税务系统灾备系统设计

税务系统灾备系统设计（精选7篇）

税务系统灾备系统设计 篇1

摘要：随着我省交通信息化水平快速提高, 各类业务系统产生了大量数据。业务数据的安全问题日益突出, 由此设计和建设了辽宁交通数据灾备系统。

关键词：数据,存储,安全

1 交通业务数据灾备需求分析

随着辽宁省交通厅信息化水平的快速提高, 其对信息系统数据安全的要求越来越高, 业务数据的重要性越来越突出, 任何故障或灾难造成的数据丢失都会严重影响正常业务工作的开展。

目前交通厅直属各局 (包括高速局、运输局、征稽局、公路局、高建局、质安局、港航局、信息总站) 业务系统采用的传统保护措施如冗余电源、双机备份、负荷分担、RAID技术等避免了部分灾难。但是上述保护措施难以应对火灾、存储整体损坏等情况下的数据保护。

灾备系统就是一个能防止生产业务系统遭受各种灾难影响破坏的计算机系统。灾备可分为数据级灾备、应用级灾备和业务级灾备三个等级。用来评价灾备能力的指标有四个, 分别是RTO (恢复时间目标) 、RPO (恢复点目标) 、RR (容灾半径) 和ROI (投入产出比) 。

针对上述背景, 交通厅从各局整体业务考虑, 开展了交通厅数据级灾备系统的研究与设计, 基于交通广域网的网络平台, 对各局运行的关键业务系统的数据, 进行一个全面的保护。根据实际需求, 灾备系统应遵循中华人民共和国国家标准 (GB/T 20988-2007) 《信息安全技术—信息系统灾难恢复规范》的要求, 其中数据备份系统的灾难恢复等级应至少达到第5级或更高的要求。

2 灾备系统总体设计

2.1 设计原则

(1) 系统整体方案不影响现有业务运行, 对现有业务系统的软硬件配置改动最小;

(2) 主灾备中心为所有业务局的统一数据容灾中心, 目前和高速局在同一幢楼里, 为避免此楼发生突发灾难导致数据丢失, 在交通厅综合办公楼建设数据备用灾备中心, 数据从各局备份到主灾备中心后, 再由主灾备中心统一备份到备用灾备中心;

(3) 基于现有的交通厅政务内网的网络基础实现数据级别的异地数据灾备, 不需要专门拉光纤;

(4) 容灾方案可设置灵活的策略, 比如基于时间的策略, 基于数据变化量的策略等, 避开业务高峰期, 避免容灾过程对业务的影响;

(5) 容灾方案能够实现全面的数据保护, 比如对本地数据的保护和快速恢复, 数据的异地保护等。

2.2 设计方案

如图1所示, 整个系统设置两个灾备中心, 主灾备中心 (设置在高速局办公楼) 以及备用灾备中心 (设置在交通厅综合办公楼) 。各局的业务数据通过节点设备IX1500或IX1000通过基于IP的复制方式统一备份到交通厅主灾备中心, 主灾备中心再将数据统一备份到备用灾备中心。

此设计方案有以下三个重要特点:

(1) 统一的灾备管理

在交通厅通信信息总站设置统一管理中心, 对全省各局的灾备进行统一的管理和配置。通过统一的管理平台, 实现整个网络中的容灾设备进行统一管理、统一制定灾备策略、统一维护等, 极大方便了数据管理和后期的运维。

(2) 本地的数据保护

通过在各局增加磁盘阵列, 采用服务器镜像的方式或Disksafe软件保护方式, 提供了较全面和完善的本地数据保护。本地的原有磁盘阵列损坏时, 可通过在本地放置的IX1500或IX1000进行快速恢复, 或直接用IX1500/IX1000来提供在线存储。

(3) 远程数据保护

为了防范机房火灾、恐怖事件等导致的数据丢失, 将各局的数据统一复制到主灾备中心和备用灾备中心, 即使各局任何一点发生此类事件, 仍能在主备两个灾备中心将数据进行恢复找回, 这是通过远程复制技术实现的。

3 系统实现的关键技术

3.1 TimeMark技术

如图2显示了某个数据磁盘启用TimeMark的资源视图, 其TimeMark创建策略为每隔一个小时创建一次。因此9点TimeMark仅仅指需要记录之后一个小时数据的变化情况, 而无需关心10点之后数据的改变, 大大节约了特定TimeMark需要占用的空间, 同时也使快照资源的大小仅仅是源资源的一部分, 节省了系统资源。

在根据策略创建了多个TimeMark之后, 如果需要查看某一时间点的数据, 则可以使用相应的TimeMark快速重新创建或者恢复数据。

当人为误操作、病毒、恶意攻击等“软性”灾难导致数据被破坏时, 可以通过TimeMark回滚把数据恢复到可用状态。

而当具体的应用需要时, 通过TimeMark拷贝可以使用任何一个已有的TimeMark来创建真实的永久资源, 得到创建该TimeMark的时间点的完整数据, 并提供给应用服务器使用。

3.2 远程复制技术

远程复制功能支持在生产中心与灾备中心之间通过IP网络对关键业务数据进行策略性增量复制, 实现数据的异地备份, 并在发生意外灾难时对数据进行快速恢复, 确保用户的业务持续性。

如图3所示, 数据从生产中心的IX1000/IX1500按一定的策略复制到灾备中心的IX3000。当条件满足预设策略时, 生产中心的IX1000/IX1500启动数据复制, 把源资源的数据复制到灾备中心的副本磁盘中。

管理员可以根据具体的需求, 为复制的源资源定制相应的复制策略来控制复制进程。一天中的特定时间, 例如:在每天晚上的12:00开始复制;持续时间间隔, 例如:每隔15min复制一次;容量的变化量, 例如:新数据超过5MB就开始复制。

IX1000/IX1500基于上述三种策略的一种或者多种来触发复制, 在本地应用服务器进行I/O操作时, 只写到本地的生产数据卷中, 当预先设定的触发条件满足时触发数据的复制。

为了保证副本资源的数据具有一致性和完整性, 每次复制的数据都使用快照技术来进行有效保护, 因此数据在整个复制过程不影响应用系统的正常业务处理, 并且保证灾备中心的数据完整可用。

4 系统演练方案设计及效果演示

针对目前交通厅各类业务系统的数据存储情况, 此次演练方案模拟三种可能出现的灾难, 分别如下:

(1) 生产中心因本地磁盘设备硬件问题, 数据完全被破坏, 数据不可用。此情形下, 业务系统访问本地IX1000的备份数据, 业务能够继续运行, 待本地磁盘设备被修复后可以把数据从IX1000上恢复到本地磁盘上;

(2) 生产中心由于不可预知原因, 造成本地存储数据损坏, 此时可使用本地的IX1000存储设备与灾备中心的IX3040进行反向复制, 将灾备中心的数据复制回生产中心, 恢复数据;

(3) 生产中心由于不可预知原因, 造成本地存储数据全部损坏, 此时本地服务器可远程访问主灾备中心或备用灾备中心IX3040的数据, 保证业务系统正常运转。

通过实际灾难演练, 所建成的数据灾备系统完全满足各业务系统数据的灾难备份和恢复的需求, 保证了业务数据安全。但在实际灾难演练过程中, 发现IX3040所在的主灾备中心到本地IX1000复制所使用的链路带宽 (2M) 较小, 影响数据恢复效率, 下一步应该予以改进。

2008年9月, 省交通数据灾备系统试运行。由于数据灾备系统的特殊性, 为确保系统的稳定运行, 我们设计和制定了数据灾备系统巡检制度, 根据自身业务系统的实际需要, 对灾备硬件和备份软件的运行状况进行全面检测, 及时发现数据备份过程中潜在的问题, 确保数据备份的准确性和完整性, 这为交通厅各类业务系统的数据安全提供了坚强的保障。

参考文献

[1]康春荣, 苏武荣.数据安全项目案例——存储与备份、SAN与NAS、容错与容灾[M].科学出版社, 2004.7.

[2]Tom Clark.存储区域网络设计——实现光纤通道和IPSAN的实用指南 (第二版) [M].电子工业出版社.2005.1.

