重视灾备系统建设确保数据@@安全@@

　　一@@、信息安全@@的核心是数据@@的安全@@

　　近年@@来我国社会经济持续@@、快速的发展@@，信息化的步伐不断加快@@。信息化已经在@@促进经济发展@@、调整经济结构@@、改造传统产业和提高广大人民生活质量方面发挥了不可替代的作用@@。

　　这里面有两个@@特点@@，第一@@@@，社会经济对信息化的依赖程度越来越高@@。今年@@我们发生了两次@@特别重大的灾害@@，灾害给我们带来最不方便的影响第一@@@@没有电@@，还有就是没有信息化@@。第二@@@@，各行各业已经逐步建设和积累了一@@批宝贵的信息资产@@，拿我们个@@人来讲也是一@@样的@@。

　　现在@@每个@@人的手机里面大家@@最不愿意丢失的是手机已经存的电话号码甚至于我们的短信@@。所以@@@@，在@@当前@@数据@@是我们最宝贵的资产@@。因此@@，数据@@的安全也就成为当前@@信息安全@@的非常值得关注的问题@@。

　　面对这种新的形势@@、新的挑战@@，电子化的数据@@已经成为每个@@部门@@、每个@@企业@@、每个@@个@@人的重要资产@@。它的可靠性@@、安全性和完成性关系到政府重要行业和企业的生存力和竞争力@@。

　　今年@@在@@四川特大地震中间@@，有的企业因为它的工艺装备的图纸@@、客户的档案以@@及重要的各种文档由于@@没有做好异地的存放@@，一@@旦损毁之后@@，损失巨大@@，恢复也造成了很大的困难@@。

　　在@@过去多年@@来我国的银行走向了数据@@大集中@@@@。 但是在@@四川发生大集中@@的时候@@，有两家@@储蓄额非常大的银行没有实现数据@@大集中@@@@。其中包括了遍布城乡的中国邮政储蓄银行@@，过去的邮局@@。当时这些银行的老总们彻底未眠@@，但是这个@@东西没有得到恢复@@。成都本@@身是安全的@@，所以@@@@业务没有受到影响@@。 以@@数据@@安全来考虑@@，一@@旦数据@@发生了问题@@，就直接影响到关键基础设施的正常运转@@。 

　　据国外美国密西根大学的研究报告显示@@，75%的银行和网站都存在@@着严重的安全漏洞@@。我国这种状况还是存在@@的@@。所以@@@@，概括起来我国在@@信息安全@@方面@@，当前@@应该说可以@@有四个@@主要的表现@@。 

　　第一@@@@，由于@@这种恶意代码所造成的经济损失和系统故障所造成的损失@@，逐年@@在@@呈增长的态势@@； 

　　第二@@@@，一@@些敌对势力仍然在@@通过网络对我们进行种种的破坏和干扰或者是渗透@@； 

　　第三@@@@，网上的不良和有害的信息仍然屡禁不止@@。以@@前在@@网上包括非法的机构就教授人们怎么样做炸弹@@，这是非常恶劣的情况@@； 

　　第四@@，在@@网上私密@@、泄密@@、窃密的事件时有发生@@。从我国的安全形势来讲不能持非常乐观的态度@@，仅今年@@的@@7月@@国内外有@@1931个@@IP地址对应的主机被作为僵尸网络的控制器@@，其中在@@我国大陆的就有@@303个@@。 

　　以@@2008年@@7月@@份的数据@@我国大陆有@@13万多个@@@@IP地址对应的主机被其它的国家@@和地区通过木马程序秘密控制@@。可以@@说近几年@@来集中@@的典型安全的事件包括了数据@@的窃取@@，包括发生在@@美国的大家@@知道信用卡被窃取的事件@@。 

　　网上形成了产业链@@，有的负责盗取你的虚拟资产@@，有的转化现实的货币获取高额的利润@@。由于@@Web2.0的普及带来互联网的变化使得安全的攻击变得更加多端@@，也使@@CSO各个@@单位的信息保护部门压力很大@@。 

　　为什么这样说@@，举个@@小例子说明@@。当前@@由于@@@@Web2.0、木马黑客组织也已经@@Web2.0。黑客木马的制作形成了非常广泛的群体@@，代码开源化@@，培训更加专业化@@。 

