中小企业赤膊上阵 灾难恢复任重道远

申请免费试用、咨询电话：400-8352-114

从历史来看，在认识到自我防卫的价值之前人们往往要饱受煎熬，灾难恢复也是如此。如果说911事件让人们意识到灾难的来临总是猝不及防，给企业敲响了一次关于IT灾难恢复建设的警钟。那么,汶川巨灾则再次让人们感觉到灾难很可能就在不远处，我们与灾难之间的距离不是隔岸观火。

在灾难没有来临前，除了尽力防患于未然，别无良方。张家日是一家中型制造工厂的IT主管，他正在思考老板前天问的一个问题，如果公司的IT系统遭受到灾难是否会影响公司的业务营运?这个问题让张家日全身冒汗，张家日的感觉在中小企业CIO中并非个案。今天，灾难恢复对企业来说早已不是什么新话题。但如果是一家中小型企业的话，恐怕制订一套完善的灾难恢复策略并不乐观。

一.中小企业灾难恢复现状不容乐观

最近,有调研公司发布的一份研究报告显示，在许多中小企业看来灾难恢复距离本企业比较遥远。在中小企业中有64%的企业还没有应用任何形式的灾难恢复解决方案，在剩下的36%的企业中也没有执行日常的灾难计划测试。有31%的受访者表示一旦发生破坏主数据的重大灾难可以实现恢复基本运营，但只有不到10%的受访者表示可以在12小时内恢复基本运营，而将近一半的受访者表示完全恢复正常运营需要一周的时间。然而，有调查却显示：只有6%的公司可以在数据丢失后生存下来，43%的公司会彻底关门，51%的公司会在两年之内消失。

(1)没有意识到灾难恢复的必要性

灾难恢复一般是针对地震、洪水、战争等小概率灾难事件，但概率小不等于不会发生。虽然这些灾难发生的概率比较小，但后果往往非常严重。实际上，灾难威胁造成的后果往往是无法用金钱来衡量的，由于对信息技术的高度依赖，灾难造成的后果往往会关系到企业的生死存亡。

无论是小公司还是中型企业，电子邮件、业务数据、客户资料及财务数据等都成了企业每天赖以生存的信息。事实上，由于现代企业对互联网以及软件等工具的大范围应用，使得“灾难”的定义也在逐步外延。因为企业在使用这些工具时，一旦出现了某种看似普通的电子故障，都可能会引发如供应链通信中断、在线交易停止或者网络系统瘫痪等重大问题，这些无疑都已经成为了企业所面临的更可怕的“灾难”。

张家日认为很难想象一家企业在发生IT灾难的时候，没有一个数据恢复系统会怎样。而事实上只有备份数据并不能称之为一个灾难恢复计划。而且，更严重的是许多中小企业也并没有将简单的备份加入到某种形式的灾难恢复计划中，这种情况确实让人担忧和不容乐观

(2)受成本困扰无法针对多重灾难进行计划

从调查的结果看，有些中小企业也认识到了灾难恢复的重要性，许多中小企业都表示希望能够在紧急事件发生的时候快速进行灾难恢复。不过，在为未来的灾难规划时，中小企业面临的最大的问题是他们支付不起相关费用，无法针对多重灾难进行计划。例如，无法针对面对自然灾难、病毒攻击以及战争和恐怖活动分别进行灾难恢复计划。

(3)担心灾难恢复测试影响业务运作

调查显示，约47%的中小企业担心灾难恢复测试会造成业务中断影响正常营运，因此对灾难恢复流程的测试频率仅为一年一次甚至更少。受访者提到的原因包括：人员不足，中断业务工作，预算问题和中断客户服务等。

二.什么是IT业务灾难恢复计划

(1)什么是IT业务灾难恢复

什么样的威胁能够导致企业业务的中断?灾难是由于人为或自然的原因，造成IT系统运行严重故障或瘫痪，使IT系统支持的业务停顿或服务水平不可接受。企业业务灾难恢复是指在灾难发生时，一个企业的关键过程的业务可被迅速恢复运行。可见，灾难备份和恢复的能力，不仅仅是面向可靠性，还是面向企业生存性。

在IT领域，灾难不仅指自然的原因，也包括人为的原因，灾难的范围很宽泛。IT灾难恢复指的是在发生一些重大的不可预料的停机事件时，企业所采取的用以使其反作用最小化的一系列行动措施。灾难的发生可能是由于如下的因素：黑客攻击、计算机病毒、电源故障、电缆断裂或失效、系统管理错误、火灾、洪涝和其它的灾害等。

事实上，企业要保持业务连续性，最大的威胁并不是来自于火灾、地震等小概率大影响的灾难。相反，企业业务更多地受到诸如人员操作错误、流程缺陷等事件的威胁。虽然它们对经济的影响力远不如那些重大灾难，但是它们却时刻潜伏在企业的周围，随时一触即发，同样会对企业造成致命的打击。

(2)IT灾难恢复的等级划分

那么，企业该如何在合理预算的前提下，更好地实施灾难恢复从而保证企业的业务连续性呢?从开始的时候企业就要问一下自己，花这么多钱要规避什么样的风险，是要规避一个很大的灾害，如像911恐怖袭击这种低概率事件，还是自身每天都要面临的日常灾难风险。

灾难恢复的最佳方法主要在于规划和预防。国际上对IT灾难恢复的等级大概划分为七个层次，从最低级的磁带备份，到实时备份。这个等级划分的目的是让企业清楚为什么要从业务层面做灾难恢复，不同业务应该采取什么样的手段。对于企业来说，不一定必须选择第七级的方式。实际上，只要选择一个最能满足应用需求的方式就可以了。它不一定是最高级的方式，也可能是最低级别的方式。如果客户拥有非常多的应用，客户可划分成关键应用、重要应用或者是一般应用，然后针对每个部分采取不同的灾难恢复的策略。

为企业重要应用和流程提供业务连续性包括三个方面：①高可用性：是指提供在本地故障情况下，能继续访问应用的能力。无论这个故障是业务流程、还是物理设施、IT软/硬件的故障。②连续操作: 是指当所有设备无故障时保持业务连续运行的能力，用户不需要为正常的备份或维护而需要停止应用的能力。③灾难恢复: 是指当灾难破坏生产数据时恢复数据的能力。这三个部分不是相互孤立的，而是相互关联和交叉的。

(3)常用的灾难恢复方式

灾难恢复主要有两种方式。一是自己建设，一些有实力的大企业有资金、有能力自己做灾难恢复项目，缺点是自己建设灾难恢复中心，不仅建设周期长投入资金大，而且灾难恢复中心的维护成本、管理经验、应急策略的规范等方面都是持续的挑战。二是寻求外包方式，因为自建数据备份中心不但前期投入大，而且维护运营也需要投入比较大的人力。因此，除了敏感部门外，中小企业可以把灾难服务托管给第三方，当发生灾难时，可以按照事先定义好的配置和流程恢复业务。不但可以节省巨额投资和缩短灾难恢复的时间，还可以获得专业的服务和经验。另外，还有多方共建模式，但是由于责任分配等问题而不成为主流。