通常情况下，灾难系统投资较大，使用概率较低，因此，需要对总体投入成本（TCO）和投资回报率（ROI）进行认真的分析和计算, 最好的灾难恢复解决方案是综合考虑不同层次的恢复方案，以最少的投资换取最大的收益，只使用一种方法、一种分类，是不可能达到上述目标的。灾难的最高目标是实现业务的连续运行，对灾难进行适当的分级有利于用户按需选用、分期投资、逐步演进。而这首先就需要针对不同的业务系统，进行合适的等级划分。

参照国信办的灾难恢复指南,我们可以将电子政务的数据和业务系统，按照业务连续运行时间，分别划分为以下二种需求：

   必须7×24不间断运行

   必须保证5×8运行

根据风险分析和业务影响分析的结果，衡量确定的灾难恢复目标，有两个主要的指标：RPO（Recovery Point Object）和RTO（Recovery Time Object），其中RPO代表了当灾难发生时允许丢失的数据量；而RTO则代表了系统恢复的时间。

 不间断运行（分钟级）

 允许业务短时间中断（一小时以内）

 故障时间允许一天以内

 实时性要求不高（允许中断一天以上）

按照对数据丢失的容忍度（RPO），可以划分为

  不容许丢失数据

  重要性很高

  丢失少量数据能人工找回

  数据重要性不高四个级别。

政府灾难备份中心建设平台如下图所示：

  基础设施：包括机房选址、供水供电通风、门禁管理、监控等系统的建设。

  网络接入：灾难备份中心的网络建设，既要考虑充分利用现有的网络，又要提供多种灵活方便的接入方式。因此灾难备份中心需要提供电子政务网、外网、专网和互联网四类网络接入接口。

  安全策略：要在网络层、传输层、数据层提供多种策略，保证数据的安全性。主要包括网络隔离、传输加密、数据访问控制三种方式。

  备份模式：按照不同的业务连续性要求，灾备中心考虑了数据级灾备和应用级灾备两种模式。数据级灾备是灾备中心的主要模式。针对有应用级灾备需求的委办局，灾备系统由各委办局自行建设，灾备中心只提供场所和相关基础设施。

  服务类别：灾难备份中心提供的服务也要分级。从业务连续性、安全性考虑，对于不同的用户，提供不同的服务类型。大体可分为普通服务、VIP服务和保密服务。其中普通服务，为每个单位提供逻辑上独立的存储磁盘空间；VIP服务，为每个单位提供物理上独立的存储磁盘空间；保密服务，为每个单位提供物理上独立的网络接口和存储磁盘空间。

电子政务统一灾备中心要接收来自多个委办局的数据，这些数据可能来自公务网、外网、专网和互联网。同时不同的委办局还有不同的业务连续性要求，大致分为物理磁带保存、数据级灾备和应用级灾备。要满足这样的要求，灾备中心必须进行分区域分层设计。具体如下图所示：

  灾备中心分为公务网灾备区、外网灾备区、专网灾备区和互联网灾备区四部分。出于数据安全性考虑，灾备中心的公务网灾备区、外网灾备区、专网灾备区和互联网灾备区的网络物理隔离，不能连通。

 在四大灾备区之外，单独划分一块磁带保存区，分别保存来自公务网、外网和互联网业务的备份磁带。

  根据不同的业务连续性要求，每一个灾备区划分为应用级灾备区和数据级灾备区两个部分。

附图：灾备中心分为公务网灾备区、外网灾备区、专网灾备区和互联网灾备区四

部分。在每一个灾备区内部，局域网分为“应用级灾备区局域网”和“数据级灾

备区局域网”两部分，上图是以公务网灾备区局域网组网为例。

同时由于电子政务接入网络上承载了涉密和非涉密数据，两种数据通过逻辑进行隔离。考虑到电子政务网络的健壮性和安全行，建议灾备中心网络采用不同的运营商裸光纤分别接入到电子政务网核心设备上，实现运营商链路、设备的冗余，其中运营商的光纤是在不同的管道中。灾备中心数据备份和恢复的服务质量需要严格保障，建议在电子政务网设备之间跑MPLS-VPN业务，把不同的用户群分成不同的VPN隧道，不同VPN隧道分配不同的带宽，保障不同的用户群对网路带宽的需求和服务保障。H3C 拥有完整的产品线支持MPLS-VPN业务，部署比较容易。

