(安全生产)数据安全及备份方案
云南省广播电视厅办公大楼计算机网络数据安全及备份方案
一、前言
从计算机诞生那一刻起,人们就不能忍受辛苦得来的数据在一瞬间消失无踪的痛苦,数据的存储和备份也就成为保护数据的一种必不可少的手段。如今几十个年头过去了,它不但没有随时光流逝而失色,反而越来越受到人们的广泛重视。
七十年代曾是PC机的天下,使用软盘进行数据备份就可以满足基本的需要。进入八十年代,局域网的兴起使得分布式存储管理渐入佳境,磁带记录方式成为数据备份的首选。那时,小数据量的本地备份还没有对应用系统的性能造成明显影响。进入九十年代,光盘技术曾给人们带来无限遐想,但是,已经小型化的自动磁带库以其良好的性能价格比,始终占据着存储备份的绝大部分市场,与此同时,曾风光一时的分布式存储管理的弊端逐渐显现,集中式存储管理被提上议事日程。Internet的迅速崛起可以说是九十年代最为引人注目的事件,这使得数据的属性发生了质的变化,促进了数据存储和备份技术的变革与进步。
Internet的发展带来了数据量的爆炸性增长。据IDG调查统计,至1998年底有1亿人在使用Internet,到2002年这个数字将会增长到3.2亿。如果平均每人拥有6MB的个人电子信箱,那么对新增存储容量的要求将会达到1320TB!快速增长的海量数据还包括资源和资料数据、电子商务数据、视频数字化数据和企业自动化管理数据。数据量爆炸性增长的后果不仅促进了存储设备的不断扩容,而且对数据存储的管理也提出了更高的要求。
基于以上理论,有人提出:继CPU、网络之后,数据存储将是计算机领域的第三次浪潮。大约在两、三年前,出现了有关存储局域网(Storage Area Network)的概念和实验。SAN以数据存储为中心,将计算机系统的存储设备集中管理,形成一个存储容量可以无缝扩充的虚拟的存储局域网络,系统中的任何主机都可以采用光通道直接连接的方式,共享虚拟存储局域网络内的数据文件,既提高了数据存储管理的效率,又减轻了应用系统的网络资源负担。SAN的最终目标是通过直接连接实现多平台、异结构的计算机系统对数据资源最大限度的共享。
目前,各主要IT厂商都推出了基于光纤通道连接方式的主机和存储设备,但是光纤通道通信协议至今尚未形成一个统一的标准。此外,各种SAN管理软件还只是能够做到支持同平台主机的存储设备共享,每台主机的文件系统彼此独立,要进行文件系统属权的转移还必须依靠容错技术。预计明年,同平台的容错文件系统出台将极大有助于实现同平台容错系统的数据共享,同时,异构平台主机的存储设备共享的管理软件也有望投入实际使
用。
我国计算机应用的许多领域基本与国际同步,但因过去在数据存储备份方面不甚重视,因此配置备份设备和软件的企业系统不超过10%,相比之下,国外(包括一些发展中国家)却在50%以上。令人欣慰的是,近年来国内数据存储备份系统的发展速度已经迎头赶了上来。相对而言,金融、电信、气象、物探等部门的这方面应用走在了前面。
二、需求分析
2.1 存储备份必要性分析
随着计算机管理技术和网络技术的发展,为了提高企业业务管理水平、增强企业市场竞争能力,越来越多的企业开始使用计算机来处理内部日常事务和外部业务往来,从而使得这些企业越来越依赖于系统管理数据和业务信息。尤其是在企业业务不断增加、数据量成倍增长乃至出现数据膨胀现象时,由此引发的企业从数据膨胀、到计算机性能提高、再导致新一轮数据膨胀的循环不断加剧,进而在企业中引起新的数据安全恐慌,数据失效问题时有发生。
数据失效主要分为两种:一种是被称为物理损坏(Physical Damage)的、造成数据无法使用的数据失效;一种是被称为逻辑损坏(Logical Damage)的、数据仍可部分使用的、数据之间关系出错的数据失效。相比起来,后者所引起的数据混乱往往要比前者产生的后果更为严重。这是因为逻辑损坏不易被用户发现、且潜伏期长,一旦发现数据有错时,系统可能已经无法挽回了。当然,物理损坏也并非儿戏,其后果虽然是局部的,但必竟会引起系统混乱,直接导致局部瘫痪。
目前,数据失效已成为企业计算机管理的一大隐患。一旦出现数据失效,客户资料、技术文件、财务帐目甚至企业管理的核心内容将会面目全非,而允许系统恢复数据的时间往往又非常短暂。所以,企业管理专家和IT专家一致认为:企业信息化程度越高,其数据存储备份和灾难恢复的安全措施就越重要,它们直接决定了企业的成败。
现代企业管理非常重视总体拥有成本(TCO)。所谓TCO,实际上是由实际成本、使用成本和风险成本三项组成。实际成本和使用成本在企业的建设与生产中往往容易引起人们重视,因而考虑得非常周到。而风险成本不仅是企业看不见、摸不着的东西,也是企业运作时很难预料和把握的内容。在使用计算机系统的企业中,风险成本包含用于管理关系到企业生命的各项数据与信息的安全、正常、可靠的高速运行的所需费用。所以,为将风险成本降至最低,同时使企业长期处于最佳状态,对企业业务和计算机管理与控制系统数据进行全面存储备份是一项绝对值得的、也是必要的投资。
2.1 数据存储备份分类及相关技术
存储备份可能是简单得不能再简单的在DOS环境下敲入COPY命令的操作,也可能是一家具有6000个节点的跨国公司的复杂系统的数据备份;备份软件可能是Windows自带的Backup系统工具,也可能是耗资上百万美元的特大型企业备份系统的存储管理软件。
按照存储备份内容,可以分为文件备份、数据库备份和系统备份。文件备份是备份软件的基本功能,数据库备份与恢复需要较高的技术,在此提醒用户要特别留意所选软件是否支持自己系统的数据库版本。系统备份与恢复是有条件的,某些计算机的单键恢复功能目前还只适用于Windows NT平台。
按照存储备份方式,可以分为单机备份、局域网备份、广域网备份和电话拨号备份。不少服务器已经把小型磁带机作为必须配置的附件,能够实现单机数据备份。局域网备份目前应用最多,由一台备份服务器对局域网内不同主机的数据和数据库以及Lotus Notes、Microsoft Exchange等数据群,通过网络进行备份。广域网备份是指利用广域网进行数据远程异地备份,建立容灾中心。电话拨号备份是Internet的产物,安装TeleBackup软件的单机和移动设备可以通过通信线路与数据备份中心进行备份与恢复的数据交换。
按照存储备份规模,可以分为个人数据备份、部门级数据备份和企业级数据备份。判断是否为企业级备份不仅要看备份数据量的大小,更取决于数据备份系统的复杂性。通常,多平台异结构的网络系统以及包含容灾中心的备份系统,都属于企业级备份。
目前,企业存储备份系统所采取的主要技术和措施包括磁盘镜像、磁盘阵列、双机容错、数据拷贝、远程存储、移动存储、在线备份、灾难恢复等。
磁盘镜像:可有效防止单个硬盘的物理损坏,但无法防止逻辑损坏;
磁盘阵列:可有效防止多个硬盘的物理损坏,但无法防止逻辑损坏;
双机容错:可有效防止单台计算机的物理损坏,但无法防止逻辑损坏;
数据拷贝:可有效防止系统的物理损坏,也可以在一定程度防止逻辑损坏;
远程存储:通过网络来建立备份磁带系统,消除了必须制作磁带并运输到远程站点所需要的费用。利用低成本、高速度的光纤连接以及中断器和路由器,企业可在远离主站点100公里之外的地方建立备份数据库。
