1、容灾备份技术在人社信息化建设中的应用【摘要】: 随着人社信息化的日益发展,人社信息系统的数据和系统运行安全越来越重要,容灾备份技术是保证人社信息系统全天候不间断运行和数据安全的最后屏障。数据传输技术、快照技术和互连技术作为容灾备份技术中最关键的技术,在人社容灾备份系统中的应用是保证容灾备份效率和效果的决定因素。 【关键词】: 计算机应用技术 容灾备份技术 人社信息化 中图分类号: G623.58 文献标识码: A 【正文】: 0 引言 随着信息化的发展,电子政务信息系统已成为人力资源与社会保障系统应用信息技术进行社会服务与管理的重要形式。而在信息系统中,毫无疑问,数据已成为最为重要的资产,其安
2、全性极为重要。无论是来自自然灾害的威胁,还是人为主观因素的灾难,一旦所保存的数据被破坏或丢失,就会对人社系统的日常工作造成严重的影响,甚至给国家利益带来重大损失。 经不完全统计,威胁信息系统数据安全的因素有以下几个方面: (1)自然因素:地震、火灾、雷电、洪水、飓风、工业事故等; (2)人为因素:黑客攻击、病毒、蓄意破坏、缺乏经验造成的误操作、压力和恐慌造成的误删除等; (3)硬件故障:服务器及存储介质老化、服务器宕机、电源故障等;(4)软件故障:数据库设计缺陷、应用软件故障、操作系统故障; (5)其它故障:网络连接问题、网络卡和驱动程序故障等。 当突发事件和人为、意外所造成的计算机数据的破坏
3、、丢失时,如果没有有效的数据保护措施,其损失难以估量。 据国际调查机构 Gartner Group 的数据表明,在由于经历大型灾难而导致系统停运的公司中,有五分之二再也没有恢复运营,剩下的公司中也有三分之一在两年内破产。另一份针对这一课题的研究报告也显示:在灾难后,如果无法在 14 天内恢复信息作业,有 75%的公司业务会完全停顿,43%的公司再也无法重新开业,20%的企业在两年之内被迫宣告破产。 灾难的发生对企业的打击往往是致命的,对行政事业单位也是一样,人力资源与社会保障是国民经济与社会发展中最重要的组成部分,金保工程是国家信息化发展战略中重大信息化工程项目,人社信息系统管理着几千万人员的
4、数据信息,关系广大参保人员的切身利益,一旦因地震、火灾、房屋塌陷、机房环境损坏、计算机软硬件设备故障,黑客入侵等因素引起数据丢失或毁损,将给人民群众造成不可估量的损失。因此,数据成为人社部门的最重要资产,保证人社数据安全是关系到国计民生的大事。国家已在信息安全等级保护管理办法中将人社信息系统的数据安全列为等级保护重点。人社部门在信息化建设中必须考虑建设数据容灾备份系统,提高人社信息系统应对突出事件和灾难的能力,使得数据一旦被损坏和丢失能够迅速恢复。因此,容灾备份就成为人社信息系统数据安全的一道至关重要的保护屏障。 1 容灾备份的相关技术 容灾备份技术是指在相隔较远的异地,建立两套或多套功能相同
5、的IT 系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。 1.1 容灾备份技术分类 容灾技术系统的实现可以采用不同的技术:一、采用硬件进行远程数据复制。这种技术的提供者是一些存储设备厂商,如 IBM、EMC 等。数据的复制完全通过专用线路实现物理存储设备之间的交换。二、采用软件系统实现远程的实时数据复制,并且实现远程的全程高可用体系(远程监控和切换) 。这种技术的代表如 VERITAS、Pluswell 等一些著名存储软件厂商。 从对系统的保护程度来分,可以将容灾系统分为:数据容灾和应用容
6、灾。所谓数据容灾,就是指建立一个异地的数据系统,该系统是本地关键应用数据的一个实时复制。数据级容灾的恢复时间比较长,但是相比其他容灾级别来讲它的费用比较低,而且构建实施也相对简单。所谓应用容灾,是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份) 。建立这样一个系统相对比较复杂,不仅需要一份可用的数据复制,还要有包括网络、主机、应用、甚至 IP 等资源,以及各资源之间的良好协调。应用级容灾生产中心和异地灾备中心之间的数据传输是采用异类的广域网传输方式;同时应用级容灾系统需要通过更多的软件来实现,可以使多种应用在灾难发生时可以进行快速切换,确保业务的连续性
7、。应用容灾是真正意义上的容灾系统。 1.2 容灾备份系统中的数据传输技术 容灾系统中最关键的是数据传输技术,数据传输效率决定了容灾系统实现的方式,按照其实现的方式来分,可以分为同步传输方式和异步传输方式。近距离的容灾系统一般采用同步传输方式,远距离的容灾系统则一般采用异步传输方式。 (1)同步数据传输方式 从上图可以看出,采用同步传输方式进行异地数据容灾的过程包括:1.本地主机系统发出第一个 I/O 请求 A; 2.主机会对本地磁盘系统发出 I/O 请求; 3.本地磁盘系统完成 I/O 操作,并通知本地主机“I/O 完成” ; 4.在往本地 I/O 的同时,本地系统(主机或磁盘系统)会向异地系
