□吳登國 張永生

《檔案事業(yè)發(fā)展“十一五”規(guī)劃》提出“采取一切必要措施，提高檔案館、檔案室抵御自然災(zāi)害和危及檔案安全的突發(fā)事件的能力”，“建立完備的檔案信息數(shù)據(jù)備份和災(zāi)難恢復(fù)機制，確保檔案信息數(shù)據(jù)安全”。隨著高校檔案信息化程度的不斷提高，相隨而生的檔案信息安全問題亦應(yīng)得到重視，尤其是作為高校檔案信息安全最后一道“防火墻”的災(zāi)難恢復(fù)。

一、災(zāi)難恢復(fù)理論簡述

（一）災(zāi)難恢復(fù)定義

2007年11月1日正式實施的國家標(biāo)準(zhǔn)《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T20988-2007》將災(zāi)難恢復(fù)定義為：為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受的狀態(tài)，而設(shè)計的活動和流程。信息系統(tǒng)的災(zāi)難恢復(fù)具體是指利用先進的軟、硬件設(shè)備和網(wǎng)絡(luò)環(huán)境，以災(zāi)難恢復(fù)等級為核心，綜合運用各種技術(shù)手段和管理措施，實現(xiàn)信息系統(tǒng)的災(zāi)難恢復(fù)要求。

需要指出的是，很多高校檔案管理人員將災(zāi)難恢復(fù)簡單地與備份混為一談，認(rèn)為只要平時做好數(shù)據(jù)備份，或是做了雙機互備、熱備就是完成了災(zāi)難恢復(fù)建設(shè)。其實這是種錯誤的認(rèn)識。數(shù)據(jù)備份是災(zāi)難恢復(fù)的基礎(chǔ)，而災(zāi)難恢復(fù)建設(shè)不僅要進行數(shù)據(jù)備份，還要對數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、技術(shù)支持能力和運行管理能力進行備份，亦即災(zāi)難備份。災(zāi)難備份再加上災(zāi)難恢復(fù)預(yù)案的管理，才是真正意義上的災(zāi)難恢復(fù)。

（二）災(zāi)難恢復(fù)等級

災(zāi)難恢復(fù)等級一般是用災(zāi)難恢復(fù)指標(biāo)來衡量的，最常用的指標(biāo)有恢復(fù)點目標(biāo)RPO（災(zāi)難發(fā)生時信息系統(tǒng)能夠容忍的最大數(shù)據(jù)丟失量）和恢復(fù)時間目標(biāo)RTO（信息系統(tǒng)所能容忍的應(yīng)用停止服務(wù)的最長時間）。

國際上比較通用的信息系統(tǒng)災(zāi)難恢復(fù)等級是1992年由IBM公司和SHARE用戶組共同提出的SHARE78標(biāo)準(zhǔn)。它將災(zāi)難恢復(fù)的等級從低到高分為七級：

0級 沒有異地數(shù)據(jù)（Nooff-site Data）：即沒有任何異地備份或應(yīng)急計劃。數(shù)據(jù)僅在本地進行恢復(fù)，沒有送往異地。實際上，這一級并不真正具備災(zāi)難恢復(fù)的能力。

1級 PTAM卡車運送訪問方式(Pickup Truck Access Method)：設(shè)計一個應(yīng)急方案，備份關(guān)鍵數(shù)據(jù)并將其存儲在異地。

2級 PTAM卡車運送訪問方式+熱備份中心 (PTAM+HotCenter)：在1級的基礎(chǔ)上加上熱備份中心。熱備份中心擁有足夠的硬件和網(wǎng)絡(luò)設(shè)備去支持關(guān)鍵應(yīng)用的及時恢復(fù)。

3級 電子鏈接(Electronic Vaulting)：在2級的基礎(chǔ)上用電子鏈接取代了卡車進行數(shù)據(jù)的傳送。

4級 活動狀態(tài)的備份中心(Active Secondary Center)：指主中心和備份中心同時處于活動狀態(tài)并同時互相備份業(yè)務(wù)數(shù)據(jù)。在災(zāi)難發(fā)生時，關(guān)鍵應(yīng)用的恢復(fù)可降低到小時級或分鐘級。

