系统灾备技术基础概述

1、系统灾备技术基础概述目 录 HYPERLINK l _TOC_250090 第一章 灾备基础知识1灾备定义与演进1 HYPERLINK l _TOC_250089 灾备的重要性1 HYPERLINK l _TOC_250088 信息灾备发生方式2 HYPERLINK l _TOC_250087 灾备基础知识3 HYPERLINK l _TOC_250086 备份3 HYPERLINK l _TOC_250085 容灾6 HYPERLINK l _TOC_250084 备份与容灾的区别9 HYPERLINK l _TOC_250083 业务连续性9 HYPERLINK l _TOC_250082

2、 灾难恢复衡量指标11 HYPERLINK l _TOC_250081 灾备的三个等级12 HYPERLINK l _TOC_250080 数据级灾备12 HYPERLINK l _TOC_250079 应用级灾备12 HYPERLINK l _TOC_250078 业务级灾备13第一章 灾备基础知识灾备的定义与演进灾备是指组织的灾难备援。在信息化的 IT 系统中，灾备是指在灾难未发生前，利用 IT 技术对信息系统的数据和应用程序进行保护，包括本地及异地的数据备份、应用和场所的接管等，确保系统遭受灾难时数据的安全，以及业务的快速恢复，为企业的正常运行提供服务。灾备起源于 20 世纪 70 年代

3、的美国。 1979 年，IT 公司 SunGard 在美国费城建立了全世界第一个灾备中心。当时人们关注的重点是企业 IT 系统的数据备份和系统备份等。随后 IT 备份发展到了灾难恢复规划 (DRP) ，并在 IT 备份中加入了灾难恢复预案、资源需求和灾备中心的管理，形成了生产运行中心的保障概念。此后，人们进行灾难恢复规划时，将保护 IT 系统的灾备范畴拓展到 IT 所支持的业务领域，并根据保护业务的要求衡量灾备的目标哪些业务最重要？哪些业务需要最先恢复？美国“9 11 恐怖袭击事件”后，全球用户提升了对灾备的重视程度，异地灾备建设一时成为趋势。在 IT 技术的不断更新以及全面风险管控要求提高的

4、环境下，灾备的范畴从传统的数据和系统备份、恢复，业务连续性规划、灾难恢复规划、灾备演练、灾备从业资质认证、人才培养、法律法规制定等领域，拓展到了通信保障、危机公关、紧急事件响应、第三方合作机构和供应链危机管理等。图 1-1 911 事件造成多家跨国公司数据损毁在云和大数据时代，数据已经成为重要的生产要素。特别是在棱镜门、永恒之蓝、汶川大地震这类造成大规模数据丢失和泄漏的人为或自然灾害事件发生后，无论是用户还是国家，均通过一系列的措施，强化对数据的安全保护。中国也相继出台了一系列的法律法规，对各组织机构的数据安全保护条件进行限定，如 2016 年颁布的中华人民共和国网络安全法、2019 颁布的信

5、息安全技术网络安全等级保护基本要求、2019 年起草的数据安全管理办法（征求意见稿）以及 2020 年在两会提及拟起草的数据安全法等。尤其是在大力推动以技术创新为驱动、信息网络为基础、数据为核心的新基建的当下，数据安全成为提高数字转型、智能升级、融合创新等服务的关键因素。灾备的重要性信息系统灾备的重要性不言而喻，存储专家 Jon Toigo 认为，如果不做 DR/BC 的规划，就可能有 5% 的概率引发企业的财务危机。对于灾备的重要程度，科研机构已经进行了量化的分析：美国德克萨斯州大学较早的一次调查显示只有 6% 的公司可以在数据丢失后生存下来，43% 的公司会彻底关门，51% 的公司会在两年

6、之内消失。另一份针对这一课题的研究报告也显示灾难发生之后，如果无法在 14 天内恢复信息作业，有 75% 的公司业务会完全停顿，20% 的企业在两年之内被迫宣告破产。美国明尼苏达大学的研究也表明，在遭遇灾难时，在没有灾难恢复计划的企业中，将有超过60% 的企业在两到三年后退出市场。而随着企业对数据处理依赖程度的递增，该比例还有逐渐上升的趋势。IDC 在全球范围内针对多个行业的中小型企业（员工数 1000 名）的调研结果显示近80% 的企业每小时的停机成本预计至少 2 万美元，超过 20% 的企业估算其每小时的停机成本至少为 10 万美元。2016 年灾备行业的一份可用性报告显示，企业每年因应用

