灾备建设思路Word下载.docx

1、A.1.2备用数据处理系统A.1.3备用网络系统A.1.4备用基础设施a）有符合介质存放条件的场地。A.1.5技术支持A.1.6运行维护支持a）有介质存取、验证和转储管理制度；c）按介质特性对备份数据进行定期的有效性验证。A.1.7灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案A.2 第2级 备用场地支持第二级灾难恢复应具有技术和管理支持如表A2所示。表 A. 2 第2级灾难恢复的技术和管理支持A.2.1A.2.2a）灾难发生时能在预定时间内调配所需的数据处理设备到场。A.2.3a）灾难发生时能在预定时间内调配所需的通信线路和网络设备到位。A.2.4a）有符合介质存放条件的场地；c）有满

2、足信息系统和关键业务功能恢复运作要求的备用场地。A.2.5A.2.6c）按介质特性对备份数据进行定期的有效性验证；d）e）有备用场地管理制度；f）g）与相关厂商有符合灾难恢复时间要求的紧急供货协议；h）i）与相关运营商有符合灾难恢复时间要求的备用通信线路协议。A.2.7a）有相应的经过完整测试和演练的灾难恢复预案。A.3 第3级 电子传输和部分设备支持第三级灾难恢复应具有技术和管理支持如表A3所示。表 A. 3 第3级灾难恢复的技术和管理支持A.3.1a）完全数据备份至少每天一次；c）备份介质场外存放；e）每天多次利用通信网络将关键数据定时批量传送至备用场地。A.3.2a）配备灾难恢复所需的部

3、分数据处理设备。A.3.3a）配备部分通信线路和相应的网络设备。A.3.4 c）有满足信息系统和关键业务功能恢复运作要求的场地。A.3.5a）在备用场地有专职的计算机机房运行管理人员。A.3.6a）按介质特性对备份数据进行定期的有效性验证；c）有介质存取、验证和转储管理制度；e）有备用计算机机房管理制度；g）有备用数据处理设备硬件维护管理制度；i）有电子传输数据备份系统运行管理制度。A.3.7有相应的经过完整测试和演练的灾难恢复预案。A.4 第4级 电子传输及完整设备支持第四级灾难恢复应具有技术和管理支持如表A4所示。表 A. 4 第4级灾难恢复的技术和管理支持A.4.1A.4.2a）配备灾难

4、恢复所需的全部数据处理设备，并处于就绪状态或运行状态。A.4.3a）配备灾难恢复所需的通信线路；c）配备灾难恢复所需的网络设备，并处于就绪状态。A.4.4a）有符合介质存放条件的备用场地；c）有符合备用数据处理系统和备用网络设备运行要求的场地；e）有满足关键业务功能恢复运作要求的场地；g）以上场地应保持7 x 24运作。A.4.5在备用场地有：a）7 x 24专职计算机机房管理人员；c）专职数据备份技术支持人员；e）专职硬件、网络技术支持人员。A.4.6e）有备用计算机机房运行管理制度；g）有硬件和网络运行管理制度；A.4.7A.5 第5级 实时数据传输及完整设备支持第五级灾难恢复应具有技术和

5、管理支持如表A5所示。表 A. 5 第5级灾难恢复的技术和管理支持A.5.1e）采用远程数据复制技术，并利用通信网络将关键数据实时复制到备份场地。A.5.2a）配备灾难恢复所需的全部数据处理设备，并处于就绪或运行状态。A.5.3c）配备灾难恢复所需的网络设备，并处于就绪状态；e）具备通信网络自动或集中切换能力。A.5.4a）以上场地应保持7 x 24运作。A.5.5c）7 x 24专职数据备份技术支持人员；e）7 x 24专职硬件、网络技术支持人员。A.5.6i）有实时数据备份系统运行管理制度。A.5.7A.6 第6级 数据零丢失和远程集群支持第六级灾难恢复应具有技术和管理支持如表A6所示。表

