數(shù)據(jù)容災(zāi)方案

1、容災(zāi)方案大綱一、容災(zāi)究竟是什么？容災(zāi)系統(tǒng)是指在相隔較遠(yuǎn)的異地，建立兩套或多套功能相同的IT系統(tǒng)，互相之間可以進(jìn)行健康狀態(tài)監(jiān)視和功能切換，當(dāng)一處系統(tǒng)因意外（如火災(zāi)、地震等）停止工作時(shí)，整個(gè)應(yīng)用系統(tǒng)可以切換到另一處，使得該系統(tǒng)功能可以繼續(xù)正常工作。容災(zāi)技術(shù)是系統(tǒng)的高可用性技術(shù)的一個(gè)組成部分，容災(zāi)系統(tǒng)更加強(qiáng)調(diào)處理外界環(huán)境對(duì)系統(tǒng)的影響，特別是災(zāi)難性事件對(duì)整個(gè)IT節(jié)點(diǎn)的影響，提供節(jié)點(diǎn)級(jí)別的系統(tǒng)恢復(fù)功能威脅描述備注1h-i.雷擊.地震和臺(tái)風(fēng)等自然災(zāi)難T2-2.水患和火災(zāi)等災(zāi)害73一高溫、低溫、多雨等原因?qū)е聹囟?、濕度異常電壓波?dòng)同f.一供電系統(tǒng)故障T2£郵電和外界電磁干擾T2.J,通信線路因線纜

2、老化等原因?qū)е聯(lián)p壞或傳輸質(zhì)量下降T2重要業(yè)務(wù)信息的介防老化或質(zhì).問(wèn)愿等導(dǎo)致不可用H空網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時(shí)間過(guò)長(zhǎng)我質(zhì)向題等導(dǎo)致硬件故障T210.系統(tǒng)軟件、應(yīng)用軟件運(yùn)行故障T2-1L系統(tǒng)軟件、應(yīng)用軟件過(guò)度使用內(nèi)存、CPU等系統(tǒng)資源T2TL怪統(tǒng)軟件、應(yīng)用軟件過(guò)度使用內(nèi)存、CPU等系蛻資源J312.應(yīng)用軟件,系統(tǒng)軟件缺陷導(dǎo)致數(shù)據(jù)去失或系統(tǒng)運(yùn)行中斷,2-1工設(shè)施、通信線路、設(shè)備或存儲(chǔ)介質(zhì)因使用、維護(hù)或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收蠀^(qū)14.授權(quán)用戶操作失誤導(dǎo)致系統(tǒng)文件被覆蓋，數(shù)據(jù)丟失或不能使用T2-15.播權(quán)用戶對(duì)系統(tǒng)錯(cuò)誤配置或更改T2-16.攻擊者利用非法手段進(jìn)入機(jī)房?jī)?nèi)撲食跖，破壞小12-17.攻

3、擊者非法物理訪問(wèn)系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)爸或存慵介質(zhì)等T2-18.攻擊者采用在通信線纜上搭接或切斷等導(dǎo)致線路不可用T2-19;攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)T2-20.攻擊者利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞，越權(quán)訪問(wèn)文件數(shù)據(jù)或其他歲源T2-2L攻擊者利用通過(guò)惡意代碼或木馬程序，對(duì)網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)迸行攻擊T2-22.攻擊者利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)討缺陷旁路安全策略,未授權(quán)訪問(wèn)網(wǎng)絡(luò)T223攻擊者利用非法手崩裝閶受權(quán)用戶的幽唯息用型碼介質(zhì),而可網(wǎng)絡(luò)、系筑攻擊者利用偽造客戶端期入業(yè)務(wù)系統(tǒng).迸行法訪問(wèn)0-23.應(yīng)擊第聯(lián).讀取，破解介質(zhì)的信息

4、或剜余信息.進(jìn)行蜜楣信品的竊取門M比擊害截獲,罡取一翩蟀通信例中的信息I。"由于網(wǎng)罐箕落，主嘰系統(tǒng)和應(yīng)用軟件的故障或雙機(jī)熱筋失效，造成業(yè)務(wù)應(yīng)用的中斷數(shù)據(jù)在傳輸現(xiàn)行鋪過(guò)程中槌惜調(diào)喀改應(yīng)表失TH叟攻擊者利用通用安學(xué)俗設(shè)算法，軟件等腺隱，獲取值息，解密甯銅或較壞通信完整性1二陽(yáng)應(yīng)擊者在軟硬件分發(fā)環(huán)節(jié)（生產(chǎn)一運(yùn)輸?shù)龋┲袗阂飧能浗怫篱T3L及擊各如內(nèi)郃人反否認(rèn)官己的操作行為士-"攻擊者用武雷人更劃毛網(wǎng)夔獷敝危啟門小工內(nèi)部人員下甄，持貝軟忤或文件，打開(kāi)可M郵件時(shí)號(hào)1人病毒12-34內(nèi)部人員末接僅號(hào)入外的河箔如Intemut17-35.內(nèi)部人曷利用技術(shù)或本國(guó)的國(guó),未授權(quán)修改察統(tǒng)款據(jù)威修改軍