7、停机造成的损失达到 1600 万美元， “可用性差距”（这一差距存在于用户所需，例如全天访问关键性应用和数据，与 IT 部门的交付能力之类）进一步扩大。该报告指出，尽管去年发生了诸多备受瞩目的宕机事件，但依然没有引起足够的重视。比如，全球 84% 的资深 IT 决策者承认，他们正在经历“可用性差距”的困境，这个比例只比去年增加了 2%。根据权威数据机构预测，2020 年全球云计算市场规模将超 4000 亿美元。而我国云计算近年来以超过 30% 的年均增长率，成为全球增速最快的市场之一。云服务已经全面覆盖人们生活的方方面面，企业和个人的数据存储、各类业务的正常运作、大文件的高效传输均离不开云服务

8、。云服务器一旦宕机，企业业务以及信息安全等必然会受到波及，甚至成为安全隐患。2019 年 3 月，谷歌云、阿里云、腾讯云就相继发生大规模宕机时间，造成大量产品和服务受到影响，在腾讯云宕机的 4 个小时中，仅腾讯游戏就损失高达千万。且随着企业信息架构复杂程度的加深，影响系统正常运作的因素也越来越多，无论设备故障、云平台宕机，还是人为误操作、断电等，均对企业业务造成巨大的影响，如 2020 年 2 月发生的微盟恶意删库事件，就因为缺乏合理的权限管控和全面的数据备份和恢复计划，造成大量用户数据丢失，影响线上近 300 万商户，两天内市值蒸发超 11 亿元人民币。信息灾备发生方式虽然每个行业面对的应用

9、场景不一样，但是万变不离其宗，根据已经发生的灾备事件总结分析， 通常情况下灾难发生的原因会有以下几种方式：表 1-1 信息灾备发生方式灾难原因具体方式代表事件IT 系统问题服务器、应用程序、操作系统、数据库、虚拟机等故障美团服务器宕机网络安全技术问题网络、病毒攻击、数据窃取 / 丢失、篡改、加密、泄露永恒之蓝 WannaCry 病毒信息安全管理问题rm-rf/* 删除、升级失败、无灾备演练、权限管理混乱微盟删库事件灾害类事件地震、洪灾、火灾、雷电、战争、城市建设汶川地震根据行业的研究表明，在以上各种导致系统故障的原因中，其比例为： 40 的系统故障是由操作人员操作失误而引起。40 的系统故障是

10、由应用软件的问题所引起。20 的系统故障是由设备的物理原因所引起，如硬件失效、掉电、自然灾害等。综上，系统故障导致业务下线的主要原因在于人为操作失误和应用软件问题造成，自然灾难造成的下线概率较小。灾备基础知识在信息化环境下，灾备行业有很多的专业灾备知识及技术，理解这些内容对于业务和系统的灾备规划建设会有很大的帮助。备份备份是指数据或系统的备份，它是容灾的基础，是指为防止系统出现操作失误或故障导致的数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它存储介质的过程。图 1-2 备份按照备份数据量分为：全量备份、增量备份、差量备份。全量备份：用存储介质对整个数据及系统进行完全备份。这种

11、备份方式的好处是很直观，容易被人理解，易恢复；缺点是在备份数据中有大量重复数据，由于需要备份的数据量相当大，因此备份所需时间较长。增量备份：每次备份的数据只是相当于上一次备份后增加和修改后的数据。这种备份的优点很明显：重复数据少，即节省存储空间，又缩短了备份时间。差量备份：是拷贝所有新产生或更新的数据，这些数据都是最近一次全量备份后产生或更新的。增量备份与差量备份的区别是，增量备份判断数据更新标准是依据上一次备份检查点，而差量备份一定是依据全量备份检查点。如没有全量备份，就没有差量备份。差量备份的主要目的是限制完全恢复时使用的介质数量。备份类型原理优点缺点全量备份对备份集合中所有数据进行备份完

