蓝汛技术专家介绍，容灾企业建设主要有三种方式，一种是冷备份，也就是备份服务器平时并不运行，只有发生事故后才开机启动，这种备份方式由于需要启动，系统恢复的时间会比较长；一种是热备份，备份站点也和主站一样处于运行状态，但只备份数据，不承担业务，只有当出现意外情况时，备份站点才接替主站点的业务，这种备份方式也会存在一定的时延；另外一种就是异地双活的容灾方式，也就是在相隔较远的地方分别建立两个机房，且都处于工作状态，共同承担日常运行工作，一旦其中一个出现意外，则另一个承担起全部工作。直观地说，异地双活的方式，就好比一个人可以完成的工作，在日常却安排两个人来同时完成，当其中一个人有事不能工作时，另一个人可以独立完成。相比其他方式，异地双活的容灾，对意外情况的响应几乎可以做到零时延，可能用户根本就不会感觉到就实现切换了。

　　■分析

　　事故背后的容灾漏洞

“这次的两件事原因完全不同，支付宝的事故可以说是天灾，携程就完全是人祸了。”有多年灾备工作经验的某公司信息安全部总监刘小雄对记者分析，支付宝的事故偶然因素更大，提前预防的难度也更大，而携程的事故则完全是内部问题。不过，这两起事故都反映出两家企业在容灾工作上的不足和漏洞。

　　支付宝 机房建设或存在不足

支付宝此次的事故，根源是机房光缆被挖断，从这个角度讲，有一定“不可抗力”的因素，但是也不能说支付宝本身就不存在任何问题。

蓝汛技术专家认为，支付宝对外宣称自己的容灾方式是“异地双活”，但是从实际处理来看，用户受到影响的时间还是长达2小时，如果是真正做到了“异地双活”，就不应该有这2个小时的服务中断，由此可以推断，支付宝的容灾系统可能并没有真正做到异地双活。不过他也表示，支付宝与其他互联网企业不同，它的业务是交易类的，实时的数据交互量非常庞大，想要做到异地双活，技术难度非常大。“说实话，以阿里的实力，如果支付宝都做不到，那其他互联网企业就更不用说了。”

这位技术专家还指出，从支付宝的故障进行倒推，其在机房的建设上也可能存在着不足。按照施工规范，连接两个机房之间起码要有两条独立的链路，而且两条链路要走不同的路线，当其中的一条被挖断时，就不会影响到两个机房间的数据传输。

　　携程 缺乏应急预案和演练

对于携程遇到的事故，容灾方面的专家认为，其原因更多的是携程本身应对的问题，如果应对得当，事故影响是可以降低的。

刘小雄认为，从携程此次事故的细节判断，携程给出的解释似乎不大能站得住脚。“单纯的误操作很难带来这么大的影响，它说是一些执行代码被误删除了，可线上和源头同时被删除的可能性是非常低的。”刘小雄判断，携程出问题的真正原因应该是遭遇到了网络攻击，或者是在应对攻击时维护人员出现了重大失误，或者是纯粹的外界攻击对它造成了破坏，“不管怎么说，我觉得网络攻击都是造成其严重事故的主因。”

他表示，网络公司如果发现及时应对得当，是可以抵御或者降低危害的，可携程的问题说明，他们或者没有及时发现恶意攻击，或者是安全防护人员能力较差，才会造成如此后果。

蓝汛相关人士也认为，从携程的应对来看，其明显缺乏对此类情况的处置预案，似乎没有做过相应的演练，否则按照预案与日常演练进行处理，不会用12个小时才恢复正常。“对紧急情况缺乏预案和演练的互联网企业应该不在少数。”

■追访

　　防范风险容灾建设要合规

“出了事的认倒霉，没出事的看热闹。”刘小雄称，这是不少互联网企业之前对于严重事故的态度，出过事的可能会对原有流程和设备进行完善，而没有出过事的可能还抱着侥幸心理不加重视。不过，在支付宝和携程的事故之后，多数互联网企业还是应该会有所触动的。“不只是企业自身，今后国家可能也会向企业提出更高的安全要求。”

刘小雄表示，想要避免出现严重的安全事故，企业对容灾的重视程度和相关制度的合规非常重要。他介绍，在一些大型互联网公司，主要业务部门必须有灾备方案，还必须接受对灾备预案和演练情况的审核。此外，公司本身也有对于容灾的严格规定。“比如我们内部的容灾分为三个步骤，第一是明确哪些业务需要进行容灾；第二是按照业务的实际情况每半年或者一年进行一次容灾演练；第三就是当突发情况真的发生时，按照预案和演练进行操作就可以了。”

他认为，一些企业存在误解，认为容灾会增加成本，实际上如果容灾没有做好，出现事故，所带来的损失要远大于容灾的投入。

(责任编辑：安博涛)