60 SYS SECURITY系统安全 搭建容灾备份中心保障电子政务系统安全 王 悦 (天津市信息中心 天津300201) 摘要:在我国电子政务迅速发展的今天,系统的破坏和数据的丢失所带来的损失是难以估量的,这种安全隐患极 大地刺激了容灾备份技术的应用和发展,本文将通过对容灾备份的基本概念、等级分类和关键技术进行详细分析的基 础上,描述灾备中心的系统结构和搭建策略,指出应根据各地的实际情况有针对性地建设相应级别的客灾备份中心, 使其能在灾难中最大限度的保障电子政务系统安全。 关键词:容灾备份;电子政务;安全保障 引言 随着信息技术的不断发展,我国电子政务的应用水平不断 提高,电子政务应用系统的信息数据量快速膨胀,这些数据已经 成为部门最为宝贵的财富,~旦丢失,相关业务将难以正常 进行,并可能给国家造成难以估量的损失。常规的本地数据备份 可以避免人为错误、硬盘损坏、电脑病毒等造成的数据丢失,但 对地震、火灾、水灾等灾难性突发事件则为力…。在我国电 子政务业务整合和资源共享的趋势下,将面临越来越多的安全 威胁和突发灾难,数据资源在大集中的同时也带来了更大的风 险,因此从战略角度研究如何合理搭建容灾备份中心保障电子 政务系统安全具有重要意义。 1.容灾备份的基本概念 1.1容灾备份的定义 容灾备份是指利用技术、管理手段以及相关资源确保既定 的关键数据、关键数据处理系统和关键业务在灾难发生后可以 恢复的过程。实施容灾备份的目标就是一旦灾难发生,容灾备 份中心能在确定的时间内接替生产中心的运营,恢复既定范围 内的业务运作,保障电子政务的业务连续。容灾备份是针对灾 难可能带来的损害,预防灾难发生和控制灾难带来的损害而做 的备份工作【21。 1.2容灾备份的等级分类 在我国,国家有关部门对灾难备份和恢复工作高度重视, 根据国信办下发的《信息系统灾难恢复规范》,我国将灾难恢 复等级划分为六级 J,即“第1级”:数据介质转移(异地存 放、安全保管、定期更新); “第2级”:备用场地支持(异地 介质存放、系统硬件网络可调) “第3级”:电子传送和部分 设备支持(网络传送、磁盘镜像复制); “第4级”:电子传送 和完整设备支持(网络传送、网络与系统就绪)i “第5级”: 实时数据传送及完整设备支持(关键数据实时复制、网络系统 就绪、人机切换) “第6级”:数据零丢失(在线实时镜像、 作业动态分配、实时无缝切换)。从应用的角度及对系统的保 护程度来分I4】,可将容灾系统分为数据级容灾和应用级容灾。数 据级容灾是应用级容灾的基础,没有数据的一致性,应用的连 续性是无法保证的,应用级容灾也就无法实现。总而言之,灾 难备份作为电子政务信息安全的最后一道防线,已经得到电子 政务主管信息部门的高度重视。 2.灾备中心的技术分析 传统的灾备技术通常指针对生产系统的灾难所采用的远程 备份系统技术。但是,随着对灾备中心要求的不断提高,现在 的灾备技术包括了可能引起生产系统服务停止的所有防范和保 护技术。下面对一个典型的灾备中心实现数据级容灾和应用级 容灾所采取关键技术,如数据备份技术、数据复制技术、灾难 检测技术、系统迁移技术等做初步的介绍和分析。 2.1数据备份技术 数据备份的目的是为了在系统崩溃时能够快速地进行数据 恢复,它是灾备中心建设的基础性工作。随着网络的发展,数 据备份技术也朝着更高的方向发展,由最初的基于主机(Host— baSed)的备份,再到基于网络(LAN—baSed)的备份,最 后到目前比较流行的专有存储区域备份(SAN:Storage Area Storage),可以说备份技术的发展在某种程度上提高了灾备中 心的数据容灾能力。 2.2数据复制技术 数据复制技术是容灾系统的核心技术,对数据系统的一 致性和可靠性具有举足轻重的作用。与数据备份相比,数据复 制技术则是通过不断将生产系统的数据复制到另外一个不同的 备份系统中,以保证在灾难发生时,生产系统的数据丢失量最 少。按照备份系统中数据是否与生产系统同步,数据复制可以 分成同步数据复制和异步数据复制。