5級 兩中心兩階段提交（Two-Site Two-Phase Commit）:采用兩階段提交來同步兩個中心的數(shù)據(jù),在災(zāi)難發(fā)生時，僅是傳送中的數(shù)據(jù)被丟失，恢復(fù)時間被降低到分鐘級。

6級 零數(shù)據(jù)丟失 (Zero Data Loss)：災(zāi)難恢復(fù)的最高級別，可實現(xiàn)零數(shù)據(jù)丟失和自動系統(tǒng)故障切換。

（三）災(zāi)難恢復(fù)的層次

從主中心與災(zāi)備中心距離來看，災(zāi)難恢復(fù)有本地災(zāi)難恢復(fù)、同城災(zāi)難恢復(fù)和異地災(zāi)難恢復(fù)。從應(yīng)用層次分類，災(zāi)難恢復(fù)可以分為數(shù)據(jù)級、系統(tǒng)級和應(yīng)用級災(zāi)難恢復(fù)。數(shù)據(jù)級災(zāi)難恢復(fù)指建立一個本地或異地的數(shù)據(jù)系統(tǒng)，作為主系統(tǒng)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的一個備份；系統(tǒng)級災(zāi)難恢復(fù)在備份業(yè)務(wù)數(shù)據(jù)之外，還要對信息系統(tǒng)運行環(huán)境、數(shù)據(jù)庫系統(tǒng)和通信網(wǎng)絡(luò)等進行備份，以便迅速恢復(fù)整個信息系統(tǒng)；應(yīng)用級災(zāi)難恢復(fù)在系統(tǒng)級災(zāi)難恢復(fù)之上，提供保證信息系統(tǒng)所支持的業(yè)務(wù)持續(xù)運行所需要的各種資源，包括主機、存儲、網(wǎng)絡(luò)、相關(guān)基礎(chǔ)建設(shè)和相應(yīng)的技術(shù)支持能力。

（四）災(zāi)難恢復(fù)的管理

為了確保災(zāi)難恢復(fù)的成功，必須對災(zāi)難恢復(fù)建設(shè)的全過程進行管理，明確組織在災(zāi)難前、災(zāi)難中和災(zāi)難后應(yīng)當(dāng)采取的行動和步驟。災(zāi)難恢復(fù)建設(shè)是一個系統(tǒng)工程，具體可分為如下幾個階段：

項目啟動階段：這個階段是災(zāi)難恢復(fù)計劃組織化、概念化的階段，爭取領(lǐng)導(dǎo)和相關(guān)各部門的支持。

確定災(zāi)難恢復(fù)需求階段：基于對信息系統(tǒng)風(fēng)險分析的結(jié)果，確定關(guān)鍵業(yè)務(wù)功能及災(zāi)難對關(guān)鍵功能的影響，從而得出各功能的災(zāi)難恢復(fù)優(yōu)先級、恢復(fù)目標(biāo)、恢復(fù)等級。

制定災(zāi)難恢復(fù)策略階段：根據(jù)災(zāi)難恢復(fù)需求，對機構(gòu)自身情況和成本效益做分析，確定災(zāi)難恢復(fù)資源的需求和獲取方式。

災(zāi)難恢復(fù)方案實施階段：選定合適的產(chǎn)品、技術(shù)，建設(shè)災(zāi)備中心，實現(xiàn)災(zāi)難恢復(fù)策略。

災(zāi)難恢復(fù)預(yù)案制定階段：在此階段組織要制定災(zāi)難恢復(fù)預(yù)案，預(yù)案包含從災(zāi)難中恢復(fù)的步驟、相關(guān)人員職責(zé)以及操作流程和規(guī)范。

災(zāi)備系統(tǒng)持續(xù)運行階段：災(zāi)難恢復(fù)建設(shè)中最長的一個階段。包括災(zāi)難恢復(fù)預(yù)案的管理、教育、培訓(xùn)、演練和災(zāi)備中心的日常運行維護管理。

災(zāi)難恢復(fù)建設(shè)不可能一蹴而就，將是一個長期持續(xù)的過程，組織應(yīng)根據(jù)內(nèi)外部環(huán)境的變化，定期或按需重新分析災(zāi)難恢復(fù)需求，并根據(jù)變化了的需求調(diào)整災(zāi)難恢復(fù)策略、災(zāi)備方案和審核、變更災(zāi)難恢復(fù)計劃。

