第一篇：IBM容災(zāi)白皮書

IBM的容災(zāi)白皮書 內(nèi)容簡介

隨著時(shí)代的發(fā)展，人類對(duì)于災(zāi)難的防范意識(shí)和要求越來越高。災(zāi)難的概念范疇非常廣泛，本書針對(duì)于企業(yè)環(huán)境，對(duì)業(yè)界當(dāng)前討論的熱門話題--IT容災(zāi)系統(tǒng)的概念和實(shí)現(xiàn)方法及設(shè)計(jì)流程做了深入淺出的分析，并從多個(gè)層面介紹了相應(yīng)的解決方案。希望讀者通過本書可以加深對(duì)于容災(zāi)系統(tǒng)的理解，對(duì)設(shè)計(jì)出一個(gè)切實(shí)可行的容災(zāi)系統(tǒng)能夠有所幫助。

第一章 信息—企業(yè)的財(cái)富與麻煩

前言

1.1 IT大集中 － 把蛋都裝進(jìn)籃子里

1.2 容災(zāi)－覆巢之下，亦有完卵

第二章 容災(zāi)概述

2.1 概述

2.2 容災(zāi)的實(shí)質(zhì)是確保永不停頓的業(yè)務(wù)運(yùn)營

2.3 容災(zāi)的IT實(shí)現(xiàn)

第三章容災(zāi)方案分析

3.1 業(yè)務(wù)連續(xù)性開發(fā)模式

3.2 七層災(zāi)難恢復(fù)解決方案

3.3 如何選擇最優(yōu)的災(zāi)難恢復(fù)方案

第四章 容災(zāi)系統(tǒng)的設(shè)計(jì)過程

4.1 災(zāi)難恢復(fù)計(jì)劃描述

4.2 災(zāi)難恢復(fù)計(jì)劃項(xiàng)目階段

4.3 數(shù)據(jù)收集和關(guān)鍵需求分析階段

4.4 風(fēng)險(xiǎn)分析階段

4.5 數(shù)據(jù)保護(hù)階段

4.6 恢復(fù)階段

4.7 測(cè)試和培訓(xùn)階段

4.8 維護(hù)和修改階段

4.9 選擇災(zāi)難恢復(fù)方案的步驟介紹

第五章 典型方案介紹

5.1 基于軟件的數(shù)據(jù)備份技術(shù)

5.2 HACMP高可靠性災(zāi)備方案

5.3 基于磁盤系統(tǒng)的PPRC數(shù)據(jù)級(jí)災(zāi)難備份解決方案

附錄A.容災(zāi)方案演示環(huán)境

6.1 基于磁盤系統(tǒng)的PPRC數(shù)據(jù)級(jí)災(zāi)難備份解決方案典型應(yīng)用環(huán)境

附錄B.術(shù)語

第一章 企業(yè)面臨的挑戰(zhàn)以及發(fā)展趨勢(shì)

1.1前言

1958年，Bill Gore 和他的太太 Vieve Gore在美國特拉華州Newark市，自己家里的地下室成立了Gore公司。1969年，Gore公司研制成功獨(dú)特的，具有防風(fēng)、防水、透氣功能的GORE-TEX面料并廣泛應(yīng)用于生產(chǎn)具有功能性、保護(hù)性和時(shí)尚感的服裝和鞋類產(chǎn)品。目前，Gore公司已成為一家在全球擁有6000多名員工、40多間加工廠的跨國公司，并在氟材料的技術(shù)研究和應(yīng)用領(lǐng)域始終占據(jù)世界領(lǐng)先地位。

對(duì)于Gore這樣的以研發(fā)新型材料作為企業(yè)動(dòng)力的公司而言，材料的研發(fā)過程記錄、研發(fā)歷史數(shù)據(jù)、研發(fā)結(jié)果數(shù)據(jù)是企業(yè)最可寶貴的財(cái)富。請(qǐng)假設(shè)這樣一種情況，如果這些數(shù)據(jù)在一次事故中全部丟失，Gore公司會(huì)蒙受多么大的損失？

1983年，當(dāng)個(gè)人電腦還處于萌芽期的時(shí)候，美國青年戴爾成立了自己的個(gè)人電腦公司，主要銷售IBM的舊電腦和自己組裝的品牌電腦。那是一個(gè)電腦群雄激烈廝殺的年代，當(dāng)行業(yè)的領(lǐng)導(dǎo)者們爭(zhēng)相以引人注目的技術(shù)推出計(jì)算機(jī)時(shí)，戴爾注意到了平凡的供應(yīng)鏈。戴爾公司利用信息技術(shù)全面管理公司生產(chǎn)過程。通過互聯(lián)網(wǎng)，戴爾公司和其上游的配件制造商能夠?qū)蛻舻亩▎窝杆俚刈龀龇磻?yīng)：當(dāng)定單傳至戴爾的控制中心時(shí)，控制中心把定單分解為一個(gè)個(gè)子任務(wù)，并通過網(wǎng)絡(luò)分派給各獨(dú)立配件制造商進(jìn)行生產(chǎn)。各制造商按照戴爾的電子定單進(jìn)行生產(chǎn)組裝，并按照戴爾控制中心的時(shí)間表來供貨。戴爾所需要做的只是在成品車間完成組裝和系統(tǒng)測(cè)試，剩下的就是客戶服務(wù)中心的事情了。―經(jīng)過優(yōu)化后，戴爾供應(yīng)鏈每20秒鐘匯集一次定單‖，―平均庫存時(shí)間僅有7小時(shí)‖。雖然沒有傲視群雄的杰出技術(shù)，現(xiàn)在的戴爾公司卻已成長為一個(gè)年銷售額達(dá)410億美金的企業(yè)。

對(duì)戴爾公司來說，市場(chǎng)信息的獲取、物流信息的傳遞以及合作伙伴的信息交換，這些共同構(gòu)成了拉動(dòng)企業(yè)正常運(yùn)轉(zhuǎn)的信息鏈。如果有一天，一場(chǎng)意外的事故導(dǎo)致供應(yīng)鏈的崩裂，戴爾該如何面對(duì)客戶惱怒的面容和企業(yè)直線下滑的利潤？

信息，作為企業(yè)寶貴的資源，其重要性已經(jīng)得到了人們的充分認(rèn)識(shí)。但是我們?cè)撊绾伪Ｗo(hù)這一資源？假設(shè)您就是某企業(yè)的一位高級(jí)管理人員，當(dāng)您的企業(yè)遭遇以下事故時(shí)，您將如何去面對(duì)： 1． 某一天，證券公司的交易數(shù)據(jù)因操作失誤而損壞； 2． 某一天，保險(xiǎn)公司的所有保單數(shù)據(jù)因電源故障而丟失；

3． 石油勘探公司辛苦一年獲取的地質(zhì)數(shù)據(jù)因人為的惡意操作而丟失； 4． 醫(yī)院保存的所有病歷因?yàn)榇艓У膿p壞而無法使用； ……

這樣的例子還有很多很多。那么這樣的事故所帶來的后果是什么？至少，很難想象這個(gè)不幸的企業(yè)還能毫發(fā)無損的健康生存。因?yàn)?，?duì)于信息時(shí)代的企業(yè)而言，健全的信息往往是維持其運(yùn)轉(zhuǎn)所必須的基本條件。所以，如何保護(hù)企業(yè)的信息資源，如何使企業(yè)免遭信息災(zāi)難，已經(jīng)成為企業(yè)所必須考慮的沉重問題。

1.2 IT大集中 － 把蛋都裝進(jìn)籃子里

在計(jì)算機(jī)應(yīng)用的早期，是大型主機(jī)一統(tǒng)天下的時(shí)代。這是一種高度集中的信息應(yīng)用模式。昂貴的計(jì)算機(jī)和同樣昂貴的存儲(chǔ)設(shè)備躲藏在幽深的機(jī)房里，客戶僅能依靠啞終端與主機(jī)進(jìn)行交互，以完成自己的工作。

隨著IT設(shè)備的降價(jià)和網(wǎng)絡(luò)技術(shù)的發(fā)展，客戶機(jī)/服務(wù)器體系結(jié)構(gòu)和瀏覽器/服務(wù)器體系結(jié)構(gòu)這樣的信息應(yīng)用模式應(yīng)運(yùn)而生。這兩種全新的信息應(yīng)用模式，降低了用戶進(jìn)入計(jì)算機(jī)應(yīng)用系統(tǒng)的門檻，推進(jìn)了計(jì)算機(jī)應(yīng)用在現(xiàn)代社會(huì)的全面普及，并產(chǎn)生了今天計(jì)算機(jī)應(yīng)用分布式存在和數(shù)據(jù)存儲(chǔ)分布式存在的局面。

合久必分，分久必合。隨著網(wǎng)絡(luò)速度的進(jìn)一步提高以及高速存儲(chǔ)設(shè)備的降價(jià)，高速信息交換、大容量存儲(chǔ)等困擾IT人員多年的問題基本得到了解決。同時(shí)，過于分布的應(yīng)用和數(shù)據(jù)所導(dǎo)致的日益昂貴的維護(hù)和運(yùn)營費(fèi)用，已經(jīng)給大型企業(yè)的發(fā)展帶來了束縛。于是，大集中的號(hào)角重新吹響。

目前，在銀行信息化領(lǐng)域，數(shù)據(jù)大集中已經(jīng)成了一個(gè)熱門的話題。在國內(nèi)，中國工商銀行在2000年就前瞻性地啟動(dòng)了數(shù)據(jù)大集中工程，并在2002年完成了全部工程的建設(shè)。現(xiàn)在，中國工商銀行已經(jīng)將分布在全國各地的四十多個(gè)數(shù)據(jù)中心整合為互相連接、互為備份的北京、上海兩大數(shù)據(jù)中心，建成了全行統(tǒng)一的計(jì)算機(jī)系統(tǒng)平臺(tái)。同時(shí)，國內(nèi)的其它銀行和大型證券公司也紛紛迎頭趕上。大集中已經(jīng)成為包括銀行、證券、保險(xiǎn)等行業(yè)在內(nèi)的整個(gè)金融信息化發(fā)展的大趨勢(shì)。

鑒于信息資源對(duì)于企業(yè)的寶貴作用，我們不妨把它們比作一枚枚金蛋，而信息基礎(chǔ)設(shè)施就是用來裝這些金蛋的籃子。過去，不同的金蛋分布在不同地域的籃子里，而大集中所帶來的信息基礎(chǔ)設(shè)施整合則意味著我們將把越來越多的金蛋放進(jìn)同一個(gè)籃子。此刻，一個(gè)不得不考慮的問題出現(xiàn)了：如果這個(gè)籃子翻了，怎么辦？覆巢之下，豈有完卵？

1.3 容災(zāi)－覆巢之下，亦有完卵

2001年9月11日，美國世貿(mào)中心雙子大廈遭受了誰也無法預(yù)料的恐怖打擊。災(zāi)難發(fā)生前，約有350家企業(yè)在世貿(mào)大廈中工作。事故發(fā)生一年后，重返世貿(mào)大廈的企業(yè)變成了150家，有200家企業(yè)由于重要信息系統(tǒng)的破壞，關(guān)鍵數(shù)據(jù)的丟失而永遠(yuǎn)的關(guān)閉、消失了。其中的一家公司稱，自己要恢復(fù)到災(zāi)難前的狀態(tài)需要50年的時(shí)間。

2003年，當(dāng)AT＆T無線試圖對(duì)Siebel客戶關(guān)系管理（CRM）軟件進(jìn)行升級(jí)的時(shí)候，原定一個(gè)周末就能完成的項(xiàng)目演變?yōu)橐粓?chǎng)歷時(shí)六個(gè)星期的災(zāi)難。這次CRM軟件的升級(jí)使AT＆T無線損失了1億多美元，僅增加的用戶欠款、員工加班費(fèi)和承包商的傭金就高達(dá)7500萬美元。此外，技術(shù)故障也導(dǎo)致該公司去年第四季度的新增用戶數(shù)急降82％。而其損失并不僅限于這些，AT＆T無線對(duì)分析師發(fā)布警告稱：―2004年上半年的用戶退網(wǎng)率將進(jìn)一步增加。‖ 2003年，國內(nèi)某電信運(yùn)營商的計(jì)費(fèi)存儲(chǔ)系統(tǒng)僅發(fā)生了兩個(gè)小時(shí)的故障，就造成400多萬元的損失。這些尚不包括對(duì)公司聲譽(yù)的影響所導(dǎo)致的無形資產(chǎn)流失。

這些災(zāi)難的發(fā)生或許是偶然而難以預(yù)料的，但是，對(duì)災(zāi)難的預(yù)防卻絕對(duì)不應(yīng)該是一個(gè)偶然的話題。

據(jù)IDC的統(tǒng)計(jì)數(shù)字表明，美國在2000年以前的10年間發(fā)生過災(zāi)難的公司中，有55%當(dāng)時(shí)倒閉。剩下的45%中，因?yàn)閿?shù)據(jù)丟失，有29%也在兩年之內(nèi)倒閉，生存下來的僅占16%。國際調(diào)查機(jī)構(gòu)Gartner Group的數(shù)據(jù)表明，在由于經(jīng)歷大型災(zāi)難而導(dǎo)致系統(tǒng)停運(yùn)的公司中，有2/5再也沒有恢復(fù)運(yùn)營，剩下的公司中也有1/3在兩年內(nèi)破產(chǎn)。

美國德克薩斯州大學(xué)的調(diào)查顯示：―只有6%的公司可以在數(shù)據(jù)丟失后生存下來，43%的公司會(huì)徹底關(guān)門，51%的公司會(huì)在兩年之內(nèi)消失?！?/p>

另一份針對(duì)這一課題的研究報(bào)告也顯示：在災(zāi)難之后，如果無法在14天內(nèi)恢復(fù)信息作業(yè)，有75%的公司業(yè)務(wù)會(huì)完全停頓，43%的公司再也無法重新開業(yè)，20%的企業(yè)在兩年之內(nèi)被迫宣告破產(chǎn)。

美國明尼蘇達(dá)大學(xué)的研究也表明，在遭遇災(zāi)難的同時(shí)又沒有災(zāi)難恢復(fù)計(jì)劃的企業(yè)中，將有超過60%在兩到三年后退出市場(chǎng)。而隨著企業(yè)對(duì)數(shù)據(jù)處理依賴程度的遞增，此比例還有上升的趨勢(shì)。

災(zāi)難的發(fā)生對(duì)企業(yè)的打擊往往是致命的。但是，面對(duì)災(zāi)難，企業(yè)就真的不堪一擊嗎？

答案是否定的！

同樣是令人恐怖的―9.11‖，世貿(mào)大廈倒塌后，在世貿(mào)大廈租有25層的金融界巨頭摩根斯坦利公司最為世人所關(guān)注。但是事發(fā)幾個(gè)小時(shí)后，該公司宣布：全球營業(yè)部可以在第二天照常工作。這都是因?yàn)樵摴窘⒌臄?shù)據(jù)備份和遠(yuǎn)程容災(zāi)系統(tǒng)，它們保護(hù)了公司的重要數(shù)據(jù)，在關(guān)鍵時(shí)刻挽救了摩根斯坦利，同時(shí)也在一定程度上挽救了全球的金融行業(yè)。

這一獨(dú)特的例子說明了什么？它說明擁有先知先覺的防范意識(shí)和充分的技術(shù)準(zhǔn)備，即使是在突如其來的覆巢之災(zāi)下，亦有完卵，亦有企業(yè)的一線生機(jī)。

因此，預(yù)防災(zāi)難的發(fā)生，充分考慮災(zāi)難發(fā)生后的快速恢復(fù)手段，成為現(xiàn)代企業(yè)的一門必修課。其實(shí)，在這一問題上，中國古代的智者早就提出了自己的觀點(diǎn)：生于憂患，死于安樂。無論是對(duì)一個(gè)國家，還是一個(gè)企業(yè)，都是如此。第二章 容災(zāi)概述

2.1 概述

常言道，―知己知彼，百戰(zhàn)不殆‖。要實(shí)現(xiàn)容災(zāi)，首先要了解我們的―敵人‖－ 災(zāi)難。那么，哪些事件可以定義為災(zāi)難呢？典型的災(zāi)難事件是自然災(zāi)難，如火災(zāi)、洪水、地震、颶風(fēng)、龍卷風(fēng)、臺(tái)風(fēng)等，還有其它如原先提供給業(yè)務(wù)運(yùn)營所需的服務(wù)中斷，如設(shè)備故障、軟件錯(cuò)誤、電信網(wǎng)絡(luò)中斷和電力故障等等。此外，人為的因素往往也會(huì)釀成大禍，如操作員錯(cuò)誤、破壞、植入有害代碼和恐怖襲擊?，F(xiàn)階段，由于我國很多行業(yè)正處在高速發(fā)展的階段，很多生產(chǎn)流程和制度仍不完善，加之缺乏經(jīng)驗(yàn)，這方面的損失屢見不鮮。事實(shí)上，我國2003年遭遇的―非典‖，某種意義上也是災(zāi)難。對(duì)此，我們認(rèn)為需要做到兩點(diǎn)：一是建立切實(shí)可行的應(yīng)急機(jī)制，這主要包含一套基于充分且清楚地將風(fēng)險(xiǎn)予以分類定義的業(yè)務(wù)持續(xù)計(jì)劃，二是在危機(jī)突然降臨時(shí)，此計(jì)劃能被有效執(zhí)行。

對(duì)于IT系統(tǒng)，除了上述的災(zāi)難之外，與系統(tǒng)相關(guān)的計(jì)劃外宕機(jī)也可視作災(zāi)難（見圖1）。

圖1.停機(jī)原因分析－北美

自―9.11‖之后，全球各企業(yè)均認(rèn)識(shí)到災(zāi)難防范保護(hù)的重要性。某些大型金融機(jī)構(gòu)之所以能夠在兩天內(nèi)恢復(fù)營業(yè)，其主要原因是它們不僅象一般公司那樣在內(nèi)部進(jìn)行數(shù)據(jù)備份，而且在數(shù)英里外的數(shù)據(jù)備份中心也保留著數(shù)據(jù)備份。這些備份都是通過數(shù)據(jù)備份軟件和數(shù)據(jù)復(fù)制軟件進(jìn)行的。采取了這種措施后，一旦工作現(xiàn)場(chǎng)發(fā)生意外，企業(yè)就可以立即使用另一套數(shù)據(jù)。華爾街的金融機(jī)構(gòu)重新對(duì)災(zāi)難恢復(fù)的步驟做了評(píng)估，并認(rèn)識(shí)到災(zāi)難恢復(fù)只是技術(shù)手段之一，它們開始強(qiáng)調(diào) Business Continuity“災(zāi)難”恢復(fù)。因?yàn)檫^去的“災(zāi)難”恢復(fù)計(jì)劃并沒有強(qiáng)調(diào)全局性及對(duì)整個(gè)市場(chǎng)的影響，而如何維持業(yè)務(wù)的連續(xù)運(yùn)作將成為企業(yè)運(yùn)營風(fēng)險(xiǎn)評(píng)估中至關(guān)重要的一環(huán)。事實(shí)證明，只有對(duì)數(shù)據(jù)存儲(chǔ)備份制定完備、持續(xù)且可執(zhí)行的容災(zāi)計(jì)劃，特別是業(yè)務(wù)連續(xù)計(jì)劃，才能為人們提供萬無一失的數(shù)據(jù)安全保護(hù)。

嚴(yán)格的說，容災(zāi)計(jì)劃包括一系列應(yīng)急計(jì)劃，如業(yè)務(wù)持續(xù)計(jì)劃(BCP-Business Continuity Plan)，業(yè)務(wù)恢復(fù)計(jì)劃(ERP-Business Recovery Plan)，運(yùn)行連續(xù)性計(jì)劃(COOP-Continuity of Operations Plan)，事件響應(yīng)計(jì)劃(IRP-Incident Response Plan)，場(chǎng)所緊急計(jì)劃(OEP-Occupant Emergency Plan)，危機(jī)通信計(jì)劃(CCP-Crisis Communication Plan)，災(zāi)難恢復(fù)計(jì)劃(DRP-Disaster Recovery Plan)等等。

業(yè)務(wù)持續(xù)計(jì)劃(BCP)它是一套用來降低組織的重要營運(yùn)功能遭受未料的中斷風(fēng)險(xiǎn)的作業(yè)程序，它可能是人工的或系統(tǒng)自動(dòng)的。業(yè)務(wù)持續(xù)計(jì)劃是高層管理人員的首要職責(zé)，因?yàn)樗麄儽晃斡诒Ｗo(hù)公司的資產(chǎn)及公司的生存。業(yè)務(wù)持續(xù)計(jì)劃的目的是使得一個(gè)組織及其信息系統(tǒng)在災(zāi)難事件發(fā)生時(shí)仍可以繼續(xù)運(yùn)作。為了能對(duì)災(zāi)難事件有適當(dāng)?shù)膶?duì)策，嚴(yán)密的計(jì)劃及相關(guān)資源的投入是必須的。

業(yè)務(wù)恢復(fù)計(jì)劃(BRP)它也叫業(yè)務(wù)繼續(xù)計(jì)劃，涉及緊急事件后對(duì)業(yè)務(wù)處理的恢復(fù)，但與BCP不同，它在整個(gè)緊急事件或中斷過程中缺乏確保關(guān)鍵處理的連續(xù)性的規(guī)程。BRP的制定應(yīng)該與災(zāi)難恢復(fù)計(jì)劃及BCP進(jìn)行協(xié)調(diào)。BRP應(yīng)該附加在BCP之后。

操作連續(xù)性計(jì)劃(COOP)COOP 關(guān)注位于機(jī)構(gòu)（通常是總部單位）備用站點(diǎn)的關(guān)鍵功能以及這些功能在恢復(fù)到正常操作狀態(tài)之前最多30天的運(yùn)行。由于COOP涉及到總部級(jí)的問題，它和BCP是互相獨(dú)立制定和執(zhí)行的。COOP的標(biāo)準(zhǔn)要素包括職權(quán)條款、連續(xù)性的順序和關(guān)鍵記錄和數(shù)據(jù)庫。由于COOP強(qiáng)調(diào)機(jī)構(gòu)在備用站點(diǎn)恢復(fù)運(yùn)行中的能力，所以該計(jì)劃通常不包括IT運(yùn)行方面的內(nèi)容。另外，它不涉及無需重新配置到備用站點(diǎn)的小型危害。但是COOP可以將BCP、BRP和災(zāi)難恢復(fù)計(jì)劃作為附錄。

危機(jī)通信計(jì)劃(CCP)機(jī)構(gòu)應(yīng)該在災(zāi)難之前做好其內(nèi)部和外部通信規(guī)程的準(zhǔn)備工作。危機(jī)通信計(jì)劃通常由負(fù)責(zé)公共聯(lián)絡(luò)的機(jī)構(gòu)制定。危機(jī)通信計(jì)劃規(guī)程應(yīng)該和所有其它計(jì)劃協(xié)調(diào)，以確保只有受到批準(zhǔn)的內(nèi)容公之于眾，它應(yīng)該作為附錄包含在BCP中。通信計(jì)劃通常指定特定的人員作為在災(zāi)難反應(yīng)中回答公眾問題的唯一發(fā)言人。它還可以包括向個(gè)人和公眾散發(fā)狀態(tài)報(bào)告的規(guī)程，例如記者招待會(huì)的模板。

計(jì)劃(IRP)事件響應(yīng)計(jì)劃建立了處理針對(duì)機(jī)構(gòu)的IT系統(tǒng)攻擊的規(guī)程。這些規(guī)程用來協(xié)助安全人員對(duì)有害的計(jì)算機(jī)事件進(jìn)行識(shí)別、消減并進(jìn)行恢復(fù)，這些事件的例子包括：對(duì)系統(tǒng)或數(shù)據(jù)的非法訪問、拒絕服務(wù)攻擊、或?qū)τ布?、軟件、?shù)據(jù)的非法更改（如有害邏輯：病毒、蠕蟲或木馬等）。本計(jì)劃可以包含在BCP的附錄中。

災(zāi)難恢復(fù)計(jì)劃(DRP)正如其名字所表示的，DRP應(yīng)用于重大的、通常是災(zāi)難性的、造成長時(shí)間無法對(duì)正常設(shè)施進(jìn)行訪問的事件。通常，DRP指用于緊急事件后在備用站點(diǎn)恢復(fù)目標(biāo)系統(tǒng)、應(yīng)用或計(jì)算機(jī)設(shè)施運(yùn)行的IT計(jì)劃。DRP的范圍可能與IT應(yīng)急計(jì)劃重疊，但是DRP的范圍比較狹窄，它不涉及無需重新配置的小型危害。根據(jù)機(jī)構(gòu)的需要，可能會(huì)有多個(gè)DRP附加在BCP之后。

場(chǎng)所緊急計(jì)劃(OEP)OEP在可能對(duì)人員的安全健康、環(huán)境或財(cái)產(chǎn)構(gòu)成威脅的事件發(fā)生時(shí)，為設(shè)施中的人員提供反應(yīng)規(guī)程。OEP在設(shè)施級(jí)別進(jìn)行制定，與特定的地理位置和建筑結(jié)構(gòu)有關(guān)。設(shè)施OEP可以附加在BCP之后，但是獨(dú)立執(zhí)行。

BCP關(guān)注在中斷期間和之后維持機(jī)構(gòu)的業(yè)務(wù)功能。業(yè)務(wù)功能的一個(gè)可能的例子是工資的支付處理或客戶的信息處理。BCP可以專門為某個(gè)特定的業(yè)務(wù)處理編寫也可以涉及到所有關(guān)鍵的業(yè)務(wù)處理。IT系統(tǒng)在BCP中被認(rèn)為是對(duì)于業(yè)務(wù)處理的支持。在某些情況下，BCP可能沒有涉及到對(duì)過程的長期恢復(fù)并使其回到正常運(yùn)行狀態(tài)，而只是包含過渡的業(yè)務(wù)連續(xù)性需求。災(zāi)難恢復(fù)計(jì)劃、業(yè)務(wù)繼續(xù)計(jì)劃和場(chǎng)所緊急計(jì)劃可以附加在BCP之后。在BCP中設(shè)定的職責(zé)和優(yōu)先順序應(yīng)該和其在操作連續(xù)性計(jì)劃（COOP）中的一致以消除可能的沖突。

按一般慣例，備用站點(diǎn)維持機(jī)構(gòu)（通常是總部）要支持長達(dá)30天的運(yùn)行，直到整個(gè)系統(tǒng)恢復(fù)到正常狀態(tài)，COOP正是為了達(dá)到這個(gè)要求而制定的。BCP涉及到在重大中斷期間和之后維持業(yè)務(wù)處理所需的業(yè)務(wù)功能和IT系統(tǒng)。BRP記錄了機(jī)構(gòu)在備用站點(diǎn)進(jìn)行業(yè)務(wù)處理的持續(xù)規(guī)程。與BCP不同，BRP不涉及在緊急事件期間對(duì)關(guān)鍵處理的連續(xù)性維持。DRP是指設(shè)計(jì)用于重大和通常是毀滅性災(zāi)難之后的目標(biāo)系統(tǒng)、應(yīng)用程序或計(jì)算機(jī)設(shè)施的恢復(fù)，它是以IT為主的計(jì)劃。兩個(gè)計(jì)劃都提供了IT系統(tǒng)的恢復(fù)和繼續(xù)規(guī)程。由于包括了對(duì)無需重新部署到備用站點(diǎn)的小型中斷進(jìn)行系統(tǒng)恢復(fù)的規(guī)程，所以這類計(jì)劃比DRP的范圍更廣泛。計(jì)算機(jī)事件響應(yīng)計(jì)劃建立了使安全人員可以確定、防止和恢復(fù)針對(duì)機(jī)構(gòu)IT系統(tǒng)進(jìn)行的計(jì)算機(jī)攻擊的規(guī)程。OEP則提供了在人員的健康和安全以及環(huán)境或財(cái)產(chǎn)等受到威脅的緊急情況下，設(shè)施工作人員所遵循的指導(dǎo)方針。計(jì)劃的制定者之間必須進(jìn)行協(xié)調(diào)以確保各自的策略和規(guī)程能夠互為補(bǔ)充，必須將所有有關(guān)計(jì)劃、系統(tǒng)和處理的變化情況反饋給系統(tǒng)和相應(yīng)處理計(jì)劃的制定者。2.2 容災(zāi)的實(shí)質(zhì)是確保永不停頓的業(yè)務(wù)運(yùn)營

讓我們來看一個(gè)真實(shí)的故事：

Fred Alger基金管理公司的總部設(shè)在世貿(mào)中心北樓的93層。在上個(gè)世紀(jì)90年代，F(xiàn)red Alger曾是美國業(yè)績最好的一家基金管理公司。它旗下的―光譜共同基金‖（Spectra mutual fund）的年均收益率曾達(dá)到讓人驚羨的29%。然而，公司2000年的業(yè)績大幅下滑，其前景不容樂觀。2001年9月11日上午發(fā)生恐怖襲擊后，該公司正在上班的35人全部遇難，老板David Alger也在其中，這對(duì)Fred Alger公司來說無疑是滅頂之災(zāi)。

