信息安全技术 第9讲 灾备技术.ppt

信信 息息 安安 全全 技技 术术第第9讲讲 灾备技术灾备技术2本模块提纲本模块提纲1.为什么需要灾备为什么需要灾备2.灾备的概念灾备的概念3.数据容灾数据容灾4.网络容灾网络容灾5.服务容灾服务容灾6.容灾规划容灾规划7.灾备技术的发展演化灾备技术的发展演化8.政策及市场政策及市场参考书：参考书：《《信息系统容灾抗毁原理与应用信息系统容灾抗毁原理与应用》》作者：李涛等作者：李涛等人民邮电出版社，人民邮电出版社，200731 为什么需要灾备？ l不愿回首的不愿回首的““512512””在夺去了众多同胞的生命的同时也从在夺去了众多同胞的生命的同时也从物理上破坏了四川的许多信息系统（比如，电子政务系统、物理上破坏了四川的许多信息系统（比如，电子政务系统、金融数据系统等）致使若干重要数据丢失，系统瘫痪金融数据系统等）致使若干重要数据丢失，系统瘫痪4l20082008年春节期间的冰雪灾害对电力和通信系统等造成重年春节期间的冰雪灾害对电力和通信系统等造成重大损失，许多信息系统的服务被中断虽然从物理角度看大损失，许多信息系统的服务被中断虽然从物理角度看损毁小于地震，但同样也使得大量的重要数据丢失，系统损毁小于地震，但同样也使得大量的重要数据丢失，系统瘫痪瘫痪1 为什么需要灾备？ 5l911911事件发生后，世贸中心事件发生后，世贸中心12001200家企业的信息化系统（其家企业的信息化系统（其中不乏摩根士丹利这样的巨型跨国公司的信息中心）全部中不乏摩根士丹利这样的巨型跨国公司的信息中心）全部损毁，本地数据全部丢失损毁，本地数据全部丢失1 为什么需要灾备？ 6l20022002年年7 7月月2323日，北京首都国际机场离港系统出现故障停日，北京首都国际机场离港系统出现故障停机机1 1小时，小时，6060个航班和约个航班和约60006000名旅客被延迟名旅客被延迟1 为什么需要灾备？ 7l上海市轨道交通上海市轨道交通4 4号线号线20032003年年7 7月月1 1日凌晨发生险情，临江日凌晨发生险情，临江花苑大厦内的劳动保障局和市财税局的重要信息系统被迫花苑大厦内的劳动保障局和市财税局的重要信息系统被迫中断和搬迁中断和搬迁1 为什么需要灾备？ 8l20082008年年1111月月8 8日，北京火车站售票系统死机瘫痪，不得已采日，北京火车站售票系统死机瘫痪，不得已采用手写无座票的售票方式进行应急处理，直到用手写无座票的售票方式进行应急处理，直到5 5小时后系统小时后系统才修复才修复1 为什么需要灾备？ 9n从这些案例我们可以看出，信息系统灾从这些案例我们可以看出，信息系统灾难距离我们是多么的近、多么的直接、难距离我们是多么的近、多么的直接、多么的频繁！远非我们想象的是遥不可多么的频繁！远非我们想象的是遥不可及的事情！及的事情！10灾难的分类灾难的分类n自然灾难自然灾难n水火风雷电、地震等水火风雷电、地震等n战争、瘟疫等战争、瘟疫等n人为灾难人为灾难n人为失误、非授权操作等人为失误、非授权操作等n恶意操作、病毒入侵等恶意操作、病毒入侵等n技术灾难技术灾难n设备故障（硬件损坏、电力中断等）设备故障（硬件损坏、电力中断等）n设计故障（软设计故障（软/硬件设计故障等）硬件设计故障等）11自然灾难自然灾难n自然灾难的特征是灾难区域被完全自然灾难的特征是灾难区域被完全孤立孤立隔离、信息设备隔离、信息设备损毁损毁严重、人员严重、人员伤亡伤亡严严重，重，本地数据信息难以获取或保全、本本地数据信息难以获取或保全、本地系统难以在短时间内恢复或重建地系统难以在短时间内恢复或重建、灾、灾难对信息系统的影响和范围难以控制难对信息系统的影响和范围难以控制n一言以蔽之，那就是一言以蔽之，那就是“本地系统完全损本地系统完全损毁毁”，因此，远程备份（同城或异地备，因此，远程备份（同城或异地备份）是对付这类灾难的首选手段份）是对付这类灾难的首选手段12人为灾难人为灾难n主要是人为造成的，以主要是人为造成的，以人的主观动机人的主观动机作为其划作为其划分的标准，其特征在于灾难的发生机率大、危分的标准，其特征在于灾难的发生机率大、危害具有潜伏性和突变性、表现形式多种多样，害具有潜伏性和突变性、表现形式多种多样，造成的直接后果包括造成的直接后果包括丢失或泄漏重要数据信息丢失或泄漏重要数据信息、、性能降低性能降低乃至乃至丧失系统服务功能丧失系统服务功能、、软件系统崩软件系统崩溃溃或者或者硬件设备损坏硬件设备损坏。