移动存储:与远程存储有些相似,数据都是通过网络从源站点复制到远程站点。但在移动存储中的源站点是移动计算机,例如销售代理所用的计算机,而远程站点是数据中心的某台服务器。通过在笔记本电脑中安装存储备份软件,用户只要连接到网络,系统就会自动将信息备份到中心的站点上。
在线存储:特别适用于当今业务环境连轴转这一特性。8小时、10小时和12小时这类宽松的夜间备份时限已被缩短为极其微小的时段,甚至被完全取消了。在线备份的诀窍在于使用镜像技术,系统数据被不断更新,直至要进行备份时为止。备份时先使镜像系统离线,然后将数据备份到磁带上。一旦完成备份,系统又被置回在线状态,并和其镜像系统重新同步化。
灾难恢复:现在有一种单键灾难恢复技术,可使过去需要专业人员几天才能搞定的工作(如安装操作系统、数据库及相关应用程序),现在只需按一个键并打开服务器电源就能顺利完成,不仅方便了IT管理人员,就连非专业人员也可轻松操作。在单键灾难恢复中,每次进行备份时,构成操作系统和网络操作系统紧急恢复启动用的最新文件将被自动装载到磁带中。
2.2.数据存储备份设备
2.2.1 磁带存储设备
2.2.1.1 磁带存储产品介绍
磁带存储系统是一种安全、可靠、易用和成本低廉的数据备份系统,其中的磁带如同录音带和录像带,可从驱动器中取出,实现非现场方式保存。磁带存储系统采用的是一种离线硬拷贝存储方式,除了具有纸张存储和备份的优点之外,还具有存储多媒体内容的功能。磁带备份设备可靠性高(实践证明,一盒磁带上的数据可以保存30年以上),容量极大(现在的磁带存储技术完全可以使一盒磁带压缩后的存储容量达到70GB,有些甚至高达200GB,而磁带库则可扩充到几十到几百个TB),能够做到在无人值守时完成数据备份和磁带管理。
磁带是磁带存储系统的重要部件,也是单位存储成本最低、容量最大、标准化程度最高的存储介质之一。它互换性好且易于保存,近年来由于采用了具有高纠错能力的编码技术和即写即读的通道技术,更是大大提高了其可靠性和读写速度。目前常用的磁带主要有:
QIC(Quarter Inch Cartridge)磁带:也称1/4英寸磁带。它有两种规格,即DC6000和DC2000。前者采用5.25英寸驱动器,目前已经淘汰;后者的驱动器只有3.5英寸,价格较低,标准化程度高,生产厂家较多且产品相互兼容。一盒DC2000磁带的存储容量一般为400MB,是目前应用较多的磁带之一。
DAT(Digital Audio Tape)磁带:又称4mm磁带,带宽为0.15英寸。DAT磁带盒体积较小,但由于采用了螺旋扫描技术,使得该磁带具有很高的存储容量,目前一盒DAT磁带可达到12GB的容量。而且DAT磁带系统一般都引进了即写即读和压缩技术,提高了系统的
可靠性和数据传输率。DAT磁带和驱动器的生产厂商较多,用户的选择余地较大。
8mm磁带:是一种由安百特公司开发、适合于大、中型网络和多用户系统的大容量磁带。8mm磁带及其驱动器也采用了螺旋扫描技术,而且磁带较宽,因而存储容量极高,一盒磁带的最高容量可达14GB。
1/2英寸磁带:该类磁带又分为DLT(Digital Linear Tape)磁带和IBM 3480/3490/3590系列磁带两类。其中DLT磁带由原DEC公司和昆腾公司共同推出,现已成为网络备份磁带机和磁带库系统的重要标准,又因为容量大(每盒磁带容量高达35GB)、速度高,使其能够在中、高端存储备份市场独占鳌头。IBM 3480/3490/3590系列磁带的存储容量为10GB,所对应的驱动系统实际上是一个磁带库,可以存放多盒磁带,并由机械手自动选择和加载磁带。
众所周知,由于性价比的原因,磁带技术一直在存储备份领域中占据着重要地位,而且正在朝着更大容量和更高数据传输速率方向发展。比如主流磁带标准DDS技术在1999年已进入第四代,DDS-4规范确认了单盘20GB的非压缩容量(典型压缩为40GB),较DDS-3的12GB提高了75%,同时其最高数据传速率范围在1.5Mbps至3Mbps之间,是DDS-3的720Kbps至1.5Mbps的一倍。为此,DDS-4规范将磁道间距定为6.8μm,磁带介质延长至150m,磁带厚度减小到大约5.6μm,同时采取多形带和激光技术以及相应的质量改进措施。据悉,未来的DDS-5磁带的单盘非压缩容量将有望达到40GB,最高数据传输速率则可提升到6Mbps。而由IBM、惠普、希捷等共同开发的新磁带技术——线性磁带开放标准LTO (Linear Tape Open)将线性多通道、双向格式的优点与增强的服务器、数据压缩、磁迹布局及纠错代码相结合,其单盘磁带非压缩容量将可能达到100GB,最高数据传输速率达到20Mbps。显然,正如DDS磁带占据低端市场一样,LTO磁带将会在高端市场大有作为。
2.2.1.2 磁带存储技术介绍
现代大容量磁带机一般能存储约70GB的数据,备份速率可达到每小时36GB。磁带机的种类繁多,但从应用技术上讲,基本可分为线性记录技术和螺旋扫描技术两种。
对于采用线性记录读写技术的磁带机,其工作原理与录音机磁带记录的原理基本
相同,磁带机磁头静止,而磁带高速平行于磁头运行,进行数据记录或读出操作。采用这种技术的磁带机的机械驱动系统设计简单,读写速度较慢,磁带磨损较小、可靠性高,并具有良好的容量可扩充性,价格便宜。但由于数据在磁带上的记录轨迹与磁带两边平行,使得磁带存储利用率较低。
为了有效提高磁带的利用率和读写速度,人们研制出了多磁头平行读写方式。这种技术的确提高了磁带的记录密度和传输速率,但同时也使驱动器的设计变得复杂,成本随之增加。另外,现代线性记录读写磁带机在记录介质、磁头设计和固件上都作了许多重大改进,其中蛇形记录技术可以使磁带机先沿整条磁带写入一个磁轨集后,再重新定位磁头,反方向再沿磁带写入另一个磁轨集。这样的线性记录方式可以在磁带上写52遍,共写入208条磁轨。
至于采用螺旋扫描读写技术的磁带机,其工作原理与录像机磁带记录的原理基本相同,磁带缠绕磁鼓的大部分,并水平低速前进,而磁鼓在磁带读写过程中反向高速旋转,安装在磁鼓表面的磁头在旋转过程中完成数据的读写工作。显然,采用这种读写技术在同样磁带面积上可以获得更多的数据通道,充分利用了磁带的有效存储空间,因而拥有较高的数据存取密度。
现代的螺旋扫描读写磁带机普遍采用了写后读技术和方位角记录技术。所谓写后读技术,是指在安装磁头的磁鼓每转一周时,使用一个磁头写数据,随后再利用读磁头来校验写入操作中数据的正确性。只要磁带机检测到错误,就对数据进行重写,直到读出的数据没有错误为止。而所谓方位角记录技术,是指利用不同角度安装在扫描器上的磁头在磁带上生成的人字形或V字形轨迹,来提高高密磁轨容错性能。
磁带库作为集中式数据备份的主要工具,正在受到广大用户的普遍重视,大到国防、气象,小到办公室均有磁带库的应用。
自动加载机是一种小型自动化备份装置,通常由一个驱动器(磁带机)和多盒磁带组成,可以备份100GB至200GB的数据。配合相关备份管理软件,自动加载机可以实现从单台磁带机扩展到可以管理多台磁带机和几百盒磁带的磁带库,是小规模机构进行存储备份的理想工具。由于自动加载机上的机械手系统可提供对盒带的随机或顺序访问,因而
