随着数字化转型的浪潮，各企业纷纷加速推动业务上云以追求更高的业务敏捷和运营效率，那如何解决云环境下业务的中断问题，保障核心业务的韧性？南京壹进制跨云容灾解决方案融合CDP实时备份、自动仿真演练、云端容灾保护等技术，为企事业单位信息化建设提供个性化解决方案，全面保障企事业单位业务不停、数据不丢。

1.多场景云上容灾

基于一套灾备系统，实现传统数据中心物理机、虚拟机、公有云、私有云、混合云到云平台的容灾，用户无需维护多套灾备系统即可兼顾多个数据保护解决方案。自主研发的智能注入驱动技术，解决普遍存在的驱动转换问题，让云间数据流转更通畅，跨云容灾更稳定。

2.降低运维难度

卷级CDP实时数据捕获，不受操作系统和文件系统的限制，支持任意时间点数据回滚，且根据策略定时启动演练机制，对业务系统和应用状态等进行检测，演练完成后会向预设的管理人员发送完整的演练报告便于管理人员及时排除安全隐患。降低对人员的技术能力要求，直接降低运维的复杂度。

3.降低容灾TCO

日常捕获的CDP数据可在云平台的块存储中存储，用户仅需为存储资源买单；当业务因日常演练要求或运行故障、勒索病毒等紧急突发事件导致中断后，黑方结合云平台的计算和网络资源，可在分钟级内完成任意时间点容灾机的拉起实现日常演练或业务接管。业务演练或接管时用户按量付费，可大幅降低容灾TCO。

一、技术架构的前瞻性：

航天壹进制黑方容灾备份与恢复系统V6已通过中标麒麟服务器操作系统NeoCertify CERTIFICATION级别认证，表明黑方容灾备份与恢复系统已经能够达到中标麒麟操作系统的通用兼容性要求及性能、可靠性要求，能够满足用户的关键性应用需要。

核心技术已获得授权发明专利6项，软件著作权1项，核心技术获得了2019年科学技术进步奖二等奖、2019年大数据安全优秀案例奖、2017年工信部国防科技进步奖二等奖，核心软件获得了2017年江苏省优秀软件产品奖（金慧奖）。核心技术通过了国防科学技术成果鉴定，鉴定意见如下：项目成果具有自主知识产权，技术复杂，总体技术处于国内领先水平，产品设计新颖。

二、核心技术

1、基于多层次数据持续捕获技术

（1）实时捕捉数据的变化事件

（2）面向关键数据保护场景，无数据备份窗口

（3）任意时间点副本数据15s快速恢复

（4）解决数据逻辑问题，防止被勒索

（5）任意时间点数据恢复，PO≈0

2、业务中断快速应急保障技术

基于高效数据块追踪和重组算法，实时发现、传输、管理应用系统数据变化，快速备份任意时刻数据，确保数据可恢复到任意时间点。基于ISCSI/FC协议将TB级的数据在分钟级别挂载呈现，在信息系统故障时实现快速接管。

3、云平台卷级无缝迁移技术

基于异构迁移技术，搭载弹性捕获迁移软件，内含动态块复制技术，使源主机的生产应用环境能够在业务连续性不中断的情况下，快速完成迁移，实现业主生产环境的整体迁移。

4、信息系统自动仿真灾难恢复演练技术

提供手动、自动仿真演练，提供任意时间点仿真演练，用户可以任意时间点进行接管演练，验证任意时间点的数据是否可用、完整。

三、性能指标

（1）基于飞腾、申威等国产处理器的硬件平台和基于麒麟等国产操作系统的软件平台，适应各类复杂的信息系统架构，全面兼容主流操作系统、虚拟化平台、数据库等业务环境，为信息系统提供自主可控、安全可信、高效全面、持续的数据安全保护。

（2）建设多维度统一管理平台，提供灾备资源统一分配、统一部署、统一监控、统一策略管理和整体运筹的多维度智能运维服务，提升数据安全运维管理效率。

（3）实时监控磁盘I/O，以可变长的数据块为监控对象，实时捕获变化数据，实现任意时间点往返回滚恢复，RTO（恢复时间目标）精确到秒，实现大数据持续保护。

（4）运用PB级海量数据瞬间挂载技术，校验受保护大数据卷的备份数据有效性，确保数据恢复后相关业务正常运行，极端情况下，实现临时替换受保护的大数据卷，保证信息系统业务连续性。