n应对这类灾难的有效手段是：信息安全技术和应对这类灾难的有效手段是：信息安全技术和容错设计技术容错设计技术13技术灾难技术灾难n设备故障设备故障——主要是以硬件器件的损伤主要是以硬件器件的损伤为典型特征，采用同构的硬件冗余技术为典型特征，采用同构的硬件冗余技术可以获得较为理想的灾备效果；可以获得较为理想的灾备效果；n设计故障设计故障——主要来自人为考虑不周或主要来自人为考虑不周或逻辑错误，设计错误是其典型特征，采逻辑错误，设计错误是其典型特征，采用相异性的冗余设计方法才有可能从根用相异性的冗余设计方法才有可能从根本上解决这类问题本上解决这类问题14n市场调研公司市场调研公司Strategic Research Corporation调查结果显示，各行业在遭受灾调查结果显示，各行业在遭受灾难后造成服务中断所带来的损失十分巨大（难后造成服务中断所带来的损失十分巨大（每每小时平均损失小时平均损失））n证券业：证券业：650万美元万美元n信用卡服务：信用卡服务：260万美元万美元nATM：：1.45万美元万美元n……n各行业平均各行业平均8.4万美元万美元15信息系统灾难根源信息系统灾难根源n客观原因客观原因n天灾无法控制天灾无法控制n人祸不可避免人祸不可避免n信息系统存在生存期信息系统存在生存期n主观原因主观原因n信息系统技术本身存在缺陷信息系统技术本身存在缺陷n信息系统缺乏灾难防护能力信息系统缺乏灾难防护能力16信息系统灾难直接后果信息系统灾难直接后果n信息系统平台（有形资产）信息系统平台（有形资产）n硬件系统损毁硬件系统损毁n软件系统崩溃软件系统崩溃n企业生产中断企业生产中断n信息丢失（无形资产）信息丢失（无形资产）n数据信息丢失数据信息丢失n系统服务中止系统服务中止n企业信誉受损企业信誉受损17为什么需要灾备？ 未未建建设设灾灾备备系系统统时时已已建建设设灾灾备备系系统统后后182 灾备的概念灾备的概念n2.1 灾备的概念灾备的概念n2.2 术语术语n2.3 容灾系统容灾系统n2.4 容灾系统的体系结构容灾系统的体系结构19n灾难备份，简称灾备，就是指利用灾难备份，简称灾备，就是指利用技术技术、、管理管理手段以及相关手段以及相关资源资源确保确保关键数据、关键数据、关键数据处理系统和关键业务关键数据处理系统和关键业务在在灾难发灾难发生后可以尽可能多且快地恢复生后可以尽可能多且快地恢复的过程的过程n灾备的目的就是确保关键业务持续运行灾备的目的就是确保关键业务持续运行以及减少非计划宕机时间以及减少非计划宕机时间202.1 灾备的概念n灾备灾备n狭义灾备：包括灾难备份系统（存储狭义灾备：包括灾难备份系统（存储领域）领域）n广义灾备：包括广义灾备：包括灾难备份灾难备份和和灾难恢复灾难恢复两层含义两层含义n容灾容灾n与广义灾备等价（涵盖了与广义灾备等价（涵盖了容错领域、容错领域、存储领域存储领域和和信息安全信息安全领域）领域）21广义信息系统灾备－容灾n从严格意义上说，灾备应该称为灾难备份与从严格意义上说，灾备应该称为灾难备份与恢复（恢复（disaster backup and recovery））n灾难前的备份灾难前的备份Ø不仅仅做到数据信息的不仅仅做到数据信息的备份备份和日志，更重要的还包和日志，更重要的还包括信息系统构建过程中括信息系统构建过程中容灾体系结构的设计容灾体系结构的设计、提前、提前制定的灾难制定的灾难应急预案与恢复计划应急预案与恢复计划等等n灾难后的恢复灾难后的恢复Ø应急服务系统或者备份系统的业务应急服务系统或者备份系统的业务接管接管、数据、数据/系统系统/服务服务迁移迁移过程中的安全管理、系统灾难损失评估等过程中的安全管理、系统灾难损失评估等22容灾的作用容灾的作用n减少企业因灾难而造成的损失减少企业因灾难而造成的损失n有效保护信息系统的重要数据，减少企业经济利益有效保护信息系统的重要数据，减少企业经济利益损失、客户流失和对企业形象的负面影响损失、客户流失和对企业形象的负面影响n保护关键资源和业务流程保护关键资源和业务流程n最大限度地保障信息系统的运行最大限度地保障信息系统的运行n在尽可能短的时间内恢复企业业务在尽可能短的时间内恢复企业业务n将企业的业务快速切换到容灾中心，尽快恢复将企业的业务快速切换到容灾中心，尽快恢复n履行合同义务履行合同义务n容灾技术能保障信息系统的连续运行，使企业能高容灾技术能保障信息系统的连续运行，使企业能高质量地完成对客户的承诺质量地完成对客户的承诺232.2 术语术语n灾难灾难n对一个计算机信息系统而言，一切引起系统发生严对一个计算机信息系统而言，一切引起系统发生严重故障、非正常停机、信息系统支持的业务功能停重故障、非正常停机、信息系统支持的业务功能停顿或服务水平不可接受的事件顿或服务水平不可接受的事件n容灾容灾n在灾难发生时确保企业正常经营活动保持连续性的在灾难发生时确保企业正常经营活动保持连续性的过程过程。

