消防业务系统数据备份策略与容灾系统研究

摘要：消防业务系统作为消防部队信息化建设的重要组成部分，其数据安全性至关重要，而云南地处地质灾害多发、频发地带，如何建设一个应对地震、洪水、台风、恐怖袭击等重大灾害事故情况下的异地备份容灾系统，具有极重要现实意义。本文主要阐述了消防业务数据实时异地备份的重要性，研究了多种容灾备份模式，并以玉溪支队消防业务数据库为例，介绍了消防业务数据备份与容灾系统的选择与实施。

关键词：数据备份；容灾系统；消防业务系统

引言

数据资料已经成为企事业单位的无形资产和重要财富。2001年美国遭遇“9·11”恐怖袭击世贸大楼内的多个数据中心被毁，造成200多家中小企业因数据丢失而倒闭。2008年“5·12”汶川地震造成许多企事业单位办公楼倒塌、设备损坏，数据永远无法恢复，影响数万人补办各类证件。灾难唤醒了人们对数据安全的关注，同时也给消防业务数据的安全性敲响了警钟。当各地消防部队数据中心遭受地震、洪水、台风、恐怖袭击等重大灾害，以及发生大范围停电、网络中断、硬件故障等事故时就会由于数据丢失破坏而造成重大损失。考虑到大范围内灾难或故障发生的可能性，为了保障数据安全，消防部队应利用现有存储设备资源制定完备的备份和容灾方案，构建简单、经济、可靠的备份及容灾系统，增强系统的抗灾能力，最大限度地减少损失。一旦发生灾难，容灾系统将能保证业务尽快恢复，甚至可以保证业务不间断执行。数据备份也正是容灾系统得以运行的前提。

1、数据备份策略

从备份策略来讲，现在的备份可分为三种：完全备份、增量备份、差异备份、累加备份策略。首先来讨论以下这几种备份方式：

完全备份就是拷贝给定计算机或文件系统上的所有文件，而不管它是否被改变。

增量备份就是只备份在上一次备份后增加、改动的部分数据。增量备份可分为多级，每一次增量都源自上一次备份后的改动部分。

差异备份就是只备份在上一次完全备份后有变化的部分数据。如果只存在两次备份，则增量备份和差异备份内容一样。

累加备份采用数据库的管理方式，记录累积每个时间点的变化，并把变化后的值备份到相应的数组中，这种备份方式可恢复到指点的时间点。

一般在使用过程中，这三种策略常结合使用，常用的方法有：完全备份、完全备份加增量备份、完全备份加差异备份、完全备份加累加备份。

完全备份会产生大量数据移动，选择每天完全备份的客户经常直接把磁带介质连接到每台计算机上（避免通过网络传输数据）。这样，由于人的干预（放置磁带或填充自动装载设备），磁带驱动器很少成为自动系统的一部分。其结果是较差的经济效益和较高的人力花费。

完全备份加增量备份源自完全备份，不过减少了数据移动，其思想是较少使用完全备份。比如在周六晚上进行完全备份（此时对网络和系统的使用最小）。在其它6天（周日到周五）则进行增量备份。这些发生变化的文件将存储在当天的增量备份磁带上。

完全备份加差异备份的思想也是较少使用完全备份。比如在周六晚上进行完全备份，在其它6天（周日到周五）则进行差异备份。做差异备份时，将会把自上星期六以来发生了变化的文件存储在当天的差异备份磁带上。

2 容灾系统的等级

当今的社会是一个信息化、数字化的社会，以往用传统方式保存的文档、图片、影音资料如今都被数字化，保存在电脑的硬盘上。数字化使我们的保存资料一下子变得简单方便。正是这样简单易行的方式，造成了消防业务系统服务器上有大量的重要数据。传统的备份方式是在本机、本地备份，但是没有考虑容灾能力，遇到地震、台风等自然灾害可能对本地数据造成毁灭性的打击，再也无法恢复。

容灾是一个范畴比较广泛的概念，广义上，我们可以把所有与业务连续性相关的内容都纳入容灾。容灾是一个系统工程，它包括支持用户业务的方方面面。而容灾对于信息系统而言，就是提供一个能防止用户业务系统遭受各种灾难影响破坏的计算机系统。容灾还表现为一种未雨绸缪的主动性，而不是在灾难发生后的“亡羊补牢”。从狭义的角度，我们平常所谈论的容灾是指，除了生产站点以外，用户另外建立的冗余站点，当灾难发生生产站点受到破坏时，冗余站点可以接管用户正常的业务，达到业务不间断的目的。为了达到更高可用性，许多用户甚至建立多个冗余站点。

容灾系统是通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。

根据容灾系统对灾难的抵抗程度，可分为数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统，该系统是对本地系统关键应用数据实时复制。当出现灾难时，可由异地系统迅速接替本地系统而保证业务的连续性。应用容灾比数据容灾层次更高，即在异地建立一套完整的、与本地数据系统相当的备份应用系统（可以同本地应用系统互为备份，也可与本地应用系统共同工作）。在灾难出现后，远程应用系统迅速接管或承担本地应用系统的业务运行。

设计一个容灾系统，需要考虑多方面的因素，如备份或恢复数据量大小、应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合，通常可将容灾系统分为四个等级。

