楊 珺

（中國鐵路信息科技集團有限公司 網(wǎng)信技術(shù)處，北京 100038）

隨著信息系統(tǒng)建設(shè)的飛速發(fā)展，各行各業(yè)對利用信息系統(tǒng)處理事物和數(shù)據(jù)分析的依賴性越來越大，越來越多的企業(yè)認識到信息系統(tǒng)安全運行的重要性。2019年發(fā)布的《信息系統(tǒng)安全等級保護基本要求》（簡稱：等級保護2.0）中對不同的等級系統(tǒng)需采用的災(zāi)備方式提出了要求，其中，等級保護二級信息系統(tǒng)需實現(xiàn)異地數(shù)據(jù)備份功能，等級保護三級信息系統(tǒng)需實現(xiàn)提供異地實時備份功能，等級保護四級系統(tǒng)則需實現(xiàn)業(yè)務(wù)應(yīng)用的實時切換。因此，災(zāi)備技術(shù)的研究對構(gòu)筑信息系統(tǒng)堅實的防線十分重要。

1 災(zāi)難恢復(fù)考慮因素

1.1 恢復(fù)時間目標和恢復(fù)點目標

恢復(fù)時間目標（RTO，Recovery Time Objective），指系統(tǒng)從中斷恢復(fù)到企業(yè)可接受的運行狀態(tài)所需的時間。RTO值越小表示系統(tǒng)恢復(fù)能力越強。

恢復(fù)點目標（RPO，Recovery Point Objective），指為支撐系統(tǒng)恢復(fù)進行所需數(shù)據(jù)的備份時間點，表示系統(tǒng)恢復(fù)后需修復(fù)或追補的數(shù)據(jù)量。RPO值越小代表系統(tǒng)數(shù)據(jù)丟失越少。

1.2 業(yè)務(wù)連續(xù)性

實現(xiàn)業(yè)務(wù)連續(xù)性是信息系統(tǒng)災(zāi)備的最終目標，也是災(zāi)備方案價值的具體體現(xiàn)。為保障災(zāi)難發(fā)生時的業(yè)務(wù)連續(xù)性，系統(tǒng)需進行網(wǎng)絡(luò)切換和應(yīng)用切換，保障業(yè)務(wù)系統(tǒng)能夠在備用數(shù)據(jù)中心繼續(xù)安全運行，從而最大限度地保障企業(yè)利益。

1.3 數(shù)據(jù)和網(wǎng)絡(luò)

數(shù)據(jù)的完整性和連續(xù)性是保障業(yè)務(wù)連續(xù)性的關(guān)鍵，在本地一般采用獨立磁盤冗余陣列（RAID，Redundant Arrays of Independent Disks）技術(shù)來保障，而在異地則需采用數(shù)據(jù)復(fù)制技術(shù)來實現(xiàn)。

通信網(wǎng)絡(luò)的質(zhì)量直接影響災(zāi)難恢復(fù)的效率，包括網(wǎng)絡(luò)的數(shù)據(jù)傳輸帶寬、網(wǎng)絡(luò)傳輸通道的冗余性。

2 災(zāi)備的等級劃分

國家《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》[1]規(guī)定了信息系統(tǒng)的容災(zāi)級別，并分別給出了應(yīng)對措施，如表1所示。

表1 《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》規(guī)定的容災(zāi)級別及其應(yīng)對措施

實際應(yīng)用中，從系統(tǒng)的保護程度來分，災(zāi)備大體上可以分為數(shù)據(jù)級、應(yīng)用級、業(yè)務(wù)級這3個災(zāi)備等級，如圖1所示。

圖1 災(zāi)備的3個等級

2.1 數(shù)據(jù)級災(zāi)備

數(shù)據(jù)級災(zāi)備的重點在數(shù)據(jù)的備份和恢復(fù)，采用人工或工具將數(shù)據(jù)保存到異地，如數(shù)據(jù)的復(fù)制、備份和恢復(fù)等。災(zāi)難發(fā)生后利用備份數(shù)據(jù)將用戶數(shù)據(jù)的丟失或者破壞降到最低，是所有災(zāi)備工作的基礎(chǔ)。