该过程不仅着眼于企业主要功能和系统的该过程不仅着眼于企业主要功能和系统的恢恢复复，而且强调在，而且强调在尽可能短尽可能短的时间内恢复的时间内恢复n容灾技术容灾技术n为防止信息系统在遭受各种灾难时，造成系统服务为防止信息系统在遭受各种灾难时，造成系统服务停止和数据丢失而采取的解决方案停止和数据丢失而采取的解决方案242.2 术语术语n生产中心生产中心n正常情况下，企业正常情况下，企业信息系统运行所在地信息系统运行所在地（包括支持（包括支持企业业务应用系统正常运行所需的机房、数据存储企业业务应用系统正常运行所需的机房、数据存储设备、主机设备、网络设备及相应的办公配套设备设备、主机设备、网络设备及相应的办公配套设备等硬件设施，相应的应用软件和系统软件）等硬件设施，相应的应用软件和系统软件）n容灾中心容灾中心n为了减少灾难给企业造成的损失而为了减少灾难给企业造成的损失而在异地建设在异地建设的一的一套生产中心的套生产中心的同级克隆或降级克隆同级克隆或降级克隆，在（生产中心，在（生产中心不能处理的）灾难发生后，容灾中心接管生产中心不能处理的）灾难发生后，容灾中心接管生产中心的业务，保证企业业务的连续性的业务，保证企业业务的连续性252.2 术语术语n容灾外包容灾外包n企业选择企业选择外部专业技术与服务资源外部专业技术与服务资源替代内部替代内部资源来承担容灾系统的规划、建设、运营、资源来承担容灾系统的规划、建设、运营、管理和维护管理和维护n容灾规划容灾规划n为了减少灾难对信息系统的关键业务流程造为了减少灾难对信息系统的关键业务流程造成的影响而采取的一系列的成的影响而采取的一系列的计划措施计划措施262.2 术语术语n业务影响分析业务影响分析n分析业务功能及其相关信息系统资源，评估分析业务功能及其相关信息系统资源，评估特定灾难对各种业务功能的影响特定灾难对各种业务功能的影响n关键业务功能关键业务功能n如果中断一定时间就将显著影响企业或单位如果中断一定时间就将显著影响企业或单位运作的服务或职能运作的服务或职能272.2 术语术语n容灾演练容灾演练n用于训练人员和提高灾难恢复能力的活动，包括桌用于训练人员和提高灾难恢复能力的活动，包括桌面演练、模拟演练、操作演练和演习等面演练、模拟演练、操作演练和演习等n应急响应应急响应n为了应对紧急事件，尽量减少紧急事件对企业业务为了应对紧急事件，尽量减少紧急事件对企业业务或单位的职能带来的影响而采取的措施或单位的职能带来的影响而采取的措施n应急响应计划应急响应计划n要在最短的时间内达到最快的恢复，需要制作一个要在最短的时间内达到最快的恢复，需要制作一个路线图，详细说明在灾难之前、之中和之后应当采路线图，详细说明在灾难之前、之中和之后应当采取的行动，这个路线图被称为应急响应计划取的行动，这个路线图被称为应急响应计划282.3 容灾系统容灾系统n容灾的目的：防止信息系统在遭受灾难容灾的目的：防止信息系统在遭受灾难时造成系统服务停止和数据丢失时造成系统服务停止和数据丢失n容灾的实现：主要通过在异地建立和维容灾的实现：主要通过在异地建立和维护一个容灾中心，利用护一个容灾中心，利用地理上的分散性地理上的分散性来保证对灾难性事件的抵御能力来保证对灾难性事件的抵御能力n容灾系统应包含容灾系统应包含n数据容灾、网络容灾、服务容灾、容灾规划数据容灾、网络容灾、服务容灾、容灾规划29n数据容灾数据容灾n数据是企业的生命和灵魂，数据的破坏和不可恢复数据是企业的生命和灵魂，数据的破坏和不可恢复性，将导致整个容灾的失败。

性，将导致整个容灾的失败数据容灾是整个容灾数据容灾是整个容灾系统的基础和关键系统的基础和关键n网络容灾网络容灾n基于网络的应用越来越普遍网络的中断将导致业基于网络的应用越来越普遍网络的中断将导致业务的停顿、信息服务的不可用务的停顿、信息服务的不可用n网络容灾是指在网络出现故障或遭受灾难时，采用网络容灾是指在网络出现故障或遭受灾难时，采用相应的技术手段相应的技术手段使网络性能仍能维持一个可接受的使网络性能仍能维持一个可接受的服务水平服务水平30n服务容灾服务容灾n在灾难发生时，服务能够快速迁移，并对用在灾难发生时，服务能够快速迁移，并对用户保持透明，使户保持透明，使用户感觉不到灾难的发生和用户感觉不到灾难的发生和服务的迁移服务的迁移n容灾规划容灾规划n为了确保容灾的成功实施，必须制定容灾规为了确保容灾的成功实施，必须制定容灾规划，详细描述在灾难之前、之中和之后做什划，详细描述在灾难之前、之中和之后做什么，怎么做么，怎么做312.4 