可以有效地提高数据可管理性和备份速度,使用起来也很方便。此外,自动加载机还能减少网络管理成本,具备未来扩充能力,保护用户前期投资。
磁带库是一种机柜式的、将多台磁带机整装到一个封闭系统中的存储备份设备。它由数台磁带机、机械手和十到数十盒磁带构成,可实现磁带自动拆卸和装填,容量可达数百个PB,也可以在存储备份管理软件的控制下实现智能恢复、实时监控和统计。磁带库就象是一个将磁带塞到磁带机中的“机器人”,能够达到高速度、高效率、高存储容量的要求,且系统的扩展能力很强,对备份作业的安全性可提供有效保障。尤其是磁带库能够通过局域网或SAN很容易地完成远程数据访问和数据备份,这无疑将为数据仓库、ERP等大型应用提供有力支持。
2.2.1.3 磁带存储产品厂家介绍
目前磁带存储设备领域的厂商很多,既包括IBM、惠普、康柏、Sun等大型综合厂商,也包括腾保、StorageTeK、安百特等专业存储厂商,产品更是种类繁多,不胜枚举。下面只是重点介绍一些比较具有代表性的产品。
用于中档和开发式系统的IBM Magstar 3590磁带子系统未压缩数据传输率最高可达14Mbps,当配备SCSI接口时,可以获得高达40Mbps的瞬时数据传输率,其磁带驱动器使用双向纵轴蛇行记录技术和第三代磁阻磁头,可同时对16个数据轨道进行读写操作,系统搜寻速度可达5mps。
惠普SureStore DAT40是一种DDS-4磁带机,容量为40GB,数据传输速率达每小时21.6GB。这里特别值得一提的是惠普单键灾难恢复技术,用户无需再在每次向网络中添加
应用程序或外围设备时,都从不同的磁盘重装应用程序或制作新的恢复盘,只需启动SureStore DAT40即可。该款磁带机还采用了一系列先进技术,如Advance Sequence Detector (高级次序检测程序)、Real Time Adaptive Filtering(实时适应性筛选)、Tape Alert持续监控程序以及磁带轨道清洗等。SureStore磁带库系列以通用结构为基础,包括三种可灵活配置的型号,其中DLT 8000的容量可从1600GB(压缩后)扩充至4.8TB(压缩后)。
康柏StorageWorks磁带驱动器和大容量微型磁带库无论在Windows NT、NetWare、UNIX,还是OpenVMS环境中,都可与用户的平台实现无缝集成。用户可自由选择DAT、DLT或者8mm高级智能磁带(AIT),十分灵活,无需工具即可安装、热更换和重新配置。适用于服务器环境的AIT驱动器外观小巧,容量为50GB(压缩后),速度为6Mbps(压缩后),其多种优异特性可以大量减少维护工作和对磁带的磨损,如可自动调整的低磁带拉力、球形轴承卷动器导向以及磁头自动清洗等。
Sun公司最新的StorEdge L700磁带库是一个企业级解决方案,可满足大型数据中心环境的备份需求。该磁带库具有14TB的本机容量,平均接入时间为16秒,数据吞吐率为120Mbps。它支持1到12个9840格式磁带驱动器和690个盒式磁盘(每个磁盘的本机容量为20GB),其组件的热插拔性能和冗余能力为用户的关键任务提供了保证。该款磁带库适合与Sun Enterprise 10000、Sun Enterprise 3500-6500等服务器配合使用。
腾保数据(Tandberg Data)公司的SLR磁带机具备8种容量,由525MB直至100GB,数据传输率最高为5Mbps(压缩前)。SLR意为Scalable Linear Recording(可扩充的线性记录),该技术采用非旋转磁头,数据定位精确度高,磨损小,机械设计简单,运转部件仅有两个(磁头和驱动马达)。边写边读磁头使数据操作无需校验,而且和先写后读相比,时间缩短一半,磁头寿命增加一倍。该系列磁带机采用16位宽SCSI接口,可以根据系统性能自动调节传输速率以缩短备份时间。
美国存储技术(StorageTek)公司9840磁带机的数据传输速率为20Mbps,其中点装载技术(Mid-point Load)可缩短搜索时间,提高数据的首次存取速度(平均时间仅为8秒)。每个9840带盒可存储20GB压缩数据或80GB非压缩数据,并具有强大的兼容性,用户可在带库中混装各种介质。9840具有不受限制的连接性,可适用于从主机系统到开放系统,从Ultra SCSI到ESCON等各种环境,并可轻松融入SAN。该公司的TimberWolf自动化磁带库采用先进的循环机械人系统和精密的摄像可视系统,此外公司还针对快速信息访问和海量数据存储应用设计了PowderHorn磁带库。
安百特(Exabyte)公司的Mammoth-2是一种面向中端市场的企业级、高性能磁带机,适用于UNIX和高端Windows NT环境,容量达150GB(压缩后)。该款产品的主要优势在于采用了安百特独有的MammothTape技术,包括无主动轮介质路径、气垫磁头-磁带界面、动态磁头清洗、225m AME(高级金属蒸发)磁带、铸铝卡盒、工业电机盒齿轮、自适应数据缓冲、LCD显示和Mammoth向下兼容性。而且该公司已经计划推出容量为300GB(压缩后)的Mammoth-3磁带机。
昆腾公司的磁带机产品包括DLT 2000XT、DLT4000、DLT7000和DLT8000等型号。其中,DLT8000能够适应较宽范围的磁带存储备份应用,包括中型计算机、网络服务器、高端工作站和运行UNIX、NetWare、Windows NT的主流计算机以及专用的操作系统,可提供
40GB的非压缩存储容量和6Mbps的非压缩数据传输速率。该款磁带机的记录磁头平均寿命达5万个小时,而整体介质寿命超过1百万次读写。
希捷公司最新的Viper 200磁带机采用了LTO标准所定义的Ultrium磁带记录格式,压缩数据容量最高达200GB,压缩数据传输速率超过每小时110GB,定位于中档及企业级服务器的数据保护。整个Viper 200系列备份方案包括内、外置独立磁带机、自动加载机以及专为大型自动数据存储应用而设计的磁带机,而且每种磁带机都可选择SCSI接口或光纤通道连接,从而使其可以被优化配置以适应各种计算环境,包括SAN。
2.2.2 磁盘阵列设备
2.2.2.1 磁盘阵列设备及技术介绍
迄今为止,人们用于数据存储备份的硬件设备主要有软盘、硬盘、磁盘阵列、磁带机、磁带库等磁性存储备份设备,以及CD-ROM、CD-R、CD-RW、MO、PD、DVD等光学存储备份设备。
◆软盘
1.44MB软盘是人们普遍用于存储或备份小容量文件或程序的存储介质,一般为3.5英寸,可广泛应用于个人用户的存储与备份,或是单位容量不大、需要经常拷贝的数据。
还有一种LS-120驱动器,分为外置式(活动式)和内置式两种。其中,内置式LS-120驱动器的外形与1.44MB软驱没有任何不同,就是输入电源和工作温度也是一样,同时还兼容1.44MB软盘。而且LS-120磁盘与1.44MB软盘的外形几乎一样。从本质上看,两者却有较大区别:首先,LS-120软盘的容量为120MB,是1.44MB的80多倍;其次,LS-120驱动器的正常转速是1.44MB软驱的1.5倍,最高时可达到12.5倍;第三,LS-120驱动器的平均寻道时间为1.44MB软驱的1.4倍;第四,LS-120盘片的平均无故障读写次数可达到500万次。所以,人们都说它将是1.44MB软驱的终结者。