2.2 應(yīng)用級災(zāi)備

應(yīng)用級災(zāi)備強調(diào)應(yīng)用的功能接管，是在數(shù)據(jù)級災(zāi)備的基礎(chǔ)上再構(gòu)建一套應(yīng)用支撐系統(tǒng)，如數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等。在生產(chǎn)中心發(fā)生故障的情況下，由災(zāi)備中心提供業(yè)務(wù)的接管。此方式提供比數(shù)據(jù)級災(zāi)備更高級別的業(yè)務(wù)恢復(fù)能力，同時也是業(yè)務(wù)級災(zāi)備的基礎(chǔ)。

2.3 業(yè)務(wù)級災(zāi)備

業(yè)務(wù)級災(zāi)備是最高級別的災(zāi)備模式，對業(yè)務(wù)有更強的支撐能力，不僅提供支撐系統(tǒng)繼續(xù)服務(wù)的能力，還提供備用辦公場所、辦公人員等其他非業(yè)務(wù)方面的備份。

2.4 災(zāi)難恢復(fù)需求參照等級保護

結(jié)合災(zāi)難恢復(fù)需求，參照等級標準給出的恢復(fù)時間、恢復(fù)時間點目標參考值，計算出應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)需求，即應(yīng)用系統(tǒng)的RTO、RPO值。災(zāi)難恢復(fù)需求參照等級標準作為計算應(yīng)用系統(tǒng)的RTO、RPO值的參考模型，制定過程需要結(jié)合行業(yè)災(zāi)備領(lǐng)先實踐、災(zāi)備技術(shù)發(fā)展水平、行業(yè)特征以及對應(yīng)用系統(tǒng)的依賴程度等因素制定。災(zāi)難恢復(fù)需求參照等級標準，如表2所示。

表2 災(zāi)難恢復(fù)需求參照等級標準

在推導(dǎo)應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)需求時，還需要考慮以下因素：（1）分析應(yīng)用系統(tǒng)是否與其他系統(tǒng)相關(guān)聯(lián)，如果應(yīng)用系統(tǒng)作為其他應(yīng)用系統(tǒng)災(zāi)難恢復(fù)的基礎(chǔ)時，其RTO、RPO值應(yīng)該參照關(guān)聯(lián)系統(tǒng)的災(zāi)難恢復(fù)需求；（2）是否存在對應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)有特定的管理規(guī)范，應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)需求應(yīng)滿足管理規(guī)范要求；（3）承載信息系統(tǒng)運行的數(shù)據(jù)中心采用的基礎(chǔ)平臺的技術(shù)特征，采用傳統(tǒng)的架構(gòu)搭建的數(shù)據(jù)中心，災(zāi)難恢復(fù)需求較高，采用云架構(gòu)搭建的數(shù)據(jù)中心，由于云架構(gòu)本身具備的高可用和靈活性，災(zāi)難恢復(fù)要求可較上表適當降低。

3 災(zāi)備技術(shù)分析

3.1 業(yè)務(wù)連續(xù)性保障策略分析

業(yè)務(wù)連續(xù)性保障策略有通常有應(yīng)用雙活、熱備、暖備、冷備等方式。

（1）應(yīng)用雙活方式

應(yīng)用雙活是在主數(shù)據(jù)中心與備用數(shù)據(jù)中心均配置同等級的資源，使部署的應(yīng)用集群實現(xiàn)業(yè)務(wù)同時在兩個數(shù)據(jù)中心運行，并根據(jù)一定的規(guī)則進行業(yè)務(wù)負載分擔(dān)，實現(xiàn)自動業(yè)務(wù)切換。

（2）應(yīng)用熱備方式

應(yīng)用熱備是在備用數(shù)據(jù)中心提前部署軟硬件和業(yè)務(wù)數(shù)據(jù)。當災(zāi)難發(fā)生時，災(zāi)備系統(tǒng)可自動接替主站點生產(chǎn)系統(tǒng)運行，主要通過跨數(shù)據(jù)中心集群或負載平衡方式實現(xiàn)。此方式需要較高的運營水平，數(shù)據(jù)的實時性取決于數(shù)據(jù)恢復(fù)方法。

