分步灾备方案保障过渡期数据安全

　　随着中国政府信息化建设的不断深入，国家税务总局以及各省国、地税务单位现有业务对信息系统的依赖程度越来越大。目前，大量重要的税务数据通过信息系统的网络和主机应用进行传输和处理，其新业务的开展也离不开信息系统的支持。同时，随着各信息系统的数据逐步集中到省级处理平台，核心应用逐步集中到总局处理平台，数据和系统的安全更显得重要。一旦数据丢失和信息系统出现问题，将严重影响各省以至全国的税收征管工作。也就是说，信息系统大集中背景下，税收数据的安全性问题变得更加突出，如何确保税收数据的安全性已经非常显著的成为税务系统信息化建设的一个重点。国家税务总局公布的信息化建设工作要点已经明确了这部分工作：“根据数据两级处理的要求，加强两级应用平台建设。完成南海数据处理中心办公设施建设，研制税务总局灾备系统方案，做好部分省市征管软件数据备份试点工作”。同时根据金税工程（三期）建设的总体规划要求，在金税工程（三期）建设内容中，灾备系统建设是重要的组成部分之一，并且其建设具有相当的急迫性。为此，需要对全国税务系统灾难备份系统的建设进行统筹规划和技术方案设计方面进行探讨，仁者见仁，智者见智，期望得到最佳的解决方案。

　　各行业最常见的灾难备份系统架构

　　目前灾备技术的发展较快，基于磁盘阵列的灾备方案一直占据技术方向的主流，尤其是在大型关键业务系统应用中处于绝对垄断地位，同时也存在其它方案作为补充手段，比如数据库和备份软件等。对于这样一种现状已经存在多年，在各行各业中都存在，比如说国内信息化建设起步较早的电信和银行领域，目前已经有多个单位已经完成了同城或者异地的灾难备份建设，还有一部分正在建设过程中。对比这些灾难备份建设的先行者可以看到，基于智能磁盘阵列复制的解决方案具有应用最广泛、技术最成熟、维护最简单的特点。对于税务系统来说，结合全国地税几十家省级单位的现状完全可以借鉴其它行业的先进经验，并对最新的技术发展进行跟踪，制定符合自己行业特点的技术路线和发展方向。目前已经完成数据集中和存储整合的大部分系统来说，最适合采用目前非常成熟的基于智能磁盘阵列复制的灾备方案，这样可以最大化借鉴其它行业的成功经验，避免投资失败和各种未知的潜在风险；对于独立于省级集中存储的应用系统或者需要单独维护的系统可以考虑采用数据库或者备份软件作为补充，这种方式符合系统目前的实际现状，根据规模的发展也可以考虑过渡或者切换到其它方式。

　　我们来看看税务系统的现状，按照省级或者计划单列市以上单位计算，税务系统全国共71个数据中心，每个数据中心约14个关键业务系统，包括综合征管系统、防伪税控系统、增值税专用发票稽核系统、协查系统、出口退税审核系统、OA系统、税控收款机系统、执法监察系统、车购税系统、人事管理系统和财务系统等，国地税各省应用尚未完全统一，并且未来可能增加其它关键业务系统，比如说税库银、重点税源等，共计约1000套左右或以上业务系统需要进行远程灾备保护。针对现有系统的复杂性和多样性，参照智能磁盘阵列的复制机制成熟有效、维护简单的特点，可以考虑作为国税总局的主要选择，同时根据1000个系统的不同特点和网络带宽的要求，并存多种灾备机制，以磁盘阵列的复制为主，对于部分分散的应用系统，以数据库和应用的手段为补充，也可以先迁移到磁盘阵列上，统一使用基于磁盘阵列的复制技术，全面建设所有业务系统的数据级灾备。同时1000个业务系统的灾备管理也是一个巨大的挑战，磁盘阵列复制机制的管理最简单，可以简化为71个省市级单位的单独管理。在过渡期后，未来的金税三期工程无论采用何种框架结构，均可以继续采用以存储系统为主，以数据库和应用系统为补充的灾备方式，目前的系统均能实现平滑升级和投资保护。

　　考虑到该灾备系统涉及省份众多，环境复杂，一步到位实现应用级容灾项目的难度较大，整个容灾备份体系的建设应该本着循序渐进、由易到难逐渐实施的相关策略。在此初步设计一个过渡期和金税三期数据级的容灾方案。（整个容灾架构如图1所示）