所幸的是，該公司居安思危，在繁榮期建設(shè)的IT系統(tǒng)早早就考慮到容災(zāi)的需要，在50英里以外的新澤西中心區(qū)建有一個(gè)數(shù)據(jù)備份點(diǎn)。―9?11‖過后的第三天，該公司幸存無幾的人在那里發(fā)現(xiàn)，襲擊之前所有的交易記錄和所有的研究報(bào)告都有詳細(xì)備份，并被完好無損地保留了下來。

所以，F(xiàn)red Alger公司沒有選擇關(guān)張，而是決定重建。他們并非盲目地不認(rèn)輸。幾年前就已退休的Fred Alger，在弟弟David去世后立刻再度出山。當(dāng)整個(gè)市場(chǎng)在去年9月17日重新開市時(shí)，F(xiàn)red Alger公司成了華爾街經(jīng)紀(jì)公司中的股票大買家。

此后，當(dāng)其他基金管理公司的業(yè)績?cè)谌ツ瓿霈F(xiàn)滑坡時(shí)，他們的利潤反而因此大大增加。很快，F(xiàn)red Alger公司的投資管理隊(duì)伍也空前興旺起來，并在第五大道的2層樓建立了新的總部。類似的故事令全世界在一夜之間認(rèn)識(shí)到，金融市場(chǎng)的數(shù)據(jù)備份和交易備份絕對(duì)不能缺少。

自美國建國以來，華爾街就一直主宰著美國的金融。而此次襲擊已經(jīng)給了華爾街以致命的一擊。事實(shí)上，對(duì)世貿(mào)中心的襲擊完全改變了紐約的金融景觀。以往，曼哈頓4/5寫字樓的底層都是金融服務(wù)機(jī)構(gòu)。而如今，這些金融機(jī)構(gòu)中的一半以上都遷走了，大多都換了個(gè)小地方。在曼哈頓中心區(qū)的5萬名金融服務(wù)人員中，已有19000名離開了這個(gè)城市。其中也有像摩根斯坦利和高盛公司這樣的―金融巨人‖。

因此，即使在曼哈頓區(qū)還在燃燒時(shí)，監(jiān)管者們已經(jīng)開始考慮，如何才能重振金融業(yè)，并讓它強(qiáng)大到足以抵御下一次災(zāi)難。在銀行家和監(jiān)管者們看來，―9?11‖并不能被稱為信用事件。但下一次災(zāi)難，不論是什么樣的災(zāi)難，它一定會(huì)是一場(chǎng)信用事件。在龐大的支付鏈條上，一旦某個(gè)具有實(shí)力的環(huán)節(jié)受到支付困難的威脅，整個(gè)市場(chǎng)，如外匯交易或美國財(cái)政債券交易就有可能出現(xiàn)大塞車。

為此，英國的金融服務(wù)管理局在一個(gè)儲(chǔ)存有備份數(shù)據(jù)的秘密地點(diǎn)，進(jìn)行了多次―業(yè)務(wù)持續(xù)‖演習(xí)。美國的監(jiān)管者也拋出一份建議書。這份建議書的目的在于，要保持市場(chǎng)參與者之間實(shí)時(shí)的信息和通信聯(lián)系，即保持?jǐn)?shù)據(jù)備份點(diǎn)之間的通信聯(lián)系。監(jiān)管者和市場(chǎng)應(yīng)該能夠抵御住沉重的打擊，并應(yīng)在4小時(shí)以內(nèi)恢復(fù)工作。而對(duì)那些由15～20家大銀行和5～10家證券公司所組成的金融主干系統(tǒng)來說，在它們主要參與的市場(chǎng)中應(yīng)享受優(yōu)先權(quán)，須在一天之內(nèi)恢復(fù)營業(yè)。

在―9311‖以前，銀行之間（包括獨(dú)立的通信和信息技術(shù)系統(tǒng)之間）的應(yīng)急計(jì)劃很少有彼此的溝通。為此，設(shè)在巴塞爾的發(fā)達(dá)國家10國 ―金融穩(wěn)定性論壇‖，已經(jīng)起草了一個(gè)―應(yīng)急協(xié)議名單‖。被列入這一名單的，都是些全球最重要的金融實(shí)體。根據(jù)這個(gè)協(xié)議，名單中的金融實(shí)體的監(jiān)管方可以在任何情況下及時(shí)取得聯(lián)系。

此外，美國監(jiān)管機(jī)構(gòu)已經(jīng)提出，要持續(xù)不斷地進(jìn)行應(yīng)急計(jì)劃測(cè)試，以對(duì)付―一切可以想象得出的事件‖。例如，進(jìn)行產(chǎn)業(yè)范圍的戰(zhàn)爭(zhēng)預(yù)演已經(jīng)提到議事日程，而―無線戰(zhàn)爭(zhēng)‖被最先納入其中。

那么，如何確保企業(yè)業(yè)務(wù)的連續(xù)運(yùn)營以及數(shù)據(jù)的安全呢？嚴(yán)格的說，業(yè)務(wù)持續(xù)計(jì)劃的建立和實(shí)施過程，實(shí)際上是進(jìn)行一個(gè)涉及企業(yè)運(yùn)營的項(xiàng)目，因此也涉及到項(xiàng)目管理的方方面面。標(biāo)準(zhǔn)的業(yè)務(wù)持續(xù)計(jì)劃項(xiàng)目應(yīng)按如下流程進(jìn)行： 1。項(xiàng)目啟動(dòng)和管理

確定業(yè)務(wù)持續(xù)計(jì)劃（BCP）實(shí)施過程的相關(guān)需求，包括獲得管理支持、以及組織和管理項(xiàng)目使其符合時(shí)間和預(yù)算的限制要求。2。風(fēng)險(xiǎn)評(píng)估和控制

確定可能造成機(jī)構(gòu)及其設(shè)施中斷的災(zāi)難、具有負(fù)面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調(diào)整控制措施方面的投資，達(dá)到消減風(fēng)險(xiǎn)的目的。同時(shí)，由于風(fēng)險(xiǎn)會(huì)隨著系統(tǒng)的發(fā)展而變化，所以風(fēng)險(xiǎn)管理過程也必須是動(dòng)態(tài)的。

3。業(yè)務(wù)影響分析

確定由于中斷和預(yù)期災(zāi)難可能對(duì)機(jī)構(gòu)造成的影響，以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、恢復(fù)優(yōu)先順序和相關(guān)性以便確定恢復(fù)時(shí)間。4。制定業(yè)務(wù)連續(xù)性策略

確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運(yùn)行策略的選擇，以便在恢復(fù)時(shí)間目標(biāo)范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機(jī)構(gòu)的關(guān)鍵功能。5。應(yīng)急響應(yīng)和運(yùn)作

制定和實(shí)施用于事件響應(yīng)以及對(duì)事件所引起狀況進(jìn)行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運(yùn)作中心，該中心用于在緊急事件中發(fā)布命令。6。制定和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃

設(shè)計(jì)、制定和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃，以便在恢復(fù)時(shí)間目標(biāo)范圍內(nèi)完成恢復(fù)。7。意識(shí)培養(yǎng)和培訓(xùn)項(xiàng)目

準(zhǔn)備建立對(duì)機(jī)構(gòu)人員進(jìn)行意識(shí)培養(yǎng)和技能培訓(xùn)的項(xiàng)目，以便業(yè)務(wù)連續(xù)性計(jì)劃能夠得到制定、實(shí)施、維護(hù)和執(zhí)行。

8。維護(hù)和演練業(yè)務(wù)連續(xù)性計(jì)劃

對(duì)預(yù)先計(jì)劃和計(jì)劃間的協(xié)調(diào)性進(jìn)行演練、并評(píng)估和記錄計(jì)劃演練的結(jié)果。制定維持連續(xù)性能力和BCP文檔更新狀態(tài)的方法，使其與機(jī)構(gòu)的策略方向保持一致。通過與適當(dāng)標(biāo)準(zhǔn)的比較來驗(yàn)證BCP的效率，并使用簡明的語言報(bào)告驗(yàn)證的結(jié)果。9。公共關(guān)系和危機(jī)通信

制定、協(xié)調(diào)、評(píng)價(jià)和演練在危機(jī)情況下與媒體交流的計(jì)劃；制定、協(xié)調(diào)、評(píng)價(jià)和演練與員工及其家庭、主要客戶、關(guān)鍵供應(yīng)商、業(yè)主／股東以及機(jī)構(gòu)管理層進(jìn)行溝通和在必要情況下提供心理輔導(dǎo)的計(jì)劃，確保所有利益群體能夠得到所需的信息。10。與公共當(dāng)局的協(xié)調(diào)

建立適用的規(guī)程和策略，用于同地方當(dāng)局協(xié)調(diào)響應(yīng)、連續(xù)性和恢復(fù)活動(dòng)，以確保符合現(xiàn)行的法令和法規(guī)。

當(dāng)然，實(shí)際應(yīng)用中，如果受時(shí)間、成本等因素的限制，加之容災(zāi)目標(biāo)有限（企業(yè)不需要承擔(dān)應(yīng)由政府負(fù)責(zé)的國計(jì)民生之重任），我們可以簡化并適當(dāng)改變上述標(biāo)準(zhǔn)流程。事實(shí)上，隨著IT系統(tǒng)在企業(yè)內(nèi)部應(yīng)用的深入，IT系統(tǒng)更容易受到各種災(zāi)難的傷害而導(dǎo)致中斷，特別是在許多情況下，關(guān)鍵資源可能屬于不可控范圍（如電力和電信）。對(duì)于倚仗IT系統(tǒng)的企業(yè)來說，從確保業(yè)務(wù)連續(xù)能力的角度出發(fā)，可以依據(jù)下列容災(zāi)規(guī)劃步驟：

1． 災(zāi)難類型分析 2． 業(yè)務(wù)沖擊分析

3． 當(dāng)前業(yè)務(wù)環(huán)境及恢復(fù)能力分析 4． 容災(zāi)策略制訂 5． 容災(zāi)方案設(shè)計(jì) 6． 業(yè)務(wù)連續(xù)性流程設(shè)計(jì)

7． 業(yè)務(wù)連續(xù)性流程及容災(zāi)方案管理和測(cè)試

每一個(gè)步驟的相關(guān)職責(zé)一般會(huì)落在―計(jì)劃協(xié)調(diào)人‖或―應(yīng)急計(jì)劃制訂人‖的身上，他們通常是職能或資源部門的經(jīng)理。協(xié)調(diào)人在其他相關(guān)系統(tǒng)或業(yè)務(wù)處理部門的職能經(jīng)理和資源經(jīng)理的協(xié)助下制定應(yīng)急策略；應(yīng)急計(jì)劃協(xié)調(diào)人通常管理應(yīng)急計(jì)劃的制定和執(zhí)行。

2.3容災(zāi)的IT實(shí)現(xiàn)

除了詳盡的容災(zāi)計(jì)劃，實(shí)際上還需要合理的IT系統(tǒng)架構(gòu)來確保企業(yè)的容災(zāi)計(jì)劃得以實(shí)現(xiàn)。對(duì)于IT系統(tǒng)而言，在技術(shù)層面上，容災(zāi)需要考慮：

* 數(shù)據(jù)版本保護(hù) － 建立容災(zāi)的多版本保護(hù)底線（Bottom Line）* 實(shí)時(shí)數(shù)據(jù)保護(hù) － 數(shù)據(jù)復(fù)制，近乎0的數(shù)據(jù)丟失，數(shù)據(jù)一致性

* 應(yīng)用系統(tǒng)恢復(fù) － 恢復(fù)時(shí)間（包括數(shù)據(jù)庫恢復(fù)）、應(yīng)用版本的一致性（PTF）等 * 網(wǎng)絡(luò)系統(tǒng)恢復(fù) － 數(shù)據(jù)訪問點(diǎn)變化、建立新網(wǎng)絡(luò)路徑、動(dòng)態(tài)路由（收斂時(shí)間/穩(wěn)定性）* 容災(zāi)切換決策 － 及時(shí)發(fā)現(xiàn)災(zāi)難（容災(zāi)系統(tǒng)管理）、容災(zāi)切換的損失和補(bǔ)救辦法 * 容災(zāi)切換過程 － 變更管理

同時(shí)，無論任何時(shí)候，備份都是非常重要的，并要定期測(cè)試備份的可靠性。一種技術(shù)只能減少或防止某些類型的災(zāi)難的影響。除了簡單或一成不變的應(yīng)用，在沒有特別要求的情況下，盡量不要采用操作系統(tǒng)層面以上的數(shù)據(jù)復(fù)制技術(shù)。而沒有文檔化的流程就相當(dāng)于沒有流程，沒有流程的系統(tǒng)能夠在要求時(shí)間內(nèi)恢復(fù)完全靠運(yùn)氣（通常不能）。

另外，在通常情況下，IT系統(tǒng)相關(guān)的災(zāi)難備份方案設(shè)計(jì)都必須考慮以下五大因素，1，災(zāi)難類型

需要考慮哪些災(zāi)難？怎樣的災(zāi)難？會(huì)使業(yè)務(wù)中斷多久？ 2，恢復(fù)速度

災(zāi)難發(fā)生后需要多久來啟動(dòng)及運(yùn)行系統(tǒng)？能否承受數(shù)天或數(shù)分鐘的等待？ 3，恢復(fù)程度

需要恢復(fù)每條記錄和交易嗎？可以使用上星期或昨天的數(shù)據(jù)嗎？需要恢復(fù)一切嗎？有不相關(guān)的文件嗎？什么是合法隱含的要求？有少數(shù)的一組人輸入交易嗎？他們可以重新輸入災(zāi)難期間丟失的交易嗎？這些交易十分重要而不容許丟失嗎？ 4，可用的技術(shù)

必須結(jié)合考慮所選技術(shù)在本地區(qū)的適用性、實(shí)現(xiàn)條件以及在實(shí)施時(shí)是否受某些現(xiàn)有條件的制約？ 5，方案總體成本

實(shí)現(xiàn)災(zāi)難備份需要多少投資？不實(shí)現(xiàn)災(zāi)難備份會(huì)損失多少錢？ 綜合以上所述，可以如圖2所示：

圖2.災(zāi)難備份方案選擇標(biāo)準(zhǔn)

2.3.1容災(zāi)的7個(gè)層次

據(jù)國際標(biāo)準(zhǔn)SHARE78的定義，災(zāi)難恢復(fù)解決方案可根據(jù)以下主要方面所達(dá)到的程度分為七級(jí)，即從低到高有七種不同層次的災(zāi)難恢復(fù)解決方案?？梢愿鶕?jù)企業(yè)數(shù)據(jù)的重要性以及您需要恢復(fù)的速度和程度，來設(shè)計(jì)選擇并實(shí)現(xiàn)您的災(zāi)難恢復(fù)計(jì)劃（參見圖3）。這取決于下列要求： 備份/恢復(fù)的范圍 災(zāi)難恢復(fù)計(jì)劃的狀態(tài)

在應(yīng)用中心與備份中心之間的距離

應(yīng)用中心與備份中心之間是如何相互連接的 數(shù)據(jù)是怎樣在兩個(gè)中心之間傳送的 有多少數(shù)據(jù)被丟失

怎樣保證更新的數(shù)據(jù)在備份中心被更新 備份中心可以開始備份工作的能力

現(xiàn)已證明，為實(shí)現(xiàn)有效的災(zāi)難恢復(fù)，無需人工介入的自動(dòng)站點(diǎn)故障切換功能是一個(gè)必須被納入考慮范圍的重要事項(xiàng)。目前通用的異地遠(yuǎn)程恢復(fù)標(biāo)準(zhǔn)采用的是1992年Anaheim的SHARE78，M028會(huì)議的報(bào)告中所闡述的七個(gè)層次：

0層-沒有異地?cái)?shù)據(jù)(No off-site Data)Tier0即沒有任何異地備份或應(yīng)急計(jì)劃。數(shù)據(jù)僅在本地進(jìn)行備份恢復(fù)，沒有數(shù)據(jù)送往異地。事實(shí)上這一層并不具備真正災(zāi)難恢復(fù)的能力。

1層-PTAM卡車運(yùn)送訪問方式(Pickup Truck Access Method)Tier1的災(zāi)難恢復(fù)方案必須設(shè)計(jì)一個(gè)應(yīng)急方案，能夠備份所需要的信息并將它存儲(chǔ)在異地。PTAM指將本地備份的數(shù)據(jù)用交通工具送到遠(yuǎn)方。這種方案相對(duì)來說成本較低，但難于管理。

2層-PTAM卡車運(yùn)送訪問方式+熱備份中心(PTAM + Hot Center)Tier2相當(dāng)于Tier1再加上熱備份中心能力的進(jìn)一步的災(zāi)難恢復(fù)。熱備份中心擁有足夠的硬件和網(wǎng)絡(luò)設(shè)備去支持關(guān)鍵應(yīng)用。相比于Tier1，明顯降低了災(zāi)難恢復(fù)時(shí)間。3層-電子鏈接(Electronic Vaulting)Tier3是在Tier2的基礎(chǔ)上用電子鏈路取代了卡車進(jìn)行數(shù)據(jù)的傳送的進(jìn)一步的災(zāi)難恢復(fù)。由于熱備份中心要保持持續(xù)運(yùn)行，增加了成本，但提高了災(zāi)難恢復(fù)速度。4層-活動(dòng)狀態(tài)的備份中心(Active Secondary Center)Tier4指兩個(gè)中心同時(shí)處于活動(dòng)狀態(tài)并同時(shí)互相備份，在這種情況下，工作負(fù)載可能在兩個(gè)中心之間分享。在災(zāi)難發(fā)生時(shí)，關(guān)鍵應(yīng)用的恢復(fù)也可降低到小時(shí)級(jí)或分鐘級(jí)。

5層– 兩個(gè)活動(dòng)的數(shù)據(jù)中心，確保數(shù)據(jù)一致性的兩階段傳輸承諾（Two-Site Two-Phase Commit）

Tier5則提供了更好的數(shù)據(jù)完整性和一致性。也就是說，Tier5需要兩中心與中心的數(shù)據(jù)都被同時(shí)更新。在災(zāi)難發(fā)生時(shí)，僅是傳送中的數(shù)據(jù)被丟失，恢復(fù)時(shí)間被降低到分鐘級(jí)。6層-0數(shù)據(jù)丟失(Zero Data Loss)，自動(dòng)系統(tǒng)故障切換

Tier6可以實(shí)現(xiàn)0數(shù)據(jù)丟失率，被認(rèn)為是災(zāi)難恢復(fù)的最高級(jí)別，在本地和遠(yuǎn)程的所有數(shù)據(jù)被更新的同時(shí)，利用了雙重在線存儲(chǔ)和完全的網(wǎng)絡(luò)切換能力，當(dāng)發(fā)生災(zāi)難時(shí)，能夠提供跨站點(diǎn)動(dòng)態(tài)負(fù)載平衡和自動(dòng)系統(tǒng)故障切換功能。

2.3.2容災(zāi)的業(yè)務(wù)恢復(fù)時(shí)間段

對(duì)于IT系統(tǒng)的容災(zāi)指標(biāo)，我們可以通過下列參數(shù)表示： * 以恢復(fù)點(diǎn)為目標(biāo)(RPO--Recovery Point Object）– – 數(shù)據(jù)的完整性(無數(shù)據(jù)丟失)– – 數(shù)據(jù)的一致性(數(shù)據(jù)正確且可用）

* 以恢復(fù)時(shí)間為目標(biāo)(RTO---Recovery Time Object）* 以網(wǎng)絡(luò)恢復(fù)為目標(biāo)(NRO---Network Recovery Object）* 以服務(wù)支持能力為目標(biāo)(SDO---Serviceability Degrade Object)– – 性能

– – 地域/ 支持的客戶總數(shù) – – 功能的限制

圖4展示了業(yè)務(wù)恢復(fù)的不同時(shí)間段。

圖4.容災(zāi)的業(yè)務(wù)恢復(fù)時(shí)間段 2.3.3容災(zāi)所涉及的恢復(fù)技術(shù)

DR（容災(zāi) Disaster Recovery）項(xiàng)目的實(shí)施中涉及到多種技術(shù)。這些技術(shù)可以分為三類：應(yīng)用恢復(fù)，網(wǎng)絡(luò)恢復(fù)，數(shù)據(jù)恢復(fù)。應(yīng)用恢復(fù)技術(shù)

常用的應(yīng)用恢復(fù)技術(shù)或方法如下：

* 通過負(fù)載均衡提供永不停頓的系統(tǒng)運(yùn)行能力(Tier-7)例如：IBMS/390的GDPS技術(shù)給用戶提供一個(gè)無中斷的操作環(huán)境,來運(yùn)行那些關(guān)鍵業(yè)務(wù)的應(yīng)用程序，通過自動(dòng)應(yīng)用恢復(fù)能力來滿足其第7級(jí)容災(zāi)要求 * 通過事先寫好的腳本來實(shí)現(xiàn)自動(dòng)的熱接管(Tier-6)例如：GDPS也可以在熱待命狀態(tài)下運(yùn)行，來為S/390系統(tǒng)提供第6級(jí)解決方案。

HAGEO提供與GDPS熱待命相似的解決方案，并常被用來作為大型關(guān)鍵業(yè)務(wù)UNIX數(shù)據(jù)中心的DR解決方案

* 按預(yù)案手工實(shí)現(xiàn)站點(diǎn)接管(Tier 4/5)例如：有些設(shè)施的DR包括必須有人介入和決策的手動(dòng)應(yīng)用恢復(fù)程序。

在實(shí)際災(zāi)難發(fā)生時(shí)，一些這樣的設(shè)施因?yàn)閷?duì)人工操作的依賴，造成恢復(fù)過程的延誤。因此，我們認(rèn)識(shí)到，容災(zāi)的實(shí)施必須包括一定程度的自動(dòng)化，這也是GDPS和HAGEO這樣的軟件的主旨。網(wǎng)絡(luò)恢復(fù)技術(shù)

常用的網(wǎng)絡(luò)恢復(fù)技術(shù)或方法如下： * 4-7 層交換機(jī)(Tier-7)例如：無中斷的第7級(jí)網(wǎng)絡(luò)恢復(fù)需要?jiǎng)討B(tài)網(wǎng)絡(luò)路由重選，來保證應(yīng)用能夠在不中斷最終用戶的情況下轉(zhuǎn)入備用數(shù)據(jù)中心。在SNA環(huán)境下通過APPN來完成，而在IP環(huán)境下則通過第4-7層轉(zhuǎn)換來完成。APPN是在IBM S/390 GDPS環(huán)境下，為動(dòng)態(tài)網(wǎng)絡(luò)恢復(fù)而開發(fā)的SNA網(wǎng)絡(luò)技術(shù)。通過標(biāo)準(zhǔn)的基于路由器的技術(shù)，可以在通用的IP傳輸上使用APPN * 路由(Tier-6)例如：在第6級(jí)DR的實(shí)施中，網(wǎng)絡(luò)恢復(fù)可以通過APPN和/或標(biāo)準(zhǔn)的路由協(xié)議來完成(OSPF / EIGRP / BGP-4)在非GDPS環(huán)境中，APPN應(yīng)用路由在容災(zāi)系統(tǒng)備用路徑可用時(shí)，自動(dòng)恢復(fù)網(wǎng)絡(luò)連接

* 2層 Reconnect(Tier-4/5)例如：SNA子網(wǎng)在以太網(wǎng)/SNA中通過ATM / 幀中繼 / DDN 鏈路進(jìn)行互聯(lián)，如果發(fā)生鏈路故障，則可以通過手工切換來實(shí)現(xiàn)網(wǎng)絡(luò)恢復(fù)

數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)容災(zāi)系統(tǒng)的實(shí)現(xiàn)可以采用不同的技術(shù)。一種技術(shù)是采用硬件進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制，我們稱為硬件復(fù)制技術(shù)。這種技術(shù)的提供者是一些存儲(chǔ)設(shè)備廠商，其技術(shù)例如PPRC、SRDF。數(shù)據(jù)的復(fù)制完全通過專用線路實(shí)現(xiàn)物理存儲(chǔ)設(shè)備之間的交換；另一種技術(shù)是采用軟件系統(tǒng)實(shí)現(xiàn)遠(yuǎn)程的實(shí)時(shí)數(shù)據(jù)復(fù)制，并且實(shí)現(xiàn)遠(yuǎn)程的全程高可用體系（遠(yuǎn)程監(jiān)控和切換）。這種技術(shù)的代表則是一些存儲(chǔ)軟件廠商，其技術(shù)例如HAGEO、VVR。

數(shù)據(jù)復(fù)制是一個(gè)復(fù)雜的議題，但一般來說這，它可以在硬件或軟件層上實(shí)施（參見圖5）。今天，市場(chǎng)上的硬件和軟件技術(shù)提供不同的第4級(jí)和第7級(jí)數(shù)據(jù)恢復(fù)，對(duì)硬件或軟件的選擇取決于很多與設(shè)施相關(guān)的因素，如工作量、網(wǎng)絡(luò)成本要求、工作點(diǎn)和數(shù)據(jù)恢復(fù)點(diǎn)間的距離、同性或異性的平臺(tái)支持等等。我們將在下面的章節(jié)對(duì)以上兩種技術(shù)進(jìn)行詳細(xì)的論述。

圖5.數(shù)據(jù)復(fù)制技術(shù) 第三章 容災(zāi)方案分析

業(yè)務(wù)連續(xù)性開發(fā)模式 | 七層災(zāi)難恢復(fù)解決方案 | 如何選擇最優(yōu)的災(zāi)難恢復(fù)方案

在現(xiàn)代企業(yè)的IT系統(tǒng)管理過程中，常常會(huì)遇到各種有關(guān)災(zāi)難備份范疇的需求，例如：

―無論發(fā)生任何問題，業(yè)務(wù)系統(tǒng)必須在最短的時(shí)間內(nèi)恢復(fù)！‖； ―無論發(fā)生任何問題，數(shù)據(jù)絕對(duì)不能丟失！‖ ……

針對(duì)這些問題，有經(jīng)驗(yàn)的管理人員可能會(huì)考慮到一系列由此引發(fā)的問題： ―究竟有些什么因素可能導(dǎo)致業(yè)務(wù)中斷？‖ ―究竟最短的時(shí)間是多長？‖

―是否所有的應(yīng)用系統(tǒng)數(shù)據(jù)都不能丟失？‖ ―這些恢復(fù)目標(biāo)是否合理？‖

―目前的IT架構(gòu)是否能夠滿足所要求的恢復(fù)目標(biāo)？‖

―是否IT系統(tǒng)得到恢復(fù)，就意味著業(yè)務(wù)部門可以對(duì)客戶進(jìn)行服務(wù)？‖ ―如何衡量災(zāi)難備份方案的投入產(chǎn)出比？‖ ……

回答以上這些問題的過程，就是考慮企業(yè)業(yè)務(wù)連續(xù)性的過程。事實(shí)上，隨著IT系統(tǒng)在企業(yè)內(nèi)部應(yīng)用的深入，災(zāi)難備份在企業(yè)中已不是IT一個(gè)部門的問題，而是整個(gè)企業(yè)各業(yè)務(wù)部門與IT部門緊密合作的問題。其內(nèi)容也不僅局限于數(shù)據(jù)的備份和應(yīng)用的接管，還包含了網(wǎng)絡(luò)的冗余、人員與組織架構(gòu)的整理、恢復(fù)流程的設(shè)計(jì)等一系列技術(shù)以外的范疇。目的在于保證在災(zāi)難環(huán)境下，企業(yè)真正從業(yè)務(wù)的角度得到保護(hù)，而不僅僅是IT環(huán)境的恢復(fù)。

3.1業(yè)務(wù)連續(xù)性開發(fā)模式

各行各業(yè)的用戶，需要針對(duì)自身情況，設(shè)立可行的業(yè)務(wù)恢復(fù)目標(biāo)，并制訂出切合實(shí)際、投資合理、可靠的業(yè)務(wù)連續(xù)性及技術(shù)方案。這種業(yè)務(wù)連續(xù)性開發(fā)模式，體現(xiàn)在業(yè)務(wù)連續(xù)性或?yàn)?zāi)難備份的項(xiàng)目中，就是災(zāi)難備份項(xiàng)目實(shí)施的步驟：

1.災(zāi)難類型分析 2.業(yè)務(wù)沖擊分析

3.當(dāng)前業(yè)務(wù)環(huán)境及恢復(fù)能力分析 4.容災(zāi)策略制訂 5.容災(zāi)方案設(shè)計(jì) 6.業(yè)務(wù)連續(xù)性流程設(shè)計(jì)

7.業(yè)務(wù)連續(xù)性流程及容災(zāi)方案管理和測(cè)試

其過程如下圖所示，是一個(gè)周而復(fù)始的過程，隨著企業(yè)內(nèi)部環(huán)境的變化隨時(shí)靈活變化：

圖一.災(zāi)難備份項(xiàng)目實(shí)施過程

3.1.1階段

一、災(zāi)難類型分析（風(fēng)險(xiǎn)分析）

在本階段，需要進(jìn)行詳細(xì)而量化的風(fēng)險(xiǎn)分析，以確定當(dāng)前IT環(huán)境之中存在哪些無法接受的物理威脅或者可能發(fā)生的災(zāi)難，并對(duì)災(zāi)難發(fā)生的可能性、目前可能的防護(hù)措施的有效性和該災(zāi)難所威脅的資產(chǎn)價(jià)值進(jìn)行分析，最終得到帶有優(yōu)先級(jí)別的需要防護(hù)的災(zāi)難列表，并制訂可能的處理方法，如接受該災(zāi)難發(fā)生的風(fēng)險(xiǎn)而不進(jìn)行防護(hù)、自行制訂該災(zāi)難的防護(hù)方法或者采取購買保險(xiǎn)等風(fēng)險(xiǎn)轉(zhuǎn)嫁策略。其結(jié)果可以由下圖表示：

