日本地震敲响警钟:面向复合型灾难的挑战

DOSTOR存储在线 4月13日原创报道: 在日本,过去三十年来城市策划和管理人员,都在积极防灾,制定严格的、甚至是苛刻的建筑抗震与灾难防护安全性规定,其中的某些条款,可以称得上是世界的最高标准——但即使他们这样努力——在3月11日日本大地震及海啸灾难发生之后,日本首相菅直人却向媒体宣称:“我们,整个日本国民,要做好整个东部日本毁灭的最坏的准备。”

当地震来袭的时候,过去一年习惯听到地震消息的国人,并未意识到问题的严重性,在开始的几天,日本大地震的消息甚至作为谈资在街头巷尾不断飘散,甚至出现了各种或好意或夸张的难以找到根源却又言之凿凿的流传的故事和“段子”——我们作为一个大陆民族——从未意识到危机其实离我们并不遥远,且无法理解对于一个岛国来说,问题的严重性。

但事实马上擦亮了我们的双眼,随着3月11日大地震被确定为9级,日本地震逐渐被发现其成为了一场典型的复合型——或者称之为衍生型——灾难,地震引发的海啸、核辐射、火灾、高等级余震等多种衍生灾难,导致日本陷入前所未有的动荡,而更令人感到不安的是,直到现在我们都无法搞清楚,到底核灾难离我们有多远。

在许多灾难专家的眼里,这几乎就是一个“教科书”式的灾难,原本静静躺在教科书上的类似的衍生型、复合型灾难,真实的出现在我们的眼前,随着这几年地震频发、天气异常,对地球和我们生活的整个环境尚未完全了解,甚至还一知半解的今天,我们根本没有底气敢拍着胸脯说:“灾难与我们无关!”因为一切都离得这么近。

一位参加中国国际搜救队的老队员曾说过,灾难来临时,最大的恐惧往往不是来自灾害本身,而是对可能发生什么一无所知。在如此可怕和近在眼前的灾难面前,我们是否了解如何预防这种衍生型灾难?作为个人、企业、组织、机构或是政府,是否有足够的演练、计划、投入来防范在灾难之后出现更为可怕的社会灾难和业务连续性灾难?

换句话说,如果灾难真的来袭我们成为幸运儿,我们又能够让社会、企业、组织或是政府运作起来,实现他应当赋予的责任么?——在这样一个信息的时代、数字的世界,除了房子、车子之外,企业的虚拟资产和信息系统又能否度过灾难?

或许我们现在还没有明确的答案,或许我们还应该从类似日本大地震这样的灾难中学习更多的东西,增加更多我们对此的了解——如果此时读这篇文章的读者您就是一位企业的CIO或是信息系统关键人物,如此严峻的挑战您是否做好了准备?

就此,GDS万国数据服务有限公司副总裁汪琪,以一个灾难预防专家的角度,向DOIT记者介绍了企业如何制定灾备预案,如何在灾备预案中控制成本、应对衍生型灾难,以及这一次我们能够从日本地震中学到的东西。

他山之石可以攻玉:从日本大地震灾难中学习

“由于日本是一个地震、海啸等自然灾难多发的国家,因此,日本在灾难预防及BCP(业务连续计划)体系建设方面做了大量工作,积累了丰富经验。”汪琪认为,鉴于日本的地质条件的原理,日本在应对灾难的方面,其实做了许多的值得我们借鉴的工作,我们并不能因为一次灾难造成了严重的后果,就否定了日本的成功经验,在这灾备预案方面我们做的甚至还不如日本好。

作为全球灾难预防的样板式的国家,在灾备意识培养方面,日本具有一套政府主导,企业、个人,包括社区、学校等广泛参与的防灾救灾培训以及防灾演练体系,这使得日本政府、民众在应对一般性灾难时能够比较从容应对。

汪琪说,日本是一个对灾难预防工作做到近乎苛刻的国家,将灾难预防与应急预案工作作为国家的“国策”来应对,在政策制定方面,日本很早就已开始以业务连续性计划为主导的应急预案与恢复预案的制定,而早在六年前的2005年4月,日本经济产业省信息安全政策室就制定了《业务连续计划制定指导方针》,作为日本针对业务连续性灾难预案的指导性文件。