8、统发出 I/O 请求 A; 5.异地系统完全 I/O 操作,并通知本地系统“I/O 完成” 6.本地主机系统得到“I/O 完成”的确认,然后,发出第二个 I/O请求 B。 利用同步传输方式建立异地数据容灾,可以保证在本地系统出现灾难时,异地存在一份与本地数据完全一致的数据备份(具有完整的一致性) 。但利用同步传输方式建立这样一个系统,必须考虑“性能”这个因素。 采用同步数据传输方式时,从前面的描述来看,本地系统必须等到数据成功的写到异地系统,才能进行下一个 I/O 操作。一个 I/O 通过远程链路写到异地系统,涉及到两个技术参数:带宽、距离。 带宽 本地 I/O 的带宽是 1000MB/秒(S
9、AN 网络中) ,在 I/O 流量很大的情况下,如果与远程的 I/O 带宽相对“1000MB/秒 = 8000Mbit/秒”窄得多的话,如 E1:2Mbit/秒;E3:45Mbit/秒,将会明显拖慢生产系统的 I/O,从而影响系统性能。 距离 光和电波在线路上传输的速度是 30 万公里/秒,当距离很长时,这种线路上的延时将会变得很明显。例如:一个异地容灾系统的距离是1000KM,其数据库写盘的数据块大小是 10KB(一次 I/O 的数据量) ,那么: 本地 I/O 时(100 米距离内): 光电在线路上的延时 = 0.1km/300,000km*2 次/一个来回=0.67*10-6秒 1 秒钟
10、内允许 I/O 次= 1/(0.67*10-6)=1.5*10-6 次 1 秒钟允许的 I/O 量= 10KB * 1.5 * 10-6= 15GB 此数字远远超过光纤通道带宽本身,光电在 100 米距离的线路上的延时对性能的影响可以忽略不计。 异地 I/O 的(1000 公里): 光电在线路上的延时 = 1000km/300,000km*2 次= 1/150 秒 1 秒钟内允许 I/O 次= 1/(1/150 )= 150 次 1 秒钟允许的 I/O 量= 10KB * 150 = 1.5MB 此数据表明,在 1000 公里距离上,允许的最大 I/O 量在不存在带宽限制时,已经远远低于本地
11、I/O 的能力。 (2)异步数据传输方式 异步数据传输分为两种方式,包括:基于主机逻辑卷层的同步数据复制方式(软件复制方式) ;基于磁盘系统 I/O 控制器的同步数据复制方式(硬件复制方式) 。 基于主机逻辑卷的同步数据复制方式以 VERITAS Volume Replicator(VVR)为代表,VVR 是集成于 VERITAS Volume Manager(逻辑卷管理)的远程数据复制软件,它可以运行于同步模式和异步模式。 从前面的分析来看,同步数据容灾一般只能在较短距离内部署(10KM-100KM) ,大于这个距离,就没有实际应用价值了。因为即使在 1000KM 距离上,4.5MB 的速率
12、即使将数据复制到异地,每个 I/O 的响应时间也会超过 10ms,这种响应速度太慢。 异步数据容灾是在“线路带宽和距离能保证完成数据复制过程,同时,异地数据复制不影响生产系统的性能”这样的要求下提出来的。考虑异步数据容灾,应该注意到以下几个技术条件和事实。 1.带宽必须能保证将本地生产数据基本上完全复制到异地容灾端,还要考虑距离对传输能力的影响。 2.异地容灾远端数据会比本地生产端数据落后一定时间,软件方式的数据复制技术具有完整的数据包的排队和断点重发机制,在灾难情况下可以保证灾难时间点的数据一致性。 3.异步容灾基本不影响本地系统性能。 与同步传输方式相比,异步传输方式对带宽和距离的要求低很
13、多,它只要求在某个时间段内能将数据全部复制到异地即可,同时异步传输方式也不会明显影响应用系统的性能。其缺点是在本地生产数据发生灾难时,异地系统上的数据可能会短暂损失(如果广域网速率较低,交易未完整发送的话) ,但不影响一致性(类似本地数据库主机的异常关机) 。 1.3 容灾备份系统中的快照技术 快照是通过软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号 LUN 和快照 cache。在快速扫描时,把备份过程中即将要修改的数据块同时快速拷贝到快照 cache 中。快照 LUN 是一组指针,它指向快照 cache 和磁盘子系统中不变的数据块(在备份过程中) 。在正常业务进行
