美國的發(fā)展程度應(yīng)該說是最多的，實際上從80年代開始像聯(lián)邦一級的緊急事務(wù)管理局對工商業(yè)對政府發(fā)生災(zāi)難的時候的一些標(biāo)準(zhǔn)。從技術(shù)體系來講，比如像NIST美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會，在2002年發(fā)布了信息技術(shù)應(yīng)急指南，從信息技術(shù)的角度他們開始提出應(yīng)急風(fēng)險管理和災(zāi)難恢復(fù)。在其他的國家包括比如英國，很多的關(guān)于災(zāi)備方面的行業(yè)政策FSA它的金融監(jiān)管部門做出的，澳大利亞是由澳大利亞的審計署在9.11之后出了最佳實踐指南。在亞洲體系比較完善的是新加坡和香港。新加坡的金融管理局以及香港的金融管理局，兩個金融管理單位都提出了相應(yīng)的內(nèi)控環(huán)節(jié)以及在審計環(huán)節(jié)的災(zāi)難恢復(fù)以及業(yè)務(wù)延續(xù)的規(guī)劃和標(biāo)準(zhǔn)，臺灣在臺灣的行政院上對行政院所下屬的各個機(jī)關(guān)，對業(yè)務(wù)連續(xù)計劃和規(guī)劃做出了一些明確的規(guī)定。所以這是國外從80年代一直發(fā)展到現(xiàn)在整個的發(fā)達(dá)國家的監(jiān)管體系，可以看出來監(jiān)管的體系有從國家范疇的，比如聯(lián)邦范疇的，有從行業(yè)范疇發(fā)起的比如金融體系的，有從服務(wù)商的要求，也有對政府和金融機(jī)構(gòu)自己內(nèi)部的要求，就像剛剛John B Copenhaver說的一樣，標(biāo)準(zhǔn)非常多，但是沒有進(jìn)一步統(tǒng)一。

國內(nèi)的相關(guān)災(zāi)難恢復(fù)的文件實際上它的起源我們來看到，從國家的角度來講，最早的是27號文件是由我們中辦下發(fā)的，提出了基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的建設(shè)要充分考慮我們的抗毀性和災(zāi)難恢復(fù)，并且要制定完善的信息安全儲備預(yù)案。在這之后2004年我們的信息安全小組做出了做好信息安全系統(tǒng)備份工作的通知，2005年國信辦印發(fā)了重要信息系統(tǒng)災(zāi)難恢復(fù)指南。銀行業(yè)其實從2002年隨著銀行的大集中的運行就已經(jīng)提出了要加強(qiáng)自己的災(zāi)難恢復(fù)建設(shè)，一直來講跟隨著我們國家的相應(yīng)標(biāo)準(zhǔn)的出臺，銀行業(yè)也出臺了自己相應(yīng)的標(biāo)準(zhǔn)，在2006年有兩個比較重要的文件，一個是銀監(jiān)會下發(fā)的63號文明確的提出全國性的數(shù)據(jù)中心要實現(xiàn)異地災(zāi)備，省域以下的數(shù)據(jù)中心要實現(xiàn)數(shù)據(jù)備份，2006年4月下發(fā)了123號文，全國性的銀行應(yīng)該原則上才能同城加異地的備份策略，區(qū)域性可以才能同城或異地的備份，對于核心的業(yè)務(wù)系統(tǒng)必須實施應(yīng)用級備份，對于其他應(yīng)用系統(tǒng)可以才能實施或應(yīng)用備份。