容灾系统的体系结构容灾系统的体系结构32n本地系统容灾本地系统容灾n主要通过对业务流程处理能力的主要通过对业务流程处理能力的有效冗余和故障切有效冗余和故障切换恢复换恢复来实现来实现n一方面通过各要素（如软件、数据库、服务器、存一方面通过各要素（如软件、数据库、服务器、存储设备等）储设备等）自身的可靠性自身的可靠性（如冗余设计、自检错、（如冗余设计、自检错、自纠错、自恢复）自纠错、自恢复）n另一方面，利用生产中心内已有的生产数据的另一方面，利用生产中心内已有的生产数据的备份备份，，以及冗余配置的业务处理能力，恢复业务运行以及冗余配置的业务处理能力，恢复业务运行n异地系统容灾异地系统容灾n用户接入系统容灾用户接入系统容灾33n本地系统容灾本地系统容灾n异地系统容灾异地系统容灾n通过物理距离将生产中心与容灾中心绝对隔通过物理距离将生产中心与容灾中心绝对隔离开，可以预防大范围的毁灭性灾难离开，可以预防大范围的毁灭性灾难n备用数据处理系统（生产中心的克隆）备用数据处理系统（生产中心的克隆）n生产中心和容灾中心的网络连接生产中心和容灾中心的网络连接n远程数据复制技术远程数据复制技术n用户接入系统容灾用户接入系统容灾34n本地系统容灾本地系统容灾n异地系统容灾异地系统容灾n用户接入系统容灾用户接入系统容灾n外部实体到生产中心的通信连接的外部实体到生产中心的通信连接的路径冗余路径冗余n发生故障时路径发生故障时路径自动切换自动切换到容灾中心到容灾中心353 数据容灾数据容灾n3.1 数据容灾技术数据容灾技术n3.2 数据备份方式数据备份方式363.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性对维持业务正常对维持业务正常运行的所有生产运行的所有生产数据进行保护数据进行保护373.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性保证被保护的生保证被保护的生产数据的各部分产数据的各部分在业务逻辑上的在业务逻辑上的一致性一致性383.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性保证在需要利用保证在需要利用数据备份恢复业数据备份恢复业务状态时，可顺务状态时，可顺利读出生产数据、利读出生产数据、恢复业务状态恢复业务状态393.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性生成完整的生产生成完整的生产数据的数据备份数据的数据备份频率。

频率越高，频率频率越高，实时性越好实时性越好403.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性生产数据保护机制生产数据保护机制随着随着IT基础结构和基础结构和业务的变化而不断业务的变化而不断扩展，适应能力即扩展，适应能力即可扩展性可扩展性413.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性生成生产数据的备份会生成生产数据的备份会占用一部分占用一部分IT资源，除资源，除利用其恢复业务状态之利用其恢复业务状态之外，利用其进行其他任外，利用其进行其他任务，如数据归档、报表务，如数据归档、报表生成等生成等423.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性技术本身应十分技术本身应十分成熟、稳定，其成熟、稳定，其自身不能成为新自身不能成为新的安全隐患的安全隐患433.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性应遵循行业的标应遵循行业的标准或建议，采用准或建议，采用标准的、开放性标准的、开放性的技术的技术443.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性应当尽量不对生产系统做应当尽量不对生产系统做大的变更。