14、的同时,利用快照 LUN 实现对原数据的一个完全的备份。它可使正常业务不受影响的情况下(主要指容灾备份系统) ,实时提取当前在线业务数据。其“备份窗口”接近于零,可大大增加系统业务的连续性,为实现系统真正的 724 运转提供了保证。 1.4 容灾备份系统中的互连技术 早期的主数据中心和容灾数据中心之间的数据备份,主要是基于 SAN的远程复制(镜像) ,即通过光纤通道 FC,把两个 SAN 连接起来,进行远程镜像(复制) 。当灾难发生时,由容灾备份数据中心替代主数据中心保证系统工作的连续性。这种远程容灾备份方式存在一些缺陷,如:实现成本高、设备的互操作性差、跨越的地理距离短(10 公里)等,这些
15、因素阻碍了它的进一步推广和应用。 目前,出现了多种基于 IP 的 SAN 的远程数据容灾备份技术。它们是利用基于 IP 的 SAN 的互连协议,将主数据中心 SAN 中的信息通过现有的TCP/IP 网络,远程复制到容灾备份中心 SAN 中。当容灾备份中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库中。这种基于 IP 的 SAN 的远程容灾备份,可以跨越 LAN、MAN 和 WAN,成本低、可扩展性好,具有广阔的发展前景。基于 IP 的互连协议包括:FCIP(Entire Fibre Channel Frame Over IP)IP 光纤通道、Internet 光纤信道协议(iFC
16、P) 、Infiniband、iSCSI 等。 2 人社容灾备份系统建设应考虑的问题 人社领域的各类基础数据包括:就业、养老、医保、异地就医、社会保障卡、劳动监察、交换决策、门户网站、养老和医保申报等等系统数据,这些数据量非常庞大非常重要,全都牵涉到广大群众的切身利益。人社容灾备份系统的建设,必须考虑到以下三个方面的问题。 2.1 数据量非常大 随着金保工程的推进,人社信息化正从分散建设向统一集中建设迈进,最终将实现全省乃至全国的联网共享。而伴随着人社部门业务系统的深化应用,在实现社会保障精确管理的要求下,业务数据将急剧增长,且未来数据增长量会越来越迅猛,比如,异地就业、异地就医、异地领取养老
17、金系统的建设,基于新指标的各类社会保险监测数据上传、监测指标的增加和调整以及监测软件的部署等等,都造成了海量的社保数据;再如,近年来社会保障卡建设不断发展,在不少地区得到广泛应用,随着业务需求不断增加,社会保障卡的功能不断扩大,跨地区应用增多,特别是一些社保信息系统网络较为完善的地区,采用的社保卡在不同程度上具备“一卡多用”和“异地通用”的功能;还有,公务员、监察、仲裁等系统数据可见,人社信息系统的数据量是非常巨大的。人社部门必须建立一个统一、可靠、安全、可管理的数据异地灾备系统平台,有效地备份和保护各地不断发展的人社业务所产生的系统数据,为数据提供异地容灾保护,有效控制数据安全风险,同时降低
18、数据安全管理成本。 2.2 实时性非常高 我国实行的社会保险制度包括养老保险、医疗保险、失业保险、工伤保险和生育保险等,随着人社事业不断发展,我们已经进入了“大社保”阶段,社保信息系统能否实时有效的持续运行,直接关系到广大参保人员的养老金领取、医保服务享有等公民切身利益。因此,社保系统数据的实时性要求非常高,必须保证信息系统 7*24 小时运行,即要求RTO(Recovery Time Objective 恢复时间目标,主要指的是所能容忍的业务停止服务的最长时间,也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期)非常短,尤其是实时性要求最高的医保信息系统,如果发生意外和灾难使数据丢失
19、,造成的后果会相当严重。这就对人社信息系统的容灾备份系统性能提出了很高的要求。 2.3 信息点分布广 人社信息系统由省里统一规划,形成了省、市、县各级信息系统分级部署,数据统一集中管理的模式,信息点分布特别广,比如,参保单位、定点医疗医院和药店都能够通过信息系统进行业务操作。而在数据集中、系统整合和网络互联后,特别是随着社会保障“一卡通”建设的加快推进,一个地区、一个业务领域出现的安全问题,都可能波及到其他地区、其他业务领域,甚至对全省信息系统的稳定运行造成影响。因此,当前人社信息安全形势不容乐观。人社容灾备份系统必须适应分级部署的拓扑结构,建立统一规则,由各级数据中心将业务数据备份至备份接入
20、系统,通过专网将数据传输到集中灾备系统平台进行统一管理,以实现全省人社数据的集中备份。 3 人社信息系统的容灾备份技术应用 为切实保证人社基础数据的安全,进一步提升系统抗风险能力,人社信息系统的容灾备份必须充分应用先进的容灾备份技术,结合人社信息化建设的特点,进行统一规划建设。 3.1 省级人社灾备系统架构 省级人社容灾备份系统应在数据容灾基础上实现应用级容灾,采用软件和硬件共同实现容灾备份目标。各级数据中心按照全省统一技术标准规范要求,配置全省统一的备份接入系统,将备份接入系统增加为本地备份系统的存储资源,按照相应本地备份策略定期将业务数据备份到备份接入系统,通过灾备传输专网上传至集中灾备平台,实现与全省数据灾备中心的对接。
