城商行異地災備方案建議書

1、 城商行異地災備方案建議書目錄 TOC o 1-3 h z u HYPERLINK l _Toc514437620 1 項目概述 PAGEREF _Toc514437620 h 4 HYPERLINK l _Toc514437621 1.1 項目背景 PAGEREF _Toc514437621 h 4 HYPERLINK l _Toc514437622 1.2 規(guī)范要求 PAGEREF _Toc514437622 h 4 HYPERLINK l _Toc514437623 1.3 建設現(xiàn)狀 PAGEREF _Toc514437623 h 6 HYPERLINK l _Toc514437624

2、1.4 緊迫性 PAGEREF _Toc514437624 h 6 HYPERLINK l _Toc514437625 2 需求分析與建設目標 PAGEREF _Toc514437625 h 7 HYPERLINK l _Toc514437626 2.1 不足和挑戰(zhàn) PAGEREF _Toc514437626 h 7 HYPERLINK l _Toc514437627 2.2 災備需求 PAGEREF _Toc514437627 h 8 HYPERLINK l _Toc514437628 2.3 規(guī)劃階段 PAGEREF _Toc514437628 h 11 HYPERLINK l _Toc5

3、14437629 3 設計方法與思路 PAGEREF _Toc514437629 h 13 HYPERLINK l _Toc514437630 3.1 理論依據(jù) PAGEREF _Toc514437630 h 13 HYPERLINK l _Toc514437631 3.2 方法論 PAGEREF _Toc514437631 h 14 HYPERLINK l _Toc514437632 3.3 技術路線 PAGEREF _Toc514437632 h 16 HYPERLINK l _Toc514437633 4 技術方案 PAGEREF _Toc514437633 h 17 HYPERLINK

4、 l _Toc514437634 4.1 系統(tǒng)設計 PAGEREF _Toc514437634 h 17 HYPERLINK l _Toc514437635 4.2 總體架構 PAGEREF _Toc514437635 h 18 HYPERLINK l _Toc514437636 4.3 異地災備主機方案 PAGEREF _Toc514437636 h 24 HYPERLINK l _Toc514437637 4.4 災備網(wǎng)絡方案 PAGEREF _Toc514437637 h 26 HYPERLINK l _Toc514437638 5 異地災備細則 PAGEREF _Toc51443763

5、8 h 27 HYPERLINK l _Toc514437639 5.1 數(shù)據(jù)級災備建設 PAGEREF _Toc514437639 h 27 HYPERLINK l _Toc514437640 5.2 應用級災備建設 PAGEREF _Toc514437640 h 291 項目概述1.1 項目背景某行金融電子化工作經(jīng)過多年的發(fā)展，信息技術已得到廣泛的應用，主要業(yè)務系統(tǒng)如核心業(yè)務、現(xiàn)代化支付、中間業(yè)務及卡前置等都實現(xiàn)信息電子化，綜合性多功能的金融信息化服務體系已初步形成。某行業(yè)務對信息化依賴程度越來越高，信息系統(tǒng)安全問題對業(yè)務的影響突出。數(shù)據(jù)集中的同時也意味著風險相對集中，在地震、火災、水災、

6、疫情、計算機病毒、黑客攻擊等災難事件不斷集中爆發(fā)，為確保某行信息系統(tǒng)安全和業(yè)務持續(xù)運行已成為一項重要而艱巨的任務。某行的業(yè)務經(jīng)營體系不斷發(fā)展，業(yè)務領域不斷拓展，業(yè)務覆蓋區(qū)域不斷擴大。在這種情況下，某行目前的核心業(yè)務系統(tǒng)已經(jīng)實現(xiàn)了數(shù)據(jù)的本地自動備份，未進行完整的災難備份體系建設。一旦因為機房、建筑物損壞等較大規(guī)模的災難引起數(shù)據(jù)丟失或者信息系統(tǒng)長時間宕機，將造成某行全省范圍內(nèi)的業(yè)務停頓，相關單位和個人無法從事有關金融業(yè)務，不僅造成嚴重不良的社會影響，更影響金融行業(yè)的穩(wěn)定。某行信息系統(tǒng)災難備份體系建設以及業(yè)務連續(xù)體系建設的重要開端，異地災備系統(tǒng)工程建設的建設實施，為某行后續(xù)的業(yè)務連續(xù)體系建設打下堅實