另外,根据数据复制的实 现层次,还可以分成存储层数据复制、数据交换层数据复制、 操作系统层数据复制和应用层数据复制四种方式。 2.3灾难检测技术 对于一个容灾系统来讲,尽早地发现生产系统端的灾难, 尽快地恢复生产系统的正常运行或者尽快地将业务迁移到备用 系统上,都可以将灾难造成的损失降到最低。除了依靠人力来 对灾难进行确定之外,对于系统意外停机等灾难还需要容灾系 统能够自动地检测灾难的发生,目前灾备中心的灾难检测技术 一般采用心跳技术,即生产系统在空闲时每隔一段时间向外广 播一下自身的状态,检测系统在收到这些“心跳信号”之后, 便认为生产系统是正常的,否则,在给定的~段时间内没有收 到“心跳信号”,检测系统便认为生产系统出现了非正常的灾 难。 2.4系统迁移技术 灾难发生后,为了保持生产系统地业务连续性,需要实现 系统的透明性迁移,利用备用系统透明地代替生产系统进行运 作。一般对实时性要求不高的容灾系统,例如WEB服务、邮 件服务器等,可以通过修改DNS或者JP来实现,对实时性要求 高的容灾系统,则主要通过专业软件以集群的方式实现系统迁 移。 3.灾备中心的系统结构 个典型的容灾备份中心应由基础环境设施、数据备份系 统、备份处理系统和网络通信系统、灾难恢复计划等组成,如 图3.1所示。 基础环境设施:要求能够保障数据备份系统和备份处理系 统的工作,可提供完备的网络通讯设施,全面的供配电系统、 综合布线、精密空调系统、消防及自动气体灭火系统、中心闭 路监控、漏水检测等。 数据备份系统:是容灾备份中心建设的最基本要素。如何 将数据(包含系统、应用和业务数据)完整、安全、可靠地复 制到灾备中心,是系统建设时需要重点考虑的事项。 备份处理系统 是指在灾难恢复时需配备的主机系统、存 储系统、应用软件等,备份处理系统所需要达到的处理能力和 范围应基于恢复目标及成本效益等因素综合考虑;网络通讯系 统要求能够提供正常业务运行的数据备份通道和灾难发生时系 统切换后的业务数据流转,保证关键备份业务峰值性能要求。 SYS SECURITY 系统安全 4.3灾备中心的设计指标 61 在设计灾备中心时,容灾要达到什么样的目标与层次,需 要用一些定量的指标来衡量,目前业界都以数据丢失量和系统 恢复时间作为标准来对灾备中心进行评价。 RPO(Recovery Point Objective,恢复点目标):即在灾 难发生时,系统和数据必须恢复到的时间点要求。RPO标志系 统能够容忍的最大数据丢失量,系统容忍丢失的数据量越小, RPO的值越小。即考虑生产中心数据出现意外时,从容灾备份 中心恢复数据可能容忍的最大数据丢失量,这是设计容灾备份 中心规模和复杂程度的重要依据。 RTO(Recovery Time Objective,恢复时间目标):即在 图3.1灾备中心的系统结构 灾难恢复计划 为保证灾备中心在故障发生时可按预期及 时替代生产系统而制定的管理制度、规范和流程,如:安全管 理、运维管理、恢复管理、变更管理、灾难恢复演练流程等。 灾难恢复计划需定期维护、测试和演练及审核,以保持其持续 可用性。 灾难发生后,信息系统或业务功能从停止到必须恢复的时间要 求。RTO标志系统能够容忍的服务停止的最长时间,系统服务 的紧迫性要求越高,RTO的值越小。明确部门对信息系统 发生故障的最大容忍时间是设计容灾备份中心时的重要指标因 素,通过明确最大容忍时间可以帮助确定容灾备份中心设计方 案的远程传输模式及相关设备的选型。 部门在选择容灾方案的恢复能力指标时,应根据不同 信息系统的业务需求,明确不同的数据保护程度,同时合理选 择连续时间保护与定时间点保护相结合的数据保护机制-bJ ,以保 证生产中心与容灾备份中心数据的连续性和一致性。 4 4完备的灾难恢复计划 制定灾难恢复计划的主要目的是规范灾难恢复的流程,使 4.灾备中心的搭建策略 要想建设一个理想的电子政务容灾备份中心并不是件容易 的事,除了需要强有力的行政推动、资金的投入之外,还必须 根据本地实际情况选择合适的容灾备份技术方案,这是从技术 层面决定整个容灾备份中心建设成败的关键。