除此以外,日本内阁府的中央防灾会议在“用民间和市场的力量提高防灾能力的专门调查会”中设置了企业评价和业务连续工作组,从防灾减灾角度推进政府和企业的BCP建设。2005年8月,日本制定了《业务连续计划指导方针》。中小企业厅在2006年2月,以中小企业的防灾为对象,制定了《中小企业BCP制定运用方针》等。

而在企业界,同样的业务连续性应急预案也随之可见,“比如三得利公司在遍布日本大街小巷的自动售货机上都装有相应软件,一旦灾难发生,自动售货机就会停止收银,用于救灾。”汪琪表示,仅从针对业务连续性的角度来看,日本的许多公司有非常多的值得我们学习的地方,比如说丰田汽车公司,其很早就建立了名古屋港发生地震后的备份运输路线和应急体系,改变平常的零部件和成品车的物流路线,改为东京和大阪的港口,确保地震等灾后的业务持续,而像三得利这样的将灾备预案延伸到社会救助的公司也不在少数。

汪琪认为,像日本这样的国家,长期的——长达几十年——制定灾难预防与灾难预案方面的计划已经是走在非常前沿的,因此,从目前的情况来看,地震实际上并未给日本带来多大的问题,产生多大的灾难影响,反而是地震所引发的海啸、火灾和东京电力公司福岛核电站的核危机,却引发了社会的动荡和对国家灾难预防方面的质疑,这一点非常值得我们深思。

灾难预案:从针对IT到面向业务 从单一模式向复合应对

汪琪曾经多次前往日本了解和学习日本的经验,他表示,据他了解,在基础设施(建筑物)的抗震等级方面,日本在京都大地震之后,显著提高了建筑物的防震抗震标准,航空、电信以及企业数据中心等都采用了多种防震措施,因此,虽然遭遇9.0级大地震,但是并没有造成太多损失和人员伤亡。

但是,这次地震引发的衍生灾难——海啸的破坏力却是空前的,海啸引发的不仅是大量人员伤亡,建筑物损毁,更主要的是导致了一场全球性的核辐射危机。日本东电公司福岛核电站原来进行风险分析和风险防范时,只考虑能够抵御3米多高的海啸,而实际地震引发的海啸高达十几米,远远超出了福岛核电站风险评估时预计的海啸风险防范范围,从而引发了此次核辐射危机。实际上,核辐射危机可以归结为“一场失败的企业风险评估引发的全球性危机”。

从公开的新闻中,我们也不难看到这一点,在3月11日大地震后的一周里,有关地震死亡人数的报告如意料中一样并不十分显著,这在针对地震有较好预防措施的日本是非常常见的情况,但是随之而来的“灾难遇难人数”——海啸、火灾中的不幸人数,却在不断的攀升,并远远超乎人们的想象。我们必须意识到,地震和随后引发的海啸、火灾、核电站爆炸等都在同一场灾难中爆发,是目前我们遇到的在灾难预防方面的新挑战,而这个挑战,同样是BCP业务连续性所面对的新的严峻形势。

“从预案制定或技术角度来看,应对地震、海啸、核辐射等衍生灾难是非常难的,因为在灾难真正发生之前,我们很难想象到这场灾难所带来的衍生灾难究竟有哪些,有多大的破坏力——对地震所引发的海啸、火灾等衍生灾难进行适当的风险评估、业务影响分析,制定适合的应急预案,并定期开展应急演练是对每一个企业CIO提出的严峻挑战。”汪琪表示,海啸、火灾、核电站爆炸等接踵而至在历史上是很少出现的场景,也远远超过BCP预案制定的常规。

我们知道,通常情况下,BCP预案设计的最糟糕场景往往是地震、海啸、火灾、核电站爆炸等灾难中的一种或两种,很少有灾难预案考虑多种复合型衍生灾难频发造成的对业务连续性的影响,但是现在,是开始为制定整合各种灾难场景的全应急预案的时候了。

随着社会生活、企业运行、信息系统的保障越来越有赖于复杂的运营支持环境,对于企业业务来说,依赖的方面越多,也就意味着可能出错误的地方越多——用“墨菲定律”来解释,就是:该出错的就一定会出错。因此,企业开始面对的是更加复杂的流程和支持条件下,越来越多可能出错的地方,以及在复合型灾难下,需要考虑的越来越复杂化、多样化的灾难预案的制定。

给CIO:业务连续性考验的是“最糟糕的情况”

对于CIO来说,应对复合型的灾难还不是灾难预案制定过程中唯一需要考虑的问题,在成本和企业业务发展的决策岔路口,到底以什么样的程度和投入,为业务连续性实现经得住考验的灾难预案,是必须要考虑的。