7、的基礎。1.2 規(guī)范要求國家歷來對加強信息安全保障工作高度重視，先后出臺有關災難備份的保障措施。其有關災備規(guī)范要求要點文件： 2002年8月， 中國人民銀行出臺并下發(fā)了中國人民銀行關于加強銀行數(shù)據(jù)集中安全工作的指導意見(銀發(fā)2002260號文件)。 2003年9月,中共中央辦公廳、國務院辦公廳下發(fā)了國家信息化領導小組關于加強信息安全保障工作的意見(中辦發(fā)200327號)。 2004年1月9日，全國信息安全保障工作會議下發(fā)了關于做好國家重要信息系統(tǒng)容災備份工作的通知。 國信辦于2004年9月份下發(fā)了關于加強國家重要信息系統(tǒng)災難備份工作的意見(信安通200411號)。 2006年4月，中國人民銀行

8、出臺并下發(fā)了關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意見(銀發(fā)2006123號文件)。 2006年8月，銀監(jiān)會下發(fā)的銀行業(yè)金融機構信息系統(tǒng)風險管理指引(銀發(fā)200663號)文件中。 2007年11月1日，國家正式下發(fā)了信息安全技術信息系統(tǒng)災難恢復規(guī)范(GB/T 20988-2007) 。 2008年2月，中國人民銀行下發(fā)了中國人民銀行關于發(fā)布銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范行業(yè)標準的通知(銀發(fā)200848號 )。 2008年2月4日，JR/T0044-2008 銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范標準正式發(fā)布和實施。1.3 建設現(xiàn)狀目前IT服務外包特別是災難備份外包已成企業(yè)提高服務質(zhì)量與管理

9、效率，提高企業(yè)核心競爭力，降低IT投資壓力，提高企業(yè)應變處置應急能力的普遍選擇。原則上除政府內(nèi)網(wǎng)和軍事機構沒有外包案例外，銀行、保險、證券、制造企業(yè)、商業(yè)企業(yè)等進行相關災備系統(tǒng)建設的案例。如國內(nèi)銀行案例：1.4 緊迫性某行在保持業(yè)務持續(xù)運行方面正面臨壓力因素： 沒有完善的業(yè)務信息系統(tǒng)建設規(guī)劃。為適應高速發(fā)展的業(yè)務需要，系統(tǒng)建設過程中存在著“邊集中、邊生產(chǎn)、邊規(guī)劃”的矛盾。 沒有進行各部門的風險分析和業(yè)務影響分析； 沒有總行及分支行的業(yè)務連續(xù)性計劃和業(yè)務恢復計劃。 沒有建設完善的災難備份體系，并制訂其運營管理制度，關系著金融穩(wěn)定的關鍵業(yè)務信息系統(tǒng)僅有單點、地點的低等級數(shù)據(jù)備份。 業(yè)務依賴于信息電

10、子化程度日益提高。建立安全可靠的災難備體系，實現(xiàn)某行的信息系統(tǒng)運行保障場地、重要信息和處理系統(tǒng)的災難備份，提高其信息系統(tǒng)的風險抵御能力，避免或減少災難打擊和重大事故造成損失程度，確保核心數(shù)據(jù)安全和業(yè)務經(jīng)營的連續(xù)性，避免引起重要服務功能和渠道嚴重中斷。2 需求分析與建設目標2.1 不足和挑戰(zhàn)目前，某行已初步建立一個安全的生產(chǎn)系統(tǒng)架構和災備體系架構，為建立相對完善的業(yè)務連續(xù)性體系及配合未來某行全國-分行開展，其建議：1. 網(wǎng)絡安全性問題： 當前某行在本地已初步建立一個數(shù)據(jù)備份中心，但備份中心沒有與支行連接的線路，所有支行的上連線路均連接到生產(chǎn)中心，一旦生產(chǎn)中心的傳輸設備發(fā)生故障，將導致所有支行與總

