文档介绍：The pony was revised in January 2021
通用备份容灾方案
方案模板（适合政府、公安、医院等）
XXXXX用户
信息系统数据安全方案建议书
击、自然灾难等诸多因素，均有可能造成数据的丢失和业务的停止，从而给业务系统造成无法估量的损失。
信息系统架构的合理性，系统的安全性、可靠性和最优TCO是本方案的总体目标。需要逐步建立一个可以满足业务持续发展需要、具有一定先进性、易于管理维护、扩展性强的数据安全体系。
环境概述
医院现规划有本地数据中心和异地容灾中心两个机房，其中本地数据中心有数据库级应用服务器共4台，和虚拟机环境上的近30个应用，异地容灾中心设计规划包含服务期、存储及相应网络环境（这部分内容方案汇总方可以根据实际情况调整，但规划的应用容灾实实现上，现仅需在异地机房部署与本地业务系统相对应的物理服务器或者虚拟机，配置上不需要数量与本地数据中心一致）。
本地数据中心环境：
数据库服务器为PC服务器，通过冗余SAN区域存储网络连接到核心存储设备，Windows操作系统和ORACLE 数据库
应用服务器为PC服务器，拥有强劲的CPU和足够的内存空间
WEB服务器为PC服务器，足够的内存空间
病毒服务器
主审计服务器
其它服务器等
核心存储设备
网络系统
网络安全设备
（或者以列表方式描述环境，参考列表如下）：
编号
品牌
型号
操作系统
软件应用
数据库
RPO
RTO
说明
1
HP
Rx4640
HP-UX
工商业务
ORACLE10G
0
<10分钟
MC ServiceGuard
存储EVA8000
2
HP
Rx4640
HP-UX
12315
ORACLE10G
0
<10分钟
MC ServiceGuard
存储EVA8000
参考拓扑图如下：
（完成现有环境架构图，下图为参考）
待解决问题
本地业务持续性保护
当任何服务器或应用由于人为或者意外原因造成宕机，都会影响到用户正常访问服务器业务，需要有针对整个系统各个核心业务系统的高可用保护手段，同时应避免高可用短板。
本地数据保护
本地服务器上拥有大量的各类业务数据，比如HIS、PACS等，这些数据在意外丢失时，必须要有一个快速本地数据恢复的手段，确保在任何意外情况下可以进行本地数据恢复。
灾难恢复
服务器的数据库和应用即使有本地备份手段，仍然无法避免本地机房发生灾难的情况下的业务和数据保障，而异地数据和业务的保护手段就是容灾，本方案讨论的就是异地应用级双活容灾。容灾可以分为多个级别，本方案实现的是最高级别的应用级容灾。
容灾概述
本章节内容可以根据项目情况删减，或者不用。
概述
数据是整个系统运作的核心。人为的操作错误，软件缺陷，硬件故障，电脑病毒，骇客攻击，自然灾难等诸多因素，均有可能造成数据的丢失，从而给整个系统造成无法估量的损失。
通常容灾系统可以简单的分为数据容灾和应用级容灾，对于医院这样的业务环境，按照国家规定，需要满足等级保护要求，需要建立一个达到应用级容灾的多层次数据保护体系，达到或超过卫生部要求全国卫生行业各单位信息安全等级保护工作的标准。
灾难恢复和业务持续性的区别
很多人认为灾难恢复（Disaster Recovery ）和业务持续性（Business Continuity）是同一个概念。实际上它们并不完全一样，当然，它们共同的目标是IT建设中，为了最坏的情况发生而作的准备。
业务持续性（Business Continuity）是针对潜在的包括停电这样能够造成系统停止运行的风险而提出的概念。针对业务持续性的问题包括：业务系统持续性的实施计划是什么在问题出现时，谁负责在最短的时间内按照流程将系统恢复工作在特殊情况下，比如灾难的发生需要做什么多长时间能够使系统重新启动工作诸如此类的问题。比如：集群就是业务持续性保护手段的一种。
而灾难恢复（Disaster Recovery )是更高级别的安全保护手段，是针对更加严重的情况发生，如何保证系统持续提供服务，并且有完整的数据存在。那么我们必须知道：IT系统怎样从灾难发生后，进行数据的恢复采用什么样的技术来达到这样的目标什么样的应用需要在灾难发生时，进行切换，如何切换用户如何访问容灾中心的系统诸如此类的问题。而灾难恢复的实现，则主要通过远程数据复制和应用切换来实现。
我们看到，灾难恢复部分包含了业务持续性，比如应用级容灾就包括了业务持续性概念，它除了强调系统的远端冗余，更要求能够有完整的数据可供服务。而业务持续性更加强调系统持续提供服务