设计电子政务统一容灾平台
来源:赛迪网 更新时间:2012-04-15

1、电子政务统一容灾的必要性

电子政务的建设已经成为今后一个时期我国信息化工作的重点,政府先行带动国民经济和社会发展信息化,同时加快政府职能的转变,提高行政质量和效率,增强政府监管和服务能力,促进社会监督,实施信息化带动工业化的发展战略,因此,电子政务意义重大,电子政务的数据安全更是重中之重,我国至今已发布一系列的文件对数据灾难备份建设进行指导和监督。

国家信息安全保障工作要点(27号文)

实行信息安全等级保护制度:风险与成本、资源优化配置、安全风险评估

基于密码技术网络信任体系建设:密码管理体制、身份认证、授权管理、责任认定

建设信息安全监控体系:提高对网络攻击、病毒入侵、网络失窃密、有害信息的防范能力

重视信息安全应急处理工作:指挥、响应、协调、通报、支援、抗毁、灾备

推动信息安全技术研发与产业发展:关键技术、自主创新、强化可控、引导与市场、测评认证、采购、服务

信息安全法制与标准建设:信息安全法、打击网络犯罪、标准体系、规范网络行为

信息安全人材培养与增强安全意识:学科、培训、意识、技能、自律、守法

信息安全组织建设:信息安全协调小组、责任制、依法管理

“关于做好国家重要信息系统灾难备份的通知”---国信办( 2004)11号---

国家重要信息系统:八大部门、三大信息基础设施等

面临灾难的因素:自然灾害、网络攻击、恐怖、战争、破坏、故障

做好灾备需求分析:威胁、弱点、价值、风险、等级

提升系统灾难能力:抗毁性、恢复能力、完整性、连续性

落实责任制:谁主管、谁负责,谁运营、谁负责

《重要信息系统灾难恢复指南》----国信办文件 2005---

我国灾难恢复等级划分:六级、七要素

大致可以分为二类:数据类、应用类

“第1级”:数据介质转移(异地存放、安全保管、定期更新)

“第2级”:备用场地支持(异地介质存放、系统硬件网络可调)

“第3级”:电子传送和部分设备支持(网络传送、、磁盘镜像复制)

“第4级”:电子传送和完整设备支持(网络传送、网络与系统就绪)

“第5级”:实时数据传送及完整设备支持(关键数据实时复制、网络系统就绪、人机切换)

“第6级”:数据零丢失和远程(在线实时镜像、作业动态分配、实时无缝切换)

总而言之,灾难备份作为电子政务信息安全的最后一道防线,已经得到电子政务主管信息部门的高度重视,“统一建设灾难中心“的模式无论从投资、管理、应急方面论证都是省级电子政务灾难备份建设的理想模式。现阶段的灾难备份建设主要模式分为:

根据《重要信息系统灾难恢复指南》的要求,8大纵向行业(银行、电信、税务等)都在进行业务大集中的基础上统一筹建全国性的灾难备份中心,成功案例较多;

全国很多地市级政府已经在两、三年前就在进行统一建设电子政府灾难备份中心的尝试和探索,由于政策、运维模式、管理经验、投资、技术等多方面的因素,成功的项目并不多;

全国很多省级政府从去年开始规划省级电子政务统一灾难备份项目,大都还处于调研设计阶段,明年将出现建设高峰;

2、第二部分:H3C电子政务统一容灾方案

通常情况下,灾难系统投资较大,使用概率较低,因此,需要对总体投入成本(TCO)和投资回报率(ROI)进行认真的分析和计算, 最好的灾难恢复解决方案是综合考虑不同层次的恢复方案,以最少的投资换取最大的收益,只使用一种方法、一种分类,是不可能达到上述目标的。灾难的最高目标是实现业务的连续运行,对灾难进行适当的分级有利于用户按需选用、分期投资、逐步演进。而这首先就需要针对不同的业务系统,进行合适的等级划分。

参照国信办的灾难恢复指南,我们可以将电子政务的数据和业务系统,按照业务连续运行时间,分别划分为以下二种需求:

必须7×24不间断运行

必须保证5×8运行

根据风险分析和业务影响分析的结果,衡量确定的灾难恢复目标,有两个主要的指标:RPO(Recovery Point Object)和RTO(Recovery Time Object),其中RPO代表了当灾难发生时允许丢失的数据量;而RTO则代表了系统恢复的时间。