11、行的連接中斷。 各支行與總行連接的線路均采用網(wǎng)通的線路，沒租用其他運營商的線路，一旦網(wǎng)通的局端網(wǎng)絡出現(xiàn)問題，也將導致連接中斷。 生產(chǎn)中心只有一臺路由器與ATM終端連接，無備份機制，一旦該路由器發(fā)生故障，將導致銀行卡交易中斷。2. 業(yè)務連續(xù)性問題： 同城備份中心已經(jīng)配置業(yè)務主機處理系統(tǒng)并建立應用級災備，但是同城備份中心的主機并沒有同支行和外聯(lián)單位連接，所以一旦生產(chǎn)中心發(fā)生災難，只保證數(shù)據(jù)不丟失，但業(yè)務無法恢復。 同城災備中心僅僅備份核心存儲的數(shù)據(jù)，其他業(yè)務系統(tǒng)的數(shù)據(jù)沒有備份，一旦生產(chǎn)中心發(fā)生災難，這些業(yè)務系統(tǒng)的數(shù)據(jù)也將丟失。 建立同城災備中心，但沒有建立有效、規(guī)范的業(yè)務連續(xù)性管理體系，無法保證災

12、難發(fā)生時業(yè)務的連續(xù)性。3. 災難抵御能力問題： 目前只建立同城災備中心，沒有異地災備中心，因此無法抵御區(qū)域性災難。 盡管生產(chǎn)數(shù)據(jù)建立定期的本地磁帶備份機制，但備份的介質(zhì)沒有做到異地存放，發(fā)生區(qū)域性災難后，異地沒有數(shù)據(jù)副本。2.2 災備需求2.2.1 建設內(nèi)容按照建立異地應用級災備系統(tǒng)總體要求，其建設將涵蓋以下內(nèi)容： 通過整體外包方式，在異地建立應用級災備體系； 建立生產(chǎn)數(shù)據(jù)的異地備份體系，保證異地的數(shù)據(jù)與生產(chǎn)中心的一致性； 建立完善異地應用級災備體系，保證異地災備中心運行的獨立性； 開發(fā)完善的災難恢復應急響應預案，建立有效的應急響應組織體系和流程，保證災難發(fā)生時系統(tǒng)切換有序性； 建立定期的應急

13、切換演練機制，保證異地災備中心的可用性； 在原有同城應用級災備體系的基礎上，建立“生產(chǎn)+同城+異地”的災備體系架構； 建立異地災備的運維管理體系，保證異地災備中心系統(tǒng)可靠運行。2.2.2 職能定位1.異地災備中心的災難防范策略以下事件發(fā)生，需要切換到異地災備中心 區(qū)域性的自然災害，影響到呼市兩個數(shù)據(jù)中心的正常運行； 區(qū)域性的人為災難，例如：戰(zhàn)爭、區(qū)域性停電、區(qū)域性疫病等，影響到呼市兩個數(shù)據(jù)中心的正常運行； 涉及生產(chǎn)中心的大規(guī)模改造或遷移事件；2.異地災備中心與同城災備中心的職能差異3.異地災備中心的資源利用方式異地災備中心啟用的場景屬于小概率事件，為保證這種小概率事件未發(fā)生時能充分異地災備中心

14、的資源，必考慮異地災備中心的資源利用方式，從而做到對異地災備中心資源的投資保護。 數(shù)據(jù)資源利用：通過異步數(shù)據(jù)復制手段保證了異地災備中心與生產(chǎn)中心及同城災備中心數(shù)據(jù)的一致性，因此在平時可將這些數(shù)據(jù)用于測試、開發(fā)及培訓等； 處理能力利用：異地災備中心的數(shù)據(jù)處理系統(tǒng)可測試機和開發(fā)機使用，運行數(shù)據(jù)倉庫和數(shù)據(jù)挖掘應用系； 網(wǎng)絡資源利用：異地災備中心與各分行的廣域網(wǎng)連接線路可承載一些非關鍵性業(yè)務即分支行的這非關鍵業(yè)務可以通過分支行與異地災備中心的連接線路運行，避免這非關鍵業(yè)務占用生產(chǎn)中心與分支行的網(wǎng)絡資源，使資源更多地用于生產(chǎn)業(yè)務。2.2.3 分析建議目前某行已建同城災備中心，實現(xiàn)綜合業(yè)務系統(tǒng)、現(xiàn)代化支付

