赛门铁克证券行业备份及容灾解决方案.doc

建设法规遵从的证券建设法规遵从的证券建设法规遵从的证券 行业备份及容灾系统行业备份及容灾系统行业备份及容灾系统 赛门铁克证券行业备份及容灾解决方案赛门铁克证券行业备份及容灾解决方案 赛门铁克软件（北京）有限公司 二零零九年一月 文文 档档 信信 息息 项 目 名 称XX 证券有限公司信息系统备份及容灾项目 文档准备文档准备:魏威文档版本文档版本:V1.0 文档名称文档名称:赛门铁克证券行业备份及容灾解决方案文档版本日期文档版本日期:2009-1-22 文档审核文档审核:审核日期审核日期: 文文 档档 变变 更更 记记 录录 版 本 编 号版 本 日 期作 者说 明 V1.02009-1-22魏威起草 审审 核核 批批 准准 批准代表签字时间 版版 权权 说说 明明 本文件中出现的任何文字叙述、文件格式、插图、照片、方法、过程等内容，除另有 特别注明，版权均属赛门铁克软件（北京）有限公司所有，受到有关产权及版权法保护。 任何个人和公司，未经赛门铁克软件（北京）有限公司的书面授权许可，不得复制或引用 本文件的任何片断，无论通过电子形式或非电子形式。 目目 录录 前前 言言.1 第第 1 章章 备份及容灾系统的建设意义备份及容灾系统的建设意义.8 第第 2 章章 灾备相关的国家标准及金融行业法规灾备相关的国家标准及金融行业法规.10 2.1 国标国标信息系统灾难恢复规范信息系统灾难恢复规范GB/T 20988-2007.11 2.1.1 第第 1 级：基本支持级：基本支持.11 2.1.2 第第 2 级：备用场地支持级：备用场地支持.11 2.1.3 第第 3 级：电子传输和部分设备支持级：电子传输和部分设备支持 .13 2.1.4 第第 4 级：电子传输及完整设备支持级：电子传输及完整设备支持 .14 2.1.5 第第 5 级：实时数据传输及完整设备支持级：实时数据传输及完整设备支持.15 2.1.6 第第 6 级：数据零丢失和远程集群支持级：数据零丢失和远程集群支持.16 2.2 保监会保监会保险业信息系统灾难恢复管理指引保险业信息系统灾难恢复管理指引.19 第第 3 章章 赛门铁克证券行业备份及容灾解决方案赛门铁克证券行业备份及容灾解决方案 .21 3.1 证券行业容灾解决方案证券行业容灾解决方案.21 3.1.1 同城（或同机房）灾备方案同城（或同机房）灾备方案.21 3.1.1.1 零丢失短停机灾备方案零丢失短停机灾备方案 .21 3.1.1.2 零丢失零停机灾备方案零丢失零停机灾备方案 .26 3.1.2 异地灾备解决方案异地灾备解决方案.29 3.1.3 赛门铁克证券行业灾备演练解决方案仿真切换演练赛门铁克证券行业灾备演练解决方案仿真切换演练.32 3.2 证券行业数据备份解决方案证券行业数据备份解决方案.35 3.2.1 操作系统备份和裸机恢复操作系统备份和裸机恢复BMR .35 3.2.2 基于基于 SAN 存储网络的高性能存储网络的高性能 LAN-FREE 备份方案备份方案.37 3.2.3 基于基于 LAN 以太网的经济型以太网的经济型 LAN 备份方案备份方案.39 第第 4 章章 赛门铁克证券行业备份及容灾方案总结赛门铁克证券行业备份及容灾方案总结 .40 附录附录 SYMANTEC BCS(BUSINESS CRITICAL SERVICE)服务支持服务支持.41 前前 言言 作为全球一流的计算机软件公司和开放系统的领导者，赛门铁克公司拥有 完善的信息处理技术和丰富的应用经验。赛门铁克公司在灾备领域有着丰富的 经验，并熟知灾备建设相关的国家标准信息系统灾难恢复规范信息系统灾难恢复规范-GB/T 20988-2007 和证监会颁发的证券行业信息系统建设安全规范证券公司集证券公司集 中交易安全管理技术指引中交易安全管理技术指引，严格按照国家标准和行业法规，赛门铁克公司充 分利用自身的产品与技术优势，设计适合证券行业法规遵从的灾备系统。 赛门铁克公司为证券行业提供的备份及容灾方案具体有以下特点和优势：赛门铁克公司为证券行业提供的备份及容灾方案具体有以下特点和优势： 深刻理解灾备建设相关的国家标准深刻理解灾备建设相关的国家标准信息系统灾难恢复规范信息系统灾难恢复规范- -GB/T 20988-2007和证监会颁发的证券行业信息系统建设安全规和证监会颁发的证券行业信息系统建设安全规 范范证券公司集中交易安全管理技术指引证券公司集中交易安全管理技术指引，并严格按照其规，并严格按照其规 定设计解决方案，为客户达到证监会的信息系统建设安全规范的要定设计解决方案，为客户达到证监会的信息系统建设安全规范的要 求提供可靠的条件求提供可靠的条件 赛门铁克根据多年备份及容灾项目经验总结归纳了业务连续和灾难 恢复建设方法论，可以系统的指导灾备系统的建设 完整详尽的数据远程备份和灾难恢复方案，赛门铁克能够提供从服 务器、网络、存储、SAN 等全面容灾解决方案。 