在該圖中，橫坐標(biāo)為風(fēng)險(xiǎn)發(fā)生的可能性，縱坐標(biāo)為風(fēng)險(xiǎn)發(fā)生所造成的損失。在某一風(fēng)險(xiǎn)發(fā)生的可能性極小時(shí)，即使造成的損失極大，也可能屬于可接受的風(fēng)險(xiǎn)范疇，例如美國的―9?11‖事件。但該接受程度是與時(shí)俱進(jìn)的，在―9?11‖事件發(fā)生后，事實(shí)是大部分沒有考慮這種大范圍災(zāi)難性事件的企業(yè)基本沒有得到恢復(fù)的機(jī)會(huì)。目前業(yè)界也已經(jīng)將低概率事件逐漸納入防護(hù)的范圍。

3.1.2階段

二、業(yè)務(wù)沖擊分析

在本階段，應(yīng)該針對(duì)各種業(yè)務(wù)流程進(jìn)行分析，通過走訪各業(yè)務(wù)部門的相關(guān)人員，了解各種業(yè)務(wù)流程本身對(duì)該企業(yè)的重要程度。（例如在銀行業(yè)里，儲(chǔ)蓄和單據(jù)、網(wǎng)上支付、電話銀行等業(yè)務(wù)就具有不同的優(yōu)先等級(jí)。）同時(shí)根據(jù)一定的評(píng)判原則，得出在核心流程由于災(zāi)難的發(fā)生而無法正常進(jìn)行時(shí)對(duì)企業(yè)本身的損失情況。這種損失可能是可以量化的，例如單據(jù)的丟失、計(jì)算的錯(cuò)誤而導(dǎo)致的直接損失；也可以是無形的損失，例如客戶滿意度及競(jìng)爭(zhēng)優(yōu)勢(shì)的丟失。通過對(duì)可量化和不可量化損失的綜合考慮，得出各種核心業(yè)務(wù)流程由于災(zāi)難受損的可容忍程度及損失的決策依據(jù)。體現(xiàn)在IT系統(tǒng)上，是三個(gè)指標(biāo)：

數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)（RECOVERY POINT OBJECTIVE）：體現(xiàn)為該流程在災(zāi)難 發(fā)生后，恢復(fù)運(yùn)轉(zhuǎn)時(shí)數(shù)據(jù)丟失的可容忍程度；

恢復(fù)時(shí)間目標(biāo)（RECOVERY TIME OBJECTIE）：體現(xiàn)為該流程在災(zāi)難發(fā)生后，需要恢復(fù)的緊迫性也即多久能夠得到恢復(fù)的問題；

網(wǎng)絡(luò)恢復(fù)目標(biāo)（NETWORK RECOVERY OBJECTIVE）：即營業(yè)網(wǎng)點(diǎn)什么時(shí)候才能通過備份網(wǎng)絡(luò)與數(shù)據(jù)中心重新恢復(fù)通信的指標(biāo)；

對(duì)于不同的業(yè)務(wù)流程，這三個(gè)指標(biāo)可能相差非常之大，各個(gè)流程本身對(duì)這三個(gè)目標(biāo)的優(yōu)先程度也是不一樣的，有的流程可能要求數(shù)據(jù)丟失的程度較小，但恢復(fù)時(shí)間可以較長，而另一些流程可能要求短時(shí)間內(nèi)恢復(fù)，但數(shù)據(jù)的丟失程度可以放大一些。這三個(gè)指標(biāo)直接影響所使用的容災(zāi)策略及技術(shù)方案，并指導(dǎo)企業(yè)的投入成本?？梢杂孟聢D表示：

圖3.業(yè)務(wù)沖擊分析曲線

在該圖中，橫坐標(biāo)為災(zāi)難持續(xù)時(shí)間，縱坐標(biāo)為災(zāi)難損失，在某一程度以下屬于可接受的程度，即橫虛線所示。這種可接受決策應(yīng)該由負(fù)責(zé)該流程的業(yè)務(wù)部門綜合考慮后做出。

3.1.3階段

三、企業(yè)容災(zāi)環(huán)境分析 本階段主要針對(duì)業(yè)務(wù)沖擊分析的結(jié)果，對(duì)目前的內(nèi)部環(huán)境進(jìn)行評(píng)估，得出與恢復(fù)目標(biāo)之間的差距。分析的對(duì)象為業(yè)務(wù)流程需要的資源，如IT環(huán)境等。通過本階段的工作，得出各業(yè)務(wù)流程所牽涉的企業(yè)資產(chǎn)及資源（人力資源、IT架構(gòu)、技術(shù)儲(chǔ)備、技術(shù)使用程度、網(wǎng)絡(luò)環(huán)境等），并分析得出目前的業(yè)務(wù)環(huán)境對(duì)容災(zāi)需求、冗余程度、可能造成的數(shù)據(jù)損失是否能夠支持等方面的報(bào)告。用下圖表示：

圖4.容災(zāi)環(huán)境分析

圖中右邊紅線為目前環(huán)境所支持的容災(zāi)能力，左邊紅線為經(jīng)過業(yè)務(wù)沖擊分析所得到的需要達(dá)到的恢復(fù)能力，在災(zāi)難恢復(fù)時(shí)間和災(zāi)難造成損失兩個(gè)方面都需要得到降低。

3.1.4階段

四、容災(zāi)策略制訂

在本階段，結(jié)合以上各階段的分析成果，以及企業(yè)本身在容災(zāi)上的投入能力，制訂企業(yè)短期、長期范圍內(nèi)的容災(zāi)策略和目標(biāo)，并有意識(shí)地將企業(yè)本身的人員組成和組織架構(gòu)做出調(diào)整以適應(yīng)策略要求。最重要的是制訂出容災(zāi)實(shí)施步驟，優(yōu)先解決最為重點(diǎn)的問題。如下圖所示：

圖5.容災(zāi)策略制訂

3.1.5階段

五、容災(zāi)方案設(shè)計(jì)

容災(zāi)方案可供選擇的范圍很大，但所有的容災(zāi)方案都必須考慮的因素包括恢復(fù)時(shí)間、實(shí)施與維護(hù)容災(zāi)策略所需的投入等。容災(zāi)恢復(fù)時(shí)間的需求越短，所需的實(shí)施成本就越大，實(shí)施難度也就越高。恢復(fù)時(shí)間與投入的比值可以用以下這張曲線圖加以說明：

圖6.容災(zāi)方案層次

圖中的各種層次方案可以分別滿足不同的數(shù)據(jù)恢復(fù)目標(biāo)和恢復(fù)時(shí)間目標(biāo)，需要根據(jù)業(yè)務(wù)沖擊分析的結(jié)果，針對(duì)每一種業(yè)務(wù)流程，綜合選擇能夠滿足容災(zāi)目標(biāo)的方案。

3.1.6 階段

六、業(yè)務(wù)連續(xù)性流程設(shè)計(jì)

有了IT系統(tǒng)的恢復(fù)方案，只能夠保證在災(zāi)難環(huán)境下，IT系統(tǒng)的恢復(fù)能夠保證業(yè)務(wù)沖擊分析的目標(biāo)，但是業(yè)務(wù)的連續(xù)性并不只是IT系統(tǒng)的恢復(fù)，還包括辦公場(chǎng)地、辦公設(shè)備、緊急流程、指揮架構(gòu)、人員調(diào)度等等多方面、各部門的綜合考慮。只有業(yè)務(wù)流程執(zhí)行過程的每一個(gè)環(huán)節(jié)都達(dá)到容災(zāi)目標(biāo)的要求，才能夠認(rèn)為業(yè)務(wù)沖擊分析的目標(biāo)得到了滿足。一般來說，每個(gè)企業(yè)都應(yīng)該設(shè)立一個(gè)由領(lǐng)導(dǎo)掛帥，各業(yè)務(wù)部門和IT部門聯(lián)合組成的一個(gè)容災(zāi)指揮小組：

圖7.容災(zāi)組織架構(gòu)圖

由該小組指揮，IT部門和業(yè)務(wù)部門分別執(zhí)行，IT恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃才能得到同步，從而達(dá)到容災(zāi)設(shè)計(jì)的目標(biāo)。

3.1.7階段

七、業(yè)務(wù)連續(xù)性流程及容災(zāi)方案管理和測(cè)試

任何制訂的計(jì)劃，都必須經(jīng)過不斷的測(cè)試和修正，才能滿足企業(yè)不斷發(fā)展的需求。同時(shí)，通過測(cè)試過程，也能夠使企業(yè)內(nèi)部各部門及人員熟悉自己在業(yè)務(wù)連續(xù)性計(jì)劃中所扮演的角色，做到胸有成竹，才能夠在災(zāi)難真正發(fā)生的時(shí)刻有條不紊地開展恢復(fù)的過程。

測(cè)試的過程可以分為―紙上談兵‖和實(shí)地演習(xí)兩種方式，根據(jù)企業(yè)需要及對(duì)業(yè)務(wù)影響的不同分別采用。

需要注意的是，無論平時(shí)的測(cè)試如何完善，也沒有辦法預(yù)測(cè)可能發(fā)生的災(zāi)難情況。關(guān)鍵人員的損失或者關(guān)鍵文檔的丟失，都有可能對(duì)災(zāi)難恢復(fù)計(jì)劃的執(zhí)行造成巨大影響。因此，在災(zāi)難演練過程中要注意到人員的交叉?zhèn)浞萸闆r，除了每個(gè)人自己所擔(dān)負(fù)的責(zé)任外，盡量做到關(guān)鍵步驟有后備人選作為應(yīng)變。

3.2七層災(zāi)難恢復(fù)解決方案

在談到災(zāi)難恢復(fù)方案時(shí)，經(jīng)常提到災(zāi)難恢復(fù)解決方案的7個(gè)層次(tier)。那么什么是7層解決方案？該如何為關(guān)鍵的業(yè)務(wù)應(yīng)用選擇最優(yōu)的容災(zāi)方案？

3.2.1恢復(fù)的7個(gè)層次

災(zāi)難保護(hù)計(jì)劃的目的是，確保關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行以及減少非計(jì)劃宕機(jī)時(shí)間。所有與容災(zāi)方案相關(guān)的計(jì)劃都試圖在方案本身、宕機(jī)時(shí)間和實(shí)施方案所需成本三者之間找到一個(gè)平衡點(diǎn)。

圖8.三者的平衡關(guān)系

災(zāi)難恢復(fù)方案中的恢復(fù)時(shí)間與下列因素有關(guān)： 數(shù)據(jù)有效性的恢復(fù) IT基礎(chǔ)設(shè)施的恢復(fù) 可操作流程的修復(fù) 關(guān)鍵業(yè)務(wù)的修復(fù)

圖9.災(zāi)難恢復(fù)的層次劃分

3.2.2細(xì)述7個(gè)層次

災(zāi)難恢復(fù)方案的7個(gè)層次提供了一個(gè)簡單方法論--如何定義當(dāng)前的服務(wù)水平、風(fēng)險(xiǎn)以及期望的服務(wù)水平和環(huán)境。

0層：無異地備份數(shù)據(jù)(No off-site Data)對(duì)于使用0層災(zāi)難恢復(fù)解決方案的業(yè)務(wù)，可稱其為沒有災(zāi)難恢復(fù)計(jì)劃，主要表現(xiàn)為： 數(shù)據(jù)僅在本地進(jìn)行備份恢復(fù)，沒有任何數(shù)據(jù)信息和資料被送往異地，沒有處理意外 事故的計(jì)劃。恢復(fù)時(shí)間：在此種情況下，恢復(fù)時(shí)間不可預(yù)測(cè)。事實(shí)上也不可能恢復(fù)。

例如，目前我們通常在機(jī)房內(nèi)所做的數(shù)據(jù)備份，備份介質(zhì)保留在機(jī)房內(nèi)，用于本地的數(shù)據(jù)恢復(fù)。當(dāng)災(zāi)難發(fā)生時(shí)，數(shù)據(jù)備份和設(shè)備有可能一同被毀，無法進(jìn)行恢復(fù)。

1層：有數(shù)據(jù)備份，無備用系統(tǒng)（Data Backup with No Hot Site）

使用1層災(zāi)難恢復(fù)解決方案的業(yè)務(wù)，通常將需要的數(shù)據(jù)備份到磁帶上，然后將這些介質(zhì)運(yùn)送到其它較為安全的地方。但在那里缺乏能恢復(fù)數(shù)據(jù)的系統(tǒng)，若數(shù)據(jù)備份的頻率很高，則在恢復(fù)時(shí)丟失的數(shù)據(jù)就會(huì)少些。此類業(yè)務(wù)應(yīng)能忍受幾天乃至幾星期的數(shù)據(jù)丟失。

例如，PTAM（Pickup Truck Access Method）是一種許多數(shù)據(jù)中心所采用的標(biāo)準(zhǔn)備份方式。在完成所需的數(shù)據(jù)備份后，用適當(dāng)?shù)倪\(yùn)輸工具將它們送到遠(yuǎn)離本地的地方，同時(shí)備有數(shù)據(jù)恢復(fù)的程序。災(zāi)難發(fā)生后，一整套系統(tǒng)安裝需要在一臺(tái)未開啟的計(jì)算機(jī)上重新完成，系統(tǒng)和數(shù)據(jù)可以被恢復(fù)并重新與網(wǎng)絡(luò)相連。這種災(zāi)難恢復(fù)方案相對(duì)來說成本較低(僅僅需要運(yùn)輸工具的消耗以及存儲(chǔ)設(shè)備的消耗)。但恢復(fù)的時(shí)間長，且數(shù)據(jù)不夠新。

2層：有數(shù)據(jù)備份，有備用系統(tǒng)（Data Backup with Hot Site）

使用2層容災(zāi)解決方案的業(yè)務(wù)會(huì)定期將數(shù)據(jù)備份到磁帶上，并將其運(yùn)到安全的地點(diǎn)。在備份中心有備用的系統(tǒng)，當(dāng)災(zāi)難發(fā)生時(shí)，可以使用這些數(shù)據(jù)備份磁帶來恢復(fù)系統(tǒng)。雖然還需要數(shù)小時(shí)或幾天的時(shí)間來恢復(fù)數(shù)據(jù)以使業(yè)務(wù)可用，但不可預(yù)測(cè)的恢復(fù)時(shí)間減少了。

2層相當(dāng)于在1層上增加了備份中心的災(zāi)難恢復(fù)。備份中心擁有足夠的硬件和網(wǎng)絡(luò)設(shè)備來維持關(guān)鍵應(yīng)用的安裝需求，這樣的應(yīng)用是十分的關(guān)鍵的，它必須在災(zāi)難發(fā)生的同時(shí)，在異地有正運(yùn)行著的硬件提供支持。這種災(zāi)難恢復(fù)的方式依賴于PTAM方法去將日常數(shù)據(jù)放入倉庫，當(dāng)災(zāi)難發(fā)生的時(shí)候，再將數(shù)據(jù)恢復(fù)到備份中心的系統(tǒng)上。雖然備份中心的系統(tǒng)增加了成本，但明顯降低了災(zāi)難恢復(fù)時(shí)間，系統(tǒng)可在幾天內(nèi)得以恢復(fù)。

3層：電子鏈接（Electronic Vaulting）

使用3層容災(zāi)解決方案的業(yè)務(wù)，是在2層解決方案的基礎(chǔ)上，又使用了對(duì)關(guān)鍵數(shù)據(jù)的電子鏈接技術(shù)。電子鏈接將磁帶備份后更改的數(shù)據(jù)進(jìn)行記錄，并傳到備用中心，使用此種方法會(huì)比使用傳統(tǒng)的磁帶備份更快地得到更新的數(shù)據(jù)。所以，當(dāng)災(zāi)難發(fā)生后，只有少量的數(shù)據(jù)需要重新恢復(fù)，恢復(fù)時(shí)間會(huì)縮短。

由于備用中心要保持持續(xù)運(yùn)行，與生產(chǎn)中心間的通訊線路要保證暢通，增加了運(yùn)營成本。但消除了對(duì)運(yùn)輸工具的依賴，提高了災(zāi)難恢復(fù)速度。

例如，某企業(yè)在每天下班后，將當(dāng)日的流水全部記錄下來，通過網(wǎng)絡(luò)傳到備份中心；備份中心在備用系統(tǒng)上，重新將所有業(yè)務(wù)重做，保證與生產(chǎn)中心的一致性。這一領(lǐng)域的產(chǎn)品可以分四層：

1）存儲(chǔ)設(shè)備層：IBM-ESS-PPRC、IBM-DS4000-RM、EMC-SRDF、HP-EVA-StorageWorks Continuous Access、FALCONSTOR-IPSTOR、NETAPP等。

2）操作系統(tǒng)及系統(tǒng)軟件層：IBM-GEORM、VERITAS-Storage Replicator/Volume Replicator、LEGATAL-RepliStor。

3）數(shù)據(jù)庫層：IBM-DB2-HADR、IBM-INFORMIX-HDR、ORACLE-ORACLE-DATA GUARD等。

4）應(yīng)用程序?qū)樱簯?yīng)用程序開發(fā)時(shí)考慮到數(shù)據(jù)的復(fù)制。

4層：使用快照技術(shù)拷貝數(shù)據(jù)（Point-in-time Copies）

使用4層災(zāi)難恢復(fù)方案的業(yè)務(wù)，對(duì)數(shù)據(jù)的實(shí)時(shí)性和快速恢復(fù)性要求更高些。1-3層的方案中較常使用磁帶備份和傳輸，在4層方案中開始使用基于磁盤的解決方案。此時(shí)仍然會(huì)出現(xiàn)幾個(gè)小時(shí)的數(shù)據(jù)丟失，但同基于磁帶的解決方案相比，通過加快備份頻率，使用最近時(shí)間點(diǎn)的快照拷貝恢復(fù)數(shù)據(jù)會(huì)更快。系統(tǒng)可在一天內(nèi)恢復(fù)。

4層災(zāi)難恢復(fù)可有兩個(gè)中心同時(shí)處于活動(dòng)狀態(tài)并管理彼此的備份數(shù)據(jù)，允許備份行動(dòng)在任何一個(gè)方向發(fā)生。接收方硬件必須保證與另一方平臺(tái)在地理上分離，在這種情況下，工作負(fù)載可能在兩個(gè)中心之間分享，中心1成為中心2的備份，反之亦然。在兩個(gè)中心之間，彼此的在線關(guān)鍵數(shù)據(jù)的拷貝不停地相互傳送著。在災(zāi)難發(fā)生時(shí)，需要的關(guān)鍵數(shù)據(jù)通過網(wǎng)絡(luò)可迅速恢復(fù)，通過網(wǎng)絡(luò)的切換，關(guān)鍵應(yīng)用的恢復(fù)也可降低到小時(shí)級(jí)。支持這種工作方式的產(chǎn)品包括IBM-HAGEO、VARITAS-Global Cluster Manager。

5層：交易的完整性（Transaction Integrity）

使用5層災(zāi)難恢復(fù)方案的業(yè)務(wù)，要求保證生產(chǎn)中心和數(shù)據(jù)備份中心的數(shù)據(jù)的一致性。在此層方案中只允許少量甚至是無數(shù)據(jù)丟失，但是該功能的實(shí)現(xiàn)完全依賴于所運(yùn)行的應(yīng)用。

5層除了使用4層的技術(shù)外，還要維護(hù)數(shù)據(jù)的狀態(tài)-要保證在本地和遠(yuǎn)端數(shù)據(jù)庫中都要更新數(shù)據(jù)。只有當(dāng)兩地的數(shù)據(jù)都更新完成后，才認(rèn)為此次交易成功。生產(chǎn)中心和備用中心是由高速的寬帶連接的，關(guān)鍵數(shù)據(jù)和應(yīng)用同時(shí)運(yùn)行在兩個(gè)地點(diǎn)。當(dāng)災(zāi)難發(fā)生時(shí)，只有正在進(jìn)行的交易數(shù)據(jù)會(huì)丟失。由于恢復(fù)數(shù)據(jù)的減少，恢復(fù)時(shí)間也大大縮短。數(shù)據(jù)庫的數(shù)據(jù)復(fù)制功能一般可以工作在這樣的方式下：IBM-DB2-HADR、ORACLE-ORACLE-Replication等。

6層：少量或無數(shù)據(jù)丟失（Zero or little data loss）

6層災(zāi)難恢復(fù)方案可以保證最高一級(jí)數(shù)據(jù)的實(shí)時(shí)性。適用于那些幾乎不允許數(shù)據(jù)丟失并要求能快速將數(shù)據(jù)恢復(fù)到應(yīng)用中的業(yè)務(wù)。此種解決方案提供數(shù)據(jù)的一致性，不依賴于應(yīng)用而是靠大量的硬件技術(shù)和操作系統(tǒng)軟件來實(shí)現(xiàn)的。

這一級(jí)別的要求很高，一般需要整個(gè)系統(tǒng)應(yīng)用程序?qū)拥接布泳扇∠鄳?yīng)措施。

1）應(yīng)用程序?qū)硬捎没诮灰祝═RANSACTION）的方法開發(fā)。

2）數(shù)據(jù)庫可以采取數(shù)據(jù)復(fù)制。IBM-DB2-HADR、IBM-INFORMIX-HDR、ORACLE-ORACLE-DATA GUARD等。

3）操作系統(tǒng)使用集群軟件、站點(diǎn)遷移軟件、數(shù)據(jù)復(fù)制軟件：IBM-HACMP、VARITAS-Global Cluster Manager等。

4）硬件層使用同步的數(shù)據(jù)復(fù)制：IBM-ESS-PPRC、IBM-DS4000-RM、EMC-SRDF 或使用帶有CONSISTANCY-GROUP功能的異步數(shù)據(jù)復(fù)制IBM-ESS-PPRC、IBM-DS4000-RM。

7層：解決方案與具體業(yè)務(wù)相結(jié)合，實(shí)現(xiàn)自主管理(Highly Automated , Bussiness Integrated Solution)

7層災(zāi)難恢復(fù)方案在第6層的基礎(chǔ)上，集成了自主管理的功能。在保證數(shù)據(jù)一致性的同時(shí)，又增加了應(yīng)用的自動(dòng)恢復(fù)能力，使得系統(tǒng)和應(yīng)用恢復(fù)的速度更快、更可靠（按照災(zāi)難恢復(fù)流程，手工操作也可實(shí)現(xiàn)整個(gè)恢復(fù)過程）。

7層可以實(shí)現(xiàn)0數(shù)據(jù)丟失率，同時(shí)保證數(shù)據(jù)立即自動(dòng)地被傳輸?shù)交謴?fù)中心。7層被認(rèn)為是災(zāi)難恢復(fù)的最高級(jí)別，在本地和遠(yuǎn)程的所有數(shù)據(jù)被更新的同時(shí)，利用了雙重在線存儲(chǔ)和完全的網(wǎng)絡(luò)切換能力。7層是災(zāi)難恢復(fù)中最昂貴的方式，但也是速度最快的恢復(fù)方式。當(dāng)一個(gè)工作中心發(fā)生災(zāi)難時(shí)，7層能夠提供一定程度的跨站點(diǎn)動(dòng)態(tài)負(fù)載平衡和自動(dòng)系統(tǒng)故障切換功能。現(xiàn)在已經(jīng)證明，為實(shí)現(xiàn)有效的災(zāi)難恢復(fù)，無需人工介入的自動(dòng)站點(diǎn)故障切換功能需要一個(gè)應(yīng)該納入考慮范圍的重要事項(xiàng)。

3.3如何選擇最優(yōu)的災(zāi)難恢復(fù)方案

在選擇解決方案時(shí)，非常重要的一點(diǎn)是，解決方案所需的投資在IT商業(yè)價(jià)值中應(yīng)占切實(shí)可行的部分，任何人都希望用較少的投資換取更多的利益--災(zāi)難恢復(fù)解決方案的投資一定要少于災(zāi)難本身帶來的財(cái)政損失。

按照下述目標(biāo)，為一個(gè)商業(yè)應(yīng)用選擇解決方案時(shí)，決定起來就會(huì)簡單：

（按用戶的投入、希望恢復(fù)的速度等目標(biāo)來選擇，災(zāi)難恢復(fù)越快所需的投入就越多）* 恢復(fù)時(shí)間目標(biāo)（RTO – Recovery Time Objective）沒有應(yīng)用系統(tǒng)，可以忍受多長時(shí)間？

* 恢復(fù)時(shí)間點(diǎn)目標(biāo)(RPO – Recovery Point Objective)系統(tǒng)恢復(fù)后，可以允許重新創(chuàng)建多少數(shù)據(jù)？

* 降級(jí)操作目標(biāo)（DOO – Degraded Operations Objective）數(shù)據(jù)中心減少了，會(huì)有什么負(fù)面影響？

* 網(wǎng)絡(luò)恢復(fù)目標(biāo)(NRO – Network Recovery objective)網(wǎng)絡(luò)切換需要多長時(shí)間？

通常，構(gòu)成應(yīng)用業(yè)務(wù)連續(xù)可用性的因素只適用于同一機(jī)房內(nèi)的環(huán)境。機(jī)房本身就是一個(gè)單點(diǎn)故障。為了抵抗災(zāi)難，我們必須選擇一種比連續(xù)可用性考慮更多的恢復(fù)方案。

恢復(fù)方案一定是在全面衡量了實(shí)施費(fèi)用、維護(hù)費(fèi)用、災(zāi)難對(duì)財(cái)政的影響，并對(duì)業(yè)務(wù)影響進(jìn)行了分析后而得出的一個(gè)綜合方案。

3.3.1四個(gè)關(guān)鍵目標(biāo)

每一層災(zāi)難恢復(fù)方案的恢復(fù)時(shí)間通常是指恢復(fù)處理業(yè)務(wù)服務(wù)所需的安裝時(shí)間。然而在現(xiàn)實(shí)的災(zāi)難中，需要對(duì)其他更多的事項(xiàng)進(jìn)行考慮。例如，有些業(yè)務(wù)可以容忍較長時(shí)間的停機(jī)服務(wù)，但要求一旦業(yè)務(wù)開始就需要使用最多的實(shí)時(shí)數(shù)據(jù)；有些業(yè)務(wù)必須在盡可能短的時(shí)間內(nèi)恢復(fù)服務(wù)，而不考慮數(shù)據(jù)的實(shí)時(shí)性；還有一些既需要最短的時(shí)間內(nèi)恢復(fù)服務(wù)，也需要最多的實(shí)時(shí)數(shù)據(jù)。

通過評(píng)估具體場(chǎng)地的實(shí)際災(zāi)難恢復(fù)需求，為恢復(fù)計(jì)劃開好頭。

3.3.2方案成本與業(yè)務(wù)停止帶來的損失

災(zāi)難恢復(fù)方案的成本是根據(jù)以下兩點(diǎn)得出的： * 客戶需要在多快的時(shí)間內(nèi)恢復(fù)數(shù)據(jù) * 不能繼續(xù)業(yè)務(wù)處理將帶來多少損失

恢復(fù)數(shù)據(jù)所需的時(shí)間越少，業(yè)務(wù)處理服務(wù)中斷的時(shí)間就越短，所需的方案成本就越多。

另一方面，不能進(jìn)行業(yè)務(wù)處理的時(shí)間越長，由此帶來的損失就越大。

最優(yōu)的方案就是，方案成本曲線和業(yè)務(wù)停止帶來的損失的曲線的交集。成本/時(shí)間窗口。

3.3.3與系統(tǒng)體系結(jié)構(gòu)的關(guān)系

為了災(zāi)難保護(hù)，需要建立一個(gè)可靠并經(jīng)過驗(yàn)證的基礎(chǔ)結(jié)構(gòu)，系統(tǒng)的每一級(jí)部件都一定要有冗余，這是必須的。

存儲(chǔ)設(shè)備級(jí)（Storage Device Level）

存儲(chǔ)設(shè)備級(jí)，是指存儲(chǔ)的物理實(shí)體，如磁盤或磁帶機(jī)。為了實(shí)現(xiàn)設(shè)備級(jí)的可用性，使用嵌入在設(shè)備自身中的功能，這些冗余功能可通過在磁盤中使用備用磁道或在磁帶機(jī)中使用特定的寫機(jī)制來實(shí)現(xiàn)。

存儲(chǔ)服務(wù)器（存儲(chǔ)子系統(tǒng)）控制器級(jí)

存儲(chǔ)控制器自身的接口用于連接SAN或服務(wù)器（Servers）和存儲(chǔ)設(shè)備。存儲(chǔ)控制器的內(nèi)置功能負(fù)責(zé)所有與存儲(chǔ)相關(guān)的執(zhí)行操作。

* 內(nèi)置的拷貝功能，如Point-in-Time 拷貝，遠(yuǎn)程鏡像 * 內(nèi)置高可用性機(jī)制（冗余、接管Fail over）

SAN（Storage Area Network）級(jí)