15、系統(tǒng)、中間業(yè)務前置、銀行卡前置的同城數(shù)據(jù)級災備。當生產(chǎn)中心發(fā)生災難時，盡管這些業(yè)務系統(tǒng)的數(shù)據(jù)不會丟失，但業(yè)務系統(tǒng)不能在同城災備中心運行，不能實現(xiàn)業(yè)務連續(xù)性。建立異地災備中心的目的不僅在異地建立與生產(chǎn)中心和同城災備中心相同的數(shù)據(jù)副本，而且保證當生產(chǎn)中心發(fā)生災難時，其業(yè)務系統(tǒng)能在異地災備中心運行，需及早建立異地災應用級災備系統(tǒng)。根據(jù)JR/T0044-2008 銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范中第一類信息系統(tǒng)恢復最低要求：同城災難恢復RTO4小時，RPO15-30分鐘；某公司初步建議某行核心系統(tǒng)異地災難恢復指標要求，如下表：2.3 規(guī)劃階段2.3.1 總體目標為抵御生產(chǎn)中心災難及區(qū)域性災難的風險，需建

16、立完善的異地災備系統(tǒng)，異地災備系統(tǒng)的建設不僅要保證生產(chǎn)數(shù)據(jù)的異地備份，需保證區(qū)域性災難發(fā)生時業(yè)務連續(xù)性。利用第三方基礎設施建設某行異地災備中心，利用第三方運營團隊提供日常運營服務，確保異地災備系統(tǒng)穩(wěn)定可靠運行。2.3.2 規(guī)劃建議按照“統(tǒng)籌規(guī)劃、分步實施”的原則，分階段實施：第一階段：建立核心業(yè)務、關鍵支付、關鍵渠道和關鍵管理系統(tǒng)的異地應用級災備包括綜合業(yè)務系統(tǒng)、現(xiàn)代化支付系統(tǒng)、中間業(yè)務前置系統(tǒng)和銀行卡前置系統(tǒng)；實施內(nèi)容如下： 建立某行異地災備中心運營管理隊伍； 核心主機、核心存儲、核心網(wǎng)絡設備到貨、進場； 按照異地災備系統(tǒng)方案，進行系統(tǒng)建設資源支持服務，包括網(wǎng)絡通信線路的安裝、坐席、應急通訊

17、和機房場地、基礎設施的準備等； 異地災備系統(tǒng)安裝、聯(lián)調(diào)、測試等技術實施工作； 異地災備系統(tǒng)演練與恢復預案開發(fā)。第二階段：其他系統(tǒng)的異地應用級災備除以上四個系統(tǒng)之外的其他系統(tǒng)；實施內(nèi)容如下： 相關業(yè)務系統(tǒng)的IT設備到貨、進場； 網(wǎng)絡系統(tǒng)的擴容； 進行系統(tǒng)建設資源支持服務，包括網(wǎng)絡通信線路升級、坐席擴充、應急通訊和機房場地、基礎設施的完善等； 系統(tǒng)安裝、聯(lián)調(diào)、測試等技術實施工作； 災難恢復預案和演練相關的修改和完善。第三階段：建立全行業(yè)務連續(xù)性管理體系實施內(nèi)容如下： 根據(jù)BCM方法論和某行業(yè)務連續(xù)運行的要求，定義、設計和開發(fā)某行BCP計劃需求模型，確保所選擇的方法論適合恢復需求和恢復目標的要求。

