郭 暉 陳曉輝

（蘭州石化公司自動化研究院 甘肅 蘭州 730060）

目前，越來越多的企業(yè)開始關(guān)注檔案資源的利用，建立大集中式的檔案管理系統(tǒng)， 方便企業(yè)檔案資源的整合利用。大集中部署架構(gòu)有效的防止了信息孤島，對企業(yè)檔案業(yè)務進行了集中統(tǒng)一的管理，但數(shù)據(jù)集中帶來了風險的集中。 風險的集中，需要我們重視災難備份的建設。

1 檔案管理系統(tǒng)架構(gòu)影響分析

檔案管理系統(tǒng)的架構(gòu)一般都是由以下三大部分組成，每個部分如果發(fā)生故障，會對業(yè)務造成相應的影響。

1.1 WEB 層

WEB 層是為用戶訪問系統(tǒng)提供WEB 服務。 一般WEB層都提供負載均衡策略，當其中一個WEB 服務出現(xiàn)問題時，此服務可由其他服務進行接管。 當故障修復后，將恢復到之前的均衡工作狀態(tài)。 但如果WEB 服務同時發(fā)生故障，用戶將無法訪問檔案管理系統(tǒng)。

1.2 應用層

應用層為用戶提供各種應用服務，如報表、索引、檢索等服務。 當相應服務故障時，其提供的服務將停止。

1.3 數(shù)據(jù)層

數(shù)據(jù)層為各種應用提供數(shù)據(jù)支持。 通過使用Cluster 技術(shù)，可實現(xiàn)數(shù)據(jù)庫的雙機熱備功能，即主數(shù)據(jù)庫出現(xiàn)問題時，備用數(shù)據(jù)庫可自動判斷出主庫的出錯狀態(tài)，并接管數(shù)據(jù)庫以提供服務，這個過程僅持續(xù)幾秒鐘，是用戶基本感覺不到的，是一個全自動的過程。 檔案管理系統(tǒng)內(nèi)的所有數(shù)據(jù)庫均采用數(shù)據(jù)庫群集技術(shù)，即保證對任何一個數(shù)據(jù)庫都可實現(xiàn)雙機熱備。 對于數(shù)據(jù)庫群集來說，共享存儲故障將是該方案的唯一單點故障，故障發(fā)生時，將無法對數(shù)據(jù)進行存取。

2 災難備份系統(tǒng)建設模式分析

災難備份建設模式目前主要可行的有兩種，即“一地兩中心”與“兩地三中心”災難備份模式。

“一地兩中心”模式，采用的是生產(chǎn)中心和同城災難備份中心的備份模式。 生產(chǎn)中心每天晚上定時向同城災難備份中心備份當天的數(shù)據(jù)。 災難備份中心的數(shù)據(jù)比生產(chǎn)中心滯后，當生產(chǎn)中心發(fā)生災難時，會出現(xiàn)一定量的數(shù)據(jù)丟失，丟失的數(shù)據(jù)是災難前生產(chǎn)中心向災難備份中心最后一次傳送后的數(shù)據(jù)。 但此種模式有一個很大的弊端，就是當城市發(fā)生大規(guī)模災難，如地震時，兩個中心的數(shù)據(jù)就將面臨無法挽回的損失。

“兩地三中心”模式，就是在同城建立災難備份，在異地也建立災難備份。 生產(chǎn)中心每天晚上定時向同城及異地災難備份環(huán)境備份當天的數(shù)據(jù)。 災難備份環(huán)境數(shù)據(jù)比生產(chǎn)中心滯后，生產(chǎn)中心發(fā)生災難后，將出現(xiàn)相應數(shù)據(jù)的丟失，丟失的數(shù)據(jù)是災難前生產(chǎn)中心向災難備份中心最后一次傳送后的數(shù)據(jù)。 此種模式當生產(chǎn)環(huán)境發(fā)生故障時，可啟動同城災難備份中心。 當發(fā)生城市大規(guī)模災難時，異地災難備份中心可啟動進行工作。

災難備份建設不是一個簡單的信息系統(tǒng)項目，而是一個耗資龐大的系統(tǒng)工程，需要大量財力、物力、人力的投入。 相對于其他項目，它為小概率災難事件而準備，它投入較大而效果不容易體現(xiàn)。 所以在災難備份環(huán)境的整體架構(gòu)設計上，需要考慮綜合的災備需求、投資等方面的因素。而“兩地三中心”建設模式對數(shù)據(jù)的保護級別較高，在災難發(fā)生時可以最大限度地確保數(shù)據(jù)不丟失。 在綜合考慮數(shù)據(jù)的重要性，以及技術(shù)、投資、可靠性等各方面因素的基礎上，建議采用生產(chǎn)中心、同城災備中心和異地災備中心這種“兩地三中心”建設模式，更加符合未來檔案業(yè)務的實際需求，對珍存企業(yè)記憶提供有力保障。

