數據容災方案數據容災方案/NUMPAGES25數據容災方案數據容災方案容災方案大綱

一、容災究竟是什么？容災系統是指在相隔較遠的異地，建立兩套或多套功能相同的IT系統，互相之間可以進行健康狀態監視和功能切換，當一處系統因意外（如火災、地震等）停止工作時，整個應用系統可以切換到另一處，使得該系統功能可以繼續正常工作。容災技術是系統的高可用性技術的一個組成部分，容災系統更加強調處理外界環境對系統的影響，特別是災難性事件對整個IT節點的影響，提供節點級別的系統恢復功能。容災是在災難發生時，能夠保證數據盡量少的丟失，系統能夠不間斷地運行，或者盡量快的恢復正常運行。容災備份是通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。1、容災的分類根據容災系統對災難的抵抗程度，可分為數據級容災、應用級容災和業務級容災：數據級容災是指通過建立異地容災中心，做數據的遠程備份，在災難發生之后要確保原有的數據不會丟失或者遭到破壞，但在數據級容災這個級別，發生災難時應用是會中斷的。在數據級容災方式下，所建立的異地容災中心可以簡單地把它理解成一個遠程的數據備份中心。數據級容災的恢復時間比較長，但是相比其他容災級別來講它的費用比較低，而且構建實施也相對簡單。應用級容災是在數據級容災的基礎之上，在備份站點同樣構建一套相同的應用系統，通過同步或異步復制技術，這樣可以保證關鍵應用在允許的時間范圍內恢復運行，盡可能減少災難帶來的損失，讓用戶基本感受不到災難的發生，這樣就使系統所提供的服務是完整的、可靠的和安全的。應用級容災生產中心和異地災備中心之間的數據傳輸是采用異類的廣域網傳輸方式；同時應用級容災系統需要通過更多的軟件來實現，可以使多種應用在災難發生時可以進行快速切換，確保業務的連續性。業務級容災是全業務的災備，除了必要的IT相關技術，還要求具備全部的基礎設施。其大部分內容是非IT系統（如電話、辦公地點等），當大災難發生后，原有的辦公場所都會受到破壞，除了數據和應用的恢復，更需要一個備份的工作場所能夠正常的開展業務。2、容災的級別根據對各種需求進行總結，把容災級別分成了七級，如下表所示：級別內容說明第一級本地數據容災只有很低的災難恢復能力，能應付計算機軟硬件方面的系統災難，在災難發生后無法保證業務連續性，并需要較長恢復時間第二級本地應用容災能應付計算機軟硬件方面的系統災難，并且系統可以迅速切換，保證業務連續性第三級異地數據冷備份在本地將關鍵數據備份，然后送到異地保存。災難發生以后，按預定數據恢復程序恢復系統和數據。特點：成本低，易于配置，是常用的一種方法。問題是：但數據量增大時，存儲介質難以管理。災難發生時，大量數據難以及時恢復，對業務影響仍然很大，損失的數據量也較大。第四級異地異步數據容災在異地建立一個數據備份站點，通過網絡已異步方式進行數據備份。備份站點只備份數據，不承擔業務。在對災難的容忍程度和第三級一致。但它采用網絡進行數據復制方式，因此兩個站點的數據同步比第三級要高，丟失的數據也更少。第五級異地同步數據容災除了是同步方式以外，其他的和第四級一致，出現災難時，丟失的數據量比上級更少，基本可以做到零數據丟失，但存在系統恢復慢的缺點投入成本較大，有距離限制。