檔案管理系統災難備份建設研究

郭 暉 陳曉輝

（蘭州石化公司自動化研究院 甘肅 蘭州 730060）

目前，越來越多的企業開始關注檔案資源的利用，建立大集中式的檔案管理系統， 方便企業檔案資源的整合利用。大集中部署架構有效的防止了信息孤島，對企業檔案業務進行了集中統一的管理，但數據集中帶來了風險的集中。 風險的集中，需要我們重視災難備份的建設。

1 檔案管理系統架構影響分析

檔案管理系統的架構一般都是由以下三大部分組成，每個部分如果發生故障，會對業務造成相應的影響。

1.1 WEB 層

WEB 層是為用戶訪問系統提供WEB 服務。 一般WEB層都提供負載均衡策略，當其中一個WEB 服務出現問題時，此服務可由其他服務進行接管。 當故障修復后，將恢復到之前的均衡工作狀態。 但如果WEB 服務同時發生故障，用戶將無法訪問檔案管理系統。

1.2 應用層

應用層為用戶提供各種應用服務，如報表、索引、檢索等服務。 當相應服務故障時，其提供的服務將停止。

1.3 數據層

數據層為各種應用提供數據支持。 通過使用Cluster 技術，可實現數據庫的雙機熱備功能，即主數據庫出現問題時，備用數據庫可自動判斷出主庫的出錯狀態，并接管數據庫以提供服務，這個過程僅持續幾秒鐘，是用戶基本感覺不到的，是一個全自動的過程。 檔案管理系統內的所有數據庫均采用數據庫群集技術，即保證對任何一個數據庫都可實現雙機熱備。 對于數據庫群集來說，共享存儲故障將是該方案的唯一單點故障，故障發生時，將無法對數據進行存取。

2 災難備份系統建設模式分析

災難備份建設模式目前主要可行的有兩種，即“一地兩中心”與“兩地三中心”災難備份模式。

“一地兩中心”模式，采用的是生產中心和同城災難備份中心的備份模式。 生產中心每天晚上定時向同城災難備份中心備份當天的數據。 災難備份中心的數據比生產中心滯后，當生產中心發生災難時，會出現一定量的數據丟失，丟失的數據是災難前生產中心向災難備份中心最后一次傳送后的數據。 但此種模式有一個很大的弊端，就是當城市發生大規模災難，如地震時，兩個中心的數據就將面臨無法挽回的損失。

“兩地三中心”模式，就是在同城建立災難備份，在異地也建立災難備份。 生產中心每天晚上定時向同城及異地災難備份環境備份當天的數據。 災難備份環境數據比生產中心滯后，生產中心發生災難后，將出現相應數據的丟失，丟失的數據是災難前生產中心向災難備份中心最后一次傳送后的數據。 此種模式當生產環境發生故障時，可啟動同城災難備份中心。 當發生城市大規模災難時，異地災難備份中心可啟動進行工作。

災難備份建設不是一個簡單的信息系統項目，而是一個耗資龐大的系統工程，需要大量財力、物力、人力的投入。 相對于其他項目，它為小概率災難事件而準備，它投入較大而效果不容易體現。 所以在災難備份環境的整體架構設計上，需要考慮綜合的災備需求、投資等方面的因素。而“兩地三中心”建設模式對數據的保護級別較高，在災難發生時可以最大限度地確保數據不丟失。 在綜合考慮數據的重要性，以及技術、投資、可靠性等各方面因素的基礎上，建議采用生產中心、同城災備中心和異地災備中心這種“兩地三中心”建設模式，更加符合未來檔案業務的實際需求，對珍存企業記憶提供有力保障。

3 災難備份建設的基本流程

3.1 建立災難備份的專門機構

災備環境的建設應由公司高層領導決策，指定相關負責人進行實施。 成立項目指導委員會，下設項目經理部，項目經理部的機構人員由技術、業務、財務、后勤等組成。 其主要職責是分析災備需求，制定相關方案，確定總體預算，監督項目實施，明確人員職責，協調各部門關系，定期測試評估災備計劃，對結果進行審核保存，之后進行相應改進。

3.2 分析災難備份需求

信息系統災備分析應包括業務分析、風險分析、災難恢復的目標。

業務分析是分析檔案業務停止將造成的損失，數據丟失對企業形象，對社會安定因素造成的影響。 分析檔案業務停止的最大容忍時間、恢復優先級、各項業務的相關性、可接受的交易丟失程度。

風險分析主要分析系統資產價值、檔案系統風險。

1）檔案管理系統資產價值分析。 檔案管理系統將成為各業務系統中具有保存價值的、憑證性電子文件的永久保管中心。 檔案是公司資產的重要組成部分，涉及方方面面的歷史數據資源，為公司生產建設、科學研究、經營管理等各項工作提供支撐，具有極高的隱性資產價值。 如果檔案數據損壞或丟失，將對國家安全和經濟造成不可挽回的損失，所以應進行多重保護。

2）檔案管理系統風險分析。 檔案管理系統主要面臨兩方面的威脅，一種是自然威脅，另一種是人為威脅。 自然威脅包括戰爭、動亂、嚴重的自然災害等情況。 人為威脅包括有意或無意的人為操作對系統及數據的威脅。 如果是人為威脅，可以通過備份的環境或數據對業務應用進行恢復，也可以通過規范的管理去把控。 所以，當面對自然威脅時，同城災備系統無法滿足檔案管理系統的安全防護。

3.3 制定災難備份方案

1）數據備份方案。根據災備需求分析確定數據備份要求。根據數據的重要級別、數據量大小、業務允許停頓的最大時間、數據最大丟失度、數據傳輸量等來確定數據備份方案。

2）備份系統。 災難備份應根據檔案管理系統的特點配備相應的備份系統。 災備系統包括服務的范圍、網絡的拓撲結構、網絡切換方式、軟硬件環境等。

3）災難備份中心建設。 災難備份中心是配備了各種資源備份的計算機處理中心，當災難發生時，它將接替數據處理中心開始運行。 檔案管理系統可采用自建、租用、聯合建設等模式。

4）規程與管理制度

檔案管理系統災備建設時，需要制定災備的各項制度和管理流程，如日常數據備份管理制度、備份數據存放制度、災備環境切換流程、災備系統變更管理流程等。

3.4 實施災難備份方案

目的是按照已經制定的災難備份方案，進行相應災難備份工作。 在建設過程中，需要落實相應的規章制度，嚴格按照已經制定的方案進行，把方案落實到位。

3.5 制定災難恢復計劃

目的是規范災難恢復流程，使重要信息系統在災難發生后能快速地恢復數據處理系統的運行和業務運作。