18、按照業(yè)務連續(xù)性開發(fā)的理論體系和方法論，開發(fā)符合某行業(yè)務特點，具有可操作性的BCP計劃，支持關鍵業(yè)務功能在災難環(huán)境下的持續(xù)運作。 業(yè)務連續(xù)運行計劃研討會和培訓，建立某行關鍵業(yè)務部門的項目組，開展業(yè)務連續(xù)性項目培訓，使每個項目成員掌握業(yè)務連續(xù)運行的重要性，掌握成功實施業(yè)務連續(xù)運行計劃需要擔當?shù)慕巧蜆I(yè)務流程。本方案第一階段災備建設：建立核心業(yè)務-關鍵支付-關鍵渠道和關鍵管理系統(tǒng)的異地應用級災備。3 設計方法與思路3.1 理論依據(jù)本系統(tǒng)設計需要參考的規(guī)范和標準，包括國外災備系統(tǒng)和業(yè)務連續(xù)性管理規(guī)范，客戶所屬行業(yè)針對信息系統(tǒng)災難恢復建設的相關規(guī)定和要求。3.2 方法論3.2.1 總體方法總體系統(tǒng)設計流

19、程是“通過問卷了解需求、通過訪談確認需求、通過分析制定策略、通過策略細化方案”。3.2.2 需求分析系統(tǒng)需求分析是編制災難備份系統(tǒng)技術方案的依據(jù),也是建立業(yè)務連續(xù)性管理體系的基礎。系統(tǒng)需求分析主要包括應用系統(tǒng)調(diào)研、IT系統(tǒng)調(diào)研、應用影響分析、系統(tǒng)差異性分析等方面，其中業(yè)務系統(tǒng)調(diào)研和業(yè)務影響分析的目的是為了確定災備范圍和災備策略，IT系統(tǒng)調(diào)研和系統(tǒng)差異性分析的目的是為了制定災備中心IT資源規(guī)劃和確定災備中心相關IT資源配置，系統(tǒng)分析方法如下：1. 系統(tǒng)調(diào)研問卷： 應用系統(tǒng)調(diào)研問卷包括應用系統(tǒng)的名稱、功能介紹、交易量統(tǒng)計、交易情況、與其他應用系統(tǒng)的關聯(lián)關系、數(shù)據(jù)流向等。 IT系統(tǒng)調(diào)研問卷包括應用系

20、統(tǒng)運行的主機平臺、數(shù)據(jù)庫和中間件平臺、數(shù)據(jù)分布情況、存儲系統(tǒng)、網(wǎng)絡和安全系統(tǒng)等。2. 問卷訪談：通過定向訪談的方式對調(diào)研問卷的內(nèi)容進行確認和細化，使需求更詳細、更清晰、更具體。3. 應用影響分析：根據(jù)應用系統(tǒng)調(diào)研問卷和訪談記錄，對各應用系統(tǒng)對單位業(yè)務的影響程度進行分析，確立各應用系統(tǒng)的災難恢復等級、資源需求和關鍵技術指標（RTO，RPO等）。4. IT系統(tǒng)需求分析：根據(jù)IT系統(tǒng)調(diào)研問卷和訪談記錄，分析現(xiàn)有系統(tǒng)存在的問題，確定系統(tǒng)設計的總體思路和原則。3.2.3 策略制定災備策略是制定災備技術方法的核心內(nèi)容，災備策略的制定主要包括如下：1. 災備范圍確立：據(jù)應用影響分析的結論確立災備的范圍，即確

21、定應用系統(tǒng)異地災備的優(yōu)先順序。2. 災備策略制定：據(jù)現(xiàn)有IT系統(tǒng)的現(xiàn)狀，結合國內(nèi)外數(shù)據(jù)備份技術的潮流，制定切實可行的數(shù)據(jù)備份策略。3.2.4 技術方案根據(jù)災備策略，結合客戶的數(shù)據(jù)容量及分布情況，制定數(shù)據(jù)備份方案。根據(jù)應用系統(tǒng)的客戶端分布情況及應用系統(tǒng)的實時性要求，制定災備網(wǎng)絡的連接架構。根據(jù)生產(chǎn)端的IT資源配置情況，確定災備端的IT資源配置。3.2.5 演練方案客戶的災備服務要求和災備體系架構，開發(fā)適合其業(yè)務模式相關的災難恢復應急響應預案。按照應急響應預案的內(nèi)容進行應急切換演練，只考慮桌面演練，其目的是驗證切換流程的可行性和切換步驟的可操作性。3.3 技術路線3.3.1 安全性 通過成熟的數(shù)據(jù)

