汪琪：災(zāi)難恢復(fù)的發(fā)展趨勢(shì)與變革

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

大家好，今天上午其實(shí)聽(tīng)了這么多專(zhuān)家和領(lǐng)導(dǎo)的發(fā)言，會(huì)有很多感觸。其實(shí)，我們國(guó)家的災(zāi)難恢復(fù)建設(shè)在過(guò)去的這么多年間從2000年的千年蟲(chóng)問(wèn)題開(kāi)始考慮，一直到我們應(yīng)對(duì)了這么多的自然災(zāi)害，人為災(zāi)害，奧運(yùn)的應(yīng)急保障，整個(gè)體系其實(shí)走過(guò)了一個(gè)由無(wú)到有，由簡(jiǎn)到繁，深入淺出的過(guò)程。所以今天我到這里不做具體的探討某一項(xiàng)工作如何開(kāi)展，而是希望我們一起看一下我們這個(gè)行業(yè)，看看我們的用戶，看看從政策層面發(fā)展的趨勢(shì)。

災(zāi)備的起源它是在70年代從美國(guó)的中西部地區(qū)開(kāi)始有災(zāi)備這些方面準(zhǔn)備的工作，當(dāng)時(shí)主要是應(yīng)對(duì)自然的災(zāi)害，保護(hù)自己重要的數(shù)據(jù)，重要的系統(tǒng)。在過(guò)去這么多年間，災(zāi)難恢復(fù)整個(gè)的歷程應(yīng)該說(shuō)有三個(gè)發(fā)展階段：第一個(gè)發(fā)展階段是在90年代之前，大家看到更多的是如何恢復(fù)自己的數(shù)據(jù)和信息系統(tǒng)，也就是說(shuō)IT的災(zāi)難備份這方面；第二個(gè)階段從90年代一直到2000年左右，大家逐步從恢復(fù)災(zāi)后后臺(tái)的IT系統(tǒng)發(fā)展到所謂支撐我們的業(yè)務(wù)如何進(jìn)行恢復(fù)，從業(yè)務(wù)的角度來(lái)看我們一旦出現(xiàn)了問(wèn)題，我們哪一些業(yè)務(wù)是最需要的，哪些業(yè)務(wù)恢復(fù)的范圍和恢復(fù)的指標(biāo)是什么；接著在2000年之后大家不單看自己了，不單從我要恢復(fù)什么來(lái)看，而是從管理的角度如何能夠使我們的企業(yè)，使我們的機(jī)構(gòu)能夠長(zhǎng)期、持續(xù)、穩(wěn)定的運(yùn)行。從管理的角度來(lái)看恢復(fù)和業(yè)務(wù)連續(xù)，這個(gè)時(shí)候不單單是自己的上下游，自己的供應(yīng)鏈，和自己相關(guān)的組織機(jī)構(gòu)災(zāi)難恢復(fù)體系的建設(shè)，整個(gè)社會(huì)體系的完善程度都跟自己有關(guān)，這是過(guò)去這么多年發(fā)展的三個(gè)階段。

下面我想從三個(gè)大的角度來(lái)看，這個(gè)發(fā)展在國(guó)外和國(guó)內(nèi)它的趨勢(shì)怎樣？一個(gè)是監(jiān)管機(jī)構(gòu)的政策方面的發(fā)展；第二個(gè)是我們的行業(yè)用戶在建設(shè)方面的發(fā)展；第三個(gè)是我們?yōu)槲覀兊目蛻?，為我們的行業(yè)提供服務(wù)的災(zāi)難恢復(fù)的服務(wù)商他們的發(fā)展。從國(guó)際上現(xiàn)在成熟的體系來(lái)講，從剛才我們的災(zāi)備協(xié)會(huì)的主席John B Copenhaver，還有彭勇主任都介紹了很多，從當(dāng)年我們DRII協(xié)會(huì)成立從80年代開(kāi)始，從學(xué)術(shù)上逐步開(kāi)始建立整個(gè)行業(yè)的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)管理的標(biāo)準(zhǔn)，并且逐步從所謂的最佳實(shí)踐開(kāi)始將整個(gè)標(biāo)準(zhǔn)逐步進(jìn)行擴(kuò)充，并且在全世界范圍內(nèi)進(jìn)行整合，現(xiàn)在國(guó)際上成熟的體系是BS25999，還有剛剛提到的ISO，還有新加坡SPRING，整個(gè)業(yè)務(wù)聯(lián)系的架構(gòu)，這種對(duì)組織目標(biāo)的理解，對(duì)于戰(zhàn)略的開(kāi)發(fā)，對(duì)我們整個(gè)發(fā)展的要點(diǎn)，以及維護(hù)評(píng)審和組織文化這些方面不斷的去把整個(gè)體系內(nèi)容豐富。

