金融行业的灾难备份与恢复概要

收稿日期 :2005-02-08; 修返日期 :2005-04-10
基金项目 :国家“ 十五” 科技攻关计划项目 (2001BA 102A07-04-01
金融行业的灾难备份与恢复
*
岳友宝 1
, 张艳 2
, 李舟军
1
(1. 国防科学技术大学计算机学院 , 湖南长沙 410073; 2. 四川大学数学学院 , 四川成都 610064 摘要 :在介绍灾难备份与恢复的基本概念的基础上 , 分析了目前主要的灾难备份技术以及它们的应用 , 讨论了金融行业目前灾难备份与恢复中存在的问题 , 并对灾难备份技术的发展进行了展望。

关键词 :灾难备份与恢复 ; 远程应用级容灾系统 ; 镜像技术
中图法分类号 :TP311 文献标识码 :A 文章编号 :1001-3695(2006 02-0104-03
Disast er Ba ckup and Recover y in F in ancial Tra de
YUE You-ba o 1, ZHANG Yan 2, LI Zhou-J un 1
(1. S chool of C omputer S cience, National University of Defense Technology, Changsha H unan 410073, China; 2. School of Mathematics, Si-chuan University, Chengdu Sichuan 610064, China
Abst ract :This pa per int roduces the concept of dis ast er backup and recov ery a nd a na ly ses the m ain disas ter backup t echnolo-g ys a nd t heir applica tion. It dis cusses t
he fundam ental problem s involv ed in financia l disas ter recovery . Finally it v iews t he fu-t ure developm ent of disas ter backup a nd recovery.
Key words:Disa st er B ackup a nd Recovery ; Rem ote Applied Level Disas ter Recovery S y stem (RALDRS ; Mirror Im age Technolog y
古人云:“ 天有不测风云 , 人有旦夕祸福” 。

1993年美国世贸中心大楼发生的大爆炸导致大楼内 350家企业中约有 200家企业因无法获取重要的信息而倒闭、消失 ; 后来在 2001年的“ 9・11” 事件中 , 由于有前车之鉴 , 在世贸中心大楼的许多公司都建立了自己的灾难备份系统。

因此 , 当灾难再次降临时 , 这些公司便可及时地通过自己的数据恢复计划来重整旗鼓 , 但仍有一些企业因无完善的灾备系统而丢失了关键业务数据 , 造成了惨重的损失 , 甚至从此退出历史舞台
[1]。

当前国内金融
行业纷纷进行“ 数据大集中” 建设 , 所有关键性业务系统和数据集中在一个数据中心内 , 使得灾难对企业的杀伤力极大。

由于金融行业自身的特点 , 业务系统不可用的损失是巨大的 , 因此灾难恢复的时间是很关键的因素。

金融行业建设业务连续性系统更是一个长远目标。

目前在网络信息安全领域 , 灾难备份与恢复技术的研究已成为一个备受瞩目的方面 , 它可以更好地备份和保护重要数据 , 保证计算机系统的运行安全 , 更好地为用户提供服务。

