论文部分内容阅读
内容提要:当今中国各商业银行已开始实行全面信息电子化,数据集中化建设开始逐步普及,但同时也带来了数据风险的集中化,因而灾难备份这一重要的信息电子化逐步得到重视。本文主要对中国商业银行灾难备份系统的建设方案提出了一些建议。
关键词:商业银行 灾难 灾难备份 系统建设
中图分类号:F831.0文献标识码:A 文章编号:1006-1770(2007)06-062-02
一、灾难备份的基本定义
近年中国银行业逐步实行全面信息电子化,数据集中化建设开始普及,与此同时亦带来了数据风险的集中化,天灾人祸是无法避免的,任何对银行系统的破坏都可能影响到用户及银行本身的利益。那么,灾难备份这一重要话题将无法回避。
灾难备份的重要性显而易见,2001年“9.11”事件中,1000多家公司遭受损失,其数据资料流失严重,但其中做了异地备份的,当天就在其他地方恢复办公,而没有做灾难备份的,由于数据问题逐渐倒闭或消失等。在此次事件中,德意志银行在世贸大厦内的办公中心被摧毁,顿时失去与世界金融市场的业务联系,但几乎同时,其在芬兰的备份系统随即启用,当天继续完成超过3000亿美元的巨额交易。这些事例充分说明了灾难备份系统对当今商业银行信息系统的巨大作用。
根据2005中华人民共和国国务院颁布的《重要信息系统灾难恢复指南》中对灾难的定义,灾难是指由于人为或自然的原因,造成系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发事件。同时该《指南》对灾难备份的定义为:为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。而灾难恢复的定义为:将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
二、中国商业银行灾难备份建设方案构想
在目前现有的灾难备份建设模式中,主要可行的有两种,即“两地两中心”与“两地三中心”灾难备份模式。这两种灾难备份模式各有特点,认真比较分析这两种模式的构架和系统,对中国商业银行如何建设灾难备份系统有着重要的指导意义。
“两地两中心”模式,采用的是生产中心,异地灾难备份中心的备份模式。生产中心定时向异地灾难备份中备份当天的数据。灾难备份中心的数据比生产中心滞后,一般仅能达到4-5级的备份恢复能力。也就是说生产中心发生灾难时,会出现一定量的数据丢失,丢失的数据是灾难前生产中心向灾难备份中心最后一次异地复制完成后,到发生灾难时间段内产生的业务数据,故为RPO>0。虽然“两地两中心”建设成本和运作成本较低,但系统存在一定的缺陷。
“两地三中心”模式,即在异地建立一个灾难备份中心的基础上,在同城建立一个备份中心,同城备份中心与生产中心数据实时同步,异地灾难备份中心与同城备份中心数据实时复制。当生产中心发生灾难时,由于同城备份中心与生产中心是同步的,数据不会丢失,同城数据备份中心的数据可以继续追加至灾难备份中心,不会造成任何业务数据的丢失,即RPO=0;当生产中心和同城数据备份中心同时发生灾难时,仅存异地灾难备份中心,会丢失灾难前同城数据备份中心向异地灾难备份中心最后一次异步复制完成后,到发生灾难时间段内产生的业务数据,此时RPO>0。
同城备份中心有两种建设模式:一是建设灾难备份中心,二是建设数据备份中心。建设灾难备份中心,当生产中心发生灾难时,由于该中心数据是与本地生产中心实时同步的,并且拥有主机、网络、存储等设备,故可迅速接管生产中心。建设数据备份中心,该中心存储生产中心所有数据的副本,当生产中心数据发生灾难时,启用数据副本作为生产数据;当整个生产中心发生灾难时,该中心没有主机设备,不能接管生产中心,启用数据副本对异地灾难备份中心的数据进行追加,数据追加的过程需要一定的时间,故其RTO要比灾难备份中心的略大。
然而相比数据备份中心,灾难备份中心需要购置昂贵的主机设备,建设成本和维护成本很高。并且向灾难备份中心切换是小概率事件,在同样满足数据不丢失的情况下,数据备份中心的成本较低。由此可见,在对小概率事件的预防为基准的灾难备份系统建设情况下,同城备份中心可以建设为数据备份中心,以降低成本。中国商业银行的灾难备份系统也应该在同城备份中心的建设中选择建立数据备份中心这样的模式,从而降低建设成本。