和第四級一樣存在沒有備用應急系統，因此無法保證業務的連續性。第六級異地異步應用容災在異地建立一個與生產系統完全相同的備用系統，它們之間采用異步的方式進行數據同步，當生產中心發生災難時，備用系統接替工作。可以保證數據的極少量對視，又可以及時切換，從而保證業務的連續性。現在一般采用廣域高可靠集群方式實現。第七級異地同步應用容災在異地建立一個與生產系統完全一致的備用系統，他們之間采用同步的方式進行數據復制。當生產中心發生災難時，備用系統接替其工作，該級別的容災，在發生災難時，可以基本保證數據零丟失和業務的連續性。二、為什么需要進行容災？1、容災的實質是確保永久不停頓的業務運營如何確保企業業務的連續運營以及數據的安全呢？嚴格的說，業務持續計劃的建立和實施過程，實際上是進行一個涉及企業運營的項目，因此也涉及到項目管理的方方面面。標準的業務持續計劃項目應按如下流程進行：1、項目啟動和管理確定業務持續計劃（BCP）實施過程的相關需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預算的限制要求。2、風險評估和控制確定可能造成機構及其設施中斷的災難、具有負面影響的事件和周邊環境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調整控制措施方面的投資，達到消減風險的目的。同時，由于風險會隨著系統的發展而變化，所以風險管理過程也必須是動態的。3、業務影響分析確定由于中斷和預期災難可能對機構造成的影響，以及用來定量和定性分析這種影響的技術。確定關鍵功能、恢復優先順序和相關性以便確定恢復時間。4、制定業務連續性策略確定和指導備用業務恢復運行策略的選擇，以便在恢復時間目標范圍內恢復業務和信息技術，并維持機構的關鍵功能。5、應急響應和運作制定和實施用于事件響應以及對事件所引起狀況進行穩定的規程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發布命令。6、制定和實施業務連續性計劃設計、制定和實施業務連續性計劃，以便在恢復時間目標范圍內完成恢復。7、意識培養和培訓項目準備建立對機構人員進行意識培養和技能培訓的項目，以便業務連續性計劃能夠得到制定、實施、維護和執行。8、維護和演練業務連續性計劃對預先計劃和計劃間的協調性進行演練、并評估和記錄計劃演練的結果。制定維持連續性能力和BCP文檔更新狀態的方法，使其與機構的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結果。9、公共關系和危機通信制定、協調、評價和演練在危機情況下與媒體交流的計劃，制定、協調、評價和演練與制定、協調、評價和演練在危機情況下與媒體交流的計劃，制定、協調、評價和演練與情況下提供心理輔導的計劃確保所有利益群體能夠得到所需的信息。10、與公共當局的協調建立適用的規程和策略，用于同地方當局協調響應、連續性和恢復活動，以確保符合現行的法令和法規。當然，實際應用中，如果受時間、成本等因素的限制，加之災難恢復目標有限，企業不需要承擔應由政府負責的國計民生之重任，我們可以簡化并適當改變上述標準流程。事實上，隨著IT系統在企業內部應用的深入，IT系統更容易受到各種災難的傷害而導致中斷，特

