對(duì)于電力企業(yè)而言,網(wǎng)絡(luò)系統(tǒng)的核心是數(shù)據(jù),如果沒(méi)有數(shù)據(jù)或者數(shù)據(jù)不安全,就談不上電力應(yīng)用。容災(zāi)備份是保證電力系統(tǒng)正常運(yùn)營(yíng)的靈丹妙藥。
人為的操作錯(cuò)誤、軟件缺陷、硬件故障、計(jì)算機(jī)病毒、黑客攻擊、自然災(zāi)難等諸多因素,均有可能帶來(lái)數(shù)據(jù)的丟失,從而給整個(gè)電力企業(yè)帶來(lái)無(wú)法估量的損失。
筆者曾經(jīng)參與了一個(gè)安全咨詢項(xiàng)目:某省電力公司需要建立公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)系統(tǒng),通過(guò)發(fā)放PKI數(shù)字證書(shū)(可以形象地稱為網(wǎng)絡(luò)身份證),驗(yàn)證每位員工的身份。
PKI系統(tǒng)建成后,該電力公司將門禁、計(jì)算機(jī)系統(tǒng)登陸、食堂用餐、電力超市消費(fèi)等與數(shù)字證書(shū)關(guān)聯(lián)起來(lái)。隨后,該電力公司產(chǎn)生一個(gè)疑惑:數(shù)字證書(shū)信息、密鑰信息等非常重要,一旦遭受攻擊或自然災(zāi)害,非常容易丟失,這時(shí)怎么辦?
應(yīng)該進(jìn)行遠(yuǎn)程容災(zāi)備份。
遠(yuǎn)程容災(zāi)備份是保護(hù)數(shù)據(jù)信息的重要手段,利用它,用戶可在遭受攻擊或遭遇自然災(zāi)害引發(fā)數(shù)據(jù)丟失時(shí),快速恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。
個(gè)性化需要
在電力企業(yè)中,有很多應(yīng)用系統(tǒng)和重要數(shù)據(jù)。比如能量管理系統(tǒng)、電量計(jì)量、電力市場(chǎng)系統(tǒng)、水調(diào)系統(tǒng)、調(diào)度生產(chǎn)管理系統(tǒng)、財(cái)務(wù)管理統(tǒng)、用電營(yíng)銷系統(tǒng)、辦公自動(dòng)化系統(tǒng)、PKI系統(tǒng)等。這些數(shù)據(jù)大多分布在內(nèi)部系統(tǒng)的多臺(tái)服務(wù)器上,需要容災(zāi)備份的工作量比較大。
電監(jiān)會(huì)電力二次系統(tǒng)(除PKI系統(tǒng)以外的容災(zāi)備份系統(tǒng))安全防護(hù)條文規(guī)定:電力應(yīng)用系統(tǒng)可劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)又可分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)Ⅱ);在不影響生產(chǎn)控制大區(qū)安全的前提下,根據(jù)各企業(yè)不同的安全要求,管理信息大區(qū)又可劃分安全區(qū)。
規(guī)定還要求,應(yīng)用系統(tǒng)必須避免不同安全區(qū)的縱向交叉連接。有鑒于此,建立異地容災(zāi)備份系統(tǒng),一定要考慮好系統(tǒng)邊界的防護(hù)問(wèn)題,切勿跨越安全區(qū)。
由于業(yè)務(wù)系統(tǒng)關(guān)聯(lián)程度比較高(例如電力市場(chǎng)系統(tǒng)可能涉及到能量管理系統(tǒng)、電量計(jì)量系統(tǒng)等),當(dāng)電力系統(tǒng)要做應(yīng)用級(jí)的容災(zāi)備份時(shí),需將所有的系統(tǒng)都復(fù)制一份,還要求到各個(gè)廠、站的所有通訊兩路都響應(yīng)容災(zāi)。所以,無(wú)論在技術(shù)上還是投資規(guī)模上,應(yīng)用級(jí)的容災(zāi)備份方案實(shí)現(xiàn)起來(lái)較為困難。
筆者建議電力系統(tǒng)采用同城數(shù)據(jù)容災(zāi)備份的方式。
PKI式容災(zāi)備份
針對(duì)上面提及的電力用戶,建成后的PKI電力網(wǎng)上身份認(rèn)證生產(chǎn)系統(tǒng)(即數(shù)字證書(shū)認(rèn)證中心CA和密鑰管理中心KM),必須具有較高的可用性和可維護(hù)性。
