11.3.5数据备份与灾难恢复的安全管理

    1.数据备份与灾难恢复的意义

    许多事件都可能造成业务中断，从系统内部故障和操作错误到各种环境灾难等，由此引起的损失也是屡见不鲜，因此需要定期进行严格的数据备份工作和相应的灾难恢复计划。

    1)数据备份的意义

    分析网络系统环境中数据被破坏的原因，主要有以下几个方面:

    自然灾害，如水灾、火灾、雷击、地震等造成计算机系统的破坏，导致存储数据被破坏或完全丢失;

    系统管理员及维护人员的误操作;

    计算机设备故障，其中包括存储介质的老化、失效:

    病毒感染造成的数据破坏;

    Internet上“黑客”的侵入和来自内部网的蓄意破坏等。

    近几年来，国内网络系统的规划和设计不断推陈出新，在众多网络方案中，通常对数据的存储和备份管理的重要性重视不够，至少在方案中提及不多，甚至忽略。当网络建成运行后，缺乏可靠的数据保护措施，等到出现事故后才来弥补。可以说，网络设计方案中如果没有相应的数据存储备份和恢复的解决方案，就不能算是完整的网络系统方案。计算机系统不是永远可靠的。

    2)灾难恢复的意义

降低风险，保证在发生各种不可预料的故障、破坏性事故或其他灾难情况下，能够持续服务，确保业务系统的不间断运行，降低各种损失。

    在遇到灾难袭击时，最大限度地保护数据的实时性、完整性和一致性，降低数据的损失，快速恢复系统的操作、应用和数据。

    提供各种恢复策略的选择，尽量减少数据损失和恢复时间。

    2.数据备份的策略与方式

    1)备份策略的选择.

    备份与恢复是一种数据安全策略，通过备份软件把数据备份到磁带上:在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。

     (1)备份策略

    ·全备份，将系统中所有的数据信息全部备份;

    ·差分备份，只备份上次备份后系统中变化过的数据信息;

    ·增量备份，只备份上次完全备份后系统中变化过的数据信息;

    ·备份介质轮换，避免因备份介质过于频繁地使用，以提高备份介质的寿命。

    理想的备份系统是全方位、多层次的。例如，使用硬件备份来防止硬件故障;如果由于软件故障或人为误操作造成了数据的逻辑损坏，则使用软件方式和手工方式结合的方法恢复系统。这种结合方式构成了对系统的多级防护，不仅能够有效地防止物理损坏，还能够彻底防止逻辑损坏。理想的备份系统成本太高，不易实现。在设计备份方案时，我们往往只选用简单的硬件备份措施，而将重点放在软件备份措施上，用高性能的备份软件来防止逻辑损坏和物理损坏。

    (2)数据备份与恢复技术通常涉及的几个方面

    ·存储设备:磁盘阵列、磁带、光盘、SAN设备

    ·存储优化:DAS、 NAS、 SAN

    ·存储保护:磁盘阵列、双机容错、集群、备份与恢复

    ·存储管理:文件与卷管理、复制、SAN管理

    ·备份与恢复技术

    2)备份方式的选择

    (1)硬件备份

    硬件备份是指用冗余的硬件来保证系统的连续运行。比如磁盘镜像、磁盘阵列、双机容错等方式。

    ·磁盘镜像

简单地讲，磁盘镜像(mirroring)就是一个原始的设备虚拟技术，它的原理是:系统产生的每个I/O (输入/输出)操作都在两个磁盘上执行，而两个磁盘看起来就像一个磁盘一样。有三种方式可以实现磁盘镜像:运行在主机系统的软件，外部磁盘子系统和主机I/O控制器。第一种方式是软件方式，而后两种主要是硬件实现方式。

    ·磁盘阵列

    磁盘阵列(disk array)分为软阵列(software raid)和硬阵列(hardware raid)两种。软阵列即通过软件程序并由计算机的CPU提供运行能力所成。由于软件程序不是一个完整系统，它只能提供最基本的RAID (Redundant Array of Independent Prive，独立磁盘冗余阵列)容错功能。硬阵列是由独立操作的硬件提供整个磁盘阵列的控制和计算功能，不依靠系统的CPU资源。由于硬阵列是一个完整的系统，所有需要的功能均可以做进去，所以硬阵列所提供的功能和性能均比软阵列好，而且，如果你想把系统也做到磁盘阵列中，硬阵列是惟一的选择。

    冗余是采用多个设备同时工作，当其中一个设备失效时，其他设备能够接替失效设备继续工作的体系。在PC服务器上，通常在磁盘子系统、电源子系统采用冗余技术。

    ·双机容错

    双机容错是计算机应用系统稳定、可靠、有效、持续运行的重要保证。它通过系统冗余的方法解决计算机应用系统的可靠性问题，并具有安装维护简单、稳定可靠、监测直观等优点。当一台主机出现故障，双机容错软件可及时启动另一台主机接替原主机任务，采用智能型磁盘阵列可保证数据永不丢失，采用双机容错软件可保证系统永不停机，保证数据永不丢失和系统永不停机，保证了用户数据的可靠性和系统的持续运行。它的基本架构共分两种模式:双机互备援(dual active)模式和双机热备份(hot standby )模式。

    硬件备份的方式具有以下特点:如果主硬件损坏，后备硬件马上能够接替其工作，这种方式可以有效地防止硬件故障，但无法防止数据的逻辑损坏。当逻辑损坏发生时，硬件备份只会将错误复制一遍，无法真正保护数据。硬件备份的作用实际上是保证系统在出现故障时能够连续运行，更应称为硬件容错。