对此,汪琪表示,作为CIO或者说对于整个企业来说,“做最糟糕情况”的预备是必要的,否则,在目前日趋呈现的多样化、复杂化、衍生化的灾难中,很可能做到一半程度的保障,反而成为了无用功。

“我们必须按照最糟糕的情况制定更全面的BCP预案,并不断为预案增加新的挑战内容,即使这样,我们还是会遇到很多预案中没有涉及,但如果启动预案就会出现在我们头脑里的潜在可能——而这些正是预案成功执行的保证。” 我们必须知道当地震,尤其是一场严重的地震发生时,它可能随之产生的各种次生灾害和影响,以及将对社会、人员、设备和企业带来怎样的灾难,一份简单的营救预案可能无法包括所有这些内容——同样的囧境在日本已经发生,没有人希望会在其他的地方,尤其是自己的身边重演。

作为灾难恢复/业务连续性管理/企业风险管理的工作者和专家,我们应该为最糟糕的灾难局面,包括任何可能发生的意外情况制定应急预案,并按照预案开展工作,保证能够快速、高效地应对发生在企业设备、人员、运营系统和技术工具上的各种问题。

对此,汪琪表示,灾难备份、灾难预案和业务连续性的考验,是多方面的,因此在准备方面也要从多个层面、多个角度进行筹划。

“首先是系统备份范围问题,很多行业企业虽然做了灾备,但只是对核心系统进行了系统备份,一旦发生灾难,其恢复能力只是杯水车薪,根本无法承载全面的业务恢复能力。其次是预案完整度问题,在很多企业中,虽然做了应急预案,但一般都是针对总公司、总行、总数据中心的应急预案,而且针对各种突发性灾难的预案偏少,只解决了有没有的问题,没有扩大风险防范范围,也没有向分子公司拓展,完善应急预案体系。”

此外,汪琪表示,这里还存在预案关注度问题,很多企业在制定预案时,考虑的更多的是IT系统和数据,忽视了业务问题、组织架构问题、营业场所问题、人员伤亡问题、供应链影响问题等。因此,预案关注点应从IT方面转向业务连续管理阶段。

但仅仅建立预案是不够的,汪琪谈到,演练问题也是重中之重:“应急预案能否有效执行必须通过演练不断的检验、改进和完善,在这里需要强调的是,大部分企业目前进行的还都是模拟演练,真正进行真实切换演练的企业还是凤毛麟角。这涉及到灾备意识、灾备理念、资金投入等多方面因素,但是实际切换演练一定是将来的方向和我们努力的目标,只有经常进行实际切换演练,才能最大限度的验证预案体系的完整性、适用性以及可操作性,整体提升灾备管理能力和业务连续管理水平。”

“9•11”是真实的:达摩克利斯之剑永悬

衍生灾害的危害如今已经被现实印证可能远远超过原生灾难,而类似9•11事件这样的灾难,却又让我们无法预知到底我们的灾难以何种方式降临,灾难就像一把达摩克利斯之剑般永悬头顶——我们或许可以知道灾难定会出现,但我们却无法知道他又变换了何种模样?

但我们是否对灾难无能为力?我们看到,“9•11”惊醒了很多企业,在“9•11”之前,很多企业认为,制定恢复预案、进行灾备建设是杞人忧天、庸人自扰;但“9•11”之后,很多企业都开始重视、加强灾备建设。

同时,灾备建设内容也发生重大变化,“9•11”之前,企业更关注的是如何恢复自己的数据和信息系统以及业务;“9•11”之后,企业更多的是关注整个供应链,关注危机公关/危机通讯,关注组织架构及人员保障等等,这使得很多企业的灾备建设真正进入到业务连续管理阶段。

汪琪认为,每一个威胁,每一个紧急事件,它所带来的这种冲击和引发的衍生灾难,我们都要不断地吸取经验、教训,在未来对它加以防范,做到“居安思危,思则有备,有备无患”——有意识,有行动是应对灾难的最重要的也是唯一的手段。

“(我们)并不是“无能为力”,关键在于如何总结经验、吸取教训。”汪琪表示,只要现在动手去做,进行业务连续性建设,打造自己的灾难预案就“永远不算晚”,但如果现在不做,不从当下做起,灾难的出现,很可能就在下一秒成为永远无需再做的充分理由。