一方面,如果系統(tǒng)發(fā)生故障或遇到災(zāi)難,要保證及時(shí)恢復(fù)生產(chǎn)系統(tǒng)。
此外,考慮到災(zāi)難發(fā)生的突然性,電力用戶所選用的災(zāi)難備份和恢復(fù)系統(tǒng),必須具有簡(jiǎn)單、快速的易操作性,能夠以最短的時(shí)間處理故障,恢復(fù)系統(tǒng)的運(yùn)行,并在故障消除后,將系統(tǒng)運(yùn)行恢復(fù)原狀。
另一方面,在特殊情況下,需要對(duì)CA中心進(jìn)行必要的監(jiān)管和維護(hù)。這就要求系統(tǒng)在具有容災(zāi)能力的同時(shí),具有遠(yuǎn)程管理和維護(hù)能力。
圖1為PKI生產(chǎn)系統(tǒng)容災(zāi)備份中心的示意圖。
從圖1中可以看出,PKI生產(chǎn)系統(tǒng)容災(zāi)備份中心包括CA容災(zāi)備份系統(tǒng)與KM容災(zāi)備份系統(tǒng)兩部分。兩個(gè)系統(tǒng)各自采用PKI網(wǎng)關(guān)等安全設(shè)備,通過(guò)備份專用通道與相應(yīng)的生產(chǎn)系統(tǒng)(即CA和KM)相連。
數(shù)據(jù)備份通過(guò)專用的遠(yuǎn)程備份服務(wù)系統(tǒng)加載安全備份軟件來(lái)實(shí)現(xiàn)。備份專用通道以專線形式,采取安全撥號(hào)、VPN、IP寬帶網(wǎng)等方式,提供生產(chǎn)系統(tǒng)與容災(zāi)備份中心之間的安全連接。
為保證PKI生產(chǎn)系統(tǒng)能夠正常不間斷地進(jìn)行生產(chǎn)服務(wù),在PKI生產(chǎn)系統(tǒng)容災(zāi)備份中心,CA備份系統(tǒng)與電力CA系統(tǒng)的組成需要保持一致,都應(yīng)該能夠復(fù)制遠(yuǎn)程生產(chǎn)系統(tǒng),包括Web服務(wù)系統(tǒng)、目錄服務(wù)系統(tǒng)、證書(shū)業(yè)務(wù)管理與處理系統(tǒng)、證書(shū)簽發(fā)服務(wù)系統(tǒng)、備份服務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)。
CA備份系統(tǒng)的各個(gè)系統(tǒng)均建立在信任服務(wù)基礎(chǔ)平臺(tái)之上,由相應(yīng)的功能服務(wù)模塊構(gòu)建而成,各功能服務(wù)模塊之間的相互協(xié)調(diào)與調(diào)度機(jī)制與生產(chǎn)系統(tǒng)相一致。
同樣,PKI生產(chǎn)系統(tǒng)容災(zāi)備份中心的KM備份系統(tǒng)也是電力KM系統(tǒng)的復(fù)制,以確保緊急情況下的替換和接管。
在PKI生產(chǎn)系統(tǒng)容災(zāi)備份中心的系統(tǒng)結(jié)構(gòu)里,采用獨(dú)立的遠(yuǎn)程備份服務(wù)系統(tǒng),是因?yàn)槠溥\(yùn)行不會(huì)影響生產(chǎn)系統(tǒng)服務(wù)模塊的運(yùn)行。
運(yùn)行備份服務(wù)模塊上的安全備份軟件不占用正常生產(chǎn)系統(tǒng)的資源,惟一的影響是對(duì)網(wǎng)絡(luò)資源的占用,因?yàn)樯a(chǎn)系統(tǒng)中產(chǎn)生的日志必須通過(guò)網(wǎng)絡(luò)不斷地傳送到備份服務(wù)模塊。若采用可移動(dòng)介質(zhì),不會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生任何影響。
PKI生產(chǎn)系統(tǒng)的備份策略和流程為:采用全備份—差分備份方式。首先對(duì)所有的操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序等進(jìn)行完全備份。定期進(jìn)行完全備份,包含所有的系統(tǒng)和數(shù)據(jù)。
在其他時(shí)間采用差分備份,一方面可以節(jié)省備份窗口,另一方面也保證能夠及時(shí)恢復(fù)數(shù)據(jù)。同時(shí),可移動(dòng)介質(zhì)要放入保險(xiǎn)柜,由專人使用,且使用時(shí)至少有兩人在場(chǎng)。
