◆张 地 胡峻洁 李明喜 罗 群 雷 敏



基于双活数据中心的电商平台网站数据保护及灾备恢复策略研究

◆张 地1,2胡峻洁3李明喜3罗 群1,2雷 敏1,2

（1.北京邮电大学网络空间安全学院 北京 100876；2.灾备技术国家工程实验室 北京 100876； 3.四川科瑞软件有限责任公司 四川 621000）

随着信息技术的发展及互联网用户的急速增长，在信息化办公时代到来的同时，数据安全问题已成为全球关注的焦点。传统的个人或企业存储设备和存储安全性已不能满足当代数据存储的需求，数据信息的完整性和可用性是企业存亡之关键，信息系统一旦受到攻击或面临威胁，将对企业造成不可估量的损失。企业信息的灾备保护技术越来越得到广泛的应用并已成为企业信息系统的基本安全措施。特别是近年来迅速发展的电商企业，如淘宝、京东、当当等，其信息系统中包含了大量用户的私密信息的同时，其服务器必须实时处于工作状态，否则将对企业造成销量及声誉上的双重损失。本文对各种备份策略和灾备方案进行了深入研究，在双活数据中心灾备方案的基础上，提出了具有加密机制的灾备方案，达到了备份更加快速、恢复更加快捷、传输更加安全的数据保护的效果。

电商平台；数据保护；灾难备份；灾备策略

0 引言

随着信息化的不断发展，特别是近年来信息化建设的热门话题如大数据、云计算等，可以看出以数据为中心的时代已经到来。美国9.11事件[1]的历史经验告诉我们信息系统的瘫痪将导致灾难性的后果，并让我们逐渐意识到灾备建设的重要性。目前我国电子商务发展迅速。淘宝近年来仅双十一当天的交易额就非常大，2016年淘宝双十一的交易额更是达到了1207.49亿。数据是电商行业正常运营的基本保障，一旦发生数据丢失，电商企业将蒙受巨大的经济损失，用户信息的泄露也会对企业信誉产生不良影响。

为了最大限度地维护数据信息的完整性和可用性，防止在灾难发生时，给用户和网站带来不可避免的损失，必须对数据信息实施灾难备份[2]。国务院信息化办公室于2005年4月发布了关于关于信息系统恢复的重要文件《重要信息系统灾难恢复指南》[3]，对基础信息网络和重要信息系统灾难备份与恢复作了原则规定，由此看出国家对信息系统灾备建设的重视程度。

当前，我国银行业在灾备方面[4]做得较为完善，但随着电子商务的迅速发展，电商企业的灾备工作变得刻不容缓。相对银行业而言，在保障数据信息的可用性和完整性的基础上，保持业务的连续性和数据信息的安全性[5]已成为灾备工作的实质内容。

目前，数据保护分为本地数据中心保护和远程灾备保护两种形式[6]。据统计，占灾难比重44%的硬件故障和49%的软件、病毒、人为故障均可通过本地数据中心保护解决，剩下7%的自然灾难和社会灾难需要通过远程灾备来使数据得到保护。灾难恢复分为数据级、系统级和应用级[7]。数据级的灾备重点在于灾难发生后，确保用户的数据不会丢失或被破坏，但在数据恢复前，需要建立同样的运行环境；系统级的灾备是在数据级灾备的基础上，其可迅速恢复系统的运行；应用级的灾备是在备份数据的同时，还将应用的处理能力再复制一份，即在异地灾备中心再建立一套应用系统。无论是哪个级别，数据的备份和恢复都是整个灾备系统的关键环节，只有保证数据的完整性，可用性和安全性，企业才能在硬件、软件、病毒、人为故障或自然灾难、社会灾难发生后，尽快恢复正常运营。灾难恢复的衡量指标主要有RPO（Recovery Point Object）和RTO（Recovery Time Object）两个[8]。RPO代表数据的丢失量，即灾难发生前与最后一次数据备份之间尚未来得及备份的时间；RTO代表系统的恢复能力，即灾难发生后到恢复后系统启动的时间。根据《信息安全技术信息系统灾难恢复规范》[9]国家标准 （GB-T 20988-2007），将灾难恢复分为6级（如表1所示）。从第2级开始有备用场地支持；3级满足电子传输和部分设备支持；4级可以电子传输及完整设备支持；5级可以进行实时数据传输及完整设备支持；6级可以保证数据零丢失和远程集群支持。每一级中都就数据备份、主机备份、网络备份、灾难恢复和技术支持和业务恢复环境做了详细规定。

表1 RTO/RPO与灾难恢复能力等级关系（GB/20988-2007）

1 相关背景

1.1备份

所谓备份，简单来说便是通过相关复制软件将数据从本地数据系统复制到磁带、光盘、硬盘等存储设备中的过程。通过备份，可以在原数据系统发生灾难后进行数据恢复，降低数据损失，保证数据的完整性，从而降低企业损失。按照数据备份的主要方式，可以分为完全备份、增量备份和差异备份[10][11]。

