關于企業信息系統災備中心建設方案探討

周琦

[摘 要] 企業信息系統是企業運營的基礎平臺，數據則是關系到企業自身利益的核心資源，業務連續性和數據可用性是關系到企業生存的重大問題。文章從集團公司企業信息系統災備中心建設背景出發，結合災備中心建設的必要性、災備體系特點，提出了三種建設方案，并對每種方案進行了簡要說明。

[關鍵詞] 災備中心；云災備；建設方案

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 23. 024

[中圖分類號] TP393.07 [文獻標識碼] A [文章編號] 1673 - 0194（2018）23- 0056- 04

1 背景和必要性

1.1 背 景

隨著信息化上升為國家戰略，國家對信息安全防護越來越重視，對信息系統的災難恢復中心（以下簡稱“災備中心”）建設也給予了高度重視。2007年6月，國家制定并發布了關于災備中心建設的第一個國家標準《信息系統災難恢復規范》（GB/T 20988-2007），2013年，又發布了具有指導性的《災難恢復中心建設與運維管理規范》（GB/T 30285-2013），對災備中心建設與運維管理制定了具體規范。《信息系統災難恢復規范》對災難恢復能力從低到高共劃分了六個級別，如表1所示。

近些年來，隨著中央企業信息化水平不斷提升，許多領先企業如中國石油、中國石化、國家電網以及電信運營商等，都已經完成了信息系統異地災備中心的建設。

為了提高信息系統的運行穩定性、可靠性、安全性，為業務的開展提供安全可靠保障，集團公司計劃對現有信息系統及數據資源建設部署災備系統，實現相關數據資源和應用系統的容災備份及災難恢復。

1.2 必要性

數據中心里設備價格昂貴，一旦發生不可預知的災難，諸如斷電、設備損壞、機柜坍塌、線纜損耗、數據丟失、信息泄露等問題，將帶來極其嚴重的后果，其中設備及材料等有形的損失可以彌補，而寶貴的數據丟失和業務的長期中斷造成的損失則是無法估量的，而容災備份作為防止數據災難的最后防線，就顯得尤其重要，因此說容災備份，刻不容緩。

容災備份是通過特定的機制和技術手段，對現有系統進行保護，在各種災難損害發生后，能夠最大限度地保護信息系統業務數據，提供正常的應用服務。

2 災備體系

2.1 容災和備份

容災和備份是災備系統的主要概念，但兩者是有區別的。備份是指為防止信息系統出現操作失誤或系統故障導致數據丟失而將全部或部分數據集合，從應用系統現有存儲介質復制到其他的存儲介質進行保管。容災是指在相隔較遠的兩地，建立兩套或多套功能相同的信息系統，互相之間可以進行健康狀態監視和功能切換，當一處系統因意外（如火災、地震等）停止工作時，另一處系統可以承擔起相應的服務功能，使得該系統可以繼續正常工作[2]。

備份與容災所關注的對象有所不同，備份主要關心數據的安全，容災在數據安全的基礎上更加關心業務應用的安全，可以把備份稱作“數據保護”，而容災稱作“業務應用保護”。備份更多表現為通過備份軟件使用磁帶機或者磁帶庫將數據進行拷貝，也有磁盤或者光盤作為存儲介質，備份系統具有性能低、成本低的特點；容災是信息系統高可用技術的一個組成部分，容災系統更加強調處理外界環境對系統的影響，特別是災難性事件對整個數據中心的影響，提供站點級別的系統恢復功能，容災系統具有性能高、成本高的特點。

容災與備份的緊密聯系體現在兩方面。

2.1.1 數據備份是數據容災的基礎

數據備份是數據可用的最后一道防線，其目的是為了信息系統崩潰時能夠快速恢復數據。雖然它也算一種簡化的容災方案，但其能力非常有限，因為傳統的備份主要是采用數據內置或外置的磁帶進行冷備份，備份磁帶同時也在機房中統一處理，一旦整個機房出現不可抗力所致的災難時，這些備份數據也可能隨之被毀滅，所存儲的備份數據就無法起到應有的容災功能[3]。

2.1.2 容災不是簡單備份

真正的數據容災就是要避免傳統冷備份的先天不足，不僅僅實現備份介質的異地存放，而是通過建立一個和本地應用系統對稱的異地災備系統，能在本地災難發生時，全面、及時地恢復應用數據，可以按照建設等級的不同，實現恢復時間從幾天到小時級到分鐘級、秒級或0數據丟失等。進而可以將對信息系統的保護，從基礎的數據保護提升到應用、網絡、業務等全方位的災難恢復，在距離較近時還可以實現業務訪問的實時雙活、多活切換等。

