（檔案學(xué)專業(yè)論文）檔案信息系統(tǒng)災(zāi)難恢復(fù)研究.pdf

檔案信息系統(tǒng)災(zāi)難恢復(fù)研究中文提要 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究 中文提要 2 0 0 8 年是多災(zāi)多難的一年 年初的南方雪災(zāi) 5 1 2 汶川大地震無不令國人震驚 災(zāi)難中 傳承文明 承載歷史的檔案亦飽受重創(chuàng) 而現(xiàn)實是傳統(tǒng)的檔案后庫已經(jīng)棄置 不用 數(shù)字檔案的備份狀況也不容樂觀 檔案館如何能夠在災(zāi)難后盡快恢復(fù)檔案信息 服務(wù) 成為一個非常有價值的研究課題 本文借鑒已有研究成果 進(jìn)行了檔案信息系統(tǒng)災(zāi)難恢復(fù)的初步研究和探討 全文 共分為五部分 第 部分為緒論 第二部分介紹信息系統(tǒng)災(zāi)難恢復(fù)的基本概念 分類 和體系結(jié)構(gòu) 第三部分是本文的重點 首先討論了檔案信息系統(tǒng)災(zāi)難恢復(fù)的必要性及 其組織管理 建設(shè)原則 然后基于檔案信息系統(tǒng)災(zāi)難恢復(fù)需求分析 給出了災(zāi)備系統(tǒng) 和災(zāi)各中心的方案選擇 第四部分主要討論災(zāi)難恢復(fù)預(yù)案的內(nèi)容及其管理 最后一部 分為結(jié)束語 關(guān)鍵詞 檔案信息系統(tǒng)災(zāi)難恢復(fù)預(yù)案 作者 張永生 指導(dǎo)教師 項文新 s t u d y o nd i s a s t e rr e c o v e r yo f a r c h i v e si n f o r m a t i o ns y s t e ma b s t r a a s t u d y o nd i s a s t e rr e c o v e r yo f a r c h i v e si n f o r m a t i o ns y s t e m a b s t r a c t w eh a v ee x p e r i e n c e dm a n yd i s a s t e r si n2 0 0 8 a tt h eb e g i n n i n go ft h ey e a ras n o w h a v o ch i ts o u t h e r nc h i n a f o l l o w e db yas t r o n ge a r t h q u a k ei nw e n c h u a no nm a y 12 w h i c ha s t o n i s h e dt h ew h o l ew o r l d d u r i n gt h i sp e r i o d a r c h i v e s w h i c hi n h e r i t sc h i n e s e c i v i l i z a t i o na n dh i s t o r yw e r ea l s od a m a g e ds e r i o u s l y t h et r u t hi st h a tt h et r a d i t i o n a l a r c h i v eb a s eh a ss t o p p e du s i n ga n dt h eb a c ku po fd a t ai sn o to p t i m i s t i c h o wt or e c o v e r t h ea r c h i v ei n f o r m a t i o ns e r v i c ei nt h ea r c h i v e sa ss o o na sp o s s i b l eh a sb e c o m eav e r y v a l u a b l es u b j e c tf o rr e s e a r c h t h i sp a p e rh a sc a r r i e do u ts o m ei n i t i a ld i s c u s sa n de x p l o r a t i o no nt h e d i s a s t e r r e c o v e r yo fa r c h i v e si n f o r m a t i o ns y s t e mo nt h eb a s i so ft h er e s e a r c hf i n d i n g s t h e r ea r e5 p a r t si nt h i sp a p e r t h ef i r s tp a r ti si n t r o d u c t i o n t h es e c o n dp a r ti sa b o u t t h ek e yc o n c e p t c l a s s i f i c a t i o na n da r c h i t e c t u r eo f t h ed i s a s t e rr e c o v e r yo fi n f o r m a t i o ns y s t e m t h et h i r dp a r t i st h ek e y p o i n to ft h i sp a p e r i nt h i sp a r tt h ee s s e n c ea n dt h ep r i n c i p l eo fo r g a n i z a t i o na n d c o n t r i b u t i o nh a v eb e e nd i s c u s s e df i r s t l y t h e nt h i sp a r tp u t so nt h ep r o j e c to ft h ed i s a s t e r r e c o v e r ys y s t e ma n dd i s a s t e rr e c o v e r yc e n t e rf o rc h o i c eo nt h eb a s i so fd e m a n da n a l y s i so f t h ea r c h i v ei n f o r m a t i o ns y s t e m sd i s a s t e rr e c o v e r y t h ef o u r t hp a r tf o c u so nt h ec o n t e n t a n dt h em a n a g e m e n to fd i s a s t e rr e c o v e r yp r e p a r e d n e s s t h el a s tp a r ti sas u m m a r yo ft h i s p a p e r k e yw o r d s a r c h i v e si n f o r m a t i o ns y s t e m d i s a s t e rr e c o v e r y p r e p a r e d n e s s 1 1 w r i t t e n b y z h a n gy o n g s h e n g s u p e r v i s e db y x i a n gw e n x i n 蘇州大學(xué)學(xué)位論文獨創(chuàng)性聲明及使用授權(quán)聲明 學(xué)位論文獨創(chuàng)性聲明 本人鄭重聲明 所提交的學(xué)位論文是本人在導(dǎo)師的指導(dǎo)下 獨立進(jìn)行研究工作所 取得的成果 除文中已經(jīng)注明引用的內(nèi)容外 本論文不含其他個人或集體已經(jīng)發(fā)表或 撰寫過的研究成果 也不含為獲得蘇州大學(xué)或其它教育機(jī)構(gòu)的學(xué)位證書而使用過的材 料 對本文的研究作出重要貢獻(xiàn)的個人和集體 均已在文中以明確方式標(biāo)明 本人承 擔(dān)本聲明的法律責(zé)任 研究生簽名 李叢塑斃 日 學(xué)位論文使用授權(quán)聲明 蘇州大學(xué) 中國科學(xué)技術(shù)信息研究所 國家圖書館 清華大學(xué)論文合作部 中國 社科院文獻(xiàn)信息情報中心有權(quán)保留本人所送交學(xué)位論文的復(fù)印件和電子文檔 