5、統(tǒng)程序T2-36.內(nèi)部人民未援權(quán)訪問(wèn)敕感信息，將信息帶出或通過(guò)網(wǎng)絡(luò)傳出，導(dǎo)致信息池密IS%口數(shù)據(jù)庫(kù)故演網(wǎng)絡(luò)放障匚段隹故障口系統(tǒng)軟件故障的用故障人為故障自皓災(zāi)害.線爭(zhēng)等容災(zāi)是在災(zāi)難發(fā)生時(shí)，能夠保證數(shù)據(jù)盡量少的丟失，系統(tǒng)能夠不間斷地運(yùn)行，或者盡量快的恢復(fù)正常運(yùn)行。1、容災(zāi)的分類根據(jù)容災(zāi)系統(tǒng)對(duì)災(zāi)難的抵抗程度,可分為數(shù)據(jù)級(jí)容災(zāi)、應(yīng)用級(jí)容容災(zāi)備份是通過(guò)在異地建立和維護(hù)一個(gè)備份存儲(chǔ)系統(tǒng)，利用地理上的分離來(lái)保證系統(tǒng)和數(shù)據(jù)對(duì)災(zāi)難性事件的抵御能力。災(zāi)和業(yè)務(wù)級(jí)容災(zāi):數(shù)據(jù)級(jí)容災(zāi)是指通過(guò)建立異地容災(zāi)中心，做數(shù)據(jù)的遠(yuǎn)程備份，在災(zāi)難發(fā)生之后要確保原有的數(shù)據(jù)不會(huì)丟失或者遭到破壞，但在數(shù)據(jù)級(jí)容災(zāi)這個(gè)級(jí)別，發(fā)生災(zāi)難時(shí)應(yīng)用是會(huì)中

6、斷的。在數(shù)據(jù)級(jí)容災(zāi)方式下，所建立的異地容災(zāi)中心可以簡(jiǎn)單地把它理解成一個(gè)遠(yuǎn)程的數(shù)據(jù)備份中心。數(shù)據(jù)級(jí)容災(zāi)的恢復(fù)時(shí)間比較長(zhǎng)，但是相比其他容災(zāi)級(jí)別來(lái)講它的費(fèi)用比較低，而且構(gòu)建實(shí)施也相對(duì)簡(jiǎn)單。應(yīng)用級(jí)容災(zāi)是在數(shù)據(jù)級(jí)容災(zāi)的基礎(chǔ)之上，在備份站點(diǎn)同樣構(gòu)建一套相同的應(yīng)用系統(tǒng)，通過(guò)同步或異步復(fù)制技術(shù)，這樣可以保證關(guān)鍵應(yīng)用在允許的時(shí)間范圍內(nèi)恢復(fù)運(yùn)行，盡可能減少災(zāi)難帶來(lái)的損失，讓用戶基本感受不到災(zāi)難的發(fā)生，這樣就使系統(tǒng)所提供的服務(wù)是完整的、可靠的和安全的。應(yīng)用級(jí)容災(zāi)生產(chǎn)中心和異地災(zāi)備中心之間的數(shù)據(jù)傳輸是采用異類的廣域網(wǎng)傳輸方式；同時(shí)應(yīng)用級(jí)容災(zāi)系統(tǒng)需要通過(guò)更多的軟件來(lái)實(shí)現(xiàn)，可以使多種應(yīng)用在災(zāi)難發(fā)生時(shí)可以進(jìn)行快速切換，確保

7、業(yè)務(wù)的連續(xù)性。業(yè)務(wù)級(jí)容災(zāi)是全業(yè)務(wù)的災(zāi)備，除了必要的IT相關(guān)技術(shù)，還要求具備全部的基礎(chǔ)設(shè)施。其大部分內(nèi)容是非IT系統(tǒng)（如電話、辦公地點(diǎn)等），當(dāng)大災(zāi)難發(fā)生后，原有的辦公場(chǎng)所都會(huì)受到破壞，除了數(shù)據(jù)和應(yīng)用的恢復(fù)，更需要一個(gè)備份的工作場(chǎng)所能夠正常的開(kāi)展業(yè)務(wù)。2、容災(zāi)的級(jí)別根據(jù)對(duì)各種需求進(jìn)行總結(jié)，把容災(zāi)級(jí)別分成了七級(jí)，如下表所示：級(jí)別內(nèi)容說(shuō)明第一級(jí)本地?cái)?shù)據(jù)容災(zāi)只有很低的災(zāi)難恢復(fù)能力，能應(yīng)付計(jì)算機(jī)軟硬件方面的系統(tǒng)災(zāi)難，在災(zāi)難發(fā)生后無(wú)法保證業(yè)務(wù)連續(xù)性，并需要較長(zhǎng)恢復(fù)時(shí)間第二級(jí)本地應(yīng)用容災(zāi)能應(yīng)付計(jì)算機(jī)軟硬件方面的系統(tǒng)災(zāi)難，并且系統(tǒng)可以迅速切換，保證業(yè)務(wù)連續(xù)性第三級(jí)異地?cái)?shù)據(jù)冷備份在本地將關(guān)鍵數(shù)據(jù)備份，然后送到異地