义煤公司数据灾备系统设计与实现 篇2

随着信息化技术的飞速发展, 煤矿企业的信息化建设也趋于成熟, 通过使用现代科学技术, 保证了煤矿控制系统能够及时全面的了解煤矿内部的各种信息, 工作效率大大提高了, 但与此同时, 数据量增大, 煤矿信息化系统服务器的安全运行问题变得日益重要, 因此, 容灾备份系统的建设对于保证煤矿业务的连续性上有重要的意义。

容灾备份是通过在异地建立和维护一个备份存储系统, 确保在灾难发生后, 关键数据, 关键数据处理系统和关键业务能够在确定的时间内可以恢复和继续运营[1,2]。容灾备份防范的灾难包括地震、水灾、火灾等自然灾害以及网络攻击、设备软硬件故障、人为破坏等无法预料的突发事件[3]。

1 义煤公司容灾需求分析

义煤公司完成了企业信息化建设, 提高了不可再生资源利用率、加大了生产效率、降低人工投入、缩减了成本, 增加了公司的效益。义煤公司信息化建设主要完成了下面几个方面的工作[4]:建立办公自动化系统、建立财务管理平台、拓展部分电子商务平台、建立生产安全管控平台以及建立信息平台。对于上述五种主要的方面, 反应了义马煤矿信息化建设中信息流的特点[5]:

(1) 数据信息来源多样。煤矿中的各种系统, 如自动控制系统、环境监测系统以及人工活动的系统等都是信息的来源。

(2) 数据信息不集中。义煤公司有不同的部门、层级, 其各自经营的侧重点不同, 各种业务的子系统相对复杂, 所以信息相对较为分散。

1.1 业务子系统信息影响分析

灾备系统的建设需要考虑多方面的因素, 如需求与资源的平衡, 各个业务子系统都希望灾难发生时, 系统能够最大限度的以最短时间恢复到灾难发生前的情况, 子系统内无任何数据信息丢失。但灾备系统并不是完全的对各个子系统的拷贝, 它只是作为备份, 当正在运行的子系统出现故障时, 它代替子系统进行业务处理, 完成子系统的重建和恢复后, 灾备系统即可停止业务处理。所以, 应当考虑实际的业务中各种子系统之间的重要程度, 根据其重要程度, 决定是否进行灾备保护, 以及数据恢复时的优先顺序。

目前义煤公司有着大量的windows和linux PC服务器, 运行着不同的业务子系统, 数据信息来源多样, 数据信息分散, 但其重要程度不同, 以目前的业务子系统分析, 义煤公司数据灾备系统应包含安全监测子系统、电信收费子系统、煤炭销售子系统以及财务子系统的数据灾备。这些服务器面临着关键数据可能遭到破坏, 丢失, 业务可能中断运行 (包括计算机病毒感染, 黑客攻击, 杀毒软件误杀毒, 主机服务器故障, 人为误操作和蓄意破坏等) , 将导致整个业务瘫痪, 对公司的影响巨大。

鉴于系统故障很难避免, 容灾备份系统的建立可以在关键程序和应用系统在遭到破坏时能够快速的恢复服务器正常运行, 所以建立容灾备份系统势在必行。

2 数据灾备策略分析

义煤公司存在着大量的数据, 合理的分析数据灾备策略有助于确定适合特定企业的数据级灾备方案。

2.1 数据灾备模式

数据备份分为七种模式[6], 部分模式以实现方式有SAN (存储区域网) 和NAS (网络附加存储) 之分。衡量数据灾备方案的最基本指标是RTO[7,8] (复原时间目标) , 指可容许服务中断的时间长度, 以及RPO (复原点目标) , 指当服务恢复后, 恢复得来的数据所对应时的间点。其它指标有一次备份对业务的影响以及二次备份对业务的影响。下面就这些指标分析每种模式的优劣性。

2.1.1 存储复制模式

指将某个存储设备上的信息完全同步到另一个备份存储设备上。主卷和辅助卷位于同一个存储磁盘阵列中, 数据同步在主卷与辅助卷之间进行一次备份, 再对辅助卷通过SAN进行二次备份到备份服务器, 一次备份的速度极快, 且对网络和业务服务器几乎无影响, 二次备份使用独立的SAN, 对业务SAN也无影响。RTO为数秒, RPO为故障前状态。

2.1.2 SAN存储拷贝模式

存储设备与备份服务器之间使用SAN, 拷贝存储设备中的完整数据到备份设备, 它与存储复制模式的唯一区别在于使用业务的SAN, 而不是独立的SAN。所以一次备份速度极快, 对网络、服务几乎无影响。二次备份对业务的影响较小。RTO为数分钟到数小时不等, RPO为最后备份数据的时间点。

2.1.3 NAS存储拷贝模式

与SAN存储拷贝的最大不同是它不使用SAN进行数据通信, 而是通过LAN, 所以只有在二次备份时, 影响了系统业务。其它指标和SAN存储拷贝模式相同。

2.1.4 SAN快照模式

快照是指在某个特定时间点, 对存储设备提取磁盘镜像。此模式是通过快照进行数据备份, 二次备份使用业务SAN通信。一次备份对系统业务有轻微影响, 但二次通信对业务影响较小。RTO为数十小时以上, RPO为数分钟前。

2.1.5 NAS快照模式

与SAN快照模式的最大区别是它使用LAN, 所以二次备份对系统业务影响相对于前者较大。

2.1.6 业务服务器模式

通过业务服务器的资源进行备份, 虽然此模式使用了SAN通信, 但它直接用于业务服务器, 所以一次备份对业务的影响较大, 不存在二次备份, 一次备份的速度也比较慢。RTO为数十小时以上, RPO为最后的备份点。

2.1.7 业务LAN备份模式

与业务服务器模式相比, 区别在于是用LAN通信, 所以一次备份对业务也有较大影响, 其它与前者相同。

2.2 数据灾备策略的选择

对于数据备份本身, 其过程会产生大量的设备之间的通信数据, 因此, 合理的选择灾备模式, 将直接影响整个系统正常业务的使用, 综合考虑备份速度、对业务的影响, 可根据表1选择标准选择适合的备份策略。

备份方法的确定

备份方法分为完全备份、差异备份、增量备份。完全备份为备份所有数据, 差异备份只备份与上次备份发生变化的部分, 增量备份是备份上次备份中另外增加的部分。根据备份处理时间和RTO的需求, 选择合适的备份方法。

义煤数据灾备系统设计原则与架构

2.3 数据灾备系统设计原则

对于任何系统设计, 必须遵循相应的设计原则, 以满足各种需求。依据义煤公司的实际情况, 数据灾备系统设计应满足如下几种原则:

2.3.1 可扩展

作为煤矿企业信息化建设的重要组成部分, 义煤数据灾备系统的设计需要充分考虑其实用性、先进性以及高可扩展性, 以满足未来业务子系统的发展需求。

2.3.2 过渡平稳

数据灾备系统的设计需要充分考虑义煤公司现有的各个子系统的现状, 应最大限度的降低对子系统的影响程度, 达到平稳的过渡。

2.3.3 资源利用最大化

数据灾备系统设计能够满足需求, 能够对关键业务子系统进行数据灾备, 而对于非核心业务子系统以及不需要进行数据灾备的子系统则不启用灾备方案, 达到资源利用的最大化。

2.3.4 策略选择

目前数据灾备的策略有很多种, 要选择满足义煤公司需求并且合适的策略, 要考虑其稳定性、先进性、可靠性、安全性、以及可拓展。

2.4 数据灾备系统架构

为了构建义煤公司容灾备份系统, 参考现阶段主流的容灾技术, 提出适用于义煤公司的数据容灾备份系统解决方案。

根据义煤公司现有重要子系统的不同重要程度, 将义煤公司的数据灾备系统分为两个部分:本地核心业务数据灾备系统和异地关键业务数据灾备系统。整个数据灾备系统架构如图1所示, 在义马本地机房设两台IBM3650服务器作为网络存储平台, 再设华为1724G交换机一台, 将所保护的业务系统服务器与IBM3650服务器组成存储局域网。在本地机房将其中一台IBM3650服务器通过光纤, 将财务系统、煤炭销售系统的UNIX服务器连接, 组成SAN结构存储局域网。同时在孟津机房增设一台IBM3650服务器作为异地容灾存储平台, 两地相距66km, 能够满足异地容灾需求。

