地铁综合监控系统数据保护与业务连续性保障

宋大治

（南京地铁建设有限责任公司 江苏省南京市 210017）

1 ISCS数据安全需求分析

1.1 背景

IDC 全球调查报告指出，2014年以来，全球因业务宕机或数据丢失导致的损失高达1.7 万亿美元。2017年5月12日勒索病毒事件的爆发再一次证实了信息数据安全问题不容乐观。信息基础硬件资源容易快速恢复或重新配置，一旦发生数据资产丢失将导致整个业务系统长时间不能恢复从而造成巨大的经济损失或者严重的社会影响甚至危害国家安全。

面对软、硬件故障和人为误操作等诸多因素造成的信息数据丢失和业务中断的风险，在信息安全规划中需要加强数据灾备体系的建设，确保在灾难发生后快速恢复数据和应用以保障业务的连续性，将灾难造成的损害降低到最小限度。

1.2 地铁ISCS数据安全现状

地铁作为国家重要民生基础建设工程。其综合监控系统（ISCS）包含了电力监控系统(PSCADA)、环境与设备监控系统(BAS)、火灾 自动报警系统(FAS)、站台门系统(PSD)、列车自动监控系统(ATS)、广播系统(PA)、视频监控系统(CCTV)、乘客信息系统 (PIS)、门禁系统(ACS)等重要应用系统数据，其中大多数应用系统都被定为等保三级。

为保障信息系统的安全性，全自动运行的地铁ISCS 系统建设规划为双控制中心，在主控中心与备份控制中心之间做了硬件和应用系统冗余，做到应用系统在线热备。双中心之间以专线双链路作为网络通讯保障。同时在安全保障系统上依据等保三级的要求配备了防火墙、入侵检测、数据库审计等网络安全设备，建设了符合公安部要求的工控网络安全体系。

网络的安全性是相对的，在做好信息安全防控的情况下依然存在病毒感染、黑客入侵的风险或者人为误删除等逻辑错误。从应用安全层面考虑，数据是业务系统的核心要素，所以需要做好保护数据资产的底线思维，建设数据安全保障体系。

1.3 ISCS信息数据集中备份需求分析

根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》及公安部《信息安全等级保护管理办法》2.0 的相关要求，结合地铁ISCS 系统设计的具体情况，首先需要将实时服务器、历史服务器、接口服务器、网管服务器、应用服务器、工作站的操作系统及相关的软件平台中的数据库等按照备份策略进行本地备份，当发生数据丢失时，可以快速有效的从本地数据备份服务其中恢复信息数据和业务系统。

1.4 ISCS业务连续性保障需求分析

地铁运营的稳定性至关重要，各关键业务的信息系统要求7*24小时不间断运行，为避免发生业务系统中断的风险，在做好数据的安全保护工作基础上，还需要进一步建设信息系统的容灾和应急接管措施。对于关键信息基础设施的不同信息系统应用，应根据所需达到的RPO（Recovery Point Objective）和RTO（RecoveryTime Objective）指标，确保生产服务器故障或是场地灾害时，服务能够及时切换到容灾平台上。

2 地铁ISCS数据灾备方案设计

设计原则：

（1）可用性：灾备数据需与生产数据保持一致性、完整性，目的是为了确保在灾难发生时，备份数据可以提供应急恢复，确保恢复后数据的有效性、可用性。

（2）安全性：作为信息安全的最后一道防线，灾备基础设施、数据与数据中心基础设施和数据需进行物理隔离。另外，灾备数据传输过程中也应加密传送，确保备份数据传输和存放的安全可靠，从而实现数据在灾备存储的过程中趋于零损耗。

（3）稳定性：灾备系统平台在设计、建设中需要首先考虑其本身的稳定性，只有自身足够强健稳定才有可能确保数据备份和容灾的持续稳定。

（4）全面性：在复杂的IT 网络环境中存在各种操作系统平台，平台下可能还会安装各类应用系统，如Oracle、SQL Server、MySQL、DB2、Sybase、达梦数据库等。因此，灾备系统平台需要支持各种操作系统、数据库和应用，确保与环境兼容的全面性。

（5）自动化：人工干预的方式实现的安全保护无法避免会出现漏、误操作等情况，同时灾备运维难以管理，因此应该实现运维自动化、安全保护自动化，具有日志记录功能，异常情况时自动报警功能。

