档案异质异地保管策略研究讲解

档案异质异地保管策略研究

宫岩 向晶 刘俊

无论是美国“9.11事件”，还是汶川、日本特大地震，让人们懂得了灾害的来临猝不及防，也让档案人看到，最早从“9.11”危机中走出困境的组织机构大都得益于数据资料的异地备份，震后被泥土埋没或雨水浸泡的档案内容信息得以恢复留存也主要依赖全文信息备份数据或缩微复制品。尽管有效备份和异地保管是确保档案信息安全的一项非常重要的措施已成为档案界的共识，实际需求也早已迫在眉睫，但由于灾备方案的技术复杂性、建设成本昂贵等种种原因大多数档案部门依然迟迟未动。当前条件下，档案部门如何建立适合档案部门特点的、既科学合理又经济实用的存储和备份模式，是急需档案工作者认真思考和研究解决的问题。 1 通用方案在档案部门应用存在的问题

国内外许多大公司为人们设计出了一些相当不错的容灾备份解决方案，在金融、电信、交通、商务等领域得到了广泛应用和良好的成效，但这些方案如在档案部门应用还存在以下问题： 1.1数据与系统恢复的侧重关系

当前容灾备份系统的投资成本和设备配置主要集中在关键业务应用恢复和数据实时备份上，恢复的顺序是在系统恢复后才能保证数据的恢复和使用。档案数据备份的核心在于数据的完整保存，以及当

1

灾害发生后保证急需数据的迅速调出和恢复，这一点与金融、电信、交通、商务等领域的即时应用有很大的差异。

档案部门保管的信息数据是相对静止、稳定的，从档案信息特性和需求来看，也不需要365天×24小时不间断服务，所以，灾备方案的重点在档案数据的完整保护上，即关注的是数据的损失和恢复情况，即RPO(recovery point object )情况，而不会特别强调RTO(recovery time object)实时运行和瞬时恢复。例如实时双机热备方案虽然足以应付宕机或系统故障问题，但在特大灾难或战争毁坏面前，仅搭建、恢复系统环境就需要数十个步骤，占全部恢复时间中很大比例，其难度比数据恢复更加复杂和费时，也难以保证 “实时在线”。因此，现阶段档案容灾备份工作的重点可放在数据恢复和调用而非不间断业务上，注重结合实际的需要，选择适合自己的方案产品，不要一味追求高精尖。 1.2异地数据的安全性

汶川、日本地震向我们提出了一个问题，异地备份的合理距离是多少？为克服灾害所应选择的距离，不是仅局限在不同机房、不同的办公地址、不同的城市，还应考虑不同的地震带、不同的电网、不同的山川流域，甚至不同的战区。但这些因素往往已超出一个单位所管辖的地域，可能需要依靠外单位人员进行管理。将档案数据委托外单位人员全面管理和掌控，其产生的保密安全责任问题是档案部门难以承担的。 1.3网络的依赖性

2

灾害对网络的破坏和摧毁是首要的，不可避免的。通观各容灾备份方案，大都是依托网络环境实施的。无论是依靠国际互联网、本系统的办公网、还是单位内部的局域网，一但网络出现问题，信息服务业务将全部瘫痪。近年来中国大规模的网络瘫痪事故有五起，包括2006年台湾地震震断海底光缆事故、2009年暴风DNS受攻击导致大范围断网、2010年百度域名被劫持事件、2011年中国电信宽带维修导致大规模网络故障，以及今年1月21日波及全国三分之二网站、持续超过一个小时的大规模“网络瘫痪”的DNS域名根服务器故障等。这些“网络瘫痪”事件就提示我们——人们越来越依赖于互联网，即便只是一时的中断，就能使许多机构陷于混乱。这种仅能适应太平时期的备份方案，当灾害真正来临，在网络被破坏或受阻时将很难实现原来设想的容灾效果。并且，档案部门应用的网络是建立在其他部门建造的网络基础上，不仅在网络通信、带宽流量等方面都受到限制，而且一旦网络出现故障，自主修复能力有限。此外，网络的传输速度还达不到到令人满意的程度。从现在网络条件看，如需远距离传递或下载馆藏量级别（至少几个T）的数据所用的时间和成本，有时还不如靠人工送达来的方便和快捷。 1.4存储介质的可靠性

