1、1 XX 地税 本地 数据 备 份 及异地 数据级灾备 项目 建设 方1 一、数据备份及异地灾备系统项目分析 . 1 二、数据备份及异地灾备系统项目调研 . 3 2.1 国际灾备系统的定义 以及容灾级别 . 3 2.2 国际标准灾备系统的组成 . 6 2.3 计算机系统灾难分析 . 7 2.3.1 自然灾害: . 7 3.3.2 计算机系统故障: . 7 2.3.3 人为因素: . 8 2.4 国外计算机灾难案例 . 8 三国税总局灾备调研 . 10 3.1 国税总局备份系统设计原则 . 10 3.2 国税总局存储备份及管理设计思路 . 12 四、陕西地税数据级灾备需求分析 . 22 4.1
2、建设目的 . 23 4.2 建设目标: . 23 4.3详细需求分析 . 24 4.3.1 备份管理系统具体需求 . 24 4.3.2 各区服务器备份及容灾需求: . 26 4.4、技术指标要求 . 28 4.4.1 备份软件 . 28 4.4.2 自动磁带库要求 . 29 4.4.3 数据远程复制软件要求: . 30 4.4.4 存储系统要求: . 31 五 陕西地税数据备份及异地灾备系统规划 . 33 5.1 数据备份规划 . 33 5.2 数据备份系统设计原则 . 35 六 我省数据备份及异地灾备系统设计 . 41 七 数据备份及异地灾备系统选型比较过程 . 47 八 数据备份 及异地容
3、灾系统建设方案 . 55 九 我省数据备份和恢复策略 . 66 十 我省异地灾备系统方案详解 . 79 1 一 、 数据 备份及异地灾备系统项目分析 随着国家经济从计划经济向市场经济发展步伐的不断加快,西部大开发的政策也促使中西部地区的经济蓬勃发展,在这种情况下,作为国家对市场经济发展进行有 效调控的一种重要手段,税收管理日益呈现出了其在当今经济生活中的重要性和权威性。因此在各种与经济发展相关的税收信息越来越多元化,海量化的发展的同时,传统的人工处理方式已经越来越不适合当前经济发展的需要了,而计算机 信息技术的发展又为税务信息化工作提供了强有力的支持。目前作为西部经济发展最迅速省份之一的陕西省
4、的地税系统,必定需要一个非常强大的税务信息系统的有效支撑,同时随着税务信息处理系统的建成投入使用,我们又必须面对更严峻的考验,那就是如何科学、安全、有效地保护税务信息系统中的海量化税收信息数据。 我省税务信息系统按照 “ 秦税工程 ” 方案 于 3 月份完成 了 对省地税集中数据中心系统的搭建。 数据大集中处理是今后发展的一 种趋势,一方面有利于 对 税收业务系统进行统一规划管理,让全省 所 有分支机构采用统一的业务系统平台,减少管理漏洞;另一方面利于省地税 对数据信息的统一管理,可以更好的利用和保护这些核心业务数据;同时也可以减少各地的信息化重复建设费用。 伴随着 我省地税信息系统 的数据集
5、中处理模式,可以预计, 税务系统 的业务运作、经营管理 将越来越依赖于数据中心各 业务 信息系统2 的可靠运行。我 中心 所提供的税务 系统 服务的连续 性以及业务数据 的完整性、正确性、有效性都会直接关系到全省地税系统 的生产、经营和决策活动。一旦因自然灾害、设备故障或人为因素等原因引起 计算机系统 停顿导致信息数据丢失和业务处理中断,将会给 我省税务部门造成巨大的经济损失和声誉损害, 甚至是税务数据的致命打击 ! 在数据大集中的模式下,我们也必须处理 因数据集中处理也伴随而来一些不得不面对的运行风险 ,如: 这些集中的数据会因为一些突然发生的灾难而造成破坏或者永久性的损失。同时, 这些生产
6、运行主机系统及其配套设备一旦发生灾难性破坏,就会导致税收业务中断,这对于 我们 来说 将 是灾难性的打击,因此 ,我省税务 生产业务系统的灾难备份 及恢复 系统就显得格外重 要! 3 二 、 数据 备份及异地灾备系统项目调研 2.1 国际灾备系统的定义 以及容灾级别 我们一般所指的灾难备份也被称为 容灾备份 ,据国际标准 SHARE 78, M028 的定义,灾难备份解决方案可根据以下列出的主要考虑方面所达到的程度而分为七级,从低到高有七种不同层次的对应的灾难备份解决方案。 Tier0-无异地数据备份 Tier 0 被定义为没有信息存储的需求,没有建立备份硬件平台的需求,也没有发展应急计划的需
7、求,数据仅在本地进行备份恢复,没有数据送往异地。这种方式是最为低成本的灾难备份解决方案,但事实上这种灾难备份并没有真正灾难备份的能力,因为它的数据并没有被送往远离本地的地方,而数据的恢复也仅是利用本地的记录。 Tier1-PTAM 车辆转送方式 作为 Tier 1 的灾难备份方案需要设计一个应急方案,能够备份所需要的信息并将它存储在异地,然后根据灾难备份的具体需求,有选择地建立备份平台, 但事先并不提供数据处理的硬件平台。 PTAM 是一种用于许多中心备份的标准方式,数据在完成写操作之后,将会被送到远离本地的地方,同时具备有数据恢复的程序。在灾难发生后,一整套系统和应用安装动作需要在一台未启动