（6）实时性：关键信息基础设施要求7*24 小时不间断运行进行备份保护，需要针对关键信息系统进行实时备份保护，确保关键数据趋于零丢失。

（7）高性能：随着应用的不断发展，各种数据资产海量积累，而且数据的产生速度也越来越快，这就要求我们在设计备份系统时要考虑通道的带宽和多种软硬件技术性能的冗余。

（8）可扩展性：数据安全保障体系的设计不但要满足当下业务的实际需要，还需适当考虑未来业务不断扩展以及与新技术进行衔接和产品升级的可能，具备良好的升级发展空间，以充分适应未来信息安全建设的扩展，保护现有投资。

3 方案设计细节

3.1 双中心数据备份与恢复方案设计

全自动运行系统的ISCS 双控制中心分别配置容灾备份一体机服务器，内置虚拟一体化容灾平台，利用磁盘级CDP （Continuous Data Protection）技术，实现I/O 级细粒度的实时备份，将备份窗口以及数据丢失的可能性降到最低。同时主控中心和备份控制中心的备份数据利用同步模块在高带宽通讯线路的保障下相互同步，进一步降低数据安全的风险性。

采用CDP 技术的内置虚拟化一对多应急接管方案可解决核心业务的连续性需求。同时还可以通过对备份数据执行直接挂载演练，找回指定时间节点的历史数据，解决了因为数据的逻辑错误导致的数据丢失、删除、篡改等问题，实现对信息系统进行多重保护。

3.1.1 方案拓扑图

如图1所示。

图1：双中心数据备份与恢复方案拓扑图

3.1.2 方案说明

（1）主控中心机房和备份中心机房域网交换机中，各配置一套备份一体机，预置数据备份与恢复系统Web 管理端。

（2）在业务网交换机中，通过千兆网线连接内置虚拟化备份容灾平台一体机服务器，在应用服务器、实时服务器、接口服务器、历史服务器、网管服务器等内预装容灾agency。

（3）一体机服务器将会主动识别到预装了应用容灾agency 的应用服务器。应用服务器以及生产服务器的系统盘以及数据存储磁盘将根据管理员依据业务相应规则设定的具体数据备份所需执行的策略（卷级CDP 实时备份），将有关数据备至容灾平台内对应的容灾接管虚拟机（包括生产机的操作系统文件和相应网络策略配置等）。

（4）实时复制数据机制可以让容灾服务器虚拟机上的数据与目标服务器上的数据保持完全一致且真实可用，从而完成接管生产服务器上应用所必需的基本条件。容灾服务器被设定为通过系统故障诊断功能模块对服务器运行状态进行自动检测并依据检查结果来判断生产服务器的及时工作状态，一旦生产服务器端出现业务故障时，会向管理员发出警报，并依据设定的规则由管理员手动或者自主执行容灾服务器业务接管。

（5）一旦生产服务器修复正常后，利用数据的智能回迁机制把容灾服务器中的历史备份数据以及新生成的数据逆向同步到正常的生产服务器上，然后按预设方案，将所有应用服务逐一切换回相应的生产服务器。

（6）初始设置完成后，在主中心备份容灾一体机和备份中心备份容灾一体机的备份服务管理端中设置数据同步或异步功能模块实现数据的镜像同步。定时或实时镜像同步部署完成后，即可完成应用服务器本地备份数据异地传输。

（7）数据备份与恢复系统数据同步模块提供实时压缩、断点续传、双向传输功能，保证本地备份数据和异地备份数据一致，如此当本地机房出现重大损毁时，可以通过异地备份数据进行应急恢复。

3.2 自动校验与自动演练设计

灾难恢复资源是为应对那些“概率小、风险高”的事件而准备的，平时基本上处于静默备战状态，其目的就是为了在发生数据故障或者灾难的时候，有一份安全的数据副本存在，可以用于数据的恢复或者灾后重建。因此，备份容灾数据的有效性就非常的关键。

通常情况下，本地容灾平台设置了灾难自动演练机制。根据策略，在24 小时内会把近期产生的新数据备份快照镜像加载到指定虚机，并且对源系统进行镜像模拟。之后对相应的数据、文件、虚机系统服务等进行可靠性和完整性验证。校验内容包括：DataBase（MSSQL、Oracle）、WindowsService、EventLog、File、Exchange 等。针对灾备演练形成制度，周期性的进行，每周、每月甚至是每季度进行一次并发送自动演练报告至管理员邮箱或手机。

3.3 技术特色

（1）无驱CDP 保护：支持无驱CDP，生产机无需安装任何内核型CDP 代理程序即可实现数据CDP 实时保护，代理程序不涉及操作系统底层内核的改动，以减小对生产机稳定性的影响。