由于PKI生產(chǎn)系統(tǒng)容災(zāi)備份中心具有遠(yuǎn)程監(jiān)管及維護(hù)功能,在CA備份系統(tǒng)和KM備份系統(tǒng)中,都設(shè)有各自獨(dú)立的遠(yuǎn)程管理和維護(hù)座席群。
#p#副標(biāo)題#e#
各單位CIO在準(zhǔn)備建設(shè)遠(yuǎn)程容災(zāi)備份系統(tǒng)前,考慮好哪些數(shù)據(jù)需要進(jìn)行容災(zāi),哪些數(shù)據(jù)需要進(jìn)行整個(gè)系統(tǒng)的全備份(像前面PKI生產(chǎn)系統(tǒng)的遠(yuǎn)程災(zāi)備那樣);是否需要采用SAN架構(gòu)(像一般的電力二次系統(tǒng)的容災(zāi)備份那樣);是否要對(duì)數(shù)據(jù)庫(kù)、文件和日志等進(jìn)行全備份。
通常,容災(zāi)備份策略遵循以下原則:
◆ 對(duì)所有關(guān)鍵的業(yè)務(wù),應(yīng)至少保證各種必要的熱備份機(jī)制,包括雙機(jī)熱備、磁盤鏡像等。
◆ 對(duì)于所有業(yè)務(wù),應(yīng)提供磁帶備份和恢復(fù)機(jī)制,保證系統(tǒng)能根據(jù)備份策略恢復(fù)至指定時(shí)間的狀態(tài)。
◆ 數(shù)據(jù)備份采用全備份、增量備份或者結(jié)合兩種方式。
全備份即備份所有文件,它的特點(diǎn)是恢復(fù)簡(jiǎn)單,全備份的缺點(diǎn)是備份時(shí)間長(zhǎng),介質(zhì)浪費(fèi);增量備份是只備份新創(chuàng)建或者修改過(guò)的文件,它們一般和完整備份結(jié)合使用,從而極大的減少了備份時(shí)間,節(jié)省了備份介質(zhì)。
一般結(jié)合這兩種備份形式指定所需要的備份策略。
定期的系統(tǒng)恢復(fù)驗(yàn)證
遠(yuǎn)程容災(zāi)備份的目的在于:當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)故障時(shí),能夠及時(shí)、準(zhǔn)確地恢復(fù)。因此,恢復(fù)的方式十分重要。
對(duì)于電力系統(tǒng)中的服務(wù)器,可以通過(guò)有如VERITAS Bare Metal Restore(裸機(jī)恢復(fù))的功能,簡(jiǎn)化服務(wù)器的恢復(fù)過(guò)程,以完成系統(tǒng)的快速災(zāi)難恢復(fù)。
這樣,當(dāng)系統(tǒng)數(shù)據(jù)完全丟失時(shí),系統(tǒng)管理員通過(guò)一個(gè)啟動(dòng)命令,就可以進(jìn)行系統(tǒng)數(shù)據(jù)的完整恢復(fù),不必進(jìn)行操作系統(tǒng)重新安裝、硬盤重新分區(qū)、IP地址重新設(shè)置以及備份軟件重新安裝等復(fù)雜操作。
遠(yuǎn)程容災(zāi)備份的定期恢復(fù)驗(yàn)證也非常必要。一方面,它可以驗(yàn)證容災(zāi)備份數(shù)據(jù)的可用性,沒(méi)有經(jīng)過(guò)驗(yàn)證的備份風(fēng)險(xiǎn)非常大,這樣就可以發(fā)現(xiàn)備份有沒(méi)有完成或者備份錯(cuò)誤等;另一方面,也可以鍛煉系統(tǒng)管理員的災(zāi)難處理能力,免得在出現(xiàn)故障時(shí)無(wú)從下手。
筆者建議,電力用戶可以再配置一臺(tái)服務(wù)器,安裝所有系統(tǒng)涉及的應(yīng)用軟件(數(shù)據(jù)庫(kù)、中間件等),專門用來(lái)做數(shù)據(jù)恢復(fù)的驗(yàn)證工作。同時(shí),在容災(zāi)陣列上也要配置一定的空間,配合恢復(fù)操作。
詳細(xì)的災(zāi)難恢復(fù)過(guò)程
當(dāng)業(yè)務(wù)系統(tǒng)發(fā)生故障時(shí),依據(jù)故障點(diǎn)的不同,有不同的恢復(fù)方式。但啟動(dòng)恢復(fù)過(guò)程有手工和自動(dòng)兩種。
自動(dòng)恢復(fù)看起來(lái)是最為理想的解決辦法,不需要人為的干預(yù),可以及時(shí)地保證系統(tǒng)重新運(yùn)行。