從監(jiān)管的角度來(lái)講，我們看到了美國(guó)的發(fā)展程度應(yīng)該說(shuō)是最多的，實(shí)際上從80年代開(kāi)始像聯(lián)邦一級(jí)的緊急事務(wù)管理局對(duì)工商業(yè)對(duì)政府發(fā)生災(zāi)難的時(shí)候的一些標(biāo)準(zhǔn)。從技術(shù)體系來(lái)講，比如像NIST美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)學(xué)會(huì)，在2002年發(fā)布了信息技術(shù)應(yīng)急指南，從信息技術(shù)的角度他們開(kāi)始提出應(yīng)急風(fēng)險(xiǎn)管理和災(zāi)難恢復(fù)。在其他的國(guó)家包括比如英國(guó)，很多的關(guān)于災(zāi)備方面的行業(yè)政策FSA它的金融監(jiān)管部門(mén)做出的，澳大利亞是由澳大利亞的審計(jì)署在9.11之后出了最佳實(shí)踐指南。在亞洲體系比較完善的是新加坡和香港。新加坡的金融管理局以及香港的金融管理局，兩個(gè)金融管理單位都提出了相應(yīng)的內(nèi)控環(huán)節(jié)以及在審計(jì)環(huán)節(jié)的災(zāi)難恢復(fù)以及業(yè)務(wù)延續(xù)的規(guī)劃和標(biāo)準(zhǔn)，臺(tái)灣在臺(tái)灣的行政院上對(duì)行政院所下屬的各個(gè)機(jī)關(guān)，對(duì)業(yè)務(wù)連續(xù)計(jì)劃和規(guī)劃做出了一些明確的規(guī)定。所以這是國(guó)外從80年代一直發(fā)展到現(xiàn)在整個(gè)的發(fā)達(dá)國(guó)家的監(jiān)管體系，可以看出來(lái)監(jiān)管的體系有從國(guó)家范疇的，比如聯(lián)邦范疇的，有從行業(yè)范疇發(fā)起的比如金融體系的，有從服務(wù)商的要求，也有對(duì)政府和金融機(jī)構(gòu)自己內(nèi)部的要求，就像剛剛John B Copenhaver說(shuō)的一樣，標(biāo)準(zhǔn)非常多，但是沒(méi)有進(jìn)一步統(tǒng)一。

國(guó)內(nèi)的相關(guān)災(zāi)難恢復(fù)的文件實(shí)際上它的起源我們來(lái)看到，從國(guó)家的角度來(lái)講，最早的是27號(hào)文件是由我們中辦下發(fā)的，提出了基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的建設(shè)要充分考慮我們的抗毀性和災(zāi)難恢復(fù)，并且要制定完善的信息安全儲(chǔ)備預(yù)案。在這之后2004年我們的信息安全小組做出了做好信息安全系統(tǒng)備份工作的通知，2005年國(guó)信辦印發(fā)了重要信息系統(tǒng)災(zāi)難恢復(fù)指南。銀行業(yè)其實(shí)從2002年隨著銀行的大集中的運(yùn)行就已經(jīng)提出了要加強(qiáng)自己的災(zāi)難恢復(fù)建設(shè)，一直來(lái)講跟隨著我們國(guó)家的相應(yīng)標(biāo)準(zhǔn)的出臺(tái)，銀行業(yè)也出臺(tái)了自己相應(yīng)的標(biāo)準(zhǔn)，在2006年有兩個(gè)比較重要的文件，一個(gè)是銀監(jiān)會(huì)下發(fā)的63號(hào)文明確的提出全國(guó)性的數(shù)據(jù)中心要實(shí)現(xiàn)異地災(zāi)備，省域以下的數(shù)據(jù)中心要實(shí)現(xiàn)數(shù)據(jù)備份，2006年4月下發(fā)了123號(hào)文，全國(guó)性的銀行應(yīng)該原則上才能同城加異地的備份策略，區(qū)域性可以才能同城或異地的備份，對(duì)于核心的業(yè)務(wù)系統(tǒng)必須實(shí)施應(yīng)用級(jí)備份，對(duì)于其他應(yīng)用系統(tǒng)可以才能實(shí)施或應(yīng)用備份。

