新数据中心如何解决数据的灾备以及安全问题
新数据中心如何解决数据的灾备以及安全问题
如何应对“将鸡蛋放在一个篮子里”所带来的风险?对于信息化应用而言,灾备系统的建设已成为备受关注的热点和重点。
概述
数据中心是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署,以及对IT基础设施、业务应用和数据的统一运维管理。
数据大集中的同时也对数据安全提出了更高的要求,如何应对“将鸡蛋放在一个篮子里”所带来的风险,已成为备受关注的重点。面对频频发生的雪灾、地震等自然灾害,对于信息化应用而言,灾备系统的建设也已成为热点。随着2007年11月《信息系统灾难恢复规范》正式成为国家标准,许多用户将从观望、徘徊转向实际应用。对于正处于服务转型期的电信运营商来说,借助灾备中心应用热潮,提供更有价值的信息化服务,改变原有的、单一的网络接入商角色,是值得把握的一次良好机会。
灾难备份概念介绍
1. 灾难备份的分类
灾备从应用层次,大体可分为三个类别:数据级别、应用级别和业务级别。从用户整个业务连续性的保障程度来看,其高可用性级别也随之逐级提高。
1) 数据级别
数据级别灾备的关注点在于数据,即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。数据级别灾备是保障数据可用的最低底线,当数据丢失时能够保证应用系统可以重新得到所有数据。这种方案的优点是投入低,构建简单。
2) 应用级别
对于业务应用繁多,并且系统需要保持7*24小时连续运行的企业来说,显然需要高级别的应用灾备系统来满足其需求。应用级备份是在数据级灾备的基础上,在备份站点同样构建一套应用系统。应用级灾备系统能提供不间断的应用服务,使用户的服务请求能够透明地继续运行,保证信息系统提供的服务完整、可靠和安全,完全不受灾难的影响。一般来说,应用级灾备系统需要通过更多软件来实现,它可以使企业的多种应用在灾难发生时进行快速切换,确保业务的连续性。
3) 业务级别
即使构建了数据级灾备和应用级灾备,也都还是在IT范畴之内,对于正常的业务而言,仅有IT系统的保障还是不够的。当一场大的灾难发生时,原有的办公场所都会受到破坏,除了需要原有的数据和原有的应用系统,还需要工作人员在一个备份的工作场所能够正常的开展业务,这就要包括原有工作环境中的一切必须工作设备(如电话、电传、扫描和打印等)。因此用户需要构建最高级别的业务级别灾备,这一级别灾备的大部分内容是非IT系统。
2. 灾难备份的等级划分
以下依据国标GB20988-2007-T《信息安全技术信息系统灾难恢复规范》来说明灾难恢复的等级要求。
1) 灾难恢复资源要素
支持灾难恢复各个等级所需的资源可分为如图1所示的7个要素:
图1 灾难恢复资源要素
数据备份系统
数据备份系统通常由数据备份的硬件、软件和数据备份介质组成,如果是依靠电子传输的数据备份系统,还包括数据备份线路和相应的通信设备。数据备份系统是灾难备份系统的最基本要素,如何将数据(包含系统、应用和业务数据)完整的、实时的复制到灾备中心是灾备系统建设需要重点考虑的事项。
备用数据处理系统
备份数据处理系统是指备用的计算机、外围设备和软件。
备用网络系统
备用网络系统是最终用户用来访问备用数据处理系统的网络,包括备用网络通信设备和备用数据通信线路。
备用基础设施
备用基础设施是灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织,包括介质的场外存放场所、备用的机房及灾难恢复工作辅助设施,以及容许灾难恢复人员连续停留的生活设施。
专业技术支持能力
专业技术支持能力是对灾难恢复的运转提供支持和综合保障的能力,以实现灾难恢复系统的预期目标。包括硬件、系统软件和应用软件的问题分析和处理能力、网络系统安全运行管理能力、沟通协调能力等。
运行维护管理能力
运行维护管理能力包括运行环境管理、系统管理、安全管理和变更管理等内容。
灾难恢复预案
灾难恢复预案是保障关键业务功能在灾难备份中心的恢复和重续运行、主系统的灾后重建和回退工作,以及突发事件应急响应的组织流程和预案。
2) 灾难恢复能力评价指标
一般地,灾难恢复能力采用三个主要的容灾指标RTO、RPO、NRO作为评判依据:
恢复时间目标RTO(Recovery Time Object)
