周琦

[摘 要] 企业信息系统是企业运营的基础平台，数据则是关系到企业自身利益的核心资源，业务连续性和数据可用性是关系到企业生存的重大问题。文章从集团公司企业信息系统灾备中心建设背景出发，结合灾备中心建设的必要性、灾备体系特点，提出了三种建设方案，并对每种方案进行了简要说明。

[关键词] 灾备中心；云灾备；建设方案

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 23. 024

[中图分类号] TP393.07 [文献标识码] A [文章编号] 1673 - 0194（2018）23- 0056- 04

1 背景和必要性

1.1 背 景

随着信息化上升为国家战略，国家对信息安全防护越来越重视，对信息系统的灾难恢复中心（以下简称“灾备中心”）建设也给予了高度重视。2007年6月，国家制定并发布了关于灾备中心建设的第一个国家标准《信息系统灾难恢复规范》（GB/T 20988-2007），2013年，又发布了具有指导性的《灾难恢复中心建设与运维管理规范》（GB/T 30285-2013），对灾备中心建设与运维管理制定了具体规范。《信息系统灾难恢复规范》对灾难恢复能力从低到高共划分了六个级别，如表1所示。

近些年来，随着中央企业信息化水平不断提升，许多领先企业如中国石油、中国石化、国家电网以及电信运营商等，都已经完成了信息系统异地灾备中心的建设。

为了提高信息系统的运行稳定性、可靠性、安全性，为业务的开展提供安全可靠保障，集团公司计划对现有信息系统及数据资源建设部署灾备系统，实现相关数据资源和应用系统的容灾备份及灾难恢复。

1.2 必要性

数据中心里设备价格昂贵，一旦发生不可预知的灾难，诸如断电、设备损坏、机柜坍塌、线缆损耗、数据丢失、信息泄露等问题，将带来极其严重的后果，其中设备及材料等有形的损失可以弥补，而宝贵的数据丢失和业务的长期中断造成的损失则是无法估量的，而容灾备份作为防止数据灾难的最后防线，就显得尤其重要，因此说容灾备份，刻不容缓。

容灾备份是通过特定的机制和技术手段，对现有系统进行保护，在各种灾难损害发生后，能够最大限度地保护信息系统业务数据，提供正常的应用服务。

2 灾备体系

2.1 容灾和备份

容灾和备份是灾备系统的主要概念，但两者是有区别的。备份是指为防止信息系统出现操作失误或系统故障导致数据丢失而将全部或部分数据集合，从应用系统现有存储介质复制到其他的存储介质进行保管。容灾是指在相隔较远的两地，建立两套或多套功能相同的信息系统，互相之间可以进行健康状态监视和功能切换，当一处系统因意外（如火灾、地震等）停止工作时，另一处系统可以承担起相应的服务功能，使得该系统可以继续正常工作[2]。

备份与容灾所关注的对象有所不同，备份主要关心数据的安全，容灾在数据安全的基础上更加关心业务应用的安全，可以把备份称作“数据保护”，而容灾称作“业务应用保护”。备份更多表现为通过备份软件使用磁带机或者磁带库将数据进行拷贝，也有磁盘或者光盘作为存储介质，备份系统具有性能低、成本低的特点；容灾是信息系统高可用技术的一个组成部分，容灾系统更加强调处理外界环境对系统的影响，特别是灾难性事件对整个数据中心的影响，提供站点级别的系统恢复功能，容灾系统具有性能高、成本高的特点。

容灾与备份的紧密联系体现在两方面。

2.1.1 数据备份是数据容灾的基础

数据备份是数据可用的最后一道防线，其目的是为了信息系统崩溃时能够快速恢复数据。虽然它也算一种简化的容灾方案，但其能力非常有限，因为传统的备份主要是采用数据内置或外置的磁带进行冷备份，备份磁带同时也在机房中统一处理，一旦整个机房出现不可抗力所致的灾难时，这些备份数据也可能隨之被毁灭，所存储的备份数据就无法起到应有的容灾功能[3]。

2.1.2 容灾不是简单备份

真正的数据容灾就是要避免传统冷备份的先天不足，不仅仅实现备份介质的异地存放，而是通过建立一个和本地应用系统对称的异地灾备系统，能在本地灾难发生时，全面、及时地恢复应用数据，可以按照建设等级的不同，实现恢复时间从几天到小时级到分钟级、秒级或0数据丢失等。进而可以将对信息系统的保护，从基础的数据保护提升到应用、网络、业务等全方位的灾难恢复，在距离较近时还可以实现业务访问的实时双活、多活切换等。