第15號(hào)文《關(guān)于開(kāi)展信息科技風(fēng)險(xiǎn)自我評(píng)估系統(tǒng)數(shù)據(jù)填報(bào)的通知》這里面明確了對(duì)風(fēng)險(xiǎn)點(diǎn)“高級(jí)管理層監(jiān)督力度不足”明確提出的業(yè)務(wù)連續(xù)性建設(shè)責(zé)任要求是“被監(jiān)管機(jī)構(gòu)的董事會(huì)和高級(jí)管理層對(duì)業(yè)務(wù)要做備份”，對(duì)風(fēng)險(xiǎn)評(píng)估越來(lái)越詳細(xì)。在應(yīng)對(duì)奧運(yùn)的風(fēng)險(xiǎn)時(shí)連續(xù)下發(fā)的幾個(gè)通知里有一些特色：一個(gè)是關(guān)注企業(yè)自己內(nèi)部風(fēng)險(xiǎn)的自我檢查以及對(duì)檢查出來(lái)的問(wèn)題要及時(shí)上報(bào)；第二同關(guān)注全國(guó)性大型的金融機(jī)構(gòu)延伸到區(qū)域性地方性的商業(yè)銀行，2008年GDS幫一些我們的客戶實(shí)際上做了很多應(yīng)用當(dāng)?shù)氐你y監(jiān)會(huì)、銀監(jiān)局的檢查做了很多完善工作，同時(shí)從關(guān)注這種信息系統(tǒng)災(zāi)難系統(tǒng)的建設(shè)延伸到突發(fā)事件的管理，風(fēng)險(xiǎn)的控制，內(nèi)部的企業(yè)內(nèi)控，另外是特別注重演練，建議在演練的時(shí)候高層參與，業(yè)務(wù)和信息部門(mén)一起參與，并且建立統(tǒng)一的協(xié)調(diào)機(jī)制跟外部協(xié)調(diào)。所以從行業(yè)的政策監(jiān)管調(diào)控，從國(guó)家到行業(yè)，到地方，從高層、全局性的管理要求到實(shí)操層面，到自我的檢查，再到審計(jì)、監(jiān)督我們的政策是在順著一條路在發(fā)展中的。

今年7月1日起我們對(duì)于上市的企業(yè)將實(shí)施企業(yè)內(nèi)部控制規(guī)范，這是由財(cái)政部、證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)一起下發(fā)的。在企業(yè)內(nèi)控中可以看到很多跟業(yè)務(wù)連續(xù)和災(zāi)難恢復(fù)相關(guān)的內(nèi)容。我們以后在做災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)時(shí)候要把企業(yè)內(nèi)控個(gè)風(fēng)險(xiǎn)評(píng)估放在整體的范圍之內(nèi)考慮，這是我們第一個(gè)方向，就是從監(jiān)管的角度，從行業(yè)的這些政策的角度來(lái)看待我們的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)的建設(shè)。

我們認(rèn)為整個(gè)發(fā)展是從全國(guó)的IT信息集中過(guò)程中的安全保障發(fā)展到數(shù)據(jù)集中當(dāng)中的系統(tǒng)運(yùn)行、安全的運(yùn)行，再發(fā)展到面向重要信息系統(tǒng)的災(zāi)備的建設(shè)，然后發(fā)展到整個(gè)災(zāi)備的體系和指標(biāo)的具體要求，再擴(kuò)展到我們的應(yīng)急體系的建設(shè)，突發(fā)事件的應(yīng)對(duì)，再到現(xiàn)在的風(fēng)險(xiǎn)的內(nèi)控、聯(lián)合應(yīng)急、審計(jì)的要求、媒體的攻關(guān)，從運(yùn)行安全到IT安全要求等等。

