信息技術(shù)的快速發(fā)展和社會信息化建設(shè)力度的不斷增強,對信息數(shù)據(jù)的完整性和系統(tǒng)運行的持續(xù)性提出了更為嚴格的要求。信息數(shù)據(jù)海量增 長、信息系統(tǒng)支撐的業(yè)務(wù)高度集中和信息存儲網(wǎng)絡(luò)化,不但使得信息數(shù)據(jù)的重要性日益凸顯,同時也加大了各類風(fēng)險的發(fā)生概率和信息資產(chǎn)的脆弱程度。一旦遭受水 災(zāi)、火災(zāi)、地震、戰(zhàn)爭、恐怖襲擊等大型災(zāi)難,正常社會秩序受到?jīng)_擊,各種矛盾和沖突必將產(chǎn)生,后果嚴重,比如經(jīng)濟損失、社會動蕩、政府失效等。對于公眾機 構(gòu),如何在威脅面前保護信息化的資產(chǎn),提供不間斷的政府服務(wù)是當局者須認真考慮的問題。近幾年,隨著我國稅務(wù)信息化工作的深入開展,主要核心業(yè)務(wù)系統(tǒng)已經(jīng) 逐漸實現(xiàn)省級集中,稅收征管、納稅服務(wù)、行政后勤等主要稅收工作的集中程度大幅提高。如何保障升級數(shù)據(jù)中心持續(xù)、穩(wěn)定運行已經(jīng)引起高度關(guān)注,容災(zāi)備份建設(shè) 已經(jīng)成為當時稅務(wù)信息化的重點工作之一。
一、“金稅”工程三期對容災(zāi)備份體系建設(shè)的規(guī)劃
按照“金稅”工程三期規(guī)劃,總局在廣東南海建成南海數(shù)據(jù)中心。南海數(shù)據(jù)中心作為總局數(shù)據(jù)中心的災(zāi)備中心,主要服務(wù)范圍包括總局和71個省(自治區(qū)、 直轄市、計劃單列市)級國稅局和地稅局的數(shù)據(jù)中心,其最終目標是為各單位提供由總局統(tǒng)一組織開發(fā)的主要核心業(yè)務(wù)系統(tǒng)的應(yīng)用級災(zāi)備,為總局提供核心業(yè)務(wù)系統(tǒng) 以外的其他系統(tǒng)的數(shù)據(jù)及災(zāi)難備份服務(wù)。
南海數(shù)據(jù)中心面向總局的災(zāi)備恢復(fù)內(nèi)容,具體包括提供征收管理系統(tǒng)、行政管理系統(tǒng)、決策支持系統(tǒng)以及與核心業(yè)務(wù)系統(tǒng)相關(guān)的部分外部信息系統(tǒng)的應(yīng)用及災(zāi) 難備份恢復(fù)和CA/RA認證系統(tǒng)的應(yīng)用級恢復(fù),對其他系統(tǒng)則提供數(shù)據(jù)機災(zāi)難備份恢復(fù)服務(wù)。面向省級國、地稅局的恢復(fù),具體包括提供征收管理系統(tǒng)以及與核心 業(yè)務(wù)系統(tǒng)相關(guān)的部分外部信息系統(tǒng)的應(yīng)用及災(zāi)難備份恢復(fù),對其他系統(tǒng)提供數(shù)據(jù)機災(zāi)難備份恢復(fù)服務(wù)。
在災(zāi)難恢復(fù)能力方面,南海數(shù)據(jù)中心的建設(shè)目標是保 證北京數(shù)據(jù)中心和兩個以上省級數(shù)據(jù)中心同時發(fā)生災(zāi)難時,具備核心業(yè)務(wù)應(yīng)用系統(tǒng)的接管能力,同時還要保證為其他未發(fā)生災(zāi)難的總局或省級單位提供數(shù)據(jù)級容災(zāi)備 份。