（5）实现智能化灾难恢复演练，提供任意时间点仿真演练，验证任意时间点的数据是否可用、完整，且演练模式不影响现有生产业务的正常运行。

（6）基于海量数据备份恢复等技术，优化海量数据的数据源获取、传输和存储，有效提升备份速度，实现对大数据环境的业务支撑。

（7）针对不同场景、不同层面、不同模式、不同系统，基于身份认证、数据传输、数据存储、数据校验等技术，并结合成熟的证书机制，搭建面向多用户多应用的自主可信数据安全架构，实现源头可信、传输可信、存储可信、恢复可信、平台可信，保障系统层安全、传输层安全、应用层安全和管理层安全。

四、技术创新

本项目核心技术累计申请发明专利6件（其中已授权发明专利2件），软件著作权11件。

1、海量数据任意时间点瞬时挂载技术

备份数据越大，所需要的恢复时间越长，一般数据安全系统在恢复一个文件时需要把所有业务数据全部恢复，这种方式难以达到应急的保障效果。

方案基于磁盘级数据持续保护技术，以及高效数据块追踪和重组算法，实时发现、传输、管理应用系统数据变化，快速备份任意时刻的应用数据及操作系统数据，并确保数据可恢复到任意时间点。本技术已申请发明专利1项，专利名称：一种基于对象存储的海量数据备份方法及系统，专利号：202111658681.7。

通过将上述任意时间点的备份版本生成虚拟磁盘，通过ISCSI/FC协议将TB级的数据在分钟级别挂载呈现，在生产服务器故障时快速接管生产服务器应用。

2、智能化自动接管技术

利用人工智能或者机器学习的方法科学、准确的执行容灾接管。智能接管比自动接管更方便、更灵活，不需要用户设置参数和阀值，根据不同场景对是否需要接管用户生产服务器做出科学的、准确的判断。本技术已申请发明专利1项，专利名称：一种外部指定虚拟机网络的有代理应急容灾方法及系统，专利号：202011462694.2。

3、全面的数据重删技术
所谓重复数据删除，就是要把一些具有重复性的数据删除掉，保证磁盘中只有该数据的唯一副本。重删的实现是通过算法，把一个文件切割成不同的小块，忽略重复的块，在真正在保存的时候，只保存非重复的块。本技术已申请发明专利1项，专利名称：一种基于源端重删的数据高效删除方法，申请号：201911374951.4。

1）源端重删：备份客户端在将数据传输至备份系统前，将数据块的指纹值与服务端对比，如已存在相同指纹的数据，则不再传输，如不存在，则上传该数据，并记录下指纹值；

2）块级重删：采用变长分块技术，可分为4-8K、8-16K、16-32K、32-64K、64-128K、128-256K等不同大小的数据块；

3）全局重删：所有主机共享一个重删库和指纹库进行数据重删处理；

4）局部重删：多个重删库可指纹库分别承载不同数据类型或主机的重删；

5）目标端重删：目标端重删功能，在目标端完成重删操作，降低对主机计算资源的使用；

6）重删清理功能：增加对容器的重复使用。减少对存储介质的占用，可通过设置系统计划，定时对无备份集占用的指纹进行清理操作。

4、自动仿真灾难恢复演练技术

提供业务多层次详细定义功能，提供手动仿真演练功能和自动仿真演练功能，支持模拟系统从启动到业务使用的全部过程，从根本上保障了应急措施的可用性以及备份数据的可用性及完整性。提供任意时间点仿真演练，用户可以任意时间点进行接管演练，验证任意时间点的数据是否可用、完整，且演练模式不影响现有生产业务的正常运行。每次自动演练之后，系统会向预设的管理人员发送完整的演练报告，便于管理人员及时排除安全隐患。本技术已申请发明专利1项，并成功获得授权，专利名称：一种基于Zookeeper实现的支持多种可自定义负载算法的负载均衡器实现方法，专利号：ZL201910543150.X。

该技术无需人工干预，可以有效降低运维人员的管理压力，及时有效的让用户掌握生产环境的最新状态，排除安全隐患，节省劳动时间成本。

5、数据与系统回迁技术

当生产服务器故障修复后，应急接管子系统提供的数据回迁功能可启动系统自带PE将所有数据回写到生产服务器，后由生产服务器继续向外提供服务。本技术已申请发明专利1项，专利名称：一种虚拟机无代理热迁移至Openstack的方法，申请号：202110737956.X。

