单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,在线教务辅导网：:/,教材其余课件及动画素材请查阅在线教务辅导网,QQ:,349134187,或者直接输入下面地址：,信息平安技术,周苏,教授,QQ:81505050,第 9 章 信息平安管理与灾难恢复,9.1 信息平安管理与工程,9.2 信息灾难恢复规划,9.2,信息灾难恢复规划,9.2.1 数据容灾概述,9.2.2 数据容灾与数据备份的联系,9.2.3 数据容灾等级,9.2.4 容灾技术,9.2.5 实验与思考,9.2,信息灾难恢复规划,在2.2节“数据存储解决方案中，我们了解了“数据备份的有关知识，在本节中，我们继续来学习相关的“容灾技术和“信息灾难恢复规划。,数据备份与效劳器高可用集群技术以及远程容灾技术在本质上是有所区别的。虽然这些技术都是为了消除或减弱意外事件给系统带来的影响，但是，由于其侧重的方向不同，实现的手段和产生的效果也不尽相同。,9.2,信息灾难恢复规划,备份技术的目的，是将整个系统的数据或状态保存下来，这种方式不仅可以挽回硬件设备坏损带来的损失，也可以挽回逻辑错误和人为恶意破坏的损失。但是，数据备份技术并不保证系统的实时可用性。也就是说，一旦意外发生，备份技术只保证数据可以恢复，但是恢复过程需要一定的时间，在此期间，系统是不可用的。,9.2,信息灾难恢复规划,而集群和容灾技术的目的是为了保证系统的可用性。也就是说，当意外发生时，系统所提供的效劳和功能不会因此而间断。对数据而言，集群和容灾技术是保护系统的在线状态，保证数据可以随时被访问。,在具有一定规模的系统中，备份技术、集群技术和容灾技术互相不可替代，并且稳定和谐地配合工作，共同保证着系统的正常运转。,9.2.1 数据容灾概述,严格地说，容灾方案包括一系列应急方案，如：,1)业务持续方案(BCP)。这是一套用来降低组织的重要营运功能遭受意料之外的中断风险的作业程序。它可以是人工或自动系统，目的是使一个组织及其信息系统在灾难事件发生时仍可以继续运作。,2)业务恢复方案(BRP)。也叫业务继续方案，涉及紧急事件后对业务处理的恢复，但与BCP不同，它在整个紧急事件或中断过程中缺乏确保关键处理的连续性的规程。BRP的制定应该与灾难恢复方案及BCP进行协调。,9.2.1 数据容灾概述,3)操作连续性方案(COOP)。COOP关注位于机构(通常是总部单位)备用站点的关键功能以及这些功能在恢复到正常操作状态之前最多30天的运行。由于COOP涉及总部级的问题，它和BCP是互相独立制定和执行的。COOP的标准要素包括职权条款、连续性的顺序、关键记录和数据库。由于COOP强调机构在备用站点恢复运行中的能力，所以该方案通常不包括IT运行方面的内容。另外，它不涉及无需重新配置到备用地点的小型危害。,9.2.1 数据容灾概述,4)事件响应方案(IRP)。它建立了处理针对机构的IT系统攻击的规程。这些规程用来协助平安人员对有害的计算机事件进行识别、消减并进行恢复。,5)场所紧急方案(OEP)。它在可能对人员的平安健康、环境或财产构成威胁的事件发生时，为设施中的人员提供反响规程。OEP在设施级别进行制定，与特定的地理位置和建筑结构有关。,9.2.1 数据容灾概述,6)危机通信方案(CCP)。机构应该在灾难之前做好其内部和外部通信规程的准备工作。危机通信方案(CCP)通常由负责公共联络的机构制定。危机通信方案规程应该和所有其他方案协调，以确保只有受到批准的内容公之于众，它应该作为附录包含在BCP中。通信方案通常指定特定的人员作为在灾难反响中答复公众问题的唯一发言人。它还可以包括向个人和公众散发状态报告的规程，如记者招待会的模板。,9.2.1 数据容灾概述,7)灾难恢复方案(DRP)。它应用于重大的、通常是灾难性的、造成长时间无法对正常设施进行访问的事件。通常，DRP指用于紧急事件后在备用站点恢复目标系统、应用或计算机设施运行的IT方案。但是DRP的范围比较狭窄，它不涉及无需重新配置的小型危害。