大量实施案例，经过验证的备份及容灾系统实施和支持能力，丰富 的实施经验和人员，强大的专人支持 第第 1 章章 备份及容灾系统的建设意义备份及容灾系统的建设意义 中国经济的飞速发展举世瞩目，作为人口排名世界第一、GDP 排名世 界第四的经济大国，金融行业在国民经济中的重要地位不言而喻，稳定的 金融市场是支撑国家经济健康发展的重要支柱之一。正是由于金融行业在 国民经济中举足轻重的地位，使得其 IT 系统的重要性也尤为突出，特别是 其数据的安全可靠性和支持业务连续运营的能力，已经上升为关系到国家 稳定、社会和谐的重要因素之一。 全球范围内我们正经历着越来越多的灾难，而灾难给人类带来的损失 也是呈几何级上升。根据国际权威机构瑞士再保险的统计数据，全球在 2004 年因自然灾害和人为事故造成的直接损失达到 1230 亿美元，2005 年 共发生约 400 起巨灾,损失超过 2300 亿美元，2006 年，自然灾害和人为灾 难造成的损失低于长期趋势，直接损失 480 亿美元。在世界范围内与 20 世 纪 60 年代相比，到了 20 世纪 90 年代，世界上可统计的自然灾害发生率增 长了 3 倍，其经济损失增长了 9 倍。 在中国，正如 2007 年 8 月国务院办公厅印发的国家综合减灾“十一 五”规划中指出，据估计我国近年来各类灾情综合直接损失已高达 8的 GDP（大多数发达国家只是千分之几）。国家减灾委也指出，仅洪涝、台 风、干旱等灾害每年就给国家带来 2000 亿元左右的经济损失。而对 IT 系 统来说，面临的风险远远不止这些自然灾害： 第第 2 章章 灾备相关的国家标准及金融行业法规灾备相关的国家标准及金融行业法规 为了提高重要信息系统应对灾害的能力，国家标准化管理委员会于 2007 年 11 月 1 日发布了信息系统灾难恢复规范信息系统灾难恢复规范GB/T 20988- 2007（以下简称“国标”），在国标中，规定了一个灾难恢复的六级体系， 按照从第一级到第六级的顺序级别依次升高： 国标很好的为灾难恢复树立起一个六级的标准，使各行各业可以依照 此标准制定自己的 IT 系统灾难恢复规范，我们欣慰的看到在这方面走在最 前面的正是金融行业。银监会、证监会和保监会分别在自己行业的指引或 规范中都对 IT 系统的灾难恢复做了明确的规定，如银监会的银行业金融 机构信息系统风险管理指引和商业银行操作风险管理指引，证监会证监会 的的证券公司集中交易安全管理技术指引证券公司集中交易安全管理技术指引 以及保监会的保险业信息系 统灾难恢复管理指引，都详细规定了灾备等级，需要达到的标准等等， 显示出我们金融行业监管部门 IT 信息系统建设理念的先进性和前瞻性，也 为其他行业的 IT 信息系统灾难恢复建设提供了极有价值的可参考经验。 2.1 国标国标信息系统灾难恢复规范信息系统灾难恢复规范GB/T 20988- 2007 2.1.1 第第 1 级：基本支持级：基本支持 要要 素素要要 求求 A.1.1 数据备份系统a) 完全数据备份至少每周一次； b) 备份介质场外存放。 A.1.2 备用数据处理系统 A.1.3 备用网络系统 A.1.4 备用基础设施a) 有符合介质存放条件的场地。 A.1.5 技术支持 A.1.6 运行维护支持a) 有介质存取、验证和转储管理制度； b) 按介质特性对备份数据进行定期的有效性 验证。 A.1.7 灾难恢复预案有相应的经过完整测试和演练的灾难恢复预 案 5Symantec Confidential52008/7/29 第第一一级级：基基本本支支持持 备份介质场外存放 有符合介质存放条件的场地 2.1.2 第第 2 级：备用场地支持级：备用场地支持 要要 素素要要 求求 A.2.1 数据备份系统a) 完全数据备份至少每周一次； b) 备份介质场外存放。 A.2.2 备用数据处理系统a) 灾难发生时能在预定时间内调配所需的数 据处理设备到场。 A.2.3 备用网络系统a) 灾难发生时能在预定时间内调配所需的通 信线路和网络设备到位。 A.2.4 备用基础设施a) 有符合介质存放条件的场地； b) 有满足信息系统和关键业务功能恢复运作 要求的备用场地。 