1 灾难备份与恢复的相关概念
由于 IT 基础设施的中断而引起业务流程的非计划性中断的事件称为灾难。

灾难备份与恢复是指通过技术和管理的手段 , 确保在灾难发生后 , 企业的数据、
数据处理系统以及业务系统在短时间内能迅速恢复的过程。

1. 1 灾难备份的分类
灾难备份的分类方法有很多 , 这里只介绍与金融系统灾难
备份密切相关的几种方法。

按照距离的远近可以分为同城灾备与异地灾备。

同城灾备的生产中心与灾备中心的距离比较近 , 比较容易实现数据的同步镜像 , 保证高度的数据完整性和数据零丢失。

同城灾备一般用于防范火灾、建筑物破坏、供电故障、计算机系统以及人为破坏引起的灾难。

异地灾备主备中心之间的距离较远 (一般 100km 以上 , 因此一般采用异步镜像 , 会有少量的数据丢失。

异地灾备不仅可以防范火灾、建筑物破坏等可能遇到的风险隐患 , 还能够防范战争、地震、水灾等风险。

由于同城灾备和异地灾备各有所长 , 为达到最理想的防灾效果 , 像银行这样的金融系统 , 可考虑采用同城和异地各建立一个灾备中心的方式解决。

按照所保障的内容可以分为数据级容灾和应用级容灾 [2]
(灾难备份与恢复系统也称为容灾系统。

数据级容灾系统需要保证用户数据的完整性、可靠性和安全性 , 提供实时服务的信息系统 , 用户的服务请求在灾难中会中断。

应用级容灾系统却能提供不间断的应用服务 , 让客户的服务请求能够透明 (客户对灾难的发生毫无觉察地继续运行 , 保证信息系统提供的服务完整、可靠、安全。

因此金融行业应在数据容灾的基础上构建应用级容灾系统 , 保证业务系统的不间断运行 , 为用户提供更好的服务。

1. 2 远程灾难备份系统的衡量指标
衡量灾难备份的主要技术指标有恢复点目标 (Recovery Point Object, RPO 和恢复时间目标 (Recov ery Tim e Object, RTO 。

其中 RPO 代表灾难发生时丢失的数据量 , 为尽可能减少数据丢失 , 需要建立一个远程的数据存储系统 , 并与生产系统进行数据的镜像备份。

RTO 代表系统恢复的时间 , 为减少
・ 401・计算机应用研究 2006年
系统恢复的时间 , 需要在数据容灾的基础上 , 在灾备中心建立一套完整的与生产系统匹配的备份应用系统。

在灾难发生时 , 灾难备份中心可以迅速接管业务运
行 , 不仅最大限度地降低数据丢失 , 还最大限度地减少系统恢复时间 , 可以大大提高金融行业业务系统的连续可用性。

但是用这两个指标还不能完全反映业务连续性系统的好坏 , 于是又有人提出另外两个辅助 R 指标 [3]:恢复可靠性指标 (Recovery Reliabilit y Object, RRO 与恢复完整性指标 (Recov ery Int egrity Object, RIO 。

RRO 是指在系统切换或者恢复过程中成功的可靠性。

如果一个业务连续性系统在 10次恢复 /切换中会有两次失败 , 则其可靠性只有 80%。

虽然成功的恢复 /切换可能在几秒内就完成 , 但不成功的恢复 /切换可能需要数小时甚至数天才能修复数据。

因此 , RTO 和 RRO 结合起来才能衡量业务连续性系统的控制能力。

RIO 是指当系统因为逻辑因素出现脱机或数据丢失时 , 即使系统恢复到最新的时间点 , 系统仍然可能处于逻辑上不正确或者不完整的状态。

因此 , 单独的 RPO 不能有效衡量业务连续性系统对数据丢失的防范能力。

考虑到逻辑因素对业务连续性的巨大影响 , 引入RIO 指标。

RIO 指标能够反映系统恢复到某个正确完整的逻辑状态的能力 , 这对评估业务连续性系统的水平非常重要。

1. 3灾难恢复的级别
按照国际标准 , 根据数据中心对灾难恢复 RP O 与 RT O 要求的不同 , 数据中心的灾难恢复可以划分为如表 1所示的七个等级。

表 1 灾难恢复等级标准
等级描述恢复点目标
(RPO
恢复时间目标
(RTO
企业应用比率
0没有灾难恢复计划 --<0. 3% 1 用交通工具将备份
磁带放在异地
24~48小时 >48小时 <0. 1%
2 磁带异地传输及冷
备份灾备中心
24~48小时 24小时 90%
3 电子传输数据及冷
备份灾备中心
<24小时 <24小时 6%
4 热备份的灾备中心
(主机 +电子数据
互传 +网络
秒级
>2小时 ,
<24小时
<0. 5%
5 少量数据丢失灾备
中心 (主机 +数据
及时更新 +网络
秒级 <2小时 <0. 1%
6
零数据丢失 (主机 +
数据同步 +可切换
的网络
无 /秒级 <2小时 3%
从表 1可知 , 目前大多数数据中心只达到 2~3级备份 , 即
在每天数据处理完成后 , 将数据磁带传输到异地保存 , 同时建立冷备份方式的数据中心。