8、保存。災(zāi)難發(fā)生以后，按預(yù)定數(shù)據(jù)恢復(fù)程序恢復(fù)系統(tǒng)和數(shù)據(jù)。特點(diǎn)：成本低，易于配置，是常用的一種方法。問(wèn)題是：但數(shù)據(jù)量增大時(shí)，存儲(chǔ)介質(zhì)難以管理。災(zāi)難發(fā)生時(shí)，大量數(shù)據(jù)難以及時(shí)恢復(fù)，對(duì)業(yè)務(wù)影響仍然很大，損失的數(shù)據(jù)量也較大。第四級(jí)異地異步數(shù)據(jù)容災(zāi)在異地建立一個(gè)數(shù)據(jù)備份站點(diǎn)，通過(guò)網(wǎng)絡(luò)已異步方式進(jìn)行數(shù)據(jù)備份。備份站點(diǎn)只備份數(shù)據(jù)，不承擔(dān)業(yè)務(wù)。在對(duì)災(zāi)難的容忍程度和第三級(jí)一致。但它采用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)復(fù)制方式，因此兩個(gè)站點(diǎn)的數(shù)據(jù)同步比第二級(jí)要高，丟失的數(shù)據(jù)也更少。第五級(jí)異地同步數(shù)據(jù)容災(zāi)除了是同步方式以外，其他的和第四級(jí)T,出現(xiàn)災(zāi)難時(shí)，丟失的數(shù)據(jù)量比上級(jí)更少，基本可以做到零數(shù)據(jù)丟失，但存在系統(tǒng)恢復(fù)慢的缺點(diǎn)投入成本較大，有

9、品目離限制。和第四級(jí)一樣存在沒(méi)有備用應(yīng)急系統(tǒng)，因此無(wú)法保證業(yè)務(wù)的連續(xù)性。第六級(jí)異地異步應(yīng)用容災(zāi)在異地建立一個(gè)與生產(chǎn)系統(tǒng)完全相同的備用系統(tǒng)，它們之間采用異步的方式進(jìn)行數(shù)據(jù)同步，當(dāng)生產(chǎn)中心發(fā)生災(zāi)難時(shí)，備用系統(tǒng)接替工作。可以保證數(shù)據(jù)的極少量對(duì)視，又可以及時(shí)切換，從而保證業(yè)務(wù)的連續(xù)性?，F(xiàn)在一般采用廣域高可靠集群方式實(shí)現(xiàn)。第七級(jí)異地同步應(yīng)用容災(zāi)在異地建立個(gè)與生產(chǎn)系統(tǒng)完全T的備用系統(tǒng)，他們之間采用同步的方式進(jìn)行數(shù)據(jù)復(fù)制。當(dāng)生產(chǎn)中心發(fā)生災(zāi)難時(shí)，備用系統(tǒng)接替其工作，該級(jí)別的容災(zāi)，在發(fā)生災(zāi)難時(shí)，可以基本保證數(shù)據(jù)零丟失和業(yè)務(wù)的連續(xù)性。二、為什么需要進(jìn)行容災(zāi)？1、容災(zāi)的實(shí)質(zhì)是確保永久不停頓的業(yè)務(wù)運(yùn)營(yíng)如何確保企業(yè)業(yè)務(wù)

10、的連續(xù)運(yùn)營(yíng)以及數(shù)據(jù)的安全呢？嚴(yán)格的說(shuō)，業(yè)務(wù)持續(xù)計(jì)劃的建立和實(shí)施過(guò)程，實(shí)際上是進(jìn)行一個(gè)涉及企業(yè)運(yùn)營(yíng)的項(xiàng)目，因此也涉及到項(xiàng)目管理的方方面面。標(biāo)準(zhǔn)的業(yè)務(wù)持續(xù)計(jì)劃項(xiàng)目應(yīng)按如下流程進(jìn)行：1、項(xiàng)目啟動(dòng)和管理確定業(yè)務(wù)持續(xù)計(jì)劃（BCP實(shí)施過(guò)程的相關(guān)需求，包括獲得管理支持、以及組織和管理項(xiàng)目使其符合時(shí)間和預(yù)算的限制要求。2、風(fēng)險(xiǎn)評(píng)估和控制確定可能造成機(jī)構(gòu)及其設(shè)施中斷的災(zāi)難、具有負(fù)面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調(diào)整控制措施方面的投資，達(dá)到消減風(fēng)險(xiǎn)的目的。同時(shí)，由于風(fēng)險(xiǎn)會(huì)隨著系統(tǒng)的發(fā)展而變化，所以風(fēng)險(xiǎn)管理過(guò)程也必須是動(dòng)態(tài)的。3、業(yè)務(wù)影響分析確

11、定由于中斷和預(yù)期災(zāi)難可能對(duì)機(jī)構(gòu)造成的影響，以及用來(lái)定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、恢復(fù)優(yōu)先順序和相關(guān)性以便確定恢復(fù)時(shí)間。4、制定業(yè)務(wù)連續(xù)性策略確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運(yùn)行策略的選擇，以便在恢復(fù)時(shí)間目標(biāo)范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機(jī)構(gòu)的關(guān)鍵功能。5、應(yīng)急響應(yīng)和運(yùn)作制定和實(shí)施用于事件響應(yīng)以及對(duì)事件所引起狀況進(jìn)行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運(yùn)作中心，該中心用于在緊急事件中發(fā)布命令。6、制定和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃設(shè)計(jì)、制定和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃，以便在恢復(fù)時(shí)間目標(biāo)范圍內(nèi)完成恢復(fù)7、意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目準(zhǔn)備建立對(duì)機(jī)構(gòu)人員進(jìn)行意識(shí)培養(yǎng)和技能培訓(xùn)的項(xiàng)目，以便業(yè)務(wù)連續(xù)性計(jì)劃能夠得到制定、實(shí)施、維

