国信办督战八大行业灾难备份 将出台国家标准

　　见习记者 郑迪 北京报道

　　“假如海啸袭击中国，我们将会怎样?”

　　一个看似杞人忧天的问题，却让出席《重要信息系统灾难恢复规划指南》(以下简称“指南”)第三次工作会议的代表们面色凝重。

　　1月13日上午，由国务院信息化工作办公室主持，银行、电力、铁路、民航、证券、保险、海关、税务八大重点行业相关主管部门的信息安全，专家们汇聚一堂，就灾难恢复预案的制订、落实和管理等一系列问题进行了讨论，并最终确定了《指南》的框架及内容。

　　“必须抓紧统一规划国家容灾备份体系建设，尽快出台灾难备份国家标准。”国务院信息化工作办公室处长熊四皓呼吁。

　　据熊透露，国信办最快将在2月底以技术性文件的形式下发该《指南》，涵盖八大重点行业的电信网、广播电视网、计算机互联网三大基础信息网络完整的灾难备份指导标准，主要包括规范灾难恢复的流程、提供灾难恢复预案的模板等。

　　此外，参照《指南》的执行情况，国信办将在2006年出台有关灾难备份的国家标准。

　　中国灾备体系沉疴

　　如果海啸真的发生，我国金融、保险、能源、交通、电信等关乎国计民生的行业，在灾难面前有怎样的抵抗能力呢?”国信办一官员在发言中语气急促，“只能是陷入瘫痪。”

　　而引以对比的是，“9.11”之后仅过了2天，原来身居世贸大楼的摩根士丹利就恢复正常运营，因为公司在新泽西州设有一套完整的股票证券商业文档资料和服务器数据灾难备份。

　　国信办网络与信息安全组组长王渝次指出，我国灾难备份体系基础相当薄弱，存在一系列亟待解决的问题：部分领导干部和组织机构对灾难备份工作的重要性、紧迫性认识不到位，存在麻痹和侥幸心理；许多重要信息系统还没有建立基本的灾难备份系统，不具备灾难恢复能力；重要信息系统灾难备份建设的法规和标准不完善；灾难备份建设缺乏统一的规划和部署，存在盲目建设和发展的倾向。

　　专攻信息安全课题的中科院高能物理所许榕生教授谈及我国灾难备份市场现状时也深表忧虑。据他介绍，即便是银行、证券等信息化工作起步早、程度高的行业，也仅有部分大型企业在北京、上海、广州分别设立灾备中心，三地可以随时切换外，许多行业像能源、运输、税务、贸易等，大都还是依靠以北京为信息中心向各省各地区辐射。

　　“灾难备份实际上提出了一个多信息中心的要求，当初大家觉得北京中心大集中的格局好，却没有从信息安全的角度来考虑。”许表示。

　　专业灾备公司GDS高阳万国总裁黄伟认为，首先是政府主管部门在法规上未对各行业灾备建设做硬性的规定，很多企业存有侥幸心理；另外，灾备建设特别是高级别的灾备系统，其投资巨大，一些行业内中小规模企业在资金不足情形下，往往会忙于生产系统建设，而无法顾及灾难备份。

　　政策强推灾备市场

　　事实上，早在2003年，中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，即27号文件(下称“27号文”)。

　　文件要求：各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定和不断完善信息安全应急处置预案；灾难备份建设要从实际出发，提倡资源共享、互为备份；加强信息安全应急支援服务队伍建设，鼓励社会力量参与灾难备份设施建设和提供技术服务，提高信息安全，应急响应能力。

　　为贯彻落实《27号文件》要求，国信办于2004年9月份下发了《关于加强国家重要信息系统灾难备份工作的意见》(下称《意见》)。

　　而《指南》正是为了推进《意见》所推出的。熊四皓透露，《指南》主要内容包括：1.定义灾备行业的规范用语；2.规范整个灾难恢复的流程；3.作为规范性附录，引入灾难恢复的分级机制,目前确立为六个级别；4.作为资料性附录，提供灾难恢复预案的模板。

　　熊四皓指出，《指南》的出台首先强调了“统筹规划、资源共享、平战结合”的灾备工作原则；其次明确了“谁主管，谁负责”和“谁运行，谁负责”的建设及管理方针；其后将通过对各行业主管部门及灾备行业领先企业《指南》执行情况的考察，加紧制订出完整的国家标准、行业审计规程以及行业准入门槛等，以切实推进国家重要行业灾备建设。

　　至于推行国家标准的原因，熊解释原因有二：一方面是部分已经建设灾备系统的企业，却存在大量重复建设和资源浪费的现象；另一方面，很多企业对灾难备份认识不清，结果整个系统建设流于形式。

　　中国人民银行科技司安全处处长郭全明就指出，由于银行自建灾备中心的成本很高，仅建设经费少则数亿，多的超过10亿，其后每年投入到人员、维护等方面的费用也过千万，成本代价非常高。除银行自建外，人行也鼓励商业银行采用联合建设或是服务外包的方式，运用社会化的专业服务机构来替其做灾难备份工作。

　　“灾难”商机

　　市场调研公司Strategic Rssearch Corporation的研究报告指出，各行业在遭受灾难打击造成服务中断时所带来的损失是十分巨大的：证券业每小时的平均损失为650万美元；信用卡授权每小时平均损失为260万美元；ATM系统中断造成的每小时损失为14500美元；而各行业中断服务平均每小时损失为84000美元。

　　2004年5月，计世资讯(CCW Research)对政府、金融、证券、电信、电力、制造等行业用户的信息安全应用和需求状况调查中显示，行业用户对信息安全系统的建设越来越重视，其投入也呈现稳定增长的态势。

　　在所调查的用户中，明确表示信息安全的投入逐年增加的达到31.3%；相反，表示逐年减少的没有一个。对于2003年信息安全投资规模的统计，20%企业在100万以下，40%投资规模在100万元—500万元，20%的投资规模在500万元—1000万元之间，20%的规模在1000万元以上。从总体投入金额来看，2003年国内银行在IT产品与服务方面的总投资达到200亿元，其中信息安全方面的投入接近25%。证券行业2003年IT总投入有24亿元。来自设备硬件的投入占全部投入的75.6%，软件的投入占17.6%，服务的投资占6.8%。

　　计世资讯另一份《2005年中国金融行业信息化建设及IT应用趋势报告》则显示，2004年中国金融业IT投资规模达到248.85亿元，比2003年237亿元增长5.0%。就金融业整体而言，计世资讯预测，2005年国内金融业IT总投入将达到270.0亿元，而到2008年将达到343.53亿元的规模，年复合增长率保持在8.4%以上的水平。

　　伴随着政府及行业相关政策紧锣密鼓的出台，人民银行在无锡的灾备中心，工商银行在北京的灾备中心，海关系统在广东的异地容灾备份中心等均已建成并投入使用。民航空中交通管理局与北京市合作的灾备份项目，国家统计局异地容灾备份资料中心建设、国家税务总局异地数据容灾备份中心规划、铁道部信息数据中心灾备建设等工程也已启动，这些现有建设的预计市场规模就已经超过200亿元。