 在灾备中心内部园区网建设中还需要考虑可靠性、业务与网络平台的融合等等，H3C智能网络设计充分考虑通过H3C OAA 向L4-L7的渗透，同时通过OAA缓解应用层压力。

                   附图：OAA功能

2.          （二）安全规划设计

  电子政务灾难备份中心不仅保存电子政务系统的数据，还保存其他纵向部门应用系统的数据。这些数据具有多种级别的安全要求。不仅传输过程中不能泄密，而且不同纵向部门之间的数据也要求相互隔离。因此，灾难备份中心的安全规划至关重要。总的来说，灾难备份中心的安全系统建设，需要从网络、传输、数据三方面考虑。

灾难备份中心不仅要连接到省政府的电子政务网络，同时还需要提供各个省级委办局专网的接口,不同省级委办局的专网应用之间的关系比较复杂,对于大部分的专网应用，要求网络互相隔离。但是也有一些专网应用，需要和其它专网应用共享数据。比如检察院的部分数据就需要被公安的共享。

因此不同省级委办局的专网之间采用物理隔离和逻辑隔离两种手段。对于相互毫无关系的专网应用，采用物理隔离的方式；对于互相关联的数据，采用逻辑隔离和访问控制结合的方式，保障网络安全。

防火墙部署

在灾难备份中心的网络上，防火墙主要部署在三个位置：

  防火墙部署在灾难备份中心的电子政务内网接口处，放置在灾难备份中心的路由器之后，对电子政务内网接口的所有网络流量进行控制，对灾难备份中心提供保护。

  防火墙部署在灾难备份中心的专网接口处，放置在灾难备份中心的路由器之后，实现对特定专网的网络流量的控制，对灾难备份中心提供保护。

  在灾难备份中心内部的网管网络上，将防火墙部署在管理终端的关键路径上，对所有的管理流量进行控制，保证管理网络的安全。

    H3C拥有全系列的防火墙产品并能制定定制化的防火墙部署方案。

IDS/IPS部署

IDS/IPS一般部署在不同安全级别的网络边界，用于监测和抵御网络威胁。因为电子政务内网上的应用较多，传送到灾难备份中心的数据也比较复杂，因此建议在电子政务内网的接口处，防火墙内外都部署IDS/IPS设备。对于专网应用，数据相对简单，在防火墙内部部署IDS/IPS设备即可。H3C IPS 设备在全球获得NSS金奖殊荣，支持上千种安全过滤策略有效确保电子政务平台安全。

通过网络隔离和部署安全设备，保证了网络的安全性。但是如果数据未经处理就在网络上传输，仍然存在被截取的可能。所以在数据传输时，需要进行数据加密处理。

目前的网络存储设备，主要分为FC存储和IP存储。在数据传输链路上，基于IP的传输加密技术，历史悠久，种类繁多，远比FC链路上的传输加密技术要成熟和完善。如果要进行数据加密传输，IP存储具有天然的优势。不论何种加密方式，都采用的是点对点的加密/解密方式。也就是说，加密/解密设备需要成对出现，一个负责加密，一个负责解密。在灾难备份中心的传输安全建设中，对于专网数据，安全性要求较高，因此建议采用专门的加密/解密设备。在电子政务内网的应用，安全性要求相对较低，应用也较多，可以利用存储设备本身的加密/解密引擎进行数据加解密。对于部分应用，也可以使用专门的加密/解密设备。H3C基于第三代的IP-SAN架构能很好的实现灾备对传输安全的需求。

数据备份到灾难备份中心后，还需要保证数据不被非法访问。根据数据安全也是一项重要工作。根据不同业务系统涉密性要求，可以划分为四种安全性等级。四种安全等级可以通过严格的存储访问控制来实现。H3C IP SAN架构，应用主机要访问存储，需要在应用主机和存储设备之间建立对应关系，这种对应关系称之为“卷绑定”。在做卷绑定时，可以设置应用主机的访问权限，比如读写权限、通过密码访问（CHAP认证）等。 H3C 存储在灾备建设时实现了很好的数据安全的需要。

6.          （三）存储规划设计

灾备中心包括公务网、外网、互联网三个灾备区。三个灾备区是物理隔离的，因此每个灾备区的存储系统都需要单独建设。每个灾备区提供的灾备业务大体相同，因此存储建设模型也基本一致。以公务网灾备区为例，存储建设模型如下：