　　数据级容灾备份体系架构

　　该体系架构设计的总体原则是：

　　● 方案能最大满足国税容灾关于数据丢失量和恢复时间的需求；

　　● 实施技术简单可行，实施风险应尽可能减小；

　　● 有利于投资保护，应充分利用国税总局已购置的原有设备；

　　●方案具有良好的扩展性，在税总日后业务发展，对带宽、处理能力等要求进一步提升后，需求更加明确、细化后，提供一定的扩展能力；

　　●各省市局采用的容灾方案具备良好的平滑性，某种容灾方式能够较好地过渡到其他容灾方式。

　　该体系架构充分尊重国税总局全国各省市的现状，最合理、最先进、最成熟、并且具有很大灵活性，具体方案特点如下：

　　●大多数省市采用基于磁盘阵列的备份方案，利用智能存储设备自身的复制能力实现容灾备份功能；

　　●磁盘阵列备份方案里根据各省市带宽、容灾需求等情况不同可以细分不同情况；

　　●采用SRDF连续复制的技术手段实现远程容灾，达到零数据丢失或者秒级别的数据丢失；

　　●采用SRDF定点复制的技术实现远程容灾，该技术最大程度削减网络传输的数据量，间隔时间越大削减的比例越高，根据各省市交易量对带宽的要求，综合考虑复制间隔时间，比如可以设定半小时、2小时或者6小时进行一次定点复制，实现的数据丢失量分别是半小时、2小时或者6小时；

　　●基于磁盘阵列的容灾方案对生产端主机的性能没有影响；

　　●无论是连续复制，还是定点复制，根据交易量变化、网络带宽、RPO要求可以方便的进行调整和切换，从而实现RPO从小时级到分钟级，进而到秒级甚至RPO为零的目标；

　　●整个磁盘阵列的复制方式，无论是连续复制，还是定点复制，都具备统一管理，操作简单易行的特点，对上层应用的数据库和文件系统透明，完全是平台级的灾备技术，无需考虑上层71个省市级数据中心和各14个应用系统，合计约1000套应用系统的差异性。

　　●在这种定点复制和连续复制的调整和切换过程中，甚至从过渡期到金税三期工程的升级，整个系统的体系架构和相关软硬件配置都可以继续沿用。

　　●目前国税建立的可用于远程容灾的带宽为80M-120M，该带宽能够满足定点复制的要求，连续复制根据交易量不同可能有所区别。具体情况可以采集实测数据，通过专业的服务测算带宽要求。

　　具体采用哪种方案根据省市的具体情况而定，如某些距离南海容灾中心较近的或者对带宽要求不高的省市局可以采用SRDF连续复制的手段实现容灾功能；某些省市局采用SRDF定点复制的技术实现远程容灾，根据设定的定点复制时间段不同，实现不同小时级别、分钟级、秒级或者“0”的数据丢失量。

　　本文还有一点在此和大家进行简单的探讨，根据两级处理平台的要求，除了总局在南海数据中心的统一灾难备份系统建设，还将对省级数据中心异地（址）数据备份站点进行规划建设。各省市单位建立异地（址）数据备份站点，并在其站点通过数据备份系统建设，为本省数据中心所有业务数据保留一份完整、一致的数据备份，当本省信息系统数据丢失或损毁时，保证数据可恢复。实现这一目标需要各省市单位建立IT基础设施（场地）、网络、主机、存储、系统软件、应用软件等层次的单点故障消除机制，保证本省信息系统的不间断运行。该建设和总局南海数据中心相比技术手段和维护支持的要求具有很多的共性，从技术角度完全可以相互借鉴，并且通过统一规划，有机的结合为一个互补的系统，在处理不同等级的故障或灾难时有效发挥各自的优势，省市级系统距离短、响应快、延迟小，总局南海数据中心距离远、技术力量雄厚，能够大规模的根本解决问题。

　　以上的观点和建议经过了对国家税务总局及实现省级集中的各省级国、地税单位业务系统的全面调研、整理和分析，充分考虑了金税工程（三期）应用系统的规划，结合了国务院信息化工作办公室的《重要信息系统灾难恢复指南》，同时借鉴了国际和国内灾难备份建设的最佳实践。灾难备份系统是一个长期的、系统的工程，税务系统的灾难备份建设尤其具有规模大、跨度大、周期长、影响广泛的特点，限于时间和篇幅不能一一列出细节，在此抛砖引玉，希望通过灾备的技术手段描述和方案规划与大家进行深入的探讨。

　　截至发稿时间，国家税务总局的灾备试点单位建设已经正在进行中，同时部分省市级单位的省级数据中心异地（址）数据备份站点的规划建设也已经启动，相信在未来的几个月内，完全符合税务行业特点的灾备建设项目在相关单位可以搭建完毕，这种理论结合实践的经验将在信息系统大集中背景下对保证税收数据的安全性提供深远的影响和帮助。