应当是一个相大的变更应当是一个相对独立的技术，不干扰生对独立的技术，不干扰生产系统运行生产系统的产系统运行生产系统的变更，同样应尽量不影响变更，同样应尽量不影响其结构和运行其结构和运行453.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性监控业务状态的保护监控业务状态的保护机制的运行状态、运机制的运行状态、运行性能、故障处理的行性能、故障处理的能力，保证其按照设能力，保证其按照设定的保护要求运行定的保护要求运行463.1 数据容灾技术数据容灾技术n数据容灾技术要求数据容灾技术要求n完整性完整性n一致性一致性n可验证性可验证性n实时性实时性n可扩展性可扩展性n可重用性可重用性n可靠性可靠性n开放性开放性n透明性透明性n可管理性可管理性n集成性集成性所选择的技术，所选择的技术，应与整个容灾系应与整个容灾系统的其他部件良统的其他部件良好的集成好的集成473.2 数据备份方式数据备份方式n全备份全备份n对整个磁盘卷或逻辑磁盘进行备份对整个磁盘卷或逻辑磁盘进行备份n数据最全面，最完整数据最全面，最完整n数据量非常大，备份时间较长。

如果两次全数据量非常大，备份时间较长如果两次全备份时间间隔较短，会存在大量的重复数据备份时间间隔较短，会存在大量的重复数据n一般只在备份的最开始时采用一般只在备份的最开始时采用n增量备份增量备份n累积备份累积备份483.2 数据备份方式数据备份方式n全备份全备份n增量备份增量备份n只拷贝上次备份以后发生变化的文件只拷贝上次备份以后发生变化的文件n当发生灾难时，恢复数据比较麻烦当发生灾难时，恢复数据比较麻烦n累积备份累积备份493.2 数据备份方式数据备份方式n全备份全备份n增量备份增量备份n累积备份累积备份n每次备份的数据是在上一次每次备份的数据是在上一次全备份全备份之后新增之后新增加的和修改过的数据加的和修改过的数据n恢复相对简单恢复相对简单50n全备份、增量备份和累积备份可综合使用，以全备份、增量备份和累积备份可综合使用，以平衡数据恢复所需的时间平衡数据恢复所需的时间51时间时间星期日星期日星期一星期一星期二星期二星期三星期三星期四星期四星期五星期五星期六星期六备份类备份类型型全全备份份增量增量备份份增量增量备份份累累积备份份增量增量备份份增量增量备份份增量增量备份份备份拷备份拷贝中的贝中的数据数据星期日的星期日的完整数据完整数据库星期日星期日全全备份份后修改后修改和新增和新增的文件的文件星期一星期一备份后份后修改和修改和新增的新增的文件文件星期日星期日全全备份份后修改后修改和新增和新增的文件的文件星期三星期三备份后份后修改和修改和新增的新增的文件文件星期四星期四备份后份后修改和修改和新增的新增的文件文件星期五星期五备份后份后修改和修改和新增的新增的文件文件完整数完整数据库恢据库恢复顺序复顺序恢复星期恢复星期日的日的备份份恢复星恢复星期日的期日的全全备份份，，和和星期星期一的增一的增量量备份份恢复星恢复星期日的期日的全全备份份、、星期一星期一和星期和星期二的增二的增量量备份份恢复星恢复星期日的期日的全全备份份，，和和星期星期三的累三的累积备份份恢复星恢复星期日的期日的全全备份份、、星期三星期三的累的累积备份份和和星期四星期四的增量的增量备份份恢复星恢复星期日的期日的全全备份份、、星期三星期三的累的累积备份份、、星期四星期四和星期和星期五的增五的增量量备份份恢复星恢复星期日的期日的全全备份份、、星期三星期三的累的累积备份份、、星期四、星期四、五、六五、六的增量的增量备份份例：周备份计划表例：周备份计划表524 网络容灾网络容灾n网络可生存性（网络可生存性（survivability））n网络在遭受各种故障（如人为通信故障以及网络在遭受各种故障（如人为通信故障以及客观因素导致的通信事故等），甚至灾难性客观因素导致的通信事故等），甚至灾难性大故障（海啸、地震、水灾、火灾等导致的大故障（海啸、地震、水灾、火灾等导致的故障）时，仍能维持可接受的业务质量的能故障）时，仍能维持可接受的业务质量的能力力534 