可以采 用影印 縮印或其他復(fù)制手段保存論文 本人電子文檔的內(nèi)容和紙質(zhì)論文的內(nèi)容相一 致 除在保密期內(nèi)的保密論文外 允許論文被查閱和借閱 可以公布 包括刊登 論 文的全部或部分內(nèi)容 論文的公布 包括刊登 授權(quán)蘇州大學(xué)學(xué)位辦辦理 研究生簽名 導(dǎo)師簽名 日 獬 遜 i 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第1 章緒論 1 1 選題緣起 第1 章緒論 進(jìn)入2 0 0 8 年 中國飽受災(zāi)難 年初 暴雪肆虐 五十年不遇的災(zāi)難在春節(jié)前夕 降臨中華大地 5 1 2 汶川大地震的突然爆發(fā) 讓無數(shù)華夏子民的生命 從此定格 災(zāi)難中 擔(dān)負(fù)傳承文明重?fù)?dān)的檔案亦受重創(chuàng) 5 1 2 特大地震造成了檔案工作者傷 亡 共有9 個檔案館毀壞 3 8 個檔案館嚴(yán)重?fù)p壞 5 6 個檔案館損壞 有9 0 萬卷檔案 被掩埋 1 5 1 萬卷檔案受損 其中北川縣檔案館完全倒塌 館藏8 萬卷檔案被泥石流 掩埋 痛定之余 檔案界涌現(xiàn)一輪關(guān)于檔案抗震防災(zāi)討論的熱潮 其中一個關(guān)注的焦點 是數(shù)字檔案及其異地備份在抗震救災(zāi)機(jī)制中的作用 異地備份 思想檔案界早已有 之 從上世紀(jì)六十年代許多檔案館為備戰(zhàn)而建立的后庫 到近年的國家標(biāo)準(zhǔn) 電子文 件歸檔與管理規(guī)范g b t1 8 8 9 4 2 0 0 2 中指出 把帶有歸檔標(biāo)識的電子文件集中 拷貝至耐久性好的載體上 一式3 套 一套封存保管 一套供查閱使用 一套異地保 存 都體現(xiàn)了異地備份的思想 只是面臨災(zāi)難 我們才發(fā)現(xiàn)我們做的遠(yuǎn)遠(yuǎn)不夠 近 二三十年 隨著戰(zhàn)爭危險的減弱 很多檔案館的后庫都已經(jīng)棄置不用 而數(shù)字檔案的 備份狀況也不容樂觀 據(jù)劉家真教授于2 0 0 5 年所做調(diào)查 檔案館系統(tǒng)內(nèi)對數(shù)字檔案 做本地備份 本地保存的有1 0 7 1 本地備份 同城異地保存?zhèn)浞莸挠? 0 7 1 當(dāng) 災(zāi)難來臨 前一種備份方式根本就起不到保護(hù)作用 后一種備份方式應(yīng)對影響范圍較 小的災(zāi)難還算有效 但是碰到汶川大地震這樣的災(zāi)難 一樣是在劫難逃 檔案事業(yè)發(fā)展 十一五 規(guī)劃 以下簡稱 規(guī)劃 提出 采取一切必要措施 提高檔案館 檔案室抵御自然災(zāi)害和危及檔案安全的突發(fā)事件的能力 建立完備的 檔案信息數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制 確保檔案信息數(shù)據(jù)安全 在這種情況下 開展 檔案信息系統(tǒng)災(zāi)難恢復(fù)的研究應(yīng)具有較高的價值 適逢畢業(yè)論文選題 導(dǎo)師給了我做 這方面研究的建議 現(xiàn)在回想起來 不禁為導(dǎo)師的高瞻遠(yuǎn)矚所折服 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第1 章緒論 1 2 國內(nèi)外研究與應(yīng)用現(xiàn)狀 1 2 1 信息系統(tǒng)災(zāi)難恢復(fù)的發(fā)展歷史 2 0 0 7 年1 1 月1 日正式實施的國家標(biāo)準(zhǔn) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范g b t 2 0 9 8 8 2 0 0 7 以下簡稱 規(guī)范 將災(zāi)難恢復(fù)定義為 為了將信息系統(tǒng)從災(zāi)難造成的 故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài) 并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常 狀態(tài)恢復(fù)到可接收的狀態(tài) 而設(shè)計的活動和流程 災(zāi)難備份和恢復(fù)的概念最先起源于美國 2 0 世紀(jì)5 0 年代 公司為了在另外的 站點上備份關(guān)鍵數(shù)據(jù) 文檔等電子資源 開始出現(xiàn)了災(zāi)難恢復(fù) d i s a s t e rr e c o v e r y 的概 念 到了6 0 年代 由于數(shù)據(jù)量的猛增 公司備份和存儲的頻率從每周一次上升到每 天一次 1 o1 9 7 9 年 s u n g a r d 公司在美國費(fèi)城建立了全世界第一個第三方災(zāi)備中心 這是災(zāi)備行業(yè)形成的歷史性標(biāo)志 此后十余年間 美國的災(zāi)難恢復(fù)行業(yè)得到了快速發(fā) 展 擁有超過1 0 0 家災(zāi)難備份服務(wù)商 從1 9 8 2 年到1 9 9 8 年的約1 6 年間 災(zāi)難恢復(fù) 預(yù)案在大型災(zāi)難面前越來越捉襟見肘 業(yè)務(wù)連續(xù)規(guī)劃進(jìn)入世人視野 災(zāi)難恢復(fù)發(fā)展的 動力最初主要來自金融行業(yè) 另外還有政府 軍隊 電信行業(yè)等 據(jù)c p r c o n t i n g e n c y p l a n n i n gr e s e a r c h 估計 美國災(zāi)難恢復(fù)行業(yè)的年銷售額中有4 5 來自金融行業(yè) 同時 來自行業(yè)的監(jiān)管促使災(zāi)難恢復(fù)不斷向前發(fā)展 早在1 9 8 3 年 美國o c c 財政部金融 局 就發(fā)布了指引要求銀行制定并維護(hù)災(zāi)難恢復(fù)計劃 聯(lián)邦金融機(jī)構(gòu)檢查委員會1 9 8 9 年要求銀行對災(zāi)難恢復(fù)計劃進(jìn)行測試 維護(hù)和演習(xí) 1 9 9 7 年規(guī)定金融機(jī)構(gòu)的董事會 和高層管理人員直接對災(zāi)難恢復(fù)計劃負(fù)責(zé) 1 9 9 3 年 美國聯(lián)邦政府發(fā)布了國家自動 化信息資源安全條例 要求所有政府部門對多方面系統(tǒng)和信息進(jìn)行災(zāi)難恢復(fù)和業(yè)務(wù)連 續(xù)性準(zhǔn)備 9 1 1 事件對美國造成了嚴(yán)重的打擊 災(zāi)難恢復(fù)受到前所未有的關(guān)注 并 上升到業(yè)務(wù)連續(xù)性管理 z 國內(nèi)信息安全產(chǎn)業(yè)起步于1 9 9 9 2 0 0 0 年左右 災(zāi)難恢復(fù)則稍晚 國內(nèi)首家災(zāi)難恢 復(fù)服務(wù)商g d s g l o b a ld a t as o l u t i o n sl i m i t e d 萬國數(shù)據(jù)服務(wù)有限公司成立于2 0 0 0 年 其首席災(zāi)備服務(wù)顧問汪琪是大陸首位獲頒國際災(zāi)難恢復(fù)協(xié)會c b c p 認(rèn)證的業(yè)務(wù)連 續(xù)管理專家 2 0 0 3 年的中辦2 7 號文 國家信息領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作 1 林中水 政府推動下的災(zāi)難恢復(fù)發(fā)展陰 信息網(wǎng)絡(luò) 2 0 0 s 7 2 國外災(zāi)難恢復(fù)發(fā)展歷史參考了 王渝次 信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃及實施 m 北京 北京交通大學(xué)出版社 2 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第l 章緒論 的意見 要求各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)要充分考慮抗毀性與災(zāi)難恢復(fù) 