（3）應(yīng)用暖備方式

應(yīng)用暖備是在備用數(shù)據(jù)中心配置恢復(fù)系統(tǒng)所必須的資源，提前部署軟件。當災(zāi)難發(fā)生時，應(yīng)用暖備需要在備份站點進行業(yè)務(wù)數(shù)據(jù)恢復(fù)，并人工將網(wǎng)絡(luò)切換到備份站點之后，備份系統(tǒng)才可接替生產(chǎn)運行，此方式要求保證備用數(shù)據(jù)中心資源處于活動狀態(tài)。

（4）應(yīng)用冷備方式

應(yīng)用冷備則是在數(shù)據(jù)中心配置滿足數(shù)據(jù)存儲和應(yīng)用運行所必需的硬件資源。當災(zāi)難發(fā)生時，應(yīng)用冷備需要在備用場地進行系統(tǒng)重建工作，從而在備份數(shù)據(jù)中心恢復(fù)業(yè)務(wù)運行。

（5）策略分析

應(yīng)用雙活方式可以做到RTO趨近于0，基本達到數(shù)據(jù)的零丟失。應(yīng)用熱備方式RTO一般為分鐘級/小時級，會損失主數(shù)據(jù)中心正在處理的部分數(shù)據(jù)。應(yīng)用暖備方式RTO一般為小時級，會損失主系統(tǒng)宕機后至備用啟動前的所有數(shù)據(jù)。應(yīng)用冷備方式RTO一般以天計算，同樣會損失主系統(tǒng)宕機后至備用啟動前的所有數(shù)據(jù)。

RTO決定了應(yīng)用系統(tǒng)連續(xù)性保障策略的選擇，同時RTO值越小，所需的投資也就越多。根據(jù)業(yè)務(wù)影響分析結(jié)論，可根據(jù)系統(tǒng)能夠忍受的數(shù)據(jù)丟失程度結(jié)合投資采取相應(yīng)的應(yīng)用系統(tǒng)連續(xù)性保障策略，具體如表3所示。

表3 應(yīng)用系統(tǒng)連續(xù)性保障策略

3.2 數(shù)據(jù)復(fù)制方式分析

3.2.1 數(shù)據(jù)復(fù)制方式

災(zāi)備數(shù)據(jù)復(fù)制方式包括數(shù)據(jù)同步復(fù)制、數(shù)據(jù)異步復(fù)制、數(shù)據(jù)定時復(fù)制、數(shù)據(jù)離線備份[2-3]。

（1）數(shù)據(jù)同步復(fù)制

數(shù)據(jù)同步復(fù)制是生產(chǎn)系統(tǒng)的I/O寫入主數(shù)據(jù)中心盤陣時，同步寫到備用數(shù)據(jù)中心后，才開始處理下一次I/O，但是高的I/O 應(yīng)用限制了主數(shù)據(jù)中心和備用數(shù)據(jù)中心間的距離，通常要求兩中心的距離不超過100 km。

（2）數(shù)據(jù)異步復(fù)制

數(shù)據(jù)異步復(fù)制是生產(chǎn)系統(tǒng)的I/O寫入主數(shù)據(jù)中心盤陣時，同時發(fā)送到備用數(shù)據(jù)中心，生產(chǎn)系統(tǒng)不用等到I/O寫入到備用數(shù)據(jù)中心完成，就開始處理下一I/O，可以遠距離傳輸?shù)遣荒鼙ＷC數(shù)據(jù)復(fù)制是按照順序進行。

（3）數(shù)據(jù)定時復(fù)制

數(shù)據(jù)定時復(fù)制指生產(chǎn)數(shù)據(jù)定時從主數(shù)據(jù)中心復(fù)制到備份數(shù)據(jù)中心，復(fù)制到備份數(shù)據(jù)中心的數(shù)據(jù)是生產(chǎn)系統(tǒng)一段時間內(nèi)最終變化的數(shù)據(jù)。

