воскресенье, 7 ноября 2010 г.

ISSP \ Домен 07. Непрерывность бизнеса и восстановление после аварий. Часть 5

В этой части рассмотрены следующие вопросы:
  • Варианты резервного копирования данных
  • Средства автоматизированного резервного копирования
  • Выбор здания для хранения резервной информации


Резервирование необходимо выполнять в отношении оборудования, программного обеспечения, данных, персонала, а также здания (офиса). Команда BCP должна определить, какие компоненты необходимы для «выживания» компании, и какие для них нужны варианты резервирования.

Для большинства компаний информация стала одним из самых критичных активов. Среди такой информации могут быть финансовые отчеты, проекты новых продуктов, сведения о клиентах, описания продуктов, коммерческая тайна и многое другое. В Домене 01 мы рассматривали процедуры анализа рисков и процессы классификации данных. В обязанности команды ВСР не входит внедрение и поддержание процедур классификации данных компании, но команда должна выявить риск, которому подвержена компания, если у нее не внедрены эти процедуры. Это должно быть представлено как уязвимость, о которой должно быть сообщено руководству. Руководство должно организовать другую группу сотрудников, которые проведут инвентаризацию данных компании, определят критерии потерь, проведут классификацию данных и процессов.

В обязанности команды ВСР входит предоставление решений для защиты этих данных и определения способов их восстановления после аварий. В этом Домене мы рассмотрим различные способы, которыми могут быть защищены и, при необходимости, восстановлены данные.

Обычно данные изменяются гораздо чаще, чем оборудование и программное обеспечение, поэтому процедуры резервного копирования данных должны проводиться на постоянной основе. Процесс резервного копирования данных должен быть понятным, обоснованным и разумным. Если данные изменяются несколько раз в день, процедура резервного копирования должна выполняться не реже одного раза в день (например, каждую ночь), чтобы обеспечить сохранность произведенных изменений. Однако если данные изменяются редко, например, раз в месяц, выполнение ежедневого резервного копирования будет пустой тратой времени и ресурсов. Резервное копирование файлов и произошедших в них изменений обычно более предпочтительно, чем создание множества копий одних и тех же файлов. Системы резервного копирования обычно создают журнал изменений, произошедших с каждым файлом, и работают с этим журналом отдельно от исходных файлов.

Персонал, обеспечивающий сопровождение систем, должен определить, какие данные подлежат резервному копированию и с какой периодичностью. Резервное копирование может быть полным, дифференциальным или инкрементальным; обычно используются некоторые комбинации различных типов резервного копирования. Большинство файлов не меняется ежедневно, поэтому с целью более бережного использования времени и ресурсов, следует разработать план резервного копирования, который не будет предусматривать постоянного резервного копирования данных (файлов), которые не меняются. Но как можно определить, какие данные изменились и нуждаются в резервном копировании, не просматривая при этом дату последнего изменения каждого файла? Это делается с помощью бита архивирования (archive bit). Файловые системы операционных систем отслеживают изменения файлов и устанавливают бит архивирования. Если был создан новый файл или изменен существующий, файловая система устанавливает для этого файла бит архивирования в 1. Программное обеспечение, выполняющее резервное копирование, просматривает состояние этого бита и на основании него принимает решение, нужно ли включать этот файл в резервную копию или нет.

Первым шагом является создание полной резервной копии (full backup), которая представляет собой копию всех данных на некотором внешнем устройстве хранения. В процессе создания полной резервной копии бит архивирования очищается (устанавливается в 0). Компания может решить выполнять только полное резервное копирование, позволяющее восстанавливать данные в одно действие, однако при этом создание резервных копий и восстановление с них может занимать много времени.

Большинство компаний использует комбинацию полного резервного копирования с дифференциальным или инкрементальным резервным копированием. При создании дифференциальной резервной копии (differential process) копируются только те файлы, которые были изменены с момента предыдущего полного резервного копирования. При необходимости восстановления данных, сначала восстанавливаются данные с полной резервной копии, а затем поверх них записываются данные из дифференциальной резервной копии. При создании дифференциальной копии значение бита архивирования не изменяется.

При создании инкрементальной резервной копии (incremental process) копируются все файлы, которые были изменены с момента последнего создания полной или инкрементальной резервной копии. В процессе создания инкрементальной копии бит архивирования сбрасывается (устанавливается в 0). При необходимости восстановления данных, сначала производится восстановление файлов с полной резервной копии, а затем в правильном порядке поверх них записываются файлы из каждой созданной инкрементальной резервной копии.