从目前的情况看，备份的形式除了磁盘阵列外，许多为脱机的磁带和光盘备份。

磁带库提供了最经济有效的备份载体，但磁带机的普及性、兼容性并不高。同一系列品牌也只能保证三代以内的兼容。另外，磁带有

3

顺序读取性，当一处出现问题，后面的信息便无法读取。由此可见，将磁带作为长期的灾备载体使用存在一定的局限性。

以光盘作为存储介质虽较为普遍，但相对于海量数据其容量有限，载体数量偏多，质量性能参差不齐，保管要求较高，检查校验繁琐困难，迁移更新成本不小等等也是客观存在的问题。光盘的无症状突损在保管中很难监控，虽然可以按规定要求定期检测，但多数情况下是采用不少于10%的等距或随机的方法抽检，一但遇到被漏检的数据损失，信息的可靠性、完整性就不确定了，这是档案部门最难以接受的。一般的档案馆最少也有几个T的数据量，以现在的VCD 、DVD或蓝光盘的容量装载，上千张光盘的拷贝迁移速度将会限制数据恢复能力。

1.5设备和技术更新频率加快

近年，计算机行业以每两三年一个周期的速度淘汰或更替技术和设备，这种频率是大多数档案馆正常的业务经费难以承受的。如军队系统各档案馆在“十一五时期”建立的网络磁盘阵列存储设备现在已处于被淘汰的边缘。在技术迅速发展且不完全稳定成熟的时期，投入几十万、上百万的资金只能保障数据备份3至5年安全有效，我们不得不从经济与效益的角度提出疑问：这类需阶段性更新设备和技术的容灾备份方案是否适用经济条件和技术力量都十分有限的档案部门。 2 适应档案部门特点的备份模式和实施策略

在现阶段，我们认为可以脱离网络并在相对简单的环境条件下实现随时调用信息的、体现法律凭证效力的、较低成本的备份模式和策

4

略是比较适合档案部门的容灾备份模式。 2.1建立凭证利用互补的异质备份

档案备份目前有两类复制品，一是缩微复制品，一是数字信息复制品（包括数据副本），由于档案数字信息容易删除和篡改，且其法律效力尚未得到法律认可，其可靠性一直是人们担心的问题。在《中华人民共和国档案法实施办法》中明确规定 “档案缩微品和其他复制形式的档案载有档案收藏单位法定代表人的签名或者印章标记的，具有与档案原件同等的效力”，就是说当档案原件受损或暂时无法获得时，档案的缩微品可以起到替代作用，因此，档案缩微复制品成为与档案数字备份功能互补的最佳备份介质之一。由此可见，档案部门的容灾备份方案应是包括以档案缩微复制品为凭证性备份，以数字化全文数据为应用型备份的异质信息备份体系。 2.2 采用多套分距的备份管理模式

建立几套备份才是合理科学的？我们认为要建立包括近距、中距和远距完整的三级容灾备份体系才能满足档案灾后或战时管、存、用要求。

近距离备份（本地）：数据和系统备份，可存放同一工作区域。主要应对平时误操作、发生逻辑错误、系统设备等故障恢复和数据更替复原的需要；

中距离备份（异地）：在能够管辖的本市区域。异地保存档案信息和系统备份数据，主要应对火灾、局部灾害时数据恢复和应用的需要；

5

远距离备份（异地）：非同一城市或战区。远程异质异地备份，主要应对地震、洪水、战争等灾害时数据恢复和应用的需要。 2.3 采用不同的监控管理策略

由于档案数据管理不宜委托非本单位人员参与作业，所以，我们把档案信息的管理分为数据级监控管理和载体级监控管理两种控制模式。

本地备份实行数据级监控管理。主要是针对档案数据的完整性、真实性及稳定性的管控。异地备份实行载体级监控管理。建立隶属或对等的备份载体交换存放管理关系，保管单位只需负责控制载体和保管环境，对载体内容不需进行管理（类似银行保险箱），这样既确保非本馆人员在协助保管中保障信息载体的安全，也解决了信息安全保密责任的问题。