2.4.1 本地核心业务数据灾备系统

数据备份模式选择SAN快照模式, 包括财务子系统 (双备份) 以及煤炭销售子系统的备份。

选择一台本地机房的容灾备份服务器, 通过FC-SAN与主存储相连, 利用UPS软件, 将财务系统、运销系统的UNIX主机的操作系统、配置环境、在线数据提供连续保护, 实现系统及数据的无缝集中及迁移, 准备远程的多版本传送。另一台机房的容灾备份服务器连入LAN, 在需要保护的Windows/Linux服务器安装UWS软件, 为PC服务器提供系统到数据的全方位保护和快速恢复, 实现系统和数据的无缝集中及迁移, 远程的多版本传送。数据备份的方法选择完全备份。

该系统是义煤公司对其核心业务子系统在本地进行数据灾备保护的系统, 要求RTO=0, PTO<=2h。

2.4.2 异地关键业务数据灾备系统

数据备份模式选择SAN快照模式, 包括对安全监测子系统, 电信收费子系统, 煤炭销售子系统以及财务子系统的备份。

利用远程镜像软件Remote Mirror, 通过IP网络 (采用的是义煤公司办公网) , 将保存在UWS、USP空间的多版本的操作系统、配置环境、文件以及数据库采用同步和异步两种方式传送到孟津远程容灾中心相应的UWS/USP存储设备上。由于本地机房和容灾中心采用基于版本的同步, 故可以方便地随时在容灾中心服务器的本地盘启动任意版本的应用、数据库服务乃至全部运营, 容灾中心的运行状态不影响本地机房的运营, 从而构成center to center远程容灾系统。数据备份方法选择差异备份。

该系统是义煤公司对其重要子系统数据的异地容灾保护, 主要用于防范自然灾害以及人力不可为的导致本地数据中心出现故障时的数据恢复。要求RTO在5分钟之内, 而对于RTO, 不做具体要求, 但尽可能的短。

2.5 测试结果

(1) UWS利用网络启动、光盘引导等模式实现快速恢复, Linux系统因为要做磁盘检查, 数据稍大的服务器在半个小时内可以完成, 数据少的可以更快一些, Windows系统比平常启动慢两到三分钟就可以到登录界面, 而UNIX系统也可以达到和Windows系统相等的时间。

(2) UPS利用Volume Mirro机制实现数据直接切换, 都可以做到3分钟内完成启动。

3 结论

企业信息化建设对于企业的发展至关重要, 保障信息安全更是重中之重。为了保障企业的业务正常运行, 本文着重分析了数据层面的备份设计模式, 结合义煤公司的实例, 介绍了企业容灾备份系统解决方案, 为企业信息化建设提供了参考案例。

参考文献

[1]闵捷.大型ERP系统中灾难备份机制的研究与构建[D].同济大学, 2007.

[2]韩爱华.容灾技术在医院信息化建设中的应用研究[J].中国医学装备, 2012, 9 (8) :19-21.

[3]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界, 2012, 213:61-62.

[4]吴新艳.义马煤业集团信息化规划刍议[J].当代矿工, 2005, 1:57.

[5]韩望月.我国煤矿企业信息化集成建设模式探析[J].煤矿机械, 2013, 34 (10) :272-273.

[6]杉原健郎, 吉田一幸, 岩琦贤治等.图解基础设施设计模式[M].北京:人民邮电出版社.2015.

[7]张峰.存储技术专家谈:认识容灾备份构筑一个避风港[EB/OL].http://www.dostor.com/info/ne tstor/2004-10-29/0001921045.shtml.2014.

税务系统灾备系统设计 篇3

在信息技术飞速发展的今天,许多公司开始大量使用信息系统对日常的业务进行管理,比如使用ERP、生产管理、OA等应用系统[1],在信息化给人们带来各种便利的同时,人们对其的依赖也越来越高。任何一条记录的丢失,都可能导致难以估量的后果。911事件之后,很多企业由于数据丢失而倒闭,这更引起社会各界对保护数据的重视,也显示出保护用户数据的重要性要远远大于其他计算资源的重要性。因此,保护数据的完整性和安全性成为人们日益关注的重要领域。为了保障数据资料的安全,需要建立远程的集中式灾备中心,对业务数据进行集中式的保存。一个典型的数据中心灾备系统由基础环境设施、网络通信系统、数据备份系统、灾难恢复计划等组成[2]。本文根据Golden Gate软件平台,搭建一套灾备系统的数据管理及验证软件,能够对灾备系统数据的完整性、一致性及可行性进行快速分析、判断及验证,从而提高了灾备数据的质量[3]。

1 Golden Gate灾备系统与衡量指标

1.1 Golden Gate软件

Golden Gate软件是一种基于日志的结构化数据复制备份软件,它通过解析源数据库在线日志或归档日志获得数据的增量变化,利用捕捉进程在源系统端读取Online redolog或archivelog,确定需要进行的复制(增、删、改)操作,并通过队列(Extract队列),由TCP/IP网络将相关信息传送到目标系统。

Golden Gate可以在异构的IT基础结构(包括几乎所有常用操作系统平台和数据库平台)之间实现大量数据亚秒一级的实时复制,从而可以在应急系统、实时数据仓库供应、数据同步、集中/分发、容灾、数据库升级和移植等多个场景下应用。同时Golden Gate的复制关系可以为一对一、一对多、多对一等[4](见图1)。

1.2 灾备系统的指标

根据系统的组成,针对灾备的数据,灾备系统具有2个重要的指标,即恢复点目标(Recovery Point Object,RPO)和恢复时间目标(Recovery Time Object,RTO)。RPO与RTO越小,灾备数据的状态越好,表示系统的可用性就越高。

RPO是指业务系统所允许的灾难过程中的最大数据丢失量。数据保护的根本目的是在一定的预算和技术基础上,要求实现尽量小的RTO、RPO。当发生各种故障时,可以进行快速的系统和数据恢复,使得系统继续发挥作用,提供数据服务和业务服务能力[5],如图2所示(T0至T1间)。

RTO是将信息系统“从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态”所需时间,其中包括备份数据恢复到可用状态所需时间、数据处理系统切换时间、备用网络切换时间等,该指标用以衡量灾备方案的业务恢复能力[6],如图3所示(T1至T2间)。

2 快速验证方法

针对Golden Gate系统的复制原理,在不改变Golden Gate和数据库原有配置的情况下。从操作系统底层开发出相关程序,用shell语言实现两端数据库的比较[7]。从而将灾备端数据库中,存在数量、结构、数据不一致的表用TXT文本显示出来。

2.1 快速验证方法设计思路

Golden Gate系统通过实时复制,将生产端的数据传递至灾备端。将灾备端数据库中的数据提取出来同生产端数据库中的数据进行比较,就可以得知灾备端数据库中数据的质量。

2.2 比对方法选择

为了对数据进行比较,相应的对比程序是必不可少的。业界常采用SQL语句或者shell语句进行程序编制。SQL结构化查询语言是一种数据库查询和程序设计语言,shell语言是一种交互式的解释和执行用户输入的命令。从实用性、简洁性2方面比较,最终选择shell语句对比较功能进行实现。shell脚本的优点在于:(1)交互式地解释和执行用户输入的命令;(2)自动地解释和执行预先设定好的一连串的命令。

2.3 快速验证方法比对内容

2.3.1 表数量对比

数据库中表的数量决定着灾备数据的完整性,通过for循环对数据库中的表进行比较,可以得出表数量的一致性,比较思路如图4所示。

比对过程详解如下。

1)使用语句先去判断有没有table_num这个文件夹,没有去创建该文件夹。

2)登录生产端的数据库,将数据库中所有刚才输入用户的表名都导出来,放置在/tmp/check/table_num/table_num_remote.log下。

3)登录容灾端的数据库,将数据库中所有刚才输入用户的表名都导出来,放置在/tmp/check/table_num/table_num_local.log下。

4)调整输出内容的格式,去掉”SQL>”,并记录表的数量。

5)创建一个tmp/check/table_num/local_diff文件夹,其中放仅灾备端的表。

6)创建一个tmp/check/table_num/remote_diff文件夹,其中放仅生产端的表。

7)创建一个tmp/check/table_num/comm._table文件夹,其中存放两端都有的表。

8)采用for循环语句,以tmp/check/table_num/local_temp1为基础对tmp/check/table_num/remote_temp1一行一行地读取扫描。将发现不一致的表名追加到tmp/check/table_num/local_diff文件夹下,显示0。