但是,對(duì)于一個(gè)重要的應(yīng)用系統(tǒng)來(lái)說(shuō),尤其涉及到核心數(shù)據(jù)庫(kù)的操作時(shí),情況就變得復(fù)雜了,自動(dòng)恢復(fù)有可能就適用。
例如,PKI生產(chǎn)系統(tǒng)發(fā)生數(shù)據(jù)庫(kù)掛起故障時(shí),正常的Shutdown無(wú)法執(zhí)行,恢復(fù)自然無(wú)法進(jìn)行;還有更嚴(yán)重的是數(shù)據(jù)庫(kù)的崩潰,在沒(méi)有驗(yàn)證數(shù)據(jù)的完整性之前,不能讓用戶繼續(xù)使用,否則可能造成更嚴(yán)重的損壞。
筆者建議,恢復(fù)過(guò)程最好在分析出系統(tǒng)問(wèn)題的基礎(chǔ)上,判斷對(duì)系統(tǒng)的影響程度之后,采用手工方式進(jìn)行。
例如,在一般電力二次系統(tǒng)容災(zāi)備份系統(tǒng)中,連接到SAN上共用同一存儲(chǔ)系統(tǒng)的業(yè)務(wù)系統(tǒng)(如電力市場(chǎng)和PC Server集群),由于可以實(shí)現(xiàn)同步的數(shù)據(jù)復(fù)制,其故障恢復(fù)過(guò)程如下:
◆ 一臺(tái)服務(wù)器故障,另一臺(tái)服務(wù)器接管應(yīng)用;
◆ 磁盤陣列故障,手工切換到容災(zāi)系統(tǒng)的磁盤陣列;
◆ 數(shù)據(jù)庫(kù)崩潰,數(shù)據(jù)不可用,利用備份磁帶恢復(fù)。
鏈接
容災(zāi)備份的內(nèi)涵
容災(zāi)備份有多種解決方案,隨著系統(tǒng)重要程度的不同而不同。從距離上說(shuō),要實(shí)現(xiàn)容災(zāi)備份,容災(zāi)備份中心和生產(chǎn)中心間的距離就不能很近。
例如,15km的距離對(duì)雷擊、火災(zāi)等有一定作用,但對(duì)于地震、洪水等自然災(zāi)害,容災(zāi)備份地點(diǎn)的物理距離還要加大。
目前,容災(zāi)備份系統(tǒng)基本可以分為數(shù)據(jù)容災(zāi)備份和應(yīng)用容災(zāi)備份兩種。采用哪種方式主要取決于企業(yè)對(duì)故障停機(jī)時(shí)間的設(shè)計(jì)要求,即對(duì)災(zāi)難發(fā)生后系統(tǒng)恢復(fù)時(shí)間的要求。
如果要求系統(tǒng)恢復(fù)時(shí)間很短,就要采用應(yīng)用級(jí)的容災(zāi)備份,同時(shí)也要做好網(wǎng)絡(luò)鏈路的冗余,以及與應(yīng)用的異地接管。如果企業(yè)能夠容忍較長(zhǎng)一點(diǎn)的系統(tǒng)恢復(fù)時(shí)間,可以采用數(shù)據(jù)級(jí)的容災(zāi)備份。
從對(duì)數(shù)據(jù)一致性的要求上來(lái)說(shuō),容災(zāi)備份實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)姆绞接挚煞譃橥胶彤惒絻煞N。同步數(shù)據(jù)復(fù)制將嚴(yán)格保持生產(chǎn)系統(tǒng)和備份系統(tǒng)之間數(shù)據(jù)的同步,災(zāi)難發(fā)生后,幾乎沒(méi)有數(shù)據(jù)的丟失,但對(duì)容災(zāi)備份距離和系統(tǒng)性能會(huì)有一定的影響。
異步數(shù)據(jù)復(fù)制將保持生產(chǎn)系統(tǒng)和備份系統(tǒng)之間數(shù)據(jù)在一定時(shí)間點(diǎn)的一致性,災(zāi)難發(fā)生后,數(shù)據(jù)有部分的丟失,但對(duì)容災(zāi)備份距離和系統(tǒng)性能的影響相對(duì)于同步要小。
由于傳輸帶寬和響應(yīng)時(shí)間的限制,同步復(fù)制選擇容災(zāi)備份的地點(diǎn)和傳輸方式也十分重要。
例如,在距離為60km/1Gb的光纖傳輸條件下,數(shù)據(jù)庫(kù)寫操作的性能下降大于7倍以上。另一方面,當(dāng)復(fù)制帶寬遠(yuǎn)遠(yuǎn)小于I/O峰值時(shí),容災(zāi)備份端數(shù)據(jù)滯后會(huì)較大。同時(shí),系統(tǒng)的投資也會(huì)隨著距離的增加而增加。