在災(zāi)備恢復(fù)等級規(guī)劃方面,南海數(shù)據(jù)中心的設(shè)計必須達到國家規(guī)定的災(zāi)難恢復(fù)等級五級標準,其災(zāi)難恢復(fù)時間和恢復(fù)點目標為核心業(yè)務(wù)應(yīng)用系統(tǒng)災(zāi)難恢復(fù)時間 (RTO)≤48小時,恢復(fù)點目標(RPO)≤24小時。
二、深圳國稅同城異址項目建設(shè)實踐
1、深圳國稅信息系統(tǒng)建設(shè)概況
深圳國稅信息系統(tǒng)應(yīng)用架構(gòu)基本采用了三層架構(gòu),數(shù)據(jù)的存儲和保管全面實現(xiàn)市級大集中。主機以IBM小型機和PC服務(wù)器為主,存儲設(shè)備有EMC DMX和IBM SHARK,備份設(shè)備有IBM 3584磁帶庫,數(shù)據(jù)庫基本使用Oracle 9I,應(yīng)用服務(wù)器使用WEBLOGIC。
2、深圳國稅信息系統(tǒng)運行存在風(fēng)險分析
(1) 單點故障的風(fēng)險。在避免信息系統(tǒng)單點故障方面,目前已經(jīng)采取了必要措施,重要系統(tǒng)應(yīng)用服務(wù)器采用WEBLOGIC集群方式,數(shù)據(jù)庫的部署采 用Oracle RAC方式,數(shù)據(jù)存儲采用RAID O+1或RAID 5保護方式。但是,仍然存在單點故障的風(fēng)險,如存儲設(shè)備本身和生產(chǎn)中心機房。
(2) 本地磁帶庫進行數(shù)據(jù)備份、恢復(fù)的風(fēng)險。目前數(shù)據(jù)備份做法是對本地數(shù)據(jù)通過TSM每天進行兩次增量備份,每周進行兩次全量備份,每天的備份磁 帶復(fù)制一份通過郵遞方式異地存放。這種做法存在風(fēng)險包括:磁帶備份的數(shù)據(jù)恢復(fù)時間較長;當機房出現(xiàn)重大自然災(zāi)害后異地存放的磁帶無法進行數(shù)據(jù)恢復(fù);磁帶庫 備份策略無法快速、靈活地恢復(fù)由人為操作失誤造成的數(shù)據(jù)丟失。
3、深圳國稅同城異址容災(zāi)備份建設(shè)的必要性
(1) 同城異址備份站點建設(shè)周期較短,能有效填補時間空擋。總局南海數(shù)據(jù)中心面向全國國稅、地稅71個省級單位提供災(zāi)備服務(wù),由于涉及省級單位數(shù) 量多,各地管理水平和技術(shù)水平參差不齊,基礎(chǔ)設(shè)施建設(shè)狀況有別,因此總局容災(zāi)建設(shè)無法短期完成。深圳國稅目前已有大量的業(yè)務(wù)系統(tǒng)在運行,如何在總局容災(zāi)建 設(shè)完成之前保障數(shù)據(jù)的安全和業(yè)務(wù)的連續(xù)成為一項重要的工作。同城異址備份站點建設(shè)因建設(shè)周期較短,可以有效填補時間空擋。
(2) 同城異址備份站點能夠?qū)崿F(xiàn)本地自行開發(fā)系統(tǒng)的容災(zāi)備份。南海數(shù)據(jù)中心為各省提供的容災(zāi)服務(wù)只限于總局推廣的業(yè)務(wù)系統(tǒng),深圳國稅自行開發(fā)的重 要應(yīng)用系統(tǒng)如EAI、銀稅、網(wǎng)上業(yè)務(wù)系統(tǒng)等不在總局服務(wù)范圍內(nèi)。同城異址備份站點能夠?qū)崿F(xiàn)這些系統(tǒng)和數(shù)據(jù)的容在備份,室總局南海數(shù)據(jù)中心的有益補充。