12、護(hù)和執(zhí)行。8、維護(hù)和演練業(yè)務(wù)連續(xù)性計(jì)劃對(duì)預(yù)先計(jì)劃和計(jì)劃間的協(xié)調(diào)性進(jìn)行演練、并評(píng)估和記錄計(jì)劃演練的結(jié)果。制定維持連續(xù)性能力和BCP文檔更新?tīng)顟B(tài)的方法，使其與機(jī)構(gòu)的策略方向保持一致。通過(guò)與適當(dāng)標(biāo)準(zhǔn)的比較來(lái)驗(yàn)證BCP的效率，并使用簡(jiǎn)明的語(yǔ)言報(bào)告驗(yàn)證的結(jié)果。9、公共關(guān)系和危機(jī)通信制定、協(xié)調(diào)、評(píng)價(jià)和演練在危機(jī)情況下與媒體交流的計(jì)劃，制定、協(xié)調(diào)、評(píng)價(jià)和演練與制定、協(xié)調(diào)、評(píng)價(jià)和演練在危機(jī)情況下與媒體交流的計(jì)劃，制定、娜、評(píng)價(jià)襁練與翻下提供心理輔導(dǎo)的計(jì)劃確保所有利益群體能夠得到所需的信息。10、與公共當(dāng)局的協(xié)調(diào)建立適用的規(guī)程和策略，用于同地方當(dāng)局協(xié)調(diào)響應(yīng)、連續(xù)性和恢復(fù)活動(dòng)，以確保符合現(xiàn)行的法令和法規(guī)。當(dāng)然，實(shí)

13、際應(yīng)用中，如果受時(shí)間、成本等因素的限制，加之災(zāi)難恢復(fù)目標(biāo)有限，企業(yè)不需要承擔(dān)應(yīng)由政府負(fù)責(zé)的國(guó)計(jì)民生之重任，我們可以簡(jiǎn)化并適當(dāng)改變上述標(biāo)準(zhǔn)流程。事實(shí)上，隨著IT系統(tǒng)在企業(yè)內(nèi)部應(yīng)用的深入，IT系統(tǒng)更容易受到各種災(zāi)難的傷害而導(dǎo)致中斷，特別是在許多情況下，關(guān)健資源可能屬于不可控范圍加電力和電信。對(duì)于倚仗IT系統(tǒng)的企業(yè)來(lái)說(shuō)，從確保業(yè)務(wù)連續(xù)能力的角度出發(fā)，可以儂據(jù)下列災(zāi)棟復(fù)現(xiàn)娥舞i.災(zāi)難類型分析ii .業(yè)務(wù)沖擊分析iii .當(dāng)前業(yè)務(wù)環(huán)境及恢復(fù)能力分析iv .災(zāi)難恢復(fù)策略制訂v .災(zāi)難恢復(fù)方案設(shè)計(jì)vi .業(yè)務(wù)連續(xù)性流程設(shè)計(jì)vii .業(yè)務(wù)連續(xù)性流程及災(zāi)難恢復(fù)方案管理和測(cè)試每一個(gè)步驟的相關(guān)職責(zé)一般會(huì)落“計(jì)劃協(xié)調(diào)

14、人”或“應(yīng)急計(jì)劃制訂人”的身上，他們通常是職能或資源部門的經(jīng)理。協(xié)調(diào)人在其他相關(guān)系統(tǒng)或業(yè)務(wù)處理部門的職能經(jīng)理和資源經(jīng)理的協(xié)助下制定應(yīng)急策略，應(yīng)急計(jì)劃協(xié)調(diào)人通常管理應(yīng)急計(jì)劃的制定和執(zhí)行。2、容災(zāi)一數(shù)據(jù)備份是基礎(chǔ)數(shù)據(jù)備份是數(shù)據(jù)使用過(guò)程中的最后一道防線，其目的是為了在系統(tǒng)崩潰時(shí)能快速地恢復(fù)數(shù)據(jù)。雖然它也算一種容災(zāi)方案，但其容災(zāi)能力非常有限。因?yàn)閭鹘y(tǒng)的備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機(jī)進(jìn)行的冷備份，備份磁帶同時(shí)也在機(jī)房中統(tǒng)一管理，一旦整個(gè)機(jī)房陷入災(zāi)難，如火災(zāi)、盜竊和地震等災(zāi)難，這些備份磁道也隨之銷毀，所存儲(chǔ)的磁帶備份也起不到任何作用。3、容災(zāi)不是簡(jiǎn)單的備份真正的數(shù)據(jù)容災(zāi)就是要彌補(bǔ)傳統(tǒng)冷備份所具有的先

15、天不足，它能在災(zāi)難發(fā)生時(shí)，全面、及時(shí)地恢復(fù)整個(gè)系統(tǒng)。容災(zāi)按其容災(zāi)能力的高低可分為多個(gè)層次，例如，國(guó)際標(biāo)準(zhǔn)SHARE7淀義的容災(zāi)系統(tǒng)有7個(gè)層次：從最簡(jiǎn)單的僅在本地進(jìn)行磁帶備份，到將備份的磁帶存儲(chǔ)在異地，再建立應(yīng)用系統(tǒng)實(shí)時(shí)切換的異地備份系統(tǒng)，恢復(fù)時(shí)間也可以從幾天到小時(shí)級(jí)，再到分鐘級(jí)、秒級(jí)或0數(shù)據(jù)丟失等。三、容災(zāi)的行業(yè)標(biāo)準(zhǔn)1、國(guó)家GB20988-2007-T標(biāo)準(zhǔn)2007年6月份國(guó)家正式出臺(tái)了針對(duì)信息系統(tǒng)數(shù)據(jù)備份及容災(zāi)的國(guó)家標(biāo)準(zhǔn)，即GB20988-2007-T信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范，在國(guó)標(biāo)中，明確了災(zāi)備系統(tǒng)的定義、組織保障、審計(jì)與備案、風(fēng)險(xiǎn)分析、恢復(fù)資源要求等，其中對(duì)于容災(zāi)備份系統(tǒng)的技術(shù)實(shí)現(xiàn)

