王良清，王玉斋，李爱勤

(1. 浙江省测绘资料档案馆，浙江 杭州 310012； 2. 浙江省测绘科学技术研究院，浙江 杭州 310012)



测绘地理信息成果档案异地灾备系统的研建

王良清1，王玉斋1，李爱勤2

(1. 浙江省测绘资料档案馆，浙江 杭州 310012； 2. 浙江省测绘科学技术研究院，浙江 杭州 310012)

通过浙江省测绘地理信息成果档案异地灾备系统建设实践，在分析测绘地理信息成果档案备份现状、需求和容灾级别的基础上，对异地灾备系统架构、容灾技术方法进行研究，提出在政务外网、涉密内网两种网络环境中测绘地理信息成果档案容灾系统的设计模型，重点介绍了在线数据分别通过NexentaStor、DataGuard和分布式文件系统(DFS)实现同步或异步复制的技术，以及离线数据异地备份的维护情况。这种在线容灾和离线备份相结合的综合灾备方案可供测绘地理信息同行借鉴。

测绘；档案；异地备份；容灾

测绘是测量和地图制图的总称，其专业特点十分明显，科技含量多，技术要求高，地理覆盖面广，成果要求精密准确、细致[1]。测绘成果档案除具有一般科技档案的属性外还有其自身的特点，如地域性、保密性、数据量大等。在数字测绘档案馆建设实践中，实现“档案资源数字化、增量档案电子化”[2]，管理网络化，应用社会化，服务智能化的工作中，如何保持测绘地理信息业务的持续性和成果档案数据的完整性、安全性，是信息化测绘体系建设需要优先考虑的一个重要问题。按照《信息安全技术信息系统灾难恢复规范》(GB/T 20988—2007)[3]，采取本地和远程相结合的数据存储、备份与恢复手段,建设异地备份容灾系统，能够实现测绘地理信息成果档案及其数字档案馆系统的高可靠性和安全性,能够抵御病毒攻击、人为破坏或自然灾害等突发事件所造成的损失[4]。

1 容灾级别

信息系统容灾可分为数据级、应用级和业务级3个容灾级别。从对用户整个业务连续性的保障程度来看，它们的高可用级别也在逐渐提高[5-6]。

1.1 数据容灾

当灾难来临而应用系统数据受损时，人们希望至少使用异地保存的数据进行恢复。这是数据级容灾的基本目标，显然它首先需在异地建立一套数据系统，如磁盘阵列、磁带库甚至是单独的离线介质等，以对本地系统的关键数据进行日常备份[7]。

1.2 应用容灾

在数据容灾的基础上，应用级容灾进一步要求，灾难发生后远程应用系统可接管本地应用系统的业务继续运行，因此要有一套包括各种服务器和应用软件系统的、与本地数据系统相当的、异地的完整系统来保障[7]。

1.3 业务容灾

业务容灾除了做到数据灾备和应用灾备以外，还应该保障包括办公地点、环境、电话等非IT系统的连续性[7]。限于实际需求和经费投入，目前测绘灾备系统难以达到业务容灾的级别。

2 国内测绘地理信息成果档案及其灾备现状分析

2.1 国内测绘地理信息成果档案灾备现状

早在2008年国家基础地理信息中心将涉密成果通过专线初步实现了基于数据的在线异地数据存储备份方案(温备份)[4]，现在为运行于公网的天地图系统建设了基于应用切换的灾备系统(克拉玛依数据中心，热备份)。国内测绘地理信息省级部门一般仅做到离线数据的异地备份(冷备份)，如陕西测绘地理信息局、内蒙古自治区测绘地理信息局、江苏测绘地理信息局、北京市测绘设计研究院[8]等，在线的异地灾备中心由于投入大，门槛高，在陕西[9]、广西[10]等一些数字省区地理空间框架建设中虽有所研究，但要真正实现仍有待探索和努力。我国测绘地理信息成果档案的异地容灾能力普遍不强，可是从测绘地理信息成果档案的现状分析来看，在线异地灾备需求已迫在眉睫。