为了实现数据的同步复制,同城数据备份中心和生产中心之间的距离一般设置在100公里以内,而同城数据备份中心和异地灾难备份中心之间距离较远,必须使用数据异步复制方式。数据同步复制在技术上可以有多种方式实现。在硬件技术上,可以利用存储的数据同步复制功能实现;在软件技术上,可以利用系统软件来实现。这两种技术各有优缺点,但都能够实现生产中心和数据备份中心数据的镜像。
异步复制方式对带宽及通讯距离的要求较低,只要求在某个时间段内能将所有数据复制到异地的备份中心即可,同时异步复制方式也不会影响生产中心的顺利运作。数据异步复制在技术上亦可分为硬件及软件两类。在硬件技术上,可以利用存储系统的数据异步复制功能来实现;而在软件技术上,可以利用系统软件来实现。
在具体的技术方面,由于目前中国商业银行系统多为UNIX系统。EMC的远程数据备份软件(Symmetrix Remote Data Facility,简称SRDF) 可以在多种操作系统下使用,是可以选用的主要软件之一。在数据中心发生故障时,系统管理人员可以快速地从源系统切换到目标系统。当主结点的故障排除之后,通信连接被重新建立后,SRDF能够自动地在结点之间进行数据同步,从而使正常运作得以恢复。数据复制通道既可以采用传统的IP网络,也可支持光纤通道、T1/T3, El/E3, ATM和波分多路复用等多种方式。在SRDF提供三种工作模式中,同步模式可以在“两地三中心”的模式中被选用。它在Symmetrix源系统和远程目标系统之间提供实时数据镜像,在应用的I/O结束之前,数据被实时同步地写入两个系统的高速缓存中,从而确保数据的最大可靠性。
2002年国家才提出了对商业银行建设灾难备份中心的要求,因此我国的商业银行的灾难备份中心的建设目前还处在起步的阶段。一般灾难备份中心的建设工作可以选择自建或外包两种,在灾难备份中心的自建过程中,可以根据灾难备份需求的轻重缓急,以及经费情况,分阶段地逐步实施。首先可以利用已闲置或升级时所换下来的主机系统和设备搭建一个核心系统,以满足对重要资金数据的备份。此时RPO>0。第二步则可以将生产中心数据主机和备份中心分别升级到SAN的架构,两个机房主机之间建立基于FC或IP的SAN的互联协议通道进行远程数据复制,从而达到RPO=0。最后逐步添加对其它银行数据资料的备份系统,以达到对银行所有业务数据的备份,最终目的是实现对银行完整数据的数据灾难备份,且RPO=0。
当然自建灾难备份系统用以应对极小概率的自然灾难或其它灾难的发生,显然投入与回报的比值是极低的。自建一个完整的灾难备份系统的成本是极高的(数亿),且整个的建设周期亦是极长的(24个月或更长),而日常的备份系统维护亦对专业技术知识的要求十分高。因此对于中小型规模的商业银行,可以考虑采用外包模式的灾难备份系统。
所谓外包模式,即借助于专业公司的设备、技术、管理来建立自己的灾难备份系统。但是目前国内的IT外包行业在这方面还不成熟,处于刚刚起步阶段。当然采用外包模式的同时还存在着客户数据安全保密等问题。中国内地第一家为商业银行提供灾难备份外包服务的高阳万国为已深圳发展银行做了全面的数据灾难备份工作。同时IBM也在北京和广州成立了为客户服务的灾难恢复中心,再连同在上海外高桥保税区建立的“ETC灾难备份中心”。并且三地的备份中心采用了相同规模和等级的设备,利用专用光纤实现数据的热备份。这也预示着IBM的“业务连续和灾难恢复”服务已在中国地区全面推出。而国际灾难备份巨头SunGuard也已随WTO进入中国,其在全球占有超过50%的市场份额,相信也会在近年逐步推出适合中国商业银行特点的灾难备份系统与建设实际的备份中心。随着灾难备份外包服务的日趋成熟和多样化,采用外包模式必将会成为中小型商业银行灾难备份中心建设的一个十分可行的选择。
根据银行的不同规模可选用不同形式的灾难备份系统模式是十分必要的。大型的国家商业银行选择自建灾难备份中心的模式可以保证数据的安全与保密性。然而外包在不考虑保密问题的情况下确实是中小型商业银行的首选,银行管理人员可以无须考虑更多备份数据的安全性并且在维持与建设的经费方面有更少的投入。
综合以上各类因素,采用“两地三中心”的建设模式更加符合中国大型商业银行目前的实际需求,能够达到6级灾难备份的方案的要求,不仅效率高,而且在可靠性方面有很好的保障。
