地震、水灾、火灾……天灾突如其来;错误操作、人为破坏、恐怖袭击……人祸防不胜防;设备失效、软件错误、通讯中断……技术风险时时存在。在企业越来越依赖信息系统安全运行的今天,一旦业务中断、信息丢失,可能造成的是致命威胁。而遭遇影响公司运营的意外情况也越来越普遍,数据显示,20%的企业平均5年就会遇到一次意外威胁。
根据IDC的一项关于19902000年10年间公司遭遇灾难情况的统计,灾难发生后,由于数据丢失或者企业没有业务连续性系统,55%的公司当时即宣告倒闭,剩下的45%中,有29%的公司在两年内倒闭。
也有企业能够劫后重生。“9·11”事件之后,在1200家遭遇灾难的公司中,有400家迅速启动灾难恢复———业务连续性计划,一个典型的案例是,几天之后,摩根士丹利就在新泽西州恢复了营业。
因此,对于企业来说,通过灾难备份来实现业务连续性管理计划(BusinessContinuityManagementPlanBCMBCP),已经成为企业提高风险防范能力,有效应对非计划的业务破坏,并降低不良影响的重要举措。
中企亟待建立BCM
业务连续性管理是一项综合性的管理流程,使得企业能够认识到潜在的危机和相关影响;制定响应、业务连续性和恢复计划。制定业务连续性计划的企业,能够在突发性事件面前迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或业务流程本质的改变。
“9·11”事件之前,公司关注的事项大部分集中在IT层面上,包括软硬件故障、数据破坏、通讯故障、现场物理设施问题以及安全漏洞等,这些问题,集中的解决方案是数据备份;但“9·11”事件的发生,让人们意识到,不仅仅是公司的IT系统受到挑战,另外一些问题凸现出来,这些问题,既有公司管理上的,也有IT技术上,同时也包括操作设备上的。
从管理上来看,公司缺乏紧急状况处理小组的全盘协调指挥,缺乏有效的员工通知、联系、生存的确认方式,缺少负责各项恢复工作的技术人员的对应关系,不能确认应用环境是否已经恢复到允许重新开始业务,无法应对公众的提问和新闻采访;
从技术上看,不能明确恢复的全部内容,缺少主机意外的外围设备、网络设备、通讯设备;
从操作上来看,没有设备齐全的工作场地,包括办公桌、办公设备等,丢失密码,失去重要技术人员,以及不能明确业务恢复的优先次序,没有可参考执行的文档,无法恢复主机系统、数据、网络和应用等。
从灾难恢复和业务连续性管理的角度来看,如何解决这些问题,成为灾难后公司面临的重要课题,一旦企业解决不了这些问题,可能带来的是毁灭性后果;而一旦企业从事前就开始预防,快速从生产中心切换到灾备中心,最终将赢得持续经营的机会。
国家信息化专家咨询委员会委员曲成义介绍说,“9·11”事件之后,70%的美国公司开始启动灾备机制,美联储、美国货币监理署、美国证券交易委员会三家联合发布了强化金融容灾能力的白皮书,白皮书对金融机构在遭遇灾难打击之后的恢复能力提出了要求,并限定了恢复能力到位的时间表。
英国的FSA、德国的HKMA、新加坡的MAS也重新对银行的灾难恢复能力进行了评估,并提出了相应的监管要求。
在中国,业务中断事件的发生越来越引起人们的关注。大部分企业具备了灾难恢复的部分要素,但还没有建立起统一的业务连续性管理机制,CCWResearch2004年的研究表明,行业用户对信息安全越来越重视,投入也呈稳定增长态势,但仍然处于起步阶段。
2003年8月,《国家信息化领导小组关于加强信息安全保障工作的意见》要求,各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置预案。
标准的制定对于指导灾难恢复和业务连续性管理起到重要作用。不久以前,由国务院信息化工作办公室牵头起草了一份《重要信息系统灾备指南》,指南从灾难恢复的管理、需求的分析、策略的制定和实现、预案的制定、落实和管理等方面进行了阐释。
2002年,国家税务总局信息中心处长李建彬曾经参与金税三期工程,当时在制定总体方案时,无法找到一个如何制定灾难恢复计划的参照系,当时通行的SHARE78等级划分因过于侧重技术,并不适用于中国的实际情况。“《指南》对如何来做,做到什么程度,如何根据风险平衡的原则适当制定灾难恢复等级等都提出了原则性和可操作性的规定。”李建彬分析。
BCM是综合管理计划
“对灾难备份而言对IT系统的备份‘仅是冰山的一角’。”GDS万国数据服务公司首席灾备顾问、中国大陆第一位获得DRI认证的业务连续运作专家汪琪说。
业务连续性计划才是企业真正获得永续经营的法宝。业务连续性计划的非营利性国际机构DRI亚洲执行总监GohMohHeng说,业务连续性能够帮助企业继续获得核心组织功能,保护国家利益和主要职能,同时保护市场份额和收入,减少破坏时间和损失,保护股东、客户、员工的利益和信心,保护品牌和信誉,使得企业在灾难中获得重生。