第15號文《關(guān)于開展信息科技風(fēng)險自我評估系統(tǒng)數(shù)據(jù)填報的通知》這里面明確了對風(fēng)險點“高級管理層監(jiān)督力度不足”明確提出的業(yè)務(wù)連續(xù)性建設(shè)責(zé)任要求是“被監(jiān)管機(jī)構(gòu)的董事會和高級管理層對業(yè)務(wù)要做備份”，對風(fēng)險評估越來越詳細(xì)。在應(yīng)對奧運的風(fēng)險時連續(xù)下發(fā)的幾個通知里有一些特色：一個是關(guān)注企業(yè)自己內(nèi)部風(fēng)險的自我檢查以及對檢查出來的問題要及時上報；第二同關(guān)注全國性大型的金融機(jī)構(gòu)延伸到區(qū)域性地方性的商業(yè)銀行，2008年GDS幫一些我們的客戶實際上做了很多應(yīng)用當(dāng)?shù)氐你y監(jiān)會、銀監(jiān)局的檢查做了很多完善工作，同時從關(guān)注這種信息系統(tǒng)災(zāi)難系統(tǒng)的建設(shè)延伸到突發(fā)事件的管理，風(fēng)險的控制，內(nèi)部的企業(yè)內(nèi)控，另外是特別注重演練，建議在演練的時候高層參與，業(yè)務(wù)和信息部門一起參與，并且建立統(tǒng)一的協(xié)調(diào)機(jī)制跟外部協(xié)調(diào)。所以從行業(yè)的政策監(jiān)管調(diào)控，從國家到行業(yè)，到地方，從高層、全局性的管理要求到實操層面，到自我的檢查，再到審計、監(jiān)督我們的政策是在順著一條路在發(fā)展中的。

今年7月1日起我們對于上市的企業(yè)將實施企業(yè)內(nèi)部控制規(guī)范，這是由財政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會一起下發(fā)的。在企業(yè)內(nèi)控中可以看到很多跟業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)相關(guān)的內(nèi)容。我們以后在做災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)時候要把企業(yè)內(nèi)控個風(fēng)險評估放在整體的范圍之內(nèi)考慮，這是我們第一個方向，就是從監(jiān)管的角度，從行業(yè)的這些政策的角度來看待我們的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)的建設(shè)。

我們認(rèn)為整個發(fā)展是從全國的IT信息集中過程中的安全保障發(fā)展到數(shù)據(jù)集中當(dāng)中的系統(tǒng)運行、安全的運行，再發(fā)展到面向重要信息系統(tǒng)的災(zāi)備的建設(shè)，然后發(fā)展到整個災(zāi)備的體系和指標(biāo)的具體要求，再擴(kuò)展到我們的應(yīng)急體系的建設(shè)，突發(fā)事件的應(yīng)對，再到現(xiàn)在的風(fēng)險的內(nèi)控、聯(lián)合應(yīng)急、審計的要求、媒體的攻關(guān)，從運行安全到IT安全要求等等。

第二從行業(yè)的建設(shè)來看，我們認(rèn)為現(xiàn)在行業(yè)的建設(shè)已經(jīng)不僅僅是一個數(shù)據(jù)的備份和信息系統(tǒng)的恢復(fù)這樣一個范疇，從我們總體的建設(shè)目標(biāo)和范圍來看。我們這里舉了一個例子，實際上這是我們在前過來講一類的銀行，它在建設(shè)自己的業(yè)務(wù)連續(xù)的時候，它的目標(biāo)是什么？是要形成覆蓋全機(jī)構(gòu)范圍和重要外部利益相關(guān)機(jī)構(gòu)的業(yè)務(wù)持續(xù)性體系，從公司自理層面建立統(tǒng)一的架構(gòu)，這個提法和以前的災(zāi)備數(shù)據(jù)完全不是一個層面了。接著在總體的框架下建立各業(yè)務(wù)條線，各分支機(jī)構(gòu)、單位的業(yè)務(wù)執(zhí)行計劃，最終形成一個完整的業(yè)務(wù)管理體系。建設(shè)體系的基礎(chǔ)上在基礎(chǔ)設(shè)施，人員信息數(shù)據(jù)品牌聲譽，遭到破壞性突發(fā)事件的時候要有迅速響應(yīng)的能力，保證關(guān)鍵性業(yè)務(wù)的持續(xù)運作，降低我們的損失。今天我們在聽John B Copenhaver的演講當(dāng)中他有應(yīng)急響應(yīng)，有災(zāi)難恢復(fù)，有業(yè)務(wù)連續(xù)，還有業(yè)務(wù)連續(xù)，實際上我們在談業(yè)務(wù)連續(xù)的時候，我們的關(guān)注點從一個企業(yè)的角度來講不僅IT，不僅是業(yè)務(wù)，還要關(guān)注人員和品牌。按

