信息技術(shù)的快速發(fā)展和社會信息化建設(shè)力度的不斷增強,對信息數(shù)據(jù)的完整性和系統(tǒng)運行的持續(xù)性提出了更為嚴格的要求。信息數(shù)據(jù)海量增 長、信息系統(tǒng)支撐的業(yè)務高度集中和信息存儲網(wǎng)絡(luò)化,不但使得信息數(shù)據(jù)的重要性日益凸顯,同時也加大了各類風險的發(fā)生概率和信息資產(chǎn)的脆弱程度。一旦遭受水 災、火災、地震、戰(zhàn)爭、恐怖襲擊等大型災難,正常社會秩序受到?jīng)_擊,各種矛盾和沖突必將產(chǎn)生,后果嚴重,比如經(jīng)濟損失、社會動蕩、政府失效等。對于公眾機 構(gòu),如何在威脅面前保護信息化的資產(chǎn),提供不間斷的政府服務是當局者須認真考慮的問題。近幾年,隨著我國稅務信息化工作的深入開展,主要核心業(yè)務系統(tǒng)已經(jīng) 逐漸實現(xiàn)省級集中,稅收征管、納稅服務、行政后勤等主要稅收工作的集中程度大幅提高。如何保障升級數(shù)據(jù)中心持續(xù)、穩(wěn)定運行已經(jīng)引起高度關(guān)注,容災備份建設(shè) 已經(jīng)成為當時稅務信息化的重點工作之一。
一、“金稅”工程三期對容災備份體系建設(shè)的規(guī)劃
按照“金稅”工程三期規(guī)劃,總局在廣東南海建成南海數(shù)據(jù)中心。南海數(shù)據(jù)中心作為總局數(shù)據(jù)中心的災備中心,主要服務范圍包括總局和71個省(自治區(qū)、 直轄市、計劃單列市)級國稅局和地稅局的數(shù)據(jù)中心,其最終目標是為各單位提供由總局統(tǒng)一組織開發(fā)的主要核心業(yè)務系統(tǒng)的應用級災備,為總局提供核心業(yè)務系統(tǒng) 以外的其他系統(tǒng)的數(shù)據(jù)及災難備份服務。
南海數(shù)據(jù)中心面向總局的災備恢復內(nèi)容,具體包括提供征收管理系統(tǒng)、行政管理系統(tǒng)、決策支持系統(tǒng)以及與核心業(yè)務系統(tǒng)相關(guān)的部分外部信息系統(tǒng)的應用及災 難備份恢復和CA/RA認證系統(tǒng)的應用級恢復,對其他系統(tǒng)則提供數(shù)據(jù)機災難備份恢復服務。面向省級國、地稅局的恢復,具體包括提供征收管理系統(tǒng)以及與核心 業(yè)務系統(tǒng)相關(guān)的部分外部信息系統(tǒng)的應用及災難備份恢復,對其他系統(tǒng)提供數(shù)據(jù)機災難備份恢復服務。
在災難恢復能力方面,南海數(shù)據(jù)中心的建設(shè)目標是保 證北京數(shù)據(jù)中心和兩個以上省級數(shù)據(jù)中心同時發(fā)生災難時,具備核心業(yè)務應用系統(tǒng)的接管能力,同時還要保證為其他未發(fā)生災難的總局或省級單位提供數(shù)據(jù)級容災備 份。
在災備恢復等級規(guī)劃方面,南海數(shù)據(jù)中心的設(shè)計必須達到國家規(guī)定的災難恢復等級五級標準,其災難恢復時間和恢復點目標為核心業(yè)務應用系統(tǒng)災難恢復時間 (RTO)≤48小時,恢復點目標(RPO)≤24小時。
二、深圳國稅同城異址項目建設(shè)實踐
1、深圳國稅信息系統(tǒng)建設(shè)概況
深圳國稅信息系統(tǒng)應用架構(gòu)基本采用了三層架構(gòu),數(shù)據(jù)的存儲和保管全面實現(xiàn)市級大集中。主機以IBM小型機和PC服務器為主,存儲設(shè)備有EMC DMX和IBM SHARK,備份設(shè)備有IBM 3584磁帶庫,數(shù)據(jù)庫基本使用Oracle 9I,應用服務器使用WEBLOGIC。
2、深圳國稅信息系統(tǒng)運行存在風險分析