网络容灾网络容灾n网络可生存性包含两方面内容网络可生存性包含两方面内容n在在出现故障出现故障的情况下，网络通过各种恢复技的情况下，网络通过各种恢复技术，来术，来维持或恢复服务维持或恢复服务达到达到可接受程度可接受程度的能的能力力n应用网络预防技术，从网络故障中减轻或预应用网络预防技术，从网络故障中减轻或预防服务失效防服务失效54影响网络生存性的主要因素影响网络生存性的主要因素n硬件硬件设备失效设备失效n一台传输交换设备或一根光纤上承载的业务数量和一台传输交换设备或一根光纤上承载的业务数量和种类越来越多，设备中的一个元器件的失效或光纤种类越来越多，设备中的一个元器件的失效或光纤被切断将影响多个业务被切断将影响多个业务n网络设备中的网络设备中的软件软件缺陷问题缺陷问题n由于软件测试的不可遍历性，不可能检测出所有的由于软件测试的不可遍历性，不可能检测出所有的安全漏洞，给网络攻击者留下了可乘之机，同时也安全漏洞，给网络攻击者留下了可乘之机，同时也给通信网络系统埋下了整体崩溃的隐患给通信网络系统埋下了整体崩溃的隐患n不可抗拒的不可抗拒的自然灾害自然灾害和人为蓄意破坏和人为蓄意破坏55网络可生存性保护机制网络可生存性保护机制n采用专用资源的保护机制采用专用资源的保护机制n采用采用预先规划预先规划的方法分配网络资源，防止未来预期可的方法分配网络资源，防止未来预期可能出现的网络故障能出现的网络故障n通过事先对网络可能遭受的威胁进行分析，并对网络通过事先对网络可能遭受的威胁进行分析，并对网络中不同资源的中不同资源的重要重要性进行分级，性进行分级，预先分配保护资源预先分配保护资源n优点优点：保护通路的路由和需要的资源已实现：保护通路的路由和需要的资源已实现预留预留，网，网络失效恢复时间很短络失效恢复时间很短n缺点缺点：缺乏灵活性。

对预期外的故障不能做出良好反：缺乏灵活性对预期外的故障不能做出良好反应应n实时寻找可用资源的动态恢复机制实时寻找可用资源的动态恢复机制56网络可生存性保护机制网络可生存性保护机制n采用专用资源的保护机制采用专用资源的保护机制n实时寻找可用资源的动态恢复机制实时寻找可用资源的动态恢复机制n在网络出现故障后，采用动态策略寻找可用资在网络出现故障后，采用动态策略寻找可用资源，并采用源，并采用重选路由重选路由的方法绕过有故障的部件的方法绕过有故障的部件n优点优点：可更有效地利用网络资源；恢复机制有：可更有效地利用网络资源；恢复机制有更大的灵活性，适应能力更强，可用于预期外更大的灵活性，适应能力更强，可用于预期外的故障恢复的故障恢复n缺点缺点：故障恢复时间较长：故障恢复时间较长575 服务容灾服务容灾n服务容灾服务容灾n在生产中心的信息系统发生严重故障或灾难在生产中心的信息系统发生严重故障或灾难时，为了尽可能减少因业务停顿造成的损失，时，为了尽可能减少因业务停顿造成的损失，而制定的故障检测与定位、故障隔离和容灾而制定的故障检测与定位、故障隔离和容灾中心中心接管业务接管业务的步骤和方法等的步骤和方法等585 服务容灾服务容灾n服务容灾相关技术服务容灾相关技术n失效检测失效检测技术技术n对系统运行时的存活状态进行检测，可以及时发对系统运行时的存活状态进行检测，可以及时发现系统灾难，以便及时对系统实施补救措施现系统灾难，以便及时对系统实施补救措施n基于基于DNS的服务迁移技术的服务迁移技术n基于基于IP重定向的服务迁移技术重定向的服务迁移技术595 服务容灾服务容灾n服务容灾相关技术服务容灾相关技术n失效检测技术失效检测技术n基于基于DNS的的服务迁移服务迁移技术技术n发生灾难时，为了保证业务的连续性，必须实现发生灾难时，为了保证业务的连续性，必须实现系统的系统的透明迁移透明迁移，即从生产中心的系统迁移到容，即从生产中心的系统迁移到容灾中心的信息系统上。

最高要求是灾中心的信息系统上最高要求是“无缝迁移无缝迁移”n通过动态域名系统将发生故障的生产中心的业务通过动态域名系统将发生故障的生产中心的业务由容灾中心的业务应用系统接管由容灾中心的业务应用系统接管n基于基于IP重定向的服务迁移技术重定向的服务迁移技术605 服务容灾服务容灾基于动态基于动态DNS的服务迁移技术的服务迁移技术 61n生产中心和容灾中心运行在不同的端系生产中心和容灾中心运行在不同的端系统上，拥有统上，拥有相同的域名相同的域名或域名别名，但或域名别名，但具有具有不同的不同的IP地址地址由于两个中心使用由于两个中心使用相同的域名，因此域名关联着两个相同的域名，因此域名关联着两个IP地地址当用户进行址当用户进行DNS查询时，域名服务查询时，域名服务器响应两个器响应两个IP地址中的一个：地址中的一个：当生产中当生产中心运行正常时，返回生产中心的心运行正常时，返回生产中心的IP地址；地址；否则返回容灾中心的否则返回容灾中心的IP地址地址625 