应急接管系统进行回迁数据时，除回迁原始数据外，还可将接管后新产生的数据自动回写到生产服务器，从而节省恢复时间，极大地降低带宽使用。

应急接管系统数据回迁功能，可支持物理机至虚拟机、虚拟机至虚拟机、虚拟机至物理机等多种环境下的业务系统数据回迁，最大限度满足用户各类需求。

6、卷实时保护数据的自动校验技术

通过策略自动校验卷实时保护生成的备份数据的一致性状态、系统日志、服务状态、数据库查询等，判断映射过来的系统盘视图和数据盘视图数据的完整性，保证卷实时保护生成的备份数据在恢复后的可用性，及时发现备份数据的问题，降低现有人工演练校验的技术要求和人工成本，增加演练校验的频率。本技术已申请发明专利1项，并成功获得授权，专利名称：一种卷实时保护数据的自动校验方法，专利号：ZL201710310114.X。该技术直接在生产环境影子系统中进行数据校验，校验项目更全面，可信程度更高。

五、应用效果

1、服务对象

本方案针对严峻的大数据安全形势，面向政府部门、能源、金融、电信运营商、制造、医卫、军工等信息系统应用，构建面向大数据的持续保护、应急恢复以及多维度智能运维服务的成套安全保障设备和整体解决方案，解决大数据条件下信息系统数据量大、应用复杂、管理需求特殊和实时保护及应急恢复难的问题，满足信息系统中追踪溯源的数据管理要求和对数据价值保护的需求，最大限度保证大数据安全，为我国大数据高速健康发展提供基础保障。

2、用户使用情况

（1）沧州医院—面向混合环境的数据安全与应急保障解决方案

方案价值：

1）避免了当前存储单点故障问题，排除了因人为或意外导致的数据逻辑错误，保证了数据的可用性，实现了存储的本地的双活容灾。

2）实现存储高可用方案

3）更加简单的灾备演练，能够有效验证灾备系统的有效性和效果，确保在真正需要灾备系统启用时，能够发挥出其作用和价值。

4）数据自动备份，保障数据的安全存储与可靠性，解决了操作系统未备份而埋藏的业务中断风险。

（2）佛山政务云—面向云环境下大数据安全解决方案

方案价值：

1）灵活定制，平台对接，与云平台的无缝整合

2）无代理灾备技术

3）大数据高效重删技术保护

4）弹性扩展（分布式、并发、无缝资源扩展）

5）符合等保2.0云安全要求

6）规避云数据逻辑风险

7）完善的云数据灾备验证机制

（3）南京航空航天大学—双活数据中心解决方案

方案价值：

1）跨机房虚拟化集群，实现虚拟机业务在线漂移与HA，避免单机房故障导致的业务停顿风险。

2）跨机房业务数据库双活技术，避免单点故障。

3）实时数据库级镜像复制，核心数据库双活。备端数据库始终在线，可做实时查询。反向复制准确恢复生产端数据库。

4）存储利旧整合与性能提升，避免重复投资，实现资源在线调度。

结合数据在线备份或容错技术避免逻辑错误或误删除带来的数据丢失。

一、应用场景

航天壹进制跨云容灾能力支持异构云平台之间的复制容灾，容灾平台无需提前部署与源端一对一的容灾主机，节约云平台计算资源的消耗，降低容灾整体成本。

1本地IDC容灾上云

将本地IDC的主机通过网络安全高效地备份到云上，在云上建立灾备中心，本地生产中心发生灾难后，可在云上快速恢复接管业务。

2公有云、私有云和专有云之间互为灾备

对于企业已有的云上业务，可以在其他云平台建立灾备中心，实现不同云之间的容灾。

3云上容灾到本地IDC

在本地IDC建立灾备中心，当云上生产中心发生灾难时，可将云上业务切换到本地IDC进行接管。

4同云跨区域容灾

为了提高保护等级和安全性，可以在业务生产中心同一朵云的不同区域建立灾备中心，实现类似传统容灾中异地容灾的效果。

二、解决问题

1、降低了云平台网络数据安全风险，促进云平台信息安全的可持续发展

相对于传统IT架构，云平台在实现计算、存储、网络等资源集中管理、高效利用的同时，潜在数据安全风险所可能造成的负面影响面和各类损失也随之急剧放大。通常引发数据丢失和业务中断的风险事件包括物理层面、逻辑层面和人为因素等，例如勒索病毒攻击、软件缺陷、硬件故障、环境风险、自然灾害和误操作等。而云环境所采用的多副本技术并不能有效应对逻辑层面和人为因素造成的数据丢失，如勒索病毒对云平台业务数据的恶意加密和人为删除将可能造成重要数据的永久丢失，并进一步引发相关业务的服务中断。