最后，還要通過日常的維護(hù)和周期性的演練不斷提升業(yè)務(wù)持續(xù)性的能力，提高我們的業(yè)務(wù)管理性要求。相應(yīng)的，就這個目標(biāo)我們有一個業(yè)務(wù)連續(xù)性建設(shè)的規(guī)劃的路線圖，這個路線圖可以看到從核心的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)規(guī)劃，我們的數(shù)據(jù)中心的規(guī)劃，核心系統(tǒng)的業(yè)務(wù)連續(xù)建設(shè)，到各個渠道，各個外圍系統(tǒng)，各個分支機(jī)構(gòu)的電腦中心的相關(guān)業(yè)務(wù)連續(xù)的建設(shè)，再到我們內(nèi)部的管理信息系統(tǒng)，各個信息中心，甚至包括我們的后臺處理，甚至我們后臺的辦證中心他們相關(guān)的IT系統(tǒng)的建設(shè)，再擴(kuò)展到各個分支機(jī)構(gòu)，各個營業(yè)網(wǎng)點自己非IT業(yè)務(wù)流程上面的建設(shè)，最后是到我們關(guān)聯(lián)的業(yè)務(wù)條線，關(guān)聯(lián)的單位，關(guān)聯(lián)的數(shù)據(jù)中心它們的業(yè)務(wù)連續(xù)的建設(shè)，整個形成了一個我們的業(yè)務(wù)連續(xù)建設(shè)路線圖。這是我們從建設(shè)和建設(shè)的框架和建設(shè)路線圖上來看。

另外一個我們來看一看業(yè)務(wù)連續(xù)管理這種災(zāi)難備份體系建設(shè)架構(gòu)的變動。過去我們經(jīng)常在說我們在建業(yè)務(wù)連續(xù)管理或者建災(zāi)備的時候前期要做調(diào)研，要做分析，看我們的建設(shè)范圍，建設(shè)目標(biāo)，然后寫出方案，按照方案來進(jìn)行建設(shè)和運維，實際上現(xiàn)在我們的客戶，我們行業(yè)走的領(lǐng)先的企業(yè)，它已經(jīng)認(rèn)為隨著我企業(yè)自己內(nèi)部的業(yè)務(wù)、流程以及IT系統(tǒng)不斷的變更，不斷的實施評估、設(shè)計、策略制定，再去建設(shè)，再去運維這一套。大家覺得這一套的效率不高，所以在這個基礎(chǔ)逐步開始提出整體架構(gòu)上的變動，面向所有服務(wù)的界面，包括需求的調(diào)研、配置，面向我們提供災(zāi)備服務(wù)規(guī)則，包括服務(wù)需求的規(guī)則，服務(wù)匹配的規(guī)則，自己內(nèi)部的資產(chǎn)配置規(guī)則，還有后臺資源，數(shù)據(jù)網(wǎng)絡(luò)資源，存儲備份的資源，面向這樣的體系架構(gòu)，面向我們的最終的需求，其實是可以采用一種基于服務(wù)的架構(gòu)快速的給我們客戶提供服務(wù)，比如說我們現(xiàn)在在整個災(zāi)備體系中我們的需求有了變化，相應(yīng)的對我們按照服務(wù)的請求規(guī)則，按照生產(chǎn)的資源配置清單。按照我們的匹配程度和需求清單，我們對我們內(nèi)部的資產(chǎn)，這種災(zāi)備的資產(chǎn)進(jìn)行配置，然后根據(jù)我們的這種服務(wù)的編排規(guī)則設(shè)置各種災(zāi)備的服務(wù)方案。其次根據(jù)實現(xiàn)設(shè)定的規(guī)則，一旦出現(xiàn)緊急情況之后調(diào)動相應(yīng)的后臺資源給予相應(yīng)提供災(zāi)難恢復(fù)和應(yīng)急服務(wù)，這一整套是可以以一套架構(gòu)和一套軟件去實現(xiàn)它，這是我們整個服務(wù)架構(gòu)體系在不斷的進(jìn)行變革。