　　社区分享@@不仅使我们分享@@了网上有益的资源@@，也使@@得木马得到了发展@@。使得木马的成本@@更地@@、针对性强难以@@采集@@、难以@@查杀@@。我国是公认的木马的重灾区@@，木马经常呈现了爆炸式的增长@@。 

　　所以@@@@，数据@@安全是当前@@信息化要发展的老问题@@。所以@@@@目前各行各业都从重视传统的边界防护到更加重视数据@@的防护@@。正因为这样@@，我国信息安全@@呼唤着我们更加重视灾备系统的建设@@。灾备备份是保障数据@@安全的一@@道可靠的屏障@@。 

　　二@@、关于建立灾备中心的几点考虑@@

　　数据@@是最宝贵的资源@@，面对这些资源@@，现在@@我们的各个@@行业大都采取了@@IT集中@@、数据@@集中@@@@，我们常说的大集中@@的方案@@。也就是说@@，我们把鸡蛋都放在@@了一@@个@@篮子里@@。 

　　这种数据@@大集中@@@@，使得我们过去分布的应用和数据@@所导致的日@@益昂贵的维护和运营费用得到了缓解@@，也给企业的信息化发展了新的阶段@@。

　　当前@@，我国像金融@@、税务@@、海关重要的信息系统都实现了数据@@的大集中@@@@，或者是正在@@进行之中@@。但是必须要看到数据@@大集中@@往往意味着把我们越来越多的金蛋放在@@了同一@@个@@篮子里@@，这时候我们不得不考虑万一@@篮子翻了怎么办@@。 

　　我们说没有容灾备份@@，覆巢之下焉有完卵@@，2001年@@9月@@11日@@，美国世贸中心遭受了恐怖打击@@。灾难发生前约有@@350家@@企业在@@世贸大厦中工作@@，事故发生一@@年@@后@@，重返世贸大厦的企业变成了@@150家@@。前不久我们的银行也发生了类似的问题@@。 

　　有容灾就可以@@实现覆鸟之下可以@@完卵@@。像美国的一@@家@@基金代理公司就是由于@@他们有比较好的异地灾备的系统@@，尽管在@@大厦的人全部遇难@@，老板也难以@@避免@@。 

　　但是这个@@公司在@@@@911过后的第三@@@@天就可以@@利用完好无数的灾备系统和保存的数据@@恢复了正常的营业@@，后来发展得比较迅速@@。但是金融风暴之后怎么样就不好了解了@@，但是至少可以@@看到有容灾备份系统对于保障一@@家@@谱@@、一@@个@@单位的运营是多么重要@@。 

　　所以@@@@，我们觉得建立灾备系统的目的是要了解我们的业务是不是联系性@@。所以@@@@，通过灾备系统主要是保证我们的业务联系性@@。 

　　灾备是当前@@我国各行各业信息化建设的必修课@@。如何建好灾备系统要对我们的系统遇到的灾难进行预了解@@。像这次@@发生四川地震@@，有一@@些县城遭受了非常惨痛的损失@@，比如说北川县的县城就建在@@龙门山断裂带上@@，而龙门山断裂带是这些年@@来非常活跃的地震区@@。 

　　如果没有灾害@@，北川县城依山傍水@@、风景秀丽@@，一@@旦发生了灾难损失难以@@挽回@@。所以@@@@，我们建立灾备系统必须要了解我们可能会碰到的各种灾害@@，包括地理环境@@，自然灾害@@，以@@及在@@服务中断的时候给系统造成的影响等等@@。 

　　我们要指出当前@@我国很多行业在@@高速发展的过程当中@@，很多的流程和制度不完善@@。所以@@@@，使得我们建设灾备系统也必须考虑的一@@个@@重要因素@@。所以@@@@，我们说建设灾备系统的前提是要建立切实可行的应急的机制@@。 

　　搞好容灾我们首先要制定好容灾的计划@@，包括了一@@系列的像业务持续的计划@@，业务恢复的计划@@，运行联系性计划@@，事件响应计划@@，场所紧急的计划@@，危机通信的计划和灾难恢复的计划@@。 

　　像这次@@四川大地震大家@@都知道@@@@，由于@@当时电信故障的损失@@，使得当时能不能建立起应急通讯保障系统成为了第一@@@@要务@@。 

　　我们在@@制定灾难恢复计划的时候要考虑备份恢复的范围@@，灾难恢复计划的状态@@，应用中心和备份中心之间的距离@@，以@@及两个@@中心之间如何相互连接@@，数据@@在@@两个@@之间如何传互@@，以@@及怎么样更新@@、保护等等@@。 

