文档介绍：该【网上银行应用灾备 】是由【学习一点新东西】上传分享，文档一共【11】页，该文档可以免费在线阅读，需要了解更多关于【网上银行应用灾备 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:.
网上银行应用灾备
一、行业背景Ḥ
金融行业按照客户类型划分可分为国有商业银行(政策性商业银行)、股份制商业
银行(大型股份制商业银行、城市商业银行、农村信用社等)、证券、基金、期
货、保险等,近年来为加强金融行业信息科技风险管理,各行业监管机构相继出台
了针对信息科技安全的相关政策法规,如《商业银行信息科技风险管理指引》可以
看出目前各个金融行业客户对信息安全建设十分重视,纷纷加大信息科技管理方面
的投入力度。
̻̾̾银行容灾现状与挑战Ḥ
随着中国金融银行数据集中的起步、发展和完善,很多银行建设了先进的集中式数
据中心。数据大集中在带来巨大好处的同时,也带来了风险大集中,如何应对和有
效化解数据集中带来的风险、如何保证数据在各种灾难情况下的安全、如何保障业
务连续性、维护银行声誉等等都是必须要面对的问题。伴随着数据大集中,容灾备
份系统的建设成为一项紧迫的工作。然而,金融用户在灾备系统的建设上却面对很
多的重大挑战:
如何系统化地分析和规划适合自己的容灾系统;
如何依据组织目标确定与之适应的容灾系统目标;
灾备中心如何建设;
与容灾关联的IT系统如何融入灾备系统;
容灾IT基础设施的规划和设计等。

为了规范金融银行容灾备份和灾备中心的建设,人民银行在2005年提出要
求:全国各商业银行在1~2年内数据灾难备份标准达到2~3级,在各银行完成数
据集中后的2年内灾难备份标准必须达到5~6级。参考国际上相关组织在灾难恢:.
复上的研究与实践,我国的国家标准《GB20988-2007-T信息安全技术信息系统灾
难恢复规范》对容灾备份进行了标准化。
二、灾备中心解决方案:Ḥ

银行灾备系统的建设是一个复杂的系统工程,涉及了如选址、网络通信、数据处理
系统、数据备份系统、基础设施、灾难恢复预案及演练等多个方面。如何最终实现
以灾备中心为核心的灾备系统,需要有系统化的规划设计方法。

一个典型的容灾系统由灾备中心基础环境设施、数据备份系统、备份处理系统
和网络通信系统、灾难恢复计划等组成。
在设计容灾系统时,容灾要达到什么样的目标与层次,需要用一些定量的指标
来衡量,这就是灾难恢复能力指标。
主要采用灾难恢复能力指标RPO和RTO,定量的分析灾难恢复目标,由此形成
了灾难恢复的不同等级:

在灾备中心,IT系统主要包括网络、计算、存储几个方面,对应着容灾系统
的网络通信系统、备份处理系统、数据备份系统,灾备中心作为业务中心的备份,
基于是否需要备用处理系统(服务器)以及专业人员支持,可以分为不同的灾备中心
模式。

银行灾备中心建设,以数据容灾为核心,以业务连续性为重点,实现安全
生产与运营。可行的灾备中心建设模式包括同城灾备中心、异地备份中心、两地三
中心等模式,以及自建自用,共建、租用共享灾备等方式。在容灾能力上,两地三
中心是当前最好的容灾模式,可以最大程度地保护数据和业务连续性,应对重大区
域性灾难。

在灾备中心规划建设中,如何规划容灾能力、如何规划灾备中心容灾模式、建设一
个或多个灾备中心以实现预定的容灾目标,都将是用户信息系统主管重点关注的方:.
面。容灾系统是一个全面的系统工程,涵盖了IT技术设施系统建设的方方面面:
网络通信系统
数据中心/灾备中心之间的互通;
数据中心/灾备中心内部架构、外联、网银等系统的容灾;
数据中心/灾备中心全面、深层次的安全防护与应用优化;
骨干网络规划以及相应的路由设计与规划、策略制定、QoS保证;
……
备份处理系统
服务器集群高可用;
在数据中心/灾备中心实现服务器高可用的网络架构;
服务器容灾的日常管理、维护;
……
数据备份系统
数据备份技术;
数据备份方案及策略;
不同数据存储系统对网络系统的要求;
保证数据安全的整体解决方案
……
三、灾备中心级别划分