SAN級(jí)的冗余可通過冗余SAN的基本模塊--SAN交換機(jī)或使用導(dǎo)向器（Director）來實(shí)現(xiàn)。SAN交換機(jī)和導(dǎo)向器的主要區(qū)別在于可維護(hù)性和可用性。導(dǎo)向器類的產(chǎn)品可以在不中斷服務(wù)的同時(shí)，在線進(jìn)行Microcode/Firmware的升級(jí)。在出現(xiàn)硬件故障時(shí)，導(dǎo)向器通常只需更換一個(gè)部件。

操作系統(tǒng)中設(shè)備驅(qū)動(dòng)程序級(jí)

設(shè)備驅(qū)動(dòng)程序是存儲(chǔ)設(shè)備，服務(wù)器的操作系統(tǒng)和主機(jī)適配卡之間溝通的橋梁，它負(fù)責(zé)實(shí)施與操作系統(tǒng)中所展示的全部硬件功能相關(guān)的操作，并負(fù)責(zé)與存儲(chǔ)設(shè)備之間的通訊，如光纖通道環(huán)境中多路徑和通道接管功能。

操作系統(tǒng)級(jí)

在操作系統(tǒng)級(jí)，通過使用群集技術(shù)可以實(shí)現(xiàn)操作系統(tǒng)級(jí)的高可用性，如 HACMP for AIX，STEELEYE for LINUX 和 Microsoft Windows Clustering?？梢钥紤]將群集技術(shù)作為災(zāi)難保護(hù)的一部分。在災(zāi)難保護(hù)方案中群集本身不代表基礎(chǔ)設(shè)施。

應(yīng)用級(jí)

要想在應(yīng)用級(jí)實(shí)現(xiàn)冗余，在很大程度上依賴于應(yīng)用的類型。如在三層的SAN環(huán)境中，通過使用多個(gè)應(yīng)用服務(wù)器（Multi Application Server），應(yīng)用層可以做到高可用性。如果任何服務(wù)器發(fā)生故障，加在其上的負(fù)載就會(huì)被重新分布到其他運(yùn)行中的服務(wù)器上，業(yè)務(wù)可繼續(xù)進(jìn)行。

功能級(jí)

功能級(jí)是系統(tǒng)整體架構(gòu)中最重要的一級(jí)，它依賴以下級(jí)的可用性： * IT基礎(chǔ)設(shè)施架構(gòu)的可用性（操作系統(tǒng)+服務(wù)器+存儲(chǔ)+網(wǎng)絡(luò)）* 應(yīng)用的可用性（應(yīng)用+數(shù)據(jù)）+IT基礎(chǔ)設(shè)施架構(gòu)的可用性 * 業(yè)務(wù)流程的可用性（應(yīng)用的可用性+外部相關(guān)條件）

在規(guī)劃災(zāi)難保護(hù)的功能級(jí)時(shí)必須包括所有外在因素，如不同企業(yè)間的相互協(xié)作等。

第四章 容災(zāi)系統(tǒng)的設(shè)計(jì)過程

災(zāi)難恢復(fù)計(jì)劃描述 | 災(zāi)難恢復(fù)計(jì)劃項(xiàng)目階段 | 數(shù)據(jù)收集和關(guān)鍵需求分析階段 | 風(fēng)險(xiǎn)分析階段 | 數(shù)據(jù)保護(hù)階段 | 恢復(fù)階段 | 測(cè)試和培訓(xùn)階段 | 維護(hù)和修改階段 | 選擇災(zāi)難恢復(fù)方案的步驟介紹

容災(zāi)方案的制定是一個(gè)系統(tǒng)的過程，包含一系列的工作及計(jì)劃的制訂，包括Business Continuity Planning(BCP)，Business Recovery Plan(BRP)，Continuity of Operations Plan(COOP)，Incident Response Plan(IRP)，Occupant Emergency Plan(OEP)，Disaster Recovery Plan(DRP)等計(jì)劃，在此我們主要介紹災(zāi)難恢復(fù)計(jì)劃（Disaster Recovery Plan 或 DRP）的制訂過程及方法

相比于其它機(jī)構(gòu)和領(lǐng)域，IT系統(tǒng)更容易受到各種災(zāi)難的傷害而導(dǎo)致中斷，特別是在許多情況下，關(guān)鍵資源可能屬于不可控范圍（如電力和電信），于是有效的災(zāi)難恢復(fù)計(jì)劃、履行計(jì)劃和對(duì)計(jì)劃進(jìn)行有效地測(cè)試對(duì)于削減系統(tǒng)風(fēng)險(xiǎn)與各種服務(wù)的不可用性就顯得非常重要了。為了保證災(zāi)難恢復(fù)計(jì)劃的成功，管理者應(yīng)該做到以下幾點(diǎn)：

1.理解災(zāi)難恢復(fù)計(jì)劃的全部過程及其在整個(gè)運(yùn)行連續(xù)性計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃過程中的地位。2.制定或復(fù)查其應(yīng)急策略及計(jì)劃過程并運(yùn)用計(jì)劃周期要素，包括預(yù)備計(jì)劃、業(yè)務(wù)影響分析、備用站點(diǎn)選擇和恢復(fù)策略。

3.制定和復(fù)查其災(zāi)難恢復(fù)計(jì)劃策略，重點(diǎn)在于計(jì)劃的維護(hù)、培訓(xùn)以及對(duì)應(yīng)急計(jì)劃的演練。4.1災(zāi)難恢復(fù)計(jì)劃描述

簡單地講，災(zāi)難恢復(fù)計(jì)劃的重點(diǎn)在于IT的恢復(fù)，如系統(tǒng)、應(yīng)用、數(shù)據(jù)和相關(guān)的設(shè)施（如網(wǎng)絡(luò)等）。災(zāi)備的主要目標(biāo)是在事件發(fā)生時(shí)，能夠保證全部或部分計(jì)算機(jī)服務(wù)的持續(xù)可用。災(zāi)難恢復(fù)計(jì)劃就是指，在災(zāi)難發(fā)生時(shí)需要采取的響應(yīng)步驟的詳細(xì)過程。

災(zāi)難恢復(fù)計(jì)劃包含了一系列災(zāi)難發(fā)生前、過程中和災(zāi)難發(fā)生后所采取的動(dòng)作，災(zāi)備方案計(jì)劃書應(yīng)該文檔化，并經(jīng)過充分的測(cè)試，以保證災(zāi)難處理過程中各種操作的連續(xù)性和關(guān)鍵資源的可用性。

根據(jù)災(zāi)難發(fā)生的時(shí)段或業(yè)務(wù)中斷的嚴(yán)重程度的不同，一個(gè)企業(yè)的生存能力也依賴于管理層重建其關(guān)鍵業(yè)務(wù)的能力。一般來講，這些業(yè)務(wù)功能的重建需要幾年的時(shí)間。但是，對(duì)于管理層，必須在幾個(gè)小時(shí)或幾天的時(shí)間內(nèi)重建，確實(shí)是一個(gè)難題。重建復(fù)雜的商業(yè)環(huán)境要求有一個(gè)經(jīng)過慎重考慮且具體的計(jì)劃，以備在災(zāi)難發(fā)生時(shí)執(zhí)行。從這份計(jì)劃中我們可以看到，為恢復(fù)初始環(huán)境，在重建過程中應(yīng)該采取的步驟。

在一個(gè)組織中，災(zāi)難的發(fā)生是不可預(yù)測(cè)的。對(duì)客戶而言，最想知道的事情是災(zāi)難什么時(shí)候發(fā)生。系統(tǒng)和工作人員可以應(yīng)對(duì)災(zāi)難，并對(duì)可預(yù)知的災(zāi)難進(jìn)行反應(yīng)是最終的目標(biāo)。換句話說，災(zāi)難發(fā)生時(shí)，不需要等待，而只需要確定你的計(jì)劃是否可行。

災(zāi)難發(fā)生時(shí)，客戶、供應(yīng)商和員工通常會(huì)關(guān)心中央處理設(shè)備的停機(jī)時(shí)間。在這種情況下，這些人都沒有什么過分的要求，只關(guān)心停機(jī)的等待時(shí)間，而停機(jī)時(shí)間的多少則依賴于災(zāi)難恢復(fù)方案。通常，這種停機(jī)時(shí)間可以分為以下兩個(gè)部分： a)服務(wù)丟失

表示從災(zāi)難發(fā)生到系統(tǒng)恢復(fù)正常所損失的時(shí)間。b)數(shù)據(jù)丟失

表示用戶數(shù)據(jù)的丟失，也就是說，系統(tǒng)恢復(fù)到災(zāi)難發(fā)生前的數(shù)據(jù)層面，要花費(fèi)多少時(shí)間可以重新工作。

一個(gè)組織的大部分收入，如果過分的依賴于生產(chǎn)系統(tǒng)，一旦應(yīng)用和網(wǎng)絡(luò)停機(jī)，則將會(huì)造成巨額收入的損失。在不同的行業(yè)，如果以小時(shí)為單位計(jì)算收入損失，因?yàn)?zāi)難而造成的收入減少也是不同的，如能源、電信、制造行業(yè)和金融部門，造成巨額收入的損失并不驚奇。另外，實(shí)際收入損失所占的百分比也和運(yùn)營的關(guān)鍵業(yè)務(wù)有關(guān)系

總之，災(zāi)備計(jì)劃就是要保證災(zāi)難發(fā)生后，能及時(shí)地按照一定的策略、過程和技術(shù)等方法迅速恢復(fù)IT系統(tǒng)、操作和數(shù)據(jù)。4.2災(zāi)難恢復(fù)計(jì)劃項(xiàng)目階段

如何制訂災(zāi)難恢復(fù)計(jì)劃，前面的章節(jié)中（參看3.1節(jié) 業(yè)務(wù)連續(xù)性）給出了指導(dǎo)性的建議步驟。上述步驟中，每一步都包含了相關(guān)方面的各項(xiàng)內(nèi)容。實(shí)際上，在制定災(zāi)難恢復(fù)計(jì)劃時(shí)，我們可以將這些步驟細(xì)化為下圖的操作流程。在下圖的流程中，包含了災(zāi)難恢復(fù)計(jì)劃的各個(gè)階段，并直觀的告訴我們，災(zāi)難恢復(fù)計(jì)劃的制定是一個(gè)循環(huán)往復(fù)的過程。

圖1.災(zāi)備計(jì)劃不同階段圖表

對(duì)上圖的簡單分析如下，更詳細(xì)的內(nèi)容，將在以下的章節(jié)中給出：

1）項(xiàng)目啟動(dòng)及項(xiàng)目組的選擇

此階段包括取得管理層的正式同意、選擇項(xiàng)目協(xié)調(diào)人員和項(xiàng)目組成員、信息收集方式的標(biāo)準(zhǔn)化以及項(xiàng)目資源的調(diào)度等方面的內(nèi)容。2）數(shù)據(jù)收集和需求分析

此階段包括收集業(yè)務(wù)過程的信息、技術(shù)基礎(chǔ)架構(gòu)的支撐環(huán)境、潛在的停機(jī)費(fèi)用消耗、災(zāi)難類型以及其它公司使用的相應(yīng)技術(shù)和策略等方面的內(nèi)容。3）風(fēng)險(xiǎn)分析

在風(fēng)險(xiǎn)分析階段，我們將對(duì)為達(dá)到災(zāi)難恢復(fù)計(jì)劃的設(shè)定目標(biāo)收集的數(shù)據(jù)進(jìn)行處理，以便對(duì)風(fēng)險(xiǎn)以及在可接受的時(shí)間范圍內(nèi)恢復(fù)所需要的資源有較深的理解。

作為風(fēng)險(xiǎn)分析的結(jié)果之一，災(zāi)難防范技術(shù)的實(shí)施可以幫助我們防止可以避免的災(zāi)難。比如：火災(zāi)的偵測(cè)和防止，不間斷電源系統(tǒng)等。4）數(shù)據(jù)保護(hù)

數(shù)據(jù)保護(hù)是災(zāi)難恢復(fù)計(jì)劃中的關(guān)鍵模塊。必須清晰、完整地表述出各類數(shù)據(jù)（記錄、膠片、電子及光學(xué)數(shù)據(jù)等）的保護(hù)方法。5）恢復(fù)計(jì)劃

恢復(fù)計(jì)劃是指對(duì)意外事件所采取的策略及明確的規(guī)劃。如替代的系統(tǒng)、網(wǎng)絡(luò)和終端用戶。6）培訓(xùn)和測(cè)試

培訓(xùn)和計(jì)劃性的測(cè)試可以對(duì)所設(shè)計(jì)的災(zāi)難恢復(fù)策略進(jìn)行測(cè)試，并且提供了一種可以對(duì)災(zāi)難恢復(fù)計(jì)劃中的不足方面進(jìn)行發(fā)現(xiàn)和修改的手段。7）計(jì)劃的維護(hù)管理

計(jì)劃的維護(hù)管理提供了一種機(jī)制，可以使災(zāi)難恢復(fù)計(jì)劃隨著業(yè)務(wù)和IT系統(tǒng)架構(gòu)的改變而改變。下面我們對(duì)各個(gè)階段給出較詳細(xì)的解釋。

項(xiàng)目啟動(dòng)和項(xiàng)目組選擇的階段可細(xì)分為以下幾個(gè)主要組成部分： 1 最高管理層的承諾

企業(yè)的最高管理層必須支持且參與計(jì)劃的制定和協(xié)調(diào)，以確保災(zāi)難恢復(fù)計(jì)劃在本公司內(nèi)的有效作用。制定一個(gè)有效的計(jì)劃，必須要有時(shí)間和資源的保證，時(shí)間就是計(jì)劃的制定所需要的時(shí)間，而資源則包括預(yù)算和人力。2 建立計(jì)劃制定委員會(huì)

計(jì)劃制定委員會(huì)負(fù)責(zé)監(jiān)控計(jì)劃的制定和實(shí)施，由公司各個(gè)部門的代表組成，關(guān)鍵的委員會(huì)成員應(yīng)當(dāng)包括業(yè)務(wù)運(yùn)營經(jīng)理和數(shù)據(jù)處理部門經(jīng)理。委員會(huì)還應(yīng)當(dāng)定義計(jì)劃的適用范圍。委員會(huì)的另一個(gè)職責(zé)是定期把項(xiàng)目信息通知給最高管理層，因?yàn)檫@是一個(gè)比較敏感的主題，可能需要花費(fèi)較多的人力和財(cái)力，這些都需要最高管理層來支持。3 范圍

盡管大多數(shù)災(zāi)難恢復(fù)計(jì)劃只包含數(shù)據(jù)處理相關(guān)的項(xiàng)目，但是一個(gè)復(fù)雜的計(jì)劃也包含數(shù)據(jù)處理以外的操作領(lǐng)域，如果同時(shí)考慮到災(zāi)難的其它方面，災(zāi)備計(jì)劃涉及的范圍是相當(dāng)廣泛的。4 假定

制定計(jì)劃要考慮的最基本問題就是設(shè)想最壞的場(chǎng)景。對(duì)運(yùn)營系統(tǒng)而言，最壞的場(chǎng)景就是主要設(shè)備的損壞。計(jì)劃的制定就是基于這樣一個(gè)前提，每一個(gè)災(zāi)難恢復(fù)計(jì)劃都基于一組假定的設(shè)想。這些假定對(duì)計(jì)劃所涉及的環(huán)境做了限制，這些限制定義了公司準(zhǔn)備接受的災(zāi)難量級(jí)，它們可以通過以下問題來識(shí)別：

a）哪些設(shè)備被破壞 b）中斷的時(shí)間是多少

c）哪些記錄、文件和資料需要保護(hù) d）災(zāi)難發(fā)生時(shí)，哪些資源是可用的 1）員工 2）設(shè)備 3）通訊 4）傳輸 5）后備場(chǎng)地

在制定災(zāi)難恢復(fù)計(jì)劃時(shí)，可以借鑒以下典型的假定： a）公司主要的生產(chǎn)設(shè)備被破壞

b）擁有在可以執(zhí)行計(jì)劃之內(nèi)的關(guān)鍵性功能的員工

c）員工可以被通知到，并且可以到備份地點(diǎn)執(zhí)行關(guān)鍵性的恢復(fù)和 重建工作

d）災(zāi)難恢復(fù)計(jì)劃是可用的

e）部分計(jì)劃可用于恢復(fù)相應(yīng)的環(huán)境中斷 f）備份設(shè)備是可用的

g）在異地或別的設(shè)備中保存有足夠多的備份 h）備份地點(diǎn)可以處理公司的工作 i）公司本地和遠(yuǎn)端的通訊鏈路是可用的 j）本地基本的傳輸是可用的

k）災(zāi)難發(fā)生時(shí)，供應(yīng)商應(yīng)根據(jù)承諾對(duì)公司提供支持

以上的假定并不包含全部可能性，但在計(jì)劃制定的開始階段可供大家參考。5 項(xiàng)目組及其責(zé)任 災(zāi)難恢復(fù)計(jì)劃可以按照組的形式來制定，特定的任務(wù)可以分配給特定的組。意外發(fā)生時(shí)的公司架構(gòu)可能與現(xiàn)有的架構(gòu)有所不同，那時(shí)通常是以組為基礎(chǔ)，不同的組負(fù)責(zé)不同的功能領(lǐng)域，這些組可能包括： a）管理組 b）業(yè)務(wù)恢復(fù)組 c）部門恢復(fù)組 d）計(jì)算機(jī)恢復(fù)組 e）損壞評(píng)估組 f）安全組 g）設(shè)備支持組 h）后勤支持組 i）行政支持組 j）用戶支持組 k）計(jì)算機(jī)備份組 l）異地?cái)?shù)據(jù)存儲(chǔ)組 m）軟件組 n）通訊組 o）應(yīng)用組 p）人力資源組 q）市場(chǎng)和客戶關(guān)系組

企業(yè)并不需要建立以上所有的這些組，但我們強(qiáng)烈建議與上述的每個(gè)組相關(guān)聯(lián)的功能都能被包含在其中。

根據(jù)員工的技能和領(lǐng)導(dǎo)能力，可以將其選入不同的組。一般來講，各組的成員所擁有的技能應(yīng)與其平時(shí)的工作相一致。例如，服務(wù)器恢復(fù)組的成員應(yīng)當(dāng)包含系統(tǒng)管理員。組成員不僅要知道計(jì)劃的目的，而且要知道執(zhí)行恢復(fù)策略的過程?？紤]到可能會(huì)聯(lián)系不到某些成員的情況，成員的組建應(yīng)基于―互有備份‖的原則。同樣，成員也應(yīng)當(dāng)了解其它組的目的和執(zhí)行過程。

每一個(gè)組由組長領(lǐng)導(dǎo)，組長要負(fù)責(zé)本組的運(yùn)行，承擔(dān)同其它組的協(xié)調(diào)工作，向組員及時(shí)傳達(dá)需要的信息，并在組內(nèi)做決定。另外，如果組長不能行使其職能，必須指定代理組長。在災(zāi)難恢復(fù)計(jì)劃中，最重要的組是管理組。他們?cè)谑鹿拾l(fā)生時(shí)負(fù)責(zé)協(xié)調(diào)所有組的工作。管理組一般由高級(jí)管理經(jīng)理負(fù)責(zé)，如CIO。

以下是各個(gè)組的主要職能： a）負(fù)責(zé)計(jì)劃的執(zhí)行

b）促進(jìn)與其它組之間的交流，監(jiān)督計(jì)劃的測(cè)試和執(zhí)行 c）所有或是某一個(gè)成員可能領(lǐng)導(dǎo)特定的組 d）協(xié)調(diào)恢復(fù)過程

e）評(píng)估災(zāi)難，執(zhí)行恢復(fù)計(jì)劃，聯(lián)系組長 f）監(jiān)控并記錄恢復(fù)的過程

g）是最終決定優(yōu)先級(jí)設(shè)置、各種政策和過程的人

4.3數(shù)據(jù)收集和關(guān)鍵需求分析階段

要確定一個(gè)企業(yè)的關(guān)鍵性需求，每個(gè)部門應(yīng)該將本部門執(zhí)行的功能文檔化，經(jīng)過一定的分析來確認(rèn)部門內(nèi)部和外部的主要職能。

部門的日操作記錄可以對(duì)確定關(guān)鍵性需求起到輔助作用。以下是一些輔助問題：

1）如果災(zāi)難發(fā)生而沒有現(xiàn)有的設(shè)備和部門架構(gòu)，部門能運(yùn)轉(zhuǎn)多長時(shí)間？

2）在部門內(nèi)，什么任務(wù)的優(yōu)先級(jí)最高？（包括關(guān)鍵的手工功能和處理）這些任務(wù) 被執(zhí)行的頻率是多少？如每天、每星期或每月等。

3）執(zhí)行最高級(jí)別的任務(wù)，需要那些人力、設(shè)備、和供應(yīng)等？ 4）對(duì)于關(guān)鍵的設(shè)備及供應(yīng)，在災(zāi)難的環(huán)境中應(yīng)如何替換？ 5）上述這些關(guān)鍵信息的替換需要多長時(shí)間？

6）部門內(nèi)有沒有可供參考的手冊(cè)和操作步驟？災(zāi)難發(fā)生時(shí)這些是如何替換的？ 7）任何供應(yīng)、設(shè)備和操作過程或手冊(cè)等，有沒有在異地存放？

8）確定原始文檔的存儲(chǔ)設(shè)備和安全性。在災(zāi)難的時(shí)間中，這些信息如何被替代？有沒有更多的地方來保存？

9）當(dāng)前計(jì)算機(jī)的備份過程是什么？如何恢復(fù)備份？任何關(guān)鍵的備份拷貝有沒有在異地存放？ 10）在災(zāi)難發(fā)生后，臨時(shí)性的操作步驟是什么？ 11）一個(gè)部門的運(yùn)轉(zhuǎn)中斷，對(duì)其它的部門有什么影響？ 12）依賴于正常運(yùn)轉(zhuǎn)的企業(yè)以外的服務(wù)商和供應(yīng)商有哪些？ 13）有沒有經(jīng)過跨部門培訓(xùn)的人員？ 14）誰負(fù)責(zé)維護(hù)部門的異常計(jì)劃？ 15）災(zāi)難恢復(fù)計(jì)劃有沒有其它的考慮？

在上述問題的基礎(chǔ)上，我們列出了以下需要進(jìn)行文檔化的信息：備份地址列表，關(guān)鍵電話號(hào)碼記錄，通訊目錄，分發(fā)記錄，文檔目錄，設(shè)備目錄，表格目錄，保險(xiǎn)政策目錄，主要的計(jì)算機(jī)硬件目錄，主要客戶列表，主要供應(yīng)商列表，計(jì)算機(jī)硬件和軟件列表，通知列表，辦公用品供應(yīng)列表，異地存儲(chǔ)地址列表，軟件和數(shù)據(jù)文件備份和調(diào)度，電話目錄等資料和文檔。

關(guān)鍵性需求可以通過問卷的方式來獲得，問卷主要是將每個(gè)部門的關(guān)鍵性工作記錄在案，并找出最小的必備資源，如人力、設(shè)備、供應(yīng)商、文檔等資源。

確定了各部門的關(guān)鍵性需求并將其文檔化以后，管理層就可以為各部門在整個(gè)企業(yè)的災(zāi)難恢復(fù)過程中設(shè)置優(yōu)先級(jí)別。每一個(gè)部門的操作可以按照下面的方式給出優(yōu)先級(jí)：

1）基本操作（必需）：服務(wù)中斷超過一天，將嚴(yán)重地危害到公司的運(yùn)轉(zhuǎn)。2）推薦操作（關(guān)鍵）：服務(wù)中斷超過一個(gè)禮拜，將嚴(yán)重的危害到公司的運(yùn)轉(zhuǎn)。

3）其它操作（非關(guān)鍵）：這些信息的存在可以方便業(yè)務(wù)操作，如果 一旦丟失也不會(huì) 影響到業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。

根據(jù)RTO和RPO的不同，各公司采取的策略也會(huì)有所不同。以下是一些通用的標(biāo)準(zhǔn)，可以根據(jù)這些標(biāo)準(zhǔn)將應(yīng)用進(jìn)行分級(jí)：

1）必需：從停機(jī)算起，RTO<8小時(shí)，RPO在15分鐘以內(nèi) 2）關(guān)鍵：從停機(jī)算起，RTO<72小時(shí)，RPO從停機(jī)的那一天開始 3）非關(guān)鍵：從停機(jī)算起，RTO<168小時(shí)，RPO48小時(shí)以內(nèi)

4.4風(fēng)險(xiǎn)分析階段

計(jì)劃小組負(fù)責(zé)準(zhǔn)備風(fēng)險(xiǎn)管理的流程和業(yè)務(wù)影響的分析（Business Impact Analysis）。它們包括一定范圍內(nèi)的災(zāi)害，如自然、技術(shù)或人為的災(zāi)害。

針對(duì)于幾種假定的災(zāi)難設(shè)想，企業(yè)的每一個(gè)職能領(lǐng)域都應(yīng)當(dāng)分析和判斷相應(yīng)的潛在結(jié)果和影響，在風(fēng)險(xiǎn)分析階段還將評(píng)估關(guān)鍵文檔和重要記錄的安全性。

在多樣的中斷過程中，IT系統(tǒng)更容易受到損害。作為企業(yè)風(fēng)險(xiǎn)管理的一部分，有些風(fēng)險(xiǎn)是可以通過技術(shù)、管理和操作執(zhí)行方案來避免的，但不可能避免所有的風(fēng)險(xiǎn)。災(zāi)難恢復(fù)計(jì)劃就是一種用來彌補(bǔ)這些風(fēng)險(xiǎn)管理和安全操作不能涉及的災(zāi)難的高可用性方案。由此看來，災(zāi)難恢復(fù)計(jì)劃可以提供一種緊急事件發(fā)生后的快速恢復(fù)手段。

4.4.1風(fēng)險(xiǎn)管理過程

風(fēng)險(xiǎn)管理過程范圍廣泛，包括確定、控制和減輕IT系統(tǒng)的潛在風(fēng)險(xiǎn)。從風(fēng)險(xiǎn)管理的行為分析，可以分為兩個(gè)大的主要功能：

1）通過減少或消除風(fēng)險(xiǎn)，進(jìn)而避免或減少破壞性的事件。這些措施主要是對(duì)從自然、人為和技術(shù)方面的威脅進(jìn)行的安全控制，從而減少或消除風(fēng)險(xiǎn)。

2）降低或限制災(zāi)難對(duì)系統(tǒng)造成的后果。主要措施是預(yù)估可能的事件，并在相應(yīng)的事件 發(fā)生后采取相應(yīng)措施，建立基本的災(zāi)難恢復(fù)計(jì)劃。

下圖示意了預(yù)先采取安全控制和災(zāi)難恢復(fù)計(jì)劃實(shí)施的事件間流程：

4.4.2商業(yè)影響分析

商業(yè)風(fēng)險(xiǎn)分析是災(zāi)難恢復(fù)計(jì)劃過程中的重要步驟，隸屬于風(fēng)險(xiǎn)分析階段。這一過程集中分析系統(tǒng)需求、過程及其內(nèi)部的依賴關(guān)系，并使用這些信息判斷可能意外發(fā)生的事件及其優(yōu)先級(jí)，圖示為風(fēng)險(xiǎn)分析的示例過程：

上圖的示例分為三個(gè)過程： 1）確定關(guān)鍵資源

2）確定中斷的影響及允許的停機(jī)時(shí)間 3）設(shè)計(jì)恢復(fù)的優(yōu)先級(jí)

4.4.3建立可靠的系統(tǒng)

業(yè)務(wù)恢復(fù)計(jì)劃的目的是保證員工和設(shè)備在災(zāi)難發(fā)生過程中的安全。風(fēng)險(xiǎn)分析的主要目的之一是確定在任何時(shí)候應(yīng)采取的正確防范措施。對(duì)災(zāi)難的防范和準(zhǔn)備工作應(yīng)從企業(yè)的最高管理層開始，管理層的支持體現(xiàn)在對(duì)先進(jìn)的安全和風(fēng)險(xiǎn)防范技術(shù)的選擇，以及對(duì)未知風(fēng)險(xiǎn)的準(zhǔn)備等方面。災(zāi)難預(yù)防技術(shù)包含兩個(gè)方面：流程方面的預(yù)防和物理方面的預(yù)防。流程方面的預(yù)防

流程方面的預(yù)防與日常的操作相關(guān)，主要是操作規(guī)則的定義，相關(guān)主題為安全和恢復(fù)。流程防范是同每一個(gè)員工的行為相聯(lián)系的，公司為每一個(gè)員工分配相應(yīng)的職責(zé)。流程防范的目標(biāo)是針對(duì)于不同的災(zāi)難類型定義相應(yīng)的操作，并使得這些操作成為規(guī)則 物理方面的預(yù)防

從場(chǎng)所的建造就開始為災(zāi)害做準(zhǔn)備，包括為建筑物配備特殊設(shè)備。如為不同的設(shè)備配置火災(zāi)保護(hù)。這些特殊的考慮包括：計(jì)算機(jī)區(qū)域設(shè)置，火災(zāi)偵測(cè)裝置和滅火裝置，記錄保護(hù)，空調(diào)設(shè)備，熱敏和通風(fēng)設(shè)備，電子供應(yīng)系統(tǒng)和UPS系統(tǒng)，雙路電源保護(hù)，突發(fā)事件過程和檔案系統(tǒng)。