第0级：没有备援中心。这一级容灾系统，实际上没有灾难恢复能力，它只在本地进行数据备份，并且被备份的数据只在本地保存，没有送往异地。

第1级：本地磁带备份，异地保存。在本地将关键数据备份，然后送到异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。这种方案成本低、易于配置。但当数据量增大时，存在存储介质难管理的问题，并且当灾难发生时存在大量数据难以及时恢复的问题。为了解决此问题，灾难发生时，先恢复关键数据，后恢复非关键数据。

第2级：热备份站点备份。在异地建立一个热备份点，通过网络进行数据备份。也就是通过网络以同步或异步方式，把主站点的数据备份到备份站点，备份站点一般只备份数据，不承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的连续性。

第3级：活动备援中心。在相隔较远的地方分别建立两个数据中心，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另一个数据中心接替其工作任务。这种级别的备份根据实际要求和投入资金的多少，又可分为两种：①两个数据中心之间只限于关键数据的相互备份；②两个数据中心之间互为镜像，即零数据丢失等。零数据丢失是目前要求最高的一种容灾系统方式，它要求不管什么灾难发生，系统都能保证数据的安全。所以，它需要配置复杂的管理软件和专用的硬件设备，需要投资相对而言是最大的，但恢复速度也是最快的。

3 消防业务系统容灾系统研究

3.1 现有条件

目前我支队已部署消防业务系统服务器10台，部署有SQL Server软件，通过公安网和指挥调度网接入，与总队、其他支队互联，带宽100Mb/s。

3.2 数据备份策略与容灾系统选择

为了确保数据的安全，应采用三级备份模式。

第1级备份，磁盘间通过RAID完成磁盘级数据冗余备份，保证部分硬盘损坏的情况下数据不遗失。

第2级备份，本地异机定时备份，每天定时将数据备份到本地另外一台服务器上，虽然不具备实时性，但可保留多个时段数据版本。

第3级备份，实时异地备份，对本支队和邻近支队服务器扩容即可建立第2级、第3级容灾系统，各支队的消防业务服务器均安装了企业版SQL数据库，并接入了公安网或指挥调度网，通过配置SQL数据库自动备份和Windows任务计划可实现数据的实时备份、异地备份、互为备份。这一级别的备份实现了数据的实时异地备用功能，是三级备份模式中最重要、最有价值的一种模式，可以起到异地容灾的效果，避免地震等自然灾害带来的数据损失。

目前常用的容灾备份方式有以下几种：

第一种是基于数据备份与恢复技术的解决方案是技术最简单和投入最少的容灾解决方案。只要对业务系统每日备份的数据制作一个相同的拷贝，然后传到容灾备份中心保存起来，这样不需要购买大量的设备和软件，只需要对备份数据的介质进行有效管理。

第二种是以硬件的方式来完成数据镜像。此方式仍有两种基本的基于磁盘系统的远程拷贝形式：即同步远程拷贝和异步远程拷贝。同步远程拷贝：来自处理器的更新被写往本地连接的磁盘系统，该系统将数据转发给远地点连接的磁盘系统。异步远程拷贝：来自处理器的更新被写往本地连接的磁盘系统，该系统立即向处理器返回一个I/O完成指示，更新在很短的一段时间以后被送行一个远程系统。

第三种是用安装在存储子系统上的数据复制软件，保持业务系统的存储数据逻辑卷与备份系统存储数据逻辑卷的一致性；存储子系统的容灾技术可以选择同步复制或者异步复制方式；由于是逻辑卷级的数据复制，存储业务系统源数据的存储子系统也可以存储其他业务系统的目标数据；按照逻辑卷复制的要求，存储目标数据的逻辑卷是不能被业务系统直接使用的。

第四种是分数据库软件厂商和数据库的优化软件供应商提供了基于数据库的容灾技术。基于数据库的容灾技术传输的是SQL指令或者重做日志文件，在新数据没有被业务系统写入存储子系统前，就被指定发送到异地备份中心的数据库进行相关处理。数据库容灾技术采用异步传输方式，通过局域网网络传输，支持一个业务中心向多个备份中心的数据复制的要求，或者多个业务中心向一个备份中心复制的要求。

3.3 实时异地备份的建立

各支队的数据库和操作系统版本完全一致，同为Windows Server 2008和SQL，通过公安网和指挥调度网组成网状拓扑结构，该拓扑结构是一个高可用、高安全的系统架构。该架构可组成“一对一”、“一对多”、“多对一”的异地容灾模式。A支队数据库上的数据变化可实时反应到B支队的数据库中，解决了本地服务器存储设备全部受灾损坏，消防业务系统数据丢失的风险。并且A支队主数据库服务器也采用双机冗余的模式，一台服务器宕机，可切换到另一台服务器工作，保证了服务的稳定性。

3.4 数据的恢复

假如A、B两个支队互为备份，那么当A支队的数据出现灾难性损坏时，不应直接切换到B支队的备份数据库工作，应考虑到B支队的数据只有硬盘级数据备份，一旦再次出现意外，可能没有备份数据。此时，应当立刻备份B支队数据，以最短的时间用备份数据重建A支队系统，恢复A支队与B支队的备份关系。如果A支队暂时不能恢复，可以换为C支队。

4 结语

容灾是一个工程，而不仅仅是技术。它的价值体现不在于备份了多少数据，而是在恢复数据的时候。我们要有一种未雨绸缪的主动性，而不是在灾难发生后的“亡羊补牢”。不论是否出现大的灾难，不论备份的数据有没有派上用场，我们都要一如既往、认真地做好每一步，进行演练，以备不时之需。