2.2 成果档案数据更新快、服务要求高

随着数字城市建设、应急测绘保障等应用的深入开展，用户对测绘地理信息成果的现势性与内容丰富性提出了更高的要求[11]，测绘地理信息成果更新周期日益趋短，版本越来越多，由静态更新变为动态更新，直至准实时更新，如2016年开始，浙江省级基础测绘数据库成果更新周期为“361”，即重大地理要素变化后3个月内更新，重要要素6个月更新，一般要素1年内更新。截至2015年底浙江已率先完成了省、市、县3级全部数字城市地理空间框架建设任务，由此建成的各类地理信息公共服务平台如天地图省市县节点、地理空间数据交换平台等在线地理信息服务系统，对测绘成果档案数据备份工作提出了很高的恢复时间要求(RTO和RPO)。这些在线地理信息服务系统普遍实现了开放的服务聚合与互操作。其公共地理空间框架数据是基于经济社会发展对在线地理信息服务的普遍需求整合而成的[9]，主要包括地理实体数据、地名地址POI数据、电子地图数据、影像数据、高程数据、三维景观数据，还有经空间化、规范化整合的各部门共享交换的专题数据等(浙江省地理空间数据交换和共享平台、天地图·浙江运行维护实施方案(2016年修订稿))。这些在线数据极大方便和促进了用户获取和应用。

2.3 成果档案数据种类划分

现阶段数字化形式的测绘地理信息成果档案一般包括大量的文本、矢量数据和海量的航空航天遥感影像数据，以及基础地理信息资料和测绘历史档案资料等[9]，可大致分为离线数据和在线数据两大类。离线数据指可单独存在，并可通过离线介质独立向用户提供使用的各类文本、矢量及栅格地理信息数据拷贝或硬拷贝；在线数据是指在各种地理信息系统(GIS)中运行，并与相应GIS一起提供在线服务的各种地理信息数据[9]。离线数据RTO要求较低(从数天到数小时)，可通过异地离线备份系统进行灾难恢复。在线类数据现势性较强，使用方便，既集基础地理信息数据采集、编辑、存储、显示和分析于一体，一般又融合了共享交换的各专业部门的专题数据，RTO要求高，数小时甚至分钟级。在线类数据的出现，使得测绘地理信息成果应用范围不断扩大，并日益被公众所接受。同时在线类测绘成果档案作为测绘地理信息行业服务社会、服务民生的重要窗口，以“互联网+”的服务模式出现，实现了“分布式存储、逻辑式集中、一站式服务”，完全不同于离线数据物理集中管理、硬拷贝分发的模式，标志着测绘地理信息成果档案面向社会服务方式的转变[9]。

3 容灾要素的选择

3.1 异地备份站点选择

为了确保备份数据的安全，异地备份站点一般选在地理特征不同、距离较远的城市。具体站点的选择方案需要有关专家依据城市的综合因素进行必要的评估。异地存储备份应用的要求越高、异地存储备份距离越远，实现异地存储备份方案的成本一般也就越高[5]。综合考虑地质、交通、电力、网络等条件，按异地备份站点要求，在某县选址规划建设了一幢建筑面积2000 m2的灾备大楼。

3.2 多种备份方式并存

测绘地理信息成果档案既有地理信息服务系统等在线数据，又有数字测绘标准产品、已数字化的历史测绘成果和资料等离线数据，尤其是每年增长50 TB以上的海量影像数据，还有纸质实体档案，因此相应的灾备中心必然同时存在在线备份(包括热备份和温备份)、离线备份(即冷备份)和纸质实体档案备份。另外，还有涉密数据备份和非涉密数据备份之分。由于涉密数据量巨大(超过300 TB)，并考虑目前涉密测绘成果网的恢复时间(RTO)要求不高，可达1—2 d，从性价比考虑，涉密数据采取异地离线备份即可。离线备份介质以高性价比的散装硬盘为主，LTO磁带为辅，以实现异地异质备份。

3.3 在线数据容灾方法

针对不同的网络环境，如公网和涉密网，在线备份的方法可以不同。

涉密成果网主要数据为文件级数据，可通过微软公司域控制器的分布式文件系统(DFS)功能完成数据同步。分布式文件系统是一个网络服务器组件，能容易地在网络上查询和管理数据。分布式文件系统是将分布于不同电脑上的文件组合为单一的名称空间，并使得在网络上建立一个单一的、层次化多重文件服务器和服务器共享的工作变为方便的途径[12]。由于域控制体系的存在，DFS可以十分方便地实现不同站点间的数据复制。涉密网灾备系统拓扑如图1所示。