12、全恢复系统需要的时间最短费时，如果文件不频繁进行更改，备份内容几乎完全相同增量备份对上次备份后改变的数据进行备份存储的数据最少，备份速度最快完全恢复系统需要时间比全量备份或差量备份长差量备份对自上次全量备份后改变的数据进行备份恢复时仅需要最新全量备份和相应的差量备份，备份速度比全量备份快完全恢复系统需要的时间比全量备份长，如果大量数据发生变化，备份所需的时间长于增量备份表 1-2 三种备份方式比较Image 备份是映像级备份的简称，是指对整个文件卷进行数据块级别备份，备份传输的是数据块而不是文件。这种备份不仅做全备份时效率提高，而且在随后的增量备份时会更快。它采用快照技术来创建一个近似于及时的

13、数据映像，然后对快照数据映像进行备份，对应用的影响很小。适合文件个数在百万量级以上的大型文件系统，以及更多要求恢复整个文件卷的应用环境。LAN/SAN图 1-3 Image 备份按照备份时间频率分为：定时备份、实时备份。定时备份：是指有时间间隔的数据备份方式，比如一天一次，一周一次，或者一个月一次，定时备份不能保证数据的零丢失。实时备份：是指无时间间隔的数据备份方式，通过实时数据复制，保证主备两端的数据读写一致，确保数据的零丢失。持续数据保护 CDP(Continual Data Protection) 是一种连续数据保护技术，被称为高级的实时备份，它兼具数据备份与数据恢复的功能，通过 CDP

14、 实时备份技术，可以实现到秒级的细粒度抓捕效果。目前，主流的 CDP 有很多维度，包括基于存储数据块的、存储快照的、操作系统 I/O 层的，采取不同的技术维度，所获得的数据还原细粒度也有所差别，根据恢复的细粒度的大小，业界将CDP 分为真 CDP (True CDP) 和准 CDP (Near CDP) 。真 CDP 技术是持续不间断地监控并备份数据变化，可以恢复到过去任意时间点，是真正的实时备份，不会造成数据的丢失。准 CDP 是指接近持续数据保护，数据备份存在延时，也就是意味着存在部分数据丢失的风险。根据用户对 RPO 的要求以及灾备策略的不一样，CDP 技术方案选择有很大自主性，但是随着

15、数据量的增长和业务信息化的加快，未来的趋势将是以真 CDP 为主。英方 i2CDP 属于真 CDP 技术， 能够提供细粒度数据持续保护，可恢复至任意历史时间点。按照备份对象分为：字节级备份、块级备份、文件级备份。字节级备份：以字节级变量为基本单位，通过捕获生产系统数据的变化，并将变化数据实时传输到备端。块级备份：以磁盘块为基本单位，将数据从源端复制到备端，即每次备份数据以一个扇区或多个连续扇区为单位来进行备份。文件级备份：以文件为基本单位，将数据以文件的形式读出，通过文件系统接口调用备份到另一个介质上。此外，根据数据备份时服务器是否停机又可分为冷备和热备；按照数据存储介质之间的距离又可以分为本

16、地备份和异地备份。通过网络进行备份是热备的主要方式，其主要的传输模式如图：图 1-4 持续数据保护 CDP在国内，基于高可用系统中的两台服务器的热备（或高可用）使用较多，因此双机热备常被人提起。双机热备按工作中的切换方式分为：主备方式（ Active-Standby 方式）和双主机方式（ Active-Active 方式）。主备方式是一台服务器处于某种业务的激活状态（即 Active 状态），另一台服务器处于该业务的备用状态（即 Standby 状态）。而双主机方式即指两种不同业务分别在两台服务器上互为主备状态（即 Active-Standby 和 Standby-Active 状态）。注：A

17、ctive-Standby 的状态指的是某种应用或业务的状态，并非指的是服务器状态。容灾从广义上讲，任何提高系统可用性的措施都可称之为容灾。容灾，即灾难发生时，在保证生产系统数据尽量少丢失的情况下，保持生产系统业务的不间断运行。容灾可分为本地容灾、异地容灾、云容灾。本地容灾：本地容灾一般指主机集群，当某台主机出现故障，不能正常工作时，其他的主机可以替代该主机，继续正常对外提供服务。通常可通过共享存储或双机双柜的方式实现本地容灾，其中多以共享存储为主。共享存储由三部分组成：活动主节点，不活动备节点，共享存储。其中两台计算资源节点提供主备角色服务，通过 SAN 网络附加型存储作为数据存储的介质。主