按照可以容忍的中断时间(RTO),可以划分为

不间断运行(分钟级)、

允许业务短时间中断(一小时以内)、

故障时间允许一天以内、

实时性要求不高(允许中断一天以上)

按照对数据丢失的容忍度(RPO),可以划分为

不容许丢失数据、

重要性很高、

丢失少量数据能人工找回、

数据重要性不高四个级别。

政府灾难备份中心建设平台如下图所示:

基础设施:包括机房选址、供水供电通风、门禁管理、监控等系统的建设。

网络接入:灾难备份中心的网络建设,既要考虑充分利用现有的网络,又要提供多种灵活方便的接入方式。因此灾难备份中心需要提供电子政务网、外网、专网和互联网四类网络接入接口。

安全策略:要在网络层、传输层、数据层提供多种策略,保证数据的安全性。主要包括网络隔离、传输加密、数据访问控制三种方式。

备份模式:按照不同的业务连续性要求,灾备中心考虑了数据级灾备和应用级灾备两种模式。数据级灾备是灾备中心的主要模式。针对有应用级灾备需求的委办局,灾备系统由各委办局自行建设,灾备中心只提供场所和相关基础设施。

服务类别:灾难备份中心提供的服务也要分级。从业务连续性、安全性考虑,对于不同的用户,提供不同的服务类型。大体可分为普通服务、VIP服务和保密服务。其中普通服务,为每个单位提供逻辑上独立的存储磁盘空间;VIP服务,为每个单位提供物理上独立的存储磁盘空间;保密服务,为每个单位提供物理上独立的网络接口和存储磁盘空间。

2.1网络规划设计

电子政务统一灾备中心要接收来自多个委办局的数据,这些数据可能来自公务网、外网、专网和互联网。同时不同的委办局还有不同的业务连续性要求,大致分为物理磁带保存、数据级灾备和应用级灾备。要满足这样的要求,灾备中心必须进行分区域分层设计。具体如下图所示:

灾备中心分为公务网灾备区、外网灾备区、专网灾备区和互联网灾备区四部分。出于数据安全性考虑,灾备中心的公务网灾备区、外网灾备区、专网灾备区和互联网灾备区的网络物理隔离,不能连通。

在四大灾备区之外,单独划分一块磁带保存区,分别保存来自公务网、外网和互联网业务的备份磁带。

根据不同的业务连续性要求,每一个灾备区划分为应用级灾备区和数据级灾备区两个部分。

附图:灾备中心分为公务网灾备区、外网灾备区、专网灾备区和互联网灾备区四

部分。在每一个灾备区内部,局域网分为“应用级灾备区局域网”和“数据级灾

备区局域网”两部分,上图是以公务网灾备区局域网组网为例。

同时由于电子政务接入网络上承载了涉密和非涉密数据,两种数据通过逻辑进行隔离。考虑到电子政务网络的健壮性和安全行,我们建议灾备中心网络采用不同的运营商裸光纤分别接入到电子政务网核心设备上,实现运营商链路、设备的冗余,其中运营商的光纤是在不同的管道中。灾备中心数据备份和恢复的服务质量需要严格保障,建议在电子政务网设备之间跑MPLS-VPN业务,把不同的用户群分成不同的VPN隧道,不同VPN隧道分配不同的带宽,保障不同的用户群对网路带宽的需求和服务保障。

在灾备中心内部园区网建设中还需要考虑可靠性、业务与网络平台的融合等等,H3C智能网络设计充分考虑通过H3C OAA 向L4-L7的渗透,同时通过OAA缓解应用层压力。

附图:OAA功能

2.2 安全规划设计

电子政务灾难备份中心不仅保存电子政务系统的数据,还保存其他纵向部门应用系统的数据。这些数据具有多种级别的安全要求。不仅传输过程中不能泄密,而且不同纵向部门之间的数据也要求相互隔离。因此,灾难备份中心的安全规划至关重要。总的来说,灾难备份中心的安全系统建设,需要从网络、传输、数据三方面考虑。

2.2.1 网络安全

灾难备份中心不仅要连接到省政府的电子政务网络,同时还需要提供各个省级委办局专网的接口。为保证安全性,网络之间要进行物理隔离或者逻辑隔离。具体的隔离要求为:

电子政务内网接口与市级委办局的专网接口相互隔离

电子政务内网应用与各市级委办局的专网应用,有完全不同的安全等级要求,在带宽占用上也大不一样。因此,电子政务内网接口和专网接口之间要物理隔离。

电子政务内网不同应用之间的逻辑隔离

电子政务内网上有多个应用,部分专网应用也有可能通过电子政务内网传输数据。因此,电子政务内网之间应采用逻辑隔离的方式,在同一物理链路上,划分多个互不干扰的逻辑链路。可选的技术包括MSTP、VPN等。

不同省级委办局的专网接口之间相互隔离

不同省级委办局的专网应用之间的关系比较复杂。对于大部分的专网应用,要求网络互相隔离。但是也有一些专网应用,需要和其它专网应用共享数据。比如检察院的部分数据就需要被公安的共享。

因此不同省级委办局的专网之间采用物理隔离和逻辑隔离两种手段。对于相互毫无关系的专网应用,采用物理隔离的方式;对于互相关联的数据,采用逻辑隔离和访问控制结合的方式,保障网络安全。

防火墙部署

在灾难备份中心的网络上,防火墙主要部署在三个位置:

防火墙部署在灾难备份中心的电子政务内网接口处,放置在灾难备份中心的路由器之后,对电子政务内网接口的所有网络流量进行控制,对灾难备份中心提供保护。

防火墙部署在灾难备份中心的专网接口处,放置在灾难备份中心的路由器之后,实现对特定专网的网络流量的控制,对灾难备份中心提供保护。

在灾难备份中心内部的网管网络上,将防火墙部署在管理终端的关键路径上,对所有的管理流量进行控制,保证管理网络的安全。

IDS/IPS部署

IDS/IPS一般部署在不同安全级别的网络边界,用于监测和抵御网络威胁。因为电子政务内网上的应用较多,传送到灾难备份中心的数据也比较复杂,因此建议在电子政务内网的接口处,防火墙内外都部署IDS/IPS设备。对于专网应用,数据相对简单,在防火墙内部部署IDS/IPS设备即可。

2.2.2传输安全

通过网络隔离和部署安全设备,保证了网络的安全性。但是如果数据未经处理就在网络上传输,仍然存在被截取的可能。所以在数据传输时,需要进行数据加密处理。

数据传输加密可以通过两种方式实现,一种是在存储设备上进行加密解密处理,如下图所示:

在存储设备内部,有自带的加密解密引擎。数据进行远程复制时,在线存储设备首先将数据进行加密,然后再发送到传输网络上。数据到达备份存储时,存储设备再将数据进行解密,然后存储到硬盘上。

数据传输加密另一种方式使用专门的传输加密设备。如下图所示:

存储设备本身并不具备加密解密能力。数据传输时,在线存储设备将未经加密的数据直接发送出去,然后经过专门的数据加密设备进行加密,再传输到目标端。数据到达目标端后,经过专门的解密设备,将数据还原,再交给备份存储设备。对存储设备而言,加密解密过程是透明的。如果采用这种方式,需要将加密/解密设备部署在路由器之后。

两种数据传输加密方法各有优劣,具体对比如下:

目前的网络存储设备,主要分为FC存储和IP存储。在数据传输链路上,基于IP的传输加密技术,历史悠久,种类繁多,远比FC链路上的传输加密技术要成熟和完善。如果要进行数据加密传输,IP存储具有天然的优势。不论何种加密方式,都采用的是点对点的加密/解密方式。也就是说,加密/解密设备需要成对出现,一个负责加密,一个负责解密。在灾难备份中心的传输安全建设中,对于专网数据,安全性要求较高,因此建议采用专门的加密/解密设备。在电子政务内网的应用,安全性要求相对较低,应用也较多,可以利用存储设备本身的加密/解密引擎进行数据加解密。对于部分应用,也可以使用专门的加密/解密设备。

2.2.3数据安全

数据备份到灾难备份中心后,还需要保证数据不被非法访问。根据数据安全也是一项重要工作。根据不同业务系统涉密性要求,可以划分为四种安全性等级。四种安全等级可以通过严格的存储访问控制来实现。对于网络存储而言,比如IP SAN,应用主机要访问存储,需要在应用主机和存储设备之间建立对应关系,这种对应关系称之为“卷绑定”。在做卷绑定时,可以设置应用主机的访问权限,比如读写权限、通过密码访问(CHAP认证)等。