第二從行業(yè)的建設(shè)來(lái)看，我們認(rèn)為現(xiàn)在行業(yè)的建設(shè)已經(jīng)不僅僅是一個(gè)數(shù)據(jù)的備份和信息系統(tǒng)的恢復(fù)這樣一個(gè)范疇，從我們總體的建設(shè)目標(biāo)和范圍來(lái)看。我們這里舉了一個(gè)例子，實(shí)際上這是我們?cè)谇斑^(guò)來(lái)講一類(lèi)的銀行，它在建設(shè)自己的業(yè)務(wù)連續(xù)的時(shí)候，它的目標(biāo)是什么？是要形成覆蓋全機(jī)構(gòu)范圍和重要外部利益相關(guān)機(jī)構(gòu)的業(yè)務(wù)持續(xù)性體系，從公司自理層面建立統(tǒng)一的架構(gòu)，這個(gè)提法和以前的災(zāi)備數(shù)據(jù)完全不是一個(gè)層面了。接著在總體的框架下建立各業(yè)務(wù)條線，各分支機(jī)構(gòu)、單位的業(yè)務(wù)執(zhí)行計(jì)劃，最終形成一個(gè)完整的業(yè)務(wù)管理體系。建設(shè)體系的基礎(chǔ)上在基礎(chǔ)設(shè)施，人員信息數(shù)據(jù)品牌聲譽(yù)，遭到破壞性突發(fā)事件的時(shí)候要有迅速響應(yīng)的能力，保證關(guān)鍵性業(yè)務(wù)的持續(xù)運(yùn)作，降低我們的損失。今天我們?cè)诼?tīng)John B Copenhaver的演講當(dāng)中他有應(yīng)急響應(yīng)，有災(zāi)難恢復(fù)，有業(yè)務(wù)連續(xù)，還有業(yè)務(wù)連續(xù)，實(shí)際上我們?cè)谡剺I(yè)務(wù)連續(xù)的時(shí)候，我們的關(guān)注點(diǎn)從一個(gè)企業(yè)的角度來(lái)講不僅IT，不僅是業(yè)務(wù)，還要關(guān)注人員和品牌。按

最后，還要通過(guò)日常的維護(hù)和周期性的演練不斷提升業(yè)務(wù)持續(xù)性的能力，提高我們的業(yè)務(wù)管理性要求。相應(yīng)的，就這個(gè)目標(biāo)我們有一個(gè)業(yè)務(wù)連續(xù)性建設(shè)的規(guī)劃的路線圖，這個(gè)路線圖可以看到從核心的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)規(guī)劃，我們的數(shù)據(jù)中心的規(guī)劃，核心系統(tǒng)的業(yè)務(wù)連續(xù)建設(shè)，到各個(gè)渠道，各個(gè)外圍系統(tǒng)，各個(gè)分支機(jī)構(gòu)的電腦中心的相關(guān)業(yè)務(wù)連續(xù)的建設(shè)，再到我們內(nèi)部的管理信息系統(tǒng)，各個(gè)信息中心，甚至包括我們的后臺(tái)處理，甚至我們后臺(tái)的辦證中心他們相關(guān)的IT系統(tǒng)的建設(shè)，再擴(kuò)展到各個(gè)分支機(jī)構(gòu)，各個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)自己非IT業(yè)務(wù)流程上面的建設(shè)，最后是到我們關(guān)聯(lián)的業(yè)務(wù)條線，關(guān)聯(lián)的單位，關(guān)聯(lián)的數(shù)據(jù)中心它們的業(yè)務(wù)連續(xù)的建設(shè)，整個(gè)形成了一個(gè)我們的業(yè)務(wù)連續(xù)建設(shè)路線圖。這是我們從建設(shè)和建設(shè)的框架和建設(shè)路線圖上來(lái)看。