◆硬盘
硬盘可说是人们最为熟悉的存储介质,不管是PC、笔记本电脑,还是工作站、服务器都离不开用硬盘来存储操作系统、管理系统、控制系统和数据系统等,它同时也是磁盘阵列的主要配件。硬盘不仅是存储备份的主要设备,也是容量、速度和相关技术发展最快的设备。
现代新型高速Ultra DMA/66硬盘所采用的先进技术主要有:
1、磁头技术:磁头是硬盘存取数据的主要部件,好的磁头可以提高硬盘的整体性能。Ultra DMA/66硬盘一般采用MR(Magneto Resistive)磁阻磁头或GMR(Giant Magneto Resistive)巨磁阻磁头。这两种磁头都可通过阻值的变化感应信号的幅度,与传统的通过电流变化感应的磁头相比,灵敏度和可靠度都有极大提高,同时还可以使磁道变窄,从而提高单盘容量。GRM基于电子的量子化效应,其灵敏度是MR磁头的4倍,更是现代新型硬
盘所采用的主要磁头技术。
2、接口技术:硬盘接口技术直接决定了硬盘的最大外部传输速率。目前最新的IDE硬盘多采用DMA/66接口,可达到66Mbps的外部数据传输速率。当然,这同时要求主板具有支持Ultra DMA/66接口的能力。
3、传输技术:硬盘的传输速率可以分为平均寻道时间、最大内部传输速率和最大外部传输速率。当速率在7200RPM时,Ultra DMA/66接口硬盘的平均寻道时间一般都在9ms左右。最大内部传输速率是指磁头至硬盘缓存(Cache)间的最大数据传输率,它取决于硬盘的转速和盘片数据线密度,Ultra DMA/66硬盘的内部传输速率都在200Mbps以上。最大外部传输速率是由硬盘接口速率和缓存大小决定的,其中缓存的作用就是在硬盘进行内、外部数据传输时作为中间缓冲,所以缓存越大,硬盘的内、外部传输速率就越容易接近一致。现在,Ultra DMA/66硬盘的缓存一般都在512KB至2MB之间。
4、纠错和保护技术:Ultra DMA/66硬盘一般都配有纠错和保护技术。由于硬盘担负着保存资料和数据的重任,因此对其读写的准确性要求很高,而硬盘在高速旋转时,磁头离盘片只有纳米数量级,极易发生碰撞。Ultra DMA/66硬盘采用的保护措施主要是通过对磁头、磁盘、马达、控制电路等硬盘中主要部件的监控来防止故障的发生,比如S.M.A.R.T (Self Monitoring Analysis and Reporting Technology,自我检测分析及报告技术)、PRML (Partial Response Maximum Likelihood,局部响应最大相似性技术)、IBM的DFT(Drive Fitness Test Technology,驱动性能检测技术)、迈拓的Maxsafe Shock Block、西部数据的Data Lifeguard、希捷的G-Force、昆腾的DPS(Data Protection System,数据保护系统)和SPS(Shock Protection System,震动保护系统)等技术。
除了传统硬盘之外,艾美加公司设计生产的ZIP也颇具特色。由于ZIP采用了硬盘技术,从而保证了其与硬盘同等的快速读写速度和安全可靠的性能。ZIP的平均寻道时间为29ms,持续转速为11.2Mbps,最高传输速率达26.7Mbps,盘片转速为2941RPM,平均起止时间为3秒,盘片的完全格式化约需10分钟,快速格式化仅需10秒钟。标准ZIP盘片的大小如同1.44MB软驱,只是稍厚一点,容量却有100MB。特别是最新上市的ZIP 250MB SUB驱动器,其读写容量更高达250MB,而且还可向下兼容读写ZIP 100MB盘片。新型的ZIP还配有PC 卡,用户可以使用USB及PC卡两种接口,从而为跨平台信息交换提供了进一步的支持。
◆磁盘阵列(RAID)
RAID(Redundant Array of Inexpensive Disks)磁盘阵列是指将多张磁盘连成一个阵列,并以某种方式书写磁盘,该书写方式可以保证一张或多张磁盘失效时能有效地防止数据丢失。磁盘阵列的硬件除了由多个硬磁盘组成的磁盘库外,就是一个在主机和磁盘组之间提供界面的磁盘控制器和SCSI接口控制器。相对主机来讲,磁盘控制器可以使得整个磁盘组就象一片又快、又大、又可靠的虚拟磁盘,而SCSI控制器则可为主机提供无缝透明的磁盘操作功能。RAID的技术优势主要表现以下几个方面:
1、RAID控制器通过磁盘阵列的并行数据读写克服了磁盘机电设计的限制,大大提高了存取速度。RAID可以同时操作多张磁盘的读写,如四张磁盘组成的阵列的读写速度几乎是单张磁盘的4倍,既可以完成高速的实时图像编辑,也可用于大量数据的高速存储备份。
2、RAID提供了大容量的数据存储,而且多张磁盘上的数据对于主机来说是随时可用的。复杂的RAID系统甚至允许用户通过控制器所发出的数据途径来组成多盘菊链,使得高性能的RAID控制器可同时进行90多张盘片的寻址操作。
3、RAID运用了奇偶校验技术,极大地提高了数据的可靠性。当RAID控制器在磁盘上写数据时,RAID系统会记录相应的奇偶位冗余数据。若该磁盘失效,该奇偶信息可使RAID 控制器在不降低性能的情况下,重新计算丢失的信息。
被称为第二代磁盘阵列系统的RD20采用了新型体系结构,具有可靠性高、性能卓越、容量巨大以及价格低廉等特点。RD20的冗余设计技术与软件可有效地保证数据的最大可用性,而且其标准组件设计具有很强的灵活性。主机接口为独立的、可添加的夹层卡,用户可自由选择异端或单端宽Ultra SCSI接口,大大方便了用户自行设计外形结构和支持系统升级。单槽或双槽1.0625Gbps光纤接口允许用户直接与具有光纤接口的主机、光纤交换机、网络集线器或其他冗余设备直接相连。RD20还采用了两个控制器,由RAID子系统进行双重控制,并通过装在控制器中的温度传感器随时报告各扇区物理环境的异常现象,从而保证了系统的安全运行。
2.2.2.2 磁盘阵列产品厂家介绍
目前磁盘阵列的生产厂商主要有EMC、IBM、惠普、康柏以及StorageTek等等。
EMC公司的Symmetrix企业存储系统为UNIX、Windows NT、AS/400和大型机系统提供了卓越的信息保护、共享和管理能力。其中,Symmetrix 5000系列提供从36GB至多个TB 的存储容量,可供多台主机使用,并可集中管理。它将高达16GB的非易失性缓存更紧密地与高速背板、磁盘、互连和微处理器技术结合,性能更高。该系列产品的保护方式包括磁盘镜像、硬件冗余、远程数据备份设备、不停机微码和部件更换。Symmetrix 5000直接支持通过ESCON和并行通道连接大型机,而且安装ESP软件后还可支持各种工业标准接口,如光纤通道、Ultra SCSI和FWD SCSI通道。
