给信息系统上“保险”卡在哪儿
时间:2022-07-22 05:20:36
2007年11月1日,国标《信息系统灾难恢复规范》颁布实施。《规范》自颁布至今已有将近两年时间,而企业的信息系统恢复建设鲜有成功案例,原因到底是什么?人们对《规范》所持的态度如何?在实际实施过程中又碰到哪些问题呢?
2009年9月16日14时25分,申银万国的交易系统突发异常并瘫痪,直至14时52分,即离收盘不到10分钟才恢复正常。系统故障发生后所有股票交易均无法进行,在营业部看盘交易的投资者普遍焦急万分,对近半个小时未能交易可能造成的损失唏嘘不已。
2008年12月5日9时30分开始,北京移动100多个营业厅系统瘫痪,暂时无法提供服务,营业厅里排起了等待办理业务的长龙。截止到当日12时30分,北京移动100多个营业厅才逐渐恢复各项业务办理。
2006年4月20日上午10点56分,银联通信网络和主机出现故障,造成银行卡跨行交易不能正常进行。虽然银联及时发现问题并对此进行了全力以赴的抢修,但到当天下午5点10分为止,全国大部分的成员机构和商户只是基本恢复正常,直到晚上8点,银联跨行交易网络才得以全面恢复……
信息系统的中断给企业带来的损失不胜枚举,单位越来越重视信息系统的灾难恢复建设。2007年11月1日,国标《信息系统灾难恢复规范》(以下简称《规范》)颁布实施,各单位积极响应,都在积极规划和建设灾难恢复系统。
《规范》自颁布至今已有近两年时间,而企业的信息系统恢复建设鲜有成功案例,原因到底是什么?人们对《规范》所持的态度如何?在实际实施的过程中又碰到哪些问题呢?
驱动力要明确
谈到信息系统的灾难恢复建设,人们不约而同地都会谈到驱动力。“信息系统的灾难恢复建设最大的难点在于驱动力。”铁道部信息技术中心技术支持部处长耿青云谈到,“只有IT部门着急,效果肯定不明显。”
对此,北京趋势引领信息咨询有限公司总经理邓宏持同样观点:一个企业建设信息系统灾备,是CEO关注,董事会关注,还是IT经理关注,关注的人层次不一样,实施的效果肯定也不一样。如网游公司,游戏线一掉,玩家就会觉得没意思,下次就不会再玩你的游戏了。信息系统的灾难恢复建设直接影响到公司的生存发展,公司从上到下对信息系统的灾难恢复建设都应非常重视,业务部门也应该参与进来。
关于驱动力,中国民航信息集团网络股份有限公司运行部副总经理龚文认为:“企业花那么多钱去建灾备系统,就说明高管不是不重视,而是认识上有问题。有些高管认为一大笔钱花出去之后,灾备就可高枕无忧了。其实不然,生产系统一扩容,灾备系统就要扩容。而且灾备系统很少被用到,高管就会觉得钱花得很亏,对建设灾备系统提不起兴趣来。但如果能出台一个有关灾备的强制性法规,对于推动信息系统灾难恢复建设应该有效。”他还认为,每个单位都自行建立一个数据中心是一种浪费,如果大家联合起来建立一个可以复用的灾备中心,就能很好地节省资源。
对此,中国石油天然气集团东方地球物理公司信息技术中心副总工程师王雨很是赞同:“《规范》只是建议性的规范,而不是法律,不具有强制性,执行力度不够。信息系统灾难恢复建设涉及到数据中心、灾备系统,成本很高,又不能产生直接的经济效益,一般企业下不了决心去做。如果从国家层面出台一些强制性的政策,执行起来就要顺畅得多。”
要为业务服务
国家信息中心信息安全研究与服务中心副主任叶红认为,信息系统的灾难恢复建设,要从业务层面来推动。民航、税务和海关等行业对灾难恢复建设都很重视,是因为这些行业的业务离不开信息系统,业务逼着它们必须重视。国家信息中心正在建设国家电子政务外网,一期建设时没有启动灾备建设,而在二期的建设中,灾备被列为重要建设内容,主要是因为二期工程要求所有部委把公众服务的业务全部迁移到电子政务的外网上来。这样,国家信息中心的压力就非常大,对系统的灾备建设需求就非常迫切。
海关总署全国海关信息中心李震认为:“从我们的经验来看,信息系统的灾难恢复建设必须有相应的业务流程来配合容灾切换,这样才能真正保障业务遇到灾难的时候不中断。系统的灾备建设是为业务服务的,企业是否建灾备中心,取决于业务需求。海关每年为国家贡献的税款相当可观,如果系统停一天,会给国家造成巨大的损失。”
“灾备就像买保险,不能去考虑它能挣多少,而是为了保障信息系统的安全,进而保障业务顺利进行。”国家税务总局信息中心处长杨慧平介绍,国家税务总局刚刚实施了金税三期工程,在南海建立了一个灾备中心,这个灾备中心既备份总局的数据和业务系统,也集中备份各个省税务局的数据和核心业务系统。目前,信息中心已经把6个省的核心征管系统实时地备份到灾备中心中来。
解决轻两头问题
对于目前企业进行信息系统灾难恢复建设存在的问题,中国信息化推进联盟业务持续管理专业委员会秘书长于天分析,主要存在着“重中间轻两头”的现象,也就是说,企业对技术方案都很重视,而对前期的立项和组织机构的设立,以及后期的维护、更新和演练不够重视。
组织机构的设立对灾备建设来说非常重要,中国信息化推进联盟专家梁程举例说,宝洁和第三方服务机构签了灾难恢复规划(DRP)外包合同,以对ERP系统进行有力的监控。宝洁和第三方机构成立了联合小组,对整个项目,甚至在细节上都监控得很好,比如一个报表什么时候生成,晚了多长时间,应该如何处理,该如何惩罚,都能进行很好的控制。
人员保障是另外一个关键因素。海关总署全国海关信息中心李震介绍说,在人员保障上,海关总署组建了一个灾备科技领导小组,由署级领导牵头,海关总署科技司和全国海关的科技处都要参与其中。这样的组织给灾备建设提供了有力的保障。
在后期的演练和维护上,于天认为,目前许多单位虽然对灾难恢复系统进行了一定的测试,但没有对计划流程和人员进行充分演练。演练不够充分,所制定的DRP中存在的问题就无法及时暴露出来,也就不能进行及时改进。
