|
本报记者 毛晶慧
尽管BCM业务持续管理对很多人来说都还是一个很陌生的概念,但它在中国确实已到了势在必行的阶段。
BCM,特指一种整体管理流程,该流程的目标在于及早确定可能发生的冲击及对企
业运作造成的威胁,能够提供合理的架构有效阻止或抵消不确定事件造成的威胁,保证企业日常业务运行的平稳有序。
根据Gartner的调查数据,在经历大型灾难事件而导致系统停运的公司中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。
“所以说,信息技术在给人类社会发展带来巨大益处的同时,也有着最脆弱不堪的一面。世界各国政府和企业都深切体会到灾难事件对国民经济产生的重大冲击。相反,那些引入了BCP(业务持续计划)、BCM的企业和机构却可以把灾难造成的影响降到最低。”中国目前获得公安局与央行资质认证惟一专业咨询与外包服务的GDS万国数据服务有限公司总裁黄伟在接受采访时谈到。
建灾难备份值吗?
“假如海啸袭击中国,我们将会怎样?”
出席《重要信息系统灾难恢复规划指南》第三次工作会议的一代表在发言中面色凝重,“只能是陷入瘫痪。”
而与此对比的是,“9.11”之后仅过了2天,原来身居世贸大楼的摩根士丹利就恢复了正常运营,因为公司在新泽西州设有一套完整的股票证券商业文档资料和服务器数据灾难备份。
国信办网络与信息安全组组长王渝次近日指出,我国灾难备份体系基础相当薄弱,存在一系列亟待解决的问题:部分领导干部和组织机构对灾难备份工作的重要性、紧迫性认识不到位,存在麻痹和侥幸心理;许多重要信息系统还没有建立基本的灾难备份系统,不具备灾难恢复能力;重要信息系统灾难备份建设的法规和标准不完善;灾难备份建设缺乏统一的规划和部署,存在盲目建设和发展的倾向。
据记者了解,目前国际上已经有了成型的BCM标准规范。尤其“9.11”事件后,美国政府更是大大加强了BCM机制的建设,其他各国政府也日益重视,亚太地区的BCM机制也逐渐建立。相比之下,我国大部分企业尚未建立统一的BCM机制,根据赛迪顾问的统计数据,目前90%以上的中国企业在应对紧急事件时存在明显漏洞,企业对BCP、BCM专业知识的普及程度还远远不够,专业人士更显匮乏。
“这些困惑点是由灾难备份本质特征所决定的。花上一大笔钱,三年五年不出事,派不上用场,自然就会有领导犹豫,建立灾难备份到底值不值?”信息安全专家曲成义说,他把灾难备份的本质特点归结为三个方面:小概率,高风险;高投入,低效率;建设易,维持难。
“我们不能完全一刀切、一窝蜂地要求必须投入巨资建立灾备系统,而必须根据各个行业的不同特点,考虑是否应该建,如何建?防止出现又一轮的信息安全投资过热,造成国家资金的浪费。”国信办王渝次司长说。
灾备产业酝酿高峰期
“灾备产业真正的高峰还需要2-3年的时间,政府要求的行业已开始行动,但真正的成熟还需要一段时间,不过目前的势头很好。”GDS总裁黄伟对记者说。
据计世资讯2005年4月对政府、金融、证券、电信、电力、制造等行业用户的信息安全应用和需求状况调查显示,行业用户对信息安全系统的建设越来越重视,其投入也呈现稳定增长的态势。
在所调查的用户中,明确表示信息安全的投入逐年增加的达到31.3%;相反,表示逐年减少的没有一个。计世资讯另一份《2005年中国金融行业信息化建设及IT应用趋势报告》则显示,2004年中国金融业IT投资规模达到248.85亿元,比2003年237亿元增长5.0%。就金融业整体而言,计世资讯预测,2005年国内金融业IT总投入将达到270.0亿元,而到2008年将达到343.53亿元的规模,年复合增长率保持在8.4%以上的水平。
伴随着政府及行业相关政策紧锣密鼓的出台,人民银行在无锡的灾备中心、工商银行在北京的灾备中心、海关系统在广东的异地容灾备份中心等均已建成并投入使用。投资1亿多元的深圳发展银行外包建设灾难备份中心在不久前召开的中国首届灾难恢复行业高层论坛会上成为推广学习的典型,因为其超过7000平方米的专业灾备中心已连续稳定运行了40个月。
中国内地第一位获得国际DRI认证的业务连续运作专家、GDS首席灾难备份顾问汪琪对记者说,BCM不是通过技术,对企业数据进行灾难恢复那么简单。业务连续性管理也并不仅仅是IT部门的职责,其实,在业务连续性管理方面,很多公司是由最高领导人或分管业务的副总来负责的。“一般而言,数据恢复的级别越高,其成本越高,所以业务连续性管理很重要的一项工作就是评估最优化的成本与时间方案,找到最佳结合点。”
自建还是外包?
2005年4月,国务院信息化办公室联合电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》正式出台。灾难备份与恢复的建设因而揭开崭新的一页。
一系列政策的出台导致业务连续性管理的强劲需求,这在客观上也刺激和加速了灾备行业的兴起和形成。
据介绍,在这个行业中,提供咨询和系统解决方案的,只占10%-20%的利润,更多的收入来自硬件。而IBM和HP在这个领域中既提供硬件又提供服务。
在美国,最大的灾难恢复服务商SUNGARD被多家财团收购,由上市公司变成私人企业。而SUNGARD在中国的合作伙伴GDS万国数据服务有限公司是中国第一家专业灾难备份服务商,2002年为第一家客户提供灾备外包服务,但是在去年,他们的收入已经达到4000万元。
“从目前的趋势来看,每年100%的增长应该不成问题。”GDS万国数据的CEO黄伟对这个行业有足够的信心。
“事实上,灾备外包有诸多优点:安全服务提供商的客户广泛,所以可以拥有一系列广泛的技能;此外,客户可利用服务商的规模经济来降低成本;并且能够利用优势快速达到政府监督所要求的水平。目前国外60%以上的灾难备份采用的是外包服务。”黄伟说。
“无论是自建,还是外包都有风险。”专攻信息安全课题中科院高能物理所许榕生教授认为,如果自建,一方面投入比较大,要建立灾难备份的专门机构;另一方面,不如专业的灾难备份服务商那么有经验。如果外包,整个社会的商业诚信体系、法律环境还不完善,一旦机密信息和数据不在自己的控制范围内就会产生更大的风险。
据记者了解,目前在国内金融系统的灾备建设中,中国人民银行和工商银行等采用的是自建的方式,而深圳发展银行则采用的是外包方式。中国人民银行科技司副司长李晓枫说,总体上,银行的灾难备份建设模式倾向于自建灾难备份中心。
专家汪琪认为,有三个方面的原因制约了我国IT外包(包括IT安全外包)的发展。一是法律环境尚不规范;二是商业信用体系在中国还不完善;三是用户担心IT外包服务商是否具有可持续生存和发展能力。
“不过,目前信息安全外包不成熟的状态是有一个前提——我国信息化发展尚处在一个低级阶段,各种制度保障还没有跟上。”汪琪说,“各国的经验表明,只有信息化发展到了一定程度,政府才会慢慢跟上,但这还需要一个过程。”
| 