2.3存储规划设计

灾备中心包括公务网、外网、互联网三个灾备区。三个灾备区是物理隔离的,因此每个灾备区的存储系统都需要单独建设。每个灾备区提供的灾备业务大体相同,因此存储建设模型也基本一致。以公务网灾备区为例,存储建设模型如下:

模型说明:

灾备中心部署不同类型的存储阵列,包括IX系列IP磁盘阵列、DL系列虚拟磁带库,提供原始的存储空间资源。

采用IV系列虚拟化数据管理平台搭建灾备中心的基础架构,对存储资源(不包括虚拟磁带库)进行虚拟化整合,提供统一的逻辑资源。

统一数据管理中心(UDM)是统一灾备中心的核心,它集中管理所有的存储设备,统一设定备份策略,实现资源化管理。

针对备份节点(各委办局)的IX、IV、DL系列存储设备,只要IP可达,也可纳入UDM的统一管理体系。

灾备中心部署一定数量的备用服务器,并安装相应的操作系统和软件,在部分委办局的备份节点发生故障时,进行业务接管。

2.3.1存储管理架构

按照灾难恢复的不同等级,每个灾备区分为数据级灾备和应用级灾备两个部分。针对数据级灾备和应用级灾备的不同要求,存储管理架构各不相同:

数据级灾备存储管理架构

数据级灾备存储架构如下图所示:

数据级灾备存储系统的主体是存储资源池和统一数据管理平台(UDM)。存储资源池包括如下组成部分:

磁盘阵列:由不同型号的IX系列IP磁盘阵列组成。除了提供海量存储资源之外,IX系列IP磁盘阵列还提供镜像、复制、快照等丰富的数据保护功能。

虚拟化数据管理平台:主要是指IV系列存储设备。IV系列可对不同类型的磁盘阵列(FC、iSCSI、SCSI)进行整合和虚拟化,屏蔽下层的物理磁盘阵列,按照统一的方式提供逻辑资源。同时IV系列还提供与IX系列磁盘阵列兼容的镜像、快照、复制等丰富的数据保护功能。

为保证可靠性和性能,IV系列存储虚拟化管理平台之间采用负载均衡和冗余机制。某一台IV设备发生故障,其上的任务会被其它IV设备透明接管,保证存储业务的连续性。

通过将其它其他厂商的FC或IP 磁盘阵列纳入IV系列虚拟化管理体系后,由不同磁盘阵列组成的存储资源池可以提供统一、标准的对外接口和业务特性。

虚拟磁带库:由不同型号的DL系列虚拟磁带库组成。虚拟磁带库除了提供仿真的磁带资源外,还提供更高的备份/恢复性能以及容量按需扩容、远程复制等丰富的数据保护功能。

统一数据管理平台:由统一数据管理平台(UDM)及其软件套件组成,是统一灾备平台的核心。在UDM上,可以对所有的IV、IX、DL系列设备进行管理,包括资源分配、存储监控和告警处理等。这一层是管理层,不处理业务。

应用级灾备存储管理架构

应用级灾备系统的存储阵列和服务器由各个单位自行购买建设,灾备中心只提供相关场所和基础设施,不对其业务进行管理。如果是采用IX系列IP磁盘阵列,也可通过UDM可对运行状态进行监控,了解设备运行状态,及时发现设备告警和故障。

2.4全网管理设计

H3C灾备中心IMC字能管理中心从设备生命周期的角度对网络进行管理,智能分析中心实现了自动化和精细化的深度分析,实时探测网络资源的分配状况,结合业务优先级和服务水平协议,按照预定策略实现网络资源的按需分配。

IP智能分析包括了用户行为分析、网络流量分析、安全事件分析、故障深度分析以及服务质量分析等分析模块,通过这样的深度分析与推理机制,管理员可以有效了解整个网络的运行状况、带宽占用状况等信息,为用户进行下一步的网络优化与控制提供了有力的依据。

IP智能管理中心(IMC)中各个管理控制中心也不是彼此孤立的,可能需要多个管理控制中心互相联动,实现对政府行业业务应用的有力支撑。比如网络流量分析系统通过对网络中各种业务的构成状况,输出网络健康评估,资源管理中心则可以以网络健康评估为依据,按照一定的策略,对网络中的资源进行调配,从而通过先进体系架构,达到智能管理的目的。

附图:IMC结构组成