別是在許多情況下，關鍵資源可能屬于不可控范圍，如電力和電信。對于倚仗IT系統的企業來說，從確保業務連續能力的角度出發，可以依據下列災難恢復規劃步驟

i.災難類型分析ii.業務沖擊分析iii.當前業務環境及恢復能力分析iv.災難恢復策略制訂v.災難恢復方案設計vi.業務連續性流程設計vii.業務連續性流程及災難恢復方案管理和測試每一個步驟的相關職責一般會落“計劃協調人”或“應急計劃制訂人”的身上，他們通常是職能或資源部門的經理。協調人在其他相關系統或業務處理部門的職能經理和資源經理的協助下制定應急策略，應急計劃協調人通常管理應急計劃的制定和執行。2、容災—數據備份是基礎數據備份是數據使用過程中的最后一道防線，其目的是為了在系統崩潰時能快速地恢復數據。雖然它也算一種容災方案，但其容災能力非常有限。因為傳統的備份主要是采用數據內置或外置的磁帶機進行的冷備份，備份磁帶同時也在機房中統一管理，一旦整個機房陷入災難，如火災、盜竊和地震等災難，這些備份磁道也隨之銷毀，所存儲的磁帶備份也起不到任何作用。3、容災不是簡單的備份真正的數據容災就是要彌補傳統冷備份所具有的先天不足，它能在災難發生時，全面、及時地恢復整個系統。容災按其容災能力的高低可分為多個層次，例如，國際標準SHARE78定義的容災系統有7個層次：從最簡單的僅在本地進行磁帶備份，到將備份的磁帶存儲在異地，再建立應用系統實時切換的異地備份系統，恢復時間也可以從幾天到小時級，再到分鐘級、秒級或0數據丟失等。三、容災的行業標準1、國家GB20988-2007-T標準2007年6月份國家正式出臺了針對信息系統數據備份及容災的國家標準，即《GB20988-2007-T信息安全技術信息系統災難恢復規范》，在國標中，明確了災備系統的定義、組織保障、審計與備案、風險分析、恢復資源要求等，其中對于容災備份系統的技術實現、技術支持能力以及維護管理等技術產品提出明確的標準和要求。容災備份是一項系統工程。在建立容災備份系統之前，首先要進行全面的系統分析，其中包括業務系統風險分析、容災系統對業務系統的影響分析和投資效益分析，風險分析是檢查那些可能造成數據損失或者系統癱瘓的外在和內在因素。既然是容災，必須充分考慮業務系統所在地的自然環境，針對可能發生的災難，準備相應的容災對策。容災系統肯定對業務系統的性能有一定影響，因此，對于那些高負荷運行的業務系統必須認真計算。根據國標的要求，對于容災備份系統一共分為六個等級，其中對于容災備份最基本的要求可以歸納為三點：1、數據要定期備份；2、備份介質場外存放；3、根據介質的特性對備份數據進行定期的有效性驗證。應該說，以上三點要求為我們建立一個完整的容災備份系統提供了設計依據。要建設容災工程必須提出容災系統設計指標，作為衡量和選擇容災解決方案的參數。按照國標的要求，建立容災系統的最終目的，是為了在災難發生后能夠以最快的速度恢復數據服務，容災中心的設計指標主要與容災系統的數據恢復能力有關。最常見的設計指標有：RTO和RPO。RTO（RecoveryTimeObjective）代表容災系統在災難發生后數據或者系統恢復所用的時間。RPO（RecoveryPointObjective）代表災難發生時已經備份的數據與生產中心數據的時間差。此外，設計容災系統還需要考慮選擇容災備份中心地點。數據庫容災要保證備份數據庫的一致性，最好能夠對備份數據庫進行對生產系統無干擾的實時檢驗。通常情況下，容災系統投資較大，使用概率較低，因此，需要對總體投入成本（TCO）和投資回報率（ROI）進行認真的分析和計算。RPO可簡單的描述為企業能容忍的最大數據丟失量，為了更好的理解，可以想一下傳統數據保護會產生什么后果，一般備份都是一天做一次，通常是在晚上，如果第二天出現錯誤，那從備份完成后到錯誤出現時所寫入的數據都無法挽回了，這期間沒有備份，數據就丟失了！如果錯誤出現在一天結束時，那一天的數據都丟失了，這種情況下，RPO就是24小時。為了改進PRO，數據必須進行更頻繁的保護，大多數情況下，增加備份的頻率是不現實的原因有：1）對應用的效率影響太大，在應用的高峰不能進行備份；2）備份數據要花很長時間。為了改進PRO，需要有新的方法，這種方法就是恢復管理，用連續復制和快照技術能有效地改進RPO。RTO可簡單的描述為企業能容忍的恢復時間，在傳統的數據保護中，備份數據是不能立即使用的，必須先恢復。對象級別的恢復功能可以有效恢復單個的目標，如一個文件或一封郵件，甚至是許多文件和郵件的集合。然而，恢復整個數據庫和海量數據時仍需要時間，通常恢復一個大系統需要幾天時間。從經濟角度考慮，最佳的容災解決方案不一定是性能最好的容災解決方案，容災系統的總體投入TCO和投資回報ROI，對于許多用戶來說是十分重要的設計指標。。在選擇容災技術時，需要考慮業務系統的類型，是單業務系統還是多業務系統？是數據庫應用還是非結構化數據？是數據容災還是業務系統容災？用戶可以根據要求，選擇一種主要的容災技術作為容災解決方案的基礎，輔之其它容災技術滿足特定的要求。下圖是幾種技術的特征比較：RAID復制快照備份物理錯誤(47%)自然災害YesYes硬件失效YesYesYesYes邏輯錯誤(53%)人工出錯YesYes軟件失效YesYes病毒YesYes恢復點(RPO)能忍受多少數據丟失?沒有丟失分鐘