EMC磁盘阵列产品的另一特色是拥有众多强大的智能管理软件,比如,Symmetrix管理器是一个装在服务器上的集中式应用软件,可通过单一管理控制台全面实现用户控制、性能监视、错误状态识别及Symmetrix系统配置管理功能。该软件提供图形用户界面,便于进行直观处理及提供简明易懂的信息。它还可集成到整个企业管理框架中,实现单点控制。其它EMC企业存储系统软件还包括Symmetrix企业存储平台(ESP)、EMC InfoMover、DataReach、Symmetrix远程数据镜像软件(SRDF)、EMC TimeFinder、EMC CopyPoint、Symmetrix数据迁移服务(SDMS)、EMC PowerPath、EMC数据管理器(EDM)以及ESN 连接访问管理软件等。
海景(Seascape)综合存储体系结构是IBM在1999年存储备份市场击出的一记重拳,它通过集成IBM的领先技术——包括磁盘、磁带、光盘、强大的处理器和丰富的软件——概括了新的存储概念,提供了高度可靠的、可扩展的和通用的存储解决方案,其范围从PC 机跨越至超级计算机。海景结构基于三个主要原则,第一是采用集成式存储结构来解决复杂的数据迁移问题;第二是使用“插入式”硬件和软件结构构件以便与功能和技术的发展保持同步,并提供卓越的投资保护;第三是提供通用数据存取的基础,以克服在连接的世
界中存取数据的障碍和复杂性。
作为第二代海景结构的磁盘存储系统,IBM企业存储服务器为UNIX、Windows NT、
AS/400和S/390服务器提供了数据共享的基础,容量最高可达11.2TB。它通过两个强大的四路RISC SMP处理器、大型高速缓存和串行磁盘连接实现了性能的迅速提升,并使用冗余配件和RAID5为关键性应用提供了高可用性,其FlashCopy、点对点远程拷贝(PPRC)和扩展远程拷贝(XRC)技术可用于快速数据备份和灾难恢复。该系统由通过高速串行端口连接到存储服务器上的磁盘驱动器组成,各种主机连接选项(包括Ultra SCSI、ESCON、FICON 和光纤通道)可帮助用户根据各种计算环境的特殊性价比需求来优化系统。
为实现对用户“无忧存储”的承诺,惠普在1999年也推出了一系列存储备份产品。其中,XP256是一款性价比优异的、支持跨平台运行的高端磁盘阵列,其强大的功能足以处理业务关键性的数据与应用。XP256可实现从60GB到9TB的扩展能力,配备新型高速2.5英寸/15GB硬盘和新型高容量3.5英寸/36.9GB硬盘以及16GB镜像缓存,并对所有的关键部件提供容错功能,其中包括写缓存的完全镜像。XP256支持多种连接方式,包括光纤通道、SCSI-2/Ultra SCSI和ESCON,可跨越的平台包括HP-UX、Sun Solaris、IBM AIX和Windows NT。除此之外,惠普还设计开发了FC60、FC30、Model 12等性价比较好的磁盘阵列,其中Model 12采用了惠普的AutoRAID技术,很好地解决了存储管理简易性和阵列性能之间的
矛盾,可自动进行数据存储的优化。
康柏公司的StorageWorks Enterprise RAID采用了全面集成的CPU到子系统的光纤通道解决方案,通过可选双路径将带宽提升两倍,达到200Mbps,数据吞吐量达到150Mbps。全冗余、热插拔组件和热备份、具有自动故障恢复功能的双路在线控制器共同确保了系统的持续可用性。对于那些尚未升级到光纤通道的企业,它还提供可选的Ultra SCSI接口。该解决方案包括3000和4000(工作组级)、7000和8000(部门级)、10000和12000(企业级)等几个型号的产品,其中,企业存储阵列12000采用灵活的预配置构建模块提供完全定制的解决方案,并支持大多数流行平台,每对控制器采用高达1GB的电池后备镜像可回写高速缓存,保证数据完整性并提高系统性能。
Sun公司的磁盘阵列产品包括StorEdge A1000/D1000、Enterprise Network Array A5000和RSM Array 2000等等。其中,RSM Array 2000子系统是一种全冗余RAID解决方案,可提供99.99%的可用性,容量最高可扩展到11TB。该系统的核心是两个有源的智能硬件RAID控制器,它们可通过两个40Mbps Ultra SCSI与主系统相连来提供高性能。因为控制器可使CPU 不参与和RAID3、5相关联的I/O奇偶计算,因此可加速依赖于随时需要I/O操作的应用,包括数据仓库、数据库和文件服务、OLTP和决策支持。
美国存储技术公司(StorageTek)的OPENstorage RAID可在UNIX和NT环境中运行,具备高可用性、高可扩充性、中央控制和易于使用等特点。该系列产品线从较低端的纯SCSI 磁盘阵列、到中端的半光纤半SCSI阵列、一直到高端全光纤通道阵列,可满足用户的不同预算和性价比的需求。以OPENstorage 9145为例,该阵列可提供从27GB到2TB的容量,支
持双重光纤通道连接,数据传输率可达200Mbps,每个系统最多可装载120个驱动器,且所有部件全部冗余。
2.3.用户需求分析
在企业对信息的依赖性越来越强的今天,信息已经成为企业的生命源泉,有效地防范系统的突发事件,在尽可能低的运作成本和拥有成本的前提下,提高信息可靠性和可用性已经成为每个企业信息化工作急需要解决的内容和关键性问题。企业内需要有统一的存储管理策略,建立安全、可靠、高效的备份和恢复管理体制,将日常数据的集中安全管理与灾难恢复系统的建设结合起来。要实现以上的目标,有必要在数据管理上做到自动化备份,实现无忧化集中管理,并能实现高效、简单的灾难恢复功能。
具体要求如下:
1. 要求对数据库进行在线备份;
2. 能够实现自动备份;
3. 保证数据的完整性,既要备份总部数据,又能备份分支机构的数据;
4. 备份过程中出现问题能够自动报告,并能方便地管理备份设备。
三、设计方案
3.1 基于HP SERVER 的Legato双机容错方案
3.1.1 服务器使用现状以及对双机容错系统的需求
随着计算机技术的发展和企业业务的增长,越来越多的企业已建立起自己的计算机网络环境。在计算机网络环境中,最稳妥的设备便是服务器。服务器作为整个网络的心脏,为网络上所有用户提供数据和应用服务。目前,服务器在企业中的应用大概有三类。第一类用户使用单个的服务器作为整个网络的中心,他们一般不要求服务器具有高容错性,高可靠性。第二类用户也使用单个的服务器作为网络的心脏,但他们对单台服务器的可靠性有一定要求,比如要求服务器具有冗余电源,冗余风扇,硬盘备份等功能。第三类用户对服务器的要求更高。他们除了对单台服务器内部各元件具有容错性,高可靠性外,他们希望每个单台服务器之间做一种相互备份,使得多台服务器协同工作,作为一个整体为前端业务PC服务,而正是HP NetServer 双机容错系统要解决的问题。
3.1.2 HP NetServer 双机容错系统原理
3.1.2.1 服务器双机容错简介
服务器容错是指物理上互联,紧密集成在一起的服务器,使得企业级的商业系统达到高可用性,正常运行时间与全部运行时间的比例超过99.9%。高可用性是通过软件、硬件的冗余来实现的:某一点的故障不会中断服务。容错往往运行任务关键性或商业关键性应用程序。采用服务器容错方案或技术,可以给用户带来以下优点:
A、双机容错可以提高系统的高可靠性、高可用性
