北邮杨义先 北京邮电大学教授、灾备技术国家工程实验室 杨义先

2018-02-22
字体:
浏览:
文章简介:北京邮电大学教授.灾备技术国家工程实验室 杨义先通信世界网消息(CWW) 随着移动互联网和大数据时代的到来,自然和社会等各方风险.矛盾交织并存,公共安全形势更为

北京邮电大学教授、灾备技术国家工程实验室 杨义先

通信世界网消息(CWW) 随着移动互联网和大数据时代的到来,自然和社会等各方风险、矛盾交织并存,公共安全形势更为严峻复杂,大力发展应急产业迫在眉睫,作为应急产业的重要系统支撑和保障手段,应急通信面临更多的挑战,但同时,由于4G、大数据、云计算、物联网等新一代信息技术在通信领域的迅速普及和应用,正推动应急通信向移动端创新发展,5月20日,由中国通信学会主办的2015应急通信产业大会在京召开。

以下是北京邮电大学教授、灾备技术国家工程实验室杨义先主任演讲实录。

以下是演讲实录:

杨义先:各位嘉宾,上午好!我以灾备技术国家工程实验室主任的身份给大家介绍一下灾备与应急的演练情况。08年5.12地震以后,我们国家才发现我们的数据原来这么脆弱。所以在非常紧急的情况下,由发改委组织成立的这个实验室,这个实验室一直从事灾备方面的研究。

我汇报内容分三个内容,灾难当然有很多种,这些灾难发生以后,从我们IT人角度来说,它会造成一些重要信息丢失,包括服务的中断,导致很多社会影响。现在中美的关系是网络安全,一方可能使另一方造成大面积的网络瘫痪。这种情况怎么进行应急响应,对这些灾难进行处置。

为什么需要灾备?85%的系统未进行备份,53%的故障是由硬件或软件造成的,38%损失源于人为错误。并非只有发生重大灾难才需要进行快速系统恢复,日常操作也会致使系统发生故障。灾难随时都在我们身边,它对国家,对社会,对个人都会有影响。所以灾备技术的核心就是怎么样减灾防灾,这是一个刻不容缓的任务。

我们一般说灾备就是数据灾备,做好这三块。第一块是计算资源,第二块是传输资源,第三块是存储资源。每一块做法是不一样的,这个涉及到技术问题,不作为重点。灾备对我们越来越重要,因为现在随着信息化社会的发展,我们越来越依赖于各种IT系统。

灾难发生的情况可能性多了,造成的损失就会更大,所以必须要采取各种各样的安全手段来确保这些系统的连续服务。而灾备应急响应是作为安全手段之一,这两个彼此之间有非常密切的关系。现在对灾难备份的要求,应急处置的要求,已经成为IT系统一个非常基础的设施,是不可缺少的。

关于灾备,过去在研究技术方面做了很多。但是有一个比较大的缺陷没有太注意,灾备和安全一样,这个系统建得再好,如果没有发生灾难的时候,这些人不会使用,不会去演练,真到关键的时候不知道怎么用。灾难应急演练这一点非常重要,这个演练方式是不一样的,对数据系统,对通信系统,对计算系统等等是不一样的,但是是有很多共性的。

基于这样,我们开发出一个灾备实战演练平台,基于这个平台,在平时需发生灾难的时候,就可以模拟各种灾难来进行演练,进行培训,进行实战。

应急演练确实是非常需要的,比如系统更新、调整,原有的灾难恢复预案是否仍然有效?灾备系统是否需要进行有效的更新?真正发生灾难需要启用灾备系统时,灾备系统的切换时间是否可以满足业务的恢复需要?系统切换流程,步骤是否有遗漏和错误?灾备演练其实就是对检验灾难恢复预案的适用性、有效性,提升灾难系统的实际恢复能力具有非常重要的意义。

过去我们在人才培养方面不够重视,都是研究灾备的存储技术怎么办,同步技术怎么办,对这块是需求很大的。我们不可能建立一个真实的IT上去做演练,那是很危险的。

灾备应急演练,针对信息系统事故情景,依据应急预案而模拟开展的预警行动、事故报告、指挥协调、现场处置等等。灾备应急演练主要的内容应该分为这么几块,首先要明确你的演练目的是什么,是培养人还是测试系统,这个目的要搞清楚,而且要有一定原则。

灾备应急演练的目的主要是这几个方面,别指望一次演练把所有目的都达到了,这是不可能的,要有重点。有些可能是检验预案,有些时候是锻炼队伍,有些时候是磨合机制,有些时候是宣传教育,当然还有一些是完善准备,当然还有其他目的。