在保证运输安全的前提下，每间隔一年或一定时间，可将远近两套数据轮换，交替进行载体检查校验，从而保证远距离备份载体内数据的完整性、可用性。

2.4 建立脱机移动应用型数据备份

建立一套脱机移动型应用存储备份数据。由以光盘、磁带为主的被动拷贝型备份，更换为具备自带检索利用系统的移动存储硬盘。

根据档案的特性，数据容灾备份以静态的冷备份为好，但这种备份不应是被动的、简单复制，而是能在较简单环境下使用的自带存储、检索、利用功能的即插即用式移动硬盘备份。我们馆在数据备份的每一张光盘上都配置了对目录数据库和全文影像数据进行检索浏览的

6

程序，同理，也可以应用到移动数据硬盘上。

通过采用大容量的移动硬盘，将全文数据、目录数据及检索程序打包在一起，当特殊时期，利用硬盘底座的快速接口来实现数据的传递。如USB+IEEE1394或USB+e-SATA,以及USB3.0接口实现高速传输，直接插入计算机或笔记本便能满足临时调阅文件使用。在平时遇有系统故障，在系统恢复期间也可用此盘临时代替系统的应用。 2.5 实施常温环境下的备份和管理

外部环境对缩微胶片的影响主要是温湿度超出标准范围和有害气体引发的胶片干脆破裂、粘结、乳剂层脱落以及酸性升高生成霉斑等问题。如果严格按照缩微胶片的保管标准和要求在异地建立恒温恒湿的专用库房，建设成本和日常监控会有一定难度。另外，使用空调、去湿机或恒温柜等电器设备都会存在因电路故障引发灾害的风险。

通常，异地存放的缩微胶片一般为第二、三代片，其环境要求相对可以降低。通过对北方地区在常温下封装存放十多年的第三代片观察检验，胶片质量没有明显的改变。恒温恒湿机柜使用寿命一般在5-8年，缩微品质量下降而淘汰重新拷贝的成本与恒温柜维护费和电费基本相当。因此，在缩微胶片封装时根据存放环境采用相应的控制措施后，选用在一般档案库房等常温条件下进行保管是可以接受的。 3 适应档案部门特点的备份装具和技术保障 3.1 备份装具安全策略的实现

3.1.1 档案数据装具。档案数据应选用带防震技术和防护措施的移动硬盘进行存储。如采用带有防震的橡胶外壳以及内部采用了FDB液压

7

平衡辊轴系统或悬吊式吸震等技术的移动盘，能在硬盘受到冲击的时候较好地保护硬盘和数据。为使数据更加安全，也可以采用含基于RAID磁盘阵列技术的桌面存储设备。如国内某公司提供的基于RAID磁盘阵列技术的移动设备，能提供大数据容量、高传输速度和数据安全保护。它的保存温湿度的条件为0-60℃和5%-90%，如此低的指标要求非常利于常规温湿环境下使用保管。

另外，将数据盘存放在具有防灾安全保护性能的装具内，如存放在防火、防震的保险柜内，再对数据存储盘本身进行防水处理后，将可以抵御一定破坏性的灾害。由于保险柜本身所具有的防盗安全功能，可以很好地保障数据载体的安全。

3.1.2 缩微胶片的装具。在常温下保存缩微胶片，需要选用密封性能好和安全坚固的装具。如国外某品牌安全箱坚固性可以经过卡车碾压，在水下10米不会渗水，并具有较好的防火性，使被保护的物品能避免摔碰挤压及渗水、受潮、腐蚀的危害，保证缩微品的存放安全。将安全箱封存在保险柜内以确保其更加安全。 3.2备份技术保障策略的实现