容灾备份系统的主要功能根据灾备级别的不同而有所不同,灾备级别一般分
为:数据级别、应用级别以及业务级别,从对用户整个业务连续性的保障程度来
看,它们的高可用级别也逐渐提高。
●数据级别
数据级别容灾的关注点在于数据,即灾难发生后可以确保用户原有的数据不会
丢失或者遭到破坏。
数据级容灾较为基础,其中,较低级别的数据容灾方案仅需利用磁带库和管理
软件就能实现数据异地备份,达到容灾的功效;而较高级的数据容灾方案则是依靠:.
数据复制工具,例如卷复制软件,或者存储系统的硬件控制器,实现数据的远程复
制。数据级别容灾是保障数据可用的最后底线,当数据丢失时能够保证应用系统可
以重新得到所有数据。从这种意义上讲,数据备份属于该级别容灾,用户把重要的
数据存放在磁带上,如果考虑到高级别的安全性还可以把磁带运送到远距离的地方
保存,当灾难发生后把数据从磁带中获取。
该级别灾难恢复时间较长,仍然存在风险,尽管用户原有数据没有丢失,但是
应用会被中断,用户业务也被迫停止。这种方案花费较低,构建简单。
●应用级别
对于业务应用繁多、并且系统需要保持7×24小时连续运行的金融类用户来
说,显然需要高级别的应用容灾系统来满足他们的需求。
应用级容灾是在数据级容灾的基础上,再把执行应用处理能力复制一份,也就
是说,在备份站点同样构建一套应用系统。
应用级容灾系统能提供不间断的应用服务,让业务应用的服务请求能够透明的
继续运行,而感受不到灾难的发生,保证业务系统提供的服务完整、可靠、安全。
一般来说,应用级容灾系统需要通过更多软件来实现,它可以使业务的多种应
用系统在灾难发生时进行快速切换,确保业务的连续性。
●业务级别
用户构建了数据级容灾和应用级容灾都是在IT范畴之内,然而对于正常业务
而言,仅IT系统的保障还是不够的。用户需要构建最高级别的业务级别容灾。
业务级容灾的大部分内容是非IT系统,比如电话、办公地点等。因为当一场
大的灾难发生时用户原有的办公场所都会受到破坏,业务除了需要原有的数据、原
有的应用系统,更需要工作人员在一个备份的工作场所能够正常的开展业务。
四、灾备中心网络建设方案

●网络攻击及入侵(入侵防御系统防护):
当银行系统遇到互联网的非法攻击和入侵的时候,势必对网上应用和交易系统
产生影响,造成访问效率下降、网络拥堵等状况,采用主动式入侵防御系统利用高:.
可靠识别攻击,精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述
问题。
●链路负载均衡(多链路控制器):
为了避免出现链路单点故障,保证链路接入的高可用性,银行系统一般采用不
同运营商的多条链路接入,采用链路负载均衡产品,把访问外网资源的内网用户按
照要求负载均衡到两条链路,任何一条链路出现故障,都能够实时发现,自动把请
求转发至正常的链路;同时把访问内网资源的用户自动导向到访问质量最优的链
路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路。
●安全区域划分和隔离(防火墙):
客户在数据中心根据不同的安全级别划分出不同的访问区域,不同的区域之间
互相访问需要通过安全设备进行隔离,根据不同的安全级别设定策略进行访问控
制,通过多种检测机制,发现攻击流量,实时进行阻断,提高应用系统的安全性。
●互联网流量管理和优化(全局流量控制器、Web加速器):
客户开展电子商务和网上交易业务,需要考虑客户端采用不同接入方式和终端种
类,因此通过采用全局流量管理设备对处在不同地理位置和运营商接入的终端用户
选择服务效率最佳的数据中心,采用Web加速设备利用数据流量优化加速的手段提
高访问速度,确保客户满意度的提升。
●服务器负载均衡、应用优化(本地流量管理器):
由于网上交易系统都采用SSL加密的方式,对于如何卸载服务器在处理SSL
加解密方面的压力,在不影响服务器性能的前提下,对数据进行加解密就变成了一
个重要的话题,使用本地流量管理器,把大量用户的请求平均分发到多台服务器上
面,同时能够对数据进行SSL加速,卸载服务器处理SSL加解密的压力。在站点
之内,负载均衡产品能够同时对Web前置服务器、应用服务器、数据库服务器、
缓存服务器等多种服务器进行负载均衡。
●各类应用安全防护(WEB防火墙、数据库安全审计、动态口令认证系统):
客户在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要
的应用系统服务器和核心数据,在核心业务系统中一般采用三层部署的标准架构,
Web服务器、应用服务器、数据库,因此各类服务器的安全防护是客户最关心的重:.
点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务器应用层和源
代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修改
的动作进行审计和告警,保证在数量繁多的用户访问数据库的情况下行为能够进行
审计。动态口令认证系统确保网上交易系统用户帐户和口令的密码保护,形成"双
因素"强身份认证。Ḥ
●日志收集和分析(统一日志审计平台):
在金融行业各个监督管理机构下发的政策法规文件中,日志统一收集、分析和
保存是必不可少的一项重点要求,系统日志保存期限按照风险等级不同来区分,至
少不得少于一年,采用统一日志审计平台能够满足各种法规政策的要求,制定相关
策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和
预防欺诈。
●不同平台和品牌的存储之间协同优化(虚拟存储系统):
客户在构建数据存储系统的时候如果采用了异构的部署方式,系统中会出现不
同平台和品牌的存储服务器,使用起来会造成很大的不便,采用虚拟存储系统可以
把各种基于NAS协议的存储服务进行虚拟化管理,实现无缝数据迁移、存储负载均
衡和异构部署等多种优化功能。