3 災難備份建設的基本流程

3.1 建立災難備份的專門機構(gòu)

災備環(huán)境的建設應由公司高層領(lǐng)導決策，指定相關(guān)負責人進行實施。 成立項目指導委員會，下設項目經(jīng)理部，項目經(jīng)理部的機構(gòu)人員由技術(shù)、業(yè)務、財務、后勤等組成。 其主要職責是分析災備需求，制定相關(guān)方案，確定總體預算，監(jiān)督項目實施，明確人員職責，協(xié)調(diào)各部門關(guān)系，定期測試評估災備計劃，對結(jié)果進行審核保存，之后進行相應改進。

3.2 分析災難備份需求

信息系統(tǒng)災備分析應包括業(yè)務分析、風險分析、災難恢復的目標。

業(yè)務分析是分析檔案業(yè)務停止將造成的損失，數(shù)據(jù)丟失對企業(yè)形象，對社會安定因素造成的影響。 分析檔案業(yè)務停止的最大容忍時間、恢復優(yōu)先級、各項業(yè)務的相關(guān)性、可接受的交易丟失程度。

風險分析主要分析系統(tǒng)資產(chǎn)價值、檔案系統(tǒng)風險。

1）檔案管理系統(tǒng)資產(chǎn)價值分析。 檔案管理系統(tǒng)將成為各業(yè)務系統(tǒng)中具有保存價值的、憑證性電子文件的永久保管中心。 檔案是公司資產(chǎn)的重要組成部分，涉及方方面面的歷史數(shù)據(jù)資源，為公司生產(chǎn)建設、科學研究、經(jīng)營管理等各項工作提供支撐，具有極高的隱性資產(chǎn)價值。 如果檔案數(shù)據(jù)損壞或丟失，將對國家安全和經(jīng)濟造成不可挽回的損失，所以應進行多重保護。

2）檔案管理系統(tǒng)風險分析。 檔案管理系統(tǒng)主要面臨兩方面的威脅，一種是自然威脅，另一種是人為威脅。 自然威脅包括戰(zhàn)爭、動亂、嚴重的自然災害等情況。 人為威脅包括有意或無意的人為操作對系統(tǒng)及數(shù)據(jù)的威脅。 如果是人為威脅，可以通過備份的環(huán)境或數(shù)據(jù)對業(yè)務應用進行恢復，也可以通過規(guī)范的管理去把控。 所以，當面對自然威脅時，同城災備系統(tǒng)無法滿足檔案管理系統(tǒng)的安全防護。

3.3 制定災難備份方案

1）數(shù)據(jù)備份方案。根據(jù)災備需求分析確定數(shù)據(jù)備份要求。根據(jù)數(shù)據(jù)的重要級別、數(shù)據(jù)量大小、業(yè)務允許停頓的最大時間、數(shù)據(jù)最大丟失度、數(shù)據(jù)傳輸量等來確定數(shù)據(jù)備份方案。

2）備份系統(tǒng)。 災難備份應根據(jù)檔案管理系統(tǒng)的特點配備相應的備份系統(tǒng)。 災備系統(tǒng)包括服務的范圍、網(wǎng)絡的拓撲結(jié)構(gòu)、網(wǎng)絡切換方式、軟硬件環(huán)境等。

3）災難備份中心建設。 災難備份中心是配備了各種資源備份的計算機處理中心，當災難發(fā)生時，它將接替數(shù)據(jù)處理中心開始運行。 檔案管理系統(tǒng)可采用自建、租用、聯(lián)合建設等模式。

4）規(guī)程與管理制度

檔案管理系統(tǒng)災備建設時，需要制定災備的各項制度和管理流程，如日常數(shù)據(jù)備份管理制度、備份數(shù)據(jù)存放制度、災備環(huán)境切換流程、災備系統(tǒng)變更管理流程等。

3.4 實施災難備份方案

目的是按照已經(jīng)制定的災難備份方案，進行相應災難備份工作。 在建設過程中，需要落實相應的規(guī)章制度，嚴格按照已經(jīng)制定的方案進行，把方案落實到位。

3.5 制定災難恢復計劃

目的是規(guī)范災難恢復流程，使重要信息系統(tǒng)在災難發(fā)生后能快速地恢復數(shù)據(jù)處理系統(tǒng)的運行和業(yè)務運作。