政府行业系统灾备建设白皮书.docx
- 文档编号:23238684
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:25
- 大小:33.40KB
政府行业系统灾备建设白皮书.docx
《政府行业系统灾备建设白皮书.docx》由会员分享,可在线阅读,更多相关《政府行业系统灾备建设白皮书.docx(25页珍藏版)》请在冰豆网上搜索。
政府行业系统灾备建设白皮书
政府行业系统灾备建设白皮书
政府行业系统灾备建设白皮书
政府行业灾备建设特点及案例剖析..............................................
696.1
政府行业灾备建设特点及案例剖析...........................................................
696.1.1
行业概览..............................................................
696.1.2
行业现状与需求........................................................
726.1.3
应用场景与解决方案....................................................
746.1.4
典型用户案例..........................................................
786.1.5小结...............................................................
80
灾备市场与行业趋势...................................................................
1377.1
灾备市场概况........................................................................................
1377.1.1
市场高速增长.........................................................
1377.1.2
市场多元发展.........................................................
1387.2未来五年(2021-2025)趋势...............................................................
1397.2.1
信创推动核心技术自主研发.............................................
1397.2.2
合规性仍是推动行业发展主因...........................................
1407.2.3
平台化推进灾备产业化发展.............................................
1417.2.4
灾备人才和用户群体持续增长...........................................
142
政府行业灾备建设特点及案例剖析数字化转型加速了行业的信息化建设,如何保障信息化建设安全,国家已经从法律层面制定了一系列的法规条文,并明确了信息运营主体的职责。
在这个大背景下,灾备建设落实到具体的建设工具,无外乎数据的容灾备份、迁移、恢复等技术产品。
但每个行业的信息系统和数据特点不同,也造就了不同的灾备解决方案。
譬如,政务行业的私有云架构,不仅要考虑内外网特殊情况,还要考虑数据中心建设一期和二期软硬件的异构问题等。
为了更真实地展现重点行业的灾备建设特点,本章节涉及的行业概述、应用场景和典型案例,主要来自英方软件近百位一线技术工程师的实践。
这些内容几乎全面覆盖了各个行业的灾备特点和需求,在具体的应用场景和方案剖析中,也可以作为大家参考的重要的实践内容。
本章节共列举了政府、金融、医疗、教育、电信、能源、制造等行业的灾备建设特点,这些行业所涉及的内容如下表所示。
行业内容政府指各级政府部门及各种机构,如公检法、公积金、大数据局、环保、消防等部门。
金融指经营金融商品的特殊行业,包括银行、保险、信托、证券、会计、审核及相关设备制造商、系统集成商。
医疗指与人们身心健康相关的产业的统称,包含了传统意义上的卫健委机构、医院等。
教育指各地教育局和各大中专院校及中小学等教学主体。