(3) 同城異址備份站點既能實現(xiàn)應(yīng)用級的容災(zāi)備份,又可作為第二生產(chǎn)中心分擔運行壓力。同城異址備份站點因為與生產(chǎn)中心、區(qū)分局辦稅服務(wù)大廳的距 離相對接近,對容災(zāi)備份建設(shè)的網(wǎng)絡(luò)資源要求比較低,比較容易實現(xiàn)應(yīng)用級的容災(zāi)備份和災(zāi)難后的快速恢復(fù);同時,備份站點建成后,還可由備份站點提供數(shù)據(jù)分 析、查詢、開發(fā)測試等服務(wù),甚至還可作為第二生產(chǎn)中心,運行部分業(yè)務(wù)系統(tǒng),與主生產(chǎn)中心互為補充。
4、深圳國稅同城異址容災(zāi)備份建設(shè)的目標及原則
深圳國稅同城一直容災(zāi)備份建設(shè)的目標:一是保障數(shù)據(jù)安全,備份站點能為生產(chǎn)中心保留一份完整的、可供災(zāi)難恢復(fù)的數(shù)據(jù);二是保障災(zāi)后業(yè)務(wù)及時恢復(fù),災(zāi) 難發(fā)生后,備份站點能在確定的時間內(nèi)接替生產(chǎn)中心的運行,并重新提供業(yè)務(wù)服務(wù);三是提高災(zāi)難抵御能力,減少災(zāi)難打擊造成的經(jīng)濟損失和社會影響。
深圳國稅同城異址容災(zāi)備份建設(shè)遵循的原則:一是統(tǒng)籌規(guī)劃,建設(shè)過程中做好資源整合,堅持統(tǒng)籌規(guī)劃、分步實施;二是等級保護,針對面臨的風(fēng)險和各項業(yè) 務(wù)停頓所帶來的損失進行分析,確定災(zāi)備渠道和業(yè)務(wù)恢復(fù)時間目標,選擇合適的災(zāi)備方案;三是資源共享,充分利用現(xiàn)有資源;四是平戰(zhàn)結(jié)合,在不影響災(zāi)難備份與 恢復(fù)的前提下,充分利用災(zāi)備中心的各類資源,開展培訓(xùn)、演練、開發(fā)、數(shù)據(jù)應(yīng)用等業(yè)務(wù)。
5、深圳國稅同城異址容災(zāi)備份實施情況
(1) 系統(tǒng)架構(gòu)及設(shè)備部署。深圳國稅同城異址容災(zāi)備份系統(tǒng)架構(gòu)如圖2所示。在數(shù)據(jù)復(fù)制工具軟件選型方面,經(jīng)多款工具軟件試用比較,最后采用飛康公司的CDP持續(xù)數(shù)據(jù)復(fù)制軟件。在設(shè)備部署工作中,首先在生產(chǎn)中心配置一臺裝有復(fù)制軟件的飛康CDP管理服務(wù)器,實現(xiàn)生產(chǎn)系統(tǒng)數(shù)據(jù)實時保護,同時向災(zāi)備中心實時復(fù)制數(shù)據(jù);然后在災(zāi) 備中心配置一臺裝有數(shù)據(jù)復(fù)制軟件的管理服務(wù)器,實現(xiàn)遠程數(shù)據(jù)復(fù)制和快速恢復(fù)。
(2) 本地數(shù)據(jù)的保護。采用磁盤鏡像保護方法,實現(xiàn)本地數(shù)據(jù)保護。通過IBM操作系統(tǒng)提供的邏輯卷管理鏡像功能實現(xiàn)“原主存儲系統(tǒng)”到“飛康CDP存儲系統(tǒng)”的本地數(shù)據(jù)實時保護,這種保護模式可以有效應(yīng)對因本地存儲設(shè)備的單點 故障引起的數(shù)據(jù)災(zāi)難。在“主存儲”系統(tǒng)發(fā)生設(shè)備故障時,飛康CDP系統(tǒng)可以立即提供存儲服務(wù),接管生產(chǎn)存儲。通過飛康CDP設(shè)備提供的邏輯快照功能,還可獲得多達256個全備份歷史點。這種多備份歷史點 的模式可以應(yīng)對任何數(shù)據(jù)邏輯故障,包括數(shù)據(jù)庫邏輯錯誤、人為錯誤操作和病毒等引起的數(shù)據(jù)丟失、文件丟失、數(shù)據(jù)庫崩潰等。