该指标是容灾恢复的时间指标,从广义上来说是从灾难发生造成业务中断,直到通过各种方法恢复业务所需要的时间。通常越短的RTO意味着越高的容灾能力。另一个狭义的RTO指标是指从决定进行容灾切换到业务可以继续运行所经过的时间。一般用狭义的RTO指标评价IT层面的容灾能力。
恢复点目标RPO(Recovery Point Object)
宕机导致的停机不是故障影响的全部,宕机带来的另一种影响对企业的损害可能更大,那就是永久性数据丢失:宕机以前的数据没有保存到在线数据库或文件中。
宕机之后数据开始恢复的时间点称之为恢复点,恢复点指标RPO,就是当业务恢复后,可以达到与灾难发生前那个时间点相同的工作状态。通常RPO对应着灾难造成的数据丢失程度,如果RPO为0,就相当于没有丢失任何数据。但这种理想状态往往是无法达到的,这就涉及到业务回滚。业务恢复与回滚的不同之处在于业务恢复不考虑数据丢失,特别是对于没有前后连贯性的一类业务,新的业务处理不需要以前的业务结果,当灾难恢复完成后,可以直接进行新的业务;而业务回滚是与数据丢失相关的,丢失的数据必须通过各种方法进行修复,可能需要手工完成,新业务开始运转后会持续很长的时间,这段时间就是业务回滚时间,也可以叫做修复灾难造成的损失时间。
网络恢复目标NRO(Network Recovery Object)
网络恢复时间是指当灾难发生后,最终用户切换到备用网络系统,并且可以通过备用网络访问灾备中心所需的时间。一个快速收敛聚合的网络可以为应用和数据的迁移提供可靠的传输路径。NRO可以滞后于RTO,也可能超前于RTO。
图2 RPO/RTO/NRO三者关系
3) 国标灾难恢复等级
以下是对国标灾难恢复等级的简要描述,表1中用蓝色字体表明了不同等级对备用网络系统的要求。
如何应对“将鸡蛋放在一个篮子里”所带来的风险?对于信息化应用而言,灾备系统的建设已成为备受关注的热点和重点。
概述
数据中心是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署,以及对IT基础设施、业务应用和数据的统一运维管理。
数据大集中的同时也对数据安全提出了更高的要求,如何应对“将鸡蛋放在一个篮子里”所带来的风险,已成为备受关注的重点。面对频频发生的雪灾、地震等自然灾害,对于信息化应用而言,灾备系统的建设也已成为热点。随着2007年11月《信息系统灾难恢复规范》正式成为国家标准,许多用户将从观望、徘徊转向实际应用。对于正处于服务转型期的电信运营商来说,借助灾备中心应用热潮,提供更有价值的信息化服务,改变原有的、单一的网络接入商角色,是值得把握的一次良好机会。
灾难备份概念介绍
1. 灾难备份的分类
灾备从应用层次,大体可分为三个类别:数据级别、应用级别和业务级别。从用户整个业务连续性的保障程度来看,其高可用性级别也随之逐级提高。
1) 数据级别
数据级别灾备的关注点在于数据,即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。数据级别灾备是保障数据可用的最低底线,当数据丢失时能够保证应用系统可以重新得到所有数据。这种方案的优点是投入低,构建简单。
2) 应用级别
对于业务应用繁多,并且系统需要保持7*24小时连续运行的企业来说,显然需要高级别的应用灾备系统来满足其需求。应用级备份是在数据级灾备的基础上,在备份站点同样构建一套应用系统。应用级灾备系统能提供不间断的应用服务,使用户的服务请求能够透明地继续运行,保证信息系统提供的服务完整、可靠和安全,完全不受灾难的影响。一般来说,应用级灾备系统需要通过更多软件来实现,它可以使企业的多种应用在灾难发生时进行快速切换,确保业务的连续性。
3) 业务级别
即使构建了数据级灾备和应用级灾备,也都还是在IT范畴之内,对于正常的业务而言,仅有IT系统的保障还是不够的。当一场大的灾难发生时,原有的办公场所都会受到破坏,除了需要原有的数据和原有的应用系统,还需要工作人员在一个备份的工作场所能够正常的开展业务,这就要包括原有工作环境中的一切必须工作设备(如电话、电传、扫描和打印等)。因此用户需要构建最高级别的业务级别灾备,这一级别灾备的大部分内容是非IT系统。
2. 灾难备份的等级划分
以下依据国标GB20988-2007-T《信息安全技术信息系统灾难恢复规范》来说明灾难恢复的等级要求。
1) 灾难恢复资源要素
支持灾难恢复各个等级所需的资源可分为如图1所示的7个要素:
图1 灾难恢复资源要素