A.2.5 技术支持 A.2.6 运行维护支持a) 有介质存取、验证和转储管理制度； b) 按介质特性对备份数据进行定期的有效性 验证； c) 有备用场地管理制度； d) 与相关厂商有符合灾难恢复时间要求的紧 急供货协议； e) 与相关运营商有符合灾难恢复时间要求的 备用通信线路协议。 A.2.7 灾难恢复预案a) 有相应的经过完整测试和演练的灾难恢复 预案。 2.1.3 第第 3 级：电子传输和部分设备支持级：电子传输和部分设备支持 要要 素素要要 求求 A.3.1 数据备份系统a) 完全数据备份至少每天一次； b) 备份介质场外存放； c) 每天多次利用通信网络将关键数据定时批 量传送至备用场地。 A.3.2 备用数据处理系统a) 配备灾难恢复所需的部分数据处理设备。 A.3.3 备用网络系统a) 配备部分通信线路和相应的网络设备。 A.3.4 备用基础设施a) 有符合介质存放条件的场地； b) 有满足信息系统和关键业务功能恢复运作 要求的场地。 A.3.5 技术支持a) 在备用场地有专职的计算机机房运行管理 人员。 A.3.6 运行维护支持a) 按介质特性对备份数据进行定期的有效性 验证； b) 有介质存取、验证和转储管理制度； c) 有备用计算机机房管理制度； d) 有备用数据处理设备硬件维护管理制度； e) 有电子传输数据备份系统运行管理制度。 A.3.7 灾难恢复预案有相应的经过完整测试和演练的灾难恢复预 案。 2.1.4 第第 4 级：电子传输及完整设备支持级：电子传输及完整设备支持 要要 素素要要 求求 A.4.1 数据备份系统a) 完整数据备份至少每天一次； b) 备份介质场外存放； c) 每天多次利用通信网络将关键数据定时批 量传送至备用场地。 A.4.2 备用数据处理系统a) 配备灾难恢复所需的全部数据处理设备， 并处于就绪状态或运行状态。 A.4.3 备用网络系统a) 配备灾难恢复所需的通信线路； b) 配备灾难恢复所需的网络设备，并处于就 绪状态。 A.4.4 备用基础设施a) 有符合介质存放条件的备用场地； b) 有符合备用数据处理系统和备用网络设备 运行要求的场地； c) 有满足关键业务功能恢复运作要求的场地； d) 以上场地应保持 7*24 运作。 A.4.5 技术支持在备用场地有： a) 7*24 专职计算机机房管理人员； b) 专职数据备份技术支持人员； c) 专职硬件、网络技术支持人员。 A.4.6 运行维护支持a) 有介质存取、验证和转储管理制度； b) 按介质特征对备份数据进行定期的有效性 验证； c) 有备用计算机机房运行管理制度； d) 有硬件和网络运行管理制度； e) 有电子传输数据备份系统运行管理制度。 A.4.7 灾难恢复预案有相应的经过完整测试和演练的灾难恢复预 案。 2.1.5 第第 5 级：实时数据传输及完整设备支持级：实时数据传输及完整设备支持 要要 素素要要 求求 A.5.1 数据备份系统a) 完全数据备份至少每天一次； b) 备份介质场外存放； c) 采用远程数据复制技术，并利用通信网络 将关键数据实时复制到备份场地。 A.5.2 备用数据处理系统a) 配备灾难恢复所需的全部数据处理设备， 并处于就绪或运行状态。 A.5.3 备用网络系统a) 配备灾难恢复所需的通信线路； b) 配备灾难恢复所需的网络设备，并处于就 绪状态； c) 具备通信网络自动或集中切换能力。 A.5.4 备用基础设施a) 有符合介质存放条件的备用场地； b) 有符合备用数据处理系统和备用网络设备 运行要求的场地； c) 有满足关键业务功能恢复运作要求的场地； d) 以上场地应保持 7*24 运作。 A.5.5 技术支持在备用场地有： a) 7*24 专职计算机机房管理人员； b) 7*24 专职数据备份技术支持人员； c) 7*24 专职硬件、网络技术支持人员。 A.5.6 运行维护支持a) 有介质存取、验证和转储管理制度； b) 按介质特性对备份数据进行定期的有效性 验证； c) 有备用计算机机房运行管理制度； d) 有硬件和网络运行管理制度； e) 有实时数据备份系统运行管理制度。 A.5.7 灾难恢复预案有相应的经过完整测试和演练的灾难恢复预 案。 2.1.6 第第 6 级：数据零丢失和远程集群支持级：数据零丢失和远程集群支持 要要 素素要要 求求 A.6.1 数据备份系统a) 完整数据备份至少每天一次； b) 备份介质场外存放； c) 远程实时备份，实现数据零丢失。 