电信指各个电信运营商以及运营商机构依托各地IDC进行的云灾备建设。
能源指天然气、石油石化、国家电网、南方电网及各地下属电网公司等。
制造指机械和电子制造业、轻纺工业、资源加工工业,如航空发动机、半导体芯片、机械、汽车、五金、食品、服装等。
表6-1灾备重点行业涉及领域6.1政府行业灾备建设特点及案例剖析6.1.1行业概览电子政务是指政府机构通过运用信息化手段,实现办公自动化、24小时咨询服务、网上申报和审批等各种政府职能。
电子政务应用包括政务信息查询、公共政务办公、政府办公自动化等。
本内容涉及的电子政务的建设主体是各级政府部门及各种组织机构,涵盖各级党组织、政府部门、公检法、委办机构等,譬如各级人民政府、人民检察院、人民法院、公安部门、消防、工商、税务、环保等。
本章节所涉及的电子政务的数据安全和业务连续性的内容,也是以为百姓提供日常服务的政府及组织为主。
新基建、数字中国、智慧城市、互联网+政务等新型城市的建设浪潮,都离不开作为电子政务底座的新型基础设施;政务云。
当前,各地政府大力兴建的政务云,也不负重托,通过新型电子政务的方式,在数字政府、智慧政务、智慧民生等应用领域,逐步实现人民政府提出的“让数据多跑路,让百姓少跑腿”的郑重承诺。
为此,通过先进的数据复制、容灾备份等技术构建一个安全可靠的政
务云,已经成为各级政府组织信息化建设的重要内容之一,也是建设人民满意的数字化服务型政府的必要条件。
(1)等级保护和分级保护政府电子政务的建设和发展关乎国计民生,也关于国家安全和经济发展。
由于当前的信息安全保密问题日益突出,勒索病毒、网络攻击、机密文件泄露等事件愈发频繁,给国家安全和政府外交工作带来重大的挑战。
为此构建新时代电子政务的信息化应用,必须做好关键信息和数据的安全管理及保护工作,必须加强对政府信息数据和国家机密保护的宣传工作,必须确保各类信息不泄露、不丢失和重要系统不出现重大故障。
强化信息安全,法度利器先行。
国家层面已制定了相应的一系列法律法规,强制性要求各类数据中心的运营机构必须遵守各项信息安全规定,提升整体的信息安全防护措施,而政府及组织在这方面起到了带头示范的作用。
在国家已颁布的一系列法律法规中,等级保护和分级保护的影响范围最广。
等级保护,即信息安全技术网络安全等级保护要求,是我国信息安全保障的一项基本制度。
20__3年由中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》,正式提出实行信息安全等级保护和建立国家信息安全保障体系的明确要求。
20__7年和2021年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》,统称“等保1.0”;20__年5月发布《信息安全技术网络安全等级保护基本要求》,统称“等保2.0”。
在等级保护分级中,按重要程度共分为五级:
一级(自主保护)
二级(指导保护)
三级(监督保护)
四级(强制保护)
五级(专控保护)
除了等级保护,国家也对涉及国家机密的信息系统进行了分级。
20__5年12月,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。
分级保护分为:
秘密级机密级和机密级(增强)
绝密级等级保护和分级保护的制定,从国家法律层面规范了公民、法人和机构组织对信息系统分等级实行安全保护。
各级政府电子政务的建设,涵盖几十个不同等级的应用系统,如何区分这些系统的等级和分级,政府政务管理机构已经组织专家团队做了全面的评估和评定,对政府应用的系统进行了等级划分。
一般而言,面向社会提供服务窗口的网站及Web应用系统对国家安全影响有限,可以划分为一二级等级保护,对外公开的气候、经济统计、灾害预防等信息也不属于国家秘密。
但是,一些重要的网站、内部流转的机密公文及测绘、国防等信息系统,就属于较高等级或秘密的保护范畴。
故从数据管理和灾备角度分析,电子政务信息系统应根据其信息安全保护等级和业务连续性要求,选择建设相对应的灾备系统,以防止因系统终止提供服务而对市民的正常生产生活带来影响,甚至造成严重的社会影响;电子政务信息系统也应根据其数据的重要性程度制定数据备份策略,以防止因数据丢失而造成损失。
(2)政府电子政务发展的法律法规国家在大力推进电子政务快速发展的同时,不同主管机构和部门下发和颁布了一系列的政策法规。
例如:
《中华人民共和国网络安全法》第七十二条规定:
国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