6、 A. 6 第6级灾难恢复的技术和管理支持A.6.1e）远程实时备份，实现数据零丢失。A.6.2a）备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容；c）应用软件是“集群的”，可实时无缝切换；e）具备远程集群系统的实时监控和自动切换能力。A.6.3a）配备与生产系统相同等级的通信线路和网络设备；c）备用网络处于运行状态；e）最终用户可通过网络同时接入主、备中心。A.6.4A.6.5e）7 x 24专职硬件、网络技术支持人员；g）7 x 24专职操作系统、数据库和应用软件技术支持人员。A.6.6i）有实时数据备份系统运行管理制度；j）k）有操作系统、数据库和应用软件运行管理制度。A

7、.6.7A.7 灾难恢复等级评定原则 如要达到某个灾难恢复等级，应同时满足该等级中7个要素的要求。A.8 容灾中心的等级 容灾中心的等级等于其可以支持的灾难恢复最高等级。 示例：可支持1至5级的灾难备份中心的级别为5级。二、灾备项目建设流程随着信息化技术的发展，灾备项目建设目标已经从对灾难的预防向保证业务连续性转变，如何能保证各项业务在灾难发生后连续运行成为灾备项目建设围绕的核心。参照业务连续性的十个最佳实践，一个完整的灾备项目建设应包括以下几个阶段1、项目启动和管理确定业务持续计划（BCP）实施过程的相关需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制要求。2、风险评估和控

8、制确定可能造成机构及其设施中断的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施，提供成本效益分析以调整控制措施方面的投资，达到消减风险的目的。同时，由于风险会随着系统的发展而变化，所以风险管理过程也必须是动态的。3、业务影响分析确定由于中断和预期灾难可能对机构造成的影响，以及用来定量和定性分析这种影响的技术。确定关键功能、恢复优先顺序和相关性以便确定恢复时间。4、制定业务连续性策略确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。5、 应急响应和运作制定和实施用于事件响应以及对事件所引起状况

9、进行稳定的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。6、设计、制定和实施业务连续性计划设计、制定和实施业务连续性计划，以便在恢复时间目标范围内完成恢复。7、知识培养和培训项目准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。8、维护和演练业务连续性计划对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP 文档更新状态的方法，使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP 的效率，并使用简明的语言报告验证的结果。9、公共关系和危机通信制定、协调、评价和演练在危机情况下

10、与媒体交流的计划；制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划，确保所有利益群体能够得到所需的信息。10、与监管和公共当局的协调建立适用的规程和策略，用于同监管部门和公共部门协调与沟通，以确保符合现行的法令和法规。以上是一个通用型流程，在实际应用中，根据金税工程（三期）税务应用的需求和特点，结合金税工程（三期）业务连续性建设的实际需求，我们可以简化并适当改变上述标准流程。可以依据下列容灾规划步骤：1 灾难类型分析（风险分析）2 业务影响分析3 容灾策略制订4 容灾方案设计5 容灾设施资源及容灾IT系统建设6. 业务连

11、续性计划&灾难恢复计划制定与维护7 容灾系统运营管理维护8. 演练及测试每一个步骤的相关职责一般会落在“计划协调人”或“应急计划制订人”的身上，他们通常是相关部门领导。协调人在其他相关系统或业务处理部门的协助下制定应急策略；应急计划协调人通常管理应急计划的制定和执行。其过程如下图所示，是一个周而复始的过程，随着内部环境的变化随时灵活变化：图1：灾难备份项目实施过程以下将针对这几个阶段作一些详细的介绍。阶段一、灾难类型分析（风险分析）风险分析 （Risk Analysis）是针对国家税务总局总局数据中心和各省国、地税局数据中心进行。根据国际灾难备份行业规范，任何准备建设灾难备份系统的机构，首先应

12、该对自身的工作现状、风险以及随之所遭受的业务影响有清醒认知，并应尽可能多地考虑到所有可能的风险情况，并同时兼顾两个方面-预防和控制。这就需要对机构的物理环境进行调查研究，并进行相应的风险分析 。在本阶段，需要进行详细而量化的风险分析，通过识别可能发生的危险事件，分析危险的脆弱性，即危险事件发生的可能性，评估危险对总局以及各省国、地税局资产所造成的损失。 图2：风险分析流程图上图展示了风险分析的流程。首先是识别确认潜在的危险，这些危险的来源可能是：各种区域性的天然灾难，如洪水、地震、疫病等；人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等；安全威胁、硬件、网络或通信故障；灾难性的应用系统

