数据安全灾备数据安全的最终防护线

数据安全是业务系统持续运行的前提和保障。虽然通过端点安全、网络安全、应用安全、存储区域网络的防护，可以从多个层面予以数据的安全防护，但是，数据丢失或损坏的情况在现实中还是经常发生。如今频繁发生的各种自然灾难（火灾、水灾、地震等）、IT系统故障（IT设备硬件、软件故障等）和人为灾难（误删除、误操作等），都对数据安全带来了巨大冲击。这些故障和灾难给我们的启迪是：作为信息支撑系统的重要组成部分，灾难备份系统将始终伴随着数据中心的建设，它是数据中心数据安全的最终防护线。在这种背景下，各个行业都在灾难的“震撼”中开始战略性研究灾难的预防和恢复措施，希望把生产中心在本地或者远程“克隆”一份，一旦发生灾难，能够快速地从灾备系统恢复数据，保障业务安全。2007年7月，有关灾备系统建设的国家标准GB/T20988-2007《信息系统灾难恢复规范》（以下简称《规范》）出台，成为各行业灾备系统建设的重要参考性文件（详见本刊“解读《信息系统灾难恢复规范》”一文）。该规范的发布，意味着作为当今信息系统建设热点之一的灾备技术及管理规范，已经被标准化。《规范》按照不同的RTO（恢复时间目标）和RPO（恢复点目标）要求，将系统灾难恢复能力分为六大等级，各行业可以根据自身行业特点和信息技术的应用情况制定相应的数据安全保护方案。虽然《规范》对灾难等级进行了明确的定义和划分，但是，对于达到这些灾备等级所需要的技术手段，《规范》中却没有进行描述。那么，如何建设灾备系统？应该选用怎样的技术方案？本文从灾难的分类及应对原则、本地数据保护策略、远程灾备建设等方面入手，尝试对这些问题做以回答。灾难的分类和应对原则灾难的范畴很广，可能导致数据遭到破坏的计划外事件都属于灾难的范畴，其中包括自然灾害、业务运行所依赖的服务的中断、IT系统故障、人员错误操作、恶意攻击以及恐怖袭击等。下图是业界权威机构对灾难的分类：图：灾难的分类及应对原则从图中可以看出，无论是占据灾难比重44%的硬件故障，还是占据49%比重的软件、人为、病毒故障，需要的都不是远程的灾备保护，本地的数据保护即可；而剩下的7%的自然灾难和社会灾难，才真正需要异地远程灾备。因此，在灾备建设中，首先需要考虑的是数据中心的本地保护，如采用备份、快照、CDP等技术，然后再做远程的异地灾备。相比远程灾备，本地数据保护系统的建设能够节省大量的成本，同时提供更好的RPO和RTO。远程灾备的目标是应对7%的小概率灾难，就更需要强调灾备的投入产出比，需要根据实际情况选择合适的灾备等级和技术，尽可能的降低远程灾备的成本。以下将从本地数据保护和远程灾备两方面来探讨灾备系统的建设。本地数据保护本地数据保护的技术手段非常多，备份、快照等技术都可用于本地数据保护，但CDP（ContinuousDataProtect，连续数据保护）无疑是其中最优秀的。备份技术传统的数据保护方式是备份，其起源可以追溯到1952年IBM发布了第一款磁带机。虽然备份方式的历史非常悠久，但其备份与恢复的时间长、备份数据颗粒度粗等不足一直都没有得到解决。在备份系统中，常见的策略是每天做一次备份，也就是说数据的丢失量是以“天”来计算，无法实现“小时级”、“分钟级”等更细的数据保护粒度。而且，备份数据的格式是专用的压缩格式，并非应用数据的原有格式，无法直接使用。如果要使用备份数据，必须通过格式转换进行数据倒回操作，这一过程短则需要数小时，长则需要数天才能完成。这样的数据保护和恢复能力，远远满足不了用户越来越高的安全与服务要求。镜像技术镜像，顾名思义，就是为当前数据保存一份完整的拷贝，这种方式主要用于防止存储设备的硬件故障。主数据和镜像数据一般放置于两个存储设备上，数据同时写入到这两个设备中。