2.2 容灾体系级别

容灾备份主要针对数据和应用两大类，根据提供基本的数据保护和提供不间断的应用服务来区分。一般情况下容灾体系可以分成数据级容灾、应用级容灾和业务级容灾三个级别。

2.2.1 数据级容灾

数据级容灾是指通过建立一个异地数据系统，作为本地数据的远程备份，能够保证业务数据的完整性、可靠性和最终一致性。

数据级容灾的关注点在于数据本身，当本地由于意外导致系统停止工作时，确保原有的数据不会丢失或者遭到破坏，不过，在数据级容灾这个级别上，当本地发生灾难时，因相应的信息系统自身没有备份，用户的服务请求在灾难中可能会中断，单纯的数据容灾无法保证业务持续性。

在数据级容灾方式下，所建立的异地灾备中心可以简单地把它理解成一个远程的数据备份中心。数据级容灾的恢复时间比较长，但是其建设费用比较低，而且构建实施和运行维护也相对简单。

2.2.2 应用级容灾

应用级容灾是在数据级容灾基础上的升级，通过在备份站点构建一套相同或缩小比例的应用系统，在本地系统由于意外而停止工作时，可以及时启用备用应用系统，保证关键应用在允许的时间范围内恢复运行，尽可能地减少因灾难带来的损失。应用级容灾一般在生产中心和异地灾备中心之间采用同步或异步的数据传输，但灾备中心也需要具有和生产中心类似的外部广域网资源，应用级容灾需要通过更多的软硬件来实现，可以使多种应用在灾难发生时进行快速切换，确保业务的连续性。

2.2.3 业务级容灾

业务级容灾是在数据级容灾和应用级容灾基础之上的一个更高级别的容灾，是应用级容灾的最高标准，它是指在生产中心和灾备中心对业务请求可以同时提供服务的一种容灾方式，在某一方灾难发生时，另一方可以保证所有的业务都是正常运行并可访问的，对于用户来讲是感受不到灾难影响，因此既能实现业务服务冗余分担，又能够确保业务持续可用。

实现业务级容灾，不仅需要确保两地数据一致，还需要在数据管理层面、应用程序层面、访问通道层面都能够平滑切换，数据中心之间的距离也有较大限制。甚至主备中心最好具备对称的基础设施，以便一旦原有的办公场所遭到破坏，在备份场所也能正常的开展业务。

3 建设方案

按照国家关于灾备系统能力的六级标准，结合集团公司的实际情况，将现有信息系统按数据重要性和应用时效性进行分类。如表2所示。

针对不同的信息系统，可以采取不同的灾备方案，以达到不同的灾备级别。综合考虑集团公司灾备中心建设可以采取以下三种方案。

方案1：数据级灾备中心，四+五级标准，完全自建机房

数据级灾备中心，重要信息系统达到五级标准，总体达到四级标准。如果集团公司数据中心出现重大灾难性损失，可以达到重要信息系统数据基本不丢失（当天数据可恢复）、一般信息系统数据少量丢失（上周数据可恢复）的目标。灾备中心机房按照主数据中心的50%规模建设，充分考虑未来5～10年的扩展性，与集团公司主数据中心设计能力相匹配。在主中心暂停服务期间，灾备中心能够提供部分重要信息系统的数据查询服务。

方案2：数据级灾备中心，四+五级标准，自建机房+“云灾备”混合模式

灾备能力与方案1相同，区别在于互联网系统采用“云灾备”模式，即灾备中心机房按照主数据中心的30%规模建设，互联网系统则采用“云灾备”系统租用模式。在主中心暂停服务期间，灾备中心能够提供部分重要信息系统的数据查询服务。

方案3：数据级灾备中心，二级标准，不新建灾备机房

对现有数据备份方案补充完善，以较少的投资达到二级标准。主数据中心每周进行一次完全数据备份。对现有机房进行适当改造，提供独立封闭区域，存放备份数据。

三类方案的简要对比如表3所示。

3.1 完全自建机房设计方案（方案1）

3.1.1 设计目标

遵循科学先进、实用高效、安全可靠、节能环保的设计理念，按照国家关于灾备系统能力的六级标准，结合集团公司的实际情况，将集团公司的信息系统按数据重要性和应用时效性进行分类，重要信息系统达到五级标准，总体达到四级标准。如果集团公司数据中心出现重大灾难性损失，可以达到重要信息系统数据基本不丢失（当天数据可恢复）、一般信息系统数据少量丢失（上周数据可恢复）的目标。灾备中心建设要充分考虑可扩展性，并与集团公司主数据中心设计能力相匹配。在主中心暂停服务期间，灾备中心能够提供基本的应用系统服务和数据查询工作。