服务容灾服务容灾n服务容灾相关技术服务容灾相关技术n失效检测技术失效检测技术n基于基于DNS的服务迁移技术的服务迁移技术n基于基于IP重定向的重定向的服务迁移服务迁移技术技术n使用使用IP重定向设备，使用户的重定向设备，使用户的连接连接在生产中心在生产中心和容灾中心之间和容灾中心之间自动切换自动切换，以实现容灾抗毁的功，以实现容灾抗毁的功能以及业务连续性能以及业务连续性63正常情况下的用户访问正常情况下的用户访问64灾难情况下的用户访问灾难情况下的用户访问 656 容灾规划容灾规划n必要性必要性n随着信息技术的发展，单位和组织越来越依随着信息技术的发展，单位和组织越来越依赖于计算机信息系统和网络系统赖于计算机信息系统和网络系统n一旦发生故障或灾难，会导致重大损失一旦发生故障或灾难，会导致重大损失n容灾规划可以在信息系统的容灾规划可以在信息系统的最初设计阶段最初设计阶段就就考虑它们应对故障的可恢复性，考虑它们应对故障的可恢复性，变被动为主变被动为主动动66容灾规划六个阶段容灾规划六个阶段n项目计划阶段项目计划阶段n定义容灾规划项目的原则、范围和初级目标，定义定义容灾规划项目的原则、范围和初级目标，定义整个项目的进度和时间安排，如何分配必要的资源整个项目的进度和时间安排，如何分配必要的资源和人员来组建项目规划小组和人员来组建项目规划小组n风险分析阶段风险分析阶段n恢复策略选择阶段恢复策略选择阶段n项目实施阶段项目实施阶段n项目测试和培训阶段项目测试和培训阶段n维护阶段维护阶段67容灾规划六个阶段容灾规划六个阶段n项目计划阶段项目计划阶段n风险分析阶段风险分析阶段n对企业的业务和流程进行分析，对企业的业务和流程进行分析，识别识别关键业务流程关键业务流程和关键资源，进一步量化其存在的各种风险，确定和关键资源，进一步量化其存在的各种风险，确定各种业务的中断损失，定义恢复时间目标和恢复点各种业务的中断损失，定义恢复时间目标和恢复点目标，从而目标，从而确定恢复的优先顺序确定恢复的优先顺序。

最终确定容灾规最终确定容灾规划的详细目标划的详细目标n恢复策略选择阶段恢复策略选择阶段n项目实施阶段项目实施阶段n项目测试和培训阶段项目测试和培训阶段n维护阶段维护阶段68容灾规划六个阶段容灾规划六个阶段n项目计划阶段项目计划阶段n风险分析阶段风险分析阶段n恢复策略选择阶段恢复策略选择阶段n根据风险分析的结果，确定恢复根据风险分析的结果，确定恢复策略策略，选择，选择符合企业要求的、合适的容灾技术符合企业要求的、合适的容灾技术n项目实施阶段项目实施阶段n项目测试和培训阶段项目测试和培训阶段n维护阶段维护阶段69容灾规划六个阶段容灾规划六个阶段n项目计划阶段项目计划阶段n风险分析阶段风险分析阶段n恢复策略选择阶段恢复策略选择阶段n项目实施阶段项目实施阶段n部署和实施恢复策略中技术、产品和方法，建立企部署和实施恢复策略中技术、产品和方法，建立企业的容灾系统，并且形成详细的应急响应计划方案业的容灾系统，并且形成详细的应急响应计划方案n项目测试和培训阶段项目测试和培训阶段n维护阶段维护阶段70容灾规划六个阶段容灾规划六个阶段n项目计划阶段项目计划阶段n风险分析阶段风险分析阶段n恢复策略选择阶段恢复策略选择阶段n项目实施阶段项目实施阶段n项目测试和培训阶段项目测试和培训阶段n对应急响应计划进行测试，发现和修改计划中的缺对应急响应计划进行测试，发现和修改计划中的缺陷。

对企业相关人员进行应急计划职责的培训，以陷对企业相关人员进行应急计划职责的培训，以保障灾难发生时应急响应的顺利实施保障灾难发生时应急响应的顺利实施n维护阶段维护阶段71容灾规划六个阶段容灾规划六个阶段n项目计划阶段项目计划阶段n风险分析阶段风险分析阶段n恢复策略选择阶段恢复策略选择阶段n项目实施阶段项目实施阶段n项目测试和培训阶段项目测试和培训阶段n维护阶段维护阶段n对变更的管理和对计划的进一步修改完善，对变更的管理和对计划的进一步修改完善，以便适应企业信息系统和业务的变化和发展以便适应企业信息系统和业务的变化和发展727 灾备技术的发展演化灾备技术的发展演化73灾备的提出n灾难备份在上世纪灾难备份在上世纪50年代作为容错中的年代作为容错中的一种技术手段被提出一种技术手段被提出n但是直到但是直到70年代，灾备才作为独立的研年代，灾备才作为独立的研究方向得到发展，其契机是美国建立联究方向得到发展，其契机是美国建立联邦应急管理总署该机构明确提出了建邦应急管理总署该机构明确提出了建立灾难指挥系统，提出了信息系统的灾立灾难指挥系统，提出了信息系统的灾难安全保障难安全保障n1979年，年，SunGuard公司建立了世界上第公司建立了世界上第一个灾备中心，从而开创了一个灾备中心，从而开创了专业从事信专业从事信息系统灾备的产业息系统灾备的产业74