Какой вариант резервного копирования является наилучшим? Если компания нужно сделать процесс резервного копирования и восстановления простым и прямолинейным, она может выбрать использование только полного резервного копирования. Однако это потребует большого количества внешних носителей информации (или большого объема дискового пространства) для хранения резервных копий, а процесс создания резервных копий будет занимать достаточно много времени. Использование дифференциального и инкрементального резервного копирования является более сложным процессом, но они требуют значительно меньше ресурсов и времени. Дифференциальное резервное копирование требует больше времени на создание резервных копий, но меньше времени на этапе восстановления данных, который всегда делится только на два этапа (восстановление полной копии и восстановление дифференциальной копии). Инкрементальное резервное копирование, по сравнению с дифференциальным, занимает меньше времени при создании резервных копий (т.к. копируется меньший объем информации), но для восстановления информации требуется больше времени из-за необходимости восстановления информации с нескольких копий.

Выбирая вариант организации резервного копирования, не следует смешивать дифференциальное и инкрементальное резервное копирование. Это может привести к потере данных, поскольку при создании инкрементальной копии бит архивирования изменяется, а при создании дифференциальной копии – нет.

Для критичных данных должно быть организовано резервное копирование, а резервные копии должны храниться как на основной площадке, так и на внешней. Резервные копии на основной площадке должны быть легко доступны в некатастрофичных случаях, позволяя быстро восстановить данные и работу компании. Однако одних только резервных копий на основной площадке не достаточно для обеспечения реальной защиты. Дополнительно резервные копии следует хранить в отдельном здании на случай чрезвычайной ситуации или катастрофы. Необходимо принять решение, на каком удалении от основной площадки должно находиться это альтернативное здание с резервной площадкой. Если резервная площадка, на которой хранятся дополнительные резервные копии, расположена вблизи основной площадки, это упрощает доступ к резервным копиям в случае необходимости, однако это также подвергает резервные копии опасности в случае широкомасштабных катастроф, в результате которых компания может утратить как основную, так и резервную площадку. Разумнее организовать резервную площадку как можно дальше от основной. Конечно, это усложнит доступ к резервным копиям, но снизит общие риски компании. Некоторые компании принимают решение об организации нескольких резервных площадок, одна из которых находится вблизи от основной, а другая (другие) – на значительном расстоянии.

На основной площадке носители информации с резервными копиями должны храниться в огнеупорных, жаропрочных, водонепроницаемых сейфах. Процедуры резервного копирования и восстановления данных должны быть просты и понятны каждому оператору или администратору, даже если он не достаточно хорошо знаком с соответствующей системой. Иначе может случиться так, что в аварийной ситуации того парня, который всегда выполнял резервное копирование и знает как восстанавливать данные, может не быть поблизости, либо временно компании может потребоваться привлечь внешних консультантов (подрядчиков) для восстановления своей работы.

Стратегия резервного копирования должна предусматривать возможность возникновения проблем на любом шаге процесса. Специально на случай возникновения непредвиденной проблемы, приведшей к повреждению данных в процессе резервного копирования или восстановления, в стратегии должна быть предусмотрена возможность «отката» произведенных изменений, либо реконструкции данных с самого начала.

А действительно ли мы можем восстановить данные? Резервное копирование – прекрасная вещь, но еще лучше убедиться, что существует возможность надлежащего восстановления данных из созданных резервных копий. У многих компаний возникает ложное чувство безопасности, основанное на том, что у них построен хорошо организованный и эффективный процесс резервного копирования критичных данных. Это чувство безопасности может улетучиться в секунды, когда компания после аварии увидит, что процесс восстановления не работает так, как ожидалось. Например, известен случай с одной крупной компанией, у которой была внешняя резервная площадка, курьер компании еженедельно отвозил резервные копии на резервную площадку и убирал их на хранение в сейф. Курьер ездил на метро и часто ставил сумку с кассетами на пол, пока ожидал поезд. Никто не учел, что в метро постоянно присутствуют мощные магнитные поля, действующие как большой магнит и приводящие к уничтожению или повреждению данных на магнитной ленте. Компания не считала нужным тестировать процессы восстановления, но когда у нее произошла авария и потребовалось восстанавливать данные с резервных копий, она была очень сильно удивлена тому, что данные за последние три года оказались повреждены и непригодны для использования.