4.5 數(shù)據(jù)保護(hù)階段

數(shù)據(jù)保護(hù)是指在公司內(nèi)部為保護(hù)公司資產(chǎn)、確保記錄的準(zhǔn)確性和可靠性以及操作的有效性而采取的措施。可以從履行保險(xiǎn)和分類記錄各種信息兩個(gè)方面來考慮。

4.6 恢復(fù)階段

恢復(fù)計(jì)劃是一種主要考慮在災(zāi)難發(fā)生后，如何快速有效的恢復(fù)IT系統(tǒng)的策略，策略的制定應(yīng)當(dāng)考慮商業(yè)影響分析中所涉及的風(fēng)險(xiǎn)，而且在系統(tǒng)設(shè)計(jì)和實(shí)施的階段中，它與系統(tǒng)的架構(gòu)設(shè)計(jì)相集成。在設(shè)計(jì)恢復(fù)計(jì)劃時(shí)，應(yīng)考慮下面的情況： 1）系統(tǒng)恢復(fù)

系統(tǒng)恢復(fù)應(yīng)針對(duì)于關(guān)鍵應(yīng)用主機(jī)，如集中式和分布式 2）網(wǎng)絡(luò)恢復(fù)

網(wǎng)絡(luò)恢復(fù)計(jì)劃主要針對(duì)以下方面：

a）關(guān)鍵商業(yè)應(yīng)用系統(tǒng)的內(nèi)部局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的支持 b）外部廣域網(wǎng)和電信服務(wù)

c）待恢復(fù)系統(tǒng)和終端用戶間的通訊 3）啟動(dòng)各災(zāi)難恢復(fù)小組

災(zāi)難恢復(fù)管理組負(fù)責(zé)協(xié)調(diào)恢復(fù)過程中所涉及的各個(gè)項(xiàng)目組。在異常情況下，準(zhǔn)確快速的決定會(huì)起到關(guān)鍵的作用。管理組將負(fù)責(zé)包括財(cái)務(wù)決定在內(nèi)的所有決定。成功的災(zāi)備計(jì)劃，即使在關(guān)鍵的成員不能工作的情況下，也可以恢復(fù)并維持業(yè)務(wù)的運(yùn)轉(zhuǎn)。4）最終用戶恢復(fù)

最終用戶的恢復(fù)計(jì)劃，在傳統(tǒng)的災(zāi)備計(jì)劃中常常被忽略掉，合理的災(zāi)備計(jì)劃為終端用戶提供了一種可工作的機(jī)制

4.7測(cè)試和培訓(xùn)階段

災(zāi)備計(jì)劃的測(cè)試是災(zāi)備方案準(zhǔn)備過程中的一個(gè)關(guān)鍵要素。測(cè)試可以暴露災(zāi)難恢復(fù)計(jì)劃的不足之處，測(cè)試也可以幫助我們?cè)u(píng)估計(jì)劃執(zhí)行人員的快速響應(yīng)能力和效率，災(zāi)難恢復(fù)計(jì)劃的每一個(gè)要素都必須測(cè)試，保證其恢復(fù)過程的準(zhǔn)確性。測(cè)試包含以下幾個(gè)方面： a）從備份磁帶恢復(fù)系統(tǒng)

b）執(zhí)行恢復(fù)計(jì)劃的各項(xiàng)目組之間的協(xié)調(diào) c）內(nèi)部和外部的互連

d）使用備份設(shè)備時(shí)的系統(tǒng)性能 e）正常業(yè)務(wù)操作的恢復(fù)

這里所推薦的測(cè)試過程是讓災(zāi)難恢復(fù)計(jì)劃的關(guān)鍵人員重復(fù)執(zhí)行災(zāi)難恢復(fù)計(jì)劃，這樣做可以不斷更新文檔，并修補(bǔ)可能的遺漏，以保證即使主要人員休假，災(zāi)難恢復(fù)計(jì)劃也可以執(zhí)行。

培訓(xùn)是對(duì)測(cè)試過程的補(bǔ)充，主要目的是明確災(zāi)難恢復(fù)計(jì)劃中各成員的責(zé)任，培訓(xùn)內(nèi)容包括： a）計(jì)劃的目的

b）跨項(xiàng)目組的協(xié)調(diào)和溝通 c）匯報(bào)制度的流程 d）安全要求

e）項(xiàng)目組特有的流程 f）成員的責(zé)任 4.8 維護(hù)和修改階段

災(zāi)難恢復(fù)計(jì)劃應(yīng)反映系統(tǒng)的需求、執(zhí)行的流程和規(guī)則。因?yàn)樯虡I(yè)需求、新技術(shù)的不斷升級(jí)以及新的內(nèi)部和外部規(guī)則的變化，IT系統(tǒng)也會(huì)隨之改變。所以，要確保災(zāi)難恢復(fù)計(jì)劃的有效性，就必須定期的檢查和修改計(jì)劃。一般來說，當(dāng)每年或當(dāng)計(jì)劃涉及到的內(nèi)容有重大改變時(shí)，災(zāi)備計(jì)劃需要作相應(yīng)的檢查，而有些內(nèi)容更需要作頻繁的檢查，如人員的聯(lián)系途徑等。以下是至少需要定期檢查的幾個(gè)方面： a）運(yùn)行環(huán)境要求 b）安全要求 c）技術(shù)程序

d）硬件、軟件和其它的設(shè)備 e）各項(xiàng)目組的成員名稱及聯(lián)系方法 f）關(guān)鍵信息記錄（電子或書面文檔）

4.9選擇災(zāi)難恢復(fù)方案的步驟介紹

本節(jié)主要介紹制訂災(zāi)難恢復(fù)方案的簡單過程，僅供參考。

1）按照一定的順序詢問特定的問題

按照一定的順序，詢問一系列與商業(yè)災(zāi)備需求相關(guān)的問題，通過這些問題，可以確定災(zāi)備方案的基本環(huán)境、基礎(chǔ)構(gòu)件及期望的恢復(fù)時(shí)間。以下提供一些基本的問題，部分問題答案的給出需要基于風(fēng)險(xiǎn)評(píng)估和商業(yè)影響的分析。另外一些問題則需要運(yùn)營部分基于其IT基礎(chǔ)架構(gòu)給出答案： a)哪個(gè)或哪些應(yīng)用需要恢復(fù)？ b)應(yīng)用運(yùn)行的平臺(tái)是哪些平臺(tái)？ c)期望的RTO是什么？ d)災(zāi)備實(shí)施場(chǎng)所之間的距離？

e)連通方式，或者在災(zāi)備地點(diǎn)傳輸數(shù)據(jù)的基礎(chǔ)架構(gòu)的傳輸 方式是什么？帶寬是多少？

f)有沒有特殊的硬件和軟件的配置需要恢復(fù)？ g)RPO是什么？

h)需要恢復(fù)的數(shù)據(jù)量有多少？

i)期望的災(zāi)難恢復(fù)層次（計(jì)劃/未計(jì)劃/交易集成）？ j)誰來設(shè)計(jì)災(zāi)備方案？ k)誰來實(shí)施災(zāi)備方案？

以上并不是所有可能的問題，但這是一個(gè)很好的開始，你可以設(shè)計(jì)其他一些問題，這些問題是如何使用的呢？參考下圖：

以上模型稱為沙漏模型，在沙漏瓶頸以上的問題定義了基本的業(yè)務(wù)和IT需求，這些基本的問題必須有充分的答復(fù)，因?yàn)槿魏螁栴}的缺少都意味著我們要投資的方案可能會(huì)沒有正確的評(píng)估。采用這樣的方式，在災(zāi)備方案實(shí)施前可確保收集到正確的業(yè)務(wù)和IT基礎(chǔ)架構(gòu)的需求。

我們必須保證這些問題的答案已經(jīng)廣泛征求了企業(yè)管理部門、商務(wù)部門、應(yīng)用組合IT維護(hù)組的意見。

2）使用層/RTO（Tier/RTO）和恢復(fù)的層次定位災(zāi)備方案的子集

現(xiàn)在我們可以定義初步的方案，注意：在災(zāi)難恢復(fù)的七層中，一層總是建立在前一層的基礎(chǔ)之上。對(duì)應(yīng)于計(jì)劃停機(jī)、非計(jì)劃停機(jī)和交易一致性，相應(yīng)的災(zāi)備技術(shù)和方案也有所不同： 計(jì)劃停機(jī)：這一方案只有助于計(jì)劃中的停機(jī)或者數(shù)據(jù)移植，對(duì)非計(jì)劃的停機(jī)沒有作用。非計(jì)劃停機(jī)：在硬件和數(shù)據(jù)一致性的層面，這一方案有助于非計(jì)劃停機(jī)的恢復(fù)，也意味著支持計(jì)劃停機(jī)。在應(yīng)用和數(shù)據(jù)庫層面，這一層次的恢復(fù)不支持交易一致性的恢復(fù)。

交易一致性：對(duì)于非計(jì)劃的停機(jī)，方案要求在應(yīng)用和數(shù)據(jù)庫交易一致性的層面提供恢復(fù)的能力。這一方案隱性要求硬件層次支持計(jì)劃停機(jī)和非計(jì)劃停機(jī)。

確定了合適的恢復(fù)層次、結(jié)合RTO、參考下圖，可以很快的確定需要的災(zāi)難恢復(fù)方案。

3）排除非方案的東西

現(xiàn)在我們通過把第一步中收集到的問題答案應(yīng)用于候選的方案并剔除不合適的方案，來定義初步、候選的災(zāi)難恢復(fù)方案。請(qǐng)參考下圖：

通過第一步中獲得的問題答案，如距離、不支持的平臺(tái)等，可以剔除不符合要求的方案。

如果在這一步驟完成后存在多個(gè)災(zāi)備方案，這都是正常的，它們都是可用的方案。

4）將確定的方案提交給評(píng)估組

經(jīng)過第三步后，將一組初步的災(zāi)備方案和可用的技術(shù)提交給資深的評(píng)估組，這個(gè)組由一些資深的成員組成。他們將詳細(xì)的比較和分析這些備選方案，同時(shí)對(duì)有效的候選方案注明所需要的技能。

評(píng)估組需要充分詳細(xì)的配置每一個(gè)候選方案。最后，評(píng)估組將決定最終選擇最合適的災(zāi)備方案。

第五章 典型方案介紹

基于軟件的數(shù)據(jù)備份技術(shù) | HACMP高可靠性災(zāi)備方案 | 基于磁盤系統(tǒng)的PPRC數(shù)據(jù)級(jí)災(zāi)難備份解決方案

5.1 基于軟件的數(shù)據(jù)備份技術(shù)

在應(yīng)用軟件進(jìn)行災(zāi)難備份的解決方案中，應(yīng)從下面三個(gè)層次考慮： 用戶應(yīng)用程序

客戶機(jī)軟件 數(shù)據(jù)庫引擎

其中用戶應(yīng)用程序和客戶機(jī)軟件一般不包含關(guān)鍵數(shù)據(jù)，幾乎所有數(shù)據(jù)都由數(shù)據(jù)庫引擎管理并放置在數(shù)據(jù)庫服務(wù)器中。在這三者之中，數(shù)據(jù)庫中的數(shù)據(jù)保護(hù)最為重要。

一般情況下，用戶應(yīng)用程序和客戶機(jī)軟件只需要將其執(zhí)行代碼和參數(shù)配置文件做以備份，當(dāng)災(zāi)難發(fā)生時(shí)，可以通過這些備份重新安裝和配置用戶應(yīng)用程序和客戶機(jī)軟件。

對(duì)數(shù)據(jù)庫的備份，如果采用硬件級(jí)災(zāi)難備份有兩種方法：一是采用備份的方法，即定期地將數(shù)據(jù)備份到硬盤和磁帶/磁帶庫上，這些磁帶可以通過運(yùn)輸?shù)姆绞竭\(yùn)到遠(yuǎn)程，以防磁帶在本地的災(zāi)難中發(fā)生毀壞。這種方法的缺陷是實(shí)時(shí)性較差，恢復(fù)時(shí)間較長；另一種做法就是硬件鏡像的做法，這種做法在硬件的投資上較大，對(duì)兩點(diǎn)間的網(wǎng)絡(luò)帶寬有較大的要求。那么，有沒有一種兩者兼顧的解決方案呢？數(shù)據(jù)庫產(chǎn)品提供的數(shù)據(jù)庫復(fù)制技術(shù)就是一種兩者兼顧的災(zāi)難備份解決方案。在前面提到的災(zāi)難恢復(fù)方案的7個(gè)層次中屬于第5或第6層次。

數(shù)據(jù)庫復(fù)制技術(shù)在數(shù)據(jù)庫級(jí)別的災(zāi)難備份解決方案中可以實(shí)現(xiàn)遠(yuǎn)程容災(zāi)。目前已有的產(chǎn)品有IBM DB2 HADR、IBM INFORMIX HDR以及ORACLE DATA GUARD。

IBM DB2 HADR是High Availability Disaster Recovery 的縮寫，HADR 將HA（高可用性）和INFORMIX DR的技術(shù)緊密結(jié)合起來。INFORMIX HDR是High Availability Data Replication的縮寫。

HDR的工作原理是通過將主數(shù)據(jù)庫服務(wù)器（簡稱為A）的邏輯日志緩沖區(qū)復(fù)制到備份數(shù)據(jù)庫服務(wù)器（簡稱為B），而且能在主數(shù)據(jù)庫服務(wù)器操作失敗時(shí)自動(dòng)切換到備份數(shù)據(jù)庫服務(wù)器。復(fù)制方式有同步方式和異步方式兩種。我們將在下面詳細(xì)介紹HDR的工作原理以及同步方式和異步方式。

正常狀態(tài)下，主數(shù)據(jù)庫服務(wù)器做數(shù)據(jù)庫的讀寫操作，備份數(shù)據(jù)庫服務(wù)器為只讀方式。當(dāng)主數(shù)據(jù)庫服務(wù)器失敗時(shí)，備份數(shù)據(jù)庫服務(wù)器會(huì)自動(dòng)接管主數(shù)據(jù)庫服務(wù)器的事務(wù)處理。此時(shí)，備份數(shù)據(jù)庫服務(wù)器作為主數(shù)據(jù)庫服務(wù)器進(jìn)行數(shù)據(jù)庫的讀寫操作。當(dāng)主數(shù)據(jù)庫服務(wù)器被修復(fù)后，主數(shù)據(jù)庫服務(wù)器作為新的備份數(shù)據(jù)庫服務(wù)器。

此時(shí)備份數(shù)據(jù)庫服務(wù)器雖為只讀方式，但并不是空閑的。它可以分擔(dān)主數(shù)據(jù)庫服務(wù)器的負(fù)載，例如執(zhí)行查詢、出報(bào)表等任務(wù)。

數(shù)據(jù)庫復(fù)制對(duì)硬件的要求相對(duì)較低，只要主數(shù)據(jù)庫服務(wù)器和備份數(shù)據(jù)庫服務(wù)器的硬件配置相同即可，不是必須使用高端存儲(chǔ)設(shè)備，例如IBM ESS等。主數(shù)據(jù)庫服務(wù)器和備份數(shù)據(jù)庫服務(wù)器的距離不受限制，而且對(duì)網(wǎng)絡(luò)的壓力并不大，但需要更強(qiáng)的數(shù)據(jù)庫管理能力。

下面介紹一下HDR的工作原理。如下圖所示：

在邏輯日志緩沖區(qū)（Logical Log buffer）刷新之前，它里面所有的交易（Transaction）將拷貝到數(shù)據(jù)復(fù)制緩沖區(qū)（Data Replication Buffer）。數(shù)據(jù)復(fù)制緩沖區(qū)的大小和邏輯日志緩沖區(qū)相同。數(shù)據(jù)復(fù)制緩沖區(qū)通過TCP/IP網(wǎng)絡(luò)將數(shù)據(jù)發(fā)送到備份數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)復(fù)制緩沖區(qū)中。在備份數(shù)據(jù)庫服務(wù)器端，一個(gè)數(shù)據(jù)復(fù)制線程接收數(shù)據(jù)復(fù)制緩沖區(qū)的數(shù)據(jù)并把他們放入到恢復(fù)緩沖區(qū)（Recovery Buffer）.另一個(gè)數(shù)據(jù)復(fù)制線程（或一些線程）記錄數(shù)據(jù)庫日志信息。主數(shù)據(jù)庫服務(wù)器和備份數(shù)據(jù)庫服務(wù)器都有一個(gè)―Ping‖線程在運(yùn)行，它會(huì)定時(shí)喚醒并且檢查兩個(gè)數(shù)據(jù)庫服務(wù)器的連接。如果任何一臺(tái)服務(wù)器上的―Ping‖線程檢測(cè)到連接中斷，都會(huì)發(fā)一條出錯(cuò)信息到消息日志中。

HDR有兩種復(fù)制方式：同步方式（Synchronous）和異步方式（Asynchronous）

在同步復(fù)制的方式下，主數(shù)據(jù)庫服務(wù)器的邏輯日志緩沖區(qū)只有在下面的過程完成后才可以刷新：

1.Copy: 邏輯日志緩沖區(qū)數(shù)據(jù)拷貝到數(shù)據(jù)復(fù)制緩沖區(qū)；

2.Send: 數(shù)據(jù)從主數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)復(fù)制緩沖區(qū)通過網(wǎng)絡(luò)傳送到備份數(shù)據(jù)庫服務(wù)器； 3.Acknowledge:當(dāng)備份數(shù)據(jù)庫服務(wù)器接收到數(shù)據(jù)后發(fā)回確認(rèn)信息； 4.Flush: 此時(shí)，主數(shù)據(jù)庫服務(wù)器才可以刷新其邏輯日志緩沖區(qū)的數(shù)據(jù)。

采用同步方式的優(yōu)點(diǎn)是兩邊數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)一致，但是由于每筆在主數(shù)據(jù)庫服務(wù)期提交的交易需要發(fā)送到備份數(shù)據(jù)庫服務(wù)器而且得到確認(rèn)后才算真正成功完成，由此而產(chǎn)生的時(shí)間延遲會(huì)使性能受到一定的影響。

如果采用異步復(fù)制方式，主數(shù)據(jù)庫服務(wù)器的邏輯日志緩沖區(qū)只要在邏輯日志緩沖區(qū)的數(shù)據(jù)拷貝到數(shù)據(jù)復(fù)制緩沖區(qū)之后就可以進(jìn)行刷新了。這樣做的缺點(diǎn)是在某些系統(tǒng)失敗的情況下，可能會(huì)有一些數(shù)據(jù)還沒有來得及通過網(wǎng)絡(luò)傳送到備份數(shù)據(jù)庫服務(wù)器；優(yōu)點(diǎn)是主數(shù)據(jù)庫服務(wù)器的性能不受影響。

對(duì)于Oracle DATA GUARD的工作原理，大致上與IBM HADR 和INFORMIX HDR的工作原理類似。

Oracle9i DATA GUARD 通過使用稱為備份的數(shù)據(jù)庫來防止數(shù)據(jù)災(zāi)難的出現(xiàn)。它通過將源數(shù)據(jù)庫的重做日志傳輸并應(yīng)用到備份數(shù)據(jù)庫中，來使備份數(shù)據(jù)庫與源數(shù)據(jù)庫同步：

可以將重做日志直接從源數(shù)據(jù)庫同步的寫到備份數(shù)據(jù)庫，來完成零數(shù)據(jù)損失的災(zāi)難保護(hù)，這會(huì)給源數(shù)據(jù)庫的性能帶來一定的性能損失。

可以將歸檔的重做日志從源數(shù)據(jù)庫異步的寫到備份數(shù)據(jù)庫，來使源數(shù)據(jù)庫在極少的損失性能的前提下，最小化地減少數(shù)據(jù)的丟失。

如果重做日志數(shù)據(jù)到達(dá)備份數(shù)據(jù)庫后就快速應(yīng)用到備份數(shù)據(jù)庫，則在源數(shù)據(jù)庫出現(xiàn)問題時(shí)便可以快速地切換到備份數(shù)據(jù)庫。然而，如果延緩一定時(shí)間后再應(yīng)用重做日志數(shù)據(jù)，就可以避免源數(shù)據(jù)庫的錯(cuò)誤快速地傳播到備份數(shù)據(jù)庫。

DATA GUARD同樣也有同步和異步復(fù)制兩種方式可以選擇。

5.2 HACMP高可靠性災(zāi)備方案

HACMP容災(zāi)系統(tǒng)在世界范圍內(nèi)廣泛應(yīng)用，具有以下鮮明的特點(diǎn)：

簡單易用，7x24小時(shí)集群應(yīng)用技術(shù)

顯著減少停機(jī)時(shí)間，允許不間斷的進(jìn)行集群升級(jí)和系統(tǒng)維護(hù) 提供多種數(shù)據(jù)備份和恢復(fù)途徑，以滿足災(zāi)備的需求

HACMP經(jīng)過十多年的發(fā)展，從5.1版本開始，增加的一項(xiàng)新的功能HACMP/XD支持ESS/PPRC和基于IP連接的遠(yuǎn)端故障切換。

5.2.1 A.HACMP方案 a)介紹

HACMP對(duì)關(guān)鍵應(yīng)用提供良好的保護(hù)，提供可信賴的高可靠性服務(wù)、監(jiān)控能力和對(duì)應(yīng)用的失敗監(jiān)測(cè)，切換應(yīng)用環(huán)境到備份主機(jī)。借助于HACMP/XD功能，也可以將應(yīng)用切換到遠(yuǎn)端備份機(jī)器。在集群中，HACMP使用冗余的硬件配置以保持應(yīng)用的正常運(yùn)行，在需要時(shí)將應(yīng)用切換到備份主機(jī)，最多可以有32臺(tái)服務(wù)器組成HACMP集群。HACMP也可以監(jiān)測(cè)應(yīng)用的錯(cuò)誤，但這些錯(cuò)誤應(yīng)當(dāng)不足以影響到系統(tǒng)的正常運(yùn)行，如進(jìn)程失敗、系統(tǒng)資源消耗過大等。對(duì)這些錯(cuò)誤事件，HACMP監(jiān)控、發(fā)現(xiàn)并采取相應(yīng)的措施以保證系統(tǒng)的運(yùn)行。HACMP可配置為響應(yīng)幾百個(gè)系統(tǒng)事件。

事實(shí)上，使用HACMP可以防止一些計(jì)劃中的停機(jī)，如在停機(jī)維護(hù)的過程中，用戶、應(yīng)用和數(shù)據(jù)可以轉(zhuǎn)移到備份主機(jī)。HACMP可以滿足復(fù)雜的、各式各樣應(yīng)用的可靠性及其恢復(fù)的需要。

b)優(yōu)勢(shì)

HACMP充分利用了AIX操作系統(tǒng)的優(yōu)點(diǎn)，并拓展了AIX系統(tǒng)和網(wǎng)絡(luò)的管理功能，提供了橫向和縱向的靈活性。c)功能增強(qiáng)

IBM HACMP在5.1的版本中，功能進(jìn)一步增強(qiáng)，這些新的功能包括： 1)使用快速硬盤接管技術(shù)，減少切換時(shí)間，限制在10秒鐘之內(nèi)

2)使用流水式配置界面，僅僅需要六次輸入就可以配置一個(gè)簡單的 HACMP集群 3)基于硬盤的新的非IP心跳信號(hào)保護(hù)技術(shù)，不需要額外的硬件支持 4)增強(qiáng)的安全機(jī)制，剔除了對(duì).rhosts的要求

5)增加快速的集群配置確認(rèn)和同步技術(shù)，提高管理的效率 6)在集群的監(jiān)控中提供更多的集群狀態(tài)信息

7)增加災(zāi)難恢復(fù)技術(shù)，保證在災(zāi)難發(fā)生時(shí)系統(tǒng)是可控制的

5.2.2 B.HACMP/XD

在災(zāi)備方案中，如果需要在異地做數(shù)據(jù)鏡像，HACMP/XD（Extended Distance）是必選的功能。對(duì)中小企業(yè)而言，HACMP/XD的高可靠性解決方案是極具吸引力的，從成本上看，也是可以負(fù)擔(dān)的。在關(guān)鍵的商業(yè)應(yīng)用中，高可靠性是最基本的功能。

HACMP/XD提供了多項(xiàng)技術(shù)以滿足遠(yuǎn)距離的數(shù)據(jù)鏡像、切換和信息同步：

a)支持IBM企業(yè)級(jí)存儲(chǔ)服務(wù)器ESS的PPRC，即HACMP/XD over PPRC。這允許HACMP集群自動(dòng)的切換PPRC鏡像組（PPRC pairs）中的硬盤，可以設(shè)計(jì)基于ESS PPRC的強(qiáng)大的容災(zāi)方案。HACMP/XD結(jié)合PPRC，可以保證集群環(huán)境中關(guān)鍵數(shù)據(jù)始終可用。

下圖為HACMP/XD PPRC方案的示意圖：

b)HACMP/XD基于IP的鏡像，提供遠(yuǎn)端數(shù)據(jù)鏡像，沒有距離限制，集成使用HAGEO 的技術(shù)。基于IP的鏡像技術(shù)，允許HACMP集群中的pSeries UNIX服務(wù)器放置在任意位置，每臺(tái)服務(wù)器都維護(hù)一份精確的應(yīng)用和數(shù)據(jù)拷貝。HACMP/XD提供數(shù)據(jù)的同步、切換和恢復(fù)。HACMP/XD基于IP的數(shù)據(jù)鏡像是基于存儲(chǔ)介質(zhì)的邏輯層來實(shí)現(xiàn)的。也就是說，本地的數(shù)據(jù)可以使用RAID或本地鏡像保護(hù)。

HACMP/XD, HAGEO技術(shù)環(huán)境是一個(gè)分布式的集群，可以分布在兩個(gè)足夠遠(yuǎn)的地方，通過冗余的點(diǎn)對(duì)點(diǎn)的TCP/IP網(wǎng)絡(luò)連接，提供應(yīng)用數(shù)據(jù)的恢復(fù)功能。下圖為HACMP/XD:HAGEO的集群示例：

對(duì)關(guān)鍵的商業(yè)應(yīng)用和數(shù)據(jù)，每一個(gè)場(chǎng)所都維護(hù)一份實(shí)時(shí)鏡像。因而，如果某一場(chǎng)所遭到破壞，HACMP/XD:HAGEO將自動(dòng)切換和同步，可以保證生產(chǎn)系統(tǒng)在較短的時(shí)間內(nèi)恢復(fù)運(yùn)行。使用HACMP/XD功能，需要具備以下條件：

i.HACMP V5.1.0(cluster.es.server.rte 5.1.0.0)或以上版本 ii.結(jié)合使用ESS/PPRC鏡像：

操作系統(tǒng)AIX 5L Java 運(yùn)行環(huán)境1.3.0.15, 或以上版本 IBM ESS 微碼 2.1.1, 或以上版本

IBM 2105 命令行接口（Command Line Interface，ibm2105cli.rte32.6.100.13）或者IBM 2105命令行接口（ibm2105esscli.rte 2.1.0.15）

注意：假定以上命令行接口命令安裝在其缺省的目錄下/usr/opt/ibm2105cli IBM 2105 子系統(tǒng)設(shè)備驅(qū)動(dòng)程序（Subsystem Device Driver），ibmSdd_510nchacmp.rte 1.3.3.6, 或以上版本 iii.使用基于IP的鏡像：沒有特殊要求

5.3 基于磁盤系統(tǒng)的PPRC數(shù)據(jù)級(jí)容災(zāi)解決方案

本節(jié)介紹的基于磁盤系統(tǒng)的PPRC（Peer-to-Peer Remote Copy）數(shù)據(jù)級(jí)容災(zāi)解決方案，是災(zāi)難恢復(fù)方案的7個(gè)級(jí)別中的第六個(gè)級(jí)別，可以保證少量或無數(shù)據(jù)丟失，實(shí)現(xiàn)最高一級(jí)數(shù)據(jù)的實(shí)時(shí)性，適用于那些幾乎不允許數(shù)據(jù)丟失和要求能快速將數(shù)據(jù)恢復(fù)到應(yīng)用中的業(yè)務(wù)。此種解決方案提供數(shù)據(jù)的一致性，不依賴于應(yīng)用而靠大量的硬件技術(shù)來實(shí)現(xiàn)。

目前業(yè)界有兩種基本的基于磁盤系統(tǒng)的遠(yuǎn)程拷貝形式：

同步PPRC遠(yuǎn)程拷貝(synchronous writes)：來自主機(jī)的數(shù)據(jù)被寫往本地連接的磁盤系統(tǒng)，該系統(tǒng)將數(shù)據(jù)轉(zhuǎn)發(fā)給遠(yuǎn)地點(diǎn)連接的磁盤系統(tǒng)。只有當(dāng)兩個(gè)系統(tǒng)都擁有數(shù)據(jù)的拷貝以后，本地系統(tǒng)才會(huì)向主機(jī)返回一個(gè)I/O完成指示。同步遠(yuǎn)程拷貝能夠在遠(yuǎn)地點(diǎn)提供最新的數(shù)據(jù)，但應(yīng)用程序會(huì)因等待寫I/O操作的完成而被延遲。由于距離的限制這種方式也叫做―同城鏡像(Metro Mirror)‖