制定和 不斷完善信息安全應(yīng)急處置預(yù)案 為貫徹上述精神 國務(wù)院信息辦在調(diào)查研究的基礎(chǔ) 上 于2 0 0 4 年9 月印發(fā) 關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知 通知對做好 國家重要信息系統(tǒng)災(zāi)難備份工作的目標(biāo) 原則和近期任務(wù)提出了明確要求 為推動八 大重點行業(yè)加快災(zāi)難恢復(fù)建設(shè)工作 2 0 0 5 年4 月國務(wù)院信息化工作辦公室印發(fā) 重 要信息系統(tǒng)災(zāi)難恢復(fù)指南 以下簡稱 指南 指南 明確了災(zāi)難恢復(fù)工作的流程 災(zāi)備工作的等級劃分與災(zāi)難恢復(fù)預(yù)案的制定等 使我國的災(zāi)難恢復(fù)建設(shè)水平迅速抬 升 指南 于2 0 0 7 年升級為國家標(biāo)準(zhǔn) 規(guī)范 并于2 0 0 7 年1 1 月1 日起正式實施 目前北京 上海 深圳 杭州 廈門等地已建成或正在建設(shè)災(zāi)備中心 八大重點行業(yè) 均已經(jīng)建成災(zāi)備中心 銀行業(yè)還進(jìn)行了多次災(zāi)備演練 2 0 0 6 年1 月1 4 日凌晨0 點至 1 5 日凌晨1 點 民生銀行科技部 會計部和稽核部等相關(guān)部門共同進(jìn)行了一次為期 2 5 小時的核心業(yè)務(wù)系統(tǒng)災(zāi)難恢復(fù)演練 對其核心業(yè)務(wù)系統(tǒng)和生產(chǎn)網(wǎng)絡(luò)進(jìn)行了成功的 系統(tǒng)切換 2 0 0 8 年7 月1 9 日至2 0 日 交通銀行在多次切換演練的基礎(chǔ)上 成功實 施數(shù)據(jù)中心和備份中心的切換運(yùn)行 這在國內(nèi)大型銀行中尚屬首例 整個切換過程實 現(xiàn)了零數(shù)據(jù)丟失 切換和回切均在2 小時之內(nèi)完成 各項業(yè)務(wù)處理系統(tǒng)在備份中心運(yùn) 行期間系統(tǒng)穩(wěn)定 營業(yè)正常 這標(biāo)志著我國商業(yè)銀行災(zāi)難備份體系建設(shè)跨入了國際先 進(jìn)行列 1 2 2 相關(guān)的主要國際組織與標(biāo)準(zhǔn) 國際災(zāi)難恢復(fù)協(xié)會d r i i d i s a s t e rr e c o v e r yi n s t i t u t ei n t e r n a t i o n a l 負(fù)責(zé)維護(hù)災(zāi)難 恢復(fù)行業(yè)的普通知識 并開展相應(yīng)的培訓(xùn) 為業(yè)務(wù)連續(xù)性專業(yè)人員提供認(rèn)證 其推出 的 p r o f e s s i o n a lp r a c t i c e sf o rb u s i n e s sc o n t i n u i t yp r a c t i t i o n e r 業(yè)務(wù)連續(xù)性從業(yè)者專業(yè) 實務(wù) 中定義了業(yè)務(wù)連續(xù)性從業(yè)人員所需的共同知識體系 共分為十個專題領(lǐng)域 項 目啟動和管理 風(fēng)險評估和控制 業(yè)務(wù)影響分析 制定業(yè)務(wù)連續(xù)性策略 應(yīng)急響應(yīng)和 運(yùn)作 制定和實施業(yè)務(wù)連續(xù)性計劃 意識培養(yǎng)和培訓(xùn)項目 業(yè)務(wù)連續(xù)性計劃的演練審 計與維護(hù) 公共關(guān)系和危機(jī)通信 與外部機(jī)構(gòu)的協(xié)作 1 每個專題領(lǐng)域都包含專題領(lǐng) 域的描述 專業(yè)角色和專家在該領(lǐng)域應(yīng)具備知識的要點 英國業(yè)務(wù)連續(xù)性協(xié)會b c i b u s i n e s sc o n t i n u i t yi n s t i t u t e 成立于19 9 4 年 目前在 全球8 5 個國家擁有超過4 0 0 0 名的災(zāi)難恢復(fù) 業(yè)務(wù)連續(xù)性領(lǐng)域的專家會員 其致力于 1 p r o f e s s i o n a lp r a c t i c e s e b o l 2 0 0 8 i o h t t p s w w w d r i i o r g p r o f e s s i o n a l p r a c i n d e x p h p 3 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第1 章緒論 促進(jìn)行業(yè)專業(yè)能力的業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)和商業(yè)規(guī)范的開發(fā)與維護(hù) 2 0 0 3 年3 月 b c i 發(fā)布 b sp a s5 6 2 0 0 3 企業(yè)連續(xù)性管理指南 指南說明了業(yè)務(wù)連續(xù)性管理的過程 原則和術(shù)語 描述了確定業(yè)務(wù)連續(xù)性管理過程中的活動和結(jié)果 并提供了一系列關(guān)于 最佳業(yè)務(wù)連續(xù)性管理的建議 事件預(yù)期 事件反應(yīng) 評估技術(shù) 標(biāo)準(zhǔn)等 2 0 0 6 年1 2 月該指南上升為英國標(biāo)準(zhǔn) b s2 5 9 9 9 1c o d eo fp r a c t i c e 這是全球第一個業(yè)務(wù)連續(xù) 性管理的框架標(biāo)準(zhǔn) 2 0 0 7 年1 1 月b s2 5 5 9 9 1 的認(rèn)證標(biāo)準(zhǔn) b s2 5 9 9 9 2s p e c i f i c a t i o n 推出 國際標(biāo)準(zhǔn)化組織i s o 作為世界上最大的非政府性標(biāo)準(zhǔn)化專門機(jī)構(gòu) 在其推出的 i s o i e c1 7 7 9 9 2 0 0 5 信息安全管理實施指南 中第1 4 部分專門討論了業(yè)務(wù)連續(xù)性 管理 目前國際上比較通用的信息系統(tǒng)災(zāi)難恢復(fù)等級標(biāo)準(zhǔn)是由美國s h a r e 用戶組和 i b m 公司于1 9 9 2 年共同提出的災(zāi)難恢復(fù)等級概要s h a r e7 8 標(biāo)準(zhǔn) 它將災(zāi)難恢復(fù)的 等級從低到高分為七級 即從低到高有七種不同的災(zāi)難恢復(fù)解決方案 分別適用于不 同的系統(tǒng)規(guī)模和應(yīng)用場合 在1 9 9 2 年美國阿納海姆市 a n a h e i m 召開的s h a r e7 8 m 0 2 8 會議報告上 災(zāi)難恢復(fù)等級被分為如下7 層 0 級 沒有異地數(shù)據(jù) n oo f f s i t e d a t a 1 級 p t a m 卡車運(yùn)送訪問方式 p i c k u pt r u c ka c c e s sm e t h o d 2 級 p t a m 卡車運(yùn)送訪問方式 熱備份中心 p 彈蝴 h o tc e n t e r 3 級 電子鏈接 e l e c t r o n i c v a u l t i n g 4 級 活動狀態(tài)的備份中心 a c t i v es e c o n d a r yc e m e r 5 級 兩中心兩階段 提交 t w o s i t et w o p h a s ec o m m i t 6 級 零數(shù)據(jù)丟失 z e r od a t al o s s 1 2 3 檔案界相關(guān)研究與應(yīng)用 根據(jù)筆者掌握的資料 目前檔案界關(guān)于檔案信息系統(tǒng)災(zāi)難恢復(fù)研究的文獻(xiàn)不多 在中國期刊網(wǎng) 筆者使用 檔案信息系統(tǒng) 和 災(zāi)難恢復(fù) 