A.6.2 备用数据处理系统a) 备用数据处理系统具备与生产数据处理系 统一致的处理能力并完全兼容； b) 应用软件是“集群的”，可实时无缝切换； c) 具备远程集群系统的实时监控和自动切换 能力。 A.6.3 备用网络系统a) 配备与生产系统相同等级的通信线路和网 络设备； b) 备用网络处于运行状态； c) 最终用户可通过网络同时接入主、备中心。 A.6.4 备用基础设施a) 有符合介质存放条件的备用场地； b) 有符合备用数据处理系统和备用网络设备 运行要求的场地； c) 有满足关键业务功能恢复运作要求的场地； d) 以上场地应保持 7*24 运作。 A.6.5 技术支持在备用场地有： a) 7*24 专职计算机机房管理人员； b) 7*24 专职数据备份技术支持人员； c) 7*24 专职硬件、网络技术支持人员； d) 7*24 专职操作系统、数据库和应用软件技 术支持人员。 A.6.6 运行维护支持a) 有介质存取、验证和转储管理制度； b) 按介质特性对备份数据进行定期的有效性 验证； c) 有备用计算机机房运行管理制度； d) 有硬件和网络运行管理制度； e) 有实时数据备份系统运行管理制度； f) 有操作系统。数据库和应用软件运行管理 制度。 A.6.7 灾难恢复预案有相应的经过完整测试和演练的灾难恢复预 案。 2.2 保监会保监会保险业信息系统灾难恢复管理指引保险业信息系统灾难恢复管理指引 参照国标信息系统灾难恢复规范GB/T 20988-2007 的标准， 各金融行业分别颁发了自己行业的信息系统安全建设规范，如： 银行业 银行业金融机构信息系统风险管理指引 制定部门：银监会 颁布时间：2006 年 11 月 1 日 生效时间：2006 年 11 月 1 日 商业银行操作风险管理指引 制定部门：银监会 颁布时间：2007 年 5 月 14 日 生效时间：2007 年 5 月 14 日 保险业 保险业信息系统灾难恢复管理指引 制定部门：保监会 颁布时间：2007 年 11 月 10 日 生效时间：2008 年 3 月 21 日 证券业 证券公司集中交易安全管理技术指引证券公司集中交易安全管理技术指引 制定部门：证监会 颁布时间：2006 年 8 月 2 日 生效时间：生效时间：2006年年8月月2日日 证券公司集中交易安全管理技术指引证券公司集中交易安全管理技术指引摘录：摘录： 第七章 灾难备份 第四十四条 灾难备份中心对中心机房的数据备份等级要求应 达到重要信息系统灾难恢复指南(国信办20058 号)灾难恢 复等级划分中的第第5级级 第四十五条 灾难备份 BCP(业务连续性计划)的三个具体指标 RPO(恢复点目标)、RTO(恢复时间目标)、DOO(运行性能降低预 期)是衡量灾难恢复性能好坏的关键指标，应分别达到： RPO 16分钟分钟，RTO 1小时小时，DOO50%。 第九章 应急恢复与事故处理 第五十七条 技术故障影响交易60分钟分钟以上构成重大安全事 故，应按照证券期货业网络与信息安全信息通报暂行办法 规定的程序及要求，及时上报证券业协会。 第十章 技术监管 第五十九条 证券公司对集中交易系统实行年度例行安全评估， 并将评估结果报备相关交易所。交易所对存在安全隐患、可能 引发行业技术风险的证券公司可予以警告、限期整改以警告、限期整改以 及取消其集中交易通道及取消其集中交易通道等处置，并报备中国证券业协 会及中国证监会。 第第 3 章章 赛门铁克证券行业备份及容灾解决方案赛门铁克证券行业备份及容灾解决方案 根据国家标准及证监会相关法规的要求，赛门铁克公司提供满足相应 审计要求的容灾和备份解决方案： 3.1 证券行业容灾解决方案证券行业容灾解决方案 赛门铁克证券行业灾备解决方案分为两类： 同城（或同机房）灾备方案 此类解决方案对应国标第六级第六级甚至更高级别技术要求，可分为 两种： 零丢失短停机灾备方案 此解决方案提供零数据丢失、5 分钟快速恢复系统的灾备解决 方案，可满足国标第六级第六级相应技术指标。 零停机零丢失灾备解决方案 针对以 Oracle 数据库为核心数据库交易系统，此解决方案提 供零数据丢失、零停机灾备解决方案，其技术标准高于国高于国 标第六级标第六级。 异地灾备解决方案 此解决方案提供异地数据复制及灾难切换的灾备解决方案，满足 证监会法规规定的达到国标第五级第五级的技术要求。 3.1.1 同城（或同机房）灾备方案同城（或同机房）灾备方案 3.1.1.1 零丢失短停机灾备方案零丢失短停机灾备方案 方案目标 提供零数据丢失和 5 分钟恢复系统的灾备解决方案。 国标定位 达到国标第六级第六级技术标准。 