YC/Z 583-2019 烟草行业信息系统容灾备份建设指南

ICS60.165

x89YC

中华人民共和国烟草行业标准化指导性技术文件

YC/Z583-2019

烟草行业信息系统

容灾备份建设指南

Constructionspecificationfordisasterbackupandrecovery

ofinformationsystemoftobaccoindustry

2019-05-14发布2019-06-15实施

国家烟草专卖局发布

YC/Z583-2019

前言

本指导性技术文件按照GB/T1.1-2009给出的规则起草．

本指导性技术文件由国家烟草专卖局提出．

本指导性技术文件由全国烟草标准化技术委员会信息分技术委员会（SAC/TC144/SC7）归口．

本指导性技术文件主要起草单位z国家烟草专卖局烟草经济信息中心、中国烟草总公司信息系统上

海容灾中心、杭州新世纪电子科技有限公司．

本指导性技术文件主要起草人z高一军、郑捷、樊火平、胡庭Jll、黄炎、杨继东、轩松岭、祝玉倩、王华、

陆在蔚、杨威．

I

YC/Z583-2019

烟草行业信息系统

容灾备份建设指南

1范围

本指导性技术文件规定了烟草行业信息系统容灾备份建设应遵循的分析、规划、实施和运行管理

要求．

本指导性技术文件适用于烟草行业各单位开展信息系统容灾备份工作．

2规范性引用文件

下列文件对于本文件的应用是必不可少的．凡是注日期的引用文件，仅注目期的版本适用于本文

件．凡是不注日期的引用文件，其最新版本（包括所有的修改单〉适用于本文件．

GB/T20988←2007信息安全技术信息系统灾难恢复规范

GB/T30285-2013信息安全技术灾难恢复中心建设与运维管理规范

GB50174-2017数据中心设计规范

3术语与定义

GB/T20988-2007、GB/T30285一2013界定的以及下列术语和定义适用于本文件．为了便于使

用，以下重复列出了GB/T20988-2007、GB/T30285-2013中的一些术语和定义．

3.1

业务影响分析businessimpactanalysis;BIA

分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程．

[GB/T20988-2007，定义3.5]

3.2

恢复时间目标recove叮timeobjective;RTO

灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求．

[GB/T20988-2007，定义3.18]

3.3

恢复点目标r民overypointobjective;RPO

灾难发生后，系统和数据必须恢复到的时间点要求．

[GB/T20988一2007，定义3.19]

3.4

生产中心productioncenter

利用数据中心场地和环境支撑机构生产系统运行，对机构的重要信息进行集中管理和处理的场所

和组织．

[GB/T30285-2013，定义3.4]

YC/Z583-2019

3.5

灾难恢复中心disasterrecoveηcenter

满足机构关键业务运营连续性的要求，利用数据中心场地和环境支撑机构灾难备份系统运行，抵御

导致生产系统全部或部分不可用的灾难，用以接替生产中心部分或全部职能，对机构重要信息进行集中

管理和处理的场所和组织．

注：灾难恢复中心也称为容灾中心或灾备中心．灾难恢复中心绞照其风险防范职能及与生产中心的距离，可分为

同城灾难恢复中心和异地灾难恢复中心．

[GB/T30285-2013，定义3.5]

3.6

鼓据备份databackup

利用备份软件将信息系统数据按照既定备份策略定期备份到磁带或磁盘等介质，或通过数据复制

工具在本地建立一个数据的可用副本．

3.7

敏据组央备dataleveldi则terrecove叮

用于保护信息系统数据安全，通过数据复制工具在异地建立一个本地数据的可用副本．当本地生

产系统出现不可恢复的故障时，灾备系统提供数据恢复功能．

3.8

应用组究备applicationleveldisasterr四overy

在信息系统数据级灾备的基础上，部署与原信息系统功能相同的后备系统，当生产系统发生灾难

时，信息系统切换至后备系统运行，相关功能或服务可快速恢复并承担应用负荷．

4烟草行业央备建设与运维管理生命周期模型

烟草行业灾备建设与运维管理生命周期模型包括分析、规划、建设、交付、运维五个阶段（如图1所

示）:

〉风险分析

p’本地’kll保护

〉现状梳理

，..功能测试〉运行’E护

：宫k且

~阜

〉业务彤响分析

E’灾难恢复范围

＞方案设计3’堪’灾溃练

3’预案’世证

量锁由曹圈国且都很：量IIZ求’l!t睡I:

4再

〉关联分析＞灾难恢复目标

莉’民

’E＞预.开发

〉关键度等级》灾备建设模式

持续改造

固1烟草行业灾备建设与运维管理生命周期模型

a)分析阶段：通过风险分析评估生产中心面临的风险等级，通过业务影响分析和关联分析确定信

息系统关键度等级，根据生产中心风险评估的结果和信息系统关键度等级确定灾备系统建设

需求z

2

YC/Z583-2019

b)规划阶段：行业单位应首先完成生产中心加固和本地数据备份，抵御各类系统故障造成的应用

中断和数据丢失风险F在此基础上仍存在亟待抵御的灾难事件，行业单位可根据实际需求开展

灾备系统建设工作；

c)建设阶段：行业单位应梳理本单位信息系统现状，并以此为依据制定合适的灾备系统建设方

案，并编制《指挥手册X操作手册》等灾难恢复预案；

d)交付阶段g灾备系统建设完成后，行业单位应对灾备系统和灾难恢复预案进行全面验证，以确

保灾备系统的可用性及灾难恢复预案的有效性z

e)运维阶段g灾备系统交付后，行业单位应通过日常运维保障灾备数据同步、灾备系统可接管、灾

备网络联通；通过容灾演练持续验证灾备系统的可用性及灾难恢复计划的有效性．

5分析阶段

5.1凤险分析

5.1.1凤险识别

风险识别的结果是列出生产中心面临的潜在风险．可参考潜在风险包括但不局限以下内容z

a)自然灾害z如洪水、地震、雪灾、台风、海啸等；

b)机房灾难z如火灾、供电中断、UPS故障、空调故障、通信线路故障等3

c)系统故障：如重大软硬件故障、人为误操作、病毒攻击等．

5.1.2生产中心凤险评估

5.1.2.1凤险频率

根据经验或统计数据评估各类自然灾害、机房灾难风险发生的频率，并对风险发生的频率进行等级

化处理，不同等级分别代表风险发生的频率高低．等级数值越大，风险发生的频率越高．风险频率等级

定义如表1所示．

褒1凤险频率等级定义襄

等级标识

定义

5

很高

出现的频率很高；在大多数情况下几乎不可避免；可以证实经常发生过

4

高出现的频率较高s在大多数情况下很有可能发生s可以证实多次发生过

3

中等

出现的频率中等s在某种情况下可能会发生s被证实曾经发生过

2

低

出现的频率较小s一般不太可能发生s没有被证实发生过

1

很低

几乎不可能发生s仅可能在非常罕见和例外的情况下发生

5.1.2.2凤险影响力

风险影响力是各类自然灾害、机房灾难风险发生后对生产中心造成损害的严重程度．将风险影响

力进行等级化处理，不同的等级分别代表不同风险造成损害严重程度的高低．等级数值越大，风险影响

力严重程度越高．风险影响力等级定义如表2所示．

3

YC/Z583-2019

褒2凤险影响力等级定义褒

定义

等级标识

5

很高如果风险发生，将对生产中心基础设施及系统运行环镜造成完全损害

4

高如果风险发生，将对生产中心基础设施及系统运行环搅造成重大损害

3如果风险发生．将对生产中心基础设施及系统运行环绕造成一般损害