下面是在搭建容 灾备份中心时应事先明确的几点策略。 4.1业务系统的风险分析 在考虑灾备中心的技术方案时首先必须明确业务应用系统 可能承受的风险类型,根据我国行业特点和国际相关机构 调查,导致信息系统灾难的原因次序由高到低依次为:硬件故 障(存储系统故障、电源系统故障等)原因占44%,人为错误 (系统管理员误操作等)原因占32%,软件故障(软件设计缺 陷、数据库问题等)原因占14%,病毒影响(病毒发作、木马 感染等)原因占7%,自然灾难(火灾、水灾、地震等)原因占 3%。由此可见,对电子政务的信息系统而言,各种形式的灾难 确确实实难以完全避免,是容灾备份中心建设过程中必须加以 防范的风险内容。各地电子政务主管部门应根据各自业务系统 的特点认真做好各类风险的分析,居安思危,未雨绸缪,才能 有备无患。 4.2业务系统的影响分析 目前,我国各地部门的现有业务应用系统如办公自动 化系统、网上审批系统、应急指挥系统等一般均为24小时在线 的生产系统,而灾备中心的数据复制操作发起自生产系统,肯 定会或多或少地影响到业务系统的性能,尤其是对于那些要求 高性能的业务系统或者已经是高负荷运行的业务系统,必须分 析建立容灾系统对业务系统性能的影响。比如,由于网络带宽 和传输距离过远的原因,在设计灾备中心技术方案时,选 择了基于磁盘镜像的同步数据复制技术,必然对生产系统的性 能造成影响,在这种情况下,可以考虑基于数据库日志复制技 术的异步传输方式来减小对生产系统的冲击。因此,在搭建容 灾备份中心时应最大限度地减少对原有业务系统的影响及不稳 定因素,尽可能提高容备份中心建设的成功率。 电子政务的重要业务系统在灾难发生后能够快速地恢复数据处 理系统和业务运行,同时生产系统可以根据灾难恢复计划对其 数据处理中心的灾难恢复能力进行测试。制定灾难恢复计划已 经成为灾备中心管理措施中的一项重要内容。灾难恢复计划需 要由各相关部门定期进行审核和更新以保证其完整和有效。此 外,灾难恢复计划的制定虽然重要,但是基于恢复流程的容灾 演练同样关键,有计划地、重复地演练,能够完善计划,熟练 的全员演练可以优化恢复过程,使得灾难发生时能够快速、反 射式应对,有效构建新的生产环境。 结束语 在当前自然灾害频发及各种安全隐患越来越严重的背景 下,容灾备份中心已经成为电子政务安全保障体系中不可或缺 的一部分。容灾备份中心的搭建是一项周密的系统工程,需要 我们根据各地电子政务系统建设情况及实际需求,进行科学的 规划和设计,通过严格制度的执行,从技术和管理两个方面双 管齐下,才能使所建设的容灾备份中心真正地发挥效力,为电 子政务中的关键业务和信息系统安全保驾护航。 辩 参考文献 [1】中科院中国电子政务研究中心l电子政务红皮书[M].北京:社 会科学文献出版社,2002. [2]柳新民.应用级异地容灾系统的研究与实现【DJ.哈尔滨:哈尔 滨工业大学,2005. 【3]马淑桂.信息系统安全的基础——容灾备份U].数字与微缩影 像.2008(3). 【4]王树鹏,云晓春,余翔湛,胡铭曾.容灾的理论与关键技术分析 Ⅱ】.计算机工程与应用,2004(28). [5】韩建良.市级异地电子政务容灾备份系统建设U].信息化建 设.2009(6). (上接104页) 3结论 我国煤矿监控技术已经完成了引进、吸收、自主开发的过 程,但是,我国监控系统缺乏高速、可靠的系统平台,监控系 统网络传输速度慢,故障率高,监控系统技术水平与安全生产 要求之间还存在着较大的差距。本论论述的嵌入式智能监控技 术被用于新一代的监控系统中,开发了智能监控分站,使其适 应工业以太网+CANBUS现场总线的大容量、宽带信息光纤传输 要求,使监控系统可以实现数据、图像及语音多媒体信息实时 宽带传输,提高了监控系统的反应速度及可靠度,为煤矿安全 生产提供强有力的保障。 信息系统工程i 2010.8 20