服务器容错可以保证当某台服务器或应用程序发生预计之处的故障时,容错中的另外一台服务器可以在继续自己份内工作的同时,接过发生故障服务器上的任务。容错的目标是为最终用户尽量减少服务器的应用程序的停机时间,提高整个服务器系统的高可靠性和高可用性。
B、服务器双机容错可以改善系统的可伸缩性
所谓可伸缩性,指的是当现有服务器能力有限时,可以通过增加CPU内存,甚至一台或几台服务器来扩展系统的能力。在服务器容错技术出现之前,用户通过增加CPU内存
天融信网络信息安全解决总结方案.doc
计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。以该思想为出发点,北京天融信公司提出了"网络信息安全解决方案"。 一、网络信息安全系统设计原则 ? 1.1满足Internet分级管理需求 ? 1.2需求、风险、代价平衡的原则 ? 1.3综合性、整体性原则 ? 1.4可用性原则 ? 1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 1.1 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。精品文档
数据存储备份方案
数据存储备份方案 一、企业数据存储备份的概念 大体上来说,数据存储备份是用一种容量大、具有先进自动管理功能、以经济性为原则的设备对整个系统,尤其是对整个网络系统的数据进行备份的方案。实践证明,只有数据存储备份才能为企业提供最完善的数据安全保护,所以说,在原网络上增加数据存储备份管理系统和把数据存储备份管理系统列入到网络建设方案中是不容有怠的。 二、完善的数据存储备份系统的条件: 1完善的数据存储备份管理制度; 2具有一个完善的面向应用和数据库的备份与恢复系统,保证在各种意外情况下能够迅速恢复数据; 3要对磁盘阵列上的数据文件提供镜像保护,同时增强数据文件的访问性能,提高数据文件的可管理性; 4可以通过集群方式保证本地业务的不中断运行; 5对于环境所造成的系统极端故障,应具有相应的灾难恢复策略等; 三、企业主流的数据存储备份技术 NAS SAN 文件服务器 概念 一种采用直接与网络介质(如 网线)相连的特殊设备实现数 据存储的机制 SAN 允许存储设备和处理器(服务器)之间建立直接的高 速网络(与LAN 相比)连接,通过这种连接实现只受光纤 线路长度限制的集中式存储(通常采用外接式磁盘整 列)。 文件服务器是一台特殊功能的计算机,其主要目的是向客户机提供文件管理服务 兼容性 只要一个网络端口就能在任何 能上网的设备上使用 通常需要配合其它系统来使用 专注于文件管理 可用性和维护性 简单 需专业专人维护 需专业专人维护 存储容量(1T=1000G ) 数T 到几十T 数十T 起 数T ,通常需要外接扩展 安全性、稳定性、扩展性 免受黑客、病毒攻击、稳定性极 高、安全性高、扩展性高 稳定性良好、安全性高、扩展性 极高 安全性、稳定性、扩展性都一般 用途 便捷的文件共享、数据备份/ 集中数据存储方式下作为中央 可用作文件服务器,也可当做其 存 储 技 术 对 比 项
(安全生产)数据安全及备份方案
云南省广播电视厅办公大楼计算机网络数据安全及备份方案
一、前言 从计算机诞生那一刻起,人们就不能忍受辛苦得来的数据在一瞬间消失无踪的痛苦,数据的存储和备份也就成为保护数据的一种必不可少的手段。如今几十个年头过去了,它不但没有随时光流逝而失色,反而越来越受到人们的广泛重视。 七十年代曾是PC机的天下,使用软盘进行数据备份就可以满足基本的需要。进入八十年代,局域网的兴起使得分布式存储管理渐入佳境,磁带记录方式成为数据备份的首选。那时,小数据量的本地备份还没有对应用系统的性能造成明显影响。进入九十年代,光盘技术曾给人们带来无限遐想,但是,已经小型化的自动磁带库以其良好的性能价格比,始终占据着存储备份的绝大部分市场,与此同时,曾风光一时的分布式存储管理的弊端逐渐显现,集中式存储管理被提上议事日程。Internet的迅速崛起可以说是九十年代最为引人注目的事件,这使得数据的属性发生了质的变化,促进了数据存储和备份技术的变革与进步。 Internet的发展带来了数据量的爆炸性增长。据IDG调查统计,至1998年底有1亿人在使用Internet,到2002年这个数字将会增长到3.2亿。如果平均每人拥有6MB的个人电子信箱,那么对新增存储容量的要求将会达到1320TB!快速增长的海量数据还包括资源和资料数据、电子商务数据、视频数字化数据和企业自动化管理数据。数据量爆炸性增长的后果不仅促进了存储设备的不断扩容,而且对数据存储的管理也提出了更高的要求。 基于以上理论,有人提出:继CPU、网络之后,数据存储将是计算机领域的第三次浪潮。大约在两、三年前,出现了有关存储局域网(Storage Area Network)的概念和实验。SAN以数据存储为中心,将计算机系统的存储设备集中管理,形成一个存储容量可以无缝扩充的虚拟的存储局域网络,系统中的任何主机都可以采用光通道直接连接的方式,共享虚拟存储局域网络内的数据文件,既提高了数据存储管理的效率,又减轻了应用系统的网络资源负担。SAN的最终目标是通过直接连接实现多平台、异结构的计算机系统对数据资源最大限度的共享。 目前,各主要IT厂商都推出了基于光纤通道连接方式的主机和存储设备,但是光纤通道通信协议至今尚未形成一个统一的标准。此外,各种SAN管理软件还只是能够做到支持同平台主机的存储设备共享,每台主机的文件系统彼此独立,要进行文件系统属权的转移还必须依靠容错技术。预计明年,同平台的容错文件系统出台将极大有助于实现同平台容错系统的数据共享,同时,异构平台主机的存储设备共享的管理软件也有望投入实际使
信息安全整改方案10篇
信息安全整改方案10篇 信息安全整改方案10篇 信息安全整改方案(一): 加强网络与信息安全整改工作措施 为深入贯彻落实市网络与信息安全协调小组办公室《关于加强网络与信息安全整改工作的通知》(东信安办发〔2014〕4号)文件精神,保障县政府门户网站安全运行,针对我县政府网站存在的问题,我们采取软硬件升级、漏洞修补、加强管理等措施,从三个方面做好了政府网站网络与信息安全工作。 一、对网站漏洞及时进行修补完善 接到省电子产品监督检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后,我们详细研究分析了报告资料,及时联系了网站开发公司,对网站存在的SQL注入高危漏洞进行了修补完善,并在网站服务器上加装安全监控软件,使我县政府网站减少了可能存在的漏洞风险,降低了数据库被注入修改的可能性。 二、加强对硬件安全防护设备的升级 为确保网站安全运行范文写作,2013年,我们新上了安全网关(SG)和WEB应用防护系统(W AF),安全网关采用先进的多核CPU硬件构架,同时集成了防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、资料过滤等多种功能模块,实现了立体化、全方位的保护网络安全;绿盟WEB应用防护系统能够对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为,供给完善的防护措施。同时,针对WEB应用漏洞数量多、变化快、个性化的特点,我们还定期对WEB应用防护系统进行软件升级,安装了补丁程序,保护了服务器上的网站安全。自安装硬件安全防护设备以来,网站没出现任何安全性问题。 三、继续加强对政府网站的安全管理 为加强政府网站信息发布的安全,我们在添加信息时严格执行”三级审核制”和”登记备案制”,在网站上发布的信息首先由信息审核员审核签字后报科室主任,科室主任审核签字后报分管领导,由分管领导审核签字后才可将信息发布到网站上去,确保了网站发布信息的准确性和安全性。同时,为保证网站数据安全,确保网站在遭受严重攻击或者数据库受损后能够第一时间恢复数据,我们对网站数据备份做了两套,一是设置数据库自动备份,确