3.1.2 灾备中心机房

灾备中心机房达到《电子信息系统机房设计规范》（GB 50174-2008）B级要求，保持7×24小时运行，设计能力达到集团公司主数据中心机房设计能力的50%。

机房建设包括装饰装修工程、UPS及配电系统工程、UPS设备、空调及新风、机房空调设备、消防排烟系统工程、综合布线系统、门禁系统、视频监控系统、动力环境监控系统、大屏系统、KVM系统、火灾自动报警系统、气体灭火系统工程、屏蔽机房工程、电力增容扩容、消防监控系统改造等工程。

3.1.3 灾备信息系统

按照数据重要性和应用时效性分类，集团公司现有需要实时备份的重要信息系统的灾备系统在数据方面达到国家5级标准，即实时数据远程传输备份，其他信息系统可以采用每周备份的方式。

目前远程数据复制有如下几种实现方式：

（1）基于数据库的复制技术。这种复制技术按方式可分为实时复制、定时复制和存储转发复制。该技术要求主机同构，存储可异构，数据库系统不同对于同构性要求也有所不同。

（2）基于主机的远程数据复制技术。这种方式主要是基于应用系统、卷管理器或者备份软件实现，存储系统可以异构，但主机的操作系统一般同构。基于主机的远程复制对主机性能有较大影响。

（3）基于智能存储的远程数据复制技术。这种方式的优势在于数据复制软件运行在存储系统内，操作控制比较简单，且能够实现很高的容灾恢复目标RTO和数据恢复时间点目标RPO。但对备份中心的存储系统有严格的兼容性要求，一般需要來自同一个厂家的存储系统，这样对备份中心存储设备的选型带来了限制。

（4）基于光纤交换机存储虚拟化的远程数据复制技术。这种方式需要光纤交换机和存储系统协调一致，设备选择余地小，成本高，管理复杂。

综合系统效能等因素，互联网的实时灾备系统可采用基于智能存储的远程数据复制技术方案。

3.2 自建机房+“云灾备”设计方案（方案2）

3.2.1 灾备中心机房

灾备中心机房达到《电子信息系统机房设计规范》（GB 50174-2008）B级要求，保持7×24小时运行，设计能力达到集团公司主数据中心机房设计能力的30%。互联网区域则采用“云灾备”模式，租用公有云服务设备完成，从而减少了对自建机房的要求。

3.2.2 灾备信息系统

灾备信息系统由自建系统和灾备云两部分组成。

自建系统主要采用基于智能存储的远程数据复制技术方案。基于互联网的信息系统则采用租用“云计机”和“云存储”设备，达到数据级灾备国家五级标准，即实时数据远程传输备份。其他信息系统可以采用每周备份的方式。

从整体虚拟化架构布局等因素考虑，云灾备中心将采用VMware或Hyper-V；集团公司本地机房与云灾备中心之间的网络畅通，保障数据的传输。

3.2.3 信息安全防护

云平台建立专门的安全保障体系，实现从接入层、传输层、数据存储层、应用层、运维层的全方位信息安全保障，目前云平台国家信息安全已满足国家信息安全等保三级标准。可提供流量清洗、服务器安全卫士、云堡垒机、云WAF、漏洞扫描、渗透测试等服务，对云主机本身、系统漏洞、WEB应用等提供不同层面的安全服务。

3.3 改造现有机房方案（方案3）

适当改造现有机房。

4 结 语

三种灾备中心的建设方案各具特点，但综合集团公司各方面的因素，个人认为自建机房+“云灾备”的方案更适合企业未来发展的要求。

主要参考文献

[1]国家质量监督检验检疫总局.GB/T 20988-2007 信息安全技术信息系统灾难恢复规范[S].2007.

[2]王咏霖，朱满彪.新时代互联网的应用和发展研究[J].通讯世界，2017（10）：61-62.

[3]熊海清.网络环境下企业数据备份与容灾问题的探讨[J].铝加工，2010（2）：47-52.