(1) 單點故障的風險。在避免信息系統(tǒng)單點故障方面,目前已經(jīng)采取了必要措施,重要系統(tǒng)應用服務器采用WEBLOGIC集群方式,數(shù)據(jù)庫的部署采 用Oracle RAC方式,數(shù)據(jù)存儲采用RAID O+1或RAID 5保護方式。但是,仍然存在單點故障的風險,如存儲設(shè)備本身和生產(chǎn)中心機房。
(2) 本地磁帶庫進行數(shù)據(jù)備份、恢復的風險。目前數(shù)據(jù)備份做法是對本地數(shù)據(jù)通過TSM每天進行兩次增量備份,每周進行兩次全量備份,每天的備份磁 帶復制一份通過郵遞方式異地存放。這種做法存在風險包括:磁帶備份的數(shù)據(jù)恢復時間較長;當機房出現(xiàn)重大自然災害后異地存放的磁帶無法進行數(shù)據(jù)恢復;磁帶庫 備份策略無法快速、靈活地恢復由人為操作失誤造成的數(shù)據(jù)丟失。
3、深圳國稅同城異址容災備份建設(shè)的必要性
(1) 同城異址備份站點建設(shè)周期較短,能有效填補時間空擋。總局南海數(shù)據(jù)中心面向全國國稅、地稅71個省級單位提供災備服務,由于涉及省級單位數(shù) 量多,各地管理水平和技術(shù)水平參差不齊,基礎(chǔ)設(shè)施建設(shè)狀況有別,因此總局容災建設(shè)無法短期完成。深圳國稅目前已有大量的業(yè)務系統(tǒng)在運行,如何在總局容災建 設(shè)完成之前保障數(shù)據(jù)的安全和業(yè)務的連續(xù)成為一項重要的工作。同城異址備份站點建設(shè)因建設(shè)周期較短,可以有效填補時間空擋。
(2) 同城異址備份站點能夠?qū)崿F(xiàn)本地自行開發(fā)系統(tǒng)的容災備份。南海數(shù)據(jù)中心為各省提供的容災服務只限于總局推廣的業(yè)務系統(tǒng),深圳國稅自行開發(fā)的重 要應用系統(tǒng)如EAI、銀稅、網(wǎng)上業(yè)務系統(tǒng)等不在總局服務范圍內(nèi)。同城異址備份站點能夠?qū)崿F(xiàn)這些系統(tǒng)和數(shù)據(jù)的容在備份,室總局南海數(shù)據(jù)中心的有益補充。
(3) 同城異址備份站點既能實現(xiàn)應用級的容災備份,又可作為第二生產(chǎn)中心分擔運行壓力。同城異址備份站點因為與生產(chǎn)中心、區(qū)分局辦稅服務大廳的距 離相對接近,對容災備份建設(shè)的網(wǎng)絡(luò)資源要求比較低,比較容易實現(xiàn)應用級的容災備份和災難后的快速恢復;同時,備份站點建成后,還可由備份站點提供數(shù)據(jù)分 析、查詢、開發(fā)測試等服務,甚至還可作為第二生產(chǎn)中心,運行部分業(yè)務系統(tǒng),與主生產(chǎn)中心互為補充。
4、深圳國稅同城異址容災備份建設(shè)的目標及原則
深圳國稅同城一直容災備份建設(shè)的目標:一是保障數(shù)據(jù)安全,備份站點能為生產(chǎn)中心保留一份完整的、可供災難恢復的數(shù)據(jù);二是保障災后業(yè)務及時恢復,災 難發(fā)生后,備份站點能在確定的時間內(nèi)接替生產(chǎn)中心的運行,并重新提供業(yè)務服務;三是提高災難抵御能力,減少災難打擊造成的經(jīng)濟損失和社會影響。
深圳國稅同城異址容災備份建設(shè)遵循的原則:一是統(tǒng)籌規(guī)劃,建設(shè)過程中做好資源整合,堅持統(tǒng)籌規(guī)劃、分步實施;二是等級保護,針對面臨的風險和各項業(yè) 務停頓所帶來的損失進行分析,確定災備渠道和業(yè)務恢復時間目標,選擇合適的災備方案;三是資源共享,充分利用現(xiàn)有資源;四是平戰(zhàn)結(jié)合,在不影響災難備份與 恢復的前提下,充分利用災備中心的各類資源,開展培訓、演練、開發(fā)、數(shù)據(jù)應用等業(yè)務。