    (2)软件备份

    软件备份是指将系统数据保存到其他介质上，当出现错误时可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的，所以称为软件备份。当然，用这种方法备份和恢复都要花费一定时间。但这种方法可以完全防止逻辑损坏，因为备份介质和计算机系统是分开的，错误不会复写到介质上。这就意味着，只要保存足够长时间的历史数据，就能够恢复正确的数据。

    (3)人工备份

    人工级的备份最为原始，也最简单和有效。但用手工方式从头恢复所有数据，耗费的时间过长。

    3)灾难恢复的策略

灾难恢复方案主要包括灾难备份计划和灾难恢复计划。一方面要采用先进的备份软、硬件，保证快速、有效地进行数据备份，另一方面还应该制定方便、快捷的灾难恢复措施。

    灾难有时是不可避免的，关键是在灾难发生时如何有效地恢复系统。灾难恢复系统可根据操作方式分为以下三种，其达到的效果各有所不同。

    (1)全自动恢复系统

    它配合区域集群等高可靠性软件可在灾害发生时自动实现:主应用端的应用切换到远程的副应用端，并把主应用端的数据切换到远程的副应用端。它在主应用端修复后，把在副应用端运行的应用，返回给主应用端，操作非常简单。在灾害发生时全自动恢复系统可达到不中断响应的切换，很好地保证了重要应用的继续性。这种方法的优点是，大大地减少了系统管理员在灾害发生后的工作量。缺点是，一些次要因素，如服务器死机、通信联络中断等，也随时有可能引发主生产系统切换到副应用端的操作。

    (2)手动恢复系统

    在这种应用中，如果主应用端全部被破坏掉，在副应用端利用手动方法把应用加载到服务器上，并且手动完成将主应用端的数据切换到远程的副应用端的操作，以继续开展业务处理。这种方法的优点是，整个系统的安全性非常好，不会因为服务器或网卡损坏而发生误切换。缺点是，会产生一段时间的应用中断。

    (3)数据备份系统

    在这种系统中，系统将主应用端的数据实时地备份到远地的存储器中。这样，一旦主应用端的存储设备遭到损坏时，远程的存储器中会保留事故发生前写入本地存储器的所有数据，使丢失数据造成的损失降到最低点。当主应用端的存储器恢复正常，并将远地存储器的数据回装入本地存储器之后，应用可恢复到故障前的状态。这个时间差异取决于服务器的缓存中丢失了多少数据。与上述两种相比，此方法恢复系统正常应用所用时间最长，但成本最低。

    4)监理单位法

    (1)建议建设单位制定灾难恢复计划

    为有效进行灾难恢复，需要编制灾难恢复计划。有效地制定灾难恢复计划必须和商业优先权以及现有的IT基础及预算相配合。灾难恢复计划的目的是能够保证在灾难发生时，迅速安装计算机系统，尽快恢复操作，重新开展业务。此外，由于系统安装的资源通常不断更新，如开发了新的应用、现有系统的改进、人员的离职、新硬件的获取等，也要求恢复计划随之更新。维护恢复计划的目的是减少灾难恢复过程中决策的不确定性，也减少对灾难恢复团队人员的依赖。灾难恢复计划应该是书面材料，它包括如下内容:

·鉴别关键应用，确定灾难恢复计划的使命;

·数据的备份(全部备份、差分备份或增量备份);

·热站、冷站或温站;

·灾难恢复计划的测试或培训;

·指定灾难恢复计划负责人;

·操作系统、设施和文件的备份;

·紧急电话号码列表;

·保险;

·通信计划;

·信息系统和操作文档;

·替代工作站点的雇员配置计划;

·水与食品的供应;

·关键人员职位的备份;

·软硬件清单;

·采用手工部分对自动步骤进行备份;

·与员工签订协议。

(2)灾难恢复计划的监理工作

在对灾难恢复计划进行监理时，需要强调以下几点:

·获得管理层的支持。这一点非常重要，因为所有的资金投入都要得到高级管理层的通过。高级管理层的介入可以确保灾难发生时能够从他们那里得到思想和财政上的支持。

·召开一次解决方案研讨会，设计组织独有的恢复解决方案并提出项目实现计划，探讨如何实施在解决方案研讨会中所提出的项目计划。

·选定负责人。潜在的人选包括业务主管、数据中心主管甚至是基础设施管理人员。

·进行业务影响分析，鉴别关键的业务过程，评估重要恢复点和恢复时间目标以及IT环境。并围绕组织所有的关键部分制定计划，包括人员、设备、连通性、数据、应用、访问等。

·评定保持业务持续性的战略。这项评定包括公司内部有代表性的远程站点和外部供应商提供的冷站。

·进行恢复功能测试和灾难恢复模拟，保证在组织所规定的时间内完成恢复，并进行评审。

·一旦计划制定，组织全体人员都应熟悉此项计划，便于灾难发生时，每个人都能迅速各司其职。

·提供全面的备援中心设施，包括UPS、备份设备、消防系统以及烟雾/水探测系统。并确保备援中心安全，提供进入机房的身份鉴定、安全保卫措施，并确保备援中心可用性和现场操作支持。

·灾难恢复计划应以文档记录，在工作人员之间共享，并应该进行灾难计划的测试以及升级。保证计划在灾难发生时必须是易于访问和执行。

·在系统上装载和运行必需的工具来衡量恢复解决方案的要求。

·保证解决方案中的所有硬件、软件和网络部件的可用性。

·提供可扩展的容量来满足组织的预期工作负荷。