22、備份技術，保證異地災備中心與生產(chǎn)中心和同城災備中心數(shù)據(jù)的一致性。 采用與現(xiàn)有同城數(shù)據(jù)鏡像技術一致的異步數(shù)據(jù)鏡像技術實現(xiàn)數(shù)據(jù)的異地備份。 通過異地災備中心的運維體系，定期對備份的數(shù)據(jù)進行一致性和完整性檢驗，確保數(shù)據(jù)的可用性。3.3.2 可用性 異地災備中心的業(yè)務主機應與生產(chǎn)中心的業(yè)務主機在操作系統(tǒng)、數(shù)據(jù)庫、應用中間件等各層面上完全兼容，保證異地災備應用系統(tǒng)的可用性。 異地災備中心應選用與生產(chǎn)中心性能相當?shù)闹鳈C，配置可略低于生產(chǎn)中心的配置，以保證異地災備應用系統(tǒng)的處理能力。3.3.3 技術性 異地災備中心應配備相關的專業(yè)技術人員，保證對災備系統(tǒng)資源的技術支持能力。 異地災備中心應據(jù)生產(chǎn)中心的技術支

23、持手段和流程，結合客戶對技術支持方式、服務響應能力的要求，制定規(guī)范的技術支持流程和采取先進的技術手段。3.3.4 恢復性 在系統(tǒng)切換演練過程中，不僅要考慮從生產(chǎn)端到異地災備端的切換，還要考慮到生產(chǎn)端環(huán)境恢復后如何從異地災備端恢復到生產(chǎn)端運行的機制和流程。 當系統(tǒng)切換出現(xiàn)問題時，需采取相應的系統(tǒng)回退流程，保證災備系統(tǒng)能回退到生產(chǎn)系統(tǒng)，且不能影響正常的生產(chǎn)和交易。4 技術方案4.1 系統(tǒng)設計4.1.1 可維護性異地災備系統(tǒng)涉及高端服務器、高性能網(wǎng)絡設備、大容量磁盤陣列等存儲設備以及各種光纖存儲域網(wǎng)絡連接設備，為保證系統(tǒng)良好運轉，需要系統(tǒng)具有良好的可管理性，采用統(tǒng)一的監(jiān)控代理機制實現(xiàn)對系統(tǒng)的監(jiān)測、故

24、障診斷、遠程管理和優(yōu)化等功能。同時在產(chǎn)品選型方面應盡可能選取集成度高、采用模塊化通用設計的產(chǎn)品，以便于管理和維護。4.1.2 可持續(xù)性異地災備建設是一個長期、持續(xù)性的工作，隨著數(shù)據(jù)量、業(yè)務量和用戶量的持續(xù)增長，系統(tǒng)將變得越來越復雜，服務質(zhì)量要求越來越高，確保系統(tǒng)的可持續(xù)性服務是本方案設計需要考慮的重要環(huán)節(jié)。4.1.3 投資保護經(jīng)濟性也是本系統(tǒng)設計重要方面。需從兩個方面來考慮： 是建立存儲、備份系統(tǒng)過程中的費用。 是系統(tǒng)建成后的運行維護費用和對已有投資的保護能力。在考慮采用高性能的IT設備的同時，必考慮投資的合理性。4.1.4 資源整合為保證異地災備中心與生產(chǎn)中心運行環(huán)境的一致性，異地災備中心隨

25、著生產(chǎn)中心IT資源的變更而變化，通過資源整合提高災備中心IT資源的利用率，保證災備中心資源具有動態(tài)調(diào)整和分配能力，以滿足與生產(chǎn)中心資源的一致性和對應用系統(tǒng)災備資源需求的適應性。4.2 總體架構現(xiàn)狀架構如圖：三中心總體架構如下圖：總體架構說明： 利用某數(shù)據(jù)中心作為某行的異地災備中心，實現(xiàn)綜合業(yè)務系統(tǒng)、中間業(yè)務前置、現(xiàn)代化支付和銀行卡前置系統(tǒng)的應用級災備。 采用NetApp的SnapMirror數(shù)據(jù)備份技術實現(xiàn)異地數(shù)據(jù)備份，備份路徑先將生產(chǎn)端數(shù)據(jù)通過SnapMirror備份到同城災備中心（已有的技術），再將同城災備中心的數(shù)據(jù)備份到異地災備中心。 按以上備份策略，在保留原有生產(chǎn)中心和同城災備中心的連