為檢索詞 用主題檢索方 式 僅找到兩篇相關(guān)文獻(xiàn) 這一情況與目前災(zāi)難恢復(fù)研究在國內(nèi)尚處于起步階段 術(shù) 語尚有待規(guī)范有關(guān) 筆者擴(kuò)大檢索范圍 并對檢索結(jié)果進(jìn)行分析歸納 近年檔案界對 檔案信息系統(tǒng)災(zāi)難恢復(fù)領(lǐng)域的研究主要集中在兩個大類 1 從比較綜合 概括的層面對檔案信息系統(tǒng)災(zāi)難恢復(fù)進(jìn)行了研究 文獻(xiàn)1 5 從數(shù) 字檔案館發(fā)生災(zāi)難的原因入手 構(gòu)建容災(zāi)1 系統(tǒng) 探討容災(zāi)系統(tǒng)的管理 分析建立容 1 作者注 容災(zāi)可理解為容忍災(zāi)難而實施的各種應(yīng)對及恢復(fù)措施 在許多相關(guān)研究文獻(xiàn)中 容災(zāi)就是災(zāi)難恢復(fù)的 代名詞 4 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第1 章緒論 災(zāi)系統(tǒng)的意義 內(nèi)容和方法 文獻(xiàn)1 9 從介紹災(zāi)難恢復(fù)相關(guān)概念開始 對電子文件恢 復(fù)系統(tǒng)的設(shè)計 建設(shè)模式 升級問題進(jìn)行了研究 文獻(xiàn)2 0 分析了檔案災(zāi)備系統(tǒng)的必 要性 可能性與現(xiàn)實性和容災(zāi)策略 然后給出相應(yīng)的容災(zāi)案例 文獻(xiàn)2 4 全面介紹容 災(zāi)概念 容災(zāi)級別以及檔案信息容災(zāi)系統(tǒng)的構(gòu)建 文獻(xiàn)3 0 從災(zāi)難風(fēng)險測度 災(zāi)備級 別設(shè)計 災(zāi)備距離選擇 災(zāi)備模式及長效機(jī)制幾個角度介紹了災(zāi)難備份 然后在文獻(xiàn) 資源災(zāi)難與風(fēng)險分析的基礎(chǔ)上 給出文獻(xiàn)資源的災(zāi)備方案選擇 2 從各個不同的視角對檔案信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)及管理進(jìn)行了分析研究 具 體來說 主要有以下幾個方面 從影響檔案的災(zāi)難風(fēng)險研究的角度 比如文獻(xiàn)2 2 文獻(xiàn)2 6 文獻(xiàn)等3 2 從災(zāi)難恢復(fù)建設(shè)必要性 重要性的角度 比如文獻(xiàn)1 6 文獻(xiàn)2 3 文獻(xiàn)3 4 從災(zāi)備中心 基地 的構(gòu)建策略 建設(shè)模式和運(yùn)維管理的角度 比如文獻(xiàn) 2 6 文獻(xiàn)2 9 文獻(xiàn)3 6 從具體災(zāi)備系統(tǒng)的選擇 實現(xiàn)方式的角度 如文獻(xiàn)2 7 文獻(xiàn) 3 3 文獻(xiàn)3 4 文獻(xiàn)3 5 文獻(xiàn)3 8 文獻(xiàn)3 7 在介紹容災(zāi)管理基本概念和關(guān)鍵技術(shù)之后 獨辟蹊徑 提出了檔案信息容災(zāi)管理的w p d r r 模型 目前檔案行業(yè)進(jìn)行災(zāi)難恢復(fù)建設(shè)的少之又少 據(jù)筆者掌握的公開資料 上海市檔 案局 館 使用o r a c l e 鏡像代理與文件系統(tǒng)鏡像代理單向復(fù)制仙霞館的檔案信息資 源到外灘館的鏡像存儲服務(wù)器上 實現(xiàn)了近距災(zāi)備 武漢市檔案局采用全光纖s a n 存儲架構(gòu)和雙機(jī)互各方式 構(gòu)建了檔案信息數(shù)據(jù)應(yīng)急響應(yīng)與災(zāi)難備份系統(tǒng) 先后投資 了10 0 多萬元 福建省檔案館在新館建設(shè)規(guī)劃中 明確將建設(shè)電子文件與電子檔案數(shù) 據(jù)備份與災(zāi)難恢復(fù)系統(tǒng) 實現(xiàn)所接收的電子文件與電子檔案數(shù)據(jù)的多載體形式備份保 存 提供及時 有效的在線災(zāi)難恢復(fù)服務(wù) 同時為全省各級國家檔案館提供電子文件 與電子檔案異地備份保存服務(wù) 1 3 本文主要結(jié)構(gòu) 本文借鑒已有研究成果 進(jìn)行了檔案信息系統(tǒng)災(zāi)難恢復(fù)的初步研究和探討 檔案 信息系統(tǒng)災(zāi)難備份與恢復(fù)是檔案信息安全的最后一道 殺手锏 當(dāng)災(zāi)難來臨 所有 的保護(hù)措施都失去作用的時候 只有進(jìn)行了災(zāi)難恢復(fù)建設(shè)的檔案館才能保證檔案信息 數(shù)據(jù)不丟失 才能盡快恢復(fù)檔案服務(wù) 本文大體結(jié)構(gòu)和研究內(nèi)容如下 第一部分 緒論 本章主要介紹本研究的選題緣起 災(zāi)難恢復(fù)發(fā)展的歷史和檔案 界相關(guān)的研究與應(yīng)用 5 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第1 章緒論 第二部分 信息系統(tǒng)災(zāi)難恢復(fù)概述 本章闡述信息系統(tǒng)災(zāi)難恢復(fù)的概念及相關(guān)概 念區(qū)分 災(zāi)難恢復(fù)分類和災(zāi)難恢復(fù)的體系結(jié)構(gòu) 為之后兩章的研究做理論鋪墊 第三部分 檔案信息系統(tǒng)災(zāi)難備份中心建設(shè) 本章是全文的重點 首先分析了檔 案信息系統(tǒng)災(zāi)難恢復(fù)的必要性 然后給出災(zāi)難恢復(fù)建設(shè)的組織管理 建設(shè)原則 最后 基于檔案信息系統(tǒng)災(zāi)難恢復(fù)需求分析 進(jìn)行了災(zāi)備系統(tǒng)和災(zāi)備中心的建設(shè)方案選擇 第四部分 檔案信息系統(tǒng)災(zāi)難恢復(fù)中的應(yīng)急預(yù)案 本章首先介紹國家應(yīng)急預(yù)案體 系 給出了檔案信息系統(tǒng)災(zāi)難恢復(fù)預(yù)案的定義及編制原則 之后結(jié)合相關(guān)文件要求 分析了災(zāi)難恢復(fù)預(yù)案的主要內(nèi)容 最后對災(zāi)難恢復(fù)預(yù)案的培訓(xùn) 維護(hù)和演練進(jìn)行了簡 要的闡述 第五部分 結(jié)束語 本章總結(jié)概括本文的研究觀點 指出本文的不足之處以及今 后的努力方向 6 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 2 1 信息系統(tǒng)災(zāi)難恢復(fù)概念及相關(guān)概念區(qū)分 2 1 1 災(zāi)難定義 在i t 領(lǐng)域 對于一個信息系統(tǒng)而言 一切引起系統(tǒng)非正常停機(jī)的事件都可以稱 之為災(zāi)難1 規(guī)范 從災(zāi)難給信息系統(tǒng)造成的影響來定義災(zāi)難 由于人為或自然的原 因 造成信息系統(tǒng)嚴(yán)重故障或癱瘓 使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可 接受 達(dá)到特定的允許中斷時間的突發(fā)性事件 災(zāi)難通常導(dǎo)致信息系統(tǒng)需要切換到災(zāi) 備中心運(yùn)行 d i c t i o n a r y c o r n 對災(zāi)難的定義如下 造成大范圍損害和危難的事件 或者一起嚴(yán) 重的不幸事件 這個定義不僅適合于機(jī)構(gòu)中的信息技術(shù)部門 同樣也適合一個機(jī)構(gòu)的 所有部門 災(zāi)難不僅對一個機(jī)構(gòu)的信息技術(shù)部門的資源造成破壞 往往對機(jī)構(gòu)業(yè)務(wù)的 多方面 往往是全方位造成破壞 對檔案部門來說 災(zāi)難可以理解為由于自然事件或 人為事件導(dǎo)致檔案信息資源無法獲得的一種狀態(tài) 該狀態(tài)的持續(xù)時間足以造成重大的 破壞 該破壞將導(dǎo)致檔案部門所保存檔案信息的徹底丟失或無法提供檔案服務(wù) 