汪琪介绍说,针对业务连续性的国际专业操作步骤包括,项目启动和管理、风险评估和控制、业务影响分析、制定业务连续性战略、紧急响应和运行、计划制定和业务连续性计划的实施、认知和培训项目、业务连续性计划的演练和维护、危机联络、与外部机构的合作等等。“业务连续性计划更关注的是非IT的部分。”
一个业务连续性的计划,必须考虑到恢复事件的目标和恢复点的目标以及网络恢复目标,简单说来,前者是指在业务系统不可用的情况下,多长时间是一个可容忍的限度;恢复点目标则是指系统被恢复时,多少数据需要被重新建立但不会对整体业务产生致命冲击;网络恢复目标是指从生产中心(业务中心)切换到灾难备份中心的时间。
业务连续性的模型,从战略、组织、业务和IT流程、应用及数据、技术、基础设施等方面都有严格的规定。DRI的最佳实践为这个模型提供了很多可以借鉴的经验。
事实上,已经在美国存在了35年的灾难管理标准惯例也未能得到很好的执行,“9·11”事件同样也暴露出很多问题。EMC中国区市场总监杜国强说,很多公司没有能将人员的知识分散到两个或者更多地点,未能尽职尽责地交叉培养高级管理人员,没有清晰的分级连续性,未能进行完全灾难演练,使得灾难来临时,公司措手不及。
同样,由于刚刚起步,国内在灾难备份———业务连续性计划上,也存在着一些硬伤。
GDS市场总监何政说,单从基础设施方面来看,很多灾备中心的选址并不科学,令人担忧。他最近接触的一个案例集中暴露了一些问题,一家公司将其灾备中心的地址选在了一座紧邻马路的四层建筑里,经过实地考察,GDS发现,路基平面高于建筑物一楼地面约三米,“一旦市政管网爆裂将可能会面临水灾的风险。”除此之外,建筑的设计在平面规划、设备运输上不能满足要求,而缺少消防系统、供电能力不足、避雷和接地系统不符合要求等问题也一一被指出。
“在我们接触的案例中,这样的问题不是少数。”GDS华东区总经理徐彪说,一家银行将自己的灾难备份中心建在了太湖边上,建筑平面低于水位线,“这样的设计,不亚于在刀尖上跳舞。”
平衡风险和成本
一般来说,在考虑企业对灾难备份和业务连续性管理的需求时,数据恢复的级别是一个重要的指标。事实上,灾难恢复的时间越短,成本就越高,时间拖延越长,业务停顿损失就越大。战略研究公司的数据表明,重要信息系统停机,经纪(证券)业每小时的损失是650万美元;信用卡业是260万美元,电子购物业是11万美元……
此外,数据表明,西方发达国家的一般公司其IT总预算的7%~15%是用于灾难恢复的,这意味着这些公司每个月要支付5万~10万美元的费用,而大型公司这一数字可能达到100万美元/月。
因此,如何评估并得出最佳的恢复时间和成本方案,是公司必须优先考虑的问题。
如何使得成本和收益最大化,还包括对灾难备份方式的选择。“灾难备份的模式包括自建、联合共建和社会化服务等模式。”汪琪说。
曲成义说,灾难是高风险小概率事件,灾备则是高投入低效率的,因此,系统的建设容易,但是维护起来却很困难。中国人民银行银行司副司长李晓枫说,目前国内的银行普遍采用的是自建的方式,一次性建设投入高,运行维护的成本可能更高。长期维护一支高水平、灾难发生时真正发生作用的灾难恢复队伍更难。
因此,李晓枫建议说,灾难备份的社会化服务非常必要。包括灾难备份服务整体外包,投资参与灾难备份设施的建设以及租用第三方灾难备份设施,利用社会专业技术力量运营、管理和应急支援等多种形式。根据国外的经验,外包租用灾难备份服务的成本只有自建的二分之一甚至五分之一。在美国,56%的企业选择了利用社会化服务完成灾难备份-业务连续性管理。国务院信息化办公室司长王榆次表明了国家对企业灾难备份-业务连续性计划的态度,他说,鼓励社会力量参与这项设施建设,走专业化服务的道路,“要统筹规划,合理布局,防止一哄而上,避免重复建设。”
灾难备份/业务连续性管理的20条准则:
1花钱不代表解决了一切,硬件性价比逐年提升,但业务连续性的投资不一定更经济;
2从零开始;
3剔除所有单点故障;
4维持高度系统安全性;
5整合所有服务器;
6将所有共通性的工作自动化,避免误操作;
7将一切记录下来,程序、开发文档、操作手册、应用手册等;
8制定服务水平协定;
9及早规划;
10测试演练;
11维持分散式环境;
12将故障隔离;
13了解系统历史情况数据;
14构筑以符合未来的成长;
15选择成熟的软件;
16选择可靠性服务性高的硬件;
17复制成功的配置,容易支持测试;
18参考外界资源;
19一个问题,一个解决方案;
20KISS(KeepItSimpleasStupid越简单越好)。
(资料来源EMC)
灾难备份/业务连续性管理的5条阻碍因素:
1这不是我的工作
2价格太昂贵
3这里绝不会发生
4NIH病症
5未能将问题搬上台面讨论
(资料来源EMC)
作者:早报记者 王立伟