《国务院办公厅关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知》(国办发〔20__〕45号)要求“加强数据共享安全保障”,依法加强隐私等信息保护;提高国家电子政务外网、国家数据共享交换平台和国家政务服务平台的安全防护能力;推进政务信息资源共享风险评估和安全审查,强化应急预案管理,切实做好数据安全事件的应急处置。
《国家发展改革委关于印发“十三五”国家政务信息化工程建设规划的通知》指出,“构建一体化政务数据平台”是规划的主要任务之一,即按照“数、云、网、端”融合创新趋势及电子政务集约化建设需求,依托统一的国家电子政务网络加快建设综合性公共基础设施平台,形成互联互通、安全防护、共享交换、云计算、数据分析、容灾备份等综合服务能力,实现电子政务关键公共基础设施的统建共用,支撑政务业务协同和数据共享汇聚。
本章节整理了对政府电子政务发展起到积极推动作用的法律法规及文件,各级政府及组织可根据机构规模、属性、等级进行相应的数据安全和业务连续性的建设。
“加快电子政务信息系统的发展”《国务院办公厅关于促进电子政务协调发展的指导意见》(国办发〔20__〕66号)
《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔20__〕5号)
《国务院关于印发政务信息资源共享管理暂行办法的通知》(国发〔20__〕51号)
《国务院关于加快推进“互联网+政务服务”工作的指导意见》(国发〔20__〕55号)
《国务院办公厅关于印发<20__年政务公开工作要点>的通知》(国办发〔20__〕24号)
《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔20__〕47号)
《国务院办公厅关于印发<政府网站集约化试点工作方案>的通知》(国办函〔20__〕71号)
“关于保障电子政务信息系统安全的发展”《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔20__〕14号)
《关于加强党政机关网站安全管理的通知》(中网办发文〔20__〕1号)
《公共安全业务连续性管理体系指南》国家标准(GB/T31595-20__)
《国家网络空间安全战略》(国家网信办20__年7月)
《中华人民共和国网络安全法》(20__年6月1日)
《信息安全技术网络安全等级保护基本要求》(GB/T22239-20__)
《网络安全审查办法》(国家网信办2021年4月)
随着我国经济体量的持续壮大和国际地位的显著提升,境外敌对势力通过网络渗透攻击我国重要部门的网络系统,以及通过黑客技术加密重要文件的事情时有发生。
据新闻报道,从20__年开始,某机构安全大脑通过整合海量安全大数据,发现了多起境外APT组织使用“在野”0day漏洞针对我国境内目标发起的APT攻击,并发现境外针对中国境内目标的攻击最早可以追溯到20__7年,至少影响了中国境内超过万台电脑,攻击范围遍布国内31个省级行政区。
这些攻击对象包括国防、航天、政府、重要企业的网络系统,由此可见各级政府及组织加强电子政务信息系统和数据安全的保护迫在眉睫。
6.1.2行业现状与需求提高工作效率,建设人民满意的数字化服务型政府,离不开政务电子化所需要的各种信息化技术和设备。
我国电子政务建设,以1999年政府上网工程启动这一标志性事件为界,之前为政府信息化的前期,之后为政府信息化大规模建设阶段。
我们总体上将其划分为三个时期:
(1)网站建设时期这一时期的电子政务建设,更多关注政务信息和流程的公布,与群众线上交互等。
同时,通过政府部门的带动,培养群众对新技术、新方式的接受和适应能力。
(2)信息化时期这个时期主要是在第一阶段的基础上,实现协同办公、不见面审批、网上执法、网络化管理等。
这个阶段所面临的挑战是实现孤立部门间流程的统一和协同化。
(3)大数据时代这个阶段政府的网络建设观念逐渐淡化,更多强调对大数据、人工智能、容器云、区块链等新兴技术的应用,实现对数据的挖掘、交互、分析、保护,同时也更强调数据和业务的安全性,强调部门协同打破数据孤岛,保障数据价值的时效性,加快数据流动,最终为供给侧提供需要的数据价值,从而为老百姓提供更高效便捷的政务服务。
时至今日,电子政务也从前端网站建设转向基础设施集约建设,政务云和大数据中心已成为数字政府建设的当务之急。
政务云也是电子政务IT发展新10年,在云计算时代,电子政务IT基础
设施将从分离重新走向融合,用户通过云操作系统,将数据中心多厂家异构的计算、存储、网络资源进行统一融合,对外提供开放与标准化的IT服务接口,实现数据资源与应用资源的融合。
为此,在众多的子系统与数据库中,需要一个平台来传递可靠的、与平台及语言无关的数据,且能够把数据透明化。