典型的災(zāi)難事件是自然災(zāi)難 如荒地火災(zāi) 有別于人為引起的火災(zāi) 洪水 地 震 颶風(fēng) 龍卷風(fēng) 火山爆發(fā) 雷暴和閃電等 還有其他原先提供給業(yè)務(wù)運(yùn)營所需的 服務(wù)中斷 如設(shè)備故障 c p u 磁盤損壞等 軟件錯誤 通信中斷和動力線被破壞 等等 此外 人為的因素往往也會釀成大禍 如危險物質(zhì) 毒氣或石油泄露 建筑 物火災(zāi) 恐怖主義襲擊 操作錯誤 破壞 植入有害代碼等等 2 1 2 災(zāi)難恢復(fù)定義 特點 規(guī)范 中災(zāi)難恢復(fù)定義如下 為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài) 恢復(fù)到可正常運(yùn)行狀態(tài) 并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接 受狀態(tài) 而涉及的活動和流程 災(zāi)難恢復(fù)的目的是減輕災(zāi)難事件給機(jī)構(gòu)和社會帶來的損失 保證信息系統(tǒng)所保存 的數(shù)據(jù)和支持的關(guān)鍵業(yè)務(wù)功能在災(zāi)難發(fā)生后能及時恢復(fù)和繼續(xù)運(yùn)行 1 王樹鵬 云曉春 余翔湛等 容災(zāi)的理論與關(guān)鍵技術(shù)分析 j 計算機(jī)工程與應(yīng)用 2 0 0 4 2 8 5 4 7 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 信息系統(tǒng)的災(zāi)難恢復(fù)工作范圍從災(zāi)難前的事先計劃 災(zāi)備中心建設(shè) 災(zāi)備中心運(yùn) 行維護(hù)到災(zāi)難發(fā)生后的應(yīng)急安排 關(guān)鍵功能在災(zāi)備中心的恢復(fù)運(yùn)行 主中心的重建和 業(yè)務(wù)回切等工作 根據(jù)災(zāi)難恢復(fù)的目標(biāo)和內(nèi)涵 災(zāi)難恢復(fù)的主要特點可以歸納為以下四點 災(zāi)難恢復(fù)是為低概率 高風(fēng)險事件所準(zhǔn)備的 災(zāi)難是小概率事件 大多數(shù)情 況下 災(zāi)備資源處于閑置狀態(tài) 但當(dāng)災(zāi)難來臨時 若災(zāi)難備份中心不能正常發(fā)揮作用 將對機(jī)構(gòu)和社會造成巨大的影響 甚至對某些機(jī)構(gòu)來說 是1 0 0 的損失 整個機(jī)構(gòu) 遭受滅項之災(zāi) 災(zāi)難恢復(fù)系統(tǒng)建設(shè)高投入 運(yùn)維成本高 構(gòu)建災(zāi)備中心需要與主中心類似的 軟硬件設(shè)備系統(tǒng)投入 公共建設(shè)投入 人力投入等 并需時時保證計算機(jī)系統(tǒng)的高可 用性 同時在運(yùn)維期間 各種先進(jìn)設(shè)備設(shè)施的維護(hù) 更新以及相應(yīng)專技人員的管理成 本也相對較高 災(zāi)難恢復(fù)建設(shè)難度高 1 災(zāi)備中心選址難 例如北京市政務(wù)信息系統(tǒng)災(zāi)備 中心的選址歷時兩年多 項目組成員通過朋友咨詢 上網(wǎng)搜索 電話查詢等多種渠道 尋找了幾十個地塊 僅實地考察的就有十幾個 最終才敲定選址1 災(zāi)備中心選擇不 僅要考慮避免和主中心遭受同類災(zāi)難 還應(yīng)具備便利的電力 交通 通信 生活等條 件 2 災(zāi)難恢復(fù)建設(shè)涉及的流程多 技術(shù)復(fù)雜 對相關(guān)人員的要求高 災(zāi)難恢復(fù)建 設(shè)歷經(jīng)項目啟動 風(fēng)險分析和業(yè)務(wù)影響分析 恢復(fù)策略確定 策略實施 恢復(fù)計劃擬 定 恢復(fù)計劃的測試部署和災(zāi)難恢復(fù)的維護(hù)及更新 整個過程跨度大 災(zāi)難恢復(fù)團(tuán)隊 的成員須對業(yè)務(wù)和信息系統(tǒng)相當(dāng)熟悉 具有處理各種問題的豐富經(jīng)驗 同時災(zāi)難恢復(fù) 涉及數(shù)據(jù)恢復(fù) 網(wǎng)絡(luò)恢復(fù)和服務(wù)恢復(fù)三個層面的技術(shù) 技術(shù)復(fù)雜度高 對相關(guān)人員的 要求也極高 災(zāi)難備份中心的維護(hù)管理困難 為了保持災(zāi)難備份中心的正常運(yùn)行 災(zāi)備中 心的管理應(yīng)十分規(guī)范和嚴(yán)格 以保障平時的安全運(yùn)行及在發(fā)生災(zāi)難或演練時能夠及時 地接替主中心 同時在不影響災(zāi)難恢復(fù)主業(yè)務(wù)的同時 災(zāi)備還應(yīng)充分發(fā)揮各種資源和 技術(shù)優(yōu)勢 提供社會化服務(wù) 1 張杰 業(yè)務(wù)持續(xù)管理 p c m 一理論與實踐專欄之十七 災(zāi)各中心選址記 j 計算機(jī)用戶 2 0 0 6 3 3 3 6 3 7 8 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 2 1 3 災(zāi)難恢復(fù)與容錯 所謂容錯 就是系統(tǒng)在運(yùn)行過程中 若其某個子系統(tǒng)或部件發(fā)生故障 系統(tǒng)將能 夠自動診斷出故障所在的位置和故障的性質(zhì) 并且自動啟動冗余或備份的子系統(tǒng)或部 件 保證系統(tǒng)能夠繼續(xù)正常運(yùn)行 自動保存或恢復(fù)文件和數(shù)據(jù) 我們應(yīng)該將信息系統(tǒng) 災(zāi)難恢復(fù)與信息系統(tǒng)容錯功能區(qū)分開來 信息系統(tǒng)的容錯功能從表現(xiàn)形式上看與災(zāi)難 恢復(fù)有很多類似之處 或者可以說災(zāi)難恢復(fù)是一種增強(qiáng)級別的系統(tǒng)容錯功能 容錯和災(zāi)難恢復(fù)兩者的共同之處都是為了保證系統(tǒng)的安全可靠 但主要的區(qū)別就 是所針對的導(dǎo)致系統(tǒng)中斷的原因不同 容錯是為了防止網(wǎng)絡(luò)內(nèi)部的某些子系統(tǒng)出現(xiàn)故 障 而災(zāi)難恢復(fù)是為了防止由于自然災(zāi)害等導(dǎo)致的整個系統(tǒng)全部或大部分發(fā)生問題 同時 對于容錯功能來說 冗余系統(tǒng)的兩個并聯(lián)通道是都可以正常發(fā)揮作用的 而對 于災(zāi)難恢復(fù)系統(tǒng)來講 除非是互為備份關(guān)系的主中心和備用中心 否則災(zāi)備系統(tǒng)只有 在整個信息系統(tǒng)遭受到災(zāi)難打擊時才會啟用 換句話說 信息系統(tǒng)的災(zāi)備中心在建設(shè) 完成后備份功能在持續(xù)運(yùn)行 而其災(zāi)難恢復(fù)功能可能永遠(yuǎn)不會被啟動o 2 1 4 災(zāi)難恢復(fù)與數(shù)據(jù)備份 災(zāi)難備份 數(shù)據(jù)備份是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失 而將全部或部 分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲介質(zhì)的過程 數(shù)據(jù)備份是數(shù)據(jù) 保護(hù)的最后一道防線 其目的是為了在數(shù)據(jù)丟失時能夠?qū)υ紨?shù)據(jù)進(jìn)行恢復(fù) 數(shù)據(jù)備 份是災(zāi)難恢復(fù)的基礎(chǔ) 沒有備份數(shù)據(jù) 任何災(zāi)難恢復(fù)建設(shè)都是徒勞 災(zāi)難恢復(fù)不是簡 單的備份 數(shù)據(jù)備份的目的是為了最終的恢復(fù) 所以數(shù)據(jù)備份只是手段 而恢復(fù)才是 目的 災(zāi)難恢復(fù)建設(shè)中不僅要進(jìn)行數(shù)據(jù)備份 還要對數(shù)據(jù)處理系統(tǒng) 