作者简介:
张俍 华东师范大学计算机科学与技术系
关键词:商业银行 灾难 灾难备份 系统建设
中图分类号:F831.0文献标识码:A 文章编号:1006-1770(2007)06-062-02
一、灾难备份的基本定义
近年中国银行业逐步实行全面信息电子化,数据集中化建设开始普及,与此同时亦带来了数据风险的集中化,天灾人祸是无法避免的,任何对银行系统的破坏都可能影响到用户及银行本身的利益。那么,灾难备份这一重要话题将无法回避。
灾难备份的重要性显而易见,2001年“9.11”事件中,1000多家公司遭受损失,其数据资料流失严重,但其中做了异地备份的,当天就在其他地方恢复办公,而没有做灾难备份的,由于数据问题逐渐倒闭或消失等。在此次事件中,德意志银行在世贸大厦内的办公中心被摧毁,顿时失去与世界金融市场的业务联系,但几乎同时,其在芬兰的备份系统随即启用,当天继续完成超过3000亿美元的巨额交易。这些事例充分说明了灾难备份系统对当今商业银行信息系统的巨大作用。
根据2005中华人民共和国国务院颁布的《重要信息系统灾难恢复指南》中对灾难的定义,灾难是指由于人为或自然的原因,造成系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发事件。同时该《指南》对灾难备份的定义为:为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。而灾难恢复的定义为:将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
二、中国商业银行灾难备份建设方案构想
在目前现有的灾难备份建设模式中,主要可行的有两种,即“两地两中心”与“两地三中心”灾难备份模式。这两种灾难备份模式各有特点,认真比较分析这两种模式的构架和系统,对中国商业银行如何建设灾难备份系统有着重要的指导意义。
“两地两中心”模式,采用的是生产中心,异地灾难备份中心的备份模式。生产中心定时向异地灾难备份中备份当天的数据。灾难备份中心的数据比生产中心滞后,一般仅能达到4-5级的备份恢复能力。也就是说生产中心发生灾难时,会出现一定量的数据丢失,丢失的数据是灾难前生产中心向灾难备份中心最后一次异地复制完成后,到发生灾难时间段内产生的业务数据,故为RPO>0。虽然“两地两中心”建设成本和运作成本较低,但系统存在一定的缺陷。
“两地三中心”模式,即在异地建立一个灾难备份中心的基础上,在同城建立一个备份中心,同城备份中心与生产中心数据实时同步,异地灾难备份中心与同城备份中心数据实时复制。当生产中心发生灾难时,由于同城备份中心与生产中心是同步的,数据不会丢失,同城数据备份中心的数据可以继续追加至灾难备份中心,不会造成任何业务数据的丢失,即RPO=0;当生产中心和同城数据备份中心同时发生灾难时,仅存异地灾难备份中心,会丢失灾难前同城数据备份中心向异地灾难备份中心最后一次异步复制完成后,到发生灾难时间段内产生的业务数据,此时RPO>0。
同城备份中心有两种建设模式:一是建设灾难备份中心,二是建设数据备份中心。建设灾难备份中心,当生产中心发生灾难时,由于该中心数据是与本地生产中心实时同步的,并且拥有主机、网络、存储等设备,故可迅速接管生产中心。建设数据备份中心,该中心存储生产中心所有数据的副本,当生产中心数据发生灾难时,启用数据副本作为生产数据;当整个生产中心发生灾难时,该中心没有主机设备,不能接管生产中心,启用数据副本对异地灾难备份中心的数据进行追加,数据追加的过程需要一定的时间,故其RTO要比灾难备份中心的略大。
然而相比数据备份中心,灾难备份中心需要购置昂贵的主机设备,建设成本和维护成本很高。并且向灾难备份中心切换是小概率事件,在同样满足数据不丢失的情况下,数据备份中心的成本较低。由此可见,在对小概率事件的预防为基准的灾难备份系统建设情况下,同城备份中心可以建设为数据备份中心,以降低成本。中国商业银行的灾难备份系统也应该在同城备份中心的建设中选择建立数据备份中心这样的模式,从而降低建设成本。