中等

2

低如果风险发生，将对生产中心基础设施及系统运行环境造成较小损害

1

很低如果风险发生，对生产中心基础设施及系统运行环槐造成的损害可以忽略

5.1.2.3凤险评估值

行业单位应评估生产中心所面临的每一类风险，并得出风险评估值．风险评估值为风险频率和风

险影响力等级的乘积2

风险评估值＝风险频率等级×风险影响力等级

5.1.2.4凤险等级

风险评估结果值根据范围划分为5个风险等级，等级划分见表3.行业单位应根据生产中心面临

的最高风险等级开展灾备建设工作．附录A中给出了风险等级评估模板．

褒3凤险等级划分褒

风险评估值1~56~89~1415~1920~25

风险等级

很低低中等高很高

5.2信息系统业务影响分析

行业单位应开展本单位信息系统业务影响分析工作，采用定量分析和定性分析相结合的方式来评

估各信息系统发生灾难之后的损失．灾难损失评估方法参考但不限于以下评估内容：

a)定量损失包括但不限于以下方面z

1)由于业务停止导致资金损失，资金支出』

2)由于意外中断时间造成的运行费用支出；

3)由于违反合同条款、法规条款招致的资金损失5

4)由于违反调整所依赖的资源招致的资金损失．

b)定性损失包括但不限于以下方面：

1)导致消费者、零售户、烟农、企业员工对相关信息系统的使用不便；

2)消费者、零售户、烟农对企业的信任损失；

3)导致企业经营、生产管理的障碍z

4)企业市场份额和竞争优势的损失．

5.3倍息系统关联分析

明确各信息系统的关联关系及其运行所必需的基础系统．门户、身份认证、域控系统、消息中间件、

企业服务总线等基础系统对于灾备系统切换后正常运行不可或缺，也应将其纳入相应容灾保护范围，并

根据信息系统之间的依赖性关系确定其关键度等级．

4

YC/Z583-2019

5.4信息系统关键度等级

行业单位根据业务影响分析和信息系统关联分析结果，结合行业单位实际情况，确定各信息系统关

键度等级．根据烟草行业特点，将信息系统划分为核心、重要、一般三个关键度等级定义如下：

a)核心信息系统：影响面大、业务连续性要求高，系统中断或数据丢失会造成重大经济损失，对行

业或企业经营管理及社会公众服务产生重大影响；

b)重要信息系统：影响面较大、业务连续性要求较高，系统中断或数据丢失会造成较大经济损失，

对行业或企业经营管理及社会公众服务产生较大影响；

c)一般信息系统：行业或企业对信息系统数据丢失或系统停顿具有一定容忍度．

6规划阶段

6.1本地数据保护

6.1.1生产中心加圄

生产中心加固技术要求如下：

a)机房环境达到按GB50174-2017规定的B级数据中心标准，并通过当地消防部门验！＆；

b)机房具有两路或两路以上的电力供应接人方式F

c)部署冗余的网络通讯接人线路；

d)核心和重要信息系统的应用支撑环境（如主机、存储、网络等〉采用冗余部署模式，避免单点

故障．

6.1.2本地戴据备份

本地数据备份技术要求如下z

a)备份范围：生产中心内所有信息系统；

b)备份内容：各信息系统的数据库、非结构化文件、应用程序包和源代码、配置信息、辅助软件等

进行系统恢复时必要的数据资源；

c)备份指标：RTOζ48h,RPO<24h;