,9.2.2 数据容灾与数据备份的联系,数据容灾与数据备份的联系主要表达在:,1)数据备份是数据容灾的根底。数据备份是数据高可用的最后一道防线，其目的是为了系统数据崩溃时能够快速恢复数据。虽然它也算一种容灾方案，但这种容灾能力非常有限，因为传统的备份主要是采用数据内置或外置的磁带机进行冷备份，备份磁带同时也在机房中统一管理，一旦整个机房出现了灾难。如火灾、盗窃和地震等灾难时，这些备份磁带也随之销毁，所存储的磁带备份起不到任何容灾功能。,9.2.2 数据容灾与数据备份的联系,2)容灾不是简单备份。真正的数据容灾就是要防止传统冷备份具有先天缺乏，它能在灾难发生时，全面、及时地恢复整个系统：容灾按其容灾能力的上下可分为多个层次。,例如，国际标准SHARK 78定义的容灾系统有三类7个等级：从最简单的仅在本地进行磁带备份，到将备份的磁带存储在异地，再到建立应用系统实时切换的异地备份系统，恢复时间也可以从几天到小时级到分钟级、秒级或0数据丧失等。,9.2.2 数据容灾与数据备份的联系,无论是采用哪种容灾方案，数据备份还是最根底的，没有备份的数据，任何容灾方案都没有现实意义。但光有备份是不够的，容灾也必不可少。容灾对于IT而言，就是提供一个能防止各种灾难的计算机信息系统。从技术上看，衡量容灾系统有两个主要指标：RPO和RTO。RPO代表当灾难发生时允许丧失的数据量；RTO代表系统恢复的时间。,3)容灾是一个工程。它不仅包括容灾技术，还应有一整套容灾流程、标准及其具体措施。,9.2.3 数据容灾等级,般地，我们将容灾等级划分为以下4个等级。,第0级：本地备份、本地保存的冷备份。这一级容灾备份，实际上就是上面所指的数据备份。它的容灾恢复能力最弱，它只在本地进行数据备份，并且被备份的数据磁带只在本地保存，没有送往异地。,9.2.3 数据容灾等级,第l级：本地备份、异地保存的冷备份。在本地将关键数据备份，然后送到异地保存，如交由银行保管。灾难发生后，按预定数据恢复程序恢复系统和数据。这种容灾方案也是采用磁带机等存储设备进行本地备份，同样还可以选择磁带库、光盘库等存储设备。,第2级：热备份站点备份。在异地建立一个热备份点，通过网络进行数据备份。二就是通过网络以同步或异步方式，把主站点的数据备份到备份站点。备份站点一般只备份数据，不承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的连续性,9.2.3 数据容灾等级,第3级：活动互援备份。这种异地容灾方案与前面介绍的热备份站点备份方案差不多，不同的只是主、从系统不再是固定的，而是互为对方的备份系统。这两个数据中心系统分别在相隔较远的地方建立，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另个数据中心接替其工作任务。通常在这两个系统中的光纤设备连接中还提供冗余通道，以备工作通道出现故障时及时接替工作，采取这种容灾方式的主要是资金实力较雄厚的大型企业和电信级企业。,9.2.4 容灾技术,在建立容灾备份系统时会涉及多种技术，如SAN或NAS技术、远程镜像技术、虚拟存储、基于IP的SAN的互连技术、快照技术等。,9.2.4 容灾技术,(1)远程镜像技术,远程镜像技术是在主数据中心和备援中心之间的数据备份时用到。镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程，一个叫主镜像系统，另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。,9.2.4 容灾技术,远程镜像又叫远程复制，是容灾备份的核心技术，同时也是保持远程数据同步和实现灾难恢复的根底。远程镜像按请求镜像的主机是否需要远程镜像站点确实认信息，又可分为同步远程镜像和异步远程镜像。,9.2.4 容灾技术,同步远程镜像(同步复制技术)是指通过远程镜像软件，将本地数据以完全同步的方式复制到异地，每一本地的I/O事务均需要等待远程复制的完成确认信息，方予以释放。