对于国家机关、金融部门等重要企业 , 数据中心的备份级别要求必须达到 4级以上。

一些特别重要的应用 , 在灾难发生时要保持业务的连续性运作 , 要求达到 6级的标准 , 即建立无数据丢失、灾难发生时能够自动切换的数据中心 , 这也是未来容灾的发展方向。

2 主要灾难备份技术
数据和恢复时间对金融行业来说都非常重要 , 因此 , 要保证没有数据丢失或者有极少量的数据丢失 , 同时灾难恢复的时间要非常短 , 最好是建立灾难时能自动切换的备份数据中心。

2. 1 镜像技术
镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的信息存储过程[4]。

与磁带拷贝技术相比 , 具有速度快、实时性强的特点 , 缺点是价格比磁带备份要高得多。

实时性不强的行业可以采用磁带备份 , 但像银行这样实时性非常强的金融行业则必须要用磁盘镜像的方式。

按主从镜像存储系统所处的位置可分为本地镜像和远程镜像 , 远程镜像是数据容灾的核心技术 , 同时也是实现灾难恢复
的基础。

远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息又可分为同步远程镜像和异步远程镜像。

同步镜像和异步镜像各有自己的优缺点 , 企业可以根据自身的需要来选择不同的镜像方式。

镜像技术是将数据保存到磁盘上 , 具有速度快的优点 , 因此用来备份常用的数据。

下面介绍两种有代表性的镜像技
术 , 即同步技术和异步技术。

2. 1. 1 对等远程拷贝 (PPRC
PPRC 是一种同步镜像技术 , 它在主存储器子系统和二级内存子系统之间通过控制器微码提供同步数据镜像功能 , 不需要主机干预 , 是基于硬件的灾难备份技术。

当生产系统主机完成某个应用后 , 在生产系统中的应用程序将数据写到生产系统的磁盘 , 同时将数据传送到备份系统 ; 备份系统中的应用程序将数据写到备
份系统的磁盘 , 然后将写完操作的信息返回给生产系统磁盘 ; 当生产系统收到备
份系统传回的已写信息之后 , 生产系统的磁盘系统通知主机该写操作已完毕 , 继
续执行新的应用 [5]。

PPRC 是同步技术 , 因此具有如下优点 :①远程卷总是与生产卷同步 ; ②二级卷在更新时总是与主卷保持完全一致的顺序 , 因此保证了数据的一致性 ; ③
主场地发生灾难时没有数据丢失 , 所以数据总是最新的和可靠的。

但是 PPRC 的不足之处是 , 主机需要等待远程写数据的完成 , 因此有性能上的损失 , 系统和应用程序都将受到影响 , 性能降低的程度取决于数据更新频率以及主备系统的距离。

由此看来 , PPRC 适用于中远距离的灾难备份 , 并且适合对数据要求非常严格的行业 , 但其对生产系统性能的影响较大 , 目前实际应用得还比较少。

2. 1. 2 扩展远程拷贝 (XRC
XRC 是一种异步镜像技术 , 由系统迁移部件 S DM 来监控主磁盘控制器的更新 , 同时异步地对远程二级卷进行相同的更新。

这意味着对本地主卷的写完成以
后 , 不必等待远程二级卷的写完成 , 主机程序就可以立即处理下一个交易或 I/O, 因此 XRC 技术可以将对主机应用的影响降低到最低限度 , 而且主卷和二级
卷间的距离几乎不受限制。

XRC 技术需要占用主机和磁盘资源 , 并且二级卷的更新通常总是滞后于主卷 , 因此单独用于灾难备份时会有一定的数据丢失。

数据丢失量与数据更新频率以及主备系统的距离有关 , 可以通过调整 S DM 的参数来减少数据丢失量 [5]。

备份卷是异步更新 , 因此需要保证与主卷的更新顺序相同。

为了保证数据的一致性 , XRC 采用了时间戳的方式。

主系统有共享的耦合时钟 , 对所有XRC 卷的更新进行时间标记。

当主控制器收到来自主机的一个写更新时 , 立即返回一个 I/O 完成的应答 , 数据被放置到控制器 Ca che 里的一个副本中。

・ 5 0 1
・
第 2期岳友宝等 :金融行业的灾难备份与恢复
S DM 定期收集来自所有控制器的更新数据 , 并根据时间戳形成一致性组 , 保证备份系统数据更新顺序与主系统相同 , 保证了数据的一致性。