本方案在数据损坏或丢失后，不仅可恢复到数据最新版本，而且能够恢复到任意历史时间点，保障数据的完整性、可用性；应急接管是保障用户应用系统连续性的坚强后盾，与第三方云平台高可用方式互相配合，实现关键信息系统7×24小时不间断运行，如一旦发生故障，业务将面临服务中断，则云数据主动保护与应急保障平台可以提供应急保障机制，保障关键应用的业务连续性。

2、符合国家网络安全和信息化发展战略

2017年6月1日《中华人民共和国网络安全法》实施，从法律层面上把我国网络安全工作提高到了国家安全战略的高度，强调对关键信息基础设施及个人信息数据的保护。习主席在中央网络安全和信息化领导小组会议上明确提出“没有网络安全就没有国家安全”。通过发展自主可控、安全可信的核心基础软硬件，确保网络安全乃至国家安全，是网络信息安全建设的当务之急。信息安全的自主创新和贯彻国家意志已经成为事关国家安全的重大战略问题，是国家经济发展、科技进步、社会稳定的先决条件。

本方案整体性能指标达到国内同类产品领先水平，推动云计算、网络安全、安全存储等技术的深度融合，突破安全服务化、云计算在备份容灾的应用技术、大数据安全、智能备份策略等关键技术研发，推动新一代云平台数据保护与业务连续性保障系统建设的持续发展。

3、符合《网络安全等级保护制度》对数据安全的要求

网络安全等级保护制度提出了新的要求，把云平台、大数据等纳入等保制度管理中，政务系统上云或托管后必须进行系统定级和落实等保工作，确保云平台业务数据的完整性、降低上云风险，必须提供业务系统及数据的保护，提高抗风险能力。

本方案有机融合数据灾备和云计算技术，将数据迁移、共享灾备、异地容灾、应急演练四个功能融合于同一平台，提供不同级别的云灾备解决方案，简化用户业务连续性方案的复杂度，降低企业上云风险；解决传统备份与容灾相互独立，难以互为支持的难题；大幅降低业务安全性保障方案的综合建设成本，保障云平台可持续发展。

4、符合我省战略新兴产业专项重点领域和企业上云政策支持

本方案建设符合《江苏省“十三五”战略新兴产业发展规划》中明确支持的重点领域“高端软件和信息服务业”，该领域强调重点发展“加强主动防护技术、密码技术、保密技术、可信计算技术、隐私保护技术等信息安全关键技术的研发和产业化，加快发展安全可靠的安全基础产品、网络与边界安全产品、信息安全支撑工具等，推动安全技术产品开发及产业化”。

近几年，江苏省出炉“企业上云”行动计划，围绕工业云平台、星级“上云”企业、云服务体系等五个方面，全面推进“企业上云”，计划3年内实现10万企业“上云”。
跨行业多用户共享灾备云服务平台基于云架构设计，实现与第三方云平台无缝对接，为各企业、政府等机构提供不同等级的安全服务，降低上云风险，符合《网络安全等级保护制度》对云平台数据安全的要求。

5、实现重大技术突破，提升信息安全产业整体竞争力和水平

目前，在我国数据安全行业市场中，国外产品约占大半市场份额，而在金融系统、运营商系统等国家大型的信息基础设施中这个比例更高达80%以上。面对国外的强势品牌，从2008年开始，国内新兴数据安全厂商陆续萌芽出现，同时随着云计算等新兴技术的不断应用，技术上的鸿沟被逐渐填平，整体的IT市场中，国内品牌及产品正逐步扩大自己的市场份额，国内企业开始在数据中心、灾备系统搭建等具体的项目中进行合作，不仅逐渐获得市场的青睐，还开始走出国门参与到国际竞争中。

本方案实现多项技术突破和创新，打破国外技术垄断，将在云灾备及信息安全领域成为江苏省的拳头产品，达到国内领先、国际先进水平，在规模效应、品牌效应的基础上更好地带动整体产业的发展，提升产业整体竞争力和水平，带动信息安全上下游整个产业链，推动信息安全相关领域积极、快速、良性发展。