数据传输安全解决方案
数据传输安全解决方案 传输安全解决方案 (1) 一.总体框架 (2) 二.安全需求 (3) 2.1 应用集成和政务集成中的安全需求 (3) 2.2 OA 产品的安全需求 (4) 1.安全电子邮件 (4) 2.电子签章 (5) 3.数字水印 (5) 4.防拷屏 (5) 5.安全加密文档 (5) 2.3方案中解决的安全问题和需求 (6) 三 PKI 方案 (7) 3.1 PKI 简介 (7) (1) 提供用户身份合法性验证机制 (7) (2) 保证敏感数据通过公用网络传输时的保密性 (8) (3) 保证数据完整性 (8) (4) 提供不可否认性支持 (8) 3.2 非对称密钥加密技术简介 (8) 3.3 PKI 的组成部分 (9) 3.3.1 认证和注册审核机构(CA/RA) (10) 3.3.2 密钥管理中心 (11) 3.3.3 安全中间件 (12) 四. PMI 部分 (13) 4.1 什么是PMI (13) 4.2 为什么需要PMI (14) 4.3 PMI 发展的几个阶段 (15) 4.4 PMI 的安全体系模型 (16) 二十一世纪是信息化世纪,随着网络技术的发展,特别是Internet 的全球化,信息共享的程度进一步提高。数字信息越来越深入的影响着社会生活的各个方面,各种基于互联网技术的网上应用,如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性,网上的所有信息对所有人都是公开的,所以网络上的信息安全问题也日益突出。目前政府部门、金融部门、企事业单位和个人都日益重视这一重要问题。如何保护信息安全和网络安全,最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响,是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。 网络的飞速发展推动社会的发展,大批用户借助网络极大地提高了工作效率,创
数据安全方案
数据安全方案 1、双机热备 2、磁带(库)、虚拟带库备份 3、数据双活 4、异地备份 5、两地三中心
一、双机热备方案 双机热备针对的是服务器的临时故障所做的一种备份技术,通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 1.集群技术 在了解双机热备之前,我们先了解什么是集群技术。 集群(Cluster)技术是指一组相互独立的计算机,利用高速通信网络组成一个计算机系统,每个群集节点(即集群中的每台计算机)都是运行其自己进程的一个独立服务器。这些进程可以彼此通信,对网络客户机来说就像是形成了一个单一系统,协同起来向用户提供应用程序、系统资源和数据,并以单一系统的模式加以管理。一个客户端(Client)与集群相互作用时,集群像是一个独立的服务器。计算机集群技术的出发点是为了提供更高的可用性、可管理性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的服务器,各服务器通过内部局域网相互通信。当一个节点发生故障时,它所运行的应用程序将由其他节点自动接管。其中,只有两个节点的高可用集群又称为双机热备,即使用两台服务器互相备份。当一台服务器出现故障时,可由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续对外提供服务。可见,双机热备是集群技术中最简单的一种。 2.双机热备适用对象 一般邮件服务器(不间断提供应用类的都适用)是要长年累月工作的,且为了工作上需要,其邮件备份工作就绝对少不了。有些企业为了避免服务器故障产生数据丢失等现象,都会采用RAID技术和数据备份技术。但是数据备份只能解决系统出现问题后的恢复;而RAID技术,又只能解决硬盘的问
XX企业信息安全综合解决方案设计
要求有具体的问题,比如,信息系统安全(硬件,场地,软件,病毒,木马,),网络安全(网络入侵,服务器/客户端的连通性,vpn的安全问题),人员安全(身份识别,分权访 问,人员管理),电子商务安全(密钥,PKI),或者其它! 【为保护隐私,公司原名用XX代替。 内容涉及企业网络安全防护,入侵检测,VPN加密、数据安全、用户认证等企业信息安全案例,供参考】 XX企业信息安全综合解决方案设计 一.引言 随着全球信息化及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业越来越多,并且这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等,企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响,所有信息采用明文传输,导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患,甚至造成不可估量的损失。因此必须利用信息安全技术来确保网络的安全问题,这就使得网络安全成了企业信息化建设中一个永恒的话题。 目前企业信息化的安全威胁主要来自以下几个方面:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。如前段时间在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。那么如何构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢? 二.XX企业需求分析 该企业目前已建成覆盖整个企业的网络平台,网络设备以Cisco为主。在数据通信方面,以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接,其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网,或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站,以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用,对企业的日常办公和经营管理起到重要的支撑作用。 1. 外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。 2.内部局域网的安全威胁
