一、信息安全的核心是數(shù)據(jù)的安全

　　近年來(lái)我國(guó)社會(huì)經(jīng)濟(jì)持續(xù)、快速的發(fā)展，信息化的步伐不斷加快。信息化已經(jīng)在促進(jìn)經(jīng)濟(jì)發(fā)展、調(diào)整經(jīng)濟(jì)結(jié)構(gòu)、改造傳統(tǒng)產(chǎn)業(yè)和提高廣大人民生活質(zhì)量方面發(fā)揮了不可替代的作用。

　　這里面有兩個(gè)特點(diǎn)，第一，社會(huì)經(jīng)濟(jì)對(duì)信息化的依賴程度越來(lái)越高。今年我們發(fā)生了兩次特別重大的災(zāi)害，災(zāi)害給我們帶來(lái)最不方便的影響第一沒有電，還有就是沒有信息化。第二，各行各業(yè)已經(jīng)逐步建設(shè)和積累了一批寶貴的信息資產(chǎn)，拿我們個(gè)人來(lái)講也是一樣的。

　　現(xiàn)在每個(gè)人的手機(jī)里面大家最不愿意丟失的是手機(jī)已經(jīng)存的電話號(hào)碼甚至于我們的短信。所以，在當(dāng)前數(shù)據(jù)是我們最寶貴的資產(chǎn)。因此，數(shù)據(jù)的安全也就成為當(dāng)前信息安全的非常值得關(guān)注的問(wèn)題。

　　面對(duì)這種新的形勢(shì)、新的挑戰(zhàn)，電子化的數(shù)據(jù)已經(jīng)成為每個(gè)部門、每個(gè)企業(yè)、每個(gè)個(gè)人的重要資產(chǎn)。它的可靠性、安全性和完成性關(guān)系到政府重要行業(yè)和企業(yè)的生存力和競(jìng)爭(zhēng)力。

　　今年在四川特大地震中間，有的企業(yè)因?yàn)樗墓に囇b備的圖紙、客戶的檔案以及重要的各種文檔由于沒有做好異地的存放，一旦損毀之后，損失巨大，恢復(fù)也造成了很大的困難。

　　在過(guò)去多年來(lái)我國(guó)的銀行走向了數(shù)據(jù)大集中。 但是在四川發(fā)生大集中的時(shí)候，有兩家儲(chǔ)蓄額非常大的銀行沒有實(shí)現(xiàn)數(shù)據(jù)大集中。其中包括了遍布城鄉(xiāng)的中國(guó)郵政儲(chǔ)蓄銀行，過(guò)去的郵局。當(dāng)時(shí)這些銀行的老總們徹底未眠，但是這個(gè)東西沒有得到恢復(fù)。成都本身是安全的，所以業(yè)務(wù)沒有受到影響。 以數(shù)據(jù)安全來(lái)考慮，一旦數(shù)據(jù)發(fā)生了問(wèn)題，就直接影響到關(guān)鍵基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)。 

　　據(jù)國(guó)外美國(guó)密西根大學(xué)的研究報(bào)告顯示，75%的銀行和網(wǎng)站都存在著嚴(yán)重的安全漏洞。我國(guó)這種狀況還是存在的。所以，概括起來(lái)我國(guó)在信息安全方面，當(dāng)前應(yīng)該說(shuō)可以有四個(gè)主要的表現(xiàn)。 

　　第一，由于這種惡意代碼所造成的經(jīng)濟(jì)損失和系統(tǒng)故障所造成的損失，逐年在呈增長(zhǎng)的態(tài)勢(shì)； 

　　第二，一些敵對(duì)勢(shì)力仍然在通過(guò)網(wǎng)絡(luò)對(duì)我們進(jìn)行種種的破壞和干擾或者是滲透； 

　　第三，網(wǎng)上的不良和有害的信息仍然屢禁不止。以前在網(wǎng)上包括非法的機(jī)構(gòu)就教授人們?cè)趺礃幼稣◤棧@是非常惡劣的情況； 

　　第四，在網(wǎng)上私密、泄密、竊密的事件時(shí)有發(fā)生。從我國(guó)的安全形勢(shì)來(lái)講不能持非常樂觀的態(tài)度，僅今年的7月國(guó)內(nèi)外有1931個(gè)IP地址對(duì)應(yīng)的主機(jī)被作為僵尸網(wǎng)絡(luò)的控制器，其中在我國(guó)大陸的就有303個(gè)。 