Выполнение вручную операций резервного копирования систем и данных может отнимать много времени, вести к ошибкам, в результате чего такое решение может оказаться слишком дорогостоящим. Другим подходом к этому процессу является выполнение операций резервного копирования с помощью автоматизированных средств. Хотя средства автоматизированного резервного копирования обычно достаточно дороги, они выполняют эту работу гораздо быстрее и точнее, что необходимо для систем, функционирующих в режиме реального времени, данные в которых зменяются очень часто.

Среди множества технологий и способов резервного копирования данных можно выделить технологию теневого копирования дисков (disk shadowing), которая очень похожа на зеркалирование (disk mirroring) дисков.
ПРИМЕЧАНИЕ. Дуплексирование дисков (disk duplexing) означает, что используется более одного дискового контроллера. При этом если один контроллер выходит из строя, другой остается доступным и сразу готов к работе.

Теневое копирование дисков применяется для обеспечения гарантий доступности данных и создания отказоустойчивого решения путем дублирования на аппаратном уровне и обеспечения наличия двух или более копий информации. Данные автоматически записываются на два или более идентичных диска. При использовании зеркалирования дисков, для каждого диска требуется дополнительный зеркальный диск, при этом оба диска содержат абсолютно одинаковую информацию, данные записываются на оба диска одновременно в синхронном режиме. При использовании теневого копирования дисков, создание теневой копии происходит в асинхронном режиме, данные хранятся в виде образов на двух или более дисках.

Системы, которым нужно работать с данными, записанными на теневых дисках, подключаются ко всем этим дискам одновременно. Для пользователя эта технология абсолютно прозрачна, для него все эти диски выглядят просто как один единственный диск. Если пользователю нужно открыть какой-либо файл, ему не нужно думать, на каком из дисков он находится. При сохранении файла, данные записываются на все диски, включенные в теневой набор (shadow set).

Теневое копирование дисков обеспечивает резервное хранение информации, копии создаются в режиме реального времени, что может снизить или полностью удовлетворить потребности компании в выполнении периодического ручного резервного копирования. Другим преимуществом такого решения является то, что оно может повысить скорость операций чтения. В связи с дублированием данных на нескольких дисках, теневой набор может одновременно выполнять несколько операций чтения.

Теневое копирование диска часто выглядит дорогим решением, поскольку для хранения одних и тех же данных используются два или более жестких дисков. При этом если данные, которые нужно хранить компании, занимают объем 100 жестких дисков, компании нужно будет купить и поддерживать не менее 200 жестких дисков. Однако, если компании нужна отказоустойчивость, она может выбрать это решение.

Если один дисковый накопитель выходит из строя, остается доступен, как минимум, еще один накопитель в этом теневом наборе. Для замены вышедшего из строя диска, к теневому набору может быть подключен новый диск, и данные на него будут скопированы с оставшихся дисков теневого набора. Такое копирование не всегда может выполняться непосредственно в процессе работы теневого набора, т.е. данные будут недоступны в течение некоторого времени, пока выполняется их копирование на новый диск. Большинство продуктов, реализующих функциональность теневого копирования, позволяют выполнять копирование на новый диск, подключенный к теневому набору, непосредственно в процессе работы (в режиме онлайн), без перерыва в предоставлении доступа к данным.

Другими решениями, о которых следует знать компании, являются электронное хранение и удаленное журналирование. При использовании электронного хранения (electronic vaulting) копии файлов создаются по мере их изменения и периодически переносятся на резервную площадку. Перенос копий файлов выполняется в пакетном режиме (batches), а не в режиме реального времени. Компания может самостоятельно настроить интервал переноса измененных файлов на резервную площадку, например, раз в час, день, неделю или месяц. При этом информация может сохраняться на внешней резервной площадке и за короткое время доставляться с нее в случае необходимости.

Такой вариант резервного копирования применяется во многих финансовых компаниях. Например, когда банковский кассир зачисляет деньги на депозит, изменение остатка на клиентском счете производится не только локально в базе данных соответствующего отделения банка, но и на удаленной резервной площадке, посредством чего банк обеспечивает резервное копирование всей информации о клиентах.