9)计算仅灾备端存在表的数量,仅生产端存在表的数量,以及两端都存在的表的数量,将数量在文件中显示[8]。

2.3.2 表结构对比

表结构对比部分的实现原理和表数量对比部分一致。分别建立灾备端和生产端表存放表结构的文件,文件中的内容按照表名、字段名称、字段类型、字段长度进行存储。对2个文件从表名、字段名称、字段类型、字段长度分别进行比对,将比对出不一致的内容,存入建立好的TXT文本中,进行输出,比较思路如图5所示。

2.3.3 表数据对比

表数据对比部分的实现原理和表数量对比部分一致。分别在灾备端和生产端建立文件,存放数据库中的每张表每行的数据量。对2个文件进行比较,将比对出不一致的内容,存入建立好的TXT文本中,进行输出,比较思路如图6所示。

3 验证效果

从2012年6月起,该软件在多台AIX平台上对某公司5套业务系统的灾备数据差异量进行了测试。测试包含以下方面:灾备系统数据差异量;软件执行速度等[9]。

3.1 灾备数据差异量

ERP系统、生产管理系统、营销应用系统、综合查询系统、数据交换系统是公司业务系统中使用频率最高的5个系统,对灾备数据的完整性、一致性、可用性要求最高,测试结果见表1所列。

3.2 软件执行速度

ERP系统、生产管理系统、营销应用系统、综合查询系统、数据交换系统是某公司业务系统中业务量最大的5个系统,所以灾备系统的数据量也是也大的,测试结果统计见表2~3所列。

3.3 灾备系统复制中断次数

ERP系统、生产管理系统、营销应用系统、综合查询系统、数据交换系统是公司业务系统中业务量最大的5个系统,所以灾备复制中断次数也是最多的。7月份,使用该软件对这些灾备系统进行检查验证,对表数量、表结构、表数据不一致的部分进行了同步修改后,对这几个系统的运行结果进行统计,结果见表4所列。

3.4 验证结论

本文所示的比对方法能够快速地检测出灾备数据的差异量,比对的处理时间会随着业务数据量的增大而相应地延时。通过对不一致部分的修复,减少了灾备中断的次数和时间。

4 结语

灾备系统的数据完整性、一致性、可用性直接反映了数据级灾备系统的运行状态。通过快速验证的方法,可以快速地验证出灾备数据的状态,判断出数据在完整性、一致性、可用性等方面与生产数据存在的差距程度[10]。

参考文献

[1]盛玮琦.基于Oracle Dataguard的数据灾备技术[J].信息系统工程,2010(6):77,42.

[2]KYTE T.Effective oracle by design[M].Osborne/McGraw-Hill,2003.

[3]HART M,JESSE S.High availability with rac flashback&data guard[M].McGraw-Hill/Osborne&copy,2004.

[4]俞凯晟.GoldenGate软件在数据迁移中的应用[J].微型电脑应用,2012(4):47–49,52.YU Kai-sheng.Application of goldengate in the data migration[J].Microcomputer Application,2012(4):47–49,52.

[5]张艳,李舟军,何德全.灾难备份和恢复技术的现状与发展[J].计算机工程与科学,2005,27(2):107–110.

[6]于宁斌.IBM UNIX&Linux:AIX5L系统管理技术[M].北京:电子工业出版社,2005.

[7]章卫国,李爱军.UNIX系统基础与SHELL编程[M].西安:西北工业大学出版社,2004.,

灾备系统建设及运维 篇4

随着国家电网公司信息化建设工作的深入推进,信息数据资料已经成为企业的重要无形资产,信息数据安全也倍受关注。一旦遭受自然灾害或极端恐怖袭击时,信息系统所在区域停电、信息通信网络中断、设备硬件故障等会导致信息系统使用中断,造成损失。为了保障信息系统连续有效运行,需充分利用信息系统现有数据存储资源平台,制定可靠的数据备份和系统灾难备份方案,建设本地备份及备份地灾备系统,提升信息系统抗灾减灾的能力,尽量减少灾难或恐怖袭击所带来的一系列影响和损失。

系统灾备系统建成后的运行维护质量及效率,事关灾备系统所承担的灾难恢复功能能否达到预期目标,基于以上理由,开展灾备系统建设及运维的研究具有重要意义。

1 数据备份策略选择

首先,信息系统数据的备份策略有以下几种:完整备份、增量备份、差异备份。

1)完整备份是指信息系统进行备份时,拷贝操作系统中特定位置的所有文件至备份介质。

2)增量备份是指在执行完整备份后,只备份从完整备份后到本次增量备份前有变化的数据。该类型备份可分为多级,每一次增量信息均为上一次备份后的改动部分。

3)差异备份是指仅备份在上次完整备份后有变化的部分数据。

根据本地数据备份需求,这3种策略中,最先需要使用完整备份,最经常使用的是增量备份。

完整备份产生大量数据移动,如果选择每天完整备份策略,如果数据量巨大,有可能造成数据备份窗口时间过长,设备资源占用过高、过久,导致影响正常的系统使用。因此,一般只在初次备份使用或需要重做备份时使用。

增量备份的使用是需要至少先执行一次完整备份,增量备份方式减少了不必要的数据移动。

通过分析不难发现,本地数据备份过程中,最好的选择是采用完整备份加增量备份的方式。

2 灾备系统的等级及其技术

灾难备份系统是指可以防范灾难或恐怖袭击对信息系统造成破坏的数据保障系统。其工作原理为通过在备份地建立和维护一套或多套数据备份系统,利用地理上的空间距离来实现信息系统抵御灾难事件所造成的数据丢失的能力。

为了衡量灾备系统抵御灾难性事件的抗风险能力,灾备系统可分为数据级灾备和应用级灾备。需要说明的是数据级灾备与应用级灾备并无直接的阶段性可言。从定义上而言,数据级灾备是指建设一个或多个备份地数据备份系统,对本地信息系统的数据采用数据库复制或存储复制技术进行实时复制。

应用级灾备是指在灾难发生后,通过系统切换实现快速信息业务恢复的系统。应用级灾备比数据级灾备耗资更多,需在备份地建立一套或多套与本地数据系统性能相当的应用系统(可以同本地应用系统互为备份,也可与本地应用系统负载工作)。当灾难发生后,可以通过域名或IP地址切换,迅速由备份地应用系统接管或承担本地应用系统的业务运行。

由于数据级与应用级灾备的实现要求不同,需在灾备系统设计前,充分分析备份需求情况。例如,备份数据量、生产系统与备份系统之间的网络通道、距离长短及所需技术、可容忍的数据恢复时间等。

根据不同的应用场合,我国通常可将灾备份备系统分为6个等级。

1)第1级:数据介质转移。实现数据备份地存放,执行安全保管制度,定期通过人工或半自动化工具进行更新。

2)第2级:备用场地支持。实现备份地介质存放,达到系统硬件远程网络调试。

3)第3级:电子传送和部分设备支持。实现数据网络传送以磁盘镜像方式复制的数据。

4)第4级:电子传送和完整设备支持。实现网络传送,到达网络与系统同时就绪的水平。

5)第5级:实时数据传送及完整设备支持。实现关键数据实时复制、网络系统就绪同时就绪的水平,并可以进行人机切换。

6)第6级:数据零丢失和远程。实现在线实时镜像,作业动态分配,实时无缝切换。

进行设计时,除了考虑灾备系统达到何种等级之外,技术选择也是十分重要的。而技术选择的依据,需要采用应用关键人员访谈、系统分析等手段,比对数据恢复点指标(RPO,Recovery Point Objective)和恢复时间指标(RTO,

