小概率 高风险

        提起灾难，人们可能立刻联想到的是地震、洪水、暴风雪等自然灾害。对企业而言，它的概念则更加广泛。2005年4月，国务院信息化办公室出台的《重要信息系统灾难恢复规划指南》对“灾难”进行了定义——“由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件”。
        人为原因所造成的灾难，对企业信息系统的破坏程度绝对不亚于自然灾难，“911”事件曾造成1200家组织受灾，其中一半以上的企业因为数据损毁、丢失，导致业务无法恢复，以致于宣布倒闭。尽管国内还没出现过这样极端的例子，但因为信息系统故障、人为操作失误造成的严重危害，对企业来说也是一场“灾难”。去年4月20日，银联的信息系统发生故障，导致北京、上海等多个大城市的POS机无法刷卡、不能跨行取钱，影响众多商户的正常经营。类似事故近几年还发生过好几起——有银行系统停机、铁路售票系统瘫痪等，着实让受害企业及同行开始重视灾难恢复的问题。

　　 近几年，国内企业为了实现资源共享、加强对分支机构的监管和经营风险的管控，将数据越来越集中于总部。然而伴随“大集中”而来的是风险的集中。对于企业而言，一旦集中的数据遭到破坏，打击将会是致命的。美国得克萨斯州大学的调查显示，只有6％的企业可以在数据完全丢失后生存下来；43％的公司会彻底关门；51％的公司将会在2年内消失。尽管灾难是小概率事件，但它一旦发生就是高风险事件，因此越来越多的企业开始把防范灾难作为公司治理的重要内容，灾难备份建设也被更多的企业提上日程。
        “做灾备就像买保险，永远用不上是最好的。”深圳发展银行首席信息官孙涤说。深发展银行是国内第一个通过外包建立灾备系统的银行。“2001年，即使自建灾备系统的银行也寥寥无几。”那时，深圳发展刚刚启动新一代综合业务系统，以数据集中存放、集中处理取代了原先的多分区多中心、数据分散式存储和处理的方式，新系统对稳定运行有着极高要求，所以建立一套完善的灾备系统十分必要。2001年，深发展与灾备外包商GDS公司签订了上亿元的外包服务合同，将灾备体系陆续建立起来。尽管这一系统到现在为止，还没派上过用场，但对孙涤而言，它的建立如同让自己吃下一颗“定心丸”——完善的灾备机制极大地分担了数据集中所带来的风险。
        当年，深圳发展银行着手建立灾备体系时，并没有意识到几年后灾备系统会成为体现银行竞争力的一个基本要素。现在，有无完善的灾备系统已经成为衡量国内银行风险防范的一个关键点。中国工商银行在其招股说明书中，特别强调了其北京数据中心始终为上海数据中心提供备份数据，这些数据将在发生灾难及主要系统发生故障时使用；同时，他们还建立了替代的通信系统。据悉，工行现已建成了国际金融业规模最大的异地灾难备份和恢复系统，一旦出现意外 ，数据丢失可控制在2分钟之内，业务能在2小时之内全面恢复。
        创新安泰也是国内较早建立灾备体系的企业之一。它是荷兰国际集团（ING）与北京创新集团出资建立的一家人寿保险公司。成立不久，在股东方的要求下，它就开始创建灾难恢复计划。今年3月的停电事故对它而言，也是一次小小的检验。创新安泰将办公地点选在大连市中心的一个五星级写字楼里，按说发生停电事故的概率非常小，但是百年未遇的暴风雪还是导致了停电。这次从灾备角度来说，他们并未真正启动灾备系统，但是由于事先已有完善的灾备计划，一切应急流程都有条不紊地进行着。“作为保险公司，我们要以稳健的经营作风打动客户，所以在信息系统安全性上，容不得有半点儿差错。”孙建光说。
        2004年开始，我国的银行、保险、证券、税务、海关、民航、铁路、电力等8大行业被国家圈定为必须建立灾难备份的重点行业。2005年，国信办出台《重要信息系统灾难恢复指南》，为各行业，尤其是重点行业的灾备建设提供了指引。今年，灾备建设将作为国家信息安全标准在全国发布。
        如今，灾备系统建设已不仅是银行、保险、政府等重点行业的要务，随着其他行业组织的信息系统不断完善，大量组织对信息系统的依赖度不断增强。去年12月26日，海底光缆中断事件， 除了对不少互联网用户造成严重影响外，还对一些通过远程网络使用国外ERP系统的外资企业造成了直接影响。
        灾备建设并非杞人忧天，它是企业信息安全保障的最后一道防线。专家建议，一个对信息数据依赖度大的企业，至少应该准备一份灾难恢复计划，“因为你不知道公司的磁盘哪天就会突然坏掉”。