（4）數(shù)據(jù)離線復(fù)制

數(shù)據(jù)離線復(fù)制按照離線流程，實現(xiàn)數(shù)據(jù)從磁盤到磁帶的定期備份，并進行異地保存。

數(shù)據(jù)同步復(fù)制方式?jīng)]有事務(wù)性數(shù)據(jù)丟失；數(shù)據(jù)異步復(fù)制方式RPO達到秒級或分鐘級，能夠基本保障數(shù)據(jù)的完整性和即時性。數(shù)據(jù)定時復(fù)制方式RPO一般為小時級（最高達24 h），雖然能夠保障一段時間內(nèi)的最終數(shù)據(jù)得到復(fù)制，但是過程數(shù)據(jù)等沒有備份無法追溯。數(shù)據(jù)離線復(fù)制方式RPO一般為12 h以上甚至數(shù)天，從上次備份到備份系統(tǒng)運行期間產(chǎn)生的數(shù)據(jù)將丟失。

RPO和數(shù)據(jù)中心間的距離決定了災(zāi)備數(shù)據(jù)復(fù)制方式的選擇?；跇I(yè)務(wù)影響分析的結(jié)論與數(shù)據(jù)中心距離，可選擇相應(yīng)的應(yīng)用系統(tǒng)災(zāi)備數(shù)據(jù)復(fù)制方式，具體如表4所示。

表4 應(yīng)用系統(tǒng)災(zāi)備數(shù)據(jù)復(fù)制方式

3.2.2 數(shù)據(jù)復(fù)制技術(shù)

目前，通常采用的數(shù)據(jù)復(fù)制技術(shù)有基于操作系統(tǒng)和存儲（包括虛擬存儲）、基于數(shù)據(jù)庫及基于中間件和應(yīng)用層這3種模式。

（1）基于操作系統(tǒng)和存儲的數(shù)據(jù)復(fù)制技術(shù)

基于底層的物理卷、數(shù)據(jù)塊，通過存儲存儲虛擬化等技術(shù)實現(xiàn)數(shù)據(jù)復(fù)制。這種數(shù)據(jù)復(fù)制技術(shù)的主要優(yōu)點是支持所有類型的數(shù)據(jù)，可以在不影響生產(chǎn)存儲數(shù)據(jù)的情況下進行靈活的各種數(shù)據(jù)管理，如存儲快照等。這種復(fù)制技術(shù)的主要問題是數(shù)據(jù)需要集中存儲，所以進行災(zāi)備復(fù)制前可能需要進行數(shù)據(jù)遷移，數(shù)據(jù)耦合度高，依賴存儲類型或操作系統(tǒng)，數(shù)據(jù)可用性校驗較差。

（2）基于數(shù)據(jù)庫的數(shù)據(jù)復(fù)制技術(shù)

大部分數(shù)據(jù)庫軟件都提供數(shù)據(jù)復(fù)制技術(shù)，包括商數(shù)據(jù)庫業(yè)和開源數(shù)據(jù)庫，實現(xiàn)數(shù)據(jù)的物理和邏輯復(fù)制復(fù)制。這種復(fù)制技術(shù)的主要優(yōu)點是效率高、網(wǎng)絡(luò)帶寬占用少、同時可利用軟件自身的檢測功能，增加數(shù)據(jù)壞塊的檢驗，提高數(shù)據(jù)的可用性。這種復(fù)制技術(shù)的主要不足是只針對數(shù)據(jù)庫數(shù)據(jù)，不能提供應(yīng)用數(shù)據(jù)的復(fù)制。

（3）基于中間件和應(yīng)用層的數(shù)據(jù)復(fù)制技術(shù)

基于中間件和應(yīng)用層的數(shù)據(jù)復(fù)制技術(shù)采用中間件或者應(yīng)用層面的雙寫，通過應(yīng)用架構(gòu)設(shè)計實現(xiàn)數(shù)據(jù)復(fù)制。這種復(fù)制技術(shù)的主要優(yōu)點在于可以根據(jù)業(yè)務(wù)需求來自行定制、自主可控性高。這種復(fù)制技術(shù)的主要缺點是應(yīng)用設(shè)計復(fù)雜，根據(jù)特定應(yīng)用場景定制，普遍推廣性差，一般情況下應(yīng)用需要改造，不適用于高頻更新、一致性要求高的場景。