（2）安全备份、可信恢复：采用军密、商密、国密等高位加密技术对备份数据进行自动透明的加解密保护，并支持密码验证方式对灾备保护的数据进行恢复操作。

（3）自动校验：为确保备份数据与生产数据的一致性、完整性、可恢复性，提供备份数据的自动校验机制。

（4）跨平台兼容性：支持对个人电脑，各类服务器及小型机跨操作系统平台的在线备份；支持主流操作系统（如： Linux、Unix、Windows 等） 以及各类虚拟化平台（例如：VMware Hyper-V、ESX 等）；支持My SQL、SQL Server、Oracle、DB2、Active Directory、 达 梦、Sybase、Exchange Server、Domino 等 多种数据库；支持对各种数据库、文件的CDP（Continuous Data Protection）实时热备、定时热备、手动备份；支持LanBase、LanFree 等多种备份方式。

（5）软硬一体化配置：软硬一体化配置，集备份软件、操作系统、备份服务器、磁盘阵列于一体可大大降低方案集成成本及后续信息系统的运维服务成本；杜绝传统集成方案中产生的产品不兼容、难扩展、售后服务不及时等一系列问题。

（6）集中管理平台：Web 集中管理页面，可对备份节点、备份客户端、备份策略、备份数据、管理权限进行集中化设置管理；部署容易、操作简便，摆脱对专业技术人员的依赖。

（7）数据应急恢复：数据丢失或损坏时，可提供灾难应急恢复能力，快速恢复系统和数据；即便服务器硬件损坏，也可以通过异机恢复来实现信息系统的快速重构。

（8）本地异地双重保护：支持一对一、一对多以及多对一等多种异地灾备，支持本地及异地双重保护和恢复；备份客户端可在前置设备节点、后置设备节点之间切换；当本地数据中心发生数据丢失时，可以从前置设备的本地节点备份集恢复数据；当本地数据中心发生场地灾难时，客户端可切换至后置设备并从异地节点备份集恢复数据。

（9）海量数据增量备份：支持主机房磁盘格式和NAS 共享存储下海量文件“日志增量备份”模式保护，不限制备份的文件数量，可高效地定位新产生或者被修改的文件并对其进行及时备份，无须每次增量备份时扫描所有文件；增量备份间隔可达分钟级，从而大大提升备份效率。

（10）独占文件备份。系统支持独占和锁定状态下的文件备份保护（如：注册表文件、系统文件），保证备份数据的完整性。

（11）虚拟化备份保护：系统支持集群环境下的VMware、Hyper-V、华为FusionSphere 等主流虚拟化平台无代理备份保护模式，无需在虚机中安装客户端代理，也不需要寻找其它代理备份服务器安装客户端，通过Web 集中管控平台就可直接为虚拟化系统添加备份保护任务。

（12）VMware 虚拟机挂载恢复：Vmware 虚拟机备份后，可以直接将备份的虚拟机通过挂载的方式瞬时恢复使用，虚拟机挂载后可自动开机和联网；也可直接从备份虚拟机数据集中选择需要恢复的目录或文档文件数据进行单文件细粒度恢复。不需要恢复整个虚拟机文件。

（13）应急接管：容灾服务器可在指定的任意时间点上执行业务的应急接管。一旦生产服务器端出现业务故障，容灾服务器会根据监测结果向管理员发出警报，并依据设定的规则由管理员手动或者自主执行容灾服务器业务接管。保障核心业务运行不间断。

（14）自动演练：容灾服务器具有自动演练功能，以保障备份数据的可用及完整性。演练之后，根据预设的校验规则生成数据演练和数据校验报告发送到管理员的邮箱地址。

（15）数据挂载：容灾数据可被直接挂载呈现，可以对挂载出来的数据执行读、写等操作；也可以根据实际需求选择指定数据进行挂载，恢复特定时间点的历史数据。

（16）数据回迁：当生产服务器被修复或更新后，可以启动PE 将备份集中的历史系统和数据（包含接管后产生的最新数据）回迁至修复更新的生产主服务器上。恢复生产服务器对外响应。

4 总结

通过对地铁ISCS 的数据灾备建设，应用系统的数据资产得到安全、可靠、有效保护，且在极端情况下提供最关键的业务容灾保障，最大程度上解决了数据安全隐患，在地铁安全运行中起到了保驾护航的重要作用。