　　可以@@看到我国的一@@些大型的系统中间@@@@，在@@去年@@@@、前年@@的安全大检查当中发现了一@@些很重要的系统建立了备份系统@@，但是从来没有演练过@@ 

　　大家@@都知道@@，在@@IT系统中间@@，我们都有一@@些在@@座的也有业界的朋友专家@@都熟悉这些@@，就不详细介绍了@@。我们的业务恢复有不同的时间段@@，不同恢复的目标@@、不同的指标@@。 

　　我们要实施灾备的项目应该包括这样主要的阶段@@，首先要分析需求@@。包括灾难的类型@@、业务对这些灾难可能会对业务的冲击@@，当前@@业务环境和恢复能力的分析@@。 

　　容灾的策略@@、容灾方案的设计@@，业务联系性流程的设计@@，以@@及方案管理和相应的测试工作@@。通过这样的工作@@，才能真正地把一@@个@@系统的灾备系统实施好@@、建设好@@、管理好@@。 

　　更重要的是需要找到我们的成本@@和投入以@@及损失的平衡点@@，这是非常重要的@@。 

　　因为当前@@我们的很多系统都在@@建灾备系统@@，但是必须得要说明的是一@@定要分析好需求@@，有的系统是要数据@@容灾还是应用容灾还是系统容灾@@。 

　　我们的数据@@是要实现实时的备份还是可以@@在@@阶段性的备份@@，这都需要通过需求分析来加以@@确定@@。盲目地考虑@@、扩大建设也是不合时宜的@@，同时@@也没有这么多的成本@@@@、这么多的资金能加以@@支持@@。 

　　比如说常说的像电子政务的建设@@，绝大多数政府部门的电子政务的建设@@，我们说除了像海关@@、税务@@这样的关系国计民生@@、像公安@@、应急特别强的@@，很多网上办事或者是政府内部的办公系统是不是要建非常昂贵的灾备系统@@，我个@@人是有看法的@@。 

　　所以@@@@，我们觉得一@@定要根据自己的需求来建设确保重点@@，没有重点就等于没有我们实现的目标@@。 

　　通过以@@数据@@恢复为目标@@，以@@网络恢复为目标@@，以@@降低操作为目标@@，以@@恢复实践为目标@@，我们要根据不同的应用@@，不同的业务来选择不同的目标@@，来建立相应的符合需求的灾备系统@@。 

　　三@@、容灾备份要走社会化服务的道路@@

　　最近国家@@有关部门非常高度地重视这个@@问题@@，我也参加了有关部门对这个@@课题的研究@@。要倡导社会化的服务来建设容灾备份的系统@@，要改变过去一@@个@@小部门要建设自己单独的容灾系统@@，这种系统不可能投入太大@@，效果也不可能更好@@，而且资金分散也造成了巨大的浪费@@。 

　　目前我国灾备系统方面面临了一@@系列的挑战@@，理论研究@@、关键技术等等方面都需要进行进一@@步的研发和攻关@@。 

　　大家@@知道最近几年@@国家@@从工信部@@、科技和信息化部取得了一@@系列的政策@@，特别是最近支持自主知识产权的存储安全的项目@@。 

　　我们通过自主创新的办法@@，来真正创建中国人自己可靠的存储安全的环境@@，从现在@@的实际看灾备系统建设还远远赶不上发展的需要@@。 

　　数据@@恢复是最后的防线@@，当前@@国家@@也非常重视@@，已经把它作为信息安全@@服务一@@项基本@@的工作@@。我们希望各界的朋友一@@起来探索@@，加强灾备理论的研究和实践的研究@@。 

　　同时@@，更重要的是依靠国内产学研合作的体系@@，来研发具有我们自主知识产权的同时@@又能与国际接轨的新型的安全存储系统@@，为我国的灾备服务@@。 

　　我国的灾备要走社会化的路@@，我们要倡导建立第三@@@@方的公共服务的灾备中心@@，特别是要依托现有的大型的数据@@中心@@，建设为这种社会服务化的灾备系统@@，积极倡导服务外包@@，充分发挥社会资源建立规范的服务体系@@，为我国信息化的建设为灾备的系统提供更好的保障@@。（本@@文根据国家@@信息中心专家@@委员会主任宁家@@骏在@@@@“存储中国@@2008峰会@@”上的发言内容整理而成@@）