d）备份频率g核心和重要信息系统数据每周至少全备1次，一般信息系统数据每月至少全备

l汰，所有信息系统数据每日做好增量备份；

e)保留周期g备份数据保留周期1个月以上s

f)备份介质：备份介质要求安全可靠，备份与恢复效率高，有条件的单位宜实现主备份介质与冗

余备份介质分建筑物存放F

g)恢复手册：针对各信息系统制定详细恢复操作手册，明确所需资源及详细操作步骤s

u数据验证z建立备份恢复环境并开展异机数据恢复测试，确保备份数据可用．

6.2灾备系统建设

6.2.1灾难恢复范围和目标

行业单位完成了本地数据保护后仍存在亟待抵御的自然灾害及机房灾难，应根据各信息系统的关

键度等级以及生产中心面临的风险等级有针对性地选择灾难恢复策略，并制定本单位各级信息系统灾

难恢复指标．灾难恢复主要针对关键度等级为“核心”和“重要”的信息系统．关键度等级为“一般”的系

统不宜纳入灾难恢复范围．灾难恢复策略包括数据级灾备和应用级灾备．行业信息系统灾难恢复参考

指标如表4所示．

5

YC/Z583-2019

衰4行业倍息系统灾难恢复参考指标

生产中心

信息系统

灾难恢复策略参考恢复指标

关键度等级风险等级

很高应用级灾备RTO<6h,RPO<30min

核心

高数据级灾备RTO<6h,RPO<1h

重要很高、高数据级灾备RTO:!i:二24h,RPO<4h

6.2.2灾备系统建设模式

行业单位可选择如下灾备系统建设模式＝

a)利用中国烟草总公司信息系统上海容灾中心资源．具备数据集中存储条件的行业单位可利用

上海容灾中心资源开展灾备系统建设工作．备份到上海容灾中心的数据归建设单位所有，未

经建设单位同意，任何单位均不应使用和发布相关数据z

b）利用本单位自有资源．行业单位充分利用本单位和所属单位符合要求、基础环境适用的既有

资源开展灾备系统建设工作z

c)利用外部社会资源．在确保数据与系统安全的前提下，可以选择专业性强、安全保护等级高、

运蕾规模大、费用合理的社会化服务机构进行灾备系统建设．

7建设阶段

7.1倍息系统现状梳理

现状梳理包括全面梳理信息系统总体逻辑架构、基础设施架构及信息系统部署环境和资源需求情

况，为容灾系统建设后期的各项活动提供分析依据．现状分析内容包括但不局限以下内容2

a)主机设备：设备型号及配置、操作系统版本、主机名称、网络配置、存储空间及文件系统划分、功

能角色；

b）存储设备：设备型号及配置、微码版本、现有存储空间分配情况z

c)存储交换机：设备型号及配置、微码版本、现有端口使用情况、端口映射配置信息；

d)网络设备z拓扑结构、设备型号及配置、互联网、省域网及外联网部署情况；

e)数据库：数据库类型及版本、实例名称、配置文件、数据文件名称、路径及大小3

f)中间件：中间件类型及版本、程序包信息；

g)应用系统：主要功能、主管业务部门、用户说明及使用频率、业务高峰时段、应用部署信息、年数

据增量、关联应用及接口方式；

h）基础系统：认证系统、域控系统、门户、文挡服务器等信息系统正常运行必不可少的基础系统．

7.2方案设计

7.2.1敛据组灾备技术要求

数据级灾备技术要求如下：

a)数据复制z采用远程实时数据复制技术；

b)资源配置z满足灾难发生后完成数据恢复的最低资源配置需求．

6

YC/Z583-2019

7.2.2应用级究备技术要求

应用级灾备技术要求如下：

a)数据复制：采用远程实时数据复制技术；

b)资源配置z满足灾难发生后信息系统正常切换并能提供应急服务的最低资源配置需求z

c)部署要求：部署信息系统可接管全部功能和服务及必需的关联系统和基础系统．

7.2.3鼓据复制方禀选型

数据复制方案选型包括但不局限以下内容2

a)站点级灾备〈信息系统灾备数量＞3套〉宜选择连续数据保护技术；

b)系统级灾备（信息系统灾备数量ζ3套〉宜选择数据库复制技术或文件系统复制技术s

c)行业统一平台省级前置环境相关信息系统宜选择数据库复制技术或文件系统复制技术；

d)在必要情况下，可选多种技术组合作为数据复制方案．

7.2.4敏据复制方禀技术要求

数据复制方案技术要求如下z

a)支持窄带网络环境下的异步数据复制s

b)支持双向数据复制和切换；

c)支持增量回切功能，减少回切数据同步的时间，

d)实现容灾后生产中心性能下降不超过20%;