这时,数据复制技术将在接口调用过程中发挥重要作用,通过不断的收集、调用、分析数据,满足IT业务的需求,并协助业务模型决策做出更智能的预测。
硬币都有两面性,云环境下的电子政务在获得集约建设、资源利用最大化的同时,也意味着风险共担。
政务云建设需要评估资源间的依赖关系,适当对IT资源进行解耦,减少IT资源的关联风险,以及对关键IT资源进行容灾备份,确保构建在政务云上的系统安全持续运行。
不将所有鸡蛋放在一个篮子,是各地政务云建设应当遵循的一个标准。
当前,政务云建设分为内外网,以及两地三中心或异地容灾的建设模式。
即通常情况下,在同一个政务云的数据中心,管理者会将政务内网系统和外网系统划分为两个区域,它们之间的IT资源相互独立,同时同城采用主备模式,在同城50公里左右的地方构建备用政务云数据中心,当生产数据中心的系统发生故障,要么在本地数据中心进行系统切换,要么整体切换到备用数据中心,实现系统应用的容灾保护。
最后,为了避免区域性灾害如地震、火灾、洪灾、战争可能造成的毁灭性破坏,对于重要系统和数据库数据,还需要在异地建立灾备中心,用于关键系统和数据的恢复,符合等保要求。
图6.1-1电子政务架构图在这种“一朵云二张网三中心”的运营管理模式下,电子政务在业务方面,划分为两类:
一类是以省-市州-区县-乡镇为四级行政机构的电子政务模式,专注于政府便民服务、政策发布执行和公文传输等;一类是以省厅-市州局-区县分局-乡镇营业所(行业称呼略有差别)的模式,专注细分业务的对外服务、政策执行发布和公文传输等(如公检法)。
不同的领域和单位,有不同的数据安全和业务连续性需求,等级保护和分级保护要求也不一样,综合分析,主要存在以下需求:
业务数据本地备份、CDP
本地数据库读写分离和容灾本地应用系统的容灾高可用关键系统的异地跨平台容灾
政务云虚拟机迁移和云灾备内外网两地三中心容灾备份综上,随着电子政务的落地发展,构建政务云之间的灾备体系将是下一步的建设重点,防范网络入侵和病毒攻击将是首要任务,同时系统故障带来的对外服务窗口的关闭,如政务挂号系统故障、发布防洪资讯的网站访问不了,都会带来一定的社会影响。
为此,需要制定完备的容灾机制,确保数据不丢、业务不停。
6.1.3应用场景与解决方案实现电子政务的数据安全和业务连续性建设,需要捋清楚电子政务的系统网络建设情况,特别是政务内外网、多种异构平台情况、二层与三层网络应用等。
目前,我国电子政务网络系统分为政务内网和政务外网,内网是为政务系统自建的私有网络,外网一般指互联网,政务内外网通过信息安全交换系统,实现信息的交换,两者是相互隔离又相互补充的关系。
政务内网:
以满足政府内部办公的需求为主,通过独立的软硬件设备达到物理隔离的目标,对上与国家电子政务内网互联。
政务内网为了安全覆盖范围尽可能少,主要用于传送电子公文,以及不适合通过外网传输的信息,比如政务信息、视频会议等信息。
政务外网:
以政府公共服务网为主,组织机构及民众可以通过政府公共服务网查询相关的政务信息。
政务外网与互联网通过网络安全系统逻辑连接,是政务机构人员与外面进行信息交流的通道,是政务公开和为民办事的主要窗口,各单位通过网站对外提供网上服务、受理申请等,典型代表为各类政府信息门户网站。
互联网出口:
在异地灾备建设过程中,互联网出口是系统故障完成切换后,政务系统继续对外提供服务的网络端口。
通常情况下,按照规定政府机构的下属单位上网,应该统一上联到政府信息中心的互联网出口,但业务的不同,会存在个别政府单位因为工作需要或其他原因,可以搭建独立的互联网出口。
异构平台系统:
政务数据中心有一个显著的特征,是供应商错综复杂,品牌繁多,不同的数据中心,存在虚拟化平台异构、服务器异构、存储系统与硬件异构、数据库异构等问题;此外,结构化与非结构化数据也对政务大数据平台、数据湖、容灾备份等应用带来挑战。
网络层容灾切换:
政务系统内外网的通信,以及在两地三中心或异地容灾的情况下,会涉及不同网络层的应用。
在故障发生时,英方软件通常采用的故障切换接管方法,分为在二层网络环境下,会采用VIP漂移技术,实现故障的切换;在三层网络环境下,可以采用负载均衡方式,实现故障切换;在广域网环境下,支持与DNS服务器无缝结合,实现故障切换。
综上,针对不同场景不同网络环境下的政务系统,电子政务主管部门根据各个系统安全等级保护的要求,需要做出相应的调整,当本地数据中心发生故障或出现重大灾难时,可以马上进行容灾切换及数据恢复。
而对于数据安全和业务连续性的建设,采用同城或异地的主备数据中心、两地三中心等方案,不仅可以实现省级(直辖市)的政府及组织电子政务云平台的容灾备份,还可以实现地市级(区县)政务系统的容灾备份。