(3) 遠程數(shù)據(jù)復(fù)制和容災(zāi)。在生產(chǎn)中心和容災(zāi)備份站點之間,通過數(shù)據(jù)復(fù)制工具實現(xiàn)生產(chǎn)數(shù)據(jù)遠程實時容災(zāi)備份,當生產(chǎn)環(huán) 境發(fā)生在難后,備份站點完成業(yè)務(wù)接管。
圖 深圳國稅同城異址容災(zāi)備份系統(tǒng)架構(gòu)
(4) 容災(zāi)備份恢復(fù)演練。演練在容災(zāi)建設(shè)工作中必不可少,通過演練可以幫助管理人員提高操作水平,提高應(yīng)急恢復(fù)速度;演練工作同時需要控制風(fēng)險, 降低對生產(chǎn)系統(tǒng)的影響。演練實現(xiàn)方式有兩種:一是定期或隨時利用容災(zāi)中心的飛康CDP所提供的多點快照,加載快照到容災(zāi)主機,同時啟動容災(zāi)數(shù)據(jù)庫和應(yīng)用進行演練和驗 證;二是切斷復(fù)制鏈路,直接提取容災(zāi)中心的數(shù)據(jù)盤,啟動容災(zāi)中心應(yīng)用,業(yè)務(wù)演練驗證后既可以將生產(chǎn)端數(shù)據(jù)同步于災(zāi)備端數(shù)據(jù),消除災(zāi)備端由與演練產(chǎn)生的垃圾 數(shù)據(jù),又可以將災(zāi)備段數(shù)據(jù)同步于生產(chǎn)端數(shù)據(jù),保留由于演練產(chǎn)生的真實數(shù)據(jù)。
6、深圳國稅同城異址容災(zāi)備份建設(shè)特點及效益評估
深圳國稅同城異址容災(zāi)備份建設(shè),具有以下幾個特點:一是不僅能夠完成硬件設(shè)備出現(xiàn)故障后的業(yè)務(wù)恢復(fù),而且還可以實現(xiàn)最為常見的數(shù)據(jù)丟失和人為錯誤出 現(xiàn)后的業(yè)務(wù)恢復(fù);二是生產(chǎn)中心與災(zāi)備中心的主機和存儲設(shè)備不受生產(chǎn)廠商和型號的限制,主備中心平臺無緊密關(guān)聯(lián);三是數(shù)據(jù)復(fù)制通過TCP/IP協(xié)議傳輸,數(shù) 據(jù)分割為較小的單元,大幅節(jié)省網(wǎng)絡(luò)傳輸資源;四是可以生成256份不同時間點的數(shù)據(jù)拷貝,這些虛擬的數(shù)據(jù)拷貝可供其他應(yīng)用系統(tǒng)使用,如軟件測試、查詢與備 份;五是采用差異比對技術(shù),大幅提高容災(zāi)演練、容災(zāi)系統(tǒng)恢復(fù)過程的效率和可操作性,復(fù)雜過程簡單化;六是采用集成的容災(zāi)備份管理和全圖形化的容災(zāi)備份系統(tǒng) 操作界面,原本非常復(fù)雜的容災(zāi)備份系統(tǒng)管理變得極其簡單。
深圳國稅同城異址容災(zāi)備份建成使用后,取得了良好的效益:提高了同城異址容災(zāi)備份能力,能夠防御一定級別的災(zāi)難,確保信息系統(tǒng)在災(zāi)難發(fā)生時可以繼續(xù) 提供服務(wù);災(zāi)備中心通過臨時租用電信沙河機房的方式,有利于容災(zāi)工作網(wǎng)絡(luò)架構(gòu)的建設(shè),節(jié)省了網(wǎng)絡(luò)資源的運營費用,同時可以充分利用運營商專業(yè)的機房管理服 