e)生产中心适应性改造适度z

f)提供集中监控管理工具，开放与第三方运维监控工具的标准接口；

g)数据库部署要求g需要部署灾备的信息系统单独创建数据库实例，不允许共享其他系统数据库

实例，每数据库实例划分独立存储空间和卷组，用于存放数据文件，不允许不同数据库实例共

用同一卷组．

7.2.5网络环填建设要求

网络环境建设要求如下2

a)数据级灾备系统应建设生产中心与容灾中心的互联网络z

b）应用级灾备系统应建设生产中心与容灾中心的互联网络、各分支机构与容灾中心的互联网络

以及必要的互联网出口，并配置合理的路由策略．

7.2.6域名解析部署要求

生产中心部署域名解析生产服务器，容灾中心部署域名解析备用服务器．灾难切换时，通过调整主

备域名解析服务器设置，实现应用访问链接的转换．

7.2.7时间同步服务部暑要求

生产系统和灾备系统时间应保持同步．

7.3预案开发

7.3.1预案总体要求

行业单位设立专门的团队进行灾难恢复预案的开发．灾难恢复预案用于指导相关人员在预定的灾

7

YC/Z583-2019

难恢复目标内恢复信息系统的关键数据和业务功能．灾难恢复预案开发遵循“完整性、易用性、明确性、

有效性”原则，并满足以下要求：

a)灾难恢复预案应明确灾难发生时进行灾难恢复的组织管理体系，至少应包括灾难恢复的决策

体系、指挥体系和执行体系z

b)灾难恢复预案应明确灾难恢复的管理和响应流程，应包括：灾难宣告、人员通知和集结、评估和

决策、灾难恢复技术操作、灾难恢复成功标志等；

c)灾难恢复预案应包括明确的技术操作说明，包括执行权限、操作步骤、操作指令、返回结果、异

常处置等，技术操作说明中应明确操作步骤、执行顺序和依赖关系；

d)灾难恢复预案应标明最后更新日期和版本号，明确灾难恢复预案的更新、发放管理办法和负责

人；新版本灾难恢复预案发布后老版本灾难恢复预案应集中收回并销毁．

7.3.2预案组成

灾难恢复预案应由《指挥手册》和《操作手册》两部分内容组成，包括z

a)《指挥手册L包含灾难评估、策略制定、灾难宣告等灾难恢复流程，不涉及详细的技术细节，应

作为行业单位进行灾难恢复决策和指挥的依据；

b）《操作手册》z包含业务系统由生产中心切换到容灾中心、在容灾中心持续运行以及从容灾中心

回切到生产中心过程中所有施加在信息系统上的技术步骤和操作．

8交付阶段

8.1功能测试

行业单位在交付阶段应开展灾备系统的可用性测试和完整性测试，要求如下2

a)可用性测试：采用技术手段对灾备系统的可用性进行验证，确保灾难发生后的数据恢复能力z

b）完整性测试z采用技术手段对生产系统及灾备系统数据进行一致性比对，确保数据丢失量满足

灾难恢复指标要求．

8.2预囊验证

行业单位在灾备系统正式启用前应至少组织一次灾难恢复演练，验证灾难恢复预案的可行性、正确

性、有效性，并针对演练过程中出现的问题进行修正和更新．

9运维阶段

9.1运行维护

9.1.1保障戴据同步

数据级灾备和应用级灾备应保障数据同步，运行维护要求如下z

a)应严格执行灾备系统部署及变更管理流程，确保与主中心系统配置一致z

b）应定期检查数据库服务器运行状态，确保灾备系统数据库可随时启用；

c)应实时监测业务数据复制情况，确保灾备系统启动后关键业务系统数据丢失量小于RPO

指标z

d)应定期核查手工恢复应用运行环境所需的软件安装介质、程序包、源代码、配置文件等在容灾

中心处于可用状态且版本与主中心保持一致．

8

YC/Z583-2019

9.1.2保障灾备系统可镰管

应用级灾备在保障数据同步的基础上应保障灾备系统随时可以接管生产系统的功能，运行维护要

求如下g

a)应定期检查应用服务器运行状态，确保应用环境稳定、应用系统可随时启用；

b）应定期对应用程序版本、系统软件版本、固件程序版本、关键配置参数等与主中心信息系统进

行对比与核查，确保灾备系统与生产系统同步s

c)应梳理应用系统间相互接口关联，应用与集成门户、CA间关系，确保灾备系统功能完整可用；

d)应定期对灾备系统进行性能测试，保障主备中心系统性能接近，满足实际使用需求．