4 信息系統(tǒng)災(zāi)備方案設(shè)計

根據(jù)2.4節(jié)中不同的災(zāi)難恢復(fù)需求等級，可以采用不同的災(zāi)備策略，對于評估分值高于8的系統(tǒng)，可采用最高級別的業(yè)務(wù)級災(zāi)備，對于評估分值為4～8的系統(tǒng)，可采用應(yīng)用級災(zāi)備。對于評估分值低于4的系統(tǒng)，信息系統(tǒng)災(zāi)備方案可采用數(shù)據(jù)級災(zāi)備。

4.1 數(shù)據(jù)級災(zāi)備方案

一般是在主數(shù)據(jù)中心部署應(yīng)用，并在本地實現(xiàn)數(shù)據(jù)備份的基礎(chǔ)上，將需要備份的數(shù)據(jù)通過人工方式定時運輸或通過數(shù)據(jù)復(fù)制工具采用異步方式保存到異地。當主中心出現(xiàn)故障時，數(shù)據(jù)級災(zāi)備方案利用災(zāi)備中心的備份數(shù)據(jù)可完成數(shù)據(jù)恢復(fù)，待將用戶請求切換到災(zāi)備中心后即可恢復(fù)業(yè)務(wù)運行。

4.2 應(yīng)用級災(zāi)備方案

應(yīng)用級災(zāi)備一般采用雙中心主備或雙活模式部署，應(yīng)用以主中心為生產(chǎn)環(huán)境、災(zāi)備中心為備份環(huán)境。同一業(yè)務(wù)系統(tǒng)同時只能在某一個數(shù)據(jù)中心提供讀寫，另一個數(shù)據(jù)中心熱備，通過負載均衡設(shè)備實現(xiàn)請求分發(fā)，應(yīng)用數(shù)據(jù)庫在本地實現(xiàn)高可用，同時向備份環(huán)境進行單向同步數(shù)據(jù)復(fù)制，其中，數(shù)據(jù)復(fù)制技術(shù)均可采用。當應(yīng)用在主中心發(fā)生故障時，應(yīng)用級災(zāi)備方案通過負載均衡將請求分發(fā)至災(zāi)備中心。災(zāi)備中心數(shù)據(jù)庫變?yōu)橹饔脭?shù)據(jù)庫，向主數(shù)據(jù)中心數(shù)據(jù)庫同步數(shù)據(jù)，從而實現(xiàn)在災(zāi)備中心接管應(yīng)用，提高業(yè)務(wù)連續(xù)性[4-5]。

4.3 業(yè)務(wù)級災(zāi)備方案

業(yè)務(wù)級災(zāi)備除了必要的信息系統(tǒng)相關(guān)技術(shù)，還要求具備全部的基礎(chǔ)設(shè)施能力，即非信息技術(shù)系統(tǒng)的備份（如電話、辦公地點）。當災(zāi)難發(fā)生后，業(yè)務(wù)級災(zāi)備方案除了在災(zāi)備中心恢復(fù)數(shù)據(jù)和應(yīng)用外，還能在備份工作場所開展的正常業(yè)務(wù)，讓用戶應(yīng)用的服務(wù)請求能夠透明地繼續(xù)運行，保證信息系統(tǒng)提供的服務(wù)完整、可靠、安全[6]。

4.4 災(zāi)備模式對比

不同災(zāi)備模式的對比如表5所示。

表5 不同災(zāi)備模式對比

5 結(jié)束語

本文從災(zāi)難恢復(fù)考慮因素、災(zāi)備等級劃分、災(zāi)備技術(shù)分析、信息系統(tǒng)災(zāi)備方案設(shè)計等方面進行了詳細的論述，并對不同災(zāi)備模式進行了對比，旨在提升業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性、穩(wěn)定性和可用性，信息系統(tǒng)據(jù)此選擇適合的的災(zāi)備方案能夠以恰當?shù)囊?guī)模、合理的資源利用率及適當?shù)倪\維模式實現(xiàn)信息系統(tǒng)災(zāi)備效果，從而達到保障企業(yè)安全穩(wěn)定生產(chǎn)的目的。未來，將進一步研究信息系統(tǒng)災(zāi)備的具體技術(shù)手段和實現(xiàn)方案，實現(xiàn)信息系統(tǒng)安全可靠運行的目標。