二、高校檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)的必要性及現(xiàn)狀

隨著檔案信息化建設(shè)的不斷推進，各高校檔案館（室）的數(shù)字化資源不斷增加，電子文件和數(shù)字化檔案的高速增長不僅給高校檔案事業(yè)注入了新的活力，更給高校檔案管理模式帶來了新的挑戰(zhàn)。如何保證這些數(shù)字資源的安全正越來越多地受到高校的重視。

目前各高校檔案信息化的一個努力方向就是將檔案信息系統(tǒng)建設(shè)成為高校各類權(quán)威信息的集中地，以確保能夠提供更全面的信息服務(wù)。數(shù)據(jù)集中減少了檔案信息系統(tǒng)的管理成本，促進了檔案信息的共享，提供了進一步挖掘檔案信息資源價值的機會。但與此同時，數(shù)據(jù)大集中也給檔案信息安全帶來了更大的風(fēng)險，一旦檔案信息系統(tǒng)所在地遭受災(zāi)難，其損失將影響到高校各方面的事業(yè)，產(chǎn)生災(zāi)難性后果。這就要求高校在進行檔案信息化建設(shè)過程中必須同步加強災(zāi)難恢復(fù)建設(shè)。

據(jù)筆者了解，東南大學(xué)檔案館開發(fā)了網(wǎng)絡(luò)存儲、雙機互備及異地容災(zāi)一體化系統(tǒng)，實現(xiàn)了同城兩個校區(qū)之間的災(zāi)備。目前國內(nèi)其他高校檔案館（室）進行災(zāi)難恢復(fù)建設(shè)的寥寥無幾，究其原因，無外乎三個方面的因素：一是眾多高校領(lǐng)導(dǎo)及高校檔案管理人員對檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)的重要性認(rèn)識不足；二是由于多數(shù)高校辦學(xué)經(jīng)費、檔案經(jīng)費緊張，無力承擔(dān)昂貴的災(zāi)難恢復(fù)建設(shè)費用；三是由于高校檔案館（室）高級技術(shù)人才儲備不足，即使經(jīng)濟上允許也無力獨自進行災(zāi)難恢復(fù)建設(shè)。

三、高校檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)途徑

（一）加強宣傳，提高災(zāi)難意識

長期的安穩(wěn)生活讓人們對災(zāi)難缺乏直觀感受，普遍缺乏災(zāi)難意識。而各種災(zāi)難卻是時時、處處可能發(fā)生的，比如地震、洪水、暴風(fēng)雨、火災(zāi)，甚至戰(zhàn)爭等等。高校檔案館室在進行災(zāi)難恢復(fù)建設(shè)前，應(yīng)大力宣傳和培訓(xùn)，特別是要對高校領(lǐng)導(dǎo)層宣傳災(zāi)難恢復(fù)建設(shè)的重要性。只有領(lǐng)導(dǎo)層重視起來，親自過問、參與，檔案館室才有可能開展進一步的建設(shè)工作。

（二）分析災(zāi)難恢復(fù)需求，確定災(zāi)難恢復(fù)等級

信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)是高投入、低回報的項目，同時是針對高風(fēng)險、低概率事件準(zhǔn)備的。高校檔案館室必須做到災(zāi)難恢復(fù)目標(biāo)等級和建設(shè)成本之間的平衡。高校檔案館室應(yīng)對檔案信息系統(tǒng)可能遭遇的風(fēng)險以及風(fēng)險可能產(chǎn)生的業(yè)務(wù)影響有清晰的了解，同時需要分析檔案信息系統(tǒng)關(guān)鍵性的功能以及這些功能一旦喪失可能帶來的損失和影響。根據(jù)上述分析結(jié)果來確定可以容忍信息系統(tǒng)丟失多少數(shù)據(jù)以及中斷多長時間，最后據(jù)此確定災(zāi)難恢復(fù)等級。

高校檔案信息系統(tǒng)應(yīng)首要關(guān)注各類檔案數(shù)據(jù)的存儲安全，然后再保證查詢、著錄等其他功能正常使用。這就決定了高校檔案信息系統(tǒng)災(zāi)難恢復(fù)實時性要求不是很高，前述災(zāi)難恢復(fù)等級的第2級或第3級即可滿足要求，一般設(shè)計為數(shù)據(jù)級災(zāi)難恢復(fù)或系統(tǒng)級災(zāi)難恢復(fù)即可。