图1 涉密网灾备系统拓扑

外网一般包括公网和政务外网等网络环境。通过向当地政府申请，可将灾备中心接入省政务外网，以节约线路租金。

政务外网的文件数据可采用NexentaStor进行数据复制，空间数据库采用Oracle的DataGuard进行同步。拓扑如图2所示。

3.3.1 NexentaStor

NexentaStor是一套统一的存储解决方案，运行于创新的ZFS文件系统之上，可提供企业级NAS和SAN性能，提供简化设置、扩展、备份、复制及存档等功能[13]。

NexentaStor将无限的完整或增量快照功能与无限的克隆结合在一起。NexentaStor具有自动CDP(Auto-CDP，自动连续数据保护)，它提供了基于块的复制，优化恢复点目标(RPO)、恢复时间目标(RTO)和备份。自动CDP促进了远程镜像功能(同步)。自动同步(Auto-Sync)在两个不同的NexentaStor存储之间复制文件(异步)。它在目的端重新创建源快照(数据和元数据)。自动层(Auto-Tier)为复制文件夹创建目录。

图2 政务外网灾备系统拓扑

文件数据采用NexentaStor作为NAS服务器，为应用服务器提供数据服务，当本地数据更新后，通过NexentaStor的数据复制功能，数据可被自动复制到异地机房，实现数据的同步或异步复制。执行流程如下：首先在源系统上创建快照，然后对比源和目的快照得出变更的数据块，最后复制增量更新到目的端。NexentaStor的Auto-Sync功能模块能复制元数据，支持反向复制(即从异地备份机房到本地的数据恢复)和带宽限制。复制数据流支持压缩和消重[13]。

3.3.2 Oracle DataGuard

DataGuard是Oracle公司推出的一种高可用性数据库方案，它在主节点(Primary Database)与备用节点(Standby Database)间通过日志同步机制来保证数据的同步，可以实现数据库快速切换与灾难性恢复[14]。

Oracle数据库通过Oracle DataGuard实现政务网数据库本地节点(RAC Primary)到异地节点(Single Standby)的数据同步和恢复。如果因为异常原因导致Primary Database不可用，可以把Standby Database强制切换为Primary Database继续对外服务[14]。

3.3.3 容灾系统性能

天地图省市节点、地理空间数据交换和共享平台等在线服务系统的总数据量可达几十TB，大约每周批量数据更新一次，但平时更新一个行业专题图层数据约2 GB(目前数十个省级部门之间已做到地理信息数据交换共享)，矢量及标注相关的底图瓦片数据全省范围更新，约40 GB。政务外网100 Mb/s(即12.5 MB/s)带宽在工作日实际测试异步复制速率为3.6 MB/s，40 GB数据需约3 h 10 min完成备份。为了不影响一般用户访问系统，较大数据异地复制在8 h之外如晚上进行，但次数少，约一季度一次。Oracle数据库存储以矢量数据和元数据为主，更新数据量较小，采用DataGuard，也可以满足表1传输时间的要求。

表1 不同类型数据的异地传输时间

理论上，Auto-CDP快照数据备份的RPO值几乎接近0[13]。用户可以访问快照来恢复数据和单一文件，即RTO值也可以接近为0。但是限于经费，本地与异地两端存储类型不同，现阶段只利用Auto-Tier进行异步复制，平时小于10 GB的数据RTO值仍然需要1 h。

3.4 离线数据档案保管与维护

离线备份介质主要包括纸质地形图、散装硬盘和磁带等。根据基础测绘生产各类成果的归档计划，在每次归档任务完成后的1个月内完成异地离线介质备份工作。每月中更小周期如1周时间增量的离线介质暂时存放在本地，等到大周期如每月通过汽车等交通工具将纸质地图、散装硬盘、磁带等新增的离线介质(一般是涉密的)运到异地存放。在异地库房，每年对20%离线介质进行检查，对硬盘进行读盘测试，对磁带进行数据恢复测试或健康性检查。尤其是磁带，主要放在防磁柜中，抽查时将待检磁带放在磁带机中进行倒带和恢复测试。全部检查一次的周期为5—10年。一旦发现问题就要进行全部检查，并更换有问题和到期的介质。