英方软件在电子政务领域拥有丰富容灾备份的项目实践经验,可以为用户提供政务系统的跨平台迁移、本地容灾备份、异地数据库数据实时同步和系统容灾、云容灾、两地三中心灾备等解决方案。
由于政务机关分门别类较多,难以逐一陈述,下面我们挑选几个有代表性的场景进行介绍。
图6.1-2政府及组织电子政务云整体架构
(1)海量虚拟机跨平台迁移和容灾场景特点:
虚拟机数量大;虚拟化平台及版本异构。
用户需求:
本地或云端到云端的系统热迁移;虚拟机的备份和故障快速切换接管。
图6.1-3跨虚拟化平台系统热迁移应用实践:
在本地或异地数据中心,通过i2Move
系统在线热迁移软件,在不影响日常政务服务的前提下,可以将系统从VMware
虚拟化平台迁移到KVM
+
OpenStack
的异构平台上,同时增量数据及IP地址可一起迁移到新的平台上,整个迁移进程自动化,迁移成功率高。
与此同时,由于平台型故障对虚拟机集群可以造成致命打击,为此需要通过i2Availability
实现重要虚拟机系统的容灾,保障业务连续性。
(2)政务云两地三中心灾备场景特点:
虚拟机规模大、内外网环境;等级保护和分级保护要求不同。
用户需求:
建设两地三中心灾备,保留互联网出口;重要系统同城容灾,数据异地备份;数据库数据的实时同步和读写分离。
图6.1-4政务云两地三中心灾备应用实践:
两地三中心的模式下,灾备建设遵守内外网相互隔离的原则,并根据用户需求决定是否在灾备端保留互联网出口;在本地生产中心到同城灾备中心异构虚拟化平台的过程中,通过i2Active
数据库语义级的数据实时复制和同步软件,实现数据库读写分离和容灾;同时通过i2Availability实现异构平台核心业务容灾接管;最后通过i2CDP、i2FFO进行本地到同城,同城到异地的数据同步和备份,可以有效防范逻辑错误、勒索病毒的攻击,保障数据和业务的安全。
(3)公安厅警务系统异地容灾与数据库双活场景特点:
等级保护和分级保护要求不同;各个平台的异构问题突出。
用户需求:
数据库数据的实时同步和读写分离;建立同城或异地容灾中心;实现跨平台的容灾接管。
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
图6.1-5公安厅警务系统异地容灾与数据库双活
应用实践:
在专网环境下的本地和异地数据中心,通过i2Active
数据库语义级的数据实时复制和同步软件,将Oracle
RAC
实时同步本地灾备服务器,然后在实时同步到异地灾备中心;然后通过i2Availability
高可用软件实现对本地业务系统的异地容灾,确保业务应用系统发生故障时,可以秒级进行切换接管。
(4)
公检法海量NAS文件异地灾备与数据库双活场景特点:
机密性强、等保要求高;海量小文件,平台异构。
用户需求:
NAS下海量小文件的灾备;本地或同城的系统容灾。
图6.1-6公检法海量NAS文件异地灾备与数据库双活
应用实践:
在专网环境下的本地和异地数据中心,通过i2NAS海量文件同步软件,将NAS存储下的服务器变化的数据,汇集到本地i2NAS服务器,然后定时或实时将变化的数据同步到容灾中心;通过i2Availability
实现对本地业务系统的容灾高可用,确保关键系统发生故障时,异地容灾中心可快速接管应用;通过i2Active数据库语义级的数据实时复制和同步软件,将OracleRAC实时同步到本地或异地容灾中心。
(5)
大数据管理局数据库容灾及
CDP
保护场景特点:
数据集中管理,非结构化数据多用户需求:
数据库系统的容灾和数据备份;异构数据库在大数据平台的数据流通;数据库数据CDP保护。
应用实践:
在本地大数据中心,通过i2Active将OracleRAC同步到备端Oracle数据库单机服务器,然后通过i2CDP实现数据库数据的持续保护;针对Oracle、MySQL、SQLSever等数据库到大数据平台的应用需求,可通过i2Stream
数据流复制管理软件,采用抽取、转换、装载的方式,实现异构数据库平台之间数据的传输及数据到Kudu、Hadoop等大数据平台,打破数据孤岛,
i2NASi2NAS的
实现数据互联互通。
6.1.4典型用户案例图6.1-7大数据管理局数据库容灾及CDP保护
(1)某公安厅跨平台异地容灾项目亮点:
在硬件及虚拟化异构的情况下,实现重要数据库数据异地约400公里的跨平台实时同步和容灾,以及重要警务系统的高可用异地容灾和灾备服务器数据的实时同步备份。
项目需求:
结合公安信息化发展现状和实际需求,新疆公安厅计划按照国家标准化管理委
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政府 行业 系统 建设 白皮书