但是当传送中的数据在 S DM 中还没有形成一致性组时 , 万一在生产场地出现灾难性故障 , 备份系统便无法完成更新 , 这些数据将会丢失。

从 XRC 的特点了解到 , 它可以实现超远距离的灾难备份与恢复 , 并且还可以控制数据丢失量的大小 , 可以将数据丢失量控制在很小的范围内 , 加上它对生产系统性能影响非常小 , 实际应用比较多 , 尤其是在金融行业中的应用。

XRC 技术是一项非常有前途的容灾技术。

2. 2快照技术
远程镜像技术往往同快照技术结合起来实现远程备份 , 通过镜像把数据备份到远程存储系统中 , 再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。

快照技术是将数据备份到磁带库、光盘库中 , 速度比磁盘要慢很多 , 但是十分廉价 , 因此用来备份不经常用的重要数据。

快照是通过软件对要备份的磁盘子系统的数据快速扫描 , 建立一个要备份数据的快照逻辑单元号 LU N 和快照 Cache 。

在快速扫描时 , 把备份过程中即将要修改的数据块同时快速拷贝到快照 Ca che 中。

快照 LU N 是一组指针 , 它指向快照 C ache 和磁盘子系统中不变的数据块 (在备份过程中。

在正常业务进行的同时 , 利用快照 LUN 实现对原数据的一个完全的备份 , 它可使用户在正常业务不受影响的情况下 , 实时提取当前在线业务数据 , 可大大增加业务系统的连续性。

快照是通过内存作为缓冲区 (快照 Cache , 由快照软件提供系统磁盘存储的即时数据映像 , 因此存在缓冲区调度的问题 , 一个优化的调度算法将会大大减少备份的时间。

2. 3跨域并行系统耦合体技术 (GDPS
IB M 公司根据异地远程灾难备份的需要提出基于大型计算机主机的灾难备份技术 , 即跨域并行系统耦合体技术 (Geo-graphically Dispersed Pa ra llel Sy splex, GDPS 。

GDPS 是一种多站点应用可用性解决方案 , 具有管理远程拷贝配置和存储子系统、自动执行并行系统耦合体的操作任务、从单一控制点执行故障恢复等功能 , 提供了根据计划或者非计划的站点故障而自动地进行站点切换的功能 , 通过多个卷以及存储子系统来保证数据一致性 , 并且还可以在另一个站点上实现正常的 DB MS 重启 (而非 DBMS 的恢复 , 从而达到提高应用可用性的目的 , 减少灾难恢复的时间。

GDPS 的优点是它的操作都是自动完成的 , 不需要人工的干预 , 消除了人为故障的产生 , 可以大大提高业务系统的可用性。

在 IBM 主机系统的灾难备份中 , 将 S/390并行系统耦合体技术与远程拷贝技术集成在一起 , 提高了应用的可用性和灾难恢复能力。

GDPS 通过运行灾难恢复程序可以大大地缩短灾难恢复的时间 , GDPS 技术是提高业务系统可用性的关键技术 , 是一种实现远程应用级容灾的重要技术。

GDPS 是一种自动化的管理、控制技术 , 往往与其他的灾难备份技术结合起来实现自动化的灾难备份与恢复。

与 XRC 技术结合起来构成 GDPS/XRC 技术 , 通过 GDPS 的自动化管理、控制以及XRC 的数据镜像来完成整个灾难备份与恢复。

目前 , 中国工商银行利用
GDPS/XRC 技术实现了北京、上海两大数据中心数据的相互备份 , 而且 RPO 与RTO 都非常小。

2. 4 远程应用级容灾技术
对于实时在线系统 , 如金融行业 , 需要业务的连续性 , 灾难发生时仍能继续提供服务 , 不仅要进行数据备份 , 而且要进行应用备份 , 即在容灾两地同时建立业务中心 , 一个主系统负责日常业务的处理 , 另一个备份系统实时保持数据、应用与主系统同步。

