浅谈档案灾备需求的特殊性

摘要：档案灾备是近年来档案保护技术在信息化环境下拓展的新领域。本文从档案灾备与业务信息系统灾备对比的角度，分析了档案灾备需求的原理、层级、目标、法律、空间、周期和介质七个方面的特殊性。本文的研究结论对于档案灾备系统的开发具有一定的指导价值。

关键词：档案馆；图书馆；服务壁垒；分析

1　档案灾备需求的概念

人类社会活动整体上可以总结为“造福”与“避祸”两个方面。根据乌尔里希·贝克(ultrich beck)的“风险社会理论”，人类社会已经进入“风险社会”时期，所面临的风险种类不断增加，风险程度不断加大。按照世界发展进程的一般规律，一个国家和地区发展到人均gdp为500～3000美元时，往往对应着人口、资源、环境与效率等社会矛盾最为严重的“瓶颈”时期。当前

业务信息灾备体系中，生产中心以业务处理为中心，主要表现在流程的复杂性，人员参与的复杂性，数据量较小但是变动频率相对较快等。档案机构是一种服务机构，不具备生产的功能，其核心职能是保存档案信息资源并提供给大众利用。因此，我们将档案灾备中的核心机构称为“服务中心”。档案灾备系统的“服务中心”指的就是档案馆和档案室等档案保管利用机构，其业务特征有：第一，流程相对简单，线性流程为主，交叉和循环等 流程较少；第二，参与人员有限，主要涉及档案管理人员和档案利用者，但是总量不会太多；第三，数据量较大，有的机构所存储的档案信息量可至“海量”，而且档案只允许查阅而不允许改动。正是由于上述特征，档案灾备过程中，来自服务中心业务过程的风险较小，而来自系统外部的风险相对较大，应当重点关注的风险主要是火灾、洪水、飓风、地震、泥石流等自然灾害和来自系统外部的人为破坏，因此档案灾备系统的设计必须侧重于异地灾备，保征服务中心和容灾中心不在同一地震带、不在同一流域、不在同一功能的地域(如政治中心、金融中心和商业中心等)。

2.2　档案灾备层级的特殊性

从灾备层级的角度分，灾备系统可以分为数据级容灾、系统级容灾和应用级容灾三类。数据是信息系统的核心，数据级容灾以数据保护为目标，保汪灾难发生后，系统业务相关数据的安全。系统级容灾以数据保护为基础，同时需要对信息系统的数据库、中间件、操作系统、通信网络等运行环境进行备份，需要保证业务数据、系统数据和网络通信系统的完整性、可靠性和安全性。应用级容灾通过对系统业务数据、应用环境、网络组织及相关子系统接口等整个信息系统进行容灾，从而实现整个业务流程的保护。数据级容灾、系统级容灾和应用级容灾分别对应灾备的数据备份、系统备用和灾难备援三个层次，如图1。

业务信息系统运行着其组织机构的核心业务，业务的中断可能会给机构带来直接的经济损失，同时会对机构的公众形象造成负面影响，可能使机构失去持续发展的潜力。因此，业务信息灾备的重点在于维持业务系统运行的连续性，一般而言，业务的重要程度越高，就越是倾向于采用系统级或应用级容灾。档案作为一种信息资源，呈现出的数据特征要大于业务特征，档案灾备的重点在于维护档案数据的长期可用，使档案数据在灾难发生的时候仍然可以通过特定方式进行读取。在电子化环境中，如果档案信息集成到业务信息系统当中，也会涉及系统级和应用级容灾的情况。因此，档案灾备层级会呈现出以数据级容灾为主，在特殊情况下也可能涉及系统级和应用级容灾的特征。

2.3　档案灾备目标的特殊性

灾备系统的目标一般用三个指标来衡量：rto(recovery time objective)、rpo(recovery point objective)和doi(degrade operation interval)，如图4所示。rto即恢复时间目标，是系统从业务功能的停顿到恢复所能容忍的时间。rpo即恢复点目标，是系统必须恢复到的时间点要求，衡量系统灾难发生时业务能够容忍的数据丢失量。doi即降级运行目标，是指恢复完成后到防止第二次灾难的所有保护恢复以前的时间。一般而言，rto、rpo和doi设定的级别越高，机构对灾备系统投入的成本就应越多。业务信息灾备的重点在于保证业务的连续性，因此其目标设定的优先顺序为：rto为第一目标，rpo为第二目标，doi为第三目标。档案灾备系统的重点在于保证档案信息的可用性，大多数档案系统对数据丢失量的要求是0，降级运行的时间尽量缩短以降低二次灾难的风险，而对恢复所用时间要求不是很严格。因此其目标优先顺序为：rpo为其第一目标，doi为第二目标，rto为第三目标。

