信息技術的快速發展和社會信息化建設力度的不斷增強，對信息數據的完整性和系統運行的持續性提出了更為嚴格的要求。信息數據海量增 長、信息系統支撐的業務高度集中和信息存儲網絡化，不但使得信息數據的重要性日益凸顯，同時也加大了各類風險的發生概率和信息資產的脆弱程度。一旦遭受水 災、火災、地震、戰爭、恐怖襲擊等大型災難，正常社會秩序受到沖擊，各種矛盾和沖突必將產生，后果嚴重，比如經濟損失、社會動蕩、政府失效等。對于公眾機 構，如何在威脅面前保護信息化的資產，提供不間斷的政府服務是當局者須認真考慮的問題。近幾年，隨著我國稅務信息化工作的深入開展，主要核心業務系統已經 逐漸實現省級集中，稅收征管、納稅服務、行政后勤等主要稅收工作的集中程度大幅提高。如何保障升級數據中心持續、穩定運行已經引起高度關注，容災備份建設 已經成為當時稅務信息化的重點工作之一。

一、“金稅”工程三期對容災備份體系建設的規劃

按照“金稅”工程三期規劃，總局在廣東南海建成南海數據中心。南海數據中心作為總局數據中心的災備中心，主要服務范圍包括總局和71個省（自治區、 直轄市、計劃單列市）級國稅局和地稅局的數據中心，其最終目標是為各單位提供由總局統一組織開發的主要核心業務系統的應用級災備，為總局提供核心業務系統 以外的其他系統的數據及災難備份服務。

南海數據中心面向總局的災備恢復內容，具體包括提供征收管理系統、行政管理系統、決策支持系統以及與核心業務系統相關的部分外部信息系統的應用及災 難備份恢復和CA/RA認證系統的應用級恢復，對其他系統則提供數據機災難備份恢復服務。面向省級國、地稅局的恢復，具體包括提供征收管理系統以及與核心 業務系統相關的部分外部信息系統的應用及災難備份恢復，對其他系統提供數據機災難備份恢復服務。
在災難恢復能力方面，南海數據中心的建設目標是保 證北京數據中心和兩個以上省級數據中心同時發生災難時，具備核心業務應用系統的接管能力，同時還要保證為其他未發生災難的總局或省級單位提供數據級容災備 份。

在災備恢復等級規劃方面，南海數據中心的設計必須達到國家規定的災難恢復等級五級標準，其災難恢復時間和恢復點目標為核心業務應用系統災難恢復時間 （RTO）≤48小時，恢復點目標（RPO）≤24小時。

二、深圳國稅同城異址項目建設實踐

1、深圳國稅信息系統建設概況

深圳國稅信息系統應用架構基本采用了三層架構，數據的存儲和保管全面實現市級大集中。主機以IBM小型機和PC服務器為主，存儲設備有EMC DMX和IBM SHARK，備份設備有IBM 3584磁帶庫，數據庫基本使用Oracle 9I，應用服務器使用WEBLOGIC。

2、深圳國稅信息系統運行存在風險分析

（1） 單點故障的風險。在避免信息系統單點故障方面，目前已經采取了必要措施，重要系統應用服務器采用WEBLOGIC集群方式，數據庫的部署采 用Oracle RAC方式，數據存儲采用RAID O+1或RAID 5保護方式。但是，仍然存在單點故障的風險，如存儲設備本身和生產中心機房。

（2） 本地磁帶庫進行數據備份、恢復的風險。目前數據備份做法是對本地數據通過TSM每天進行兩次增量備份，每周進行兩次全量備份，每天的備份磁 帶復制一份通過郵遞方式異地存放。這種做法存在風險包括：磁帶備份的數據恢復時間較長；當機房出現重大自然災害后異地存放的磁帶無法進行數據恢復；磁帶庫 備份策略無法快速、靈活地恢復由人為操作失誤造成的數據丟失。