2.2 容災體系級別

容災備份主要針對數據和應用兩大類，根據提供基本的數據保護和提供不間斷的應用服務來區分。一般情況下容災體系可以分成數據級容災、應用級容災和業務級容災三個級別。

2.2.1 數據級容災

數據級容災是指通過建立一個異地數據系統，作為本地數據的遠程備份，能夠保證業務數據的完整性、可靠性和最終一致性。

數據級容災的關注點在于數據本身，當本地由于意外導致系統停止工作時，確保原有的數據不會丟失或者遭到破壞，不過，在數據級容災這個級別上，當本地發生災難時，因相應的信息系統自身沒有備份，用戶的服務請求在災難中可能會中斷，單純的數據容災無法保證業務持續性。

在數據級容災方式下，所建立的異地災備中心可以簡單地把它理解成一個遠程的數據備份中心。數據級容災的恢復時間比較長，但是其建設費用比較低，而且構建實施和運行維護也相對簡單。

2.2.2 應用級容災

應用級容災是在數據級容災基礎上的升級，通過在備份站點構建一套相同或縮小比例的應用系統，在本地系統由于意外而停止工作時，可以及時啟用備用應用系統，保證關鍵應用在允許的時間范圍內恢復運行，盡可能地減少因災難帶來的損失。應用級容災一般在生產中心和異地災備中心之間采用同步或異步的數據傳輸，但災備中心也需要具有和生產中心類似的外部廣域網資源，應用級容災需要通過更多的軟硬件來實現，可以使多種應用在災難發生時進行快速切換，確保業務的連續性。

2.2.3 業務級容災

業務級容災是在數據級容災和應用級容災基礎之上的一個更高級別的容災，是應用級容災的最高標準，它是指在生產中心和災備中心對業務請求可以同時提供服務的一種容災方式，在某一方災難發生時，另一方可以保證所有的業務都是正常運行并可訪問的，對于用戶來講是感受不到災難影響，因此既能實現業務服務冗余分擔，又能夠確保業務持續可用。

實現業務級容災，不僅需要確保兩地數據一致，還需要在數據管理層面、應用程序層面、訪問通道層面都能夠平滑切換，數據中心之間的距離也有較大限制。甚至主備中心最好具備對稱的基礎設施，以便一旦原有的辦公場所遭到破壞，在備份場所也能正常的開展業務。

3 建設方案

按照國家關于災備系統能力的六級標準，結合集團公司的實際情況，將現有信息系統按數據重要性和應用時效性進行分類。如表2所示。

針對不同的信息系統，可以采取不同的災備方案，以達到不同的災備級別。綜合考慮集團公司災備中心建設可以采取以下三種方案。

方案1：數據級災備中心，四+五級標準，完全自建機房

數據級災備中心，重要信息系統達到五級標準，總體達到四級標準。如果集團公司數據中心出現重大災難性損失，可以達到重要信息系統數據基本不丟失（當天數據可恢復）、一般信息系統數據少量丟失（上周數據可恢復）的目標。災備中心機房按照主數據中心的50%規模建設，充分考慮未來5～10年的擴展性，與集團公司主數據中心設計能力相匹配。在主中心暫停服務期間，災備中心能夠提供部分重要信息系統的數據查詢服務。

方案2：數據級災備中心，四+五級標準，自建機房+“云災備”混合模式

災備能力與方案1相同，區別在于互聯網系統采用“云災備”模式，即災備中心機房按照主數據中心的30%規模建設，互聯網系統則采用“云災備”系統租用模式。在主中心暫停服務期間，災備中心能夠提供部分重要信息系統的數據查詢服務。

方案3：數據級災備中心，二級標準，不新建災備機房

對現有數據備份方案補充完善，以較少的投資達到二級標準。主數據中心每周進行一次完全數據備份。對現有機房進行適當改造，提供獨立封閉區域，存放備份數據。

三類方案的簡要對比如表3所示。

3.1 完全自建機房設計方案（方案1）

3.1.1 設計目標

遵循科學先進、實用高效、安全可靠、節能環保的設計理念，按照國家關于災備系統能力的六級標準，結合集團公司的實際情況，將集團公司的信息系統按數據重要性和應用時效性進行分類，重要信息系統達到五級標準，總體達到四級標準。如果集團公司數據中心出現重大災難性損失，可以達到重要信息系統數據基本不丟失（當天數據可恢復）、一般信息系統數據少量丟失（上周數據可恢復）的目標。災備中心建設要充分考慮可擴展性，并與集團公司主數據中心設計能力相匹配。在主中心暫停服務期間，災備中心能夠提供基本的應用系統服務和數據查詢工作。