Recovery Time Objective)这2个

技术指标才能得出。选择的结果,一定程度上决定了灾备系统所能达到的等级。

3 数据灾备与数据备份的联系

备份关注的是如何增强数据的安全性,而数据灾备关注的则是应用的安全,两者关注的对象有所不同。备份最多表现为通过备份软件针对数据进行拷贝,灾备则表现为通过高可用性灾备方案连接2个节点。

备份与灾备虽然关注点不同,但是两者有一定的联系性。首先,两者均具有保护数据的特性,备份特点是性能和成本要求较灾备低;灾备特点是较备份的实时性更强,冗余度更高。其次,备份和灾备均需要进行数据拷贝。

数据拷贝在灾备系统中属于异地拷贝,而备份作为本地拷贝是备选恢复方式之一,毕竟灾备系统存在数据误写入造成数据被破坏的可能,而备份提供了备选恢复方法。

4 灾备系统建设与灾备系统运维的关系

在完成上述分析设计等一系列过程之后,开展灾备系统的建设,应该说可以为灾备系统的成功建成投运奠定了坚实的技术基础。当然,成功投运还要求需有耐用的基建设施,良好的机房环境、可靠的电源保障等。但对于灾备系统而言,其本质是信息系统。因此,灾备系统运行维护的质量和效率将直接影响灾备系统的可用性。

首先,灾备运行维护的内容—数据验证及恢复演练决定了其重要性。灾备系统投运后,除非发生灾难,一般是处于备用状态,平时被关注的并不多。但是一旦需要进行切换操作,如果切换不成功,则将极大影响业务应用的连续性。其次,灾备运行维护的效率直接影响用户对于应用系统的使用。灾备系统能够在规定的时间内对应用系统进行有效恢复或切换,这在确保业务连续性方面有着重要的意义。而只有充分重视灾备的日常运行维护工作,才有可能达到预期的效果。

参考文献

[1]徐宏文,包立新,张勇,等.广核集团大亚湾数据中心光纤存储网建设[J].电力信息化,2007,5(10):30-34.

[2]付增辉.高速公路结算中心异地灾备系统建设方案[J].中国交通信息化,2011(8):69-71.

[3]吴其斌,刘延东,周春磊,等.国土资源信息系统灾难备份建设的探讨[J].国土资源信息化,2011(2):8-11,39.WU Qi-bin,LIU Yan-dong,ZHOU Chun-lei,et al.Construction of Disaster Backup and Recovery of Land Resource Informa-tion Systems[J].Land and Resources In-formatization,2011(2):8-11,39.

[4]李小庆.面向“两地三中心”的银行灾备系统设计及实现[J].华南金融电脑,2010(9):10-13.

灾备系统护航4.0时代工业安全 篇5

在实际工业生产和制造过程中,上述场景曾经一再出现。这些人为的网络攻击行为和各种自然灾害、IT系统故障 (硬件设备、软件故障)以及误操作、误删除,都给工业安全生产带来了极大的风险,对数据的安全形成了冲击。而作为信息系统的重要组成部分,灾难备份将始终伴随着企业的数据中心建设,它是数据安全的最终防线。今天,越来越多的企业在灾难中逐渐认识到,必须建立完善的战略研究灾难的预防和恢复措施,将工业生产中心在本地或者远程备份,一旦灾难发生,就能迅速从灾备系统恢复数据,保障生产安全。

工控安全威胁重点生产数据

在今年6月举办的第二届网络安全周上,有一个“工业4.0网络空间安全青少年互动体验区”吸引了大量观众驻足。 这是一个典型的工控网络安全的“迪斯尼主题公园”,在这里观众亲自动手按下IPAD控制平台上的攻击按钮,就可以身临其境的看到演示环境中的地铁紧急停车,据现场的工程师讲解,如果列车上的无线网络受到攻击就会出现这样的场景。在工程师的指导下,观众可以为地铁安装上安全保护措施,成功恢复地铁的运行。

在现场记者看到,不仅是炼油厂、化工厂还是钢铁制造厂,在网络环境下都非常容易受到来自内部或外部的攻击,这些攻击或者直接通过远程破坏工业控制器达到目的,或者通过黑客入侵工厂的生产系统,掌握企业的生产数据,并修改或者删除某些数据,让工厂蒙受巨大的损失。

工业数据信息的安全在工业4.0时代显得更为突出。今年5月份,国务院发布了《中国制造2025》 计划,其中明确提出要建立起比较完善的智能网联汽车的自主研发体系、生产配套体系以及产业群,要基本完成汽车产业的转型升级。然而要实现这一目标,首先要突破第一大壁垒——安全。智能网联下的汽车,将会变成行驶在道路上的“超级计算机”,其中存储海量的数据,以提供高效智能服务。但是这种转变也给各种安全漏洞提供机会,就如同工业设备上的黑客入侵和病毒,使智能网联下的汽车饱受非法入侵及攻击。

2014年,360安全团队发现了特斯拉汽车的应用软件漏洞,通过该漏洞可以远程控制特斯拉汽车。今年6月18日,在北京举行的Hack PWN安全极客狂欢节启动仪式上,360安全团队又全程演示了特斯拉、 比亚迪、奔驰等多款汽车的入侵和破解过程。6月24日,比亚迪汽车在其官方微博率先确认了其云服务存在严重漏洞。利用该安全漏洞,可在没有钥匙的情况下成功开启汽车车门、发动汽车、开启后备箱等操作。随着车联网、智能汽车、无人驾驶等概念的流行,因安全漏洞引发的汽车安全问题已经成为未来汽车的安全隐患。未来,车与车(V2V)、车与基础设施(V2I)通信网络的广泛应用,让汽车从机械设备转变为智能运输系统,若把虚假消息和信号发送给汽车或信号灯等其他交通设施,将会造成很大程度的道路交通安全威胁。

灾备系统为工业生产保驾护航

随着信息化在工业生产中逐渐占据主角,人们的生活逐渐被日益渗透的信息控制所包围。之前 “震网”事件给企业带来了巨大财产损失,使企业注意到信息化带来了社会进步和生活改变的同时, 也带来了高度的风险。企业业务的核心载体信息系统在各类风险的威胁下,其强壮性和抗击风险的能力直接决定了企业甚至于行业的生存能力,成为服务水准的基本保障。

近年来频频见诸于报端和各类媒体的热门词汇容灾系统,正是在这样背景下受到企业的重视。 通常企业建设容灾系统主要目的是利用各种技术和管理手段将灾难的影响化解,它的主要表现形式为两个方面:一是保证企业数据的安全;二是保证业务的连续性。当企业的信息化建设走向了一个新的层次,面临各类法规、竞争、高质量服务的新要求时,能否有效的建立灾难防御体系就成了企业进一步发展的一个里程碑。

今天企业容灾系统的建设意义已经被铺天盖地的渲染,各级政府和行业也开始制定规则,规范信息系统在各种灾难下的危机响应水平。从各方面来看,是否有必要建设容灾系统已经走过了探讨的阶段,摆在企业管理者面前的问题是建立容灾系统的复杂性。赛迪智库研究分析认为,如果人们能够在建立容灾系统的初始阶段就能够对各类概念和实现手段十分清晰, 就能够大大加快灾备系统的建设步伐,做到有的放矢,做到高效率和投入有效。

国产化选择

自2014年国家网信办成立以来,网络信息安全已经成为各种重要IT会议的重点话题。特别是在斯诺登事件持续发酵的影响下,信息安全的自主可控已经成为业界的一项重要共识。

对于灾备系统来说,国产化的选择成为一种必然。在2010年的黑帽大会上,IBM的研究人员就论证,黑客可利用思科操作系统中后门,对整个网络进行控制。之前的一份调研报告显示,在容灾备份领域,国外的六大主流厂商垄断了全球的75%以上的市场。而据了解,在中国的金融行业、铁路、海关,公安、工商、教育等政府机构,国外企业的份额达到了50%-60%。

由于种种原因,中国的企业甚至是政府部门多数都在使用国外的容灾备份解决方案,这引起了业内专家的关注,并对其安全性问题提出了质疑。中国信息化已经走过20余年,虽然也有了一些企业在灾备系统房间形成了一些优势,但是仍然没有掌握核心技术。 斯诺登事件发生以来,中国政府对信息安全的重视程度越来越高,业界专家估计,国产灾备系统将迎来重大发展机遇。