满足证监会法规 证监会要求证监会要求方案指标方案指标结论结论 RPO16 分 钟 RPO=0完全满足 RTO1 小时RTO5 分钟（技术切换时间）完全满足 涉及产品 Symantec Storage Foundation HA/DR 存储套件 Symantec BCS 服务支持 方案简述 客户生产中心和灾备中心（同城或同机房）（同城或同机房）之间有电子通讯 链路连接，利用 Symantec Storage Foundation HA/DR 存储套件的镜 像功能实现同时在生产中心和灾备中心写数据的功能，从而保证客 户数据零丢失，并提供系统自动切换能力和实时监控的功能。 方案原理 在灾备中心配置与生产中心操作系统平台相同的服务器，在灾 备中心配置与生产中心存储系统性能相似的存储（不限存储品 牌及型号） 在两中心的服务器上各安装 Symantec Storage Foundation HA/DR 存储套件 利用 Symantec Storage Foundation HA/DR 的存储镜像功能，可 以当生产中心的服务器接收一个数据写操作时，自动地将数据 同时写入灾备中心的服务器，等双方均返回写操作完毕信号， 再进行下一步操作。这样可以保证生产中心和灾备中心的数据 完全一致，在生产中心发生灾难时，可以做到数据零丢失，即 RPO=0。 在灾备中心服务器布置与生产中心相同的应用程序及软件，在 生产中心发生灾难时，通过 Symantec Storage Foundation HA/DR 集成的 GCO，可以实现“一键式”切换，将生产中心的 业务由灾备中心接管，以保证业务的连续性 灾难恢复 场景一：生产中心存储系统故障 灾难点：生产中心存储系统故障、不能正常工作甚至不可 回复性损坏 灾难恢复操作 由于利用系统冗余性可自动处理存储系统故障带来的问题， 因此无需人工干预，即没有灾难恢复操作 业务影响： 停机时间 由于生产中心和灾备中心的存储是远程在线镜像的关 系，在其中一个存储系统故障时，并不影响另一存储 系统的正常工作，因此无论是生产中心还是灾备中心 的存储系统出现故障，另一中心的存储系统是还能正 常提供存储访问，而此类灾难场景发生时，业务是不 中断的，即 RTO=0 数据丢失 由于生产中心和灾备中心的存储是同步镜像关系，两 端的数据是完全一致的，因此此类场景发生时，数据 零丢失，即 RPO=0 场景二：生产中心主机故障 灾难点：生产中心主机系统故障、不能正常工作甚至不可 回复性损坏 灾难恢复操作 此类灾难不能利用系统的冗余性自动处理，需要人工干预， 并需要系统接关流程： 事件评估：定位故障主机 灾难宣告：通知相关 IT 及业务部门，甚至相关媒体 资源分派：相关部门的相关资源分派 启动恢复： 生产中心和灾备中心的存储系统被灾备中心的主 机加载 恢复数据库 系统切换：“一键式”切换，利用 Symantec Storage Foundation HA/DR 软件，可以通过事先定制好系统切 换的各个步骤，并集成至 Symantec Storage Foundation HA/DR 套件中的 GCO，在发生灾难时，可以通过图形 画界面实现“一键式”切换 业务恢复测试：在系统切换完毕后，用户需要组织业 务部门进行业务恢复测试，以验证业务系统是否正常 可用 恢复业务：在业务恢复测试通过后，打开对外提供服 务端口，业务得以连续运营 业务影响： 停机时间 停机时间是所有切换步骤时间的总和，如果从纯技术 方面看，利用 Symantec Storage Foundation HA/DR 可 以在很短的时间内将应用从生产系统切换至灾备系统， 一般不超过 5 分钟，即从技术角度讲，RTO5 分钟。 数据丢失 由于生产中心和灾备中心的存储是同步镜像关系，两 端的数据是完全一致的，因此此类场景发生时，数据 零丢失，即 RPO=0 场景三：主机和存储同时故障 此灾难场景与场景二主机故障的恢复方式相同，唯一的区 别是：生产中心的存储不被灾备中心的主机加载，其余各步骤 完全相同。 3.1.1.2 零丢失零停机灾备方案零丢失零停机灾备方案 方案目标 针对业务系统是 Oracle 数据库的应用系统，提供零数据丢失和零 停机的灾备解决方案。 国标定位 高于国标第六级高于国标第六级技术标准。 