從行業(yè)的建設(shè)上來看，我們看到銀行、證券、保險、基金這些金融單位，各個大型的機(jī)構(gòu)，災(zāi)備的建設(shè)已經(jīng)初具規(guī)模，而中小企業(yè)他們的災(zāi)備剛開始起步，業(yè)務(wù)建設(shè)相對滯后，對于國有大型企業(yè)相對重視，開始規(guī)劃和建設(shè)自己的災(zāi)備設(shè)施，企業(yè)的需求來自自身穩(wěn)定發(fā)展的需求，以及對這些上市企業(yè)的審計的需要，對政府機(jī)構(gòu)來講在建設(shè)的時候我們信息化依賴程度高的會先走，比如說我們在國內(nèi)的一些大型行業(yè)，像國稅的這樣大型的行業(yè)都在整個行業(yè)里面，在全國建立了統(tǒng)一的備份中心，政府機(jī)構(gòu)有一個特點他們在進(jìn)行災(zāi)備建設(shè)的時候，特別是重視公共事件的應(yīng)急體系建設(shè)。

最后一個，我們提供災(zāi)難恢復(fù)服務(wù)的供應(yīng)商他們的形式，傳統(tǒng)來講分為幾種，主要是軟件硬件的提供商，數(shù)據(jù)服務(wù)技術(shù)的提供商，備份軟件提供商，數(shù)據(jù)庫的提供商有一些復(fù)制的功能，這是傳統(tǒng)的技術(shù)上相對比較少的。接下來的凈化要到我們?yōu)膫浣ㄔO(shè)的資源，我們需要有災(zāi)難恢復(fù)的場地，有有業(yè)務(wù)連續(xù)的場地，同時還需要外地為我們提供相應(yīng)的資訊工作，相應(yīng)的繼承工作，相應(yīng)的業(yè)務(wù)連續(xù)的規(guī)劃工作，所以又會由我們的災(zāi)難恢復(fù)場地外包商資訊服務(wù)商介入?，F(xiàn)在經(jīng)過這么多年的發(fā)展，類似GDS這樣從2000年到現(xiàn)在跟著行業(yè)長大的這些公司，他們的能力比起以前進(jìn)步了很多，他們有一整套業(yè)務(wù)連續(xù)性的資訊體系，一套規(guī)劃體系，包括你的整個調(diào)研、評估、你的策略制定，你的體系開發(fā)，你的合規(guī)，你的保障，這一整套的體系，有系統(tǒng)的設(shè)計和實施的團(tuán)隊，支持各種各樣的主流平臺，各種各樣的通訊網(wǎng)絡(luò)，實行全國聯(lián)網(wǎng)的的備份中心，像GDS有八個中心在運行，能夠隨時給大家提供有利保障的運營和災(zāi)備的團(tuán)隊，有業(yè)務(wù)恢復(fù)場所，有支持多種網(wǎng)絡(luò)形式，有收單中心這樣復(fù)雜的業(yè)務(wù)服務(wù)，我們的服務(wù)商開始向綜合化方面發(fā)展。

最后總結(jié)一下，我們今天演講的題目是災(zāi)難恢復(fù)建設(shè)、發(fā)展的趨勢變革，趨勢與變革從三個方面。從監(jiān)管機(jī)構(gòu)的政策發(fā)展上講，從要求我們的運行安全，要求我們的信息系統(tǒng)災(zāi)難恢復(fù)，再發(fā)展到要求我們整個業(yè)務(wù)連續(xù)、應(yīng)急、保障，整個體系的業(yè)務(wù)連續(xù)管理體系的完善。

從行業(yè)上從最基礎(chǔ)的數(shù)據(jù)備份，到建設(shè)自己的災(zāi)備中心，再到業(yè)務(wù)連續(xù)的體系架構(gòu)、流程以及對將來不斷變更過程當(dāng)中的快速的變化和適應(yīng)的能力來保證我們整個業(yè)務(wù)的持續(xù)。

從災(zāi)難恢復(fù)服務(wù)商的角度，從純粹的數(shù)據(jù)復(fù)制的廠商和硬件的提供商，到各專業(yè)的提供商，到現(xiàn)在能夠提供各種連續(xù)的業(yè)務(wù)上的綜合性服務(wù)商。整個行業(yè)無論是服務(wù)商還是監(jiān)管的層次都在向全面，向深入的角度進(jìn)行發(fā)展。我們也期待著將來在這個行業(yè)里面我們的發(fā)展趨勢和變革能夠更加的深入，能夠更加的符合大家的需求。

我的演講到這里結(jié)束，謝謝大家?。ū忍鼐W(wǎng)）