3、深圳國稅同城異址容災備份建設的必要性

（1） 同城異址備份站點建設周期較短，能有效填補時間空擋。總局南海數據中心面向全國國稅、地稅71個省級單位提供災備服務，由于涉及省級單位數 量多，各地管理水平和技術水平參差不齊，基礎設施建設狀況有別，因此總局容災建設無法短期完成。深圳國稅目前已有大量的業務系統在運行，如何在總局容災建 設完成之前保障數據的安全和業務的連續成為一項重要的工作。同城異址備份站點建設因建設周期較短，可以有效填補時間空擋。

（2） 同城異址備份站點能夠實現本地自行開發系統的容災備份。南海數據中心為各省提供的容災服務只限于總局推廣的業務系統，深圳國稅自行開發的重 要應用系統如EAI、銀稅、網上業務系統等不在總局服務范圍內。同城異址備份站點能夠實現這些系統和數據的容在備份，室總局南海數據中心的有益補充。

（3） 同城異址備份站點既能實現應用級的容災備份，又可作為第二生產中心分擔運行壓力。同城異址備份站點因為與生產中心、區分局辦稅服務大廳的距 離相對接近，對容災備份建設的網絡資源要求比較低，比較容易實現應用級的容災備份和災難后的快速恢復；同時，備份站點建成后，還可由備份站點提供數據分 析、查詢、開發測試等服務，甚至還可作為第二生產中心，運行部分業務系統，與主生產中心互為補充。

4、深圳國稅同城異址容災備份建設的目標及原則

深圳國稅同城一直容災備份建設的目標：一是保障數據安全，備份站點能為生產中心保留一份完整的、可供災難恢復的數據；二是保障災后業務及時恢復，災 難發生后，備份站點能在確定的時間內接替生產中心的運行，并重新提供業務服務；三是提高災難抵御能力，減少災難打擊造成的經濟損失和社會影響。

深圳國稅同城異址容災備份建設遵循的原則：一是統籌規劃，建設過程中做好資源整合，堅持統籌規劃、分步實施；二是等級保護，針對面臨的風險和各項業 務停頓所帶來的損失進行分析，確定災備渠道和業務恢復時間目標，選擇合適的災備方案；三是資源共享，充分利用現有資源；四是平戰結合，在不影響災難備份與 恢復的前提下，充分利用災備中心的各類資源，開展培訓、演練、開發、數據應用等業務。

5、深圳國稅同城異址容災備份實施情況

（1） 系統架構及設備部署。深圳國稅同城異址容災備份系統架構如圖2所示。在數據復制工具軟件選型方面，經多款工具軟件試用比較，最后采用飛康公司的CDP持續數據復制軟件。在設備部署工作中，首先在生產中心配置一臺裝有復制軟件的飛康CDP管理服務器，實現生產系統數據實時保護，同時向災備中心實時復制數據；然后在災 備中心配置一臺裝有數據復制軟件的管理服務器，實現遠程數據復制和快速恢復。

（2） 本地數據的保護。采用磁盤鏡像保護方法，實現本地數據保護。通過IBM操作系統提供的邏輯卷管理鏡像功能實現“原主存儲系統”到“飛康CDP存儲系統”的本地數據實時保護，這種保護模式可以有效應對因本地存儲設備的單點 故障引起的數據災難。在“主存儲”系統發生設備故障時，飛康CDP系統可以立即提供存儲服務，接管生產存儲。通過飛康CDP設備提供的邏輯快照功能，還可獲得多達256個全備份歷史點。這種多備份歷史點 的模式可以應對任何數據邏輯故障，包括數據庫邏輯錯誤、人為錯誤操作和病毒等引起的數據丟失、文件丟失、數據庫崩潰等。

（3） 遠程數據復制和容災。在生產中心和容災備份站點之間，通過數據復制工具實現生產數據遠程實時容災備份，當生產環 境發生在難后，備份站點完成業務接管。 

圖 深圳國稅同城異址容災備份系統架構

（4） 容災備份恢復演練。演練在容災建設工作中必不可少，通過演練可以幫助管理人員提高操作水平，提高應急恢復速度；演練工作同時需要控制風險， 降低對生產系統的影響。演練實現方式有兩種：一是定期或隨時利用容災中心的飛康CDP所提供的多點快照，加載快照到容災主機，同時啟動容災數據庫和應用進行演練和驗 證；二是切斷復制鏈路，直接提取容災中心的數據盤，啟動容災中心應用，業務演練驗證后既可以將生產端數據同步于災備端數據，消除災備端由與演練產生的垃圾 數據，又可以將災備段數據同步于生產端數據，保留由于演練產生的真實數據。