13、错误。所有的危险都应纳入风险评估范围，并且应对各种危险的可能来源地进行较准确的定位。对于每一种危险的来源都应该认识到：危险的类型；危险的程度；危险发生的可能性。如果按照危险的破环类型或程度来分，它们对业务的影响可以分为：经营场所及设备完全破环；经营场所及设备部分破环；经营场所及设备完好，但人员不能进入，比如疫病的隔离、恐怖威胁造成的人员疏散等。风险分析的最后结果应该是一份有关风险效益分析的详细陈述报告，要有对危险的精确描述、哪些危险可能发生，以及需要采取的保障业务连续性和减少损失的措施。这份报告还应该描述清楚任何现有的前提或者限制因素。阶段二、业务影响分析业务影响分析 （Business Im

14、pact Analysis）是对金税工程（三期）关键性的业务功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析。包括：业务功能影响分析哪种业务功能对于金税工程（三期）的整体战略而言是生死攸关的该功能在多长时间内失效不会造成影响和损失金税工程（三期）的其他业务功能由于该功能的失效会受到何种影响-运营影响分析该功能的失效可能造成的税收收入影响-财务影响分析该功能是否会对社会关系造成影响纳税人信心的损失，社会稳定的影响什么是最大的/可承受的/可允许的失效业务功能的恢复条件（即灾难恢复资源资源分析，又称Profile Analysis）要使该功能连续，需要哪些资源和数据纪录最少的资源需求是什

15、么哪些资源可能来自税务系统外部它与金税工程（三期）其他功能的依赖关系以及依赖程度金税工程（三期）的其他功能与该功能的依赖关系以及依赖程度该功能与税务系统的外部业务/供应商/其他厂商的依赖关系以及依赖程度在缺少试验环境的情况下进行恢复，需采取怎样的预防措施或检验手段业务功能分类关键功能-如果这类功能被中断或失效，就会彻底危及金税工程（三期）的业务并造成严重损失。基础功能-这些功能一旦失效将会严重影响税务系统长期运营的能力。必要功能税务系统可以继续运营，但这些功能的失效会在很大程度上限制税收业务的效率。有利功能-这些功能对税务系统是有利的；但它们的缺失不会影响税务系统的运营能力。在本阶段，应该针对

16、各种业务流程进行分析，通过走访各业务部门的相关人员，了解各种业务流程本身对税收业务的重要程度，同时根据定性和定量的分析方法，分析了解每一类业务的恢复需求：所需的恢复时间、最大允许的数据丢失量、运行所需的IT环境以及对其它应用程序或数据依赖程度等等。具体体现在IT系统上，是三个指标：数据恢复点目标（RECOVERY POINT OBJECTIVE）：体现为该流程在灾难发生后，恢复运转时数据丢失的可容忍程度，即恢复到哪一个时间点；恢复时间目标（RECOVERY TIME OBJECTIE）：体现为该流程在灾难发生后，需要恢复的紧迫性也即多久能够得到恢复的问题；网络恢复目标（NETWORK RECO

17、VERY OBJECTIVE）：即业务网点什么时候才能通过备份网络与数据中心重新恢复通信的指标；这三个指标直接影响所使用的容灾策略及技术方案，并指导容灾系统的投入成本。可以用下图表示：图3. 业务影响分析曲线在该图中，横坐标为灾难持续时间，纵坐标为灾难损失，在某一程度以下属于可接受的程度，即横虚线所示。对于不同的业务流程，这三个指标可能相差非常之大，各个流程本身对这三个目标的优先程度也是不一样的，有的流程可能要求数据丢失的程度较小，但恢复时间可以较长，而另一些流程可能要求短时间内恢复，但数据的丢失程度可以放大一些。这种可接受决策应该由负责该流程的业务部门综合考虑后做出。阶段三、容灾策略制订在本

18、阶段，结合以上各阶段的分析成果，以及在容灾上的投入能力，制订税务系统短期、长期范围内的容灾策略和目标，并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。最重要的是制订出容灾实施步骤，优先解决最为重点的问题。如下图所示：图4. 容灾策略制订阶段四、容灾技术方案设计容灾方案可供选择的范围很大，但所有的容灾方案都必须考虑的因素包括恢复时间、实施与维护容灾策略所需的投入等。容灾恢复时间的需求越短，所需的实施成本就越大，实施难度也就越高。恢复时间与投入的比值可以用以下这张曲线图加以说明：图5. 容灾方案选择图中的各种层次方案可以分别满足不同的数据恢复目标和恢复时间目标，需要根据业务影响分析的结