数据备份系统
数据备份系统通常由数据备份的硬件、软件和数据备份介质组成,如果是依靠电子传输的数据备份系统,还包括数据备份线路和相应的通信设备。数据备份系统是灾难备份系统的最基本要素,如何将数据(包含系统、应用和业务数据)完整的、实时的复制到灾备中心是灾备系统建设需要重点考虑的事项。
备用数据处理系统
备份数据处理系统是指备用的计算机、外围设备和软件。
备用网络系统
备用网络系统是最终用户用来访问备用数据处理系统的网络,包括备用网络通信设备和备用数据通信线路。
备用基础设施
备用基础设施是灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织,包括介质的场外存放场所、备用的机房及灾难恢复工作辅助设施,以及容许灾难恢复人员连续停留的生活设施。
专业技术支持能力
专业技术支持能力是对灾难恢复的运转提供支持和综合保障的能力,以实现灾难恢复系统的预期目标。包括硬件、系统软件和应用软件的问题分析和处理能力、网络系统安全运行管理能力、沟通协调能力等。
运行维护管理能力
运行维护管理能力包括运行环境管理、系统管理、安全管理和变更管理等内容。
灾难恢复预案
灾难恢复预案是保障关键业务功能在灾难备份中心的恢复和重续运行、主系统的灾后重建和回退工作,以及突发事件应急响应的组织流程和预案。
2) 灾难恢复能力评价指标
一般地,灾难恢复能力采用三个主要的容灾指标RTO、RPO、NRO作为评判依据:
恢复时间目标RTO(Recovery Time Object)
该指标是容灾恢复的时间指标,从广义上来说是从灾难发生造成业务中断,直到通过各种方法恢复业务所需要的时间。通常越短的RTO意味着越高的容灾能力。另一个狭义的RTO指标是指从决定进行容灾切换到业务可以继续运行所经过的时间。一般用狭义的RTO指标评价IT层面的容灾能力。
恢复点目标RPO(Recovery Point Object)
宕机导致的停机不是故障影响的全部,宕机带来的另一种影响对企业的损害可能更大,那就是永久性数据丢失:宕机以前的数据没有保存到在线数据库或文件中。
宕机之后数据开始恢复的时间点称之为恢复点,恢复点指标RPO,就是当业务恢复后,可以达到与灾难发生前那个时间点相同的工作状态。通常RPO对应着灾难造成的数据丢失程度,如果RPO为0,就相当于没有丢失任何数据。但这种理想状态往往是无法达到的,这就涉及到业务回滚。业务恢复与回滚的不同之处在于业务恢复不考虑数据丢失,特别是对于没有前后连贯性的一类业务,新的业务处理不需要以前的业务结果,当灾难恢复完成后,可以直接进行新的业务;而业务回滚是与数据丢失相关的,丢失的数据必须通过各种方法进行修复,可能需要手工完成,新业务开始运转后会持续很长的时间,这段时间就是业务回滚时间,也可以叫做修复灾难造成的损失时间。
网络恢复目标NRO(Network Recovery Object)
网络恢复时间是指当灾难发生后,最终用户切换到备用网络系统,并且可以通过备用网络访问灾备中心所需的时间。一个快速收敛聚合的网络可以为应用和数据的迁移提供可靠的传输路径。NRO可以滞后于RTO,也可能超前于RTO。
图2 RPO/RTO/NRO三者关系
3) 国标灾难恢复等级
以下是对国标灾难恢复等级的简要描述,表1中用蓝色字体表明了不同等级对备用网络系统的要求。
表1 国际灾难恢复等级描述
SHARE78
《信息系统灾难恢复规范》GB/T 20988-2007
Tier-0
无异地备份数据
第1级
基本级。备份介质场外存,安全保管、定期验证。对备用网络没有要求。
Tier-1
有数据备份,无备用系统
Tier-2
有数据备份,有备用系统
第2级
备份场地支持。网络和业务处理系统可在预定时间内调配到备份中心。配备部分通讯线路和相应的网络设备,或在灾难发生后能在预定的时间内调配所需的通讯线路和网络设备到备用场地。
Tier-3
电子链接
第3级
电子传输和部分设备支持。灾备中心配备部分业务处理和网络设备,具备部分通讯链路。
Tier-4
使用快照技术拷贝数据
第4级
电子传输和完整设备支持。数据定时批量传送,网络/系统始终就绪。配备灾难恢复所需的通讯链路;配备灾难恢复所需的网络设备,并处于就绪状态。
Tier-5
交易的完整性
第5级
实时数据传输及完整设备支持。采用远程复制技术,实现数据实时复制,网络具备自动或集中切换能力,业务处理系统就绪或运行中。配备灾难恢复所需的通讯链路;配备灾难恢复所需的网络设备,并处于就绪状态;具备通讯网络自动或集中切换能力。