16、、技術(shù)支持能力以及維護(hù)管理等技術(shù)產(chǎn)品提出明確的標(biāo)準(zhǔn)和要求。容災(zāi)備份是一項(xiàng)系統(tǒng)工程。在建立容災(zāi)備份系統(tǒng)之前，首先要進(jìn)行全面的系統(tǒng)分析，其中包括業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)分析、容災(zāi)系統(tǒng)對(duì)業(yè)務(wù)系統(tǒng)的影響分析和投資效益分析，風(fēng)險(xiǎn)分析是檢查那些可能造成數(shù)據(jù)損失或者系統(tǒng)癱瘓的外在和內(nèi)在因素。既然是容災(zāi)，必須充分考慮業(yè)務(wù)系統(tǒng)所在地的自然環(huán)境，針對(duì)可能發(fā)生的災(zāi)難，準(zhǔn)備相應(yīng)的容災(zāi)對(duì)策。容災(zāi)系統(tǒng)肯定對(duì)業(yè)務(wù)系統(tǒng)的性能有一定影響，因此，對(duì)于那些高負(fù)荷運(yùn)行的業(yè)務(wù)系統(tǒng)必須認(rèn)真計(jì)算。根據(jù)國(guó)標(biāo)的要求，對(duì)于容災(zāi)備份系統(tǒng)一共分為六個(gè)等級(jí)，其中對(duì)于容災(zāi)備份最基本的要求可以歸納為三點(diǎn)：1、數(shù)據(jù)要定期備份；2、備份介質(zhì)場(chǎng)外存放；3、根據(jù)介質(zhì)的特性對(duì)

17、備份數(shù)據(jù)進(jìn)行定期的有效性驗(yàn)證。應(yīng)該說(shuō)，以上三點(diǎn)要求為我們建立一個(gè)完整的容災(zāi)備份系統(tǒng)提供了設(shè)計(jì)依據(jù)。要建設(shè)容災(zāi)工程必須提出容災(zāi)系統(tǒng)設(shè)計(jì)指標(biāo)，作為衡量和選擇容災(zāi)解決方案的參數(shù)。按照國(guó)標(biāo)的要求，建立容災(zāi)系統(tǒng)的最終目的，是為了在災(zāi)難發(fā)生后能夠以最快的速度恢復(fù)數(shù)據(jù)服務(wù)，容災(zāi)中心的設(shè)計(jì)指標(biāo)主要與容災(zāi)系統(tǒng)的數(shù)據(jù)恢復(fù)能力有關(guān)。最常見(jiàn)的設(shè)計(jì)指標(biāo)有：RTO和RPQRTO(RecoveryTimeObjective代表容災(zāi)系統(tǒng)在災(zāi)難發(fā)生后數(shù)據(jù)或者系統(tǒng)恢復(fù)所用的時(shí)間。RPO(RecoveryPointObjective代表災(zāi)難發(fā)生時(shí)已經(jīng)備份的數(shù)據(jù)與生產(chǎn)中心數(shù)據(jù)的時(shí)間差。止匕外，設(shè)計(jì)容災(zāi)系統(tǒng)還需要考慮選擇容災(zāi)備份中心地

18、點(diǎn)。數(shù)據(jù)庫(kù)容災(zāi)要保證備份數(shù)據(jù)庫(kù)的一致性，最好能夠?qū)浞輸?shù)據(jù)庫(kù)進(jìn)行對(duì)生產(chǎn)系統(tǒng)無(wú)干擾的實(shí)時(shí)檢驗(yàn)。通常情況下，容災(zāi)系統(tǒng)投資較大，使用概率較低，因此，需要對(duì)總體投入成本(TCQ和投資回報(bào)率(ROD進(jìn)行認(rèn)真的分析和計(jì)算。RPO可簡(jiǎn)單的描述為企業(yè)能容忍的最大數(shù)據(jù)丟失量，為了更好的理解，可以想一下傳統(tǒng)數(shù)據(jù)保護(hù)會(huì)產(chǎn)生什么后果，一般備份都是一天做一次，通常是在晚上，如果第二天出現(xiàn)錯(cuò)誤，那從備份完成后到錯(cuò)誤出現(xiàn)時(shí)所寫入的數(shù)據(jù)都無(wú)法挽回了，這期間沒(méi)有備份，數(shù)據(jù)就丟失了！如果錯(cuò)誤出現(xiàn)在一天結(jié)束時(shí)，那一天的數(shù)據(jù)都丟失了，這種情況下，RPO就是24小時(shí)。FailureRecoveryPointObjectiveRecov