　　以2008年7月份的數(shù)據(jù)我國(guó)大陸有13萬(wàn)多個(gè)IP地址對(duì)應(yīng)的主機(jī)被其它的國(guó)家和地區(qū)通過(guò)木馬程序秘密控制?？梢哉f(shuō)近幾年來(lái)集中的典型安全的事件包括了數(shù)據(jù)的竊取，包括發(fā)生在美國(guó)的大家知道信用卡被竊取的事件。 

　　網(wǎng)上形成了產(chǎn)業(yè)鏈，有的負(fù)責(zé)盜取你的虛擬資產(chǎn)，有的轉(zhuǎn)化現(xiàn)實(shí)的貨幣獲取高額的利潤(rùn)。由于Web2.0的普及帶來(lái)互聯(lián)網(wǎng)的變化使得安全的攻擊變得更加多端，也使CSO各個(gè)單位的信息保護(hù)部門壓力很大。 

　　為什么這樣說(shuō)，舉個(gè)小例子說(shuō)明。當(dāng)前由于Web2.0、木馬黑客組織也已經(jīng)Web2.0。黑客木馬的制作形成了非常廣泛的群體，代碼開源化，培訓(xùn)更加專業(yè)化。 

　　社區(qū)分享不僅使我們分享了網(wǎng)上有益的資源，也使得木馬得到了發(fā)展。使得木馬的成本更地、針對(duì)性強(qiáng)難以采集、難以查殺。我國(guó)是公認(rèn)的木馬的重災(zāi)區(qū)，木馬經(jīng)常呈現(xiàn)了爆炸式的增長(zhǎng)。 

　　所以，數(shù)據(jù)安全是當(dāng)前信息化要發(fā)展的老問(wèn)題。所以目前各行各業(yè)都從重視傳統(tǒng)的邊界防護(hù)到更加重視數(shù)據(jù)的防護(hù)。正因?yàn)檫@樣，我國(guó)信息安全呼喚著我們更加重視災(zāi)備系統(tǒng)的建設(shè)。災(zāi)備備份是保障數(shù)據(jù)安全的一道可靠的屏障。 

　　二、關(guān)于建立災(zāi)備中心的幾點(diǎn)考慮

　　數(shù)據(jù)是最寶貴的資源，面對(duì)這些資源，現(xiàn)在我們的各個(gè)行業(yè)大都采取了IT集中、數(shù)據(jù)集中，我們常說(shuō)的大集中的方案。也就是說(shuō)，我們把雞蛋都放在了一個(gè)籃子里。 

　　這種數(shù)據(jù)大集中，使得我們過(guò)去分布的應(yīng)用和數(shù)據(jù)所導(dǎo)致的日益昂貴的維護(hù)和運(yùn)營(yíng)費(fèi)用得到了緩解，也給企業(yè)的信息化發(fā)展了新的階段。

　　當(dāng)前，我國(guó)像金融、稅務(wù)、海關(guān)重要的信息系統(tǒng)都實(shí)現(xiàn)了數(shù)據(jù)的大集中，或者是正在進(jìn)行之中。但是必須要看到數(shù)據(jù)大集中往往意味著把我們?cè)絹?lái)越多的金蛋放在了同一個(gè)籃子里，這時(shí)候我們不得不考慮萬(wàn)一籃子翻了怎么辦。 

　　我們說(shuō)沒有容災(zāi)備份，覆巢之下焉有完卵，2001年9月11日，美國(guó)世貿(mào)中心遭受了恐怖打擊。災(zāi)難發(fā)生前約有350家企業(yè)在世貿(mào)大廈中工作，事故發(fā)生一年后，重返世貿(mào)大廈的企業(yè)變成了150家。前不久我們的銀行也發(fā)生了類似的問(wèn)題。 

　　有容災(zāi)就可以實(shí)現(xiàn)覆鳥之下可以完卵。像美國(guó)的一家基金代理公司就是由于他們有比較好的異地災(zāi)備的系統(tǒng)，盡管在大廈的人全部遇難，老板也難以避免。 

　　但是這個(gè)公司在911過(guò)后的第三天就可以利用完好無(wú)數(shù)的災(zāi)備系統(tǒng)和保存的數(shù)據(jù)恢復(fù)了正常的營(yíng)業(yè)，后來(lái)發(fā)展得比較迅速。但是金融風(fēng)暴之后怎么樣就不好了解了，但是至少可以看到有容災(zāi)備份系統(tǒng)對(duì)于保障一家譜、一個(gè)單位的運(yùn)營(yíng)是多么重要。 

　　所以，我們覺得建立災(zāi)備系統(tǒng)的目的是要了解我們的業(yè)務(wù)是不是聯(lián)系性。所以，通過(guò)災(zāi)備系統(tǒng)主要是保證我們的業(yè)務(wù)聯(lián)系性。 