異步PPRC遠(yuǎn)程拷貝(Asynchronous Write)：來自主機(jī)的數(shù)據(jù)被寫往本地連接的磁盤系統(tǒng)，該系統(tǒng)立即向主機(jī)返回一個(gè)I/O完成指示。數(shù)據(jù)在很短的一段時(shí)間(在實(shí)際中通常在數(shù)秒鐘到一分鐘左右)以后被送往一個(gè)遠(yuǎn)程磁盤系統(tǒng)。異步遠(yuǎn)程拷貝對(duì)應(yīng)用程序性能的影響最小，但遠(yuǎn)程磁盤系統(tǒng)在數(shù)據(jù)的更新程度上與本地系統(tǒng)相比會(huì)有一個(gè)延遲。

單純的異步拷貝由于線路距離較遠(yuǎn)等原因，本地磁盤和遠(yuǎn)地磁盤可能會(huì)有邏輯卷讀寫順序上的差異。這種方式也叫做―全局拷貝(Global Copy)‖

在全局拷貝(Global Copy)的情況下，比如本地磁盤系統(tǒng)提供給主機(jī)5個(gè)邏輯卷，某一時(shí)刻主機(jī)對(duì)這些邏輯卷發(fā)起了A，B，C，D，E，5個(gè)寫盤請(qǐng)求，本地的磁盤系統(tǒng)的寫順序是A，B，C，D，E。但是由于線路等原因，遠(yuǎn)地的磁盤系統(tǒng)在接收寫請(qǐng)求時(shí)，收到的順序可能是A，C，B，D，E。寫盤的順序也是A，C，B，D，E。我們假設(shè)災(zāi)難發(fā)生在這5個(gè)寫操作D，B的中間部分，那么這時(shí)遠(yuǎn)地的數(shù)據(jù)C很有可能是沒有意義的，甚至是無理的。

為了解決本地磁盤和遠(yuǎn)地磁盤可能存在的邏輯卷讀寫順序的差異，有的磁盤系統(tǒng)提供帶有一致性組的異步遠(yuǎn)程數(shù)據(jù)拷貝。在這種方式下，遠(yuǎn)地的磁盤系統(tǒng)會(huì)將先收到的寫請(qǐng)求緩存起來(比如上面的數(shù)據(jù)C)，等到它前面的數(shù)據(jù)(A,B)到達(dá)后，再按照順序?qū)懕P。這種方式也叫做―全局鏡像(Global Mirror)‖。見下圖:

IBM異步PPRC遠(yuǎn)程拷貝提供帶有一致性組的異步遠(yuǎn)程數(shù)據(jù)拷貝。下面，分別針對(duì)兩種方案在IBM ESS中的實(shí)施方案予以介紹。

5.3.1 同步PPRC數(shù)據(jù)級(jí)災(zāi)難備份方案

IBM的PPRC提供了實(shí)現(xiàn)災(zāi)難備份的方案基礎(chǔ)。PPRC全稱Peer-to-Peer Remote Copy，是以存儲(chǔ)為基礎(chǔ)的實(shí)時(shí)且與應(yīng)用程序無關(guān)的數(shù)據(jù)遠(yuǎn)程鏡像功能。PPRC的實(shí)現(xiàn)較為簡單，是無數(shù)據(jù)丟失且具有完全恢復(fù)功能的災(zāi)難恢復(fù)解決方案。

PPRC基于IBM ESS企業(yè)級(jí)存儲(chǔ)服務(wù)器，以邏輯卷為基本單位，通過光纖通道將本地ESS上的數(shù)據(jù)同步鏡像到遠(yuǎn)端的ESS上。

為了在保證數(shù)據(jù)的即時(shí)性、完整性和系統(tǒng)性能之間達(dá)到平衡，PPRC提供了多種工作方式。

同步方式下:點(diǎn)對(duì)點(diǎn)遠(yuǎn)程拷貝(PPRC)是一種同步遠(yuǎn)程鏡像的工具，可用于相隔距離達(dá)103公里的兩個(gè)ESS系統(tǒng)中指定的邏輯卷。這一距離可以通過第三方提供的通道擴(kuò)展器加以延長，ESS可以為所有連接的主機(jī)支持PPRC功能。

PPRC將確保如果備份卷不能被更新，那么即使源卷更新成功，整個(gè)寫操作也會(huì)返回失敗---保證源卷和目的卷的數(shù)據(jù)徹底一致。同步方式可以保證數(shù)據(jù)不會(huì)丟失，更重要的是數(shù)據(jù)的一致性在這種方式下能夠得到很好的保證---數(shù)據(jù)的不一致意味著相關(guān)數(shù)據(jù)的丟失，此時(shí)數(shù)據(jù)庫的數(shù)據(jù)安全機(jī)制無法保證數(shù)據(jù)的安全，嚴(yán)重時(shí)有可能造成數(shù)據(jù)庫無法啟動(dòng)。

PPRC的同步實(shí)現(xiàn)機(jī)制如下圖所示：

PPRC同步工作過程為：

1、應(yīng)用程序?qū)?shù)據(jù)寫入磁盤--在生產(chǎn)系統(tǒng)中的應(yīng)用程序?qū)?shù)據(jù)寫到生產(chǎn)系統(tǒng)的磁盤。

2、生產(chǎn)系統(tǒng)中的磁盤數(shù)據(jù)傳輸?shù)絺浞荽疟P--對(duì)每一個(gè)在生產(chǎn)系統(tǒng)的寫操作都要將這個(gè)寫操作送到備份磁盤。

3、備份機(jī)磁盤數(shù)據(jù)復(fù)制--備份磁盤復(fù)制生產(chǎn)系統(tǒng)的數(shù)據(jù)。

4、將寫完的操作信息返給生產(chǎn)磁盤--當(dāng)生產(chǎn)系統(tǒng)收到備份系統(tǒng)傳回的已寫信息之后，生產(chǎn)機(jī)的磁盤系統(tǒng)通知主機(jī)該寫操作已完畢，在此之后生產(chǎn)系統(tǒng)的應(yīng)用將繼續(xù)執(zhí)行。在同步PPRC的建立過程中，卷具有不同的狀態(tài)，以保證數(shù)據(jù)的完整性。

5.3.2 異步PPRC數(shù)據(jù)級(jí)災(zāi)難備份方案

PPRC + FlashCopy數(shù)據(jù)備份方案

為了提高PPRC數(shù)據(jù)備份方案的效率，可以考慮結(jié)合IBM公司企業(yè)級(jí)存儲(chǔ)服務(wù)器ESS的FlashCopy功能軟件，采用異步方式實(shí)現(xiàn)PPRC數(shù)據(jù)備份。在異步工作方式下，PPRC能夠在遠(yuǎn)端更新沒有完成的情況下，只要本地更新成功，就可以向主機(jī)返回―寫成功‖的信號(hào)。好處是：在主備機(jī)房之間的數(shù)據(jù)鏈路帶寬成為瓶頸時(shí)，采用異步方式可以不影響主機(jī)房生產(chǎn)系統(tǒng)的性能。壞處是：

1、數(shù)據(jù)將有可能丟失；

2、在異步同步不能最終成功完成的情況下，數(shù)據(jù)的一致性無法得到保證。所以當(dāng)采用異步方式時(shí)，IBM建議先采用IBM ESS的快速拷貝功能FlashCopy備份需同步的數(shù)據(jù)，再進(jìn)行數(shù)據(jù)同步。

ESS的FlashCopy的使用

ESS的FlashCopy提供了一個(gè)―時(shí)間點(diǎn)‖（Point in time）的拷貝服務(wù)功能，從源卷到目標(biāo)卷快速地復(fù)制數(shù)據(jù)。邏輯拷貝通常可以在數(shù)秒內(nèi)完成，然后就釋放源卷，進(jìn)行正常工作，而物理拷貝操作在后臺(tái)進(jìn)行。在物理拷貝的進(jìn)行過程中，拷貝和被拷貝的數(shù)據(jù)都能被用戶使用。

IBM ESS的FlashCopy支持兩個(gè)選項(xiàng)，它提供NO COPY選項(xiàng)來支持災(zāi)備的應(yīng)用需求。以下的內(nèi)容討論了在移動(dòng)災(zāi)備的應(yīng)用環(huán)境中是如何使用這些選項(xiàng)的。

FlashCopy COPY選項(xiàng)

第二篇：異地容災(zāi)方案

某金融機(jī)構(gòu)數(shù)據(jù)級(jí) 異地容災(zāi)案例

一、概述

備份與容災(zāi)是存儲(chǔ)領(lǐng)域兩個(gè)極其重要的部分，二者有著緊密的聯(lián)系。一般來說，備份是指用戶為應(yīng)用系統(tǒng)產(chǎn)生的重要數(shù)據(jù)制作一份或者多份拷貝，以增強(qiáng)數(shù)據(jù)的安全性；容災(zāi)是用戶為業(yè)務(wù)系統(tǒng)建立一個(gè)或多個(gè)冗余站點(diǎn)，達(dá)到業(yè)務(wù)不間斷的目的。因此，我們可以把備份稱作是“數(shù)據(jù)保護(hù)”，而容災(zāi)稱作“業(yè)務(wù)應(yīng)用保護(hù)”。備份與容災(zāi)中都有數(shù)據(jù)保護(hù)工作，備份大多采用近端方式，成本低；容災(zāi)則采用遠(yuǎn)程方式進(jìn)行數(shù)據(jù)保護(hù)，成本較高。

大體上講，容災(zāi)可以分為3個(gè)級(jí)別：數(shù)據(jù)級(jí)別、應(yīng)用級(jí)別以及業(yè)務(wù)級(jí)別。數(shù)據(jù)級(jí)別容災(zāi)的關(guān)注點(diǎn)在于數(shù)據(jù)，即災(zāi)難發(fā)生后可以確保用戶原有的數(shù)據(jù)不會(huì)丟失或者遭到破壞。數(shù)據(jù)級(jí)容災(zāi)較為基礎(chǔ)，其中，較低級(jí)別的數(shù)據(jù)容災(zāi)方案僅需利用磁帶庫和管理軟件就能實(shí)現(xiàn)數(shù)據(jù)異地備份，達(dá)到容災(zāi)的功效；而較高級(jí)的數(shù)據(jù)容災(zāi)方案則是依靠數(shù)據(jù)復(fù)制工具，例如卷復(fù)制軟件，或者存儲(chǔ)系統(tǒng)的硬件控制器，實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程復(fù)制。數(shù)據(jù)級(jí)別容災(zāi)是保障數(shù)據(jù)可用的基礎(chǔ)，當(dāng)數(shù)據(jù)丟失時(shí)能夠保證應(yīng)用系統(tǒng)可以重新得到所有數(shù)據(jù)。本案例容災(zāi)級(jí)別為數(shù)據(jù)級(jí)容災(zāi)，日后在此基礎(chǔ)上可以進(jìn)一步部署更高級(jí)別的容災(zāi)方式。

二、實(shí)施前狀況及需求分析

本案例實(shí)施單位為某全國性金融機(jī)構(gòu)的分支單位，在此簡稱A分支。該金融機(jī)構(gòu)已經(jīng)實(shí)現(xiàn)了全國性的數(shù)據(jù)集中管理（數(shù)據(jù)大集中），重要的生產(chǎn)數(shù)據(jù)已經(jīng)集中在總部統(tǒng)一存儲(chǔ)管理。而且A分支對(duì)于重要的業(yè)務(wù)中間數(shù)據(jù)在本地也有IBM 3584大型帶庫進(jìn)行存儲(chǔ)備份。所以說A分支針對(duì)于生產(chǎn)數(shù)據(jù)的備份和冗災(zāi)都有了較高級(jí)別的保障。

但對(duì)于A分支內(nèi)部一些前置機(jī)數(shù)據(jù)雖然在本地也進(jìn)行了備份，對(duì)于數(shù)據(jù)安全有一定的保護(hù)，但在數(shù)據(jù)容災(zāi)方面較為薄弱，由于備份數(shù)據(jù)與生產(chǎn)環(huán)境在同一樓內(nèi)，數(shù)據(jù)較為集中，一旦發(fā)生火災(zāi)等大型災(zāi)難則對(duì)數(shù)據(jù)影響較為嚴(yán)重。

因此用戶考慮針對(duì)于這些前置機(jī)數(shù)據(jù)部署遠(yuǎn)程的數(shù)據(jù)容災(zāi)系統(tǒng)。容災(zāi)地點(diǎn)定在25公里以外，線路采用租賃長波裸光纖，每天的數(shù)據(jù)量約為（110G），容災(zāi)級(jí)別為數(shù)據(jù)級(jí)容災(zāi)。

三、系統(tǒng)方案

系統(tǒng)結(jié)構(gòu)示意圖如下：

前置機(jī)IBM X3650 備份管理服務(wù)器p5TSM備份軟件lanp5前置機(jī)光纖鏈路IBM SAN 交換機(jī)IBM SAN 交換機(jī)p5lanIBM T3200 磁帶庫IBM DS3400 存儲(chǔ)DS4100前置機(jī)TotalStoragep51011121314SAN存儲(chǔ)備份區(qū)域A分支異地容災(zāi)區(qū)域A分支機(jī)構(gòu)區(qū)域A分支異地?cái)?shù)據(jù)容災(zāi)系統(tǒng)結(jié)構(gòu)示意圖A分支異地容災(zāi)系統(tǒng)線路采用長波裸光纖，帶寬可根據(jù)需要在線路兩端架設(shè)網(wǎng)絡(luò)設(shè)備的速率而定，根據(jù)A分支每日數(shù)據(jù)備份量（約為110G），若按100M網(wǎng)絡(luò)線路負(fù)載80%計(jì)算，每天傳輸時(shí)間約為3小時(shí)。所以A分支的數(shù)據(jù)容災(zāi)系統(tǒng)可以采用直接將存儲(chǔ)備份設(shè)備及備份管理服務(wù)器放置在遠(yuǎn)端的方式進(jìn)行數(shù)據(jù)備份和管理。

硬件方案：在備份服務(wù)器上，本案例選用的是IBM X3650服務(wù)器，針對(duì)于備份管理服務(wù)器對(duì)運(yùn)算方面要求不高，所以服務(wù)器配置單個(gè)4核2.0 CPU，為了增加本地?cái)?shù)據(jù)存儲(chǔ)量服務(wù)器配置了6塊300G熱插拔硬盤，另外服務(wù)器配置了IBM RAS II遠(yuǎn)程管理卡可以方便的進(jìn)行遠(yuǎn)程控制管理，解決了服務(wù)器遠(yuǎn)程管理維護(hù)的問題。

存儲(chǔ)及備份設(shè)備選用IBM DS3400（光纖通道）磁盤存儲(chǔ)和TS3200（光纖通道）磁帶庫建立了SAN存儲(chǔ)區(qū)域。這樣為日后存儲(chǔ)系統(tǒng)的擴(kuò)展和備份系統(tǒng)實(shí)現(xiàn)統(tǒng)一管理建立了良好的平臺(tái)。

備份管理軟件選用IBM Tivoli Storage Manager,由于A分支的遠(yuǎn)程容災(zāi)數(shù)據(jù)為本地已經(jīng)的打包好的數(shù)據(jù)不涉及數(shù)據(jù)庫，所以在備份模塊上只使用了最基礎(chǔ)的文件備份模塊，而且將服務(wù)器端和客戶端同時(shí)裝在X3650服務(wù)器上進(jìn)行備份操作。

如上圖所示，需要備份數(shù)據(jù)的前置機(jī)先將數(shù)據(jù)在本地打包，然后發(fā)送到遠(yuǎn)端的IBM DS3400存儲(chǔ)上，然后再根據(jù)策略將需要永久保留的數(shù)據(jù)備份到磁帶庫中的歸檔存儲(chǔ)池中，將只需要保存一份最新版本的數(shù)據(jù)循環(huán)保存到磁帶庫的循環(huán)備份存儲(chǔ)池中。在DS3400存儲(chǔ)上也保留了數(shù)據(jù)的最新2到3個(gè)版本，用腳本按時(shí)間對(duì)存儲(chǔ)上備份的數(shù)據(jù)進(jìn)行清理。

在遠(yuǎn)程管理方面，在遠(yuǎn)程服務(wù)器上安裝遠(yuǎn)程監(jiān)控軟件（LINUX 系統(tǒng)采用VNC遠(yuǎn)程管理軟件，WINDOWS系統(tǒng)采用遠(yuǎn)程桌面即可），再安裝上IBM ServeRAID 管理軟件就可以對(duì)本機(jī)和IBM DS3400存儲(chǔ)的陣列和磁盤進(jìn)行遠(yuǎn)程管理了。同時(shí)也可以使用IBM TSM備份管理軟件和磁帶庫的管理軟件對(duì)磁帶庫進(jìn)行遠(yuǎn)程管理。這樣整個(gè)系統(tǒng)基本上都可以在遠(yuǎn)程監(jiān)管的范圍內(nèi)了。結(jié)合IBM RAS II遠(yuǎn)程管理卡可以進(jìn)一步對(duì)服務(wù)器進(jìn)行遠(yuǎn)程開關(guān)機(jī)及設(shè)置BIOS信息等操作，使遠(yuǎn)程管理更為方便。

用戶使用評(píng)價(jià)：

項(xiàng)目使用了TSM軟件結(jié)合LINUX 腳本實(shí)現(xiàn)了自動(dòng)備份，達(dá)到了遠(yuǎn)程數(shù)據(jù)級(jí)容災(zāi)的目的，使得數(shù)據(jù)更可靠，同時(shí)也減輕了系統(tǒng)管理員的工作量。系統(tǒng)實(shí)施后達(dá)到了預(yù)先期望要求，對(duì)工程很滿意。

第三篇：容災(zāi)備份建議書（推薦）

醫(yī)院信息系統(tǒng)容災(zāi)備份建議書

一、概述

二十一世紀(jì)的醫(yī)院已經(jīng)逐漸發(fā)展為現(xiàn)代化的綜合性醫(yī)院，為了實(shí)現(xiàn)醫(yī)院管理的科學(xué)化、現(xiàn)代化、數(shù)字化，與國際、國內(nèi)信息化建設(shè)的新技術(shù)接軌，適應(yīng)現(xiàn)代化醫(yī)院的醫(yī)療、科研、教育和管理的要求，現(xiàn)代化的醫(yī)院所建立起的信息系統(tǒng)(HIS)主要以一體化的臨床系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)，EIS系統(tǒng)、PIS系統(tǒng)等為基礎(chǔ)，實(shí)現(xiàn)數(shù)據(jù)全面共享，共同形成全面的醫(yī)院信息管理系統(tǒng)。龐大的系統(tǒng)必然產(chǎn)生海量數(shù)據(jù)，對(duì)于軟件系統(tǒng)而言數(shù)據(jù)就是根本，任何操作、分析、結(jié)算等等都從數(shù)據(jù)庫中提取。從某種意義上說，數(shù)據(jù)安全成為了現(xiàn)代醫(yī)院信息系統(tǒng)安全的重中之重。一旦數(shù)據(jù)丟失，對(duì)任何一家醫(yī)院來說都會(huì)產(chǎn)生重大的影響。

二、項(xiàng)目立項(xiàng)的必要性及市場(chǎng)需求分析

近幾年，國家各部委對(duì)數(shù)據(jù)信息安全都有相關(guān)的明確規(guī)定！頒布了如下一系列條例，如《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保險(xiǎn)工作的意見》，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級(jí)保護(hù)管理辦法》、《2006―2020年信息化發(fā)展戰(zhàn)略》、《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》、《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》、《民用航空重要信息系統(tǒng)災(zāi)難備份與恢復(fù)管理規(guī)范》、《重要信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南》。在2010年11月，北京衛(wèi)生局聯(lián)合公安局等部門下發(fā)了《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的實(shí)施方案》的通知，該通知中也明確提出了數(shù)據(jù)備份的安全等級(jí)保護(hù)，并要求需要在重點(diǎn)單位發(fā)揮試點(diǎn)示范作用。由此可見各行業(yè)已經(jīng)開始注重容災(zāi)備份的重要性了！

對(duì)于關(guān)乎國計(jì)民生的醫(yī)院行業(yè)，政府更是大力監(jiān)管，在2011年推出的“《三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)（2011 年版）》（衛(wèi)醫(yī)管發(fā)〔2011〕33號(hào)）”文件中的第五大點(diǎn)第四條就明確規(guī)定了“實(shí)施國家信息安全等級(jí)保護(hù)制度，實(shí)行信息系統(tǒng)操作權(quán)限分級(jí)管理，保障網(wǎng)絡(luò)信息安全，保護(hù)患者隱私。推動(dòng)系統(tǒng)運(yùn)行維護(hù)的規(guī)范化管理，落實(shí)突發(fā)事件響應(yīng)機(jī)制，保證業(yè)務(wù)的連續(xù)性?！?該部分就已經(jīng)包含了容災(zāi)備份及業(yè)務(wù)連續(xù)性管理的要求，從等級(jí)保護(hù)的要求而言，二級(jí)及以上的等級(jí)保護(hù)也是要求要做備份及業(yè)務(wù)連續(xù)性管理的，還需要有應(yīng)急的制度、程序流程和災(zāi)難演練。

醫(yī)院信息系統(tǒng)運(yùn)行中可能出現(xiàn)的突發(fā)性故障和問題

１、系統(tǒng)硬件故障

如數(shù)據(jù)/系統(tǒng)磁盤的損壞將導(dǎo)致數(shù)據(jù)不能訪問，并進(jìn)而可能導(dǎo)致應(yīng)用進(jìn)程終止或系統(tǒng)停機(jī)，甚至系統(tǒng)不能重啟動(dòng)；網(wǎng)卡的損壞可使終端用戶無法訪問系統(tǒng)服務(wù)；CPU或內(nèi)存的失效則會(huì)導(dǎo)致系統(tǒng)的死機(jī)；

2、應(yīng)用程序或操作系統(tǒng)出錯(cuò)

由于操作系統(tǒng)或應(yīng)用程序中可能存在不完善的地方，當(dāng)碰到某種激發(fā)事件時(shí)，應(yīng)用程序非正常終止或系統(tǒng)崩潰；

3、人為錯(cuò)誤

一些人工的誤操作，如刪除系統(tǒng)或應(yīng)用文件，終止系統(tǒng)或應(yīng)用服務(wù)進(jìn)程，也會(huì)導(dǎo)致數(shù)據(jù)丟失或者系統(tǒng)服務(wù)的無法訪問；

4、電腦病毒/黑客入侵

由于目前的大多數(shù)計(jì)算機(jī)系統(tǒng)直接或通過U盤等硬件設(shè)備間接地連接在網(wǎng)絡(luò)上，若缺少有效的防范機(jī)制，很容易遭受病毒的感染或黑客的入侵，輕者數(shù)據(jù)被損壞，重者系統(tǒng)癱瘓；

5、自然災(zāi)害

由于一些意外的不可抗拒的因素，如雷擊、火災(zāi)、洪災(zāi)等導(dǎo)致的計(jì)算機(jī)系統(tǒng)破壞，將會(huì)使一般系統(tǒng)的恢復(fù)非常困難和耗時(shí)，導(dǎo)致業(yè)務(wù)系統(tǒng)長時(shí)間的中斷。

6、正常的停機(jī)

主要指計(jì)劃內(nèi)的系統(tǒng)升級(jí)、安裝軟件等過程。

三、相關(guān)領(lǐng)域國內(nèi)外技術(shù)現(xiàn)狀、發(fā)展趨勢(shì)及現(xiàn)有工作基礎(chǔ)

備份的歷史可以追溯到上世紀(jì)50年代，那時(shí)候國外一些公司就開始對(duì)自己的重要數(shù)據(jù)進(jìn)行備份保護(hù)。但那時(shí)候重要數(shù)據(jù)以紙質(zhì)媒體為多，電子數(shù)據(jù)只有一小部分，他們將其副本放置在另一個(gè)相對(duì)安全的地點(diǎn)存放，防止災(zāi)難事故對(duì)數(shù)據(jù)的損壞，這便是容災(zāi)備份的雛形。

70年代的時(shí)候隨著電子數(shù)據(jù)越來越多，這種類似的數(shù)據(jù)容災(zāi)保護(hù)形式越來越普遍。到了80年代，美國市場(chǎng)上已經(jīng)有了上百個(gè)專業(yè)公司。一些視數(shù)據(jù)為生命且數(shù)據(jù)量巨大的金融公司開始廣泛的采用這些公司提供的異地災(zāi)備中心存儲(chǔ)解決方案。

1983年，政府開始對(duì)數(shù)據(jù)安全進(jìn)行足夠的重視。美國聯(lián)邦貨幣監(jiān)管中心要求金融機(jī)構(gòu)起草了有關(guān)數(shù)據(jù)災(zāi)難備份及恢復(fù)的指導(dǎo)性文件，主要強(qiáng)調(diào)數(shù)據(jù)庫的備份和恢復(fù)，通過運(yùn)送備份磁帶到專門的存儲(chǔ)地實(shí)現(xiàn)安全。此文件一直使用到1989年，聯(lián)邦貨幣監(jiān)管中心有了更詳盡更成熟的一套數(shù)據(jù)安全相關(guān)資料

進(jìn)入九十年代，計(jì)算機(jī)的迅速發(fā)展和普及在大大的提高了生產(chǎn)效率的基礎(chǔ)之上也給再災(zāi)難行業(yè)帶來了新的市場(chǎng)和機(jī)遇，更過容災(zāi)備份廠家和產(chǎn)品有了用武之地。

九十年代的中后期（2000年前后），出現(xiàn)了業(yè)務(wù)連續(xù)性的概念，并開始逐漸取代單純的災(zāi)難恢復(fù)。與災(zāi)難恢復(fù)相比，業(yè)務(wù)連續(xù)性不只局限于傳統(tǒng)的IT系統(tǒng)，而是涵蓋了包括人為操作失誤、網(wǎng)絡(luò)故障、流程中斷等。

2000年以后，隨著國內(nèi)各行業(yè)信息系統(tǒng)的快速發(fā)展，特別是銀行、證券、保險(xiǎn)和政府等行業(yè)業(yè)務(wù)大集中速度的加快，企業(yè)的技術(shù)風(fēng)險(xiǎn)也相對(duì)集中。一旦發(fā)生災(zāi)難，則將導(dǎo)致政府和企業(yè)所有分支機(jī)構(gòu)、營業(yè)網(wǎng)點(diǎn)和全部的業(yè)務(wù)處理停頓，或造成企業(yè)客戶數(shù)據(jù)的丟失。如何防范技術(shù)風(fēng)險(xiǎn),確保數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性，已成為企業(yè)急需面對(duì)的課題。

雖然國內(nèi)的信息化建設(shè)足足比國外晚了近五十年，但是一直是用一種飛向的速度在追趕。基于此國家相關(guān)部門借鑒國外的容災(zāi)備份理念，對(duì)加強(qiáng)信息安全保障工作十分重視，先后出臺(tái)了多項(xiàng)有關(guān)信息安全保障措施。如中國人民銀行于2002年8月下發(fā)了《關(guān)于加強(qiáng)銀行數(shù)據(jù)集中安全工作的指導(dǎo)意見》，指出：“為保障銀行業(yè)務(wù)的連續(xù)性，確保銀行穩(wěn)健運(yùn)行，實(shí)施數(shù)據(jù)集中的銀行必須建立相應(yīng)的災(zāi)難備份中心?！?“業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)報(bào)中國人民銀行備案?！?。

2003年8月,中辦發(fā)[2003]27號(hào)文件——《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》規(guī)定：各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與災(zāi)難恢復(fù)，制定和不斷完善信息安全應(yīng)急處置預(yù)案?！罢l主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”。

2004年9月，信安通（國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室）發(fā)[2004]11號(hào)文件——《關(guān)于做好重要信息系統(tǒng) 災(zāi)難備份工作的通知》：提高抵御災(zāi)難和重大事故的能力，減少災(zāi)難打擊和重大事故造 成的損失、確保重要信息系統(tǒng)的數(shù)據(jù)安全和作業(yè)連續(xù)性，避免 引起社會(huì)重要服務(wù)功能的嚴(yán)重中斷，保障社會(huì)經(jīng)濟(jì)的穩(wěn)定，要求“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合”！

同年2004年9月，開始起草《信息系統(tǒng)災(zāi)難恢復(fù)指南》初稿；

2004年10月22日，成立了由國信辦領(lǐng)導(dǎo)、8大重點(diǎn)行業(yè)和5個(gè)政府單位專家及 萬國數(shù)據(jù)服務(wù)公司組成的《指南》工作組；

2005年4月，國信辦以文件的形式下發(fā)了《信息系統(tǒng)災(zāi)難恢復(fù)指南》；

2006年5月，信安標(biāo)委專家討論，按照國家標(biāo)準(zhǔn)的要求調(diào)整《指南》的內(nèi)容，形成征求意見稿；

2006年6月20日，召開信息系統(tǒng)災(zāi)難恢復(fù)國家標(biāo)準(zhǔn)工作組會(huì)議。根據(jù)意見，《信息系統(tǒng)災(zāi)難恢復(fù)指南》更名為《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》；

