王贵驷：我国信息安全灾备管理面临6大挑战(2)

　　从服务部门的角度来讲，国内的灾难恢复的产业已经开始起步，但是应该说比较惨的是什么呢？相对于信息安全其他的服务来讲，这一块的参与者还比较少，因为毕竟从资本投入的角度来讲要求很高，门槛比较高，不是说随便一个企业就可以提供信息安全灾备的服务。这个里面从基础设施的角度来讲，中国电信根据国际标准在全国有很多的地方成都、广州建立了T4级的灾备中心，其他单位可以用，GDS他们在全国各地也有很多的地方建了灾备的中心，也有灾备设施的公司，包括他们在资质这方面，这地方我没有列，包括我们中心根据产业需要也设置了一个灾备中心的能力，也是第一个通过测评的，还有中金数据系统有限公司也有中心。简单的说一下国家从政策层面，从用户单位，从产业的情况来说一说整个的现状，这个里面我们通过调研和分析，我们觉得目前我们国家的灾备管理有六方面大的挑战。

　　一个就是说很多单位采用了自建的方式解决灾备问题，投资大、成本高。将来来讲，灾备中心不是说一建了之，有一个运行、维护不断升级改造的问题，这个投入成本能不能继续维持下去，这个是很难的，现在对于银行来讲，是不是每一个银行都自己去建一个灾备中心，我们国家这么多银行，如果不考虑成本当然无所谓，你自己建，但是从成本角度考虑的话，一个灾备中心搞几个亿，而且需要大量的人员，那么国内目前来讲，这个领域的人才流动性也非常大，也很难维持一支高水平的队伍，所以这是第一个问题。

　　第二，困难是什么呢？有些单位已经投入建设了一些灾备的设施，但是缺少足够的专业的知识和演练，因此真正发生灾难的时候，往往不能奏效。前面朱将军也说，好多预案，国家层面的预案都不管用，其实我们也很清楚，因为我们做测评，我们对很多实际的用户单位的信息进行测评，对预案进行审核，确实发现很多东西都是写给我们看的，说我都有了，但是实际上你要操作的时候，连找谁，联系方式这些都没有。前面有记者问奥运安保这一块是不是都准备好了？从现在的情况来看也并不是说没有问题，但是都在解决当中。

　　这里面我需要说的一点，灾备设施自身的安全隐患问题也必须引起高度重视，很多人说建灾备中心是一个生产安全的问题，实际上从信息安全的领域角度来讲，光考虑可靠性还不够，因为还有另外一个角度，你的受攻击的能力，因为我们现在的灾备可能大家更多的想到的是天灾的问题，其实还有一个人祸的问题，如果有人为的攻击的话，你这个系统防护能力怎么样，自身抗攻击的能力怎么样，这也是很关键的。我们今年在国务院授权的情况下，我们对有关单位也进行了奥运之前的一些测试，发现几年前我们测过的单位，在我们测的时候他们很快就发现了，给我们打电话问，说你们是不是在测试我们，还有一些单位根本不知道我们在测他们，很快你就可以比较出来，哪一家的水平通过实践已经提高了，哪一块这个的反应还不行。

　　第三，还是一个人才匮乏的问题，前面也都提到了DRI国际灾备协会培训，国外的培训成本比较高，但是国内还没有培训这方面的机构。

　　第四，还是讲到了我们产业的问题，我们的专业服务队伍还比较薄弱，而且相当分散，一个是核心技术受制于人，这是整个IT的水平决定的；第二个，我们灾备的设备严重的依赖国外，当然这个有不同的角度的理解；第三，国家目前的优惠政策，对于这一块也没有，因为你投资很大，你说要去建一个灾备中心，没有政策也非常难，我们也了解到有些地方政府为了支持灾备中心的建设，也搞了一些优惠，但是毕竟不是国家层面，还是地方层面深的。

　　第五，关于灾备的法规不完善的问题，有自建、外包和共建的问题，说外包和建的问题就是，我最核心的数据交给你运行维护，我凭什么信任你？这是两方面的问题，一个是能力的问题，另外一个是可控的问题，能力问题可以通过去测评等方式去做，但是信任问题就不是一个简单的问题了。

　　第六个问题，灾备中心布局不合理，存在一定的安全隐患。你看这一次四川的地震，其实IT系统也是非常明显的问题，通讯都保证不了了，你借中国电信去建你的灾备系统那就完蛋了。但是我们看到一个比较好的方面，银行业早在几年前都搞数据大集中，全国性的商业银行不管是四川的用户还是其他的用户，交易的账户都在这个系统里面。

　　“9.11”里面也有一个例子，有一家传统的搞司法这方面的事务所，他们强调传统的物证，就不搞信息化，那栋楼炸完了那个事务所也就关门了，目前我们通过调研认为这六个方面的问题，从国家层面上来看认为是比较大的问题。

　　我们也提了六点对策：

　　第一个还是应该有一个灾备体系的规划，从国家层面上去考虑它的标准，它的建设的规划、布局等等这些问题。

　　第二个要明确责任，加强监管的问题，要抓紧立法。再一个完善灾备有关政策和标准。得有第三方证明这个企业它的服务是有能力的，它的服务是可行的，当然我们现在也在试着做这方面的工作。

　　第三个开展试点和推广的工作。比如说像灾备中心可以考虑西部地区，像成都或者是西安也去建，分布相对合理，这样也会分散风险。

　　第四个促进产业的发展，行业的发展，因为只有一个健康的有能力的产业，规模化的产业，整个用户的利益，国家的利益才能够得到保证，这方面来讲的话，一个是从国家角度考虑一些研究上面或者是投资方面的支持，我们也看到了，在今年年初的，当然我们也作为评审专家去参加的由发改委举办的会议，已经对灾备建设这方面给予了技术上、课题上的支持。第二个大力的推广把灾备服务作为信息安全服务产业这一块加以重点的培育和支持。第三个，从专业人才的角度也要开展相应的工作。

　　第五个考虑要特别关注关于灾备的外包服务商服务资质分级制度，出台灾难恢复服务资质管理办法。

　　第六个做好灾备中心和灾备服务人员的测评和资质管理。

　　我汇报的内容就这几个方面，关于很具体的IT领域里面灾备的技术问题，我们有其他的专业会议再去讨论，借这个机会给大家做这么一个汇报，谢谢大家！