19、eryTimeObjectiveTimelineofDataProtection12hrs12hrs12hrs12hrs12hra12hrsnnecttoOnlineReplica1hr1hr5min5minTimelineofRecoveryMgmt為了改進(jìn)PRO數(shù)據(jù)必須進(jìn)行更頻繁的保護(hù)，大多數(shù)情況下，增加備份的頻率是不現(xiàn)實(shí)的原因有：1）對(duì)應(yīng)用的效率影響太大，在應(yīng)用的高峰不能進(jìn)行備份；2）備份數(shù)據(jù)要花很長(zhǎng)時(shí)間。為了改進(jìn)PRO需要有新的方法，這種方法就是恢復(fù)管理，用連續(xù)復(fù)制和快照技術(shù)能有效地改進(jìn)RPQRTO可簡(jiǎn)單的描述為企業(yè)能容忍的恢復(fù)時(shí)間，在傳統(tǒng)的數(shù)據(jù)保護(hù)中，備份數(shù)據(jù)是不能立即使用的，必須先

20、恢復(fù)。對(duì)象級(jí)別的恢復(fù)功能可以有效恢復(fù)單個(gè)的目標(biāo)，如一個(gè)文件或一封郵件，甚至是許多文件和郵件的集合。然而，恢復(fù)整個(gè)數(shù)據(jù)庫(kù)和海量數(shù)據(jù)時(shí)仍需要時(shí)間，通?；謴?fù)一個(gè)大系統(tǒng)需要幾天時(shí)間。從經(jīng)濟(jì)角度考慮，最佳的容災(zāi)解決方案不一定是性能最好的容災(zāi)解決方案，容災(zāi)系統(tǒng)的總體投入TCO和投資回報(bào)ROI,對(duì)于許多用戶來(lái)說(shuō)是十分重要的設(shè)計(jì)指標(biāo)。在選擇容災(zāi)技術(shù)時(shí)，需要考慮業(yè)務(wù)系統(tǒng)的類型，是單業(yè)務(wù)系統(tǒng)還是多業(yè)務(wù)系統(tǒng)？是數(shù)據(jù)庫(kù)應(yīng)用還是非結(jié)構(gòu)化數(shù)據(jù)？是數(shù)據(jù)容災(zāi)還是業(yè)務(wù)系統(tǒng)容災(zāi)？用戶可以根據(jù)要求，選擇一種主要的容災(zāi)技術(shù)作為容災(zāi)解決方案的基礎(chǔ)，輔之其它容災(zāi)技術(shù)滿足特定的要求。下圖是幾種技術(shù)的特征比較:RAID復(fù)制快昭八、備份物理錯(cuò)

21、誤(47%)自然災(zāi)害YesYes硬件失效YesYesYesYes邏輯錯(cuò)誤(53%)人工出錯(cuò)YesYes軟件失效YesYes病母YesYes恢復(fù)點(diǎn)(RPO)能忍受多少數(shù)據(jù)丟失？沒(méi)后丟失分鐘小時(shí)小時(shí)天恢復(fù)時(shí)間(RTO)要多久才能恢復(fù)？實(shí)時(shí)分鐘小時(shí)分鐘小時(shí)天保留時(shí)間(Retention)能恢復(fù)多長(zhǎng)時(shí)間內(nèi)丟失的數(shù)據(jù)？不能不能幾小時(shí)幾天幾周幾月幾年使用環(huán)境中高端高端高端所有使用成本高高高低2、國(guó)際SHARE78-準(zhǔn)b級(jí)災(zāi)難備份方案根據(jù)國(guó)際標(biāo)準(zhǔn)SHARE78的定義，災(zāi)難備份技術(shù)方案可以根據(jù)以下主要方面所達(dá)到的程度而分為七級(jí)。1.備份、恢復(fù)的范圍。2,災(zāi)難恢復(fù)計(jì)劃的狀態(tài)。3 .應(yīng)用站點(diǎn)與災(zāi)難備份站點(diǎn)之間的距

22、離。4 .應(yīng)用站點(diǎn)與災(zāi)難備份站點(diǎn)之間是如何相互連接的。5 .數(shù)據(jù)是怎樣在兩個(gè)站點(diǎn)之間傳送的。6,允許有多少數(shù)據(jù)被丟失。7 .怎樣保證更新的數(shù)據(jù)在災(zāi)難備份站點(diǎn)被更新。8.災(zāi)難備份站點(diǎn)可以開(kāi)始災(zāi)難備份工作的能力。國(guó)際標(biāo)準(zhǔn)SHARE78將容災(zāi)系統(tǒng)定義成七個(gè)層次，這七個(gè)層次對(duì)應(yīng)的容災(zāi)方案在功能、適用范圍等方面都有所不同，所以用戶選型應(yīng)分清層次。面對(duì)各種可能的災(zāi)難，企業(yè)需要方便、靈活地同步基于異構(gòu)環(huán)境下駐留在不同數(shù)據(jù)庫(kù)中的數(shù)據(jù)，這就需要建設(shè)一個(gè)對(duì)各種情況都可以抵御或者化解的本地和異地的容災(zāi)系統(tǒng)。但現(xiàn)在，一些計(jì)算機(jī)信息系統(tǒng)對(duì)于容災(zāi)機(jī)制的考慮還有欠缺，不少計(jì)算機(jī)信息系統(tǒng)只是做了簡(jiǎn)單的本地磁盤的不同分區(qū)或者是