2006年9月12日，信安標(biāo)委召開WG7工作組標(biāo)準(zhǔn)項(xiàng)目投票工作會(huì)議，一致通過 成員單位投票，經(jīng)過對(duì)《規(guī)范》的再次修改，形成《規(guī)范》的送審稿修改稿。

2007年7月30日，《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》發(fā)布；2007年11 月1日實(shí)施，將災(zāi)難恢復(fù)能力分為七個(gè)等級(jí)，成為國標(biāo)。

由此可見，信息系統(tǒng)安全和災(zāi)難備份已經(jīng)引起了國家、社會(huì)、企業(yè)的高度重視，災(zāi)難備份業(yè)務(wù)的發(fā)展是客戶保持業(yè)務(wù)連續(xù)運(yùn)作的需要，同時(shí)也是社會(huì)的需要和政策法規(guī)的要求，是市場(chǎng)發(fā)展的必然。

在這個(gè)大環(huán)境下，國外的廠商蜂擁而入。Veritas、CA、Falconstor(飛康)、Bakbone、Commvault這些軟件公司巨頭很快的占據(jù)了國內(nèi)容災(zāi)備份市場(chǎng)的半壁江山。而更早進(jìn)入中國市場(chǎng)的硬件巨頭們，眼饞這塊大蛋糕，也很快的伸出刀叉，通過自主研發(fā)或者兼并收購等模式很快的擴(kuò)充了自己的產(chǎn)品線，提供軟硬結(jié)合的產(chǎn)品，通過軟件為硬件增值，通過硬件為軟件鋪路。如IBM的TSM（Tivoli Storage Manager）系列；HP的DP（Data Protector）系列；EMC收購Legato以后推出的Network系列。這些99%來自美國的產(chǎn)品，很快的瓜分了國內(nèi)的容災(zāi)備份市場(chǎng)。如此這般，國內(nèi)數(shù)據(jù)安全的命脈竟幾乎全部掌握在了國外產(chǎn)品的手中，我們的使用者竟心安理得，殊不知這種潛在的威脅將是致命的。當(dāng)年美伊戰(zhàn)爭(zhēng)時(shí)，伊拉克從法國買的防空系統(tǒng)打印機(jī)都被美國植入了木馬芯片，以至于在后來的“沙漠行動(dòng)”中，美國飛行員像在家里玩電子游戲一樣自由自在地來來去去。

歷史總會(huì)重演，如果我們不引起足夠的重視，下一個(gè)目標(biāo)可能就是我們。何況美國現(xiàn)在在抵制我國的華為、中興產(chǎn)品，認(rèn)為這些產(chǎn)品威脅到了他們的信息安全，而我們卻還在瘋狂的購買iphone，肆無忌憚的使用國外的軟件來備份自己的核心數(shù)據(jù)，這會(huì)讓我們一不小心就成了賣國賊。

也許有人會(huì)說，是因?yàn)閲鴥?nèi)的軟件不爭(zhēng)氣，我們才使用國外的產(chǎn)品。但這只不過是一種推脫責(zé)任的借口。想我中華泱泱大國，民間高手無數(shù)，且近幾年在核高基政策的支持和扶持下，軟件產(chǎn)品飛速發(fā)展，已經(jīng)產(chǎn)生了一大批的高新企業(yè)和優(yōu)秀軟件。榆林三院信息系統(tǒng)容災(zāi)備份現(xiàn)狀

我院信息系統(tǒng)建立在Windows 2008操作平臺(tái)上，現(xiàn)有兩臺(tái)臺(tái)服務(wù)器，其上運(yùn)行了HIS、PACS等系統(tǒng)。這些服務(wù)器只作了單一的本地?cái)?shù)據(jù)存儲(chǔ)，并在指定的時(shí)間通過數(shù)據(jù)命令將數(shù)據(jù)備份在另一臺(tái)PC機(jī)中。操作系統(tǒng)是Windows 2008R2 64bit，數(shù)據(jù)庫系統(tǒng)是Oracle。比如醫(yī)院HIS和PACS服務(wù)器每天晚上10：00通過ORACLE EXPORT將HIS數(shù)據(jù)導(dǎo)出成一個(gè)DMP文件。如果本地服務(wù)器出現(xiàn)硬件故障（CPU、LAN、POWER、FAN等），都將導(dǎo)致醫(yī)院部分日常業(yè)務(wù)中斷，對(duì)于依賴計(jì)算機(jī)管理水平高的醫(yī)院來說，很多的業(yè)務(wù)將無法開展。當(dāng)ORACLE數(shù)據(jù)庫出現(xiàn)故障時(shí)，對(duì)于時(shí)間要求嚴(yán)格、病人數(shù)據(jù)大的醫(yī)院出現(xiàn)短暫的停頓都無法忍受。如果采用上面所說將DMP文件也入回?cái)?shù)據(jù)庫中，首先要修復(fù)硬件，重裝操作系統(tǒng)，至少需要數(shù)個(gè)小時(shí)甚至幾天才能恢復(fù)，并且要丟失好一天的業(yè)務(wù)數(shù)據(jù)。

四、項(xiàng)目計(jì)劃目標(biāo)及主要研究內(nèi)容

理想的容災(zāi)解決方案通常都具備以下內(nèi)容

第一、數(shù)據(jù)的實(shí)時(shí)備份。RPO(恢復(fù)到目標(biāo))=0，確保數(shù)據(jù)零丟失；

第二、數(shù)據(jù)持續(xù)回退，且保證回退點(diǎn)數(shù)據(jù)完整可用。以便找回誤刪除的數(shù)據(jù)及在數(shù)據(jù)不完整時(shí)能恢復(fù)數(shù)據(jù)到最近的完整狀態(tài)；

第三、本異地容災(zāi)。將數(shù)據(jù)實(shí)時(shí)備份到同城以及異地機(jī)房，降低本地機(jī)房出現(xiàn)大的事故時(shí)候?qū)︶t(yī)院的損害。

第四、業(yè)務(wù)連續(xù)性管理。原系統(tǒng)不論什么原因出現(xiàn)故障停止對(duì)外服務(wù)時(shí)，備份系統(tǒng)可以在很短的時(shí)間接替原服務(wù)器對(duì)外提供服務(wù)，讓系統(tǒng)恢復(fù)正常，即RTO(恢復(fù)時(shí)間目標(biāo))≈0,以免影響醫(yī)院信息系統(tǒng)業(yè)務(wù)。

根據(jù)對(duì)醫(yī)院環(huán)境和應(yīng)用特點(diǎn)的分析，我院通過整合存儲(chǔ)架構(gòu)、采用群集高可用系統(tǒng)、核心數(shù)據(jù)的集中備份和異地備份、系統(tǒng)容災(zāi)快速恢復(fù)等多種數(shù)據(jù)安全保護(hù)方式，完全消除上述隱患，并可做到系統(tǒng)平滑升級(jí)和在線擴(kuò)容。

具體而言，我院的信息系統(tǒng)的主要需求在以下幾個(gè)方面：

1、高性能和高可靠的集中存儲(chǔ)系統(tǒng)：由于有大量的并發(fā)訪問，需要對(duì)目前的單機(jī)存儲(chǔ)架構(gòu)進(jìn)行改造，構(gòu)建一個(gè)高效安全的專用存儲(chǔ)網(wǎng)絡(luò)，可以把我院的信息系統(tǒng)整合為FC SAN存儲(chǔ)架構(gòu)。存儲(chǔ)設(shè)備采用具備高性能和高可靠性的光纖接口的磁盤陣列，實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)。磁盤采用高可靠的SAS磁盤或FC磁盤。

2、存儲(chǔ)和備份空間容量要求: 針對(duì)上述所有應(yīng)用系統(tǒng)的服務(wù)器實(shí)現(xiàn)集中存儲(chǔ)管理，考慮到3-5年的數(shù)據(jù)增長，集中存儲(chǔ)設(shè)備的容量要求達(dá)到：醫(yī)院需要3TB的存儲(chǔ)容量；集中備份需要至少5TB的可用空間。

3、數(shù)據(jù)的高安全性：由于HIS、PACS等數(shù)據(jù)是絕對(duì)不能丟失的核心業(yè)務(wù)數(shù)據(jù)，因此需要對(duì)核心業(yè)務(wù)數(shù)據(jù)做冗余的在線和離線數(shù)據(jù)保護(hù)，構(gòu)建一個(gè)完整的數(shù)據(jù)統(tǒng)一備份系統(tǒng)，將整個(gè)網(wǎng)絡(luò)中的所有關(guān)鍵數(shù)據(jù)庫數(shù)據(jù)進(jìn)行集中備份，建立統(tǒng)一的備份策略，自動(dòng)備份數(shù)據(jù)。針對(duì)上述的數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)實(shí)現(xiàn)在線備份（包括對(duì)SQL、Oracle等主流數(shù)據(jù)庫的在線備份），數(shù)據(jù)集中備份到虛擬磁帶庫中，這樣在主存儲(chǔ)設(shè)備中的數(shù)據(jù)出現(xiàn)損壞或丟失的情況下都能夠迅速從虛擬帶庫中得以恢復(fù)；另外，對(duì)于需要長期保存的數(shù)據(jù)，可以通過備份到與虛擬磁帶庫直接連接的一臺(tái)物理磁帶庫中，實(shí)現(xiàn)離線的歸檔。整個(gè)數(shù)據(jù)的備份和恢復(fù)，以至于將來可能的數(shù)據(jù)遷移、數(shù)據(jù)復(fù)制等一系列數(shù)據(jù)管理操作，都是通過備份軟件來統(tǒng)一管理。因此需要采用技術(shù)領(lǐng)先，具備圖形化操作、全中文管理界面，以及支持?jǐn)帱c(diǎn)續(xù)傳（尤其是數(shù)據(jù)庫的斷點(diǎn)續(xù)傳）和真正合成全備份的備份軟件。系統(tǒng)設(shè)計(jì)目標(biāo)

為上述應(yīng)用系統(tǒng)建設(shè)集中存儲(chǔ)和備份網(wǎng)絡(luò)，以及異地的數(shù)據(jù)容災(zāi)中心，實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一安全管理，針對(duì)不同應(yīng)用類型和數(shù)據(jù)類型提供多重的數(shù)據(jù)安全保護(hù)

手段，在此基礎(chǔ)上確保核心應(yīng)用的7*24小時(shí)連續(xù)運(yùn)行。

存儲(chǔ)系統(tǒng)建設(shè)目標(biāo)：使用高性能、高可靠性的大容量存儲(chǔ)設(shè)備，進(jìn)行存儲(chǔ)整合，通過建立FC SAN存儲(chǔ)基礎(chǔ)架構(gòu),使數(shù)據(jù)集中存儲(chǔ)，建立一個(gè)高效、穩(wěn)定、可靠的存儲(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)存儲(chǔ)中心和安全的管理平臺(tái)。備份系統(tǒng)建設(shè)目標(biāo)：構(gòu)建一個(gè)完整的企業(yè)級(jí)數(shù)據(jù)備份平臺(tái)。將整個(gè)存儲(chǔ)網(wǎng)絡(luò)中的重要數(shù)據(jù)進(jìn)行集中備份，建立統(tǒng)一的備份策略，備份作業(yè)自動(dòng)化，實(shí)現(xiàn)數(shù)據(jù)的在線備份和離線歸檔。在備份設(shè)備中使用高速的備份介質(zhì)，減少日常備份/恢復(fù)作業(yè)對(duì)系統(tǒng)可用性及性能的影響，實(shí)現(xiàn)快速的備份/恢復(fù)機(jī)制。系統(tǒng)設(shè)計(jì)原則

1、存儲(chǔ)系統(tǒng)的設(shè)計(jì)原則

? 提高存儲(chǔ)空間利用率，節(jié)省總體數(shù)據(jù)存儲(chǔ)成本，有效提高投入產(chǎn)出比。

? 數(shù)據(jù)整合，進(jìn)行統(tǒng)一的管理與應(yīng)用，降低管理員的工作量以及人力開支成本。? 磁盤陣列的讀寫速度與穩(wěn)定性要高。? 支持靈活安全的在線擴(kuò)容。

? 采用多種RAID模式使設(shè)備更加可靠，保證有磁盤損壞時(shí)不影響數(shù)據(jù)。

? 專用的外置存儲(chǔ)設(shè)備支持控制器、電源、鋰電池、風(fēng)扇等關(guān)鍵部件的熱插拔，故障部件可以在線更換； ? 可以實(shí)現(xiàn)分級(jí)存儲(chǔ)功能；

備份系統(tǒng)的設(shè)計(jì)原則

? 可以采用專用的備份網(wǎng)絡(luò)，避免業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)和備份網(wǎng)絡(luò)的互相干擾。

? 針對(duì)特別的應(yīng)用，可以提供零窗口和LAN-Free的備份方式。? 支持介質(zhì)復(fù)制的斷點(diǎn)續(xù)傳，減少網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)帶寬的利用率。

? 數(shù)據(jù)的備份采用D2D2T策略，通過在線的磁盤陣列，近線的虛擬磁帶庫，離線的物理磁帶庫，共同完成信息生命周期的數(shù)據(jù)安全基礎(chǔ)架構(gòu)。

集中存儲(chǔ)系統(tǒng)具體描述

對(duì)于醫(yī)院的數(shù)據(jù)中心，本方案將構(gòu)建一套FC SAN的存儲(chǔ)架構(gòu)，將用戶的關(guān)鍵應(yīng)用系統(tǒng)數(shù)據(jù)（如： HIS服務(wù)器，PACS服務(wù)器）集中存儲(chǔ)在一臺(tái)光纖磁盤陣列（作為一級(jí)存儲(chǔ)設(shè)備）中，該磁盤陣列配置雙機(jī)頭，確保了存儲(chǔ)設(shè)備的高可靠性。磁盤陣列可以實(shí)現(xiàn)FC磁盤和SATA磁盤的混插，數(shù)據(jù)可以保存在高穩(wěn)定性的FC磁盤中，將來可以考慮上SATA磁盤，實(shí)現(xiàn)數(shù)據(jù)在一套設(shè)備內(nèi)的分級(jí)存儲(chǔ)。

在主機(jī)與存儲(chǔ)的連接鏈路上，接入SAN的所有主機(jī)，可以配置2塊HBA光纖適配卡，同時(shí)連接兩臺(tái)光纖交換機(jī)，確保任何一條光纖鏈路中斷均不會(huì)影響用戶的正常業(yè)務(wù)使用，完全消除了單點(diǎn)故障。統(tǒng)一的集中化存儲(chǔ)

在本次方案中，根據(jù)我院目前的存儲(chǔ)空間規(guī)劃，以及我院未來三至五年內(nèi)的需求，給我院配置3TB的存儲(chǔ)可用空間用于SAN的數(shù)據(jù)集中存儲(chǔ)，配置質(zhì)量和性能都比較好的FC硬盤來存放數(shù)據(jù)。同時(shí)，為防止磁盤陣列自身出現(xiàn)嚴(yán)重的物理故障導(dǎo)致數(shù)據(jù)丟失，還可以另外選配兩臺(tái)磁盤陣列，兩臺(tái)磁盤陣列之間通過卷復(fù)制功能來實(shí)現(xiàn)兩臺(tái)存儲(chǔ)設(shè)備之間的數(shù)據(jù)同步。

對(duì)于以后需要增加的其他應(yīng)用服務(wù)器，將來可以通過增加光纖HBA卡的方式，接入FC SAN。SAN存儲(chǔ)架構(gòu)

SAN存儲(chǔ)架構(gòu)具備良好的擴(kuò)容性，未來可以方便地升級(jí)與維護(hù)。當(dāng)信息系統(tǒng)需要擴(kuò)建時(shí)，只要把新的設(shè)備，接入到SAN架構(gòu)中，便可以使用集中存儲(chǔ)提供資源，所以，SAN架構(gòu)，可以作為一個(gè)基礎(chǔ)的設(shè)施來建設(shè)，它可以充分地保護(hù)投入的成本，為日后系統(tǒng)的擴(kuò)容，升級(jí)打下了良好的基礎(chǔ)。SAN存儲(chǔ)架構(gòu)的特性：

1.可實(shí)現(xiàn)大容量存儲(chǔ)設(shè)備數(shù)據(jù)的共享。

2.可實(shí)現(xiàn)高速計(jì)算機(jī)與高速存儲(chǔ)設(shè)備的高速互聯(lián)。3.可實(shí)現(xiàn)靈活的存儲(chǔ)設(shè)備配置要求。4.可兼容以前的存儲(chǔ)設(shè)備。5.提高了數(shù)據(jù)的可靠性和安全性。6.避免了數(shù)據(jù)的“信息孤島”效應(yīng)。數(shù)據(jù)備份與恢復(fù)的跨平臺(tái)性和可靠性

現(xiàn)在的備份軟件已經(jīng)比較成熟，如CommVault,Symantec,NetStor Backup Express等等

數(shù)據(jù)備份恢復(fù)軟件的跨平臺(tái)性表現(xiàn)在：

? 能把備份UNIX文件恢復(fù)到不同版本的UNIX系統(tǒng)；

? 能把UNIX的備份文件恢復(fù)到Windows、FreeBSD、HP-UX、IRIX、Linux、Solaris、Tru64操作系統(tǒng)上。

? 能把備份文件恢復(fù)到不同版本的Windows系統(tǒng)，即在NT、2000、XP、2003之間實(shí)現(xiàn)跨版本恢復(fù)。

? 能把Windows的備份文件恢復(fù)到SOLARIS、FreeBSD、HP-UX、IRIX、Linux、Solaris、Tru64異構(gòu)平臺(tái)的操作系統(tǒng)上。數(shù)據(jù)備份恢復(fù)軟件的可靠性表現(xiàn)在：

?? 能實(shí)現(xiàn)備份、恢復(fù)及備份數(shù)據(jù)轉(zhuǎn)存的中斷再繼續(xù)（斷點(diǎn)續(xù)傳功能）。? 能對(duì)Oracle進(jìn)行斷點(diǎn)續(xù)傳備份，確保備份成功率。

? 支持并發(fā)數(shù)據(jù)流，加速備份過程，充分利用多磁帶驅(qū)動(dòng)器的磁帶庫設(shè)備。

? 能對(duì)增量備份、差量備份實(shí)現(xiàn)智能的、快速的“一次過”恢復(fù)，確保一次性讀入要恢復(fù)數(shù)據(jù)的最新版本，極大提高恢復(fù)效率

本方案采用現(xiàn)在最先進(jìn)的FC-SAN架構(gòu)，實(shí)現(xiàn)了高速計(jì)算機(jī)與高速存儲(chǔ)設(shè)備的高速互聯(lián)，實(shí)現(xiàn)了信息的集中存儲(chǔ)，避免了信息孤島的形成，同時(shí)，為以后醫(yī)院信息化的建設(shè)打下了基礎(chǔ)。

完整的備份系統(tǒng)，可以保證數(shù)據(jù)的最大安全性，從數(shù)據(jù)的產(chǎn)生，數(shù)據(jù)的備份，到長久數(shù)據(jù)的歸檔，D2D分級(jí)存儲(chǔ)架構(gòu)完成了一個(gè)信息的生命周期。同時(shí)，數(shù)據(jù)實(shí)現(xiàn)自動(dòng)備份，減少人工參與，降低醫(yī)院的管理成本，有效地保障了醫(yī)院數(shù)據(jù)的安全

五、技術(shù)、經(jīng)濟(jì)效益、市場(chǎng)風(fēng)險(xiǎn)分析

在現(xiàn)代醫(yī)院越來越依賴計(jì)算機(jī)來對(duì)醫(yī)院的業(yè)務(wù)的開展和管理的今天，數(shù)據(jù)的安全無疑是重中之重，而數(shù)據(jù)的安全又是建立在存儲(chǔ)系統(tǒng)的基礎(chǔ)上，所以，一個(gè)架構(gòu)完整、合理、科學(xué)的存儲(chǔ)系統(tǒng)，是實(shí)現(xiàn)現(xiàn)代醫(yī)院信息化過程中必須走的重要的一步。

高效的容災(zāi)備份系統(tǒng)和主-備服務(wù)器的快速切換模式可應(yīng)用于所有類型數(shù)據(jù)備份系統(tǒng)，有效提高數(shù)據(jù)服務(wù)器的工作效率，大大降低數(shù)據(jù)信息丟失的風(fēng)險(xiǎn)成本。全自動(dòng)化模式提高了備份系統(tǒng)的穩(wěn)定性，同時(shí)降低了醫(yī)院管理成本。

六、申請(qǐng)單位簡況

榆林市第三醫(yī)院是市委、市政府批準(zhǔn)成立的一所綜合性、非營利性公立醫(yī)院。醫(yī)院位于東沙城區(qū)金陽小區(qū)旁邊，環(huán)境優(yōu)美、交通便利、設(shè)備先進(jìn)、功能齊全、技術(shù)力量雄厚、服務(wù)熱情周到，是充分體現(xiàn)“以人為本”的綜合醫(yī)療服務(wù)機(jī)構(gòu)。

醫(yī)院現(xiàn)開放床位302張，設(shè)置有綜合內(nèi)科、綜合外科、骨科、婦產(chǎn)科、兒科、手術(shù)麻醉科、急診科、康復(fù)理療科、中醫(yī)科、皮膚科、眼科、口腔科、耳鼻喉科、感染科等14個(gè)臨床科室；影像科、檢驗(yàn)輸血科、藥械科、功能科（B超室）、病理科、心電圖室、腦電圖室、消毒供應(yīng)室、內(nèi)鏡室、門診部等10個(gè)醫(yī)技科室?，F(xiàn)有干部職工280人，其中專業(yè)技術(shù)人員243人，特聘專家13人，副高以上26人，中級(jí)35人，本科78人；行政及后勤管理人員37人。

擁有全進(jìn)口美國GE16排螺旋CT機(jī)、美國GE DR、美國GE數(shù)字胃腸機(jī)、腹腔鏡、富士激光相機(jī)、西門子全自動(dòng)生化分析儀、血液分析儀、飛利浦高端彩色B超機(jī)、德國進(jìn)口高端呼吸機(jī)、麻醉機(jī)等大型醫(yī)療設(shè)備。

醫(yī)院始終堅(jiān)持貫徹執(zhí)行黨的衛(wèi)生方針、政策，堅(jiān)持“看病明白、檢查準(zhǔn)確、合理用藥、花錢清楚、一切為了患者”的服務(wù)理念，著力打造特色服務(wù)品牌，不斷提升診療技術(shù)水平。我們以精湛的技術(shù)、創(chuàng)新的理念、全新的面貌，竭誠為患者提供安全、高效、便捷、嚴(yán)謹(jǐn)?shù)尼t(yī)療服務(wù)，今天的榆林三院將以新起點(diǎn)、高標(biāo)準(zhǔn)、跨越式的發(fā)展創(chuàng)造輝煌的業(yè)績，為人類健康事業(yè)的發(fā)展而努力奮斗！該項(xiàng)目由榆林市第三醫(yī)院信息科負(fù)責(zé)實(shí)施。

七、必要的支撐條件、組織措施及實(shí)施步驟

暫定項(xiàng)目預(yù)計(jì)于2015年11月至2016年2月之間完成項(xiàng)目所需的網(wǎng)絡(luò)環(huán)境與硬件設(shè)備及項(xiàng)目實(shí)施場(chǎng)地的建設(shè)。于2016年2月至2016年5月之間完成項(xiàng)目的關(guān)鍵技術(shù)，達(dá)到項(xiàng)目技術(shù)指標(biāo)；同時(shí)完成項(xiàng)目實(shí)施內(nèi)容記錄與所有相關(guān)技術(shù)問題的擴(kuò)展總結(jié)

八、計(jì)劃實(shí)施進(jìn)展、預(yù)算及來源渠道

項(xiàng)目總投資19萬，擬申請(qǐng)政府補(bǔ)助10萬，單位自籌9萬。其中硬件采購17萬，項(xiàng)目實(shí)施費(fèi)用2萬

詳細(xì)配置參數(shù)列表

序號(hào) 采購內(nèi)容

HBA卡

技術(shù)規(guī)格或性數(shù)量

能指標(biāo) ★HBA卡：每臺(tái)配4個(gè) 套HBA卡：2個(gè)，光纖線3M LC-LC2條 ★售后服務(wù)：提供原廠3年保修服務(wù),中標(biāo)方須在簽訂合同前提供原廠商服務(wù)承

報(bào)價(jià)

12000

諾函 備份服務(wù)器(X3650M4)

CPU：E5-2603 1臺(tái) @1.80GHZ

1.80GHZ(2處理器）

內(nèi)存：8GB 網(wǎng)卡：Intel I350 Gigabit Network

Connection(4塊)

硬盤：2TB SATA（3塊）★HBA卡：每臺(tái)配套HBA卡：2個(gè)，光纖線3M LC-LC2條 可管理和維護(hù)性：光通路診斷，集成IMM(可選的Virtual Media Key支持Remote Presence)系統(tǒng)

支持的操作系統(tǒng)：MS Windows Server 2008、Red Hat Linux 和 SUSE

Linux、Vmware ESX Server、標(biāo)配windows2008 服務(wù)

★售后服務(wù)：提供原廠3年保修服務(wù),中標(biāo)方須在簽訂合同前提供原廠商服務(wù)承諾函

35000 3 磁盤陣列(DS3500)

★品牌：與服務(wù)1臺(tái) 器同品牌產(chǎn)品 控制器：配雙控制器，4個(gè)6Gbps SAS主機(jī)接口，Cache具備斷電保持?jǐn)?shù)據(jù)完整功能。

支持SAN：支持SAN光纖通道交換機(jī)、支持1GBps/2GBps/4GBps

★主機(jī)接口：≥8個(gè)，8Gbps FC 主機(jī)端口

★數(shù)據(jù)Cache：每個(gè)控制器≥1G ★存儲(chǔ)容量：本次硬盤配置數(shù)量≥10塊，300G以上 3.5" SAS 15k rpm 最大驅(qū)動(dòng)器數(shù)量：≥96個(gè) 圖形化管理軟件：配置圖形化管理軟件 多通路容錯(cuò)及動(dòng)態(tài)負(fù)載均衡功能：支持 安全訪問控制：防止LUN被未授權(quán)主機(jī)訪問。支持Cache分區(qū)技術(shù)：支持 快照：支持 支持的操作系統(tǒng)：Microsoft Windows 2003, Sun Solaris, IBM AIX, Linux, Novell Netware。

99000

高可用性：完全的硬件冗余：處理器、電源、風(fēng)扇、適配卡等都提供冗余，并保證在某硬件出現(xiàn)問題，能夠進(jìn)行自動(dòng)切換，不出現(xiàn)單點(diǎn)故障。4 5 備份軟件（Symantec Backup Exec Leo 11D Win）系統(tǒng)集成 要求 ★服務(wù)要求：提供3年7×24小時(shí)原廠上門保修維護(hù)

Back Exec沿襲最初在賽門鐵克Veritas NetBackup中使

用的針對(duì)虛擬環(huán)境的獲獎(jiǎng)技術(shù)，通過單一管理控制臺(tái)為VMware Infrastructure、Microsoft Windows Server 2008 Hyper-V以及傳統(tǒng)的物理系統(tǒng)提供全面的數(shù)據(jù)保護(hù)，同時(shí)降低成本，并提高多重虛擬和物理系統(tǒng)的管理。

工作內(nèi)容

1、說明:數(shù)據(jù)文

件大小在20G左右進(jìn)行平滑遷移?！?/p>

2、進(jìn)行數(shù)據(jù)模擬遷移（根據(jù)設(shè)計(jì)的數(shù)據(jù)遷移方案，建立一個(gè)模擬的數(shù)據(jù)遷移環(huán)境，它既能仿真實(shí)際環(huán)境又不影響實(shí)際數(shù)據(jù)，然

套30000

硬件總價(jià)*10% 1 后在數(shù)據(jù)模擬遷移環(huán)境中測(cè)試數(shù)據(jù)遷移的效果。數(shù)據(jù)模擬遷移前也應(yīng)按備份策略備份模擬數(shù)據(jù)，以便數(shù)據(jù)遷移后能按恢復(fù)策略進(jìn)行恢復(fù)測(cè)試）

3、測(cè)試數(shù)據(jù)模擬遷移（根據(jù)設(shè)計(jì)的數(shù)據(jù)遷移測(cè)試方案測(cè)試數(shù)據(jù)模擬遷移，也就是檢查數(shù)據(jù)模擬遷移后數(shù)據(jù)和應(yīng)用軟件是否正常，主要包括：數(shù)據(jù)一致性測(cè)試、應(yīng)用軟件執(zhí)行功能測(cè)試、性能測(cè)試、數(shù)據(jù)備份和恢復(fù)測(cè)試等）

4、準(zhǔn)備實(shí)施數(shù)據(jù)遷移（數(shù)據(jù)模擬遷移測(cè)試成功后，在正式實(shí)施數(shù)據(jù)遷移前還需要做好以下幾個(gè)方面工作：進(jìn)行完全數(shù)據(jù)備份、確定數(shù)據(jù)遷移方案、安裝和配置軟硬件、制定應(yīng)急方案等）