　　災(zāi)備是當(dāng)前我國(guó)各行各業(yè)信息化建設(shè)的必修課。如何建好災(zāi)備系統(tǒng)要對(duì)我們的系統(tǒng)遇到的災(zāi)難進(jìn)行預(yù)了解。像這次發(fā)生四川地震，有一些縣城遭受了非常慘痛的損失，比如說(shuō)北川縣的縣城就建在龍門山斷裂帶上，而龍門山斷裂帶是這些年來(lái)非?；钴S的地震區(qū)。 

　　如果沒有災(zāi)害，北川縣城依山傍水、風(fēng)景秀麗，一旦發(fā)生了災(zāi)難損失難以挽回。所以，我們建立災(zāi)備系統(tǒng)必須要了解我們可能會(huì)碰到的各種災(zāi)害，包括地理環(huán)境，自然災(zāi)害，以及在服務(wù)中斷的時(shí)候給系統(tǒng)造成的影響等等。 

　　我們要指出當(dāng)前我國(guó)很多行業(yè)在高速發(fā)展的過(guò)程當(dāng)中，很多的流程和制度不完善。所以，使得我們建設(shè)災(zāi)備系統(tǒng)也必須考慮的一個(gè)重要因素。所以，我們說(shuō)建設(shè)災(zāi)備系統(tǒng)的前提是要建立切實(shí)可行的應(yīng)急的機(jī)制。 

　　搞好容災(zāi)我們首先要制定好容災(zāi)的計(jì)劃，包括了一系列的像業(yè)務(wù)持續(xù)的計(jì)劃，業(yè)務(wù)恢復(fù)的計(jì)劃，運(yùn)行聯(lián)系性計(jì)劃，事件響應(yīng)計(jì)劃，場(chǎng)所緊急的計(jì)劃，危機(jī)通信的計(jì)劃和災(zāi)難恢復(fù)的計(jì)劃。 

　　像這次四川大地震大家都知道，由于當(dāng)時(shí)電信故障的損失，使得當(dāng)時(shí)能不能建立起應(yīng)急通訊保障系統(tǒng)成為了第一要?jiǎng)?wù)。 

　　我們?cè)谥贫?zāi)難恢復(fù)計(jì)劃的時(shí)候要考慮備份恢復(fù)的范圍，災(zāi)難恢復(fù)計(jì)劃的狀態(tài)，應(yīng)用中心和備份中心之間的距離，以及兩個(gè)中心之間如何相互連接，數(shù)據(jù)在兩個(gè)之間如何傳互，以及怎么樣更新、保護(hù)等等。 

　　可以看到我國(guó)的一些大型的系統(tǒng)中間，在去年、前年的安全大檢查當(dāng)中發(fā)現(xiàn)了一些很重要的系統(tǒng)建立了備份系統(tǒng)，但是從來(lái)沒有演練過(guò) 

　　大家都知道，在IT系統(tǒng)中間，我們都有一些在座的也有業(yè)界的朋友專家都熟悉這些，就不詳細(xì)介紹了。我們的業(yè)務(wù)恢復(fù)有不同的時(shí)間段，不同恢復(fù)的目標(biāo)、不同的指標(biāo)。 

　　我們要實(shí)施災(zāi)備的項(xiàng)目應(yīng)該包括這樣主要的階段，首先要分析需求。包括災(zāi)難的類型、業(yè)務(wù)對(duì)這些災(zāi)難可能會(huì)對(duì)業(yè)務(wù)的沖擊，當(dāng)前業(yè)務(wù)環(huán)境和恢復(fù)能力的分析。 

　　容災(zāi)的策略、容災(zāi)方案的設(shè)計(jì)，業(yè)務(wù)聯(lián)系性流程的設(shè)計(jì)，以及方案管理和相應(yīng)的測(cè)試工作。通過(guò)這樣的工作，才能真正地把一個(gè)系統(tǒng)的災(zāi)備系統(tǒng)實(shí)施好、建設(shè)好、管理好。 

　　更重要的是需要找到我們的成本和投入以及損失的平衡點(diǎn)，這是非常重要的。 

　　因?yàn)楫?dāng)前我們的很多系統(tǒng)都在建災(zāi)備系統(tǒng)，但是必須得要說(shuō)明的是一定要分析好需求，有的系統(tǒng)是要數(shù)據(jù)容災(zāi)還是應(yīng)用容災(zāi)還是系統(tǒng)容災(zāi)。 