23、相同系統(tǒng)上不同磁盤的數(shù)據(jù)備份，只是嚴(yán)格意義上的數(shù)據(jù)備份系統(tǒng)，稱不上容災(zāi)系統(tǒng)，例如數(shù)據(jù)庫(kù)系統(tǒng)中常用的鏡像備份，也就是文件拷貝方式；基于操作系統(tǒng)文件系統(tǒng)復(fù)制的方式:以及基于高端聯(lián)機(jī)存儲(chǔ)設(shè)備(磁盤陣列)之間的數(shù)據(jù)寫操作同步的方式等。在一般災(zāi)難時(shí)，可以在一定意義上保證數(shù)據(jù)的完整性，但很難保證用戶數(shù)據(jù)的可靠性和安全性，更不用說(shuō)能向用戶提供透明的不間斷服務(wù)了。真正的容災(zāi)必須滿足三個(gè)要素：先是系統(tǒng)中的部件、數(shù)據(jù)都具有冗余性，即一個(gè)系統(tǒng)發(fā)生故障，另一個(gè)系統(tǒng)能夠保持?jǐn)?shù)據(jù)傳送的順暢；其次，具有長(zhǎng)距離性，因?yàn)闉?zāi)害總是在一定范圍內(nèi)發(fā)生，因而充分長(zhǎng)的距離才能夠保證數(shù)據(jù)不會(huì)被一個(gè)災(zāi)害全部破壞；第三，容災(zāi)系統(tǒng)要追求全方位的

24、數(shù)據(jù)復(fù)制，也稱為容災(zāi)的"3R"(RedundanceRemote、Replication)。而國(guó)際標(biāo)準(zhǔn)SHARE78對(duì)容災(zāi)系統(tǒng)的定義有七個(gè)層次：從最簡(jiǎn)單的僅在本地進(jìn)行磁帶備份，到將備份的磁帶存儲(chǔ)在異地，再到建立應(yīng)用系統(tǒng)實(shí)時(shí)切換的異地備份系統(tǒng)，恢復(fù)時(shí)間也可以從幾天到小時(shí)級(jí)到分鐘級(jí)、秒級(jí)或零數(shù)據(jù)丟失等。目前針對(duì)這七個(gè)層次，都有相應(yīng)的容災(zāi)方案，所以，用戶在選擇容災(zāi)方案時(shí)應(yīng)重點(diǎn)區(qū)分它們各自的特點(diǎn)和適用范圍，結(jié)合自己對(duì)容災(zāi)系統(tǒng)的要求判斷選擇哪個(gè)層次的方案。0級(jí)：無(wú)異地備份0等級(jí)容災(zāi)方案數(shù)據(jù)僅在本地進(jìn)行備份，沒(méi)有在異地備份數(shù)據(jù)，未制定災(zāi)難恢復(fù)計(jì)劃。這種方式是成本最低的災(zāi)難恢復(fù)解決方案，

25、但不具備真正災(zāi)難恢復(fù)能力在這種容災(zāi)方案中，最常用的是備份管理軟件加上磁帶機(jī)，可以是手工加載磁帶機(jī)或自動(dòng)加載磁帶機(jī)。它是所有容災(zāi)方案的基礎(chǔ)，從個(gè)人用戶到企業(yè)級(jí)用戶都廣泛采用了這種方案。其特點(diǎn)是用戶投資較少，技術(shù)實(shí)現(xiàn)簡(jiǎn)單。缺點(diǎn)是一旦本地發(fā)生毀滅性災(zāi)難，將丟失全部的本地備份數(shù)據(jù)，業(yè)務(wù)無(wú)法恢復(fù)。1級(jí)：實(shí)現(xiàn)異地備份第1級(jí)容災(zāi)方案是將關(guān)鍵數(shù)據(jù)備份到本地磁帶介質(zhì)上，然后送往異地保存，但異地沒(méi)有可用的備份中心、備份數(shù)據(jù)處理系統(tǒng)和備份網(wǎng)絡(luò)通信系統(tǒng)，未制定災(zāi)難恢復(fù)計(jì)劃。災(zāi)難發(fā)生后，使用新的主機(jī)，利用異地?cái)?shù)據(jù)備份介質(zhì)（磁帶）將數(shù)據(jù)恢復(fù)起來(lái)。這種方案成本較低，運(yùn)用本地備份管理軟件，可以在本地發(fā)生毀滅性災(zāi)難后，恢復(fù)從異

26、地運(yùn)送過(guò)來(lái)的備份數(shù)據(jù)到本地，進(jìn)行業(yè)務(wù)恢復(fù)。但難以管理，即很難知道什么數(shù)據(jù)在什么地方，恢復(fù)時(shí)間長(zhǎng)短依賴于何時(shí)硬件平臺(tái)能夠被提供和準(zhǔn)備好。以前被許多進(jìn)行關(guān)鍵業(yè)務(wù)生產(chǎn)的大企業(yè)所廣泛采用，作為異地容災(zāi)的手段。目前，這一等級(jí)方案在許多中小網(wǎng)站和中小企業(yè)用戶中采用較多。對(duì)于要求快速進(jìn)行業(yè)務(wù)恢復(fù)和海量數(shù)據(jù)恢復(fù)的用戶，這種方案是不能夠被接受的。2級(jí)：熱備份站點(diǎn)備份第2級(jí)容災(zāi)方案是將關(guān)鍵數(shù)據(jù)進(jìn)行備份并存放到異地，制定有相應(yīng)災(zāi)難恢復(fù)計(jì)劃，具有熱備份能力的站點(diǎn)災(zāi)難恢復(fù)。一旦發(fā)生災(zāi)難，利用熱備份主機(jī)系統(tǒng)將數(shù)據(jù)恢復(fù)。它與第1級(jí)容災(zāi)方案的區(qū)別在于異地有一個(gè)熱備份站點(diǎn)，該站點(diǎn)有主機(jī)系統(tǒng)，平時(shí)利用異地的備份管理軟件將運(yùn)送到異