Электронное хранение – это способ переноса больших объемов информации на внешнюю площадку с целью резервирования. Создание удаленных журналов (remote journaling) является другим способом переноса данных на внешнюю площадку, но в этом случае на внешнюю площадку обычно переносятся журналы или логи транзакций, а не сами файлы. Эти логи содержат только изменения (deltas), произведенные в отдельных файлах. Если данные будут повреждены и их потребуется восстановить, компания будет использовать эти логи для реконструкции утраченных данных. Журналирование наиболее эффективно для восстановления баз данных, для этого требуется только повторное применение к ней последовательности изменений.
ПРИМЕЧАНИЕ. Создание удаленных журналов выполняется в режиме реального времени, в процессе него на резервную площадку передаются только изменения файлов. Электронное хранение выполняется посредством пакетных заданий, которые переносят на резервную площадку обновленные файлы целиком.

Компании может потребоваться сохранять различные версии программного обеспечения и файлов, в особенности в среде разработки программного обеспечения. При этом исходные коды и скомпилированные файлы программ следует резервировать вместе с библиотеками, патчами и исправлениями. Внешняя площадка должна являться зеркальной копией основной площадки, а не просто хранилищем исходных кодов. На каждой площадке должен храниться полный набор актуальной информации и файлов.

Другой технологией резервного копирования является хранение данных на ленточных носителях. Многие компании записывают резервные копии своих данных на ленту, которую затем курьер или сотрудник перевозит на внешнюю площадку. Автоматизированное ленточное хранение (tape vaulting) позволяет передавать данные по последовательному каналу на систему резервного копирования, установленную непосредственно на внешней площадке. Единственное, что нужно при этом делать компании, это поддерживать работу системы резервного копирования на внешней площадке и периодически менять кассеты. Данные достаточно быстро резервируются и не менее быстро могут быть восстановлены при необходимости. Эта технология снижает количество шагов, выполняемых вручную при использовании традиционных процедур резервного копирования на ленту.

Чем больше шагов выполняется вручную, тем выше вероятность ошибок. Использование автоматизированного ленточного хранения повышает скорость восстановления данных, снижает число ошибок, позволяет чаще выполнять резервное копирование.


При выборе здания, в котором будут храниться носители информации с резервными копиями, компания должна учесть множество вопросов и дать на них четкие ответы. Ниже приведены некоторые из таких вопросов, которые должна решить компания, прежде чем согласиться на услуги того или иного поставщика:
  • Может ли компания получить доступ к носителям информации в нужное ей время?
  • Закрывается ли здание на выходные и праздники, работает ли оно постоянно или только по определенному графику?
  • Механизмы контроля доступа связаны с системой оповещения и/или местным полицейским участком?
  • Обеспечивается ли в этом здании защита носителей информации от различных угроз?
  • Какие транспортные услуги предоставляются?
  • Существуют ли опасности, непосредственно связанные с местностью, в которой расположено здание (наводнения, землетрясения, торнадо и т.п.)?
  • Установлена ли системы выявления и тушения пожара?
  • Обеспечивается ли в здании управление и мониторинг температуры и влажности?
  • Какой используется вид физического, административного и технического управления доступом?
Перечень вопросов, которые должна выяснить компания, будет зависеть от типа компании, ее потребностей и требований к резервной площадке.

Как выбрать решение для резервного копирования данных?
На данный момент уже должна быть проведена классификация данных, основанная на их критичности для бизнеса.
  • Команде ВСР нужно разделить данные по степени критичности времени их восстановления
  • Самые критичные данные, которые должны быть доступны постоянно, могут быть восстановлены из зеркальных копий, систем электронного хранения или удаленного журналирования
  • Остальные данные могут быть восстановлены с магнитной ленты


При асинхронной репликации первичные и вторичные данные синхронизируются всего за несколько миллисекунд, т.е. репликация осуществляется почти в режиме реального времени. При выполнении синхронной репликации первичные и вторичные копии постоянно синхронизированы, что обеспечивает дублирование данных в режиме реального времени.
Команда использовать сбалансированный подход, учитывая стоимость восстановления данных и потери от их утраты. Точка, в которой пересекаются соответствующие кривые, является целевым временем восстановления.



1 комментарий:

Анонимный комментирует...

Полезная статья. Вообще, видов резервного копирования достаточно много. И к ним относятся не только инкрементальные и дифференциальные. Например, в статье терминология резервного копирования приводится еще ряд интересных видов. К примеру, резервное копирование на основе жестких ссылок, поддерживаемых в системе, позволяет достаточно неплохо сэкономить на свободном месте диска, хотя и имеет ряд особенностей, как необходимость аккуратно следить за изменениями данных в местах, где хранятся бэкапы.