企业建设容灾系统主要目的是利用各种技术和管理手段将灾难的影响化解,它的主要表现形式为两个方面:一是保证企业数据的安全;二是保证业务的连续性。

“掌握核心技术,开发、制造出具有自主知识产权的产品,才能真正保证我国信息领域的安全”,中科同向总经理邬玉良多次谈到国产灾备系统企业要关注核心技术创新。据邬玉良介绍,中科同向在政府、 教育、军工、能源、医疗、金融、证券,化工、食品、电力等领域拥有1000家以上成功案例。

“把发展大数据上升为我国国家战略,制定国家层面的大数据发展计划,通过体制机制创新,盘活政府和社会资源,将数据资源转化为生产力。发起大数据国家战略计划联盟,共同推动大数据的发展。”邬玉良表示,作为国家宏观调控的重要手段,政府采购将在这场信息安全战役中发挥出作用。

“安全就是国产化。”这也是邬玉良一直推崇的信息安全理念。他认为,解决安全问题的关键还是自主可控国产化。邬玉良告诉记者,按照大数据安全的6个层次,需要依次解决。应用软件、网络安全防护国产化已经解决,目前最关键的是要解决容灾备份系统工具国产化,之后才有可能解决数据库、操作系统、CPU等。据了解,中科同向已先后获得国家高新技术企业证书、双软认证、中国国家信息安全产品认证证书、国家保密局涉密信息系统产品检测证书、公安部认证销售许可证书等重要资质。

斯 诺 登 事 件 发 生 以 来,中国政府对信息 安 全 的 重 视 程 度 越 来越高,业界专家估 计,国产灾备系统将 迎来重大发展机遇。

邬玉良认为,在政府采购领域提高采购人对国产品牌的认可度方面仍要做很多努力。“我们的目标就是以后人们只要用备份容灾就能想到中科同向,并且将此当作一种保障。只要是备份容灾问题,从我们这里就能得到最好的产品和服务回报。”

数据中心灾备系统的规划 篇6

灾备模式主要有“同城灾备”、“异地灾备”、“同城/异地灾备”三种方式。同城灾备, 是指灾备中心与数据中心处于同一城市内, 可同时采用同步备份与异步备份技术。其具有最低的投资成本, 最快的灾难恢复速度, 极高的数据保障, 但无法应对区域性的灾难风险。异地灾备, 是指灾备中心与数据中心在不同的城市, 一般只能实现异步备份。其投资成本较高, 灾难恢复速度与数据保障能力略低, 但可应付广泛的灾难风险。同城/异地灾备则是两者的结合, 投资成本最高, 但同时具有前两者的优点。同城/异地模式也分两种实现方式, 一种是先建立同城灾备中心, 然后异地灾备中心实现对同城灾备中心的备份;一种是同城灾备中心与异地灾备中心分别独立, 为数据中心实施备份。

具体选择何种灾备模式, 需要综合考虑所面临的风险特点、业务特点、成本投入等多种因素。由于数据中心面临的重大风险绝大多数都发生在数据中心范围内, 而同城灾备中心在业务迅速恢复方面具有比较突出的优势, 因此同城灾备中心的建设是必须的。灾备模式的选择建议如下:

(1) 集中式的数据中心采用同城/异地灾备模式。由于其业务系统与数据的影响面广, 由此必须采用最为可靠的灾备模式。

(2) 分布式的数据中心, 可在区域数据中心建立同城灾备, 并通过数据总中心的异地灾备中心, 实现对各分区数据中心的集中式异地灾备。当分区域数据中心出现严重故障时, 可通过同城灾备中心实现对业务的迅速接管, 而出现区域性重大灾难时, 可通过数据总中心的异地灾备中心实现分区域业务的恢复。这一模式既减少了分区域自建异地灾备中心所需的庞大投资, 又能提供全面的灾备保护。

2 灾备中心基础环境建设

灾备中心基础设施建设应重点考虑以下因素:

(1) 选址。灾难备份中心与数据中心之间距离合理, 应避免灾难备份中心与数据中心同时遭受同类风险。综合考虑数据中心与灾难备份中心交通和电讯的便利性与多样性, 以及灾难备份中心当地的业务与技术支持能力、电讯资源、地理地质环境、公共资源与服务配套能力等外部支持条件。

(2) 基础条件。机房环境要求与主中心相同, 各项建筑基础环境、供配电环境、温湿度空调环境、消防和监控安全环境等, 都应参照数据中心机房环境设计, 至少达到数据中心机房环境所属等级要求。考虑到灾备恢复情况下额外的外部技术支援, 灾备中心在工作人员容纳方面应作适当考虑, 以保证有足够空间容纳一定数量的技术人员集中协同办公。

(3) 建设方式。灾备中心的建设方式可采用自建、共建与外包建设等方式, 三种方式各有优势, 需要结合各类机构的实际情况加以选择。自建是指机构独立建设区域数据中心, 此模式具有较高的可靠性与安全性, 但投入较大, 适用于大型机构。共建是指数家机构共同规划投资, 建设参与各方共同使用的区域灾备中心。共建模式减少了各方的投资压力, 但需要各方充分协调, 有效实现灾备中心的建设管理, 参与机构不宜过多, 适用于中型机构。托管是指将区域灾备中心由专业的灾备服务商建设管理, 机构向其租用灾备物理环境, 实现数据与系统的区域灾备体系建设, 此模式充分利用了灾备服务专业化的优势, 在最大限度减少建设投资的同时, 为信息系统提供可靠保护, 适用于中小型机构。

3 网络备份体系规划

数据中心与灾备中心应建立网络热备份体系, 当数据中心无法正常工作时, 业务数据流可自动切换到灾备中心, 保证灾备中心的备份业务系统顺利接管业务数据。目前网络热备份技术已经比较成熟, 可利用多种动态路由协议实现。网络备份规划要点如下:

(1) 建立核心网络热备体系。数据中心是面向某个区域的庞大数据处理节点, 必须在核心网络层面实现热备, 才能保证灾备中心对区域内通信的可靠性。同时, 前述灾备中心的选址要求, 决定了数据中心与灾备中心之间必须建立广域网互联, 因此在广域网层面实现线路热备显得尤为必要。

(2) 灾备中心网络容量。应与数据中心网络容量基本一致, 网络应采用一致的技术标准。灾备中心与数据中心同步传输的链路, 其带宽必须大于数据中心的峰值数据变化量;因此, 同城灾备网络、应灾备中心与数据中心之间应建立光纤网络。

(3) 灾备网络应与数据中心网络采用不同运营灾备中心, 对外的通信线路应采用与数据中心不同的运营商, 降低风险关联。而数据中心与灾备中心之间同样需要建立两条不同运营商通信线路, 以捆绑技术建立两地路由器互联, 从而提高两地之间通信的可靠性, 确保热备功能的有效性。

(4) 尽量建立数据中心网络与灾备中心网络的负载均衡, 有利于提高灾备网络利用率与提高灾备网络可用性。灾备中心网络基本是数据中心网络的复制, 目前网络热备份技术主要有两种模式。一种是主/备模式, 数据流正常情况下使用数据中心生产网络, 当数据中心生产网络出现故障时, 才使用灾备中心网络。这一模式实现简单, 但灾备网络日常并不使用, 既造成资源浪费, 也不利于提高灾备网络的可用性。另一种是负载均衡模式, 正常情况下数据流同时使用两个中心的网络, 数据中心网络出现故障时, 则全部数据流向灾备网络。后者的实现技术比较复杂, 需要专用负载均衡设备支持, 但可以充分利用网络资源, 也可以在日常使用中验证灾备网络的可用性, 建议尽可能采用此模式。