27、地的數(shù)據(jù)備份介質(zhì)（磁帶）上的數(shù)據(jù)備份到主機(jī)系統(tǒng)。當(dāng)災(zāi)難發(fā)生時(shí)可以快速接管應(yīng)用，恢復(fù)生產(chǎn)。由于有了熱備中心，用戶投資會(huì)增加，相應(yīng)的管理人員要增加。技術(shù)實(shí)現(xiàn)簡(jiǎn)單，利用異地的熱備份系統(tǒng)，可以在本地發(fā)生毀滅性災(zāi)難后，快速進(jìn)行業(yè)務(wù)恢復(fù)。但這種容災(zāi)方案由于備份介質(zhì)是采用交通運(yùn)輸方式送往異地，異地?zé)醾渲行谋４娴臄?shù)據(jù)是上一次備份的數(shù)據(jù)，可能會(huì)有幾天甚至幾周的數(shù)據(jù)丟失。這對(duì)于關(guān)鍵數(shù)據(jù)的容災(zāi)是不能容忍的。3級(jí)：在線數(shù)據(jù)恢復(fù)第3級(jí)容災(zāi)方案是通過(guò)網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)進(jìn)行備份并存放至異地，制定有相應(yīng)災(zāi)難恢復(fù)計(jì)劃，有備份中心，并配備部分?jǐn)?shù)據(jù)處理系統(tǒng)及網(wǎng)絡(luò)通信系統(tǒng)。該等級(jí)方案特點(diǎn)是用電子數(shù)據(jù)傳輸取代交通工具傳輸備份數(shù)據(jù)，從而提高

28、了災(zāi)難恢復(fù)的速度。利用異地的備份管理軟件將通過(guò)網(wǎng)絡(luò)傳送到異地的數(shù)據(jù)備份到主機(jī)系統(tǒng)。一旦災(zāi)難發(fā)生，需要的關(guān)鍵數(shù)據(jù)通過(guò)網(wǎng)絡(luò)可迅速恢復(fù)，通過(guò)網(wǎng)絡(luò)切換，關(guān)鍵應(yīng)用恢復(fù)時(shí)間可降低到一天或小時(shí)級(jí)。這一等級(jí)方案由于備份站點(diǎn)要保持持續(xù)運(yùn)行，對(duì)網(wǎng)絡(luò)的要求較高，因此成本相應(yīng)有所增加。4級(jí)：定時(shí)數(shù)據(jù)備份第4級(jí)容災(zāi)方案是在第3級(jí)容災(zāi)方案的基礎(chǔ)上，利用備份管理軟件自動(dòng)通過(guò)通信網(wǎng)絡(luò)將部分關(guān)鍵數(shù)據(jù)定時(shí)備份至異地，并制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃。一旦災(zāi)難發(fā)生，利用備份中心已有資源及異地備份數(shù)據(jù)恢復(fù)關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行。這一等級(jí)方案特點(diǎn)是備份數(shù)據(jù)是采用自動(dòng)化的備份管理軟件備份到異地，異地?zé)醾渲行谋４娴臄?shù)據(jù)是定時(shí)備份的數(shù)據(jù)，根據(jù)備份策略的不

29、同，數(shù)據(jù)的丟失與恢復(fù)時(shí)間達(dá)到天或小時(shí)級(jí)。由于對(duì)備份管理軟件設(shè)備和網(wǎng)絡(luò)設(shè)備的要求較高，因此投入成本也會(huì)增加。但由于該級(jí)別備份的特點(diǎn)，業(yè)務(wù)恢復(fù)時(shí)間和數(shù)據(jù)的丟失量還不能滿足關(guān)鍵行業(yè)對(duì)關(guān)鍵數(shù)據(jù)容災(zāi)的要求。5級(jí)：實(shí)時(shí)數(shù)據(jù)備份第5級(jí)容災(zāi)方案在前面幾個(gè)級(jí)別的基礎(chǔ)上使用了硬件的鏡像技術(shù)和軟件的數(shù)據(jù)復(fù)制技術(shù)，也就是說(shuō)，可以實(shí)現(xiàn)在應(yīng)用站點(diǎn)與備份站點(diǎn)的數(shù)據(jù)都被更新。數(shù)據(jù)在兩個(gè)站點(diǎn)之間相互鏡像，由遠(yuǎn)程異步提交來(lái)同步，因?yàn)殛P(guān)鍵應(yīng)用使用了雙重在線存儲(chǔ)，所以在災(zāi)難發(fā)生時(shí)，僅僅很小部分的數(shù)據(jù)被丟失，恢復(fù)的時(shí)間被降低到了分鐘級(jí)或秒級(jí)。由于對(duì)存儲(chǔ)系統(tǒng)和數(shù)據(jù)復(fù)制軟件的要求較高，所需成本也大大增加。這一等級(jí)的方案由于既能保證不影響當(dāng)前交易的進(jìn)行，又能實(shí)時(shí)復(fù)制交易產(chǎn)生的數(shù)據(jù)到異地，所以這一層次的方案是目前應(yīng)用最廣泛的一類，正因?yàn)槿绱耍S多廠商都有基于自己產(chǎn)品的容災(zāi)解決方案。如存儲(chǔ)廠商EMC等推出的基于智能存儲(chǔ)服務(wù)器的數(shù)據(jù)遠(yuǎn)程拷貝；系統(tǒng)復(fù)制軟件提供商VERITA灣