網(wǎng)絡(luò)系統(tǒng) 基礎(chǔ)設(shè) 施 技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份 亦即災(zāi)難備份 災(zāi)難備份是災(zāi)難恢復(fù)的 基礎(chǔ)工作也是主要工作 是為了實現(xiàn)災(zāi)難后信息系統(tǒng)的成功恢復(fù)而進(jìn)行的各類備份工 作 災(zāi)難恢復(fù)在災(zāi)難備份之外 還包括災(zāi)難恢復(fù)預(yù)案的制定 培訓(xùn) 維護(hù)和演練等等 更多關(guān)注信息系統(tǒng)服務(wù)的恢復(fù) 2 1 5 災(zāi)難恢復(fù)與業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理 b u s s i n e s sc o n t i n u i t ym a n a g e m e n t b c m 是找出組織有潛在 9 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 影響的威脅及其對組織業(yè)務(wù)運(yùn)行的影響 通過有效的應(yīng)對措施來保護(hù)組織的利益 信 譽(yù) 品牌和創(chuàng)造價值的活動 并為組織提供建設(shè)恢復(fù)能力框架的整體管理過程 業(yè)務(wù) 連續(xù)性管理包括組織在面臨災(zāi)難時對業(yè)務(wù)活動的恢復(fù)和連續(xù)性的管理 以及為保證業(yè) 務(wù)連續(xù)性所進(jìn)行的培訓(xùn) 演練和評審等整個方案的管理 b c m 是一項綜合管理流程 它使機(jī)構(gòu)認(rèn)識到潛在的危機(jī)和相關(guān)影響 制定響應(yīng) 業(yè)務(wù)和連續(xù)性的恢復(fù)計劃 其總 體目標(biāo)是為了提高機(jī)構(gòu)的風(fēng)險防范能力 以有效地響應(yīng)業(yè)務(wù)破壞并降低不良影響 業(yè)務(wù)連續(xù)規(guī)劃 b u s s i n e s sc o n t i n u i t yp l a n n i n g b c p 是一系列事先制定的策略 和規(guī)劃 確保機(jī)構(gòu)在面臨突發(fā)災(zāi)難時關(guān)鍵業(yè)務(wù)功能能持續(xù)運(yùn)行 有效的發(fā)揮作用 以 保證業(yè)務(wù)的正常和持續(xù) b c p 是b c m 的重要組成部分 而災(zāi)難恢復(fù)預(yù)案通常是作為 附件附加在b c p 的后面 2 2 信息系統(tǒng)災(zāi)難恢復(fù)分類 信息系統(tǒng)災(zāi)難恢復(fù)的目的是在災(zāi)難發(fā)生時減少數(shù)據(jù)的丟失和計劃外宕機(jī)的時間 保護(hù)業(yè)務(wù)運(yùn)行的連續(xù)性 根據(jù)不同的災(zāi)難恢復(fù)要求可以將災(zāi)難恢復(fù)分為不同的類型 由于災(zāi)難所包含的內(nèi)容較廣 同時災(zāi)難恢復(fù)所涉及的內(nèi)容也較多 所以可以從多個角 度對災(zāi)難恢復(fù)進(jìn)行分類 2 2 1 從主中心與災(zāi)備中心距離分類 主中心和災(zāi)備中心的距離與信息系統(tǒng)所能抵御的災(zāi)難類型密切相關(guān) 從距離的角 度 也就是從信息系統(tǒng)所能抵御的災(zāi)難的類型來進(jìn)行分類 根據(jù)主中心和災(zāi)備中心的 距離遠(yuǎn)近 可以分為三種類型 即本地 近距和異地災(zāi)難恢復(fù) 這三種建設(shè)類型所能 容忍的災(zāi)難不同 同時所采取的相關(guān)災(zāi)備技術(shù)和災(zāi)備系統(tǒng)的建設(shè)成本也不相同 一般 來講 主中心與災(zāi)備中心之間的距離越遠(yuǎn) 所采用的災(zāi)各技術(shù)越復(fù)雜 災(zāi)備系統(tǒng)的建 設(shè)成本越高 抵御災(zāi)難的能力也隨之增強(qiáng) 2 2 1 1 本地災(zāi)難恢復(fù) 主中心與備用中心一般在同一建筑物或臨近的建筑物內(nèi) 一般通過本地集群技術(shù) 集群是由相互獨立的一些服務(wù)器構(gòu)成 這些服務(wù)器作為一個整體對外提供服務(wù) 對 用戶來說 一個集群的行為就好像一臺服務(wù)器一樣 對用戶是完全透明的 本地數(shù) 據(jù)備份技術(shù) 如本地磁帶 磁盤備份技術(shù) 磁盤r a i d 技術(shù)等 及本地的設(shè)備冗余來實 1 0 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 現(xiàn) 只能抵御應(yīng)用軟件錯誤導(dǎo)致的數(shù)據(jù)邏輯錯誤和磁盤物理損壞等硬件方面的災(zāi)難 如通過本地數(shù)據(jù)備份技術(shù) 將出現(xiàn)數(shù)據(jù)邏輯錯誤的數(shù)據(jù)恢復(fù)到錯誤時間點以前的某一 個完整的時間點狀態(tài) 通過本地集群技術(shù) 當(dāng)一臺服務(wù)器出現(xiàn)故障后 主系統(tǒng)可由另 一臺服務(wù)器接管 并可通過熱插拔技術(shù)更換受損的部件 本地容災(zāi)只能抵御一些本地 的 小范圍的災(zāi)難 而對于洪災(zāi) 火災(zāi) 地震 建筑物倒塌等災(zāi)難卻無能為力 從嚴(yán) 格意義上來講 本地容災(zāi)不具備災(zāi)難恢復(fù)能力 2 2 1 2 近距災(zāi)難恢復(fù) 近距災(zāi)難恢復(fù)有時也可稱為同城災(zāi)難恢復(fù) 是指主中心與災(zāi)備中心不在同一地 點 但在同一個城市或相鄰的城市 相距1 0 0 公里的范圍 同城模式除了可以抵御本 地模式所能容忍的災(zāi)難外 還可以容忍火災(zāi) 水災(zāi) 動力線毀壞 建筑物倒塌等局部 性災(zāi)難 但對于地震 海嘯 臺風(fēng) 大面積停電事故等大規(guī)模 大范圍的災(zāi)難卻無能 為力 近距模式可以在本地模式和異地模式之間提供一個很好的平衡 從建設(shè)成本 技 術(shù)和管理的復(fù)雜程度上來看 近距模式都在上述兩者之間 對災(zāi)難發(fā)生不是很頻繁的 地區(qū) 近距模式是個不錯的選擇 2 2 1 3 異地災(zāi)難恢復(fù) 主中心與災(zāi)各中心相距1 0 0 公里之外 甚至更遠(yuǎn) 這種類型的災(zāi)難恢復(fù)建設(shè)通過 物理位置上的遠(yuǎn)離來防備地震 海嘯 臺風(fēng) 洪水等大規(guī)模 大范圍等破壞性極強(qiáng)的 災(zāi)難 這種模式下 主中心與災(zāi)備中心同時遭受災(zāi)難的幾率降至最低 但相較于前兩 種模式 此模式建設(shè)的成本也是成倍增長 由于距離的限制 災(zāi)難恢復(fù)的運(yùn)維管理和 災(zāi)難演練將變的困難 而且限于目前技術(shù)水平 相距太遠(yuǎn)的主中心和災(zāi)備中心之間只 能實現(xiàn)異步數(shù)據(jù)復(fù)制 異步數(shù)據(jù)復(fù)制指的是兩個復(fù)制結(jié)點的數(shù)據(jù)在一定時間內(nèi)是不同 步的 災(zāi)難來臨時 數(shù)據(jù)丟失量可能比可以采用同步數(shù)據(jù)復(fù)制 同步復(fù)制指的是復(fù) 制數(shù)據(jù)在任何時間在兩個復(fù)制結(jié)點間均保持一致 的近距模式或本地模式稍多 2 2 2 從應(yīng)用層次分類 從災(zāi)難恢復(fù)應(yīng)用的角度 可以將災(zāi)難恢復(fù)分為如下三種類型 即數(shù)據(jù)級災(zāi)難恢復(fù) 系統(tǒng)級災(zāi)難恢復(fù)和應(yīng)用級災(zāi)難恢復(fù) 前一級是后一級的基礎(chǔ) 后一級必須包括前一級 的內(nèi)容 如最高級的應(yīng)用級災(zāi)難恢復(fù) 必須建立在數(shù)據(jù)級災(zāi)難恢復(fù)和系統(tǒng)災(zāi)難恢復(fù)基 