当其中一个设备发生故障时，另一个设备能够实时的接管，保证业务不中断性。但是镜像对于“软故障”没有防护作用，如果硬件设备没坏，只是发生主数据中病毒、误删除等软错误，这些错误也会传染到镜像数据上，导致两份数据都不可用。CDP连续数据保护技术备份、镜像都有其缺陷，那么，有没有更好的数据保护方式呢？这就是连续数据复制和多点影像保护的技术，即CDP数据连续性保护技术，这一技术的出现，真正使得数据的备份变成了连续跟踪数据变化的多点精细跟踪技术，使得传统意义的备份系统已经淡化，而快速恢复以及任意时间点恢复已经成为现实。SNIA数据保护论坛（DMF）的持续数据保护特别兴趣小组（CDPSIG）对CDP的定义是：“持续数据保护是一套方法，它可以捕获或跟踪数据的变化，并将其在生产数据之外独立存放，以确保数据可以恢复到过去的任意时间点。持续数据保护系统可以基于块、文件或应用实现，可以为恢复对象提供足够细的恢复粒度，实现几乎无限多的恢复时间点。”试想一下，在系统完全损坏后（包括硬盘）的几分钟内，系统又通过远程引导和复制恢复了起来，这在传统的恢复技术中是不可想象的。而CDP技术的出现，却使得数据复制和备份真正具有了高性能的RPO和RTO的能力。CDP的实现方式多种多样，其中，结合快照和网络复制技术的CDP解决方案比较典型。这种方式能够提供较细粒度的数据保护能力和全面的软硬件故障恢复能力，同时还不会占用太多的系统资源，因此获得了比较广泛的应用。CDP的关键技术是连续数据快照和复制。连续数据快照是指可以按策略为数据卷自动创建基于增量的多时间点标记。创建时间点标记策略可随需制定，如每天晚上12点创建，每隔1个小时或每隔10分钟创建等等。当发生软件程序导致的数据损坏、病毒破坏、意外删除及其它人为误操作引起的数据丢失或错误时，可以通过对合适的时间点标记进行“回滚”来快速恢复数据。复制技术能够将数据从一台存储阵列不间断的复制到另一台存储阵列，实现本地或者远程的数据备份，在发生意外灾难时能够对数据进行快速恢复，确保用户的业务持续性。通过结合连续数据快照和复制技术，CDP解决方案能够为应用数据提供多份异地存放的数据影像，不管是发生渐变式的软故障，还是站点级的硬故障，都能快速有效的进行数据恢复，从而为系统提供7×24小时不间断地运行保护，将灾难带来的损失降到最小。快照和复制都是比较常见的技术，但是能够将二者无缝的结合起来，实现多时间点的连续数据保护的厂家目前还不多。H3CCDP解决方案通过结合TimeMark和网络复制技术，能够为应用数据提供多达255份的数据影像，并且能同时将这些数据影像保存在生产阵列和备份阵列上，从而可以应对本地数据中心可能发生的各种软、硬件灾难，实现真正的CDP。远程灾难备份远程灾备系统是为了应对7%小概率灾难，因此需要强调灾备的投入产出比，需要降低成本。但是，传统意义上的远程灾备系统却是一项“奢侈品”，是一项浩大的工程。由于不同厂商在技术兼容性很难实现互联互通，在传统的灾备系统建设中，基本采用1:1模式。这不仅仅指灾备中心站点和数据中心站点的1:1，还包括应用系统的1:1，即生产中心有几套什么样的系统，灾备中心也需要采用相同品牌、相同类型的几套系统，以至于灾备系统的硬件投资成本和生产中心的硬件成本相差无几。由于传统的存储设备基本采用FC的架构，在做远程灾备时，传输链路大多采用高带宽的光纤连接，因此链路的建设或者租用费用也非常高昂。同时，灾备系统对人员、技能都提出了比生产中心更高的要求，管理和技术的复杂性又为灾备系统设立了一个门槛。这就导致了灾备系统的建设需要耗费大量的财力、物力，变成了只有少数行业和用户才能享受的VIP服务。要降低远程灾备建设的成本，必须解决异构系统中的以下几个问题。