模型说明：

  灾备中心部署不同类型的存储阵列，包括IX系列IP磁盘阵列、DL系列虚拟磁带库，提供原始的存储空间资源。

  采用IV系列虚拟化数据管理平台搭建灾备中心的基础架构，对存储资源（不包括虚拟磁带库）进行虚拟化整合，提供统一的逻辑资源。

  统一数据管理中心（UDM）是统一灾备中心的核心，它集中管理所有的存储设备，统一设定备份策略，实现资源化管理。

  针对备份节点（各委办局）的IX、IV、DL系列存储设备，只要IP可达，也可纳入UDM的统一管理体系。

  灾备中心部署一定数量的备用服务器，并安装相应的操作系统和软件，在部分委办局的备份节点发生故障时，进行业务接管。

1.             存储管理架构

按照灾难恢复的不同等级，每个灾备区分为数据级灾备和应用级灾备两个部分。针对数据级灾备和应用级灾备的不同要求，存储管理架构各不相同：

  数据级灾备存储管理架构

数据级灾备存储架构如下图所示：

数据级灾备存储系统的主体是存储资源池和统一数据管理平台（UDM）。存储资源池包括如下组成部分：

磁盘阵列：由不同型号的IX系列IP磁盘阵列组成。除了提供海量存储资源之外，IX系列IP磁盘阵列还提供镜像、复制、快照等丰富的数据保护功能。

虚拟化数据管理平台：主要是指IV系列存储设备。IV系列可对不同类型的磁盘阵列（FC、iSCSI、SCSI）进行整合和虚拟化，屏蔽下层的物理磁盘阵列，按照统一的方式提供逻辑资源。同时IV系列还提供与IX系列磁盘阵列兼容的镜像、快照、复制等丰富的数据保护功能。

为保证可靠性和性能，IV系列存储虚拟化管理平台之间采用负载均衡和冗余机制。某一台IV设备发生故障，其上的任务会被其它IV设备透明接管，保证存储业务的连续性。

通过将其它其他厂商的FC或IP 磁盘阵列纳入IV系列虚拟化管理体系后，由不同磁盘阵列组成的存储资源池可以提供统一、标准的对外接口和业务特性。

虚拟磁带库：由不同型号的DL系列虚拟磁带库组成。虚拟磁带库除了提供仿真的磁带资源外，还提供更高的备份/恢复性能以及容量按需扩容、远程复制等丰富的数据保护功能。

统一数据管理平台：由统一数据管理平台（UDM）及其软件套件组成，是统一灾备平台的核心。在UDM上，可以对所有的IV、IX、DL系列设备进行管理，包括资源分配、存储监控和告警处理等。这一层是管理层，不处理业务。

  应用级灾备存储管理架构

应用级灾备系统的存储阵列和服务器由各个单位自行购买建设，灾备中心只提供相关场所和基础设施，不对其业务进行管理。如果是采用IX系列IP磁盘阵列，也可通过UDM可对运行状态进行监控，了解设备运行状态，及时发现设备告警和故障。

7.          （四）全网管理设计

H3C灾备中心IMC字能管理中心从设备生命周期的角度对网络进行管理，智能分析中心实现了自动化和精细化的深度分析，实时探测网络资源的分配状况，结合业务优先级和服务水平协议，按照预定策略实现网络资源的按需分配。

IP智能分析包括了用户行为分析、网络流量分析、安全事件分析、故障深度分析以及服务质量分析等分析模块，通过这样的深度分析与推理机制，管理员可以有效了解整个网络的运行状况、带宽占用状况等信息，为用户进行下一步的网络优化与控制提供了有力的依据。

IP智能管理中心（IMC）中各个管理控制中心也不是彼此孤立的，可能需要多个管理控制中心互相联动，实现对政府行业业务应用的有力支撑。比如网络流量分析系统通过对网络中各种业务的构成状况，输出网络健康评估，资源管理中心则可以以网络健康评估为依据，按照一定的策略，对网络中的资源进行调配，从而通过先进体系架构，达到智能管理的目的。  

附图：IMC结构组成

H3C电子政务统一灾备设计特点

H3C灾备中心设计架构能够为用户奠定坚实的基础，使灾备中心的资源更好地符合关键业务的要求。IT部门不但能通过融合的平台降低TCO(设计和部署数据中心总拥有成本)，而且可以通过开放的架构定制符合不同行业需求的个性化数据中心方案。