26、接架構不變的情況下，建立同城災備中心與異地災備中心的數(shù)據(jù)復制鏈路。 為實現(xiàn)異地災備中心的應用級災備，各地各分支行需要連接到異地災備中心，當某個分支行與生產(chǎn)中心的線路出現(xiàn)故障時，需要切換到異地災備中心時，此時不啟用異地災備端的應用系統(tǒng)，而是在異地災備端建立一條到生產(chǎn)端的路由，迂回到生產(chǎn)端的應用服務器。基于考慮，在生產(chǎn)中心和異地災備中心建立一條專線，用于分支行的訪問生產(chǎn)中心的冗余備份線路。數(shù)據(jù)復制及備份方案：數(shù)據(jù)復制選擇的是NETAPP的SNAPMIRROR技術，這種數(shù)據(jù)復制技術在三個數(shù)據(jù)中心之間只能采用層疊的方式。所以數(shù)據(jù)復制的路線是從生產(chǎn)中心先通過SNAPMIRROR同步復制到同城災備中心，再

27、通過同城災備中心把快照數(shù)據(jù)異步復制到異地災備中心。生產(chǎn)中心和同城災備中心的數(shù)據(jù)復制是通過千兆裸光纖。同城災備中心和異地災備中心的數(shù)據(jù)復制是通過專線連接。4.2.1 數(shù)據(jù)方式1、同城數(shù)據(jù)備份：采用原有的數(shù)據(jù)備份方式，將生產(chǎn)端的數(shù)據(jù)從生產(chǎn)中心的NETAPP上使用SnapMirror技術通過千兆以太線路備份到同城的NETAPP 。2、異地數(shù)據(jù)備份：數(shù)據(jù)從生產(chǎn)中心通過SnapMirror把數(shù)據(jù)從NETAPP存儲上復制到同城災備中心的NETAPP上，同城的上把盤陣的數(shù)據(jù)使用SnapShot生成快照，通過同城和異地之間的SnapMirror把快照傳送到異地災備中心，再把快照還原成數(shù)據(jù)。3、本地磁帶備份：某

28、行核心業(yè)務系統(tǒng)包括綜合業(yè)務系統(tǒng)、現(xiàn)代化支付系統(tǒng)、中間業(yè)務前置、銀行卡前置都是存儲在NETAPP上，使用IBM作為數(shù)據(jù)備份的磁帶庫，包含30盤800G磁帶，2個LTO3磁帶驅動器。使用IBM Tivoli Storage Manger軟件實現(xiàn)備份數(shù)據(jù)的集中管理，將各業(yè)務系統(tǒng)數(shù)據(jù)集中備份到磁帶庫中，通過策略設置實現(xiàn)自動的定時備份，自動的版本控制。使用TSM for Informix的歸檔模式，允許時間點恢復，確保故障發(fā)生時最少的數(shù)據(jù)丟失。4.2.2 備份線路生產(chǎn)中心到同城災備中心的數(shù)據(jù)復制是兩端的千兆光纖以太網(wǎng)實現(xiàn)，復制方式采用準同步方式。同城災備中心到異地災備中心也采用SnapMirror數(shù)據(jù)復

29、制技術，按照SnapMirror數(shù)據(jù)復制技術的原理，結合數(shù)據(jù)復制量，建議如下： 同城災備中心與異地災備中心之間采用1條8M的專線實現(xiàn)數(shù)據(jù)復制。 異地災備中心與生產(chǎn)中心采用1條2M的專線作為分支行冗余備份線路和管理線路。4.2.3 備份技術同城和異地災備中心采用NETAPP盤陣復制技術（SnapMirror），異地災備端建議配置本地備份軟件及帶庫。以生產(chǎn)中心、同城災備中心、異地災備中心部署的NETAPP存儲，采用級聯(lián)的方式，將生產(chǎn)中心數(shù)據(jù)先復制到同城災備中心后，再復制到異地災備中心。4.2.4 備份線路 生產(chǎn)中心到同城災備中心是通過千兆以太網(wǎng)進行連接。 同城災備中心到異地災備中心是通過10M 專