6、深圳國稅同城異址容災備份建設特點及效益評估

深圳國稅同城異址容災備份建設，具有以下幾個特點：一是不僅能夠完成硬件設備出現故障后的業務恢復，而且還可以實現最為常見的數據丟失和人為錯誤出 現后的業務恢復；二是生產中心與災備中心的主機和存儲設備不受生產廠商和型號的限制，主備中心平臺無緊密關聯；三是數據復制通過TCP/IP協議傳輸，數 據分割為較小的單元，大幅節省網絡傳輸資源；四是可以生成256份不同時間點的數據拷貝，這些虛擬的數據拷貝可供其他應用系統使用，如軟件測試、查詢與備 份；五是采用差異比對技術，大幅提高容災演練、容災系統恢復過程的效率和可操作性，復雜過程簡單化；六是采用集成的容災備份管理和全圖形化的容災備份系統 操作界面，原本非常復雜的容災備份系統管理變得極其簡單。

深圳國稅同城異址容災備份建成使用后，取得了良好的效益：提高了同城異址容災備份能力，能夠防御一定級別的災難，確保信息系統在災難發生時可以繼續 提供服務；災備中心通過臨時租用電信沙河機房的方式，有利于容災工作網絡架構的建設，節省了網絡資源的運營費用，同時可以充分利用運營商專業的機房管理服 務；采用的備份技術能夠支持當前各種品牌、檔次的主機、存儲設備，在主、備站點靈活選擇設備可以大幅降低硬件投入；多份不同時間點的數據拷貝可以同時用于 開發測試、數據應用、數據歸檔、數據備份等工作，大幅減少了存儲資源的資金投入；本地數據保護的備份功能避免了以前磁帶庫備份遇到的各種困擾，減少了備份 設備的資金投入；系統總局投入成本低，而且維護簡單，災難恢復演練和實時操作提供圖形界面，操作簡單便捷，大幅降低了后期系統維護資金的投入。

7、深證國稅未來工作規劃

（1） 建立和完善業務連續性管理體系。管理體系包括災難事故的預防機制和應急機制。根據總局“金稅”工程三期的指導建議，結合深圳國稅同城異址容 災備份建設的實際情況，業務連續性管理體系建設應由易到難、分步實施、不斷完善、逐步實現，最終達到全面持續管理。制訂、完善用于災難事件響應和控制突發 事件損失的制度、流程和應對措施，包括進行出事響應和緊急處理、損害評估、災難等級識別、建立和管理應急指揮中心、災難公告制度等，使得災難發生后能夠快 速地恢復業務系統運行和業務運作；制定和完善業務連續性計劃，設計、制定業務連續性計劃；完成災難備份系統和業務恢復體系的建設；災難恢復預案的驗證。對 容災備份體系和預案進行測試演練，記錄和評估測試演練的結果，驗證災備體系的技術實施可靠性，完善災難恢復預案，保持業務連續運行能力；災備系統安全管 理。包括運維管理安全、機房物理安全、系統安全、應用安全、網絡安全、媒體數據安全和文檔安全等；災備系統運行維護和保障。建立完善的運維管理制度，規范 生產中心和災備中心的運維基本操作及切換、演練等操作，制訂包括災備系統集中監控、網絡系統監控維護、磁帶介質管理、災備服務器維護、運行支持熱線和服務 商管理的統一變更流程。

（2） 沙井備份站點建設。在沙河電信機房過渡方案基礎上，深圳國稅備份站點將選用寶安國稅沙井分局辦公大樓，在該大樓建設占地面積800平方米的 備份機房。沙井備份站點的建設工作將成為深圳國稅信息化下一步工作的重點，工作內容包括機房基礎設施建設、網絡改造、人員組織架構建設、容災系統建設及維 護。備份站點建成之后，將實現更多業務系統的應用級備份。