5、正式實(shí)施數(shù)據(jù)遷移（按照確定的數(shù)據(jù)遷移方案，正式實(shí)施數(shù)據(jù)遷移）測(cè)試數(shù)據(jù)遷移效果（按照數(shù)據(jù)遷移測(cè)試方案測(cè)試數(shù)據(jù)遷移效果，并對(duì)數(shù)據(jù)遷移后的數(shù)據(jù)庫參數(shù)和性能進(jìn)行調(diào)整，使之滿足數(shù)據(jù)遷移后實(shí)際應(yīng)用系統(tǒng)的需要）

6、移植系統(tǒng)應(yīng)用軟件(將實(shí)際應(yīng)用系統(tǒng)的應(yīng)用軟件移植到數(shù)據(jù)遷移后的數(shù)據(jù)庫系統(tǒng)上，并使之正常運(yùn)行)

7、正式運(yùn)行應(yīng)用系統(tǒng)(在正式實(shí)施數(shù)據(jù)遷移成功并且數(shù)據(jù)庫參數(shù)和性能達(dá)到要求后，就可以正式運(yùn)行應(yīng)用系統(tǒng)，并投入實(shí)際使用)

8、數(shù)據(jù)庫升級(jí)到Windows+Oracle 11g。

9、數(shù)據(jù)庫遷移時(shí)間控制在2～3小時(shí)內(nèi)，不能超過4小時(shí)，須提供詳細(xì)的升級(jí)、遷移方案。

10、數(shù)據(jù)庫遷移時(shí)能繼續(xù)支持醫(yī)院業(yè)務(wù)的正常運(yùn)行，包括門診業(yè)務(wù)(如門急診收費(fèi)、門診藥房、門診診間、皮試系統(tǒng)等),及重要的住院業(yè)務(wù)(如住院收費(fèi)、醫(yī)囑等)，須提供詳細(xì)方案來滿足遷移要求。

第四篇：容災(zāi)備份解決方案

2010-8-11 容災(zāi)備份系統(tǒng)簡介

一、項(xiàng)目背景

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，每個(gè)企業(yè)都在大量的使用計(jì)算機(jī)處理自己的核心數(shù)據(jù)，這些數(shù)據(jù)往往是企業(yè)生產(chǎn)經(jīng)營必不可少的部分。依賴這些數(shù)據(jù)的計(jì)算機(jī)系統(tǒng)的停機(jī)往往會(huì)造成企業(yè)生產(chǎn)經(jīng)營活動(dòng)的停頓，給企業(yè)造成巨大的損失。所以，可以說，這些數(shù)據(jù)是企業(yè)的生命核心。企業(yè)的IT管理員為了保證生產(chǎn)經(jīng)營活動(dòng)的持續(xù)運(yùn)行，不斷的加強(qiáng)對(duì)系統(tǒng)和數(shù)據(jù)的保護(hù)，如使用基于雙機(jī)的高可用技術(shù)，磁盤陣列系統(tǒng)的RAID技術(shù)等。然而，人們依然無法回避由于磁盤故障，人為失誤，應(yīng)用程序的邏輯錯(cuò)誤，自然災(zāi)害等原因帶來的系統(tǒng)停機(jī)或者數(shù)據(jù)丟失。所以，數(shù)據(jù)備份作為數(shù)據(jù)保護(hù)的最后一道屏障，必不可少。

二、功能介紹

實(shí)時(shí)保護(hù)：連續(xù)捕獲、實(shí)時(shí)備份數(shù)據(jù)變化，全過程保護(hù)數(shù)據(jù)安全。實(shí)現(xiàn)真正的持續(xù)性數(shù)據(jù)保護(hù)（CDP），無需設(shè)置任何備份時(shí)間點(diǎn)，居國內(nèi)外同類產(chǎn)品領(lǐng)先地位。

完善備份：同一軟件可實(shí)現(xiàn)“數(shù)據(jù)庫雙機(jī)熱備＋接管”、“本地實(shí)時(shí)災(zāi)備”、“異地實(shí)時(shí)災(zāi)備”，全方位保證數(shù)據(jù)庫安全。

任意回退：可按任意操作步數(shù)或時(shí)間點(diǎn)進(jìn)行數(shù)據(jù)回退。主數(shù)據(jù)庫遭到破壞時(shí)，備份數(shù)據(jù)庫可將主數(shù)據(jù)庫回退到損壞前最后時(shí)刻的狀態(tài)，且能保證事件的完整性。快速恢復(fù)：主數(shù)據(jù)庫或表損壞，從站自動(dòng)檢測(cè)，提示回退的步數(shù)?；謴?fù)1個(gè)G數(shù)據(jù)庫在3－5分鐘。

增量備份：只備份變化部分，在保障備份數(shù)據(jù)安全的同時(shí)減少備份的工作量。

錯(cuò)峰機(jī)制： 在系統(tǒng)負(fù)荷極大時(shí)暫停備份以免系統(tǒng)癱瘓，當(dāng)系統(tǒng)負(fù)荷下降時(shí)備份暫停期間的數(shù)據(jù)，并重新開始實(shí)時(shí)備份。

低耗資源：對(duì)主數(shù)據(jù)庫壓力小，系統(tǒng)采用消息機(jī)制，只有災(zāi)數(shù)據(jù)庫發(fā)生變化時(shí)才觸發(fā)，只傳數(shù)據(jù)庫的變化部分，不同于文件拷貝，和數(shù)據(jù)表的輪詢。

操作簡單：自主開發(fā)設(shè)計(jì)，著重考慮國內(nèi)用戶使用習(xí)慣，安裝、設(shè)置非常簡單。

維護(hù)方便：啟動(dòng)或連接中斷后重連時(shí)，自動(dòng)校驗(yàn)主從站數(shù)據(jù)，保證數(shù)據(jù)準(zhǔn)確。

加密傳輸：底層通訊采用自主研發(fā)的通訊平臺(tái)，所有數(shù)據(jù)都是用加密數(shù)據(jù)包進(jìn)行數(shù)據(jù)交換，充分保證數(shù)據(jù)安全。

高性價(jià)比：在各項(xiàng)性能領(lǐng)先的同時(shí)，價(jià)格遠(yuǎn)遠(yuǎn)優(yōu)于國外軟件。當(dāng)選擇不接管的熱容災(zāi)備份方式時(shí)，從站可采用低檔Server或高穩(wěn)定性的PC（有足夠的存儲(chǔ)空間即 2

可），從而實(shí)現(xiàn)極低的總體成本。

通用性好：不對(duì)數(shù)據(jù)庫中的應(yīng)用做任何修改。與數(shù)據(jù)庫中表的結(jié)構(gòu)無關(guān)，且無任何限制。對(duì)數(shù)據(jù)庫備份完整：如TABLES（表）、DIAGRAMS（關(guān)系圖）、VIEWS（視圖）、USERS（用戶）、ROLES、RULES等。

三、解決方案優(yōu)點(diǎn)

能夠?qū)崿F(xiàn)雙數(shù)據(jù)庫的實(shí)時(shí)同步，能夠保證雙份數(shù)據(jù)庫的實(shí)時(shí)一致性，如果主生產(chǎn)數(shù)據(jù)庫失敗，備數(shù)據(jù)庫庫服務(wù)器隨時(shí)可啟用為主數(shù)據(jù)庫服務(wù)器。不再需要介質(zhì)恢復(fù)的過程。

多節(jié)點(diǎn)存儲(chǔ)冗余體系

熱備方案要求最少有雙份數(shù)據(jù)庫，不但心生產(chǎn)數(shù)據(jù)庫崩潰，磁盤硬件崩潰，而造成數(shù)據(jù)庫不可用問題．多份數(shù)據(jù)源才是真正的冗余體系，真正消除了數(shù)據(jù)庫系統(tǒng)管理人員為存儲(chǔ)單點(diǎn)故障的后顧之憂!不存在物理介質(zhì)恢復(fù)時(shí)間問題

因?yàn)殡p數(shù)據(jù)庫的實(shí)時(shí)同步，保證雙份數(shù)據(jù)庫的一致性，如果主生產(chǎn)數(shù)據(jù)庫失敗，備數(shù)據(jù)庫庫服務(wù)器隨時(shí)可啟用為主數(shù)據(jù)庫服務(wù)器．不存在介質(zhì)恢復(fù)時(shí)間．這與雙機(jī)熱備比較，完全消除掉備份恢復(fù)這一個(gè)過程。

同步時(shí)間完全實(shí)時(shí)

主數(shù)據(jù)庫與從數(shù)據(jù)庫可以做到實(shí)時(shí)同步，消除了備份軟件中的間隔備份丟失數(shù)問題．同時(shí)提供了完全不丟失數(shù)據(jù)模式和丟失秒內(nèi)業(yè)務(wù)數(shù)據(jù)校正方式。

解決了數(shù)據(jù)誤刪除恢復(fù)問題

與HA,CDP軟件比較，當(dāng)數(shù)據(jù)庫管理人員遇到意外誤刪除求助，熱備系統(tǒng)可以提供事務(wù)級(jí)別的按步數(shù)或者時(shí)間點(diǎn)的回退動(dòng)作，確定記錄，恢復(fù)記錄.不需要像傳統(tǒng)備份軟件為了一個(gè)記錄而恢復(fù)整個(gè)數(shù)據(jù)庫。

數(shù)據(jù)庫異地容災(zāi)問題

完全支持異地?cái)?shù)據(jù)同步，支持?jǐn)帱c(diǎn)續(xù)傳，數(shù)據(jù)一致性校驗(yàn)。

四、解決方案

（一）1、備份方案

（一）示意圖：容災(zāi)標(biāo)準(zhǔn)版（一主一從）

備份方案：

說明：

1：在1號(hào)Server系統(tǒng)中安裝，設(shè)置成主站。2：在2號(hào)Server上安裝，設(shè)置成從站

3：正常運(yùn)行后，2號(hào)Server能夠?qū)崟r(shí)備份1號(hào)Serve中的數(shù)據(jù)庫的數(shù)據(jù) 4：在1號(hào)Server宕機(jī)的情況下，2號(hào)Serve能接管主服務(wù)器的IP和機(jī)器名，對(duì)外提供所有的服務(wù)，保證業(yè)務(wù)不間斷

5：當(dāng)1號(hào)Server修復(fù)后，能快速將2號(hào)Server上數(shù)據(jù)恢復(fù)到1號(hào)Server中。

能實(shí)現(xiàn)的效果及主要功能：

1)將主服務(wù)器上的數(shù)據(jù)實(shí)時(shí)智能的備份到從站備份服務(wù)器里

2)如果數(shù)據(jù)庫遭到病毒破壞或者誤刪除可用數(shù)據(jù)回退進(jìn)行解決；回復(fù)的任意時(shí)間點(diǎn)的數(shù)據(jù)

3）主站宕機(jī)或者磁盤柜損壞，備份服務(wù)器可接管主站服務(wù)器對(duì)外服務(wù)，保證客戶端的正常運(yùn)行

2、備份方案

（二）示意圖：容災(zāi)（一主兩從）版本

S2備份服務(wù)器S1主數(shù)據(jù)庫服務(wù)器 終端 S3備份服務(wù)器辦公樓 XX樓

說明：

1)2)3)4)主站服務(wù)器（S1）安裝標(biāo)準(zhǔn)版軟件設(shè)置成主站；

從站備份服務(wù)器（S2）安裝標(biāo)準(zhǔn)版軟件設(shè)置成從站1，作為備份服務(wù)器1； 從站備份服務(wù)器（S3）安裝M標(biāo)準(zhǔn)版軟件設(shè)置成從站2，作為備份服務(wù)器2； 正常運(yùn)行后，從S1能夠同時(shí)實(shí)時(shí)備份主站或磁盤柜中的數(shù)據(jù)庫數(shù)據(jù)到S2、S3；

能實(shí)現(xiàn)的效果及主要功能： 5)在S1或磁盤柜損壞的情況下，S2能接管S1對(duì)外提供服務(wù)，保證客戶端的正常運(yùn)行，當(dāng)S2亦出現(xiàn)意外事故時(shí)，S3能接管S2對(duì)外提供服務(wù)，保證客戶端的正常運(yùn)行；

6)當(dāng)主機(jī)房損壞設(shè)備完全修復(fù)后，能快速將S2或者S3上數(shù)據(jù)恢復(fù)到S1存儲(chǔ)中。3)將數(shù)據(jù)中心的SQL數(shù)據(jù)庫中的數(shù)據(jù)實(shí)時(shí)的備份到從站服務(wù)器中； 4)如果數(shù)據(jù)庫遭到病毒破壞或者誤刪除可用數(shù)據(jù)回退進(jìn)行解決； 5)如果主站宕機(jī)或者磁盤柜損壞，備份服務(wù)器可接管主站服務(wù)器對(duì)外服務(wù)，保證客戶端的正常運(yùn)行。

3.方案

（三）方案示意圖：集群版（兩主一叢）

針對(duì)雙機(jī)磁盤柜的異地容災(zāi)：

主數(shù)據(jù)服務(wù)器雙機(jī)環(huán)境 磁盤柜 終端 雙機(jī) 集群 備份服務(wù)器１號(hào)２號(hào) 實(shí)時(shí)備份 數(shù)據(jù)回退 接管 異地容災(zāi) ３號(hào)server

說明：

1、在1、2號(hào)server組成的集群系統(tǒng)中安裝 FOR CLUSTER版設(shè)置成主站；

2、在3號(hào)server上安裝 FOR CLUSTER版設(shè)置成從站；

3、正常運(yùn)行后，3號(hào)server能夠?qū)崟r(shí)備份集群磁盤柜中的數(shù)據(jù)庫數(shù)據(jù)；

4、在集群中的1、2號(hào)機(jī)器同時(shí)宕機(jī)或磁盤柜損壞的情況下，3號(hào)server能接管集群對(duì)外提供服務(wù)，保證客戶端的正常運(yùn)行；

5、當(dāng)主數(shù)據(jù)服務(wù)器被損壞設(shè)備修復(fù)后，能快速將3號(hào)server上數(shù)據(jù)恢復(fù)到集群存儲(chǔ)中。

能實(shí)現(xiàn)的效果及主要功能：

1）避免了雙機(jī)集群的磁盤柜的單點(diǎn)故障，有雙份數(shù)據(jù)安全。2）數(shù)據(jù)庫遭到病毒破壞或者誤刪除可用數(shù)據(jù)回退進(jìn)行解決；

3）主站同時(shí)或者磁盤柜損壞，備份服務(wù)器可接管主站服務(wù)器對(duì)外服務(wù)，保證客戶端的正常運(yùn)行。

4.方案

（四）方案示意圖：集中備份（多對(duì)一）

數(shù)據(jù)服務(wù)器 業(yè)務(wù)數(shù)據(jù) 辦公server備份中心 辦公數(shù)據(jù) 業(yè)務(wù)server１號(hào)２號(hào)財(cái)務(wù)server實(shí)時(shí)熱備接管回退管理server異地備份集中備份ＸＸ server 管理數(shù)據(jù) ３號(hào)Ｘ號(hào) XX數(shù)據(jù)

說明：

1、在各個(gè)主數(shù)據(jù)服務(wù)器系統(tǒng)中安裝，設(shè)置成主站；

2、在備份中心的備份服務(wù)器上安裝，設(shè)置成從站；

3、正常運(yùn)行后，備份中心能實(shí)時(shí)備份數(shù)據(jù)服務(wù)器的數(shù)據(jù)庫數(shù)據(jù)；

4.任一主服務(wù)器的數(shù)據(jù)丟失后，都可以從備份服務(wù)器迅速的給主服務(wù)器恢復(fù)數(shù)據(jù)。

能實(shí)現(xiàn)的效果及主要功能：

1.可以把各個(gè)業(yè)務(wù)服務(wù)器數(shù)據(jù)庫的數(shù)據(jù)實(shí)時(shí)智能的備份到數(shù)據(jù)中心的服務(wù)器里，當(dāng)任何一個(gè)主業(yè)務(wù)服務(wù)器的數(shù)據(jù)丟失時(shí)，都可以從數(shù)據(jù)中心的服務(wù)器里進(jìn)行快速的恢復(fù)。

5.方案

（五）方案示意圖：集中備份（本地做一對(duì)一，異地做多對(duì)一）

說明：

1：在各主服務(wù)器SERVER 1-N中安裝設(shè)置成主站，在SERVER1’ –SERVERN’中安裝設(shè)置從站，主從站通過數(shù)據(jù)庫保鏢進(jìn)行實(shí)時(shí)備份，當(dāng)本SERVER 1-N出現(xiàn)問題后，對(duì)應(yīng)的SERVER1’ –SERVERN’可以進(jìn)行接管或恢復(fù)。

2：SERVER作為集中備份服務(wù)器，將SERVER 1-N中的數(shù)據(jù)實(shí)時(shí)集中備份到SERVER內(nèi)，即使本地?cái)?shù)據(jù)丟失，也可以從數(shù)據(jù)中心取回。

能實(shí)現(xiàn)的效果及主要功能：

1.可以實(shí)現(xiàn)本地的數(shù)據(jù)實(shí)時(shí)備份和接管，當(dāng)主服務(wù)器出現(xiàn)宕機(jī)時(shí)，可以迅速的用備份服務(wù)器接管主機(jī)提供對(duì)外的服務(wù)，保證業(yè)務(wù)不間斷。

2.當(dāng)主服務(wù)器本地出現(xiàn)意外災(zāi)難，數(shù)據(jù)全部丟失后，可以通過遠(yuǎn)程的中心服務(wù)器恢復(fù)數(shù)據(jù)，保證了數(shù)據(jù)的安全。

五、容災(zāi)容災(zāi)備份系統(tǒng)能實(shí)現(xiàn)的效果和功能

1．能實(shí)現(xiàn)對(duì)主服務(wù)器上的數(shù)據(jù)庫里的數(shù)據(jù)進(jìn)行實(shí)時(shí)智能的備份，保證了數(shù)據(jù)的安全，一旦出現(xiàn)數(shù)據(jù)丟失或破壞，可以迅速的從備份機(jī)上把數(shù)據(jù)恢復(fù)回來。第一次做個(gè)全備份，把數(shù)據(jù)全部備份到備份機(jī)上，以后每次只做增量備份，把變化的數(shù)據(jù)做實(shí)時(shí)的備份，節(jié)省了備份空間，提高了備份效率。在備份時(shí)對(duì)服務(wù)器的性能沒有影響。

2．當(dāng)主服務(wù)器出現(xiàn)意外宕機(jī)時(shí)，備份機(jī)可以立刻接管主服務(wù)器的IP，提供對(duì)外的所有服務(wù)，保證了核心業(yè)務(wù)連續(xù)性，可以提供365天7*24小時(shí)的業(yè)務(wù)不間斷的保護(hù)。

3．整個(gè)備份系統(tǒng)具有高容災(zāi)性和可擴(kuò)展性，以后隨著數(shù)據(jù)量的增加也可以增加磁盤陣列等。

4．可以做到異地備份，真正的做到了有備無患。

第五篇：數(shù)據(jù)中心容災(zāi)備份方案

數(shù)據(jù)保護(hù)系統(tǒng)

醫(yī)院備份、容災(zāi)及歸檔數(shù)據(jù)容災(zāi)

解決方案

1、前言

在醫(yī)院信息化建設(shè)中，HIS、PACS、RIS、LIS 等臨床信息系統(tǒng)得到廣泛應(yīng)用。醫(yī)院信息化 HIS、LIS 和 PACS 等系統(tǒng)是目前各個(gè)醫(yī)院的核心業(yè)務(wù)系統(tǒng)，承擔(dān)了病人診療信息、行政管理信息、檢驗(yàn)信息的錄入、查詢及監(jiān)控等工作，任何的系統(tǒng)停機(jī)或數(shù)據(jù)丟失輕則降低患者的滿意度、醫(yī)院的信譽(yù)丟失，重則引起醫(yī)患糾紛、法律問題或社會(huì)問題。為了保證各業(yè)務(wù)系統(tǒng)的高可用性，必須針對(duì)核心系統(tǒng)建立數(shù)據(jù)安全保護(hù)，做到“不停、不丟、可追查”，以確保核心業(yè)務(wù)系統(tǒng)得到全面保護(hù)。

隨著電子病歷新規(guī)在 4 月 1 日的正式施行，《電子病歷應(yīng)用管理規(guī)范（試行）》要求電子病歷的書寫、存儲(chǔ)、使用和封存等均需按相關(guān)規(guī)定進(jìn)行，根據(jù)規(guī)范，門(急)診電子病歷由醫(yī)療機(jī)構(gòu)保管的，保存時(shí)間自患者最后一次就診之日起不少于 15 年；住院電子病歷保存時(shí)間自患者最后一次出院之日起不少于 30 年。

2、醫(yī)院備份、容災(zāi)及歸檔解決方案

針對(duì)醫(yī)療衛(wèi)生行業(yè)的特點(diǎn)和醫(yī)院信息化建設(shè)中的主要應(yīng)用，包括：HIS、PACS、RIS、LIS 等，本公司推出基于數(shù)據(jù)保護(hù)系統(tǒng)的多種解決方案，以達(dá)到對(duì)醫(yī)院信息化系統(tǒng)提供全面的保護(hù)以及核心應(yīng)用系統(tǒng)的異地備份容災(zāi)

2.1 數(shù)據(jù)備份解決方案

針對(duì)于醫(yī)院的 HIS、PACS、LIS 等服務(wù)器進(jìn)行數(shù)據(jù)備份時(shí)，數(shù)據(jù)保護(hù)系統(tǒng)的備份架構(gòu)采用三層構(gòu)架。

備份軟件主控層（內(nèi)置一體機(jī)）：負(fù)責(zé)管理制定全域內(nèi)的備份策略和跟蹤客戶端的備份，能夠管理磁盤空間和磁帶庫庫及光盤庫，實(shí)現(xiàn)多個(gè)客戶端的數(shù)據(jù)備份。備份軟件主服務(wù)器是備份域內(nèi)集中管理的核心。

客戶端層（數(shù)據(jù)庫和操作系統(tǒng)客戶端）：其他應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器安裝備份軟件 標(biāo)準(zhǔn)客戶端,通過這個(gè)客戶端完成每臺(tái)服務(wù)器的 LAN 或 LAN-FREE 備份工作。另外，為包含數(shù)據(jù)庫的客戶端安裝數(shù)據(jù)庫代理程序，從而保證數(shù)據(jù)庫的在線熱備份。備份介質(zhì)層（內(nèi)置虛擬帶庫）：主流備份介質(zhì)有備份存儲(chǔ)或虛擬帶庫等磁盤介質(zhì)、物理磁帶庫等，一般建議將備份存儲(chǔ)或虛擬帶庫等磁盤介質(zhì)作為一級(jí)備份介質(zhì)，用于近期的備份數(shù)據(jù)存放，將物理磁帶庫或者光盤庫作為二級(jí)備份介質(zhì)，用于長期的備份數(shù)據(jù)存放。

2.2 應(yīng)用級(jí)容災(zāi)解決方案

實(shí)時(shí)保護(hù)，可實(shí)現(xiàn)對(duì)醫(yī)院信息系統(tǒng)中核心業(yè)務(wù)系統(tǒng)的持續(xù)數(shù)據(jù)保護(hù)。在核心業(yè)務(wù)系統(tǒng)應(yīng)用數(shù)據(jù)寫入被保護(hù)服務(wù)器自身存儲(chǔ)的同時(shí)，寫入存儲(chǔ)設(shè)備中，顆粒度到秒級(jí)，最佳情況下可實(shí)現(xiàn)零數(shù)據(jù)丟失，通過鏡像功能保證連接的磁盤陣列中的數(shù)據(jù)與被保護(hù)的數(shù)據(jù)完全一致。同時(shí)，利用截獲每個(gè)寫I/O 功能并進(jìn)行記錄，并且可基于時(shí)間點(diǎn)的快照進(jìn)行回滾，此功能能夠在被保護(hù)服務(wù)器發(fā)生邏輯錯(cuò)誤時(shí)，快速有效地進(jìn)行每 I/O 節(jié)點(diǎn)或快照點(diǎn)的掛載，避免邏輯錯(cuò)誤造成的數(shù)據(jù)損壞。當(dāng)存儲(chǔ)系統(tǒng)宕機(jī)等災(zāi)難發(fā)生時(shí)，采用快速掛載功能，可以最快在分鐘級(jí)別內(nèi)迅速恢復(fù)前端應(yīng)用或數(shù)據(jù)庫服數(shù)據(jù)功能，保證業(yè)務(wù)的連續(xù)性。

分流器：截取主機(jī)寫操作(塊級(jí)別), 主機(jī)每次對(duì)被保護(hù)磁盤的寫操作均被鏡像寫入到鏡像數(shù)據(jù)寫入過程在主機(jī)的主存儲(chǔ)讀寫路徑之外。

數(shù)據(jù)卷：保存主機(jī)分流器寫入的所有數(shù)據(jù)。

記錄卷和一致性代理：保存主機(jī)分流器寫入的 I/O 記錄根據(jù)應(yīng)用特點(diǎn) , 通過技術(shù)中的一致性代理實(shí)現(xiàn)對(duì) ORACLE、MS SQL 等數(shù)據(jù)庫在保存應(yīng)用數(shù)據(jù)一致性快照使數(shù)據(jù)能夠快速恢復(fù)到任意 I/O 記錄。2.3數(shù)據(jù)系統(tǒng)長期歸檔解決方案

可通過高級(jí)備份功能，把電子病歷、PACS 影像等數(shù)據(jù)備份到內(nèi)置空間后，歸檔一份到光存儲(chǔ)中，通過光存儲(chǔ)的可長期保留特性，實(shí)現(xiàn)數(shù)據(jù)的長期保留（最長可到 100 年以上），滿足法規(guī)要求。

2.4數(shù)據(jù)系統(tǒng)容災(zāi)解決方案

數(shù)據(jù)保護(hù)系統(tǒng)內(nèi)置災(zāi)備功能，可實(shí)現(xiàn)數(shù)據(jù)及應(yīng)用級(jí)別的容災(zāi)，可支持一對(duì)一，多對(duì)一等多種拓樸架構(gòu)，系統(tǒng)可互為源端及目標(biāo)端，完成異地備份、恢復(fù)功能。

1）數(shù)據(jù)級(jí)容災(zāi)：

備份數(shù)據(jù)保存在設(shè)備中，各備份點(diǎn)的數(shù)據(jù)可獨(dú)立管理，可實(shí)現(xiàn)異機(jī)恢復(fù)，提高數(shù)據(jù)的安全性。

2）應(yīng)用級(jí)容災(zāi)：

數(shù)據(jù)保護(hù)系統(tǒng)的 CDP 功能把數(shù)據(jù)持續(xù)保護(hù)在本地設(shè)備時(shí)，并可把本地CDP 數(shù)據(jù)復(fù)制一份到異地，CDP 的卷可以直接在異地直接掛載使用，結(jié)合虛擬機(jī)功能實(shí)現(xiàn)應(yīng)用級(jí)容災(zāi)。

3、方案優(yōu)勢(shì)

數(shù)據(jù)保護(hù)系統(tǒng)提供的數(shù)據(jù)備份、CDP 及歸檔功能一體解決方案，滿足醫(yī)院信息系統(tǒng)的數(shù)據(jù)安全、應(yīng)用級(jí)容災(zāi)及法規(guī)要求（電子病歷數(shù)據(jù)長期保存的要求）的業(yè)務(wù)需求，解決方案優(yōu)勢(shì)如下：

1）軟硬一體化結(jié)構(gòu)，數(shù)據(jù)保護(hù)系統(tǒng)是多功能于一體的數(shù)據(jù)保護(hù)設(shè)備。包含了備份、CDP、存儲(chǔ)（FC、ISCSI 及 NAS）及數(shù)據(jù)歸檔等多種功能，更加經(jīng)濟(jì)實(shí)用。并且部署簡單，插入網(wǎng)線后進(jìn)行簡單配置后即可開始使用。

2）支持 FC、千兆及萬兆網(wǎng)絡(luò)等鏈路，靈活部署。

3）在同一臺(tái)設(shè)備支持部署定時(shí)備份、CDP 功能，針對(duì)不同應(yīng)用級(jí)別提供不同的保護(hù)方式。

4）具備遠(yuǎn)程復(fù)制功能，兩臺(tái)以上的設(shè)備可以實(shí)現(xiàn)遠(yuǎn)程復(fù)制，任意兩臺(tái)設(shè)備都可以作為發(fā)送端與接收端進(jìn)行相互的遠(yuǎn)程復(fù)制，實(shí)現(xiàn)異地容災(zāi)，使數(shù)據(jù)更加安全。

5）具有高級(jí)備份功能，能實(shí)現(xiàn) PACS 等大量的非結(jié)構(gòu)化數(shù)據(jù)的不打包備份，可實(shí)現(xiàn) 100TB 級(jí)別以上的非結(jié)構(gòu)化數(shù)據(jù)的光盤庫出庫歸檔，同時(shí)采用高級(jí)備份時(shí)光盤庫恢復(fù)可通過備份系統(tǒng)和光盤庫直接恢復(fù)等多種方式恢復(fù)方式，更加安全可靠。

6）運(yùn)維簡單，本方案采用一體化部署，提供統(tǒng)一的運(yùn)維界面，用戶操作簡單，備份歸檔自動(dòng)化完成。同時(shí)也提供完善的系統(tǒng)報(bào)告，方便客戶使用。