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配。当主站点出现故障时，用户的应用程序切换到备份的替代站点后，被镜像的远程副本可以保证业务继续执行而没有数据的丧失。但它存在往返传播造成延时较长的缺点，只限于在相对较近的距离上应用。,9.2.4 容灾技术,异步远程镜像(异步复制技术)保证在更新远程存储视图前完成向本地存储系统的根本I/O操作，而由本地存储系统提供给请求镜像主机的I/O操作完成确认信息。远程的数据复制是以后台同步的方式进行的，这使本地系统性能受到的影响很小，传输距离长(可达l 000km以上)，对网络带宽要求小。但是，许多远程的附属存储子系统的写没有得到确认，当某种因素造成数据传输失败，可能出现数据一致性问题。为解决这个问题，目前大多采用延迟复制的技术，即在确保本地数据完好无损后进行远程数据更新。,9.2.4 容灾技术,(2)快照技术,远程镜像技术往往同快照技术结合起来实现远程备份，即通过镜像把数据备份到远程存储系统中，再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。,9.2.4 容灾技术,快照是通过软件对要备份的磁盘子系统的数据快速扫描，建立一个要备份数据的快照逻辑单元号LUN和快照cache，在快速扫描时，把备份过程中即将要修改的数据块同时快速拷贝到快照cache中。快照LUN是一组指针，它指向快照cachc和磁盘子系统中不变的数据块(在备份过程中)。,9.2.4 容灾技术,在正常业务进行的同时，利用快照LUN实现对原数据的一个完全的备份。它可使用户在正常业务不受影响的情况下，实时提取当前在线业务数据。其“备份窗口接近于零，可大大增加系统业务的连续性，为实现系统真正的724运转提供了保证。快照是通过内存作为缓冲区(快照cache)，由快照软件提供系统磁盘存储的即时数据映像，它存在缓冲区调度的问题。,9.2.4 容灾技术,(3)互连技术,早期的主数据中心和备援数据中心之间的数据备份，主要是基于SAN的远程复制(镜像)，即通过光纤通道FC，把两个SAN连接起来，进行远程镜像(复制)。当灾难发生时，由备援数据中心替代主数据中心保证系统工作的连续性。这种远程容灾备份方式存在一些缺陷，如实现本钱高、设备的互操作性差、跨越的地理距离短(10km)等，这些因素阻碍了它的进一步推广和应用。,9.2.4 容灾技术,目前，出现了多种基于IP的SAN的远程数据容灾备份技术。它们是利用基于IP的SAN的互连协议，将主数据中心SAN中的信息通过现有的TCP/IP网络远程复制到备援中心SAN中。当备援中心存储的数据量过大时，可以利用快照技术将其备份到磁带库或光盘库中。这种基于IP的SAN的远程容灾备份，可以跨越LAN、MAN和WAN，本钱低、可扩展性好，具有广阔的开展前景。基于IP的互连协议包括FCIP、iFCP、Infiniband、iSCSI等。,9.2.4 容灾技术,(4)虚拟存储,在有些容灾方案产品中，还采取了虚拟存储技术。虚拟化存储技术在系统弹性和可扩展性上开创了新的局面。它将几个IDE或SCSI驱动器等不同的存储设备串联为一个存储池。存储集群的整个存储容量可以分为多个逻辑卷，并作为虚拟分区进行管理。存储由此成为一种功能而非物理属性，而这正是基于效劳器的存储结构存在的主要限制。,9.2.4 容灾技术,虚拟存储系统还提供了动态改变逻辑卷大小的功能。事实上，存储卷的容量可以在线随意增加或减少。可以通过在系统中增加或减少物理磁盘的数量来改变集群中逻辑卷的大小。这一功能允许卷的容量随用户的即时要求动态改变。另外，存储卷能够很容易地改变容量，移动和替换。安装系统时，只需为每个逻辑卷分配最小的容量，并在磁盘上留出剩余的空间。随着业务的开展，可以用剩余空间根据需要扩展逻辑卷。也可以将数据在线从旧驱动器转移到新的驱动器上，而不中断效劳的运行。,9.2.4 容灾技术,存储虚拟化的一个关键优势是它允许异质系统和应用程序共享存储设备，而不管它们位于何处。公司将不再需要在每个分部的效劳器上都连接一台磁带设