4 结 语

测绘地理信息成果档案异地灾备系统(一期)已在浙江省初步建成，主要在不同网络环境通过NexentaStor、DataGuard、分布式文件系统(DFS)等技术进行同步或异步复制，实现了在线容灾和离线备份相结合的综合方案，不仅为测绘地理信息成果档案的应用安全增加了更可靠的保障，而且还在尝试为有需求的市县测绘地理信息部门提供异地灾备方面的服务。后期建设将在涉密网络、存储、安全等设备扩充、性能提升，系统优化完善，提高容灾效率等方面加大投入和建设，加强安全防护，规范运行管理。

[1] 刘莹. 测绘成果资料档案的特点及其管理原则[J].测绘技术装备,2011,13(3):31-33.

[2] 国家档案局．数字档案馆建设指南[Z].北京：国家档案局，2010.

[3] 国家质量监督检验检疫总局. GB/T 20988—2007 信息安全技术信息系统灾难恢复规范[S].北京：中国标准出版社，2007.

[4] 翟永，刘磊.国家基础地理信息中心数据成果异地存储备份系统设计[J].测绘科学,2008(S2):98-100.

[5] 谢长生，韩德志，李怀阳，等.容灾备份的等级和技术[J].中国计算机用户,2003(18):30-33.

[6] 伍百发.浅谈基础地理信息数据灾备中心的建设[J].地理空间信息,2012,10(4):29-31.

[7] 赵钊.基于档案信息管理系统灾备技术的研究与应用[J].信息系统工程,2014,20(4):52-53.

[8] 赵春香，李鸣，曹纯，等.浅析测绘地理信息业务档案异地备份方案[J].测绘通报,2016(11):134-136.

[9] 焦惊眉，贠建明. 数字测绘成果档案的容灾方案构想[J].测绘标准化,2015,31(1):10-21.

[10] 黄新军.广西省级基础测绘成果数据异地备份研究[C]∥全国测绘科技信息网中南分网第二十五次学术信息交流会论文集.长沙：湖南地图出版社，2011.

[11] 王东华，刘建军．国家基础地理信息数据库动态更新总体技术[J]．测绘学报,2015,44(7):822-825．

[12] 微软公司.分布式文件系统[EB/OL]. (1999-04-19) [2017-2-20]. http:∥www.microsoft.com/china/windows2000/library/howitworks/fileandprint/dfsnew.mspx.

[13] Nexenta Systems. NexentaStor 版本3.1.x用户指南[Z].北京：[s.n.]，2011.

[14] 张晓明.大话Oracle RAC集群高可用性备份与恢复[M].北京：人民邮电出版社,2011.

Research on Zhejiang Offsite Disaster Recovery System for Surveying, Mapping and Geoinformation Archives

WANG Liangqing1,WANG Yuzhai1,LI Aiqin2

(1. Zhejiang Provincial Materials Archive of Surveying and Mapping, Hangzhou 310012, China; 2. Zhejiang Academy of Surveying and Mapping , Hangzhou 310012, China)

This paper examines the case for Zhejiang offsite disaster recovery center for surveying, mapping and geoinformation archives based on the status quo of its backups, requirements and the levels of disaster recovery. It also discusses the frameworks and techniques of the center and comes up with two design models for disaster recovery systems based on external and internal networks respectively. Much attention goes to how online data are replicated synchronously and asynchronously via NexentaStor, DataGuard and DFS, as well as the maintenance of offsite data remote backups. The combination of online disaster recovery and offsite data backup would provide a comprehensive plan for surveying, mapping and geoinformation professionals.

surveying and mapping; archives; offsite backup; disaster tolerant

王良清，王玉斋，李爱勤.测绘地理信息成果档案异地灾备系统的研建[J].测绘通报，2017(6)：133-136.

10.13474/j.cnki.11-2246.2017.0207.

2017-02-08；

2017-04-02

浙江省重大科技创新平台建设专项(2008C17004)

王良清(1966—)，男，硕士，教授级高级工程师，主要从事计算机网络系统集成、测绘地理信息业务档案灾备方面的研究工作。E-mail：877639604@qq.com

P208

A

0494-0911(2017)06-0133-04