满足证监会法规 证监会要求证监会要求方案指标方案指标结论结论 RPO16 分 钟 RPO=0完全满足 RTO1Gb光光纤纤链链路路 心心跳跳链链路路+数数据据复复制制链链路路 Symantec Storage Foundation HA/DR for Oracle RAC 灾备系统 方案原理 在灾备中心配置与生产中心操作系统平台相同的服务器，在灾 备中心配置与生产中心存储系统性能相似的存储（不限存储品 牌及型号） 在两中心的服务器上各安装 Symantec Storage Foundation HA/DR for Oracle RAC 存储套件 利用 Symantec Storage Foundation HA/DR for Oracle 的存储镜像 功能，可以当生产中心的服务器接收一个数据写操作时，自动 地将数据同时写入灾备中心的服务器，等双方均返回写操作完 毕信号，再进行下一步操作。这样可以保证生产中心和灾备中 心的数据完全一致，在生产中心发生灾难时，可以做到数据零 丢失，即 RPO=0。 在灾备中心服务器布置与生产中心相同的应用程序及软件，在 生产中心发生灾难时，通过 Symantec Storage Foundation HA/DR for Oracle RAC，可以实现“无系统切换”的系统接管， 以保障应用的“零停机”。 灾难恢复 场景一：生产中心存储系统故障 灾难点：生产中心存储系统故障、不能正常工作甚至不可 回复性损坏 灾难恢复操作 由于利用系统冗余性可自动处理存储系统故障带来的问题， 因此无需人工干预，即没有灾难恢复操作 业务影响： 停机时间 由于生产中心和灾备中心的存储是远程在线镜像的关 系，在其中一个存储系统故障时，并不影响另一存储 系统的正常工作，因此无论是生产中心还是灾备中心 的存储系统出现故障，另一中心的存储系统是还能正 常提供存储访问，而此类灾难场景发生时，业务是不 中断的，即 RTO=0 数据丢失 由于生产中心和灾备中心的存储是同步镜像关系，两 端的数据是完全一致的，因此此类场景发生时，数据 零丢失，即 RPO=0 场景二：生产中心主机故障 灾难点：生产中心主机系统故障、不能正常工作甚至不可 回复性损坏 灾难恢复操作 由于利用 Symantec Storage Foundation for Oracle RAC 的系 统冗余性可自动处理同一 RAC 集群中一个节点系统故障带 来的问题，因此无需人工干预，即没有灾难恢复操作 业务影响： 停机时间 无停机时间，即 RTO=0 数据丢失 由于生产中心和灾备中心的存储是同步镜像关系，两 端的数据是完全一致的，因此此类场景发生时，数据 零丢失，即 RPO=0 场景三：主机和存储同时故障 此灾难场景与场景二主机故障的恢复方式相同，唯一的区 别是：生产中心的存储不被灾备中心的主机加载，其余各步骤 完全相同。 3.1.2 异地灾备解决方案异地灾备解决方案 方案目标 数据远程实时复制 系统自动或集中切换功能 国标定位 达到国标第五级第五级技术标准。 满足证监会法规 证监会要求证监会要求方案指标方案指标结论结论 RPO16 分 钟 RPO5 分钟完全满足 RTO1 小时RTO10 分钟（技术切换时间）完全满足 涉及产品 Symantec Storage Foundation HA/DR Volume Replicator option Symantec BCS 服务支持 方案简述 客户生产中心和灾备中心之间有电子通讯链路连接，利用 Symantec Storage Foundation HA/DR 存储套件Volume Replicator 选项功能将客户生产中心的业务数据和应用系统数据实时传送到 灾备中心，并提供系统自动切换能力。 数据远程实时复制数据远程实时复制 此功能由基于 Veritas Storage Foundation 的 Veritas Volume Replicator 软件 实现。 其优势如下： 以数据为核心。 工作在数据卷级别上，对业界任何的数据库、文件系统和第三方应用 均可无缝支持。 无论正常条件下的同步还是网络故障条件下的异步，VVR 均具备 Oracle 的 OSCP 认证，保证灾备系统数据的绝对完整、一致。 用于灾备目的的数据平时受到保护，保证关键时刻发挥作用。 使用“适应性存储架构”构建容灾基础平台，兼容支持未来所有的软 件和硬件。 使用“应用级”完整灾备方案，快速、自动启动容灾系统。 性能好，只占用系统资源的百分之三到五。 灾备系统通过快照技术生成的数据拷贝可以“读写”方式进行访问， 充分利用灾备系统的设备资源。 VERITAS 的数据复制技术使用 IP 网络，对底层的网络设备没有任 何特殊要求。 