3.2.1移动硬盘自备检索的技术实现。通过采用兼容性好的编程语言，编制在Windows环境下兼容各种版本、能直接运行的检索程序，实现无需调用运行库文件、无需第三方软件支持下的档案数据的检索并浏览应用。

在备份的移动盘上保留这样的程序，并载有以下的内容： （1）全文数据：以规律的、特定的层次目录存放的全文图像文件；

8

（2）数据库文件：文件级目录数据库；

（3）查阅浏览系统所需要的其他软件：如看图用软件、影音文件的播放软件、数据库软件等 ；

（4）说明文件：对备份状态进行说明。 3.2.2 硬盘质量和数据安全的检测校验。

校验保障分为两部分： （1）硬盘性能质量检测和校验

通过建立有效的硬盘检测监控机制，为硬盘备份和电子文件长期安全保存提供有效的检测技术保障。利用硬盘检测工具像HD Tune、ATTO Disk Benchmark、Fast Copy、HD Tach等软件各自的特点，对硬盘的质量状态进行检测，检测的项目包括硬盘支持的功能、效能和质量状况等等。主要检测以下功能：

a.读取/写入检测，包括磁盘的传输率、突发数据传输率及底层数据读取错误率等检测

b.数据拷贝性能，包括移动硬盘在应对大容量单个文件的实际拷贝能力检测

c.寻道时间性能、平均速度、温度等 （2）数据质量校验

对数据进行可读性、规范性和可靠性检测，在向移动盘复制迁移数据时，通过数据质量校验软件，对硬盘文件目录和全文数据进行检测，主要检测以下内容： a.目录的完整性

9

b.影像文件的完整性 c.数据的挂接状况

d.备份盘与本地机数据的一致性等

3.2.3封装环境控制。在对缩微胶片封装时，往往会忽视封装时温湿度环境与保管环境的关系。在密封的容器里，其湿度的变化与环境的湿度关系很小，只与环境温度和封存时的湿度即含水量有关。因此，可根据异地保管环境的最高温度、最低温度与密封箱内的相对湿度的对应的关系，找到一种合适的封装初始温湿度状态，使缩微胶片保管的湿度环境用小环境来控制和调节，使之在常温环境变化下，也可以处于一个相对稳定合适的温湿度环境中。

在缩微胶片密封箱内，可放置箱外观测温湿度的设备以及测量酸碱度的测试纸等来检测显示环境状况。定期观测箱内常温下的保管环境和状况，一旦环境指标超过了保管条件，即可进行相应的调控处理。

总之，在各种灾害频发的今天，档案部门立即着手建立灾备体系已是当务之急。在现阶段选用涉及高端技术、多套系统及软硬件配置较为复杂的容灾方案有一定的困难情况下，采用上述模式可以在满足数据级保护的基础上保障应用需求，并解决一部分业务级的恢复。当然，在技术力量和资金条件充足的条件下，在技术和应用案例更加成熟的时候，建立全方位的档案信息应用和备份体系，实现远程业务级实时同步热备的容灾方案依然是档案部门应该考虑的理想模式。

10

参考资料：

[1]《档案馆防治灾害工作指南》，国家档案局编. -北京：中国档案出版社，2010.02

[2]《信息安全—信息系统灾难恢复规范》,GB/T 20988-2007 [3] 品质之选，移动硬盘横评.科技时代_新浪网 [4]《军队档案管理学研究丛书--档案保护技术》，解放军出版社 [5]《中华人民共和国档案法实施办法》

[6]《一场网络大瘫痪引发的思考：中国网络安全谁做主》环球网 20140124

作者：宫岩 向晶 刘俊 作者单位：空军档案馆

该文被评为2014年全国档案工作者年会优秀论文

11