18、备节点共享一份存储，一旦主节点宕机，备节点可基于共享存储实现业务的接管。但共享存储的同构成本和远距离高可用接管成本过高，存在较大存储故障风险，且只支持一对一架构。双机双柜是一种不依赖共享存储而实现的高可用保护架构，采用主备的高可用保护模式。在双机架构中，生产主机和备机具有物理层的完全独立性，应用、系统、网络和数据都是一式两份，生产主机和备机可通过存储网络或局域网进行连接。其中，本地的存储网络连接的主备高可用适用于近距离的容灾建设，受距离限制较大；异地远距离的主备高可用，则会存在极小的数据延时。异地容灾：异地容灾一般指在与生产机房有一定距离的异地建立与生产机房类似的信息平台（备份中心），并采用特

19、定的技术将生产中心的数据传输到该备份中心，从而在生产中心发生较大的灾难如火灾或地质灾害时，仍能对生产数据进行保护的容灾系统。图 1-5 容灾半径传统的磁盘 / 磁带备份手段，可通过磁盘 / 磁带对本地关键数据进行备份，然后送至生产中心之外的地方进行保存，灾难发生后，可通过磁盘 / 磁带存储数据实现系统和数据的恢复。尽管这种手段成本低、易操作，但当存储数据增加时，存储介质管理将成为难以解决的问题，所以现多采用网络传输的方式进行异地容灾。英方 i2Availability 应用高可用可以实现超远距离的异地容灾，适合云和大数据时代的异地容灾需求。云容灾：云容灾一般指云数据中心的物理机或虚拟机容灾。云

20、主机系统由大量服务器组成，并分布在不同的地点，同一时间为大量用户服务，因此云计算系统采用分布式存储的方式存储数据，用冗余存储的方式（集群计算、数据冗余和分布式存储）保证数据的可靠性。这种方式保证分布式数据的高可用、高可靠和经济性，即为同一份数据存储多个副本。综上，一个容灾系统的实现可以采用不同的技术，而容灾方案的选择，由其最终要达到的效果来决定。通常可从以下五个策略维度进行容灾方案的选择：（1）灾备中心架构容灾半径是衡量容灾方案所能承受的灾难影响范围的指标。不同灾难的影响范围是不同的，而距离也会影响到容灾技术的选择。灾备中心的架构按照源备端之间的距离，可分为本地容灾、同城双活、两地三中心。其中

21、，异地容灾要求数据中心间距离须保证在三百公里以上，同时还必须做到“三不”，即不在同一地震带，不在同一电网，不在同一江河流域。灾备中心的选址直接影响到容灾方案的效果和保护等级。当生产中心和灾备中心的距离大于100km、小于 300km 时，此种方案只能为生产中心提供应用级容灾保护，提升生产中心抵御物理破坏的能力，但是不能有效避免地震、洪水等级别灾难带来的损失。300km从下图可以明确，最为稳固的、保护等级最高，也是成本最高的容灾方案，即“两地三中心”： 本地的生产中心和容灾中心相距 100km 以上，进行应用级 / 业务级容灾保护，且在 300km 以外的异地建立容灾中心，进行数据级 / 应用级

22、容灾保护。（2）容灾中心运用模式图 1-6 灾备中心架构运营模式可以分为主备和双活两种形式：主备模式即生产中心正常对外提供服务时，同步将数据单项复制到备端数据中心，且备端不对外提供服务。一旦生产中心故障，备端生产中心接管服务。这种模式资源投入较低且技术实施和后期维护相对简单，但是灾后业务恢复速度慢。传统主备模式的弊端在于，备端长时间处于待机状态，存在资源浪费情况。且多种潜在因素如心跳线中断、网络短时间中断、应用服务器响应不及时等，容易导致在生产中心实际运行正常情况下进行误切换，即存在“脑裂”现象。双活模式下的两个数据中心分别对外提供服务，且彼此之间保持双向复制。一旦一端故障，另一端立即接管其业

23、务，保障业务的连续性。这种方式相较于主备模式，其业务恢复速度更快，但整体资源投入更高，实施及运维难度更复杂，且存在业务冲突风险。（3）灾备中心布局模式布局模式可分为一对一和多对一，一对一模式需要的设备投入和实施、管理难度更高，但业务恢复速度快；多对一模型相对来说，资源投入更经济，实施管理更方便，但整体业务恢复会更慢。（4）容灾级别与能力容灾系统按保护级别可分为：数据级容灾、应用级容灾和业务级容灾。从下图可以看出，三种容灾级别的功能、所需的恢复时间和投入均不相同，其中：数据级容灾是针对数据进行保护，数据级容灾能够实现灾难发生后数据不会受到损坏。这种级别的容灾方案实施简单、资源投入和后期运维成本较