系统自动或集中切换功能系统自动或集中切换功能 此功能由 Veritas Cluster Server（简称 VCS）提供，VCS 是 Veritas Storage Fundation HA/DR 套件中的一个组件，购买 Veritas Storage Fundation HA/DR 就已经包含 VCS 组件： 3.1.3 赛门铁克证券行业灾备演练解决方案仿真切换演练赛门铁克证券行业灾备演练解决方案仿真切换演练 什么是业务连续性计划演练 信息系统灾难恢复规范GB/T 20988-2007 中指出，为训练人 员和提高灾难恢复能力而根据业务连续性计划进行活动的过程。 包括桌面演练、模拟演练、重点演练和完整演练等。 传统的业务连续性计划演练的方式 桌面演练 桌面演练是以讨论会的方式，通过虚拟灾难情景的推演和应对 策略的讨论，在完全不影响生产系统的情况下对灾难恢复计划 进行演练 优点：优点： 工作量小，易于开展 思路宽广，可模拟任何场景 缺点：缺点： 演练结果可靠性未经完全验证 对潜在的风险和问题难以充分估计 现场演练 现场演练是在实际环境中，模拟事先设定的场景，进行的现场 操作的演练。 优点：优点： 场景真实，确保演练结果的可靠性 可通过实际演练发现潜在问题 缺点：缺点： 现场演练本身存在一定的项目实施风险 对生产系统影响大 对业务可能造成一定影响 需要资源较多，协调难度大 从上述内容可以看出，传统的桌面演练和现场演练各有利弊，而 如果采用 Veritas Custer Server，可利用 VCS 提供的仿真切换演练功 能，自由模拟多种灾难场景进行仿真切换而不影响业务，可综合 桌面演练和现场演练的优点，并将二者缺点降到最低： 3.2 证券行业数据备份解决方案证券行业数据备份解决方案 赛门铁克公司为证券行业提供： 针对操作系统的备份和恢复解决方案 操作系统备份和裸机恢复BMR 针对业务数据的备份和恢复解决方案 基于 SAN 存储网络的高性能 LAN-FREE 备份方案 基于 LAN 以太网的经济型 LAN 备份方案 3.2.1 操作系统备份和裸机恢复操作系统备份和裸机恢复BMR Netbackup Bare Metal Restore 选件支持多种环境下的服务器完全恢复 （HP-UX、IBM AIX、Sun Solaris、Windows 和 LINUX 等） 在根卷(root volume)或操作系统无法运行的情况下，服务器的完全恢复对 系统管理员来说是一个严峻挑战。在这种情况下，必须执行 Bare Metal(裸机) 恢复，以重建机器配置，提供必要的操作系统组件，使 NetBackup 软件能够 恢复相应的应用和数据。目前，有多种技术和工具能够解决该问题，但它们 都存在很大缺陷。 手动恢复需要耗费大量时间。用户必须首先重新安装机器的操作系统和 应用程序，恢复数据，然后修复配置，调节重装和恢复的数据之间的所有差 异。使用这种方法恢复机器需要花费几天时间，最终通常无法完全恢复机器， 另外，这种恢复方法非常容易出错。其中许多错误非常难以察觉，需要多花 几天时间才能发现、排除和纠正。 现在出现了一些自动工具，尝试缩短完全恢复服务器的时间，并消除人 为错误。直到最近，这些工具仍然是发生灾难性系统故障后完全恢复服务器 的唯一解决方案。但这些工具也存在缺陷。它们必须在特定平台上使用，并 且需要管理员熟练掌握专业技术，这些因素妨碍了通用工具的使用，不利于 降低成本和减少人为错误。这些传统的技术需要在恢复过程中使用专门的冗 余备份或独特的系统镜像，因而会浪费存储空间、带宽和人力。由于这些技 术对于管理员来说是低效和繁复的，因此这些特殊备份和镜像通常是过时的， 在系统恢复过程中的作用不是很大。因此，您从特殊备份或镜像恢复机器时， 备份或镜像可能与 NetBackup 服务器上的数据完全不同步。当您试图将在不 同时间备份的数据整合到一起时，您将无法确保连贯的系统恢复。 随着 SYMANTEC NetBackup Bare Metal Restore 选件的推出，NetBackup 软 件具备了执行异构、自动的完全系统恢复的必备补充功能。使用 SYMANTEC NetBackup Bare Metal Restore 选件，它能实现： 简单、自动、无故障的恢复。 通用用户界面（NetBackup 管理控制台） 适用于所有主要企业平台的一种服务器完全恢复解决方案，可利用您现 有的 NetBackup 基础架构。 通过实现自动化和集中管理，使用通用工具和程序，以及成本更低的人 员技能，从而降低成本，消除多余的资源消耗，提高系统恢复的并行性。 其结果是 NetBackup Bare Metal Restore 选件可将服务器恢复减少到简单 的两步程序： 通过基于浏览器的 NetBackup Bare Metal Restore 图形用户界面或命令行， 发出“准备恢复”命令。 