当主系统发生灾难时 , 应用便可以很快地切换到备份系统 , 备份系统继续提供服务 , 直到主系统完全恢复 , 这就是远程应用级容灾。

如图 1[2]所示 , 远程应用级容灾中主系统和备系统的结构完全一致 , 分别由应用系统和容灾平台构成 , 应用系统根据输入的业务数据完成处理 , 并与容灾平台交互信息。

主系统的容灾平台根据主备系统一致性的要求 , 产生能够控制主备系统处理结果一致的容灾同步数据 , 通过容灾平台进行远程传输到备系统的容灾平台 ; 备系统容灾平台完成容灾同步数据的分析和处理 , 然后控制备系统的应用系统完成相关业务操作 , 达到与主系统一致的目的。

对远距离的容灾来说 , 完全采用远程镜像的方式实现主备同步 , 即使有很高的通信带宽 , 延时也会很大 , 会严重影响到生产系统的性能 , 因此要结合软件的方式来完成整个应用的同步。

可以根据业务处理的特点来完成系统和数据处理的同步 , 可以大大减少主系统和备系统同步所需的信息 , 降低了对网络带宽的需求 , 但其缺点是系统的软件复杂度较高 , 导致日后在增加新业务功能时软件维护费用大大增加。

由于远程应用级容灾采用两套应用系统 , 使容灾平台依赖于应用系统 , 而且建立两套系统使系统的成本非常高 , 实施困难。

但是对于像银行这样的金融系统 , 为了提高系统的可用性、提供更好的服务 , 以便在主系统出现灾难并且可能是完全损毁的情况下 , 备系统能够接替主系统的工作继续提供服务 , 必须建立一套与主系统功能完全一致的备系统。

远程应用级容灾是建设业务连续系统的重要保证 , 对金融系统起着举足轻重的作用。

3目前金融行业灾难备份与恢复中存在的问题 3. 1 效益问题
作为金融行业 , 数据固然重要 , 业务实时性要求也很高 , 但也不能一味地为追求系统的连续性、可用性而采用最先进的灾难备份与恢复技术 , 购买最先进的设备来建设灾难备份中心 , 更要考虑到企业自身的发展与效益。

可以根据业务实时性的强弱不同 , 针对不同业务采用不同的备份与恢复方式 , 以减少企业的投入。

目前许多企业没有针对自身的特点 , 盲目购买灾难备份的产品设备 , 投入了很多的资金。

备份的目的是提高企业的服务质量 , 为企业创造更多的利润 , 因此不管采用什么备份方案 , 关键是在投入与效益间找到最佳平衡点。

3. 2 缺乏合理的灾难恢复规划
整个灾难恢复不仅仅是数据恢复 , 还包括网络的恢复以及应用的恢复。

容灾是一项工程 , 而不仅仅是技术 , (下转第 110页
图 1远程应用级容灾结构示意图
5 报警信息 X M L 文档的有效性验证
5. 1 XM L 文档有效性验证的必要性
完全遵循 XM L 规范的正确格式的文档并不总能满足需要。

许多情况下还需要保证文档的有效性 , 否则在应用程序中对 XML 文档进行操作时 , XML 代码中的错误会引起其他程序的中断 , 或者导致错误的数据进入系统。

5. 2 报警信息 XM L 文档的有效性验证
由于在建模阶段已经分析清楚文档元素的名称、结构和属性 , 这使得编写XML Schem a 非常容易。

并且基于 AIS M 模型 , 使用工具 XMLS PY 还可以自动生成 XML S chem a 文档 Alert_m essa ge. xsd 。

采用 XMLS PY 验证工具执行的验证操作步骤如下 :
(1 将要检验的 Alert_message. xm l 文件加载到 XMLS PY 中 ;
(2 从“ XML ” 菜单选择“ Valida te ” ;
(3 执行验证操作。

如果发现有效性错误 , 状态栏将予以指示并提供详细说明 , 否则 , 系统提示“ This file is v alid ” 而通过验证。

凭借 AIS M 的优势 , XML 示例文档 Alert _messag e. xm l 一次性通过了其对应的 Alert _messag e. xsd 文档的有效性验证 , 其界面如图 3所示 , (图 3左下角“ √” 标记表示通过有效性验证。