5、深圳國稅同城異址容災備份實施情況
(1) 系統(tǒng)架構(gòu)及設(shè)備部署。深圳國稅同城異址容災備份系統(tǒng)架構(gòu)如圖2所示。在數(shù)據(jù)復制工具軟件選型方面,經(jīng)多款工具軟件試用比較,最后采用飛康公司的CDP持續(xù)數(shù)據(jù)復制軟件。在設(shè)備部署工作中,首先在生產(chǎn)中心配置一臺裝有復制軟件的飛康CDP管理服務器,實現(xiàn)生產(chǎn)系統(tǒng)數(shù)據(jù)實時保護,同時向災備中心實時復制數(shù)據(jù);然后在災 備中心配置一臺裝有數(shù)據(jù)復制軟件的管理服務器,實現(xiàn)遠程數(shù)據(jù)復制和快速恢復。
(2) 本地數(shù)據(jù)的保護。采用磁盤鏡像保護方法,實現(xiàn)本地數(shù)據(jù)保護。通過IBM操作系統(tǒng)提供的邏輯卷管理鏡像功能實現(xiàn)“原主存儲系統(tǒng)”到“飛康CDP存儲系統(tǒng)”的本地數(shù)據(jù)實時保護,這種保護模式可以有效應對因本地存儲設(shè)備的單點 故障引起的數(shù)據(jù)災難。在“主存儲”系統(tǒng)發(fā)生設(shè)備故障時,飛康CDP系統(tǒng)可以立即提供存儲服務,接管生產(chǎn)存儲。通過飛康CDP設(shè)備提供的邏輯快照功能,還可獲得多達256個全備份歷史點。這種多備份歷史點 的模式可以應對任何數(shù)據(jù)邏輯故障,包括數(shù)據(jù)庫邏輯錯誤、人為錯誤操作和病毒等引起的數(shù)據(jù)丟失、文件丟失、數(shù)據(jù)庫崩潰等。
(3) 遠程數(shù)據(jù)復制和容災。在生產(chǎn)中心和容災備份站點之間,通過數(shù)據(jù)復制工具實現(xiàn)生產(chǎn)數(shù)據(jù)遠程實時容災備份,當生產(chǎn)環(huán) 境發(fā)生在難后,備份站點完成業(yè)務接管。
圖 深圳國稅同城異址容災備份系統(tǒng)架構(gòu)
(4) 容災備份恢復演練。演練在容災建設(shè)工作中必不可少,通過演練可以幫助管理人員提高操作水平,提高應急恢復速度;演練工作同時需要控制風險, 降低對生產(chǎn)系統(tǒng)的影響。演練實現(xiàn)方式有兩種:一是定期或隨時利用容災中心的飛康CDP所提供的多點快照,加載快照到容災主機,同時啟動容災數(shù)據(jù)庫和應用進行演練和驗 證;二是切斷復制鏈路,直接提取容災中心的數(shù)據(jù)盤,啟動容災中心應用,業(yè)務演練驗證后既可以將生產(chǎn)端數(shù)據(jù)同步于災備端數(shù)據(jù),消除災備端由與演練產(chǎn)生的垃圾 數(shù)據(jù),又可以將災備段數(shù)據(jù)同步于生產(chǎn)端數(shù)據(jù),保留由于演練產(chǎn)生的真實數(shù)據(jù)。
6、深圳國稅同城異址容災備份建設(shè)特點及效益評估
深圳國稅同城異址容災備份建設(shè),具有以下幾個特點:一是不僅能夠完成硬件設(shè)備出現(xiàn)故障后的業(yè)務恢復,而且還可以實現(xiàn)最為常見的數(shù)據(jù)丟失和人為錯誤出 現(xiàn)后的業(yè)務恢復;二是生產(chǎn)中心與災備中心的主機和存儲設(shè)備不受生產(chǎn)廠商和型號的限制,主備中心平臺無緊密關(guān)聯(lián);三是數(shù)據(jù)復制通過TCP/IP協(xié)議傳輸,數(shù) 據(jù)分割為較小的單元,大幅節(jié)省網(wǎng)絡(luò)傳輸資源;四是可以生成256份不同時間點的數(shù)據(jù)拷貝,這些虛擬的數(shù)據(jù)拷貝可供其他應用系統(tǒng)使用,如軟件測試、查詢與備 份;五是采用差異比對技術(shù),大幅提高容災演練、容災系統(tǒng)恢復過程的效率和可操作性,復雜過程簡單化;六是采用集成的容災備份管理和全圖形化的容災備份系統(tǒng) 操作界面,原本非常復雜的容災備份系統(tǒng)管理變得極其簡單。