融合的平台降低TCO

H3C灾备中心提供融合的基础设施IP架构能够提高IT生产率和资源利用率，因为借助它提供的平台，电子政务能够以数据服务为导向的按需模式安全地使用计算、存储和网络资源。灾备中心融合的基础实施架构是以IP为标准语言和存储结合组成IP-SAN；和网络结合优化后组成智能的网络平台例如H3C OAA结构能够使得网络平台向L4-L7层过度，同时业务层也能通过OAA结构向下延伸，由于这种架构能够为客户提供多种向上和向外扩展型服务器和存储战略，因而能够降低投资成本。除此以外，它还能简化池状基础设施资源的管理和调配，使之符合应用的要求，因而还能降低运行成本。不仅如此，IT 部门还可以利用经过验证的设计最佳实践、数据中心支持服务和预先经过审核的合作伙伴解决方案来简化实施，降低部署成本。

智能的管理提高了生产力

数据中心、灾备中心承载网、园区网、WAN、分支机构网络、用户接入网等的管理需要简化，H3C数据中心、灾备中心端到端的智能网络设计方便了IT部门的全网管理，例如WAN优化，分支机构的多业务平台网关实现数据中心、灾备中心边缘化网络的智能，IMC管理平台，DM的资源管理平台实现数据中心侧的智能管理。H3C充分考虑数据中心、灾备中心发展的需求，对数据中心、灾备中心的分支机构部署提出智能设计的架构，实现对安全的智能部署（虚拟防火墙），实现网络向L4-L7层渗透，实现业务向基础设施延伸，基础设施向业务扩展。IT部门通过智能的网络让管理变得方便。

连续数据保护

（一） 本地CDP方案

如图所示，在生产系统的应用服务器上安装DiskSafe软件，把应用服务器机内磁盘（图中“C”和“D”）或者外接DAS设备（图中“L”，表示Local Disk）在存储系统生成数据副本（图中“B”，表示Backup Disk）。同时通过DiskSafe的快照机制，可以生成连续的基于时间点的快照（图中“TM”，表示TimeMark），结合安装在应用服务器上的快照代理软件，可以保证每一个快照都具有时间点的一致性和完整性。一旦应用服务器发生宕机，从NeoStor 数据管理平台上的服务器复制磁盘中，管理员可设定由最近或特定的快照时间点恢复系统运行；当服务器重新开机，选择由服务器所配置的iSCSI HBA连接受保护的复制磁盘远程启动操作系统，不需事先还原，利用远程系统直接运行，应用系统就能回到快照时的正常服务状态。

Neocean IV5000作为专用的数据管理产品，兼容各种独立厂商平台，并支持包括FC、IP、iSCSI等多种存储协议，可将不同品牌及接口的存储设备进行整合，形成一个统一的虚拟存储池。并在此基础上，为存储池中的设备提供的高级存储功能（如：镜像、复制、快照等），利用这些功能可以将生产中心存储池中的设备完整的复制到远端的灾备中心的存储池中，实现了不同品牌、不同连接方式的存储设备间的容灾。

H3C灾备建设连续数据保护特点小结：

（一） 对服务器完整保护

 同时保护系统和数据

 在线即时保护无需停止服务

 二十四小时持续备份保护

 支持DAS、IP SAN (iSCSI)

 SAN(iSCSI)、FC SAN环境数据保护

 支持微软集群环境保护

 支援D2D2D的备份模式

 高效率的快照提供快速恢复

 以分钟为单位降低数据损失

 快照代理与系统和数据库沟通，保证数据完整性

 支持群组保护确保数据库 和Transaction Log一致性

 直接检查验证备份內容

 五分钟恢复生产系统启动

 无需等待数据复原直接运行

 无需长时间停机，直接在线同步还原

 复制完整服务器系统和数据到灾备中心

 传输过程支持压缩和加密

 本地快速恢复生产，灾备中心迅速恢复运行

    H3C电子政务的统一容灾方案提供了在应用和存储/备份资源间的连接，生产和备份数据中心间的连接，以及优化用户在中断发生之前、之中和之后的用户对应用的访问，提供了最高级和完整的业务永续网络的整套解决方案，并实现了与业界领先的合作伙伴及其业务永续技术的无缝的整合。由于灾备中心和数据中心具有动态变化的特点，需要我们持续不断的探索最佳的、适合的灾备建设方案。