礎(chǔ)上 當(dāng)災(zāi)難發(fā)生時 要實現(xiàn)應(yīng)用系統(tǒng)的切換 則必須要求數(shù)據(jù) 系統(tǒng)相關(guān)軟件和硬 1 1 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 件設(shè)備都處于可用的狀態(tài) 2 2 2 1 數(shù)據(jù)級災(zāi)難恢復(fù) 數(shù)據(jù)是信息系統(tǒng)的核心 數(shù)據(jù)的有效保護(hù)是容災(zāi)的關(guān)鍵和成功的標(biāo)志 如果沒有 數(shù)據(jù)的備份和恢復(fù) 則不能實現(xiàn)系統(tǒng)級和應(yīng)用級的恢復(fù) 數(shù)據(jù)級災(zāi)難恢復(fù)指建立一個 異地或本地的數(shù)據(jù)系統(tǒng) 作為主系統(tǒng)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的一個備份 數(shù)據(jù)級災(zāi)難恢復(fù)系統(tǒng) 需要保證業(yè)務(wù)數(shù)據(jù)的完整 可靠和安全 而對于提供實時服務(wù)的信息系統(tǒng) 用戶的服 務(wù)請求在災(zāi)難中會中斷 為了實現(xiàn)數(shù)據(jù)級災(zāi)難恢復(fù) 一般采用數(shù)據(jù)復(fù)制的方式 通過 網(wǎng)絡(luò)將主中心的數(shù)據(jù)同步或異步復(fù)制到遠(yuǎn)端的災(zāi)備中心 數(shù)據(jù)級災(zāi)難恢復(fù)只是對業(yè)務(wù)數(shù)據(jù)備份 不對系統(tǒng)數(shù)據(jù)與應(yīng)用程序進(jìn)行備份 需要 通過安裝盤重新安裝來進(jìn)行系統(tǒng)的恢復(fù) 在網(wǎng)絡(luò)環(huán)境中 各種設(shè)備的配置 操作系統(tǒng) 和各類應(yīng)用程序的安裝起來并不是那么簡單 首先要找到所有的硬件供應(yīng)商 配齊所 有必須的相應(yīng)型號的設(shè)備 這個過程可能由于設(shè)備和技術(shù)迅速的更新?lián)Q代而無法完 成 然后必須找出所有的安裝盤和原來的安裝記錄進(jìn)行安裝 最后重新設(shè)置各種參 數(shù) 用戶信息 權(quán)限等等 這個過程可能要持續(xù)若干天 甚至一兩個月 對某些應(yīng)用 來說 這是無法忍受的 因此 最有效的方法是對整個系統(tǒng)進(jìn)行備份也就是災(zāi)難恢復(fù) 的第二個層次系統(tǒng)級災(zāi)難恢復(fù) 這樣 無論系統(tǒng)遇到多大的災(zāi)難 都能夠應(yīng)付自如 2 2 2 2 系統(tǒng)級災(zāi)難恢復(fù) 系統(tǒng)級災(zāi)難恢復(fù)在備份業(yè)務(wù)數(shù)據(jù)之外 還要對應(yīng)用程序 系統(tǒng)運(yùn)行數(shù)據(jù) 程序設(shè) 置 數(shù)據(jù)庫系統(tǒng) 中間件和通信網(wǎng)絡(luò)等運(yùn)行環(huán)境進(jìn)行備份 以便迅速恢復(fù)整個系統(tǒng) 系統(tǒng)級災(zāi)難恢復(fù)需要同時保證業(yè)務(wù)數(shù)據(jù) 系統(tǒng)數(shù)據(jù)的完整性 可靠性和安全性 系統(tǒng) 級同數(shù)據(jù)級的最大區(qū)別在于 在主中心發(fā)生災(zāi)難時 用災(zāi)難恢復(fù)措施能夠迅速恢復(fù)系 統(tǒng) 信息系統(tǒng)可以快速恢復(fù)運(yùn)行 即中斷服務(wù)時間較短 而數(shù)據(jù)級則不能實現(xiàn) 數(shù)據(jù) 級災(zāi)難恢復(fù)在開始恢復(fù)之前 必須耗費(fèi)幾天或更長的時間重新搭建與主中心相一致的 軟硬件運(yùn)行環(huán)境 數(shù)據(jù)級別只能處理狹義的數(shù)據(jù)失效 而系統(tǒng)級級別則可以處理廣義 的數(shù)據(jù)失效 2 2 2 3 應(yīng)用級災(zāi)難恢復(fù) 應(yīng)用級災(zāi)難恢復(fù)在前兩個級別的基礎(chǔ)上增加對整個應(yīng)用的備份 并提供業(yè)務(wù)連續(xù) 性的應(yīng)用平臺 主機(jī) 存儲和網(wǎng)絡(luò) 以及相關(guān)基礎(chǔ)設(shè)施 技術(shù)支持能力的備份 應(yīng)用 級災(zāi)難恢復(fù)系統(tǒng)致力于提供不問斷的應(yīng)用服務(wù) 在災(zāi)難發(fā)生后 用戶的服務(wù)請求不會 1 2 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 中斷或中斷時間非常短 保證了信息系統(tǒng)所支持業(yè)務(wù)的完整 可靠和安全 此級別下 災(zāi)各中心應(yīng)建有與主系統(tǒng)高度一致的備用系統(tǒng) 這種一致性體現(xiàn)在數(shù) 據(jù)和應(yīng)用兩個方面 在平時 由主中心提供各種服務(wù) 備用中心則實時記錄主中心的 處理并備份主中心的相關(guān)信息 確保在災(zāi)難來臨時 能將服務(wù)切換到災(zāi)備中心 應(yīng)用級災(zāi)難恢復(fù)實現(xiàn)的技術(shù)要求高 難度大 投入也高 因此一般用于對業(yè)務(wù)連 續(xù)性要求很高的系統(tǒng) 如銀行業(yè)務(wù)系統(tǒng) 保險業(yè)務(wù)系統(tǒng)等 2 2 2 4 三種恢復(fù)層次比較 三種災(zāi)難恢復(fù)比較見下表2 1 表2 1 三種災(zāi)難恢復(fù)層次比較 訊 數(shù)據(jù)級系統(tǒng)級應(yīng)用級 業(yè)務(wù)數(shù)據(jù) 系統(tǒng)數(shù)據(jù)及 備份對象業(yè)務(wù)數(shù)據(jù)全部應(yīng)用環(huán)境 相應(yīng)處理設(shè)備 磁帶拷貝 電子傳輸 集群技術(shù) 遠(yuǎn)程動態(tài)監(jiān) 使用技術(shù)鏡像技術(shù) 存儲網(wǎng)絡(luò) 快照技術(shù)等測 自動應(yīng)用切換 投資成本低較高高 實施難度簡單較復(fù)雜復(fù)雜 恢復(fù)時間較長較短短 容災(zāi)級別低高最高 2 3 災(zāi)難恢復(fù)體系結(jié)構(gòu)及指標(biāo) 信息系統(tǒng)的災(zāi)難恢復(fù)利用先進(jìn)的 軟 硬件設(shè)備和網(wǎng)絡(luò)環(huán)境 以災(zāi)難恢 復(fù)等級 以災(zāi)難恢復(fù)指標(biāo)來衡量 為 核心 綜合運(yùn)用各種技術(shù)手段 數(shù)據(jù) 恢復(fù)技術(shù) 網(wǎng)絡(luò)恢復(fù)技術(shù)和服務(wù)恢復(fù) 技術(shù) 和管理措施 災(zāi)難恢復(fù)規(guī)劃 實現(xiàn)信息系統(tǒng)的災(zāi)難恢復(fù)要求 1 圖2 1 可以很好地表示信息系統(tǒng)的災(zāi)難恢復(fù) 1 關(guān)于災(zāi)難恢復(fù)體系結(jié)構(gòu)的分析參考了 張艷 李強(qiáng) 李舟軍 信息系統(tǒng)災(zāi)難恢復(fù)體系結(jié)構(gòu) j 計算機(jī)科學(xué) 2 0 0 6 6 1 3 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 體系結(jié)構(gòu) 體現(xiàn)恢復(fù)技術(shù) 恢復(fù)管理以及衡量指標(biāo)之間的關(guān)系 2 3 1 災(zāi)難恢復(fù)的等級 災(zāi)難恢復(fù)的等級劃分可以讓實施災(zāi)難恢復(fù)工作的機(jī)構(gòu) 更好的尋找災(zāi)備投入和承 受風(fēng)險之間的一個科學(xué)平衡點 