8、的计算机上重新完成。系统和数据将被恢复并重新与网络相连。这种灾难备份方案相对来说成本较低 (仅仅需要传输工具的消耗以及存储设备的消4 耗 )。 但同时有难于管理的问题,即很难知道什么样的数据在什么样的地方。一旦系统可以工作,标准的做法是首先恢复关键应用,其余的应用根据需要恢复。这样的情况下,恢复是可能的,但需要一定的时间,同时依赖于什么时候硬件平台能够被提 供准备好。 Tier2-PTAM 卡车转送方式 +热备份中心 Tier 2 相当于是 Tier 1 再加上具有热备份能力中心的灾难备份。热备份中心拥有足够的硬件和网络设备去支持关键应用的安装需求。对于十分关键的应用,在灾难发生的同时,必须在
9、异地有正运行着的硬件平台提供支持。这种灾难备份的方式依赖于用 PTAM 的方法去将日常数据放在异地存储,当灾难发生的时候,数据再被移动到一个热备份的中心。虽然移动数据到一个热备份中心增加了成本,但却明显降低了灾难备份的时间。 Tier3 - 电子传送 Tier 3 是在 Tier 2 的基础上用电子链路取代了车辆进行数据传送的灾难备份。接收方的硬件平台必须与生产中心物理地相分离,在灾难发生后,存储的数据用于灾难备份。由于热备份中心要保持持续运行,因此增加了成本。但确实是消除了运送工具的需要,提高了灾难备份的速度。 Tier4 - 活动状态的备份中心 Tier 4 这种灾难备份要求两个中心同时处
10、于活动状态并管理彼此的备份数据,允许备份行动在任何一个方向发生。接收方硬件平台必须保证与另一方平台物理地相分离,在这种情况下,工作负载可以在5 两个中心之间被分担,两个中心之间彼此备份。在两个中心之间, 彼此的在线关键数据的拷贝不停地相互传送着。在灾难发生时,需要的关键数据通过网络可迅速恢复,通过网络的切换,关键应用的恢复时间也可降低到了小时级。 Tier5-两中心两阶段确认 Tier 5 是在 Tier 4 的基础上在镜像状态上管理着被选择的数据 (根据单一 commit 范围,在本地和远程数据库中同时更新着数据 ),也就是说,在更新请求被认为是满意之前, Tier 5 需要生产中心与备份中
11、心的数据都被更新。我们可以想象这样一种情景,数据在两个中心之间相互映像,由远程 two-phase commit 来同步,因为关键应 用使用了双重在线存储,所以在灾难发生时,仅仅传送中的数据被丢失,恢复的时间被降低到了小时级。 Tier 6 - 零数据丢失 Tier 6 可以实现零数据丢失率,同时保证数据立即自动地被传输到备份中心。 Tier 6 被认为是灾难备份的最高的级别,在本地和远程的所有数据被更新的同时,利用了双重在线存储和完全的网络切换能力。 Tier 6 是灾难备份中最昂贵的方式,也是速度最快的恢复方式,恢复的时间被降低到了分钟级。对于 Tier 6 的灾难备份解决方案,可以应用两
12、种远程拷贝技术来实现,即 PPRC 同步远程拷贝和 XRC 异步 远程拷贝。 根据以上对容灾系统的描述,并根据我省地税应用系统的业务特点及运行现状,我们计划对重要生产数据选择 Tier-6 级别保证灾难情6 况下无数据丢失,对非生产数据及历史数据采用 Tier-2 或 Tier-3(参考灾备中心通信链路)热备中心方式存放。 2.2 国际标准灾备系统的组成 灾难备份系统一般由可接替生产系统运行的后备运行系统、数据备份系统、终端用户切换到备份系统的备用通讯线路等部分组成。 在正常生产和数据备份状态下,生产系统通过人工或网络传输方法向备份系统传送需备份的各种数据。备份中心与生产中心及终端用户的关系如
13、下图所示。 灾难发生后,备份系统将接替生产系统继续运行,备份中心、生产中心及终端用户三者之间的关系如图所示。此时重要营业终端用户将从生产主机切换到备份中心主机,继续对外营业。 主机生产中心终 端用 户数据 备份 ?后备运 行 系 ? 灾 难 备份中 心人工电子7 主机生产中心终端用户数据备份场地后备运行系统灾难备份中心2.3 计算机系统灾难分析 2.3.1 自然灾害: 造成计算机灾难的自然灾害有:火灾、水灾、雷击、台风、地震、鼠害等。根据有关资料,西安地区发生毁坏性地震的可能性不大,西安地区附近无大江大河,出现洪涝机会不大。因此对我们生产运行系统来讲,自然灾害主要是指水灾、火灾、雷击和鼠害等。
14、 3.3.2 计算机系统故障: 引起计算机系统故障的因素有下述几点: a. 主机系统故障: 主要指:数据库系统故障、系统软件故障、硬盘损坏、网卡故8 障、电源故障、应用系统缺陷、其它故障 b. 主机房故障: 主要指:主机房电源故障、主机房通讯故障、主机房水灾、主机房火灾、主机房鼠害 c. 整幢楼房故障: 主要指:整幢楼房电源故障、整幢楼房火灾或水灾、整幢楼房其它灾害 2.3.3 人为因素: 由于应用系统缺陷、误操作、人为蓄意破坏、外来暴力事件等都将直接影响系统的安全运行。 2.4 国外计算机灾难案例 2001 年 911 灾难,美国部分金融公司因世贸大厦的倒塌失去数据中心,造成业务遭受巨大损失,相比而言,其他大部分金融公司由于一直重视数据保护,在美国其他地区建立了异地灾备中心而未受到数据的严重损失。 1997 年四月下旬,在香港零售银行业占有一半以上市场的汇丰银行和恒生银行由于电源系统发生故障 导致中枢电脑系统停机,造成“该行一百三十年以来最严重的事故 “。故障期间,这两家银行的八百多部自动柜员机暂停服务两个小时,同时柜台服务和电话银行服务也受到严重的影响,这次重大事故立刻成为传媒的焦点,给两行业务和