（1）完全备份

完全备份会机械地备份所有被选中的文件或文件夹，而不会检查上次备份过后文件是否发生变更。如果两个备份时间点之间未发生或只发生了少量的文件变更，依旧会将所选中的所有文件进行全部备份，浪费了大量的存储空间。在备份的过程中，将清除存盘属性，即将清除存盘的所有现有属性，并将每个文件都标记为已备份。它的优点在文件恢复的速度迅速。

（2）增量备份

它是相对于完全备份来说的，在备份之前首先对文件进行变更检查，如果文件的最后修改时间在上次备份之后，则进行备份，否则不进行备份。增量备份的优点在于速度便远远高于完全备份，并且节约了大量的存储空间。其不足之处在于文件恢复时速度较慢，所以一般都将完全备份和增量备份结合使用，数据恢复时，先恢复最近一次的完全备份，再将最后一次完全备份之后的所有增量备份的文件一个一个地进行恢复。

（3）差异备份

差异备份与增量备份相似但有其各种的特点，增量备份是针对上次任何种类的备份的，只要经过上次备份导致文件的变更就会触发增量备份，差异备份是针对上次完全备份之后发生变更的文件，并且不清除存盘属性。因此，差异备份兼具完全备份和增量备份的优点，又合理地避免了两者的缺陷。

1.2灾备策略

一般灾备策略都是两者甚至三者之间的结合，通过技术之间 的搭配便形成了相对应的灾备方案，如双活存储、双活数据中心、两地三中心[12]等灾备建设方案。

（1）双活存储[13]

双活存储灾备方案能够使信息在数据中心内部及数据中心之间共享、存取或移动，对客户透明，并保证数据的可靠性和可用性。典型的技术有IBM的SVC和ＥＭＣ的ＶＰＬＥＸ。它主要是利用跨数据中心的两大功能，即存储虚拟化功能和数据镜像功能。再结合上层应用集群，使两个数据中心都处于运行状态。双活存储具有以下优点：由于可以同时承担相同任务，所以提高了数据中心的整体服务能力和系统资源利用率；可以相互作为生产和备份，当一个数据中心出现故障时，业务会自动切换到另一数据中心，实现了恢复点为零和恢复时间约为零的目标，有效解决了传统灾备中心不能承载业务和业务无法自动切换的问题。

（2）双活数据中心[14]

双活数据中心灾备方案维护着两个两个数据库系统，它们在异地同时运行、可以支持相同的负载，一旦有一方出现故障另一方可以迅速的接替它的工作，这样就保证业务的高可用性。双活是整体意义的，单方面双活是没有实际意义的，只有结合存储、数据库、网络、服务器、应用等各层面都进行双活的设计，才能实现实际意义上的双活。从双活数据中心具有的可靠性、灵活性、可用性以及业务连续性来考虑，双活数据中心也可以看做一个云端数据中心。

（3）两地三中心

两地三中心灾备方案即同城双中心加异地灾备中心。同城双中心即在同城或邻近城市建立两个数据中心，两个数据中心可独立承载所有相关业务，并通过高速链路实施同步数据。日常情况下，两个数据中心系统同时运行；发生灾难后，可迅速切换至另一数据中心，以保证业务连续性。与异地灾备方案相比，同城双中心的投资成本更低、建设速度更快、运维管理更简单、可靠性更高。异地灾备中心，即在异地建立一个数据备份中心，用来对同城双中心数据的备份。当灾难危害至同城双中心时，异地灾备中心可以迅速利用备份数据恢复业务的正常运行。

各种灾备策略和灾备方案均有各自不同的优点和缺点，不同企业应结合自身企业特点、对容灾等级的要求和成本控制等多方面因素选择最适合自己的灾备方案。

2 改进策略

二十一世纪以来，我国各大电商平台发展迅速，7*24小时业务的可连续性使用已成为电商平台的最基础的要求。结合近年国内接连出现的大范围的自然灾害，我们对比银行系统提出基于双活数据中心的灾备方案。

2.1对比银行系统它们之间的相同点

（1）都需要保证业务系统的7×24小时持续不间断正常运行。

（2）由于都涉及用户的高级隐私，因此数据的安全性和完整性都需要得到保障，并做到实时备份。

2.2对比银行系统它们之间的不同点

（1）银行不存在特别大的业务峰值，而电商平台网站则会因为双十一等特别节日做活动而出现系统超负荷运行甚至崩溃的情况。

（2）银行系统包括线上和线下两大系统，而电商平台网站则只有线上交易，所以电商平台的第二灾备中心建设成本相对会更低。

2.3具体方案

我们对比银行系统结合电商平台自身的特点，对已有双活数据中心灾备方案进行了改进，以更大限度地维护数据信息的完整性、可用性及安全性。

现有灾备方案一般只注重了数据的备份和灾难后的恢复速度，并没有意识到数据的安全性。因此我们的改进方案中在进行数据备份的传输过程中，增加了数据加解密的步骤，增强了数据传输过程中的安全性。如图1所示，我们利用数据库的CDC将日志文件中的发生变化的关键数据捕获，在捕获的关键数据前端加上相关位置信息形成新的数据块，将新数据块加密，结合TCP/IP网络协议将加密后的数据块发送至灾备系统；加密数据块到达灾备系统后，灾备系统将接收到的加密数据块解密，将解密后的数据块进行解析，根据其中的位置信息对灾备系统中的数据文件进行修改。具体过程如下：