6 结束语
针对黑客分布式攻击的新特点 , 为增强 IDS 之间信息共享和交换的能力 , 加强IDS 之间的交流和协作 , 本文给出了统一报警信息格式的详细提案 , 并提出了用 XML S chem a 对报警信息建模的方案 , 最后用 XML 描述语言实现了该提案并通过了 XML S chem a 的有效性验证。

本文的研究成果已经在国家“ 十五” “ 863” 项目分布式网络监控与预警系统中得到了应用 , 并
取得了较好的效果。

图 3 XML SPY 效验工具及效验结果图
参考文献 :
[1]
tanifor d-Chen S , et al . The Comm on Intrusion Detection Framework (CIDF [C]. Orla ndo, Florida:IS W ’ 98Workshop, 1998. [2]
D Curr y, H Debar. Intrusion Detection Message Ex change Format Da-ta M odel and Ex tensible M arkup Language (XM L Document Type Definition[EB /OL ].
http://xml. coverpages. or g /dr aft-ietf-idwg-id-m ef-xml-10. txt, 2002-02.
[3]裴晋泽 . 基于 IDS 的网络安全预警系统关键技术研究与实现 [D]. 长沙 :国防科技大学 , 2004. [4]
World Wide Web Consortium (W3C . Extensible Mar kup Languag e (XM L
[EB/OL]. http://www. w3. org/TR /1998/RE C-xml-19980-210, 1998-02. [5]
Fa bio Arciniegas. XM L 开发指南 [M]. 天宏工作室 . 北京 :清华大学出版社 , 2003. 230-235. [6]
CVE Editorial Boa rd. The Common Vulner abilities and Ex posur es [EB /OL]. http://w ww. cve. m itr e. org, 2003-09.
作者简介 :
裴晋泽 , 硕士研究生 , 研究方向为信息安全 ; 肖枫涛 , 博士研究生 , 研
究方向为信息安全 ; 胡华平 , 教授 , 博导 , 研究方向为信息安全。

(上接第 106页
企业同样要关注容灾的流程、规范及其具体措
施。

作为金融行业 , 管理者更应该明确本单位的关键职能 , 更要评估灾难发生时所造成的风险以及潜在的影响 , 因此要制定合理计划来减少这些风险和影响 , 也要制定规章制度来保证整个灾难恢复的顺利实施 , 这正是绝大多数企业所缺乏的
[4]。

4 未来容灾技术的发展展望
灾难备份已由原来的磁带备份技术慢慢转向了磁盘镜像技术 , 由单机备份
转向网络备份 , 备份数据中心也由冷备份逐渐向热备份转换 , 灾难恢复级别的要求也越来越高。

目前 , 建设连续可用系统、保证业务系统可持续性操作、更好地为用户提供服务是许多企业所追求的目标 , 通过容灾尤其是远程应用级容灾 ,
建立无数据丢失、灾难发生时能够自动切换的数据中心来保证业务系统的连续可用是未来容灾的发展方向。

但远程应用级容灾的研究目前刚处于起步阶段 , 相关的技术与文档比较少 , 实现起来非常困难。

但它的重要性是不言而喻的 , 是
建设业务连续可用系统的基础 , 是未来容灾的发展方向 , 目前需要一套完整的技术理论来支持。

参考文献 :
[1]
ttp://www. longter m. cn/tech/ar ticle_content. asp? id =337, 2005-01-03. [2]
周世超 , 郭利江 . 远程应用级容灾系统 (RALDRS 模型研究 [EB/OL].
http://www. chinabyte. com/20030321/1658579. shtml, 2003. [3]
http://media. ccidnet. com/media /ciw /1267/c1401. htm, 2005-01-15[EB /OL]. [4]
J on William Toigo. Disaster Recov ery Planning [M]. 北京 :电子工业出版社 , 2004. 7-10, 104-106. [5]
Andries J , M de J ong. Extended Remote Copy[R]. 2004. 82-104.
作者简介 :
岳友宝 , 男 , 硕士研究生 , 主要研究方向为灾难备份与恢复技术 ; 张艳 , 女 , 博士研究生 , 研究方向为计算机网络与信息安全、灾难备份和恢复技术 ; 李舟军 , 男 , 教授 , 博士生导师 , 博士 , 主要研究方向为进程代数理论、
安全协议的形式化验证、灾难备份与恢复技术。