深圳國稅同城異址容災備份建成使用后,取得了良好的效益:提高了同城異址容災備份能力,能夠防御一定級別的災難,確保信息系統(tǒng)在災難發(fā)生時可以繼續(xù) 提供服務;災備中心通過臨時租用電信沙河機房的方式,有利于容災工作網(wǎng)絡(luò)架構(gòu)的建設(shè),節(jié)省了網(wǎng)絡(luò)資源的運營費用,同時可以充分利用運營商專業(yè)的機房管理服 務;采用的備份技術(shù)能夠支持當前各種品牌、檔次的主機、存儲設(shè)備,在主、備站點靈活選擇設(shè)備可以大幅降低硬件投入;多份不同時間點的數(shù)據(jù)拷貝可以同時用于 開發(fā)測試、數(shù)據(jù)應用、數(shù)據(jù)歸檔、數(shù)據(jù)備份等工作,大幅減少了存儲資源的資金投入;本地數(shù)據(jù)保護的備份功能避免了以前磁帶庫備份遇到的各種困擾,減少了備份 設(shè)備的資金投入;系統(tǒng)總局投入成本低,而且維護簡單,災難恢復演練和實時操作提供圖形界面,操作簡單便捷,大幅降低了后期系統(tǒng)維護資金的投入。
7、深證國稅未來工作規(guī)劃
(1) 建立和完善業(yè)務連續(xù)性管理體系。管理體系包括災難事故的預防機制和應急機制。根據(jù)總局“金稅”工程三期的指導建議,結(jié)合深圳國稅同城異址容 災備份建設(shè)的實際情況,業(yè)務連續(xù)性管理體系建設(shè)應由易到難、分步實施、不斷完善、逐步實現(xiàn),最終達到全面持續(xù)管理。制訂、完善用于災難事件響應和控制突發(fā) 事件損失的制度、流程和應對措施,包括進行出事響應和緊急處理、損害評估、災難等級識別、建立和管理應急指揮中心、災難公告制度等,使得災難發(fā)生后能夠快 速地恢復業(yè)務系統(tǒng)運行和業(yè)務運作;制定和完善業(yè)務連續(xù)性計劃,設(shè)計、制定業(yè)務連續(xù)性計劃;完成災難備份系統(tǒng)和業(yè)務恢復體系的建設(shè);災難恢復預案的驗證。對 容災備份體系和預案進行測試演練,記錄和評估測試演練的結(jié)果,驗證災備體系的技術(shù)實施可靠性,完善災難恢復預案,保持業(yè)務連續(xù)運行能力;災備系統(tǒng)安全管 理。包括運維管理安全、機房物理安全、系統(tǒng)安全、應用安全、網(wǎng)絡(luò)安全、媒體數(shù)據(jù)安全和文檔安全等;災備系統(tǒng)運行維護和保障。建立完善的運維管理制度,規(guī)范 生產(chǎn)中心和災備中心的運維基本操作及切換、演練等操作,制訂包括災備系統(tǒng)集中監(jiān)控、網(wǎng)絡(luò)系統(tǒng)監(jiān)控維護、磁帶介質(zhì)管理、災備服務器維護、運行支持熱線和服務 商管理的統(tǒng)一變更流程。
(2) 沙井備份站點建設(shè)。在沙河電信機房過渡方案基礎(chǔ)上,深圳國稅備份站點將選用寶安國稅沙井分局辦公大樓,在該大樓建設(shè)占地面積800平方米的 備份機房。沙井備份站點的建設(shè)工作將成為深圳國稅信息化下一步工作的重點,工作內(nèi)容包括機房基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)改造、人員組織架構(gòu)建設(shè)、容災系統(tǒng)建設(shè)及維 護。備份站點建成之后,將實現(xiàn)更多業(yè)務系統(tǒng)的應用級備份。