2.4　档案灾备法律的特殊性

业务信息系统的价值在于支持结构完成业务处理，业务信息系统中流动数字信息的第一价值是管理价值，也就是通过电子化方式促进快速共享和传播，减少纸质信息传播的过程成本。同时，数字信息的快速检索功能也是纸质载体的信息所无法比拟的。因此，业务信息系统中的数字信息首先是作为管理的工具而存在，并不是天然就具备凭证效力。如果没有特殊的规定，业务信息灾备系统中在容灾中心同步复制数据时可以直接复制，由容灾中心切换到生产中心运行时，只要能保证生产系统业务的连续性，数字信息的凭证功能可以不考虑。

档案作为人类社会活动的原始记录，具有其他信息所不具备的凭证价值。因此，档案灾备系统的设计必须考虑到档案的凭证效力，比如在服务中心向容灾中心复制档案数据的时候，就应该考虑档案复制件或副本的法律地位问题。在由容灾中心向服务中心回切的时候，也要考虑到向服务中心逆向复制的这些数据的真实性、完整性是否得到了有效维护。同时，如果服务中心的档案被毁，容灾中心的数据是否具有原有档案的凭证效力等问题都是档案系统灾备必须考虑的问题。真实性是档案灾备的底线，如果档案灾备系统中的数据的真实性无法保障，即使其数据保存得再完整，其档案价值也将彻底消失，不能作为凭证使用。

2.5　档案灾备空间的特殊性

业务信息灾备的核心目标在于维护业务的连续性。一般而言，业务系统中数据的访问频率与其产生的时间长短成反比，产生的年代越是久远，其被重复使用的概率就越小。因此，业务信息灾备系统中可以对业务数据实行分级存储管理(hsm，hierarchical storage management)，对于活跃的数据采取在线存储(onstore)，近期历史数据采取近线存储(nearstore)，存档数据采取离线存储(offstore)。每隔一定周期，可以对使用概率很小的数据进行清理和删除以腾出存储空间。整体而言，业务信息容灾系统所需存储空间是一定的。

档案灾备是“只有起点，没有终点”的事业，虽然档案也会进行定期销毁，但是整体而言随着时间的推移，服务中心所存储的数据总量将会越来越多，对存储空间要求会越来越大。要保证档案灾备的容灾中心与服务中心的一致性，对存储空间的需求量就会持续增长，整体需要多大的空间将无法预计。虽然从服务中心挑选重要档案在容灾中心进行备份是一种解决方案，但是容灾中心数据总量的持续增长却是无法改变的趋势。

2.6　档案灾备周期的特殊性

业务信息灾备一般不会跨越较长的时间周期，容灾系统中的数据只要能够完成在业务连续性保障中的任务就可以删除，因而其不会涉及数字媒体的形体寿命和技术寿命问题。档案灾备却在时间跨度上大得多，档案副本在容灾中心当中可能会存储相当长的时间，如果属于长期保存的档案，其副本在容灾中心中也将要求被长期保存。因此，档案灾备可能会涉及媒体的寿命问题，如果档案在容灾中心是以数字化形式进行备份，一方面其存储载体可能会老化或损坏，另外一方面技术的更新换代有可能使这些信息的读取设备和技术被淘汰，从而使这些信息失去可读性。目前，在数字档案长期保存实践中采用的方法主要有更新(refreshing)、迁移(migration)和仿真(emulation)，这些因素的存在将会使档案的真实性与完整性保障以及服务中心和容灾中心的同步变得异常复杂。

2.7　档案灾备介质的特殊性

业务信息灾备系统中，生产中心和容灾中心中的数据都是以数字化形式存在，其复制与逆向复制都是采用同一种形式，相对比较简单。档案灾备系统要复杂一些，主要原因在于：第一，服务中心中的档案是纸质媒介，在容灾中心中的档案副本可能是扫描后的数字化版本，当服务中心发生灾难时，可以保证档案信息的利用，但是如果由容灾中心向服务中心回切的时候，却只能恢复到数字化形式；第二，在当前电子文件的缺点还没有完全被克服之前，我国档案实践中还是采用的电子文件的异质备份。国家档案局局长杨冬权在2008年全国档案局长馆长会议上的讲话中指出：“在不同的地方存放重要档案的重份或缩微、复印、数字化等形式的副本。有条件的地方，还应逐步将电子文件转换成其他载体保存，实行异质备份，以防止若干年后电子文件因阅读设备不配套而无法读取。”因此，档案灾备的介质就可以分为纸质副本、微缩胶片副本、数字化副本等多种形式，在服务中心和容灾中心之间如何选择档案信息存储的介质，如何保证多种介质形式上存储的档案信息的一致性，保证其真实性和完整性得到维护将会比一般业务信息系统的灾备复杂得多，如图5所示。

3　研究结论

档案灾备需求是对档案灾备系统应该实现的各类功能的系统化描述。档案作为信息资源的一种，其灾备需求与业务信息灾备具有一定的共性，同时具有档案本身所特有的若干特征，主要体现在原理、层级、目标、法律、空间、周期、介质等方面，这些特殊性是档案灾备系统设计开发过程中必须予以考虑并通过技术方式予以实现的重要问题。