4 数据环境备份规划

(1) 备份介质

目前, 主流的备份介质包括磁带库、虚拟带库与磁盘阵列。虚拟带库是将低性能磁盘组模拟成磁带方式进行读写存储的备份介质, 它既保留了磁带顺序写入在数据备份过程中特有的高性能, 又可避免磁带受外环境破坏, 不宜多次读写的缺点, 有利于数据保存与对备份数据的恢复验证。但虚拟带库与磁带库同样存在读取效率低的缺陷, 只适用于数量庞大而RTO要求较低的数据备份环境。磁盘阵列则是以普通硬盘读写的方式, 对数据进行备份的介质。磁盘阵列一般由具备高性能磁盘所组成, 并通过高容量缓存与I/O负载均衡技术提高数据读写效率, 适用于RTO性能要求较高的数据备份环境。

(2) 备份传输

◆数据备份传输的技术选择:数据备份复制方式主要有快照技术、异步复制、同步复制 (如表1所示) 。数据复制方式的选择主要取决于灾备需求分析中业务系统对RPO的要求;

◆数据备份传输的实现:目前, 数据中心普遍建立了集中存储系统, 因此存在存储传输网络与业务传输网络两套专用网络, 从而派生出数据备份传输技术的三种实现方案:主机代理模式、存储阵列模式与代理模式。三种模式的选择主要取决于灾备恢复需求与可用于灾备建设的资源投入。从目前情况看, CDP方式是适用面较广的数据备份传输实现方式, 比较情况如表2所示。

5 应用环境备份规划

应用环境备份的目的是确保灾备中心能够快速重建数据中心应用系统环境, 并实现备份业务系统对工作系统有效替代。对应用环境备份的设计要点包括:

(1) 通过配置同步技术, 实现数据中心应用环境的一致性。灾备中心的应用环境在技术路线、设备部署方面应尽量保证与数据中心应用环境一致。这样有利于提高灾备应用环境与生产应用环境之间手工切换的效率, 也有利于日常检验灾备应用环境的可用性。

一般可通过灾备应用环境定期向生产应用环境读取配置文件、参数等方式, 实现两者配置的同步。

(2) 灾备中心关键型业务系统实现集群间自动切换, 其余业务系统则采用手工切换模式。数据中心应用服务器一般通过HA等技术建立高可用性集群, 保证本地应用服务的高可靠性。同样, 只要建立数据中心与灾备中心之间的高可用性网络监控技术, 灾备中心备份应用服务器集群可实现与数据中心生产服务器集群之间的高可用性自动切换。为节约成本投入, 建议对关键性业务系统采用此方式, 以满足RTO一小时以内的灾备恢复需求。对于其余业务系统, 只要如前所述, 保证应用环境一致性, 通过手工方式进行切换即可。

(3) 采用虚拟化技术对备份环境进行整合。灾备中心应用环境备份资源毕竟有限, 充分利用备份应用资源对数据中心应用环境保护十分重要。虚拟化技术可实现一台物理应用服务器对多台逻辑服务器的虚拟。这样在数据中心里, 大量性能要求不苛刻、RTO要求在数小时以上的应用系统灾备环境就可以集中部署在少数的硬件服务器资源中, 有利于灾备中心尽可能提高对数据中心应用系统的灾备范围。

6 在灾备系统规划时应注意几个问题

(1) 灾备系统对原有业务系统的影响:在制定灾备系统方案的过程中要考虑的就是灾备系统建设对原有业务系统带来的影响。比如, 采用数据复制技术对系统I/O带来的延迟, 应用数据同步对日常业务处理系统带来的压力等。因此, 要通过周密的测试和分析来规避灾备系统建设时带来的这些风险, 以保证业务系统不会因灾备系统的建设而出现处理性能下降的问题。

(2) 数据状态要保持同步:为保证在灾难发生时, 业务可以成功地切换到备份中心, 就必须保证灾备系统数据同步机制的可靠性。因此, 建立可靠的数据同步校验机制是必须的。同时, 还要考虑建立定时的、自动的数据同步核查对比机制, 以检验两个中心数据的一致性, 这是数据灾备工作中非常重要的一部分。

(3) 灾备系统的日常维护工作要尽可能轻, 并能承担部分业务处理和测试的工作。灾备系统的维护和管理是灾备切换成功的重要保证, 在系统建设中, 就必须要考虑系统的维护管理流程。数据中心任何业务处理过程的改变都必须完整地复制到备份中心;所有新业务系统上线时, 必须通知备份中心, 并在备份中心配置好数据同步机制;对原程序的改动也必须保证两个中心同时上线。

(4) 系统恢复时间要尽可能短:灾备系统主要是为了实现在主中心系统发生灾难时, 可以在规定时间切换到备份中心, 保证数据不会丢失, 并且继续向用户提供服务。但往往在灾难发生时, 主要技术人员不能及时到达现场, 为了顺利实现系统间的切换, 应该让系统切换操作尽可能地简单, 并建立固定化的、标准化的切换流程, 要求维护人员在切换演习时严格按照流程的指导步骤进行操作。

(5) 可实现部分业务子系统的切换和回切:当人事变动、业务变化、IT设施变化以及其他可能引起恢复规划文档失效的变化发生时, 应及时更新各恢复规划文档, 并在必要时启动模拟测试或演习, 确保业务连续性系统的工作能力。

(6) 技术方案选择要遵循成熟稳定、高可靠性、可扩展性、透明性的原则:目前, 国际上比较成熟的灾备技术包括:SAN/NAS技术、远程镜像技术、虚拟存储、基于IP的SAN互连技术以及快照技术等。其中基于IP的SAN远程数据灾备备份技术应用比较广泛, 其利用基于IP的SAN的互连协议, 将主数据中心SAN中的信息通过现有的TCP/IP网络, 远程复制到备份中心的SAN中的。当备份中心存储的数据量过大时, 可利用快照技术将其备份到磁带库或光盘库。这种基于IP的SAN远程灾备, 可以跨越LAN、MAN和WAN, 成本低、可扩展性好。基于IP的互连协议主要包括FCIP、i FCP、Infini Band、i SCSI等。

(7) 构建系统方案可以选择多种技术组合方式:目前, 业内应用较多的灾备方案是基于智能存储系统的远程数据复制技术, 它是由智能存储系统自身实现的数据远程复制和同步, 即智能存储系统将对该系统中的存储器I/O操作请求复制到远端的存储系统中并执行。由于在这种方式下, 数据复制软件运行在存储系统内, 因此较容易实现主中心和灾备中心的操作系统、数据库、系统库和目录的实时拷贝及维护能力, 且不会影响主中心主机系统的性能。如果在系统恢复上具备了实时数据, 那么就可以做到在灾难发生时, 及时开始应用处理过程的恢复。但这种方案也有开放性差, 对于主、备中心之间的网络条件要求较苛刻等缺点。

7 在灾备系统建设时应注意几个问题

(1) 灾备系统是整个数据中心建设的有机组成部分, 应当和数据中心的规划建设同步进行。

(2) 灾难备份的最终目标是保证应用系统的连续性, 系统建设时要全面考虑数据中心的业务特点、服务的类型、服务的方式、服务的法律义务等多方面的要求。

(3) 成本和效益平衡的原则。在分析数据安全和业务连续性需求的基础上平衡成本和风险, 对风险的概率、风险的影响、风险造成的损失、灾难恢复系统的建设成本及运行维护成本等方面进行综合考虑, 统筹规划, 分步实施, 防止不顾实际需求, 一哄而上。

(4) 按照灾难恢复的等级要求选择适当的系统和数据的备份及恢复技术。

(5) 重视基础建设。基础性设施具有长期稳定不易更改的特点, 打好基础避免重复建设。

(6) 要充分利用现有资源, 尽量做到资源共享, 互为备份。

(7) 根据数据中心安全要求的不同, 从实际出发进行等级化管理。备份的数据也要考虑相应的安全保管, 涉密数据的备份应加密处理。

总之, 灾备系统的建设要根据业务实时性的要求不同, 针对不同业务采用不同的备份与恢复方式, 以减少投入。备份的目的是提高服务质量, 创造更多的利润, 因此不管采用什么备份方案, 关键是在投入与效益间找到最佳平衡点。

参考文献

[1]林小村主编.《数据中心建设与运行管理》.科学出版社.2010年4月

数据中心灾备系统的组成 篇7

1 灾备中心基础环境设施

灾难备份中心是保证灾难恢复任务的关键性资源, 灾难备份中心的位置、环境的选择应充分满足灾难备份中心功能定位的要求。一般来说, 建设独立的灾难备份中心的投资较大, 应尽量考虑资源的共享使用, 降低投资成本。