重新引导系统。 NetBackup Bare Metal Restore 选件的性能效率通过功能的智能区分实现， 它提供的主要功能包括： 在系统恢复过程中，自动定时保存每个受保护系统的元数据(meta-data)， 包括磁盘配置和分区信息以及 TCP/IP 信息。 支持恢复基础架构，该架构可提供系统恢复所需的所有文件和服务，包 括进行无盘网络引导、临时操作系统安装、磁盘配置的功能。 动态地生成定制的恢复程序。该程序可定制特定系统的恢复，而不是等 到“准备恢复”命令发出之后才恢复。 NetBackup Bare Metal Restore 客户端的可执行程序安装在每一个受保护的 系统上。Bare Metal Restore 客户端的主要功能是保存每次执行预定备份操作 时的系统配置的最新快照。该快照被称为客户端的“元数据”。在 Bare Metal Restore 系统恢复过程中，元数据是重建机器所必需的。在 Windows 平 台上，Bare Metal Restore 客户端还负责创建/修改 SRT，创建可引导软盘。在 每次预定备份操作之前，Bmrsavecfg 程序能够即时保存客户端的当前元数据。 Bmrsavecfg 程序可以通过 bpstart_notify 与 Bare Metal Restore 的预定备份集成。 3.2.2 基于基于 SAN 存储网络的高性能存储网络的高性能 LAN-FREE 备份方案备份方案 具有 SSO 能力的服务器可以将内部数据直接备份到磁带机上，而无须先 将数据传递到备份主服务器，从而极大提高了备份速度，并节省了宝贵的网 络带宽。 备份主服务器 介质服务器 在上面示意图中，除备份主服务器外，C01 和 C02 为介质服务器。服务 器和磁盘阵列以及磁带库都通过光纤通道连接到两个冗余的存储光纤交换机 上，备份软件安装在几台服务器上，这样，每一台服务器均可以通过 SAN 来 直接访问磁带库，数据的备份合恢复都通过 SAN 来进行，不通过 LAN，LAN 上只传输极少量的控制信息。 基于该思想，系统的备份软件采用了 SYMANTEC 的企业级备份产品 Netbackup， 以提供 shared storage option 的共享备份机制，实现系统的高性 能备份。 系统的核心部分主要采用一台备份主服务器，配置 Netbackup SAN Master Server 、Drive support(按磁带机的数量)和 shared storage option 等，作为备 份中心，该服务器将提供磁带库机械手的控制和整个系统备份策略的制定和 集中管理。 其余的服务器（介质服务器）配置 SAN Media Server 以及 Oracle 数据库 的备份代理模块。磁带库和磁盘阵列直接与光纤交换机相连。这种系统结构 充分利用了 SAN 结构的优点，服务器上的备份数据流从磁盘阵列经由光纤交 换机，直接传送给磁带库，不经过公用网络，因而不会对网络的带宽与性能 造成任何影响。任何一台机器都可以直接控制磁带库的读写，并通过 SSO 选 项共享存储介质。 Netbackup 的 Shared Storage Option（SSO）组件，是目前为数极少的支持 共享磁带机直接备份的软件产品。SSO 是一项共享磁带库软件技术，它指定 某台服务器作为对存储进行协调的主服务器，可实现多台服务器协调备份， 从而解决 SCSI 技术中多台服务器备份冲突问题。它彻底解决了光通道技术下 的共享备份问题。 在上述方案中，SYMANTEC 的 Netbackup 软件和 Shared Storage Option（SSO）构成 LAN Free 备份的基本框架。LAN Free 备份具有以下特点： 采用光纤存储网络技术，磁带库与光纤交换网络相连； SCSI 的磁带库产品可以通过连接设备连入光纤网络； 多台服务器进行数据的直接备份，无须经过局域网，减少应用网络的压 力，节省网络资源； 通过 SSO，多台服务器可共享磁带机，构成完整的备份系统。 Netbackup+SSO 的 LAN Free 备份经过验证，被证明是目前最有效的 SAN 备份模式。 3.2.3 基于基于 LAN 以太网的经济型以太网的经济型 LAN 备份方案备份方案 对于那些数据量不大，网络带宽足够的系统，可以采用经济型 LAN 备份 方案，所有数据通过以太网传输至介质服务器（如果介质服务器与备份服务 器合一，则传输至备份服务器），再由