王贵驷：我国信息安全灾备管理面临6大挑战

　　2008年7月6日，由中国灾害防御协会、清华大学中国与世界经济研究中心、中国信息安全测评中心、万国数据服务有限公司联合举办的“中国灾备管理战略国际研讨会”在清华大学举行。本次会议的主题是《灾备管理未来》。新浪财经独家网络支持本次会议。以下为中国信息安全测评中心常务副主任王贵驷发表主题演讲。

　　王贵驷：我就把我们信息安全领域灾备管理的一些思想和状况以及挑战和对策给大家做一个概括性的汇报。先说一下听完前面的很多报告的一点体会，大家可能会有一个共同的感受，关于灾备的工作一定是要科学要理性，科技要有战斗力，平时网上报道大家也看得比较多，现在流行的词，军队提的是高科技条件下的局部战争，实际上也是说科技改变了战争很多的形态，现在从灾备的管理来说，朱教授给我们讲了非常好的报告，专业化、科技这方面会给我们救灾能力的提高，提供很好的帮助，在信息化的领域高依赖度、系统的复杂性和风险性，对系统的依赖程度越高，一旦发生问题，造成的危害也就越大。

　　我的报告的主要内容我们中心作为国家信息安全的一个专门部门，参与了国家信息安全的标准、政策包括战略的一些研究，所以这里面有一些内容是研究的成果，不是我个人的，不当之处也请各位提出宝贵的意见。

　　说一说我们IT领域的沉痛教训。

　　第二个，信息安全灾备的特点。

　　第三个，信息安全灾备的意义。

　　第四个，信息安全灾备总体的现状。

　　目前来讲我们认为也有六大挑战，所以我们提了六大对策。

　　提到第一张片子很多单位都不愿意列在这个里面，觉得很丢脸，但是实际上我想说的是什么呢？往往出问题，一个是高度关注，第二个来说，出问题的单位不是水平最差的单位，可能恰恰相反，可能是IT水平最好的之一，我就说这个意思，因为它的应用水平很高，依赖性、影响面也很大，这个举两个银行的例子，一个是某某行计算机系统运行不正常，网上银行登录困难，网上对这个炒作得也很厉害，影响非常大，不光是银行，在证券系统也出现过很多的事故，现在的股市从6千多点降到了2千多点，如果说股民的这种，股票交易系统出现故障的话，我相信很多股民就坐不住了，如果发生群体性事件的话，对社会的政治稳定都会有很大的影响，所以现在的IT系统已经不仅仅说影响技术领域的问题了，而是影响国民经济，影响社会政治稳定大的问题。

　　第二个问题，我们国家刷卡必须通过银联的系统，出了问题这个卡就没法刷了。说这个案例，因为我们跟银监会跟人民银行的领导也都有过交互，某位领导现在退休了做灾备，他去上海出差的时候，卡也刷不了了，最后到处打电话去借现金付帐，我们仅举银行的例子来说明，IT系统对它的依赖包括我们通常说的8+2，我们在座的有很多是8+2他们信息中心的主管领导，包括民航、铁道、电力、海关、证券、银行、保险等等这些行业，如果这些行业的信息系统出现问题，我相信在座的各位的生活都会受到影响。

　　第二个，信息安全灾备的特点是什么呢？因为这里面应该来讲，信息安全都是为高风险小概率的事件而准备的，作灾备投资非常大，建立一个机房每年的花费也非常大，而且机房的建设标准也非常大，包括电力设施、交通条件、住宿条件各个方面都必须有保证，而且更新非常快，李博士曾经说过，IT行业是什么？是买升级的一个行业，这个技术日新月异，不断的升级，可能几年前用一个电脑，过两年，据我了解，一般的跨国大企业，电脑的升级一般笔记本是三年就可以升级换一个了，否则就没法用。第三，运营成本非常高，而且对通信的要求也非常高。另外就是对专业的水平要求非常高，灾备中心并不是说简单的一部分人就可以做这个事情，必须经过严格的培训，训练有资格的人来做这件事情。

　　信息安全灾备的意义就不多讲了，一旦出现问题，对社会政治问题都会有影响。

　　我想简单的再用几张片子说一下我们国家灾备现在的情况，是我们调查的一个情况，首先从管理部门来讲，从上一届的国家信息化领导小组成立之后，对灾备工作非常的重视，在我们国家颁布的信息安全保障工作最重要的一个文件，2003年的中办发的27号发的文件明确提出了要求，国家也出台了政策，在2004年国务院信息办专门印发了《关于做好重要信息系统灾难备份工作的通知》。在05年，为了做好这个灾备工作，还专门印发了《重要信息系统灾难恢复指南》，对灾备工作的相关工作都做了要求，很多部门说光有政策不知道怎么做也不行，后来为了贯彻这个指南，我们中国信息安全测评中心和行业的一些协会我们还连续搞了三届IT领域灾备的研讨会。当然我想这些方面的经验包括业务连续性，前面已经讲到了做法，对IT系统之外的很多领导应该也有借鉴意义，我这个地方就提一下。

　　管理部门同时也在2006年在全国信息安全标准化委员会领导下组织起草了《信息系统灾难恢复规范》，这个规范GDS公司也做了很大的贡献，当然，因为国家管理体制的原因，这个规范的牵头写的是我们。

　　还有国家网络与信息安全协调小组《国家信息安全“十一五”规划》中将灾难恢复体系建设作为国家信息安全基础设施的重要组成部分。

　　现在落实的情况怎么样？我们从使用部门的情况来看，应该说相对于2003年之前的情况来说，有了很大的进步，很多的部委，特别是银行、证券、民航、海关、税务要么制订了规划，要么在实施当中，这里面建设的方式很多，有自建的，也有外包的，还有共建的，不同的方式可能会有不同的效果，关于这方面的经验我们也在总结，究竟是哪一种方式更好，这个也是需要不断的去探讨，因为毕竟投入很大，而且专业要求很高，是不是每一个用户单位都需要搞这样一个中心，这也是需要探讨的问题。从地方来讲，一会儿刘主任会讲，地方的很多部门都会重视，这里面主要两方面，一个方面每个省市都在规划自己的灾备体系，另一方面很多的省市考虑在国家的布局里面应该成为国家级的灾备基地，这是两个层面上都要考虑的问题。为什么要这样呢？因为我们国家确实是一个多灾多难的国家，如果不从国家层面考虑问题的话，就会出现一个无序的布局，将来就会出一些系统层面的问题。