另外一個(gè)我們來(lái)看一看業(yè)務(wù)連續(xù)管理這種災(zāi)難備份體系建設(shè)架構(gòu)的變動(dòng)。過(guò)去我們經(jīng)常在說(shuō)我們?cè)诮I(yè)務(wù)連續(xù)管理或者建災(zāi)備的時(shí)候前期要做調(diào)研，要做分析，看我們的建設(shè)范圍，建設(shè)目標(biāo)，然后寫(xiě)出方案，按照方案來(lái)進(jìn)行建設(shè)和運(yùn)維，實(shí)際上現(xiàn)在我們的客戶，我們行業(yè)走的領(lǐng)先的企業(yè)，它已經(jīng)認(rèn)為隨著我企業(yè)自己內(nèi)部的業(yè)務(wù)、流程以及IT系統(tǒng)不斷的變更，不斷的實(shí)施評(píng)估、設(shè)計(jì)、策略制定，再去建設(shè)，再去運(yùn)維這一套。大家覺(jué)得這一套的效率不高，所以在這個(gè)基礎(chǔ)逐步開(kāi)始提出整體架構(gòu)上的變動(dòng)，面向所有服務(wù)的界面，包括需求的調(diào)研、配置，面向我們提供災(zāi)備服務(wù)規(guī)則，包括服務(wù)需求的規(guī)則，服務(wù)匹配的規(guī)則，自己內(nèi)部的資產(chǎn)配置規(guī)則，還有后臺(tái)資源，數(shù)據(jù)網(wǎng)絡(luò)資源，存儲(chǔ)備份的資源，面向這樣的體系架構(gòu)，面向我們的最終的需求，其實(shí)是可以采用一種基于服務(wù)的架構(gòu)快速的給我們客戶提供服務(wù)，比如說(shuō)我們現(xiàn)在在整個(gè)災(zāi)備體系中我們的需求有了變化，相應(yīng)的對(duì)我們按照服務(wù)的請(qǐng)求規(guī)則，按照生產(chǎn)的資源配置清單。按照我們的匹配程度和需求清單，我們對(duì)我們內(nèi)部的資產(chǎn)，這種災(zāi)備的資產(chǎn)進(jìn)行配置，然后根據(jù)我們的這種服務(wù)的編排規(guī)則設(shè)置各種災(zāi)備的服務(wù)方案。其次根據(jù)實(shí)現(xiàn)設(shè)定的規(guī)則，一旦出現(xiàn)緊急情況之后調(diào)動(dòng)相應(yīng)的后臺(tái)資源給予相應(yīng)提供災(zāi)難恢復(fù)和應(yīng)急服務(wù)，這一整套是可以以一套架構(gòu)和一套軟件去實(shí)現(xiàn)它，這是我們整個(gè)服務(wù)架構(gòu)體系在不斷的進(jìn)行變革。

從行業(yè)的建設(shè)上來(lái)看，我們看到銀行、證券、保險(xiǎn)、基金這些金融單位，各個(gè)大型的機(jī)構(gòu)，災(zāi)備的建設(shè)已經(jīng)初具規(guī)模，而中小企業(yè)他們的災(zāi)備剛開(kāi)始起步，業(yè)務(wù)建設(shè)相對(duì)滯后，對(duì)于國(guó)有大型企業(yè)相對(duì)重視，開(kāi)始規(guī)劃和建設(shè)自己的災(zāi)備設(shè)施，企業(yè)的需求來(lái)自自身穩(wěn)定發(fā)展的需求，以及對(duì)這些上市企業(yè)的審計(jì)的需要，對(duì)政府機(jī)構(gòu)來(lái)講在建設(shè)的時(shí)候我們信息化依賴程度高的會(huì)先走，比如說(shuō)我們?cè)趪?guó)內(nèi)的一些大型行業(yè)，像國(guó)稅的這樣大型的行業(yè)都在整個(gè)行業(yè)里面，在全國(guó)建立了統(tǒng)一的備份中心，政府機(jī)構(gòu)有一個(gè)特點(diǎn)他們?cè)谶M(jìn)行災(zāi)備建設(shè)的時(shí)候，特別是重視公共事件的應(yīng)急體系建設(shè)。