任何一个灾备应急演练系统的目的可能主要是这么几个方面,演练原则,首先要符合相关的规定,切合企业的实际,注重能力提高,还要确保安全有序。这些原则是大原则。

类型大概有两大类或者三大类,桌面演练、模拟切换和实际切换,桌面演练和模拟切换相对来说分的细一点,无非有这么几块,效果最好的是实际切换,但成本很大。桌面演练工作量小,容易开展,可以随时开展,思路宽广,可以模拟任何场景,只要你演练平台做得好,可以模拟任何场景。现场演练也有一些优点,场景真实,确保演练结果的可靠性,可以通过实际演练发现潜在问题。你模拟得再好,不可能非常准确。

应急演练的内容很多,剥削它的目标、组织架构、人员疏散的计划、灾害的评估、事件通报、灾害决策,包括其他内部的一些处理等等,作为应急处理的内容,首先你要做一个预案,这个预案在没有发生灾难的时候就要反复测试,在不同的情况下采用不同的预案。灾难演练的一般过程,确定演练目的与范围,确定演练的时间,确定演练的测试方案,确定灾难演练计划等等,这些细节不说了。

我们演练的组织和实施,要有一个演练计划,要做演练准备,成立演练组织机构,编制演练文件。综合演练通过成立演练领导小组,下设策划组、执行组、保障组、评估组。编制演练文件,包括演练工作方案、演练脚本、演练评估方案、演练保障方案、演练观摩手册、演练工作保障。

演练工作方案内容主要包括灾备应急演练的目的及要求、事故场景设计、演练规模及时间、参演单位和人员主要任务及职责等等。还有演练的脚本,包括很细的内容,演练尽量使它逼真。

演练完了还要做评估,评估方案包括对演练到底有些什么信息,对哪些东西进行评估,按照什么标准来进行评估,按照什么程序来评估等等。演练保障方案应该包括应急演练可能发生的一些意外情况,应急处置措施及责任部门等等。

演练工作保障,包括人员保障、经费保障、物资和器材保障、场地保障、安全保障等等。灾备应急演练的实施,熟悉演练任务和角色,组织预演,然后进行安全检查,进行应急演练,然后对演练各种细节要做好记录,然后进行评估,评估人合不合格,系统合不合格,有什么问题,最后才是演练结束,有一个演练的过程。

最后完了还要进行总结,总结包括现场点评,包括书面评估,这些不说了。最后还有存档与备案,演练包含很多方面,就是一些原则性的。

第三部分,包括应急,包括灾备,包括整个大安全,拿什么去演练。刚才说了桌面系统、模拟系统,我们能不能真正做一个桌面演练系统。我汇报一下我们做的一个4G演练平台,基于这个平台,任何一个单位随时都可以进行模拟,黑客攻击了怎么办,系统坏了怎么办,不断进行演练。

网络已经成为我们国家第五个战略空间了,我们需要有一个演练平台,不能光考试100分,要让他真正动手。这个演练不是你随便拍脑袋想的,要严格按照规则的。人才培训需求,适合的岗位,CEO、CTO、CIO、项目管理,安全运维、安全服务、安全研发等,IT运维、网站内容、开发等,财务、行政等部门。

我们开发的平台需要是产学研用一体,它能够在产业方面帮助一些企业完成对员工的培训,甚至对教学科研的提升,对技能的提升。从学习方面,包括理论学习、动手能力学习和攻防实战。在科研方面,支持一些研发,还有它本身可以作为测试的工具,产学研用都考虑到。

它是采取一种模块化方式的,不同的模块,你需要多少就拼在这个模块上,随时进行调整,可以分高档、中档、低档。这个内容很多,不说了,每个模块可以增加,可以减少,每个模块包含什么东西,我们都放在这里面。大家如果有兴趣,可以下来跟我谈,私下交流。

这个就是系统本身的架构,需要界面友好。我们把这个平台还可以更细分,分为三块,第一个作为实验教学用的,包括有实验中心,有考试中心,有管理中心等等。还有它有很多功能,有很多课程,这是教学这部分,把教学这部分总结一下。

教学平台分这么几块,有攻防平台,攻防平台它的功能可以用于4G的实训,虚拟化的管理,监控中心、管理中心。这是攻防平台的特色总结,不细说。还有网络安全演练竞技平台,这是竞技平台的一些特色,我们现在已经用的很多了,现在很多单位、行业都已经用了我们这个实验平台,如果大家有需要的话,我们都可以提供这个平台。

最后,我想简单汇报一下我们这个实验室,这个实验室是唯一一个国家级的灾备方面的实验室。基于这个实验室,我们最近还成立了一个灾备技术产业联盟,这个联盟的指导单位就是通信学会,现在国家是鼓励大家做这种,把全国的灾备方面的企业、高校和一些用户联系起来,看大家有什么需求,做一个共同的平台。理事长单位是北京邮电大学,各位如果对灾备有兴趣的话,欢迎加入这个联盟,这个联盟是个非营利性的。谢谢大家!

以上演讲实录为现场速记整理,不代表本网观点。