24、低，但是系统恢复速度较慢，业务恢复速度难度高。应用级容灾主要针对关键应用进行的容灾方案，应用级容灾是建立在数据级容灾的基础上，对应用系统进行实时复制，也就是在备端再构建一套应用系统，可提供应用接管能力。应用级容灾实施难度高、资源投入和后期运维成本也不小，但是系统恢复速度较快，业务恢复速度难度较低。业务级容灾是最高级别的容灾建设，如果说数据级容灾、应用级容灾都是在 IT 系统的范畴之内， 业务级容灾则是在以上两个等级的容灾基础上，还需考虑到 IT 系统之外的业务因素，包括备用办公场所、办公人员等，而且业务级容灾通常对支持业务的 IT 系统会有更高的要求（ RTO 在分钟级）。相对以上两种容灾级别

25、，业务级容灾保护的系统持续可用，业务恢复难度低，但是实施部署难度高， 需要的资源投入和后期运维成本都非常高。恢复速度业务恢复难度实现难度运营维护成本投资数据级容灾较慢，RTO 24 小时高较低较低较低应用级容灾较快，RTO 12 小时较低较高较高较高业务级容灾持续可用，RTO 0.5 小时低高高高图 1-7 容灾级别与能力（5）容灾建设与研究策略企业的灾备建设在业务发展的不同时期需要不同的建设策略。在初创期，企业的信息系统还在萌芽阶段，这个时期可针对关键业务系统进行数据级容灾；在成长期，业务系统较初创期更健全、丰富，可根据企业实际需求选择“数据 + 应用”级的容灾或者“数据 + 应用 + 系统

26、”级的容灾；在成熟期，企业的业务和规模不断扩张，这个时候就可以考虑选择同城双活或者两地三中心的容灾解决方案，保障数据不丢、业务不停。在常见的三种典型应用场景下，有以下三种常用方案：本地数据级容灾：在生产中心不断对外服务的过程中，将数据实时 / 定时备份到本地存储之外的备份存储上，并进行带库级存档。业务分离 / 双活中心：在生产中心之外建立一个容灾中心，实时备份生产数据，并可对外提供读写服务。一旦源端服务不可达，备端可实现业务的接管。两地三中心：在双活业务中心的基础上，在异地建立一个灾备中心。备份与容灾的区别备份是为了应对灾难来临时造成的数据丢失问题，容灾是为了在遭遇灾害时能保证信息系统继续正常

27、运行，帮助企业实现业务连续性的目标。备份系统与容灾系统在容灾备份一体化产品出现之前是相互独立的两个系统，容灾备份产品的最终目标是帮助企业应对人为误操作、软件错误、病毒入侵等“软”性灾害以及硬件故障、自然灾害等“硬”性灾害。业务连续性业务连续性（Business Continuity 简称“BC”）是指在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。它明确一个机构的关键职能以及可能对这些职能构成的威胁，并据此采取相应的技术手段，制定计划和流程，确保这些关键职能在任何环境下都能持续发挥作用。业务连续性针对的事件场景应包括三类：一般故障、紧急事件和灾难事件。实现业务连续

28、性所需的 IT 措施包含三个方面：业务状态数据的备份和复制、业务处理能力的冗余和切换、外部接口冗余和切换。业务连续性管理（Business Continuity Management，简称“BCM”）是一套一体化的管理流程，通过该流程可识别组织面临的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响， 并为组织提供了一个指导框架来建立有效应对威胁的自我恢复能力，从而保护关键相关方的利益、声誉、品牌和创造价值的活动。业务连续性管理是一个长期的、不断完善的循环过程，需遵循国际标准的 PDCA 循环模型， 即策划 (Plan)实施 (Do)检查 (Check)改进 (Act)。业务连续性管理为企业

29、的灾备建设提供了基本原则和方法，业务连续性管理确定的业务恢复目标就是设计灾备方案的依据。首先，按照业务连续性管理方法对潜在的灾难事件加以识别并进行分析，从而确定可能造成企业运行中断的威胁，以及业务中断给企业带来的影响和损失。其次，再根据业务中断的影响及其恢复时所需的资源来制定灾难恢复策略，从而使灾难事件给企业带来的损失最小化。它涵盖了风险管理、应急管理、IT 灾难恢复、设备管理、资源管理、安全管理、人员管理等多项内容。实现业务连续性的技术手段通常包括以下两种：高可用性（High Availability，简称“HA”）高可用性指通过技术手段，尽量缩短因日常维护操作（计划）和突发的系统崩溃（非计