（1）首先对当前数据库及指定源表启动CDC，利用CDC捕获日志文件中发生变化的数据信息。

（2）在变更数据的前端加上其所在文件的文件名、所进行的操作类型（插入、删除、修改）和变更数据在改文件中的相对地址，形成一个新的数据块NDB，将数据块进行加密处理，结合TCP/IP协议将加密后的数据块发送至灾备系统。

（3）灾备系统将从源系统接收到经过加密的数据块解密，解析出其日志文件名及其在灾备日志文件中的相对地址，在灾备系统找到同名日志文件，在日志文件的同样位置（相对地址）根据操作类型对灾备日志文件进行修改。数据备份成功后，向源系统返回备份成功标识符1，否则返回备份失败标识符0，源系统重新发送备份失败的数据内容到灾备系统。

图1 方案流程图

（4）当由于某种原因，源系统的源数据库中的数据文件发生少量丢失时，直接恢复该部分数据文件；当发生大量数据丢失时，启动系统切换程序，将业务切换至灾备系统。此时原源系统就变成了灾备系统，原灾备系统变为源系统，数据备份的流向逆转；当源系统服务压力过大时，将业务分配一部分给灾备系统。

灾备系统一直处于工作状态，当源系统由于各种原因发生少量数据丢失的情况时，可直接恢复该部分数据文件；当源系统发生较大规模的数据丢失时，启动系统切换程序，可直接切换至灾备系统；当源系统业务压力较大时，可分部分任务给灾备系统。

2.4改进方案所具备的优点

本改进相对双活数据中心灾备方案有以下优点：

（1）在发生灾难时，可以及时快速地切换至灾备系统。

（2）由于工作人员的操作失误导致文件误删时，可以快速的恢复指定文件。

（3）交易高峰期时，灾备系统可以分担一部分源系统的业务压力。

（4）源系统和灾备系统互为备份系统。

（5）该方法利用数据库自带的数据变更捕获程序，而无需安装新程序据复制软件仅对日志中的关键数据信息进行复制，而不是复制整个日志文件，避免不必要的重复信息的复制，以提高备份速度，削减对系统和带宽的消耗，并且降低存储冗余。

3 结束语

电商平台信息系统，涉及客户的账号、密码、交易记录等诸多敏感信息。现我们在已有双活数据中心灾备方案的基础上，对其进行了改进：首先增加了加密传输的步骤，保证数据在备份及恢复的传输过程中的安全性；其次由于我们的交易量庞大，新产生的数据和发生变更的数据量巨大，因此我们的数据备份过程只备份日志中发生变化的内容，而非备份整个日志，大大降低了备份过程对带宽和系统内存的占用，并且很大程度上提高了数据备份的速度。电商平台网站的灾备建设，事关我们每个人的信息能够在突发灾难事件中得到保障，关系到电商平台的的社会影响、声誉。因此，灾备建设对于电商平台网站的信息建设而言，是机遇与责任并重。

[1]王伟.从9·1看灾备[J].金融电子化，2004.

[2]闵有黎，马晓明.大型数据库系统容灾技术研究[J].电信技术，2005.

[3]邹学强，杨海波.解读《重要信息系统灾难恢复指南》[J].信息网络安全，2005.

[4]易永丰.华夏银行数据中心灾备体系建设实践[J].中国金融电脑，2016.

[5]孙恒超，梁晶.IT系统备份及容灾技术研究[J].电信快报，2013.

[6]陈建逢.浅谈数据安全及数据容灾[J].广东公安科技，2016.

[7]李兆玉，韦世红，李鸫.容灾系统的建设方案研究[J].重庆邮电学院学报(自然科学版)，2005.

[8]倪凯,李焱,陈石灵.安全生产数据的灾难备份技术方法研究[J].信息与电脑(理论版)，2016.

[9]《信息系统灾难恢复规范》正式实施[J].信息安全与通信保密，2007.

[10]莫辉. Intranet网络信息系统容灾备份的研究与实现[D].北京邮电大学，2007.

[11]JonWillimaToigo.DisasterReeoveyrPlnnaing:StrategiesofrProteetingCritieal InofmrationAssds.PerniieeHallPTR.3rdedition，2002.

[12]吕仲涛. 构建“两地三中心”运行体系[J].中国金融，2016.

[13]王宁. 烟草行业同一数据中心双活存储研究和探索[J]. 数字通信世界，2016.

[14]LI ZhiHang,WANGHao,PAN ZhiWen,LIU Nan,YOU XiaoHu. QoS and channel state aware load balancing in 3GPP LTE multi-cell networks[J]. Science China(Information Sciences)，2013.