　　我們的數(shù)據(jù)是要實(shí)現(xiàn)實(shí)時(shí)的備份還是可以在階段性的備份，這都需要通過(guò)需求分析來(lái)加以確定。盲目地考慮、擴(kuò)大建設(shè)也是不合時(shí)宜的，同時(shí)也沒有這么多的成本、這么多的資金能加以支持。 

　　比如說(shuō)常說(shuō)的像電子政務(wù)的建設(shè)，絕大多數(shù)政府部門的電子政務(wù)的建設(shè)，我們說(shuō)除了像海關(guān)、稅務(wù)這樣的關(guān)系國(guó)計(jì)民生、像公安、應(yīng)急特別強(qiáng)的，很多網(wǎng)上辦事或者是政府內(nèi)部的辦公系統(tǒng)是不是要建非常昂貴的災(zāi)備系統(tǒng)，我個(gè)人是有看法的。 

　　所以，我們覺得一定要根據(jù)自己的需求來(lái)建設(shè)確保重點(diǎn)，沒有重點(diǎn)就等于沒有我們實(shí)現(xiàn)的目標(biāo)。 

　　通過(guò)以數(shù)據(jù)恢復(fù)為目標(biāo)，以網(wǎng)絡(luò)恢復(fù)為目標(biāo)，以降低操作為目標(biāo)，以恢復(fù)實(shí)踐為目標(biāo)，我們要根據(jù)不同的應(yīng)用，不同的業(yè)務(wù)來(lái)選擇不同的目標(biāo)，來(lái)建立相應(yīng)的符合需求的災(zāi)備系統(tǒng)。 

　　三、容災(zāi)備份要走社會(huì)化服務(wù)的道路

　　最近國(guó)家有關(guān)部門非常高度地重視這個(gè)問(wèn)題，我也參加了有關(guān)部門對(duì)這個(gè)課題的研究。要倡導(dǎo)社會(huì)化的服務(wù)來(lái)建設(shè)容災(zāi)備份的系統(tǒng)，要改變過(guò)去一個(gè)小部門要建設(shè)自己?jiǎn)为?dú)的容災(zāi)系統(tǒng)，這種系統(tǒng)不可能投入太大，效果也不可能更好，而且資金分散也造成了巨大的浪費(fèi)。 

　　目前我國(guó)災(zāi)備系統(tǒng)方面面臨了一系列的挑戰(zhàn)，理論研究、關(guān)鍵技術(shù)等等方面都需要進(jìn)行進(jìn)一步的研發(fā)和攻關(guān)。 

　　大家知道最近幾年國(guó)家從工信部、科技和信息化部取得了一系列的政策，特別是最近支持自主知識(shí)產(chǎn)權(quán)的存儲(chǔ)安全的項(xiàng)目。 

　　我們通過(guò)自主創(chuàng)新的辦法，來(lái)真正創(chuàng)建中國(guó)人自己可靠的存儲(chǔ)安全的環(huán)境，從現(xiàn)在的實(shí)際看災(zāi)備系統(tǒng)建設(shè)還遠(yuǎn)遠(yuǎn)趕不上發(fā)展的需要。 

　　數(shù)據(jù)恢復(fù)是最后的防線，當(dāng)前國(guó)家也非常重視，已經(jīng)把它作為信息安全服務(wù)一項(xiàng)基本的工作。我們希望各界的朋友一起來(lái)探索，加強(qiáng)災(zāi)備理論的研究和實(shí)踐的研究。 

　　同時(shí)，更重要的是依靠國(guó)內(nèi)產(chǎn)學(xué)研合作的體系，來(lái)研發(fā)具有我們自主知識(shí)產(chǎn)權(quán)的同時(shí)又能與國(guó)際接軌的新型的安全存儲(chǔ)系統(tǒng)，為我國(guó)的災(zāi)備服務(wù)。 

　　我國(guó)的災(zāi)備要走社會(huì)化的路，我們要倡導(dǎo)建立第三方的公共服務(wù)的災(zāi)備中心，特別是要依托現(xiàn)有的大型的數(shù)據(jù)中心，建設(shè)為這種社會(huì)服務(wù)化的災(zāi)備系統(tǒng)，積極倡導(dǎo)服務(wù)外包，充分發(fā)揮社會(huì)資源建立規(guī)范的服務(wù)體系，為我國(guó)信息化的建設(shè)為災(zāi)備的系統(tǒng)提供更好的保障。（本文根據(jù)國(guó)家信息中心專家委員會(huì)主任寧家駿在“存儲(chǔ)中國(guó)2008峰會(huì)”上的發(fā)言內(nèi)容整理而成）