Tier-6
少量或无数据丢失
第6级
数据零丢失和远程集群支持。数据实时备份,零丢失,系统/应用远程集群,可自动切换,用户同时接入主备中心。配备与主系统相同等级的通讯线路和网络设备;备用网络处于运行状态;最终用户可通过网络接入主中心和备用中心。
《信息系统灾难恢复规范》GB/T 20988-2007
Tier-0
无异地备份数据
第1级
基本级。备份介质场外存,安全保管、定期验证。对备用网络没有要求。
Tier-1
有数据备份,无备用系统
Tier-2
有数据备份,有备用系统
第2级
备份场地支持。网络和业务处理系统可在预定时间内调配到备份中心。配备部分通讯线路和相应的网络设备,或在灾难发生后能在预定的时间内调配所需的通讯线路和网络设备到备用场地。
Tier-3
电子链接
第3级
电子传输和部分设备支持。灾备中心配备部分业务处理和网络设备,具备部分通讯链路。
Tier-4
使用快照技术拷贝数据
第4级
电子传输和完整设备支持。数据定时批量传送,网络/系统始终就绪。配备灾难恢复所需的通讯链路;配备灾难恢复所需的网络设备,并处于就绪状态。
Tier-5
交易的完整性
第5级
实时数据传输及完整设备支持。采用远程复制技术,实现数据实时复制,网络具备自动或集中切换能力,业务处理系统就绪或运行中。配备灾难恢复所需的通讯链路;配备灾难恢复所需的网络设备,并处于就绪状态;具备通讯网络自动或集中切换能力。
Tier-6
少量或无数据丢失
第6级
数据零丢失和远程集群支持。数据实时备份,零丢失,系统/应用远程集群,可自动切换,用户同时接入主备中心。配备与主系统相同等级的通讯线路和网络设备;备用网络处于运行状态;最终用户可通过网络接入主中心和备用中心。
灾备服务实践
在规划和建设灾难备份和恢复系统时,用户经常面临着许多同样的困惑,例如,对灾难恢复建设不熟悉、缺乏经验;管理、技术、运维都面临调整;垂直行业无标准或标准混乱;投资保护和长远规划难以兼顾等等。如何在满足业务需求的基础上,摆脱灾备系统成本高、建设难的困扰?杭州电信为杭州市政府搭建的共享灾备平台值得借鉴。
作为整个杭州市的数据集中备份平台,杭州市政府共享灾备中心要为各个市级部门的非涉密信息系统的重要数据实现集中灾难备份,通过提供统一的数据备份平台,在确保数据安全的基础上,满足相关单位应用级、数据级的容灾备份需求。由于杭州市政府各相关委办局IT系统建设程度不一,数据存储形式复杂,要搭建起一个同时满足各种不同复杂需求的统一灾备中心,的确是一项非常“棘手”的任务。杭州市政府经过综合对比(见表2),最终认定共享灾备服务是一种较合适的选择。杭州电信在国内率先搭建起了全外包式的政府共享灾备中心,帮助杭州市政府多个委办局实现数据集中备份,开创了运营商提供共享式数据保护外包服务的先河。
作为整个杭州市的数据集中备份平台,杭州市政府共享灾备中心要为各个市级部门的非涉密信息系统的重要数据实现集中灾难备份,通过提供统一的数据备份平台,在确保数据安全的基础上,满足相关单位应用级、数据级的容灾备份需求。由于杭州市政府各相关委办局IT系统建设程度不一,数据存储形式复杂,要搭建起一个同时满足各种不同复杂需求的统一灾备中心,的确是一项非常“棘手”的任务。杭州市政府经过综合对比(见表2),最终认定共享灾备服务是一种较合适的选择。杭州电信在国内率先搭建起了全外包式的政府共享灾备中心,帮助杭州市政府多个委办局实现数据集中备份,开创了运营商提供共享式数据保护外包服务的先河。
表2 杭州市政府灾备平台三种建设方式对比
政府自建
委托第三方
共享灾备
建设机制
采购各种设备自己建设
交付给第三方专业集成商或代理商建设和管理
从建设简化为采购
业务实现难易度
系统整合极其复杂,出现问题多厂家相互推卸责任
实际实现结果和预想结果相差甚远
按需采购,即购即用,系统可靠运行
可升级和可迁移性
一旦升级又要考虑设备兼容性和设备的整合,数据迁移不方便
基本是
委托第三方
共享灾备
建设机制
采购各种设备自己建设
交付给第三方专业集成商或代理商建设和管理
从建设简化为采购
业务实现难易度
系统整合极其复杂,出现问题多厂家相互推卸责任
实际实现结果和预想结果相差甚远
按需采购,即购即用,系统可靠运行
可升级和可迁移性
一旦升级又要考虑设备兼容性和设备的整合,数据迁移不方便
基本是