19、果，针对每一种业务流程，综合选择能够满足容灾目标的方案。阶段五、容灾设施资源及容灾IT系统建设容灾中心的设施资源及容灾IT系统建设也是保证金税工程（三期）容灾系统正常运转的重要环节。容灾设施资源及容灾IT系统建设的基础性和重要性可以通过下图来表示：图6：容灾备份体系建设阶段在本阶段，需要对金税工程（三期）容灾中心的设施资源进行详细的规划和设计，容灾中心的建筑工程、中心环境（外部与内部）、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析，最终达到金税工程（三期）容灾的实际要求。在容灾设施资源建设过程中，我们要充分考虑到：容灾中心基础设施建设容灾中心IT恢

20、复场地建设容灾中心IT恢复资源建设业务恢复场地建设业务恢复资源建设。阶段六、业务连续性计划及灾难恢复计划制定与维护有了信息系统的恢复方案，只能够保证在灾难环境下，信息系统的恢复能够保证业务影响分析的目标，但是业务的连续性并不只是信息系统的恢复，还包括办公场地、办公设备、紧急流程、指挥架构、人员调度等等多方面、各部门的综合考虑。只有业务流程执行过程的每一个环节都达到容灾目标的要求，才能够认为业务影响分析的目标得到了满足。制定业务连续性计划和灾难恢复计划的具体内容可以通过下图来表示：图7：灾难恢复规划（DRP） vs 业务连续性规划（BCP）一般来说，应该设立一个由领导挂帅，各业务部门和信息部门联

21、合组成的一个容灾组织工作体系，具体包括：指挥领导小组、容灾工作小组、业务恢复小组、IT恢复小组、运营管理团队、后勤及人力资源保障等等。图8. 容灾组织架构图由领导小组指挥，业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划，运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变更和测试演练等工作，后勤保障和人力资源保障提供支持，从而达到容灾设计的目标。阶段七、容灾系统运行管理维护在本阶段，容灾系统运行管理维护主要分为日常运行阶段、应急和恢复阶段及接替生产运营服务阶段图9：容灾系统运营管理阶段划分参照国际IT服务管理最佳实践ITIL的标准（具体内容见下图），

22、金税工程（三期）容灾系统的运行管理应满足三大要求：高度响应要求。高响应要求是金税工程（三期）容灾系统运营管理的重中之重，也是对金税工程（三期）容灾系统灾难恢复系统运营管理队伍的最直接考验，其关注的是提供支持的及时性与工作导向。当宣告灾难恢复后，只有高响应度的容灾系统，才能够按既定的操作流程在第一时间为发生灾难的国地税数据中心进行应急与切换工作，并根据发生灾难的国地税数据中心的特殊要求提出合理的解决方案并接替生产运营，尽最大可能减轻灾难事件造成的影响。高度可靠性要求高度可靠性要求是金税工程（三期）容灾系统的基本保障，从管理手段和操作流程上保证响应度与可用性的落地。具体体现在对现有人员、资源与技术

23、在执行层面上的标准化、制度化、规范化，才能在不可预测的灾难事件发生时，容灾灾备系统能够真正意义地起到灾难恢复、业务连续的保障作用。高度可用性要求高度可用性要求是运营管理体系的基础，从容灾中心资源、业务正常处理流程与人员的支持上为应急响应、系统切换与接替生产运行的服务工作奠定基础。图10： 容灾系统运营管理体系阶段八、演练、测试任何制订的计划，都必须经过不断的测试和修正，才能满足信息系统不断发展的需求。同时，通过测试过程，也能够使内部各部门及人员熟悉自己在业务连续性计划中所扮演的角色，做到胸有成竹，才能够在灾难真正发生的时刻有条不紊地开展恢复的过程。测试的过程可以分为“纸上谈兵”和实地演习两种方式，根据需要及对业务影响的不同分别采用。需要注意的是，无论平时的测试如何完善，也没有办法预测可能发生的灾难情况。关键人员的损失或者关键文档的丢失，都有可能对灾难恢复计