为了实现数据的同步复制,同城数据备份中心和生产中心之间的距离一般设置在100公里以内,而同城数据备份中心和异地灾难备份中心之间距离较远,必须使用数据异步复制方式。数据同步复制在技术上可以有多种方式实现。在硬件技术上,可以利用存储的数据同步复制功能实现;在软件技术上,可以利用系统软件来实现。这两种技术各有优缺点,但都能够实现生产中心和数据备份中心数据的镜像。
异步复制方式对带宽及通讯距离的要求较低,只要求在某个时间段内能将所有数据复制到异地的备份中心即可,同时异步复制方式也不会影响生产中心的顺利运作。数据异步复制在技术上亦可分为硬件及软件两类。在硬件技术上,可以利用存储系统的数据异步复制功能来实现;而在软件技术上,可以利用系统软件来实现。
在具体的技术方面,由于目前中国商业银行系统多为UNIX系统。EMC的远程数据备份软件(Symmetrix Remote Data Facility,简称SRDF) 可以在多种操作系统下使用,是可以选用的主要软件之一。在数据中心发生故障时,系统管理人员可以快速地从源系统切换到目标系统。当主结点的故障排除之后,通信连接被重新建立后,SRDF能够自动地在结点之间进行数据同步,从而使正常运作得以恢复。数据复制通道既可以采用传统的IP网络,也可支持光纤通道、T1/T3, El/E3, ATM和波分多路复用等多种方式。在SRDF提供三种工作模式中,同步模式可以在“两地三中心”的模式中被选用。它在Symmetrix源系统和远程目标系统之间提供实时数据镜像,在应用的I/O结束之前,数据被实时同步地写入两个系统的高速缓存中,从而确保数据的最大可靠性。
2002年国家才提出了对商业银行建设灾难备份中心的要求,因此我国的商业银行的灾难备份中心的建设目前还处在起步的阶段。一般灾难备份中心的建设工作可以选择自建或外包两种,在灾难备份中心的自建过程中,可以根据灾难备份需求的轻重缓急,以及经费情况,分阶段地逐步实施。首先可以利用已闲置或升级时所换下来的主机系统和设备搭建一个核心系统,以满足对重要资金数据的备份。此时RPO>0。第二步则可以将生产中心数据主机和备份中心分别升级到SAN的架构,两个机房主机之间建立基于FC或IP的SAN的互联协议通道进行远程数据复制,从而达到RPO=0。最后逐步添加对其它银行数据资料的备份系统,以达到对银行所有业务数据的备份,最终目的是实现对银行完整数据的数据灾难备份,且RPO=0。
当然自建灾难备份系统用以应对极小概率的自然灾难或其它灾难的发生,显然投入与回报的比值是极低的。自建一个完整的灾难备份系统的成本是极高的(数亿),且整个的建设周期亦是极长的(24个月或更长),而日常的备份系统维护亦对专业技术知识的要求十分高。因此对于中小型规模的商业银行,可以考虑采用外包模式的灾难备份系统。
所谓外包模式,即借助于专业公司的设备、技术、管理来建立自己的灾难备份系统。但是目前国内的IT外包行业在这方面还不成熟,处于刚刚起步阶段。当然采用外包模式的同时还存在着客户数据安全保密等问题。中国内地第一家为商业银行提供灾难备份外包服务的高阳万国为已深圳发展银行做了全面的数据灾难备份工作。同时IBM也在北京和广州成立了为客户服务的灾难恢复中心,再连同在上海外高桥保税区建立的“ETC灾难备份中心”。并且三地的备份中心采用了相同规模和等级的设备,利用专用光纤实现数据的热备份。这也预示着IBM的“业务连续和灾难恢复”服务已在中国地区全面推出。而国际灾难备份巨头SunGuard也已随WTO进入中国,其在全球占有超过50%的市场份额,相信也会在近年逐步推出适合中国商业银行特点的灾难备份系统与建设实际的备份中心。随着灾难备份外包服务的日趋成熟和多样化,采用外包模式必将会成为中小型商业银行灾难备份中心建设的一个十分可行的选择。
根据银行的不同规模可选用不同形式的灾难备份系统模式是十分必要的。大型的国家商业银行选择自建灾难备份中心的模式可以保证数据的安全与保密性。然而外包在不考虑保密问题的情况下确实是中小型商业银行的首选,银行管理人员可以无须考虑更多备份数据的安全性并且在维持与建设的经费方面有更少的投入。
综合以上各类因素,采用“两地三中心”的建设模式更加符合中国大型商业银行目前的实际需求,能够达到6级灾难备份的方案的要求,不仅效率高,而且在可靠性方面有很好的保障。
作者简介:
张俍 华东师范大学计算机科学与技术系