兼容互通性问题面对生产中心多业务系统、七国八制的异构封闭环境，灾备建设过程中，需要在主中心和灾备中心两端都打通技术壁垒，形成统一的资源池，实现从封闭系统到开放平台的跨越。存储虚拟化技术有效的解决了这一个问题，通过虚拟化可以消除应用层和存储层的限制，在完成系统整合的基础上，通过标准化的开放平台实现系统的互联互通，从而实现生产中心和灾备中心的无逢对接。通过实施存储虚拟化，多个厂家的多台存储阵列能够被整合到统一的资源池中，再统一灾备到异地，从而实现多对一的灾备，大大降低灾备的成本。H3C在灾备建设中较多的应用了虚拟化技术，通过主机、存储和网络三个层面的虚拟化，能够打破原封闭系统，建设标准化的存储和灾备平台。广域远程部署问题主中心和灾备中心的距离（容灾半径）是衡量灾备有效性的一个重要指标。如某用户的的生产中心在北京，他希望把灾备中心建在几百公里之外的上海，甚至更远的地方。在传统灾备系统的建设模式下，受到存储形态的限制，灾备系统的建设对链路条件要求往往比较高。如传统的FC技术，直拉距离只能达到10公里，超过10公里，必须购买协议转换设备，实现FC协议和IP协议的转换。解决生产中心和灾备中心的互通问题的同时，又会遇到链路的带宽瓶颈问题。广域网链路是非常珍贵的，可能能够用于传输的链路带宽只有几Mb。在这种情况下，如何确保大数据量的传输？IP存储的出现，大大简化了灾备的远程部署工作。基于IP的远程复制技术克服了灾备距离的限制，只要IP可达均可以建设灾备系统，而且不需要任何的协议转换设备；基于IP的微扫描的增量复制技术，仅对变化的数据量进行复制，大大降低了灾备对带宽的限制，在低带宽的情况下也能够轻松的实现远程灾备。可以说，基于IP的远程复制技术，解决了传统远程灾备部署上的难题，而且大幅度降低了灾备系统的投入成本和维护成本。H3C结合自身IP存储和IP广域传输技术，成功实施了多个在低链路情况下的远程灾备案例。其中比较有代表性的是从北京到重庆的远程灾备，其跨越了2000多公里，而链路带宽只有2Mb。管理与技术复杂性问题根据《规范》的要求，完整的灾备系统包括七个要素，灾备系统的建设主要围绕七要素展开。每个单位在进行建设灾备系统的时候，都要和各种主机、存储、网络、集成商进行配合，都要进行灾备机房等基础设施的建设，都要组建自己的技术支持和维护管理团队。虽然有完善的灾备解决方案，但是巨大的成本和维护压力也阻碍了灾备系统的广泛部署。因此，在灾备领域有了新的建设思路，这就是共享灾备。共享灾备是对多个单位进行数据集中灾备，其最大的特点在于基础设施和IT基础资源充分共享，并进行统一的维护管理。共享灾备系统的用户，只需向灾备中心购买灾备服务，而不用关心具体的设备、方案和管理运维，从而大大降低了灾备系统建设的难度。而在成本节省上，共享灾备更是优势明显：通过对灾备建设的TCO模型分析，以20家单位为例，如果采用点对点的传统灾备模式，总体投资在1.1亿左右，而采用共享灾备建设，总体投资在3900万，整体TCO降低了65%。近几年来，共享灾备作为灾备领域的一种创新应用，因为其更低的应用门槛、更高的投资回报，成为了灾备应用领域的一颗“新星”。结束语作为数据中心的重要组成部分，灾备系统的建设需要准确把脉用户的IT现状和个性需求，与端点、网络、应用、存储区域网络等多个层面结合，全面保障数据安全。灾备已经由“亡羊补牢，犹未晚也”的重要性，转向了“未雨绸缪”的迫切性：多方位满足用户对于成本、距离、带宽等苛刻的要求；通过灵活的灾备方案，充分保护用户在灾备之路上不走错路、不走偏路；在自然灾难防护的同时添加软灾难防护措施，为用户的数据提供更全面和完善的安全保障，这是灾备系统建设成功所在。数据保护作为灾备的唯一诉求，将会不断推动其技术创新，严守数据安全的最终防护线。