最后一個(gè)，我們提供災(zāi)難恢復(fù)服務(wù)的供應(yīng)商他們的形式，傳統(tǒng)來(lái)講分為幾種，主要是軟件硬件的提供商，數(shù)據(jù)服務(wù)技術(shù)的提供商，備份軟件提供商，數(shù)據(jù)庫(kù)的提供商有一些復(fù)制的功能，這是傳統(tǒng)的技術(shù)上相對(duì)比較少的。接下來(lái)的凈化要到我們?yōu)膫浣ㄔO(shè)的資源，我們需要有災(zāi)難恢復(fù)的場(chǎng)地，有有業(yè)務(wù)連續(xù)的場(chǎng)地，同時(shí)還需要外地為我們提供相應(yīng)的資訊工作，相應(yīng)的繼承工作，相應(yīng)的業(yè)務(wù)連續(xù)的規(guī)劃工作，所以又會(huì)由我們的災(zāi)難恢復(fù)場(chǎng)地外包商資訊服務(wù)商介入?，F(xiàn)在經(jīng)過(guò)這么多年的發(fā)展，類(lèi)似GDS這樣從2000年到現(xiàn)在跟著行業(yè)長(zhǎng)大的這些公司，他們的能力比起以前進(jìn)步了很多，他們有一整套業(yè)務(wù)連續(xù)性的資訊體系，一套規(guī)劃體系，包括你的整個(gè)調(diào)研、評(píng)估、你的策略制定，你的體系開(kāi)發(fā)，你的合規(guī)，你的保障，這一整套的體系，有系統(tǒng)的設(shè)計(jì)和實(shí)施的團(tuán)隊(duì)，支持各種各樣的主流平臺(tái)，各種各樣的通訊網(wǎng)絡(luò)，實(shí)行全國(guó)聯(lián)網(wǎng)的的備份中心，像GDS有八個(gè)中心在運(yùn)行，能夠隨時(shí)給大家提供有利保障的運(yùn)營(yíng)和災(zāi)備的團(tuán)隊(duì)，有業(yè)務(wù)恢復(fù)場(chǎng)所，有支持多種網(wǎng)絡(luò)形式，有收單中心這樣復(fù)雜的業(yè)務(wù)服務(wù)，我們的服務(wù)商開(kāi)始向綜合化方面發(fā)展。

最后總結(jié)一下，我們今天演講的題目是災(zāi)難恢復(fù)建設(shè)、發(fā)展的趨勢(shì)變革，趨勢(shì)與變革從三個(gè)方面。從監(jiān)管機(jī)構(gòu)的政策發(fā)展上講，從要求我們的運(yùn)行安全，要求我們的信息系統(tǒng)災(zāi)難恢復(fù)，再發(fā)展到要求我們整個(gè)業(yè)務(wù)連續(xù)、應(yīng)急、保障，整個(gè)體系的業(yè)務(wù)連續(xù)管理體系的完善。

從行業(yè)上從最基礎(chǔ)的數(shù)據(jù)備份，到建設(shè)自己的災(zāi)備中心，再到業(yè)務(wù)連續(xù)的體系架構(gòu)、流程以及對(duì)將來(lái)不斷變更過(guò)程當(dāng)中的快速的變化和適應(yīng)的能力來(lái)保證我們整個(gè)業(yè)務(wù)的持續(xù)。

從災(zāi)難恢復(fù)服務(wù)商的角度，從純粹的數(shù)據(jù)復(fù)制的廠商和硬件的提供商，到各專(zhuān)業(yè)的提供商，到現(xiàn)在能夠提供各種連續(xù)的業(yè)務(wù)上的綜合性服務(wù)商。整個(gè)行業(yè)無(wú)論是服務(wù)商還是監(jiān)管的層次都在向全面，向深入的角度進(jìn)行發(fā)展。我們也期待著將來(lái)在這個(gè)行業(yè)里面我們的發(fā)展趨勢(shì)和變革能夠更加的深入，能夠更加的符合大家的需求。

我的演講到這里結(jié)束，謝謝大家?。ū忍鼐W(wǎng)）