9.1.3保障网络连通

数据级灾备应保障主备中心间的网络连通，应用级灾备还应保障同用户的网络连通，运行维护要求

如下z

a)应定期检查网络运行状态，验证容灾中心与生产中心之间、容灾中心与用户单位之间的网络双

向连通性z

b)应定期进行应用功能测试，模拟业务流程；

c)应确保灾备系统启用后，用户单位可正常访问．

9.1.4保障生产系统可用

灾难切换发生后，灾备系统已经转换为实际运行的生产系统，对于该类系统的运维参照生产中心的

管理要求和规范执行．

9.2容灾演练

9.2.1演练目标

容灾演练的目标如下：

a)检验灾备系统、容灾技术架构的可用性；

b)检验灾难恢复计划的有效性s

c)提高灾难恢复管理组织成员完成职责的熟练程度．

9.2.2敛据验证技术要求

每季度至少进行一次灾备系统数据的技术验证．验证主要由信息化部门及相关运维商开展．验证

内容包括数据的可用性和一致性．数据可用性验证通过启动灾备系统的磁盘卷组和数据库，确认其运

行状态．数据一致性验证通过比对主备系统同一数据库在相同时间点的数据量，确认数据完整无丢失．

9.2.3应用验证技术要求

每半年至少进行一次灾备系统应用的可用性技术验证．验证主要由信息化部门及相关运维商开

展．验证内容包括启动灾备系统的磁盘卷组、数据库及中间件，确认其运行状态；初步检查灾备系统界

面及功能．

9.2.4窑灾演练开展要求

9.2.4.1演练组织要求

每年应至少组织一次灾备系统演练．演练参与人员包括业务部门、信息化部门以及相关灾备系统

9

YC/Z583-2019

的运维商．演练可模拟全局或局部的灾难，涵盖全部或部分灾备系统．灾难恢复管理组织成员依据《指

挥手册》进行灾难情况下的评估、决策、指挥及协调工作，依据《操作手册’执行相关具体操作．

9.2.4.2演练开展方式

灾备系统演练开展方式应遵循“从易到难，循序渐进”的原则．系统数量逐步增多，演练难度逐步

提高．

9.2.4.3演练参加部门或人员

信息化部门、运维商以及相关业务部门。

9.2.4.4演练职责分工

信息化部门开展演练的计划制定、组织开展、《指挥手册》和《操作手册》的完善、灾备系统部署的完

善；运维商提供容灾演练的技术支持；业务部门配合信息化部门进行演练的开展，并及时告知信息化部

门灾备系统存在的问题并协助其改进．

9.2.4.5演练准备工作

灾备系统演练之前应做好充足的准备工作，包括：组织协调、人员培训｜｜、系统测试、手册验证等．如

果涉及到对业务的影响，演练应获得管理层和相关业务部门的批准后方可执行，并对可能产生的风险做

好应对预案，避免由于演练组织不当对业务造成重大影响．

9.2.4.6演练实施

灾备系统演练可分为单向演练、双向演练及实战演练．单向演练仅启动灾备系统进行功能验证，不

关闭生产系统．双向演练启动灾备系统并关闭生产系统，由灾备系统支撑业务开展，演练结束后回切至

生产系统．实战演练模拟突发灾难场景，要求灾难恢复组织快速响应，系统切换流程同双向演练．

9.2.4.7演练评审

演练结束后，信息化部门应总结演练过程中的经验和问题，并形成正式的书面总结报告提交给演练

分管领导．报告应包含：演练目标、演练范围、演练实施的组织架构和岗位职责、演练过程记录，演练主

要成效，演练主要问题，演练问题解决措施，演练结果的评价等．

9.2.4.8优化改造

针对演练中存在的管理和技术问题，信息化部门应制定相应的解决方案并加以落实，从管理上和技

术上不断完善容灾体系、提高演练水平．

10

YC/Z583-2019

附最A

〈资料性附最）

凤险等级评估模扳

凤险类§llj

风险名称风险频率风险影响力风险评估值凤险等级最高风险等级

洪水

地震

雪灾

自然灾害

台风

海啸

火灾

供电中断

UPS故障

机房灾难

空调故障

通信线路故障

评估结论

A

由

tlNOF

YC/Z583-2019

∞的

Nω

考献

参立

＼

[l]国家烟草专卖局关于烟草行业信息系统容灾备份工作的指导意见（国烟办〔2016〕339号）

hu