(1) 灾难备份中心选址:灾难备份中心地理位置是一个重要的选择参数。灾难备份中心地理位置的选择应当满足灾难恢复计划或业务连续性计划的要求。任何地点都可能发生灾害, 选址目标不是任何灾害都不会发生的地方, 而是选择一个不太可能和主数据中心同时受到灾难袭击的地方, 避免因同一灾难同时殃及两个中心。

(2) 灾难备份中心的基础设施:在确保灾备中心与数据中心技术架构基本一致的前提下, 明确所需要的设备类型和数量, 以及机房配电、空调、地板承重以及布线的具体要求等基础环境信息, 为选择具体的灾备中心基础环境提供参考。

而建设灾难备份机房必须符合国家对机房建设的各种标准和规范:

◆《电子信息系统机房设计规范》 (GB50174-2008) ;

◆《电子信息系统机房施工及验收规范》 (GB 50462-2008) ;

◆《电子计算机场地通用规范》 (GB/T2887-2000) ;

◆《计算机站场地安全要求》 (GB/T9361-88) ;

◆《计算机机房用活动地板技术条件》 (GB 65650-86) ;

◆《静电活动地板通用规范》 (SJ/T l0796-2001) ;

◆《信息技术-用户建筑群的通用布缆》 (GB/T l8233-2000) ;

◆《建筑设计防火规范》 (GBJ6-872001年版) ;

◆《信息技术设备的安全》 (GB 4943-2001) ;

◆《计算机信息系统雷电电磁波脉冲安全防范规范》 (GA 267-2000) 。

灾难备份场所要满足避免灾难同时发生的条件, 在灾难备份现场的建设时要注意场地的条件, 特别是通信条件、电力供应和生活保障条件等。

所在环境能够支持必要的灾难恢复时的后勤保障, 如交通、安全、饮食和住宿等。

灾难恢复现场能够容纳所有必要的设备和办公需要。灾难备份中心的基础设施包括工作设施、辅助设施和生活设施三个部分。一般而言, 当运营转换到恢复站点时, 就不会有其他恢复站点, 在恢复到正常运行之前, 工作只能在恢复站点进行。因此恢复站点将是一个半永久的工作站点, 恢复站点的建筑物不应是临时建筑, 应该有相应的人员服务设施。

恢复站点必要的公用设施应包括电力、水和电讯设施。恢复站点的电力系统不仅要与生产站点分开, 必要时还要配备临时发电设施, 如柴油发电机和柴油。水是人们生活必不可少的, 虽然数据中心很少用水来灭火, 但水是一个站点可以工作的必要条件。电讯系统和网络系统对信息系统的运营至关重要, 恢复站点应当有必要的通信设施和足够的网络带宽。

灾难备份机房是灾难恢复系统存在的场所, 灾难备份机房要有足够的空间来安装灾难恢复系统的各种设备, 同时也要考虑在灾难发生时工作人员的操作, 灾难备份机房建设也要考虑机房的物理安全、电力供应、防灾防火、场地监控等条件。

2 网络通信系统

网络环境也是灾难恢复系统重要的基础设施。在异地备份的环境中, 灾难恢复系统往往形成一个独立的系统, 称为灾难备份中心或容灾中心。灾难恢复系统的建设包括灾难备份中心的网络建设。灾难恢复系统的网络应能满足灾难备份中心自身运行的需要, 更要保证灾难备份中心与数据中心的良好通信条件。

进行灾难恢复系统网络建设时应当尽可能地考虑网络系统自身的安全, 在财力允许的范围内采用高可用的网络设计方案。进行灾难恢复系统网络建设时应考虑以下原则:

(1) 保证灾难备份系统与工作系统有良好的通信, 保障灾难备份系统得到实时的数据备份。

(2) 保证灾难备份中心与数据中心的应用系统及用户具有良好的通信条件, 保证在备份系统取代工作系统后, 用户可以使用灾难备份系统进行正常的业务, 达到备份系统可用的目的。

(3) 灾难备份中心的网络系统应与数据中心的网络系统兼容, 提供良好的互连性。由于设备兼容, 灾难备份中心的网络设备与数据中心的网络设备可互为备份。灾难备份中心可以利用原有设备, 降低灾难备份中心的网络建设成本, 网络系统兼容也可以降低网络管理人员进行网络管理和维护工作的成本。

(4) 灾难备份网络系统尽量采用安全的高可用技术。当灾难备份中心接管数据中心的工作后, 灾难备份系统就成为数据中心唯一的系统, 灾难备份系统自身的安全必须引起重视。

(5) 尽量选用经济、实用、成熟的设备和技术, 同时兼顾先进性。

一般来说, 灾难备份中心与数据中心的地理位置距离较远, 需要使用广域网络技术解决通信链路问题。目前, 有多种网络互连技术, 这些技术具有不同的特性, 提供不同的服务水平, 可为用户提供多种可供选择的方案, 用户可根据自己的需要选择。常用的远距离传输链路技术有ATM (异步传输模式) 、SDH (同步数字层次结构) 、DDN (数字数据网) 、Frame Relay (帧中继) 等多种方式。

VPN (虚拟专用网) 是一种建立在公用网络系统上的虚拟专用网络, 通过隧道技术和加密技术保证数据通道的稳定与数据安全。VPN是一种安全性较高, 且建设费用较低的连接方式。VPN安全隧道既可以用做网间互连, 也可以提供远程用户的安全访问, 保证用户端的安全接入。由于VPN使用公用网络系统, 比使用专线网络成本低, 在建设灾难备份网络系统时是一个不错的选择。

为了增加网络的安全性, 应当考虑必要的设备冗余, 避免单点故障。一般来说, 提高传输距离或增加冗余必然会增加成本, 但增加了信息服务的可用性, 这样做往往是值得的。

网络管理是保障网络安全的有效手段, 随着互联网的发展, 网络攻击事件成为网络安全的杀手。在正常服务期间或服务中断时, 网络和系统的安全都是非常重要的。建设性能强大的网络综合管理系统是防御网络攻击的重要手段。

目前, 能够支持高带宽的用于远程访问的无线网技术正在兴起。无线技术已经具有用于广域通信的潜力, 在组建网络或备份网络时应当予以重视。

3 介质存放管理

随着信息化程度的加深, 信息系统运行时间的推移, 在数据中心存储系统中需要保存的数据存储介质变得越来越多, 对这些存储介质必须妥善保管, 需要专门的介质存放库。

介质存放库的重要功能是保障介质的安全。介质的存放地要有好的防磁防火条件, 保证介质数据的安全。介质存放现场要清洁卫生, 防止由于灰尘、虫害等对介质产生损坏, 现场要符合介质保护的温度、湿度等条件, 对介质定期做防霉、防粘等维护工作, 防止介质的损坏, 必要时进行介质的重新复制。

介质保管要有相应的保管制度, 介质存放现场要设置门禁和监控、防盗系统。介质的使用要登记记录, 防止丢失和管理混乱。

介质存放库要便于介质的保护, 也要便于介质的查找。介质的保管要有专门的负责人员, 使用数据库系统对介质进行有效的管理。介质入库或出库时要及时记录, 保证介质库中介质的完整性。介质存放在架位上, 要求按照预先确定的规则存放。介质架位应当可以保存各灾备部门所使用的所有格式磁带、光盘等介质。介质架位最好使用条形码, 后台数据库系统对介质存放的架位进行统一的管理, 记录介质存放的架位和状态。介质管理员可以实时检查架位的存储情况、空间大小及介质类型及介质容量、存储区域、存放时问等信息。介质的存放情况要便于查询, 在任何时间和地点.都可以通过终端进行查洵, 查询内容包括介质信息、存储情况、有效期等, 保证灾备恢复的现场实时指挥工作方便、快捷。介质的信息管理要保证在介质的整个生命周期中, 从产生、入库保存、调用、归档直到销毁, 对每个介质的信息进行追踪管理。

参考文献

[1]林小村主编.《数据中心建设与运行管理》.科学出版社.2010年4月