:.
五、数据中心/灾备中心之间的互通
六̻Ḥ数据中心̼灾备中心业务并行Ḥ
̻̓̾ḤḤ广域网负载与͑͛͠协同工作原理Ḥ
下面假设客户访问.com的dns请求流程如
图::.
1,首先向其所在运营商的LocalDNS发起.com域
名的DNS请求,步骤1;
2,运营商的LocalDNS服务器从RootDNS得知
.com由DNS-CTC、DNS-CNC、DNS-USA1和DNS-USA2
来解析,即RootDNS同时返回此4个DNS服务器地址给LDNS(这是DNS的工作原
理,它一定会返回所有关于请求的记录,在此即4个DNS服务器。如果只返回一个
DNS而此DNS刚好中断服务了,那么LocalDNS只能是解析失败了),步骤2和
3;
3,LocalDNS轮询向这4个DNS服务器发出域名解析的请求,直到返回数据,步
骤4;
4,假如DNS-CTC相应LDNS的域名解析请求,同时返回2台广域网负载的主、辅
DNS服务器的地址(Listener),步骤5;
5,接受到请求的广域网负载首先查询在本地是否有该LocalDNS的就近性表项
(就近性表项:通过BIG-IP广域网负载的RTT就近性算法会自动运算生成一个ldns:.
就近分布表,通过这个动态的表,每个客户上来都会提供一个最快速的数据中心进
行访问。),如果存在,则直接给LocalDNS返回速度最快的服务器地址。如果不
存在,则通知另外一台广域网负载发起对该LocalDNS的查询,步骤6和7;
6,两台3DNS分别对LocalDNS进行Probe。例如广域网负载-A查询该LocalDNS
的RTT时间为50ms,而广域网负载-B查询同一LocalDNS的RTT时间为100ms,
则此时在两台广域网负载内都形成了该LocalDNS的对应就近性表记录;
7,接受到LocalDNS请求的广域网负载-A根据系统的就近性表返回相应的Data
Center内的WEB服务器地址(),步骤8;
8,LocalDNS获得地址后,将该地址返回给用户,到此DNS请求过程结束,步骤
9;
9,()网站发起访问,步骤10。
通过以上流程可以看出,通过动态计算方式,可以最为准确的估算出用户
LocalDNS与两条线路之间的速度。通过BIG-IP广域网负载之间的信息交互,在两
台BIG-IP广域网负载上形成就近性表,并根据该表返回用户的最佳访问地址
̻̓̿ḤḤ广域网负载灾备的实现Ḥ
Ḥ:.
Ḥ
灾难备份的广域网设计广域网的网络结构需要进一步完善,消除链路
上的单点故障造成的影响,提高网络冗错能力。网络结构既要满足日
常政务的需求,又要满足灾难恢复系统的需求,也就是说,灾难恢复
系统建成之后,一旦灾难发生,灾难恢复系统将接替正常的政务系统
工作,这时就要求电子政务的广域网骨干网络也相应地切换到灾难恢
复系统,各级的路由器也要重新呼叫、连接到灾难恢复中心,与之通
信。Ḥ
在整个方案部署和配置过程中̹我们可以采取数据中心灾备的模式̹也
可以采用两个数据中心同时使用的模式̻无论采用那种模式̹现有的两
台̀͑͛͠设备以及新添加的̿台广域网负载设备都会定时的探测两个数
据中心的链路和应用的健康性。Ḥ
̾、͖͑͐冗灾:目前所有的域名解析都是使用主数据中心的两台̀͑͛͠做
静态解析,当数据中心的链路发生物理故障,那么整个交易系统的访
问都将瘫痪;建立备份数据中心总部,当总部数据中心发生故障的时:.
候所有的域名解析请求都切换到备份数据中心,并且保障所有应用访
问正常。Ḥ
̿、Ḥ智能的͑͛͠解析:实现交易系统用户通过单一域名就近访问健康
的数据中心Ḥ
̀、Ḥ对各地站点的应用健康判断:对各地数据中心链路状态和交易系
统应用健康性实时检查̹发现故障站点能够及时切换故障站点流量Ḥ
́、Ḥ加强各地数据中心的安全性:加强对各地数据中心服务器的安全
性̹尤其对̹̹͑͑͑͜͜͠͠͠Άͻͳ͹ͼͼͱ攻击的保护。Ḥ