災(zāi)難恢復(fù)等級的劃分不是一個強(qiáng)制性的要求 各個機(jī) 構(gòu)災(zāi)難恢復(fù)建設(shè)必須充分考量本機(jī)構(gòu) 本部門的需求 從滿足需求節(jié)約成本的角度來 規(guī)劃災(zāi)難恢復(fù) 目前 國外比較通用的信息系統(tǒng)災(zāi)難恢復(fù)等級是由美國s h a r e 用戶組和i b m 公 司于1 9 9 2 年共同提出的災(zāi)難恢復(fù)等級概要s h a r e7 8 標(biāo)準(zhǔn) 它將災(zāi)難恢復(fù)的等級從 低到高分為七級 即從低到高有七種不同的災(zāi)難恢復(fù)解決方案 分別適用于不同的系 統(tǒng)規(guī)模和應(yīng)用場合 s h a r e7 8 的七級災(zāi)難恢復(fù)等級的分類依據(jù)如下 備份 恢復(fù)的范圍 災(zāi)難恢復(fù)計 劃的狀態(tài) 主中心與災(zāi)備中心的距離 主中心與災(zāi)備中心是如何連接的 數(shù)據(jù)如何在 兩中心之間傳送 有多少數(shù)據(jù)被丟失 怎么樣保證更新的數(shù)據(jù)在災(zāi)備中心被更新 災(zāi) 備中心可以開始備份工作的能力 上述分類依據(jù)主要以業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)為中心 只是在一定意義上保證業(yè)務(wù) 數(shù)據(jù)的完整性 對系統(tǒng)和應(yīng)用的備份與恢復(fù)沒有進(jìn)行深入研究 沒有考慮到信息系統(tǒng) 提供的服務(wù)的完整性 可靠性以及如何向用戶提供透明的不間斷服務(wù) 因此該分級方 式在實際建設(shè)中可操作性較差 而我國推行的 災(zāi)難恢復(fù)系統(tǒng)七要素 是根據(jù)我國國 情所做的細(xì)化 具有更強(qiáng)的可操作性 七要素為 1 數(shù)據(jù)備份系統(tǒng) 數(shù)據(jù)備份系統(tǒng)一般是指配置一套完整的備份體系 這個體系 由數(shù)據(jù)備份的硬件 軟件和數(shù)據(jù)備份介質(zhì)組成 同時為了滿足災(zāi)難恢復(fù)指標(biāo) 必須制 定相應(yīng)的數(shù)據(jù)備份策略 2 備用數(shù)據(jù)處理系統(tǒng) 為實現(xiàn)系統(tǒng)級災(zāi)難恢復(fù)而在災(zāi)備中心配置的冗余數(shù)據(jù)處 理系統(tǒng) 包括和主中心配置相近的服務(wù)器以及與原服務(wù)器相同的應(yīng)用及軟件 3 備用網(wǎng)絡(luò)系統(tǒng) 災(zāi)難來臨時用戶用來訪問備用數(shù)據(jù)處理系統(tǒng)的網(wǎng)絡(luò) 包含備 用網(wǎng)絡(luò)通信設(shè)備和數(shù)據(jù)通信線路 4 備用基礎(chǔ)設(shè)施 支持災(zāi)備中心運(yùn)行的機(jī)房 生活設(shè)施和管理場所 5 專業(yè)技術(shù)支持能力 對災(zāi)難恢復(fù)系統(tǒng)的運(yùn)轉(zhuǎn)提供支撐和綜合保障的技術(shù)能力 1 4 檔案信自系統(tǒng)宄m 恢復(fù)研究第2 章信息系統(tǒng)災(zāi)m 恢復(fù)概進(jìn) 包括機(jī)構(gòu)的各種技術(shù)資源比如人員和各種技術(shù)文檔 6 運(yùn)行維護(hù)管理能力 災(zāi)各中心要有一套完善的運(yùn)行維護(hù)管理體系 可以確保 災(zāi)備中心的正常運(yùn)行并在災(zāi)難發(fā)生后能成功實施各種應(yīng)急措施和災(zāi)難恢復(fù)預(yù)案 7 災(zāi)難陂復(fù)預(yù)案 一份經(jīng)過完整測試和演練的文檔 它規(guī)定了災(zāi)難發(fā)生后機(jī)構(gòu) 中各種資源 包括人員 設(shè)備 文檔 的使用步驟 不同職責(zé)的人員在災(zāi)難恢復(fù)預(yù)案 中都能找到自己的行動步驟和依據(jù) 根據(jù)上述七個要素 我國將災(zāi)難恢復(fù)劃分為六個等級 每個等級都包含七要素中 的部分或全部要素 等級劃分如圖2 2 所示 各災(zāi)難恢復(fù)恢復(fù)等級應(yīng)具備的技術(shù)和管理支持參見 規(guī)范 限于篇幅本文不做 詳細(xì)介紹 232 災(zāi)難恢復(fù)衡量指標(biāo) 災(zāi)難恢復(fù)的目標(biāo)是在災(zāi)難發(fā)生后減 少數(shù)據(jù)丟失量和系統(tǒng)中斷服務(wù)時間 保 證業(yè)務(wù)的連續(xù)性 選擇信息系統(tǒng)的災(zāi)難 恢復(fù)方案 主要是以災(zāi)難恢復(fù)等級為中 心 而災(zāi)難恢復(fù)等級用災(zāi)難恢復(fù)指標(biāo)進(jìn) 行定量 不同等級具有不同的指標(biāo)要求 蠢藍(lán)盈豳藍(lán)蕊匿融豳霜潮 露弱翟圈露露露露囂 翟菡匿瑟蕊翟翟豳 西罄圇罄盈盈露囂強(qiáng) 疆霆霾蹬豳 霞囂璧豳 圖22 夜難恢復(fù)等級自盼 衡量災(zāi)難恢復(fù)的主要指標(biāo)有恢復(fù)點目標(biāo)和恢復(fù)時間目標(biāo) 2 32 1 恢復(fù)點目標(biāo) r e c o v e r y p o i n t o b j e c tr p o 規(guī)范 中如是定義恢復(fù)點目標(biāo)i l p o 災(zāi)難發(fā)生后 系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時間點要求 恢復(fù)點目標(biāo)可以 理解為災(zāi)難發(fā)生時系統(tǒng)能夠容忍的最大數(shù)據(jù)丟失量 數(shù) 據(jù)必須在設(shè)定的恢復(fù)時間內(nèi)恢復(fù)到那個時間點 以確保 業(yè)務(wù)能夠順利恢復(fù)運(yùn)行 假如一個持續(xù)運(yùn)行的信息系統(tǒng)的備份策略是每1 2 小時備份一次 備份開始時間為晚上8 點 半個小時完 成備份 災(zāi)難發(fā)生在備份完成第二天的上午1 0 點 而 且在這段時間之間 沒有其他的備份實施 那么從備份 檔案信息系統(tǒng)災(zāi)難恢復(fù)研究第2 章信息系統(tǒng)災(zāi)難恢復(fù)概述 完成的晚上8 點半到第二天的上午1 0 點這段時間就是r p o 這段時間內(nèi)丟失的數(shù)據(jù) 就無法恢復(fù)了 般說來 災(zāi)難恢復(fù)點目標(biāo)r p o 越低 即丟失的數(shù)據(jù)量越少 由于災(zāi)難造成的 業(yè)務(wù)損失越小 災(zāi)難恢復(fù)系統(tǒng)建設(shè)的成本越高 反之 恢復(fù)點目標(biāo)r p o 越高 即丟 失的數(shù)據(jù)量越多 災(zāi)難造成的業(yè)務(wù)損失也越大 災(zāi)難恢復(fù)系統(tǒng)建設(shè)的成本越低 r p o 和災(zāi)難造成的損失關(guān)系如圖2 3 所示 根據(jù)傳統(tǒng)數(shù)據(jù)備份方式 為了改進(jìn)恢復(fù)點目標(biāo) 數(shù)據(jù)備份的頻率必須更大甚至同 步備份 只有前后兩次備份的時間間隔小了 才能減少災(zāi)難時數(shù)據(jù)的損失 但是大多 數(shù)時候 這種做法是不現(xiàn)實的 原因有二點 第一 應(yīng)用的高峰時段無法進(jìn)行備份操 作 第二 備份頻率太高無疑會增加系統(tǒng)的負(fù)擔(dān) 降低服務(wù)的性能 災(zāi)難恢復(fù)所采用 的數(shù)據(jù)復(fù)制技術(shù)能有效改進(jìn)r p 0 2 3 2 2 恢復(fù)時間目標(biāo) r e c o v e r yt i m eo b j e c tr t o 規(guī)范 中 恢復(fù)時間目標(biāo)被描述為 災(zāi)難發(fā)生后 信息系統(tǒng)或業(yè)務(wù)功能從停頓 到必須恢復(fù)的時間要