務(wù);采用的備份技術(shù)能夠支持當前各種品牌、檔次的主機、存儲設(shè)備,在主、備站點靈活選擇設(shè)備可以大幅降低硬件投入;多份不同時間點的數(shù)據(jù)拷貝可以同時用于 開發(fā)測試、數(shù)據(jù)應(yīng)用、數(shù)據(jù)歸檔、數(shù)據(jù)備份等工作,大幅減少了存儲資源的資金投入;本地數(shù)據(jù)保護的備份功能避免了以前磁帶庫備份遇到的各種困擾,減少了備份 設(shè)備的資金投入;系統(tǒng)總局投入成本低,而且維護簡單,災(zāi)難恢復(fù)演練和實時操作提供圖形界面,操作簡單便捷,大幅降低了后期系統(tǒng)維護資金的投入。
7、深證國稅未來工作規(guī)劃
(1) 建立和完善業(yè)務(wù)連續(xù)性管理體系。管理體系包括災(zāi)難事故的預(yù)防機制和應(yīng)急機制。根據(jù)總局“金稅”工程三期的指導(dǎo)建議,結(jié)合深圳國稅同城異址容 災(zāi)備份建設(shè)的實際情況,業(yè)務(wù)連續(xù)性管理體系建設(shè)應(yīng)由易到難、分步實施、不斷完善、逐步實現(xiàn),最終達到全面持續(xù)管理。制訂、完善用于災(zāi)難事件響應(yīng)和控制突發(fā) 事件損失的制度、流程和應(yīng)對措施,包括進行出事響應(yīng)和緊急處理、損害評估、災(zāi)難等級識別、建立和管理應(yīng)急指揮中心、災(zāi)難公告制度等,使得災(zāi)難發(fā)生后能夠快 速地恢復(fù)業(yè)務(wù)系統(tǒng)運行和業(yè)務(wù)運作;制定和完善業(yè)務(wù)連續(xù)性計劃,設(shè)計、制定業(yè)務(wù)連續(xù)性計劃;完成災(zāi)難備份系統(tǒng)和業(yè)務(wù)恢復(fù)體系的建設(shè);災(zāi)難恢復(fù)預(yù)案的驗證。對 容災(zāi)備份體系和預(yù)案進行測試演練,記錄和評估測試演練的結(jié)果,驗證災(zāi)備體系的技術(shù)實施可靠性,完善災(zāi)難恢復(fù)預(yù)案,保持業(yè)務(wù)連續(xù)運行能力;災(zāi)備系統(tǒng)安全管 理。包括運維管理安全、機房物理安全、系統(tǒng)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、媒體數(shù)據(jù)安全和文檔安全等;災(zāi)備系統(tǒng)運行維護和保障。建立完善的運維管理制度,規(guī)范 生產(chǎn)中心和災(zāi)備中心的運維基本操作及切換、演練等操作,制訂包括災(zāi)備系統(tǒng)集中監(jiān)控、網(wǎng)絡(luò)系統(tǒng)監(jiān)控維護、磁帶介質(zhì)管理、災(zāi)備服務(wù)器維護、運行支持熱線和服務(wù) 商管理的統(tǒng)一變更流程。
(2) 沙井備份站點建設(shè)。在沙河電信機房過渡方案基礎(chǔ)上,深圳國稅備份站點將選用寶安國稅沙井分局辦公大樓,在該大樓建設(shè)占地面積800平方米的 備份機房。沙井備份站點的建設(shè)工作將成為深圳國稅信息化下一步工作的重點,工作內(nèi)容包括機房基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)改造、人員組織架構(gòu)建設(shè)、容災(zāi)系統(tǒng)建設(shè)及維 護。備份站點建成之后,將實現(xiàn)更多業(yè)務(wù)系統(tǒng)的應(yīng)用級備份。