3.1.2 災備中心機房

災備中心機房達到《電子信息系統機房設計規范》（GB 50174-2008）B級要求，保持7×24小時運行，設計能力達到集團公司主數據中心機房設計能力的50%。

機房建設包括裝飾裝修工程、UPS及配電系統工程、UPS設備、空調及新風、機房空調設備、消防排煙系統工程、綜合布線系統、門禁系統、視頻監控系統、動力環境監控系統、大屏系統、KVM系統、火災自動報警系統、氣體滅火系統工程、屏蔽機房工程、電力增容擴容、消防監控系統改造等工程。

3.1.3 災備信息系統

按照數據重要性和應用時效性分類，集團公司現有需要實時備份的重要信息系統的災備系統在數據方面達到國家5級標準，即實時數據遠程傳輸備份，其他信息系統可以采用每周備份的方式。

目前遠程數據復制有如下幾種實現方式：

（1）基于數據庫的復制技術。這種復制技術按方式可分為實時復制、定時復制和存儲轉發復制。該技術要求主機同構，存儲可異構，數據庫系統不同對于同構性要求也有所不同。

（2）基于主機的遠程數據復制技術。這種方式主要是基于應用系統、卷管理器或者備份軟件實現，存儲系統可以異構，但主機的操作系統一般同構。基于主機的遠程復制對主機性能有較大影響。

（3）基于智能存儲的遠程數據復制技術。這種方式的優勢在于數據復制軟件運行在存儲系統內，操作控制比較簡單，且能夠實現很高的容災恢復目標RTO和數據恢復時間點目標RPO。但對備份中心的存儲系統有嚴格的兼容性要求，一般需要來自同一個廠家的存儲系統，這樣對備份中心存儲設備的選型帶來了限制。

（4）基于光纖交換機存儲虛擬化的遠程數據復制技術。這種方式需要光纖交換機和存儲系統協調一致，設備選擇余地小，成本高，管理復雜。

綜合系統效能等因素，互聯網的實時災備系統可采用基于智能存儲的遠程數據復制技術方案。

3.2 自建機房+“云災備”設計方案（方案2）

3.2.1 災備中心機房

災備中心機房達到《電子信息系統機房設計規范》（GB 50174-2008）B級要求，保持7×24小時運行，設計能力達到集團公司主數據中心機房設計能力的30%。互聯網區域則采用“云災備”模式，租用公有云服務設備完成，從而減少了對自建機房的要求。

3.2.2 災備信息系統

災備信息系統由自建系統和災備云兩部分組成。

自建系統主要采用基于智能存儲的遠程數據復制技術方案。基于互聯網的信息系統則采用租用“云計機”和“云存儲”設備，達到數據級災備國家五級標準，即實時數據遠程傳輸備份。其他信息系統可以采用每周備份的方式。

從整體虛擬化架構布局等因素考慮，云災備中心將采用VMware或Hyper-V；集團公司本地機房與云災備中心之間的網絡暢通，保障數據的傳輸。

3.2.3 信息安全防護

云平臺建立專門的安全保障體系，實現從接入層、傳輸層、數據存儲層、應用層、運維層的全方位信息安全保障，目前云平臺國家信息安全已滿足國家信息安全等保三級標準。可提供流量清洗、服務器安全衛士、云堡壘機、云WAF、漏洞掃描、滲透測試等服務，對云主機本身、系統漏洞、WEB應用等提供不同層面的安全服務。

3.3 改造現有機房方案（方案3）

適當改造現有機房。

4 結 語

三種災備中心的建設方案各具特點，但綜合集團公司各方面的因素，個人認為自建機房+“云災備”的方案更適合企業未來發展的要求。

主要參考文獻

[1]國家質量監督檢驗檢疫總局.GB/T 20988-2007 信息安全技術信息系統災難恢復規范[S].2007.

[2]王詠霖，朱滿彪.新時代互聯網的應用和發展研究[J].通訊世界，2017（10）：61-62.

[3]熊海清.網絡環境下企業數據備份與容災問題的探討[J].鋁加工，2010（2）：47-52.