小時小時天恢復時間(RTO)要多久才能恢復?實時分鐘

小時分鐘小時

天保留時間(Retention)能恢復多長時間內丟失的數據?不能不能幾小時

幾天幾周

幾月

幾年使用環境中高端高端高端所有使用成本高高高低2、國際SHARE78標準——七級災難備份方案根據國際標準SHARE78的定義，災難備份技術方案可以根據以下主要方面所達到的程度而分為七級。1.備份、恢復的范圍。2.災難恢復計劃的狀態。3.應用站點與災難備份站點之間的距離。4.應用站點與災難備份站點之間是如何相互連接的。5.數據是怎樣在兩個站點之間傳送的。6.允許有多少數據被丟失。7.怎樣保證更新的數據在災難備份站點被更新。8.災難備份站點可以開始災難備份工作的能力。國際標準SHARE78將容災系統定義成七個層次，這七個層次對應的容災方案在功能、適用范圍等方面都有所不同，所以用戶選型應分清層次。面對各種可能的災難，企業需要方便、靈活地同步基于異構環境下駐留在不同數據庫中的數據，這就需要建設一個對各種情況都可以抵御或者化解的本地和異地的容災系統。但現在，一些計算機信息系統對于容災機制的考慮還有欠缺，不少計算機信息系統只是做了簡單的本地磁盤的不同分區或者是相同系統上不同磁盤的數據備份，只是嚴格意義上的數據備份系統，稱不上容災系統，例如數據庫系統中常用的鏡像備份，也就是文件拷貝方式；基于操作系統文件系統復制的方式:以及基于高端聯機存儲設備（磁盤陣列）之間的數據寫操作同步的方式等。在一般災難時，可以在一定意義上保證數據的完整性，但很難保證用戶數據的可靠性和安全性，更不用說能向用戶提供透明的不間斷服務了。真正的容災必須滿足三個要素：先是系統中的部件、數據都具有冗余性，即一個系統發生故障，另一個系統能夠保持數據傳送的順暢；其次，具有長距離性，因為災害總是在一定范圍內發生，因而充分長的距離才能夠保證數據不會被一個災害全部破壞；第三，容災系統要追求全方位的數據復制，也稱為容災的"3R"（Redundance、Remote、Replication）。而國際標準SHARE78對容災系統的定義有七個層次：從最簡單的僅在本地進行磁帶備份，到將備份的磁帶存儲在異地，再到建立應用系統實時切換的異地備份系統，恢復時間也可以從幾天到小時級到分鐘級、秒級或零數據丟失等。目前針對這七個層次，都有相應的容災方案，所以，用戶在選擇容災方案時應重點區分它們各自的特點和適用范圍，結合自己對容災系統的要求判斷選擇哪個層次的方案。0級：無異地備份0等級容災方案數據僅在本地進行備份，沒有在異地備份數據，未制定災難恢復計劃。這種方式是成本最低的災難恢復解決方案，但不具備真正災難恢復能力。在這種容災方案中，最常用的是備份管理軟件加上磁帶機，可以是手工加載磁帶機或自動加載磁帶機。它是所有容災方案的基礎，從個人用戶到企業級用戶都廣泛采用了這種方案。其特點是用戶投資較少，技術實現簡單。缺點是一旦本地發生毀滅性災難，將丟失全部的本地備份數據，業務無法恢復。1級：實現異地備份第1級容災方案是將關鍵數據備份到本地磁帶介質上，然后送往異地保存，但異地沒有可用的備份中心、備份數據處理系統和備份網絡通信系統，未制定災難恢復計劃。災難發生后，使用新的主機，利用異地數據備份介質（磁帶）將數據恢復起來。這種方案成本較低，運用本地備份管理軟件，可以在本地發生毀滅性災難后，恢復從異地運送過來的備份數據到本地，進行業務恢復。但難以管理，即很難知道什么數據在什么地方，恢復時間長短依賴于何時硬件平臺能夠被提供和準備好。以前被許多進行關鍵業務生產的大企業所廣泛采用，作為異地容災的手段。目前，這一等級方案在許多中小網站和中小企業用戶中采用較多。對于要求快速進行業務恢復和海量數據恢復的用戶，這種方案是不能夠被接受的。2級：熱備份站點備份第2級容災方案是將關鍵數據進行備份并存放到異地，制定有相應災難恢復計劃，具有熱備份能力的站點災難恢復。一旦發生災難，利用熱備份主機系統將數據恢復。它與第1級容災方案的區別在于異地有一個熱備份站點，該站點有主機系統，平時利用異地的備份管理軟件將運送到異地的數據備份介質（磁帶）上的數據備份到主機系統。當災難發生時可以快速接管應用，恢復生產。由于有了熱備中心，用戶投資會增加，相應的管理人員要增加。技術實現簡單，利用異地的熱備份系統，可以在本地發生毀滅性災難后，快速進行業務恢復。但這種容災方案由于備份介質是采用交通運輸方式送往異地，異地熱備中心保存的數據是上一次備份的數據，可能會有幾天甚至幾周的數據丟失。這對于關鍵數據的容災是不能容忍的。3級：在線數據恢復第3級容災方案是通過網絡將關鍵數據進行備份并存放至異地，制定有相應災難恢復計劃，有備份中心，并配備部分數據處理系統及網絡通信系統。該等級方案特點是用電子數據傳輸取代交通工具傳輸備份數據，從而提高了災難恢復的速度。利用異地的備份管理軟件將通過網絡傳送到異地的數據備份到主機系統。一旦災難發生，需要的關鍵數據通過網絡可迅速恢復，通過網絡切換，關鍵應用恢復時間可降低到一天或小時級。這一等級方案由于備份站點要保持持續運行，對網絡的要求較高，因此成本相應有所增加。4級：定時數據備份第4級容災方案是在第3級容災方案的基礎上，利用備份管理軟件自動通過通信網絡將部分關鍵數據定時備份至異地，并制定相應的災難恢復計劃。一旦災難發生，利用備份中心已有資源及異地備份數據恢復關鍵業務系統運行。這一等級方案特點是備份數據是采用自動化的備份管理軟件備份到異地，異地熱備中心保存的數據是定時備份的數據，根據備份策略的不同，數據的丟失與恢復時間