30、線連接。 生產(chǎn)中心到異地災備中心是通過4M專線連接。4.2.5 備份資源某市生產(chǎn)中心和同城災備中心的NetApp FAS系統(tǒng)裸容量都是5TB，因生產(chǎn)中心存儲需要通過快照的形式把數(shù)據(jù)備份到異地災備中心，所以在異地災備中心的存儲容量配置成6TB，在存儲上劃分3個分區(qū)用來分別存放3套系統(tǒng)的數(shù)據(jù)，銀行卡系統(tǒng)在本地硬盤，見下表：4.3 異地災備主機方案4.3.1 生產(chǎn)中心配置現(xiàn)狀某行生產(chǎn)中心現(xiàn)有兩臺IBM小機作為集中的生產(chǎn)服務器，每臺小機做到4個分區(qū)，兩臺小機的分區(qū)之間兩兩用HACMP集群實現(xiàn)本地服務器之間的高可用性。2臺IBM 小機主機采用的是HACMP熱備份方式，平時所有的生產(chǎn)業(yè)務都是跑在ACTIV

31、E的主機上，另外一臺處于STANDBY的狀態(tài)。IBM 每臺小機劃分4個分區(qū)，具體劃分4.3.2 異地災備配置方案主機配置原則：1) 兼容性： 配置與生產(chǎn)中心完全兼容的異地災備中心主機處理系統(tǒng)，以保證當同生產(chǎn)中心發(fā)生災難時，異地災備中心有接管的能力。 異地災備中心主機應在內(nèi)碼、操作系統(tǒng)、數(shù)據(jù)庫、中間件及應用軟件等各個層次上與生產(chǎn)中心完全兼容。2) 升級擴展：異地災備中心的主機應具有較強的本地升級和擴展能力，以保證未來35年業(yè)務發(fā)展對主機數(shù)據(jù)處理系統(tǒng)的要求。3) 可靠性和可用性：異地災備中心的主機應具有良好的系統(tǒng)自愈能力，保證系統(tǒng)的可靠性和可用性；4) 設備配置原則：異地災備中心主機設備的硬件配置

32、應與生產(chǎn)中心的主機配置一致，或略低于生產(chǎn)中心的主機配置。異地災備中心主機配置方案建議在災備中心采用一臺與生產(chǎn)中心同型號、同配置的IBM小機主機，并和生產(chǎn)中心一樣在IBM 小機上開4個邏輯分區(qū)，分別跑綜合業(yè)務系統(tǒng)、現(xiàn)代化支付系統(tǒng)、中間業(yè)務前置、銀行卡前置等。4.4 災備網(wǎng)絡方案建設異地災備目的是為某行開異地分支行，并且防范在某市地區(qū)發(fā)生區(qū)域性災難時，某市以外地區(qū)的分支行業(yè)務不中斷。 在網(wǎng)絡連接方案里，異地分行有兩條線路，一條連接生產(chǎn)中心，一條連接異地災備中心。建議市內(nèi)的支行和未來要建立的分行可以連接異地災備中心，如果考慮到長途線路租用費用的問題，考慮某市內(nèi)的支行的兩條線路，一條連接生產(chǎn)中心，一條連接同城災備中心。具體線路如下： 異地災備中心和生產(chǎn)中心連接異地災備中心使用接入路由器H3C MSR上的一塊ATM板卡的155M端口，分出一條2M時隙和生產(chǎn)中心的NE5進行連接，用于管理連接和分行備線路由到總行的線路。 異地災備中心和同城災備中心連接異地災備中心使用接入路由器H3C MSR上的ATM板卡155M端口，分出一條8M時隙和同城災備中心的H3C MSR上ATM