灾备历史发展演化n最初，灾备集中在企业信息化方面，专最初，灾备集中在企业信息化方面，专注于数据备份和系统注于数据备份和系统备份备份n随后，随着信息系统规模扩大，提出了随后，随着信息系统规模扩大，提出了灾难恢复计划，即在灾备中加入了灾难灾难恢复计划，即在灾备中加入了灾难恢复预案、资源需求和灾备中心管理，恢复预案、资源需求和灾备中心管理，形成了生产中心的形成了生产中心的保障保障概念概念n之后，把灾难恢复从专注于系统转向了之后，把灾难恢复从专注于系统转向了业务的角度，提出了用业务衡量灾备目业务的角度，提出了用业务衡量灾备目标标75灾备历史发展演化n“911”事件后，灾备引入了管理方面的支事件后，灾备引入了管理方面的支持，包括持，包括n紧急事件响应紧急事件响应n危机公关和供应链危机管理等危机公关和供应链危机管理等76灾备成功典型案例n“911”事件后发生后，因世贸大厦的轰事件后发生后，因世贸大厦的轰然倒塌，位于其中的然倒塌，位于其中的德意志银行德意志银行和和纽约纽约银行银行两个银行走向了两条截然不同的道两个银行走向了两条截然不同的道路。

因为在异地建立了数据灾备中心，路因为在异地建立了数据灾备中心，德意志银行德意志银行很快就恢复了业务很快就恢复了业务；而后者；而后者却在数月后却在数月后因数据的丢失被迫破产清盘因数据的丢失被迫破产清盘，，从而引发了以金融保险业为主的客户对从而引发了以金融保险业为主的客户对数据灾难备份建设的庞大需求数据灾难备份建设的庞大需求 77灾备市场国内发展情况n国家在宏观指导政策对中国国家在宏观指导政策对中国8大行业关键系统大行业关键系统中建立信息系统灾难备份与应急机制是十分明中建立信息系统灾难备份与应急机制是十分明确的，但在执行和微观操作方面进展较为缓慢确的，但在执行和微观操作方面进展较为缓慢（金融，民航，税务，海关，铁路，证劵，保（金融，民航，税务，海关，铁路，证劵，保险，电力）险，电力）n从九十年代末开始，工行、建行等都纷纷启动从九十年代末开始，工行、建行等都纷纷启动了数据大集中工程，并相应地启动了其灾备系了数据大集中工程，并相应地启动了其灾备系统建设统建设n在在2004年，由国务院信息化办公室组织有关专年，由国务院信息化办公室组织有关专家对中国的灾难备份进行大量的调查研究工作，家对中国的灾难备份进行大量的调查研究工作，得出的结论是：得出的结论是：除我国一些金融机构灾难备份除我国一些金融机构灾难备份系统已经启动建设外，其他行业的灾难体系基系统已经启动建设外，其他行业的灾难体系基础还非常薄弱，目前中国的灾备行业还处于起础还非常薄弱，目前中国的灾备行业还处于起步阶段步阶段78灾备公司发展-国际企业nSunGard公司公司n全球首家专门从事灾难备份业务公司，占据全球首家专门从事灾难备份业务公司，占据60%以以上北美市场上北美市场n据据02年数据，全球运营年数据，全球运营75个数据中心，全球个数据中心，全球50大金大金融服务机构中融服务机构中47个是个是SunGard客户客户nIBM公司公司n灾备第二大公司灾备第二大公司n154个灾备中心个灾备中心nEMC公司公司n富士通公司等等富士通公司等等79灾备公司发展-国内企业n目前，国内许多目前，国内许多IT企业对灾备建设都投企业对灾备建设都投入了很大的热情，也出现了一些有代表入了很大的热情，也出现了一些有代表性的公司，比如性的公司，比如nGDS万国数据：专门从事灾备万国数据：专门从事灾备nH3C公司：专门从事灾备公司：专门从事灾备n浪潮公司浪潮公司n联想集团联想集团n华为公司等等华为公司等等80灾备技术国家工程实验室灾备技术国家工程实验室n为贯彻落实为贯彻落实《《国家自主创新基础能力建设国家自主创新基础能力建设“十十一五一五”规划规划》》，促进转变经济发展方式、推动，促进转变经济发展方式、推动产业结构优化升级，加快高技术产业发展，产业结构优化升级，加快高技术产业发展，国国家发改委家发改委在信息和产业升级等领域主导建设部在信息和产业升级等领域主导建设部分分国家级工程实验室国家级工程实验室n2008年年8月，作为月，作为容灾领域全国唯一的一个国容灾领域全国唯一的一个国家级实验室家级实验室，灾备技术国家工程实验室在，灾备技术国家工程实验室在北京北京邮电大学邮电大学正式成立，联合单位包括清华大学、正式成立，联合单位包括清华大学、中国科学院计算技术研究所以及中国邮政集团中国科学院计算技术研究所以及中国邮政集团公司公司81小结小结n了解灾备的概念了解灾备的概念n灾备与安全的关系灾备与安全的关系。