30、划）所导致的停机时间，以提高系统和应用的可用性。业界的通行做法是采用群集系统 (Cluster) ，将各个主机系统、网络系统、存储设备（部分高可用系统包含存储设备的高可用）等通过各种手段有机地组成一个群体，共同对外提供服务。通过创建群集系统（采用实现高可用性的软件）将冗余的高可用性的硬件组件和软件组件组合起来，以达到消除单点故障、减少设备意外发生时的宕机时间。一般说，高可用技术通过对网卡、CPU、内存、系统软件设置不同的可用性监测点，在这些节点发生故障时实现冗余切换，持续提供服务。灾难恢复（Disaster Recovery，简称“DR”）狭义的恢复 (Recovery) 定义是指重新创建生产

31、系统应用或计算环境的过去操作状态，包含完全恢复和小颗粒恢复两种模式。图 1-8 恢复信息广义的灾难恢复 (DR) （国内通常简称为灾备或容灾）则属于业务连续性的技术层面。在用户服务中断后，需要快速调动各种资源，在异地重建信息技术服务平台（包括基础架构、通信、系统、应用及数据），灾难恢复也包括本地的恢复与重建。目前，流行的灾备系统往往包括本地的 HA 集群和异地的 DR 数据中心。从故障角度，HA 主要处理单组件的故障导致负载在集群内的服务器之间的切换， DR 则是应对大规模的故障导致负载在数据中心之间做切换。从网络角度，LAN 尺度的任务是 HA 的范畴，WAN 尺度的任务是 DR 的范围。从

32、云的角度， HA 是一个云环境内保障业务连续性的机制，DR 是多个云环境间保障业务连续性的机制。从目标角度，HA 主要是保证业务高可用，DR 是保证数据可靠的基础上的业务可用。灾难恢复衡量指标评估一个灾备系统可靠性的两个重要指标是 RTO 与 RPO。00:0006:00RTO12:00图 1-9 RTO 与 RPO 灾难恢复衡量指标RTO (Recovery Time Objective) 恢复时间目标。RTO 是指灾难发生后，从系统宕机导致业务停顿之刻开始，到系统恢复至可以支持业务部门运作，业务恢复运营之时，此两点之间的时间。RTO 可简单地描述为企业能容忍的恢复时间。RPO (Recov

33、ery Point Objective) 恢复点目标。RPO 是指灾难发生后，容灾系统能把数据恢复到灾难发生前时间点的数据，它是衡量企业在灾难发生后会丢失多少生产数据的指标。RPO 可简单地描述为企业能容忍的最大数据丢失量。RTO 针对的是服务时间的丢失，RPO 针对的是数据的丢失，两者是衡量容灾系统的两个主要指标，但它们没有必然的关联性。RTO 和 RPO 的确定必须在进行风险分析和业务影响分析后根据不同的业务需求确定，对于不同企业的同一种业务，RTO 和 RPO 的需求也会有所不同。当然，对于组织而言，最好的情况是 RPO=0 ，RTO=0 ，但显然这种情况对很多中小企业而言是理想状态。此

34、外，随着对业务恢复指标的进一步细分，还可引入降级运行目标 DOO 、网络恢复目标 NRO、任意时间点回退 APIT 等指标。DOO (Degraded Operations Objective) 降低运行目标。DOO 是指灾难事件发生期间数据中心不可用时，关键业务系统在灾备中心运行的服务级别允许降低到一个可接受程度。这意味着灾难事件发生时，为了加快恢复速度，可以允许关键业务恢复到一个较低的服务级别，这个事先确定的允许降低的服务级别就是 DOO。NRO (Network Recovery Objective) 网络恢复目标。NRO 是指在灾难发生后切换到灾备中心所需的时间。在这一预定时间内不仅要求将网络连接从数据中心切换到灾备中心，还要使用户的网络访问能够成功地转移到灾备中心。APIT (Any Point In Time) 任意时间点回退。APIT 是指在数据发生逻辑错误时，我们需要对破坏的数据进行恢复，这时 CDP 持续数据保护技术的衡量标准可以用任意时间点回退进行评判。灾备的三个等级根据恢复