（三）選擇適當(dāng)?shù)慕ㄔO(shè)模式進行災(zāi)備中心建設(shè)

災(zāi)備中心建設(shè)模式目前主要有三種：自建、共建或外包。自建是指高校檔案館自行建設(shè)并維護災(zāi)備中心，此模式雖有利于檔案信息保密與安全，減少檔案數(shù)據(jù)丟失風(fēng)險，但其建設(shè)費用昂貴、運維成本高，而且高校檔案館也無相應(yīng)的人力儲備，所以自建模式不適合高校檔案館。共建模式是指兩方或多方組織按照一定的投資比例投入資金、人力、物力進行災(zāi)備中心的建設(shè)和運行維護管理。外包模式指通過專業(yè)的、具備災(zāi)難恢復(fù)服務(wù)資質(zhì)的IT公司來建設(shè)備份中心。

高校檔案館應(yīng)根據(jù)自身情況，靈活選擇災(zāi)備中心建設(shè)模式。高校檔案館可以選擇和其他高校檔案館合作共建或互為備份基地；可以與圖書館合作共建；可以共享各級公共檔案館的建設(shè)成果?？紤]到目前各高校都有幾個校區(qū)，和高校信息中心共建災(zāi)備中心，分別將主系統(tǒng)和備用系統(tǒng)安置在不同校區(qū)，對于較低級別的災(zāi)難恢復(fù)建設(shè)也是不錯的選擇。高校檔案館還可以選擇自建與外包模式相結(jié)合，將主要技術(shù)服務(wù)外包給IT服務(wù)商，核心業(yè)務(wù)由高校檔案館自行建設(shè)。

（四）制定災(zāi)難恢復(fù)預(yù)案，加強災(zāi)難恢復(fù)管理

高校檔案館應(yīng)制定災(zāi)難恢復(fù)計劃，規(guī)范災(zāi)難發(fā)生后檔案館響應(yīng)災(zāi)難方式。只有預(yù)先規(guī)定詳細(xì)的響應(yīng)步驟和每個相關(guān)人員應(yīng)承擔(dān)的責(zé)任，這樣在災(zāi)難發(fā)生后，才不會出現(xiàn)混亂，才可以按照計劃進入災(zāi)難恢復(fù)流程，發(fā)揮災(zāi)備中心作用。

完成災(zāi)備中心建設(shè)，并不意味著從此就可以高枕無憂。災(zāi)備中心應(yīng)時刻處于可響應(yīng)狀態(tài)，當(dāng)災(zāi)難發(fā)生時，可隨時進入災(zāi)難恢復(fù)流程，這就要求強化災(zāi)備中心地日常管理，制定相應(yīng)的管理制度并有效實施。

四、結(jié)語

為保證檔案信息安全，高校檔案信息系統(tǒng)必須進行災(zāi)難恢復(fù)建設(shè)。高校檔案館應(yīng)合理規(guī)劃，綜合平衡建設(shè)成本和風(fēng)險，以較小的投入保證檔案信息系統(tǒng)抵御災(zāi)難的能力，減少檔案數(shù)據(jù)損失，確保高校檔案的安全、完整和及時恢復(fù)利用，更好地為高校事業(yè)的科學(xué)發(fā)展服務(wù)。

①劉洋：《談高校管理信息化建設(shè)過程中的IT災(zāi)備問題》，《科教文匯(中旬刊)》2009年第3 期：23-24。

②劉家真：《我國文獻(xiàn)信息管理系統(tǒng)災(zāi)難備份的思考》，《情報學(xué)報》2007年第1期：141-147。

③魏伶俐：《構(gòu)建國家檔案信息災(zāi)難備份中心的設(shè)想》，《北京檔案》2009年第7期：23-24。

④柳萍、蘇衛(wèi)平、張魁：《高校檔案館網(wǎng)絡(luò)存儲、雙機互備及異地容災(zāi)一體化系統(tǒng)研究與設(shè)計》，《檔案與建設(shè)》2008年第5期：21-23。