数据安全解决方案(DOC)
绿盾信息安全管理软件 解决方案 广东南方数码科技有限公司 2013年3月 ?版权所有·南方数码科技有限公司
一、背景简介 (4) 二、现状 (4) 三、绿盾简介 (5) 3.1系统架构 (5) 3.2系统概述 (5) 3.3绿盾主要功能 (6) 四、绿盾功能介绍 (6) 1、文件自动加密 (6) 1.1 文件自动加密 (6) 1.2文件外发途径管理 (7) 1.3文件审批流程 (8) 1.4文件自动备份 (8) 1.5离线管理 (8) 1.6终端操作员管理 (9) 2外网安全管理 (10) 2.1网页浏览监控 (10) 2.2上网规则 (10) 2.3 流量统计 (10) 2.4 邮件内容监控 (10) 3、内网安全管理 (11) 3.1屏幕监控 (11) 3.2实时日志 (11) 3.3聊天内容记录 (11) 3.4程序窗口变化记录 (11) 3.5文件操作日志 (11) 3.6应用程序限制 (11) 3.7远程操作 (12) 3.8资源管理器 (12) 4、设备限制 (12) 5、USB存储设备认证 (12)
五、绿盾优势 (12) 1、产品优势 (12) 2、功能优势 (13) 2.1高强度的加密体系 (13) 2.2完全透明的文件自动、实时加密 (13) 2.3文件外发管理功能 (13) 2.4灵活的自定义加密策略 (14) 2.5强大的文件备份功能 (14) 2.6全面的内网管理功能 (14) 2.7良好的平台兼容性 (14) 3、技术优势 (14) 3.1驱动层加密技术 (14) 3.2自主研发性能优越的数据库 (15) 3.3可自定义的受控程序 (15) 4、实施优势 (16) 六、服务体系 (16) 1、技术支持服务内容 (16) 2、响应时间 (16) 3、维护 (16)
数据安全及备份恢复管理规定
数据安全及备份恢复管理 规定 This model paper was revised by the Standardization Office on December 10, 2020
数据备份与恢复管理制度为加强我司计算机信息数据备份与恢复的管理,避免信息数据丢失,根据相关规定,特制定本管理制度。 一、本办法适用于司内计算机网络系统信息数据的备份与管理。 二、我司计算机信息数据的备份工作由信息中心管理,负责全司计算机信息数据的备份工作。 三、提高数据备份的自动化运行管理水平,做好本地数据冷备份,减少人的操作与干预,或制定严格的管理规范,避免误操作。 四、计算机信息数据备份具体包括:数据备份系统,服务器全部数据及相关服务器数据的备份工作,各工作站上的数据库及其它数据文件。 五、信息数据的备份包括定期备份和临时备份两种。定期备份指按照规定的日期定期对数据进行备份;临时备份指在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对信息数据进行备份。 六、信息数据根据系统情况和备份内容,可以采取以下备份方式: (一) 完全备份:对备份的内容进行整体备份。 (二) 增量备份:仅对备份相对于上一次备份后新增加和修改过的数据。 (三) 差分备份:仅备份相对于上一次完全备份之后新增加和修改过的数据。 (四) 按需备份:仅备份应用系统需要的部分数据。
七、为保证所备份的内容可再现系统运行环境,数据备份内容应包括网络系统的所有关键数据。具体指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。 八、数据备份可选择硬盘、光盘、U盘等存储介质,要确保备份数据的可恢复性。存储介质应存放在无磁性、辐射性的安全环境。 九、数据备份时必须建立备份文件档案及档案库,详细记录备份数据的信息。数据备份的文卷应专人专地保管,所有备份要有明确的标识,具体包括:运行环境、备份人。 十、备份数据的保存时间根据我司信息系统的数据重要程度和有效利用周期以及具体使用情况确定。根据各种数据的重要程度及其容量,确定备份方式、备份周期和保留周期。我司重大或关键性数据,应定期完整、真实、准确地转储到不可更改的介质上,并按有关规定妥善保存,无相关规定的至少保存10年。 十一、数据备份至少应保留两份拷贝,一份在数据处理现场,以保证数据的正常快速恢复和数据查询,另一份统一放在我司档案室,确保备份数据万无一失。 十二、对计算机或设备进行软件安装、系统升级或更改配置时,应进行系统和数据、设备参数的完全备份。应用系统更新后,应对原系统及其数据的完全备份资料保存二十年以上。 十三、任何数据恢复均要专题报告说明理由与过程,经集体讨论后进行。
数据库备份方案
《客户名称》备份管理系统设计方案上海鸿翼数字计算机网络有限公司
目录 1.项目概述 (3) 2.系统需求分析 (3) 1.1系统现状分析 (3) 1.2备份系统风险评估 (3) 1.3备份系统需求分析 (4) 3.系统备份理念 (5) 3.1系统设计指引 (5) 3.2数据保护技术选择 (5) 3.3连续数据保护 (6) 3.4备份管理系统组成 (6) 4.系统备份结构设计 (8) 4.1整体系统架构设计 (9) 5.系统备份方案介绍 (10) 5.1W INDOWS服务器自身备份 (10) 5.2方案2:双机热备 (12) 5.3方案3:爱数备份 (13)
1.项目概述 上海鸿翼数字计算机网络有限公司将根据《》的网络实际需求,制定一套完整的集数据备份、灾难恢复、服务器整合及虚拟化一身的方案。一个完整的企业数据备份与恢复解决方案就意味着数据安全与性能(机器和网络)的完美结合,一条龙式的服务标准(产品的服务与支持)。所以在选择备份系统时,既要做到满足系统容量不断增加的需求,又要所用的备份方式能够支持多系统平台操作。要达到这些,就要充分使用网络数据存储系统,在分布式网络环境下,通过专业的数据存储软件,配合系统备份及双机备份,结合相应的硬件和存储设备,对网络的数据备份进行集中管理,从而实现自动化备份、文件归档、数据分级存储和灾难恢复。 2.系统需求分析 1.1系统现状分析 《》网络基础结构是基于Windows平台,现在拥有X台服务器。《》的文档管理系统包含了文件服务器、转档服务器、数据库服务器等企业信息管理系统,为企业的发展提供了强有力的信息化支持。主要数据库包含了Microsoft SQL Server、Oracle、DB2等。 1.2备份系统风险评估 《》的信息系统管理人员十分重视数据的保护,在没有备份软件的情况下,已经采用了重要数据镜像备份、服务器系统镜像备份等常规保护方法,为企业的数据财产提供了安全的保障。但是以上方法很难实现快速备份和灾难后的迅速恢复,很难保证业务的连续性。
数据安全设计处理方案.doc
数据安全处理设计方案 一、说明: 为保证税务数据的存储安全,保障数据的访问安全,对数据库的用户采取监控机制,分布式处理各种应用类型的数据,特采取三层式数据库连接机制。 二、作用机理: 1、对于整个系统而言,均采用统一的用户名称、用户密码进行登陆。这个阶 段的登陆主要用于获取数据库的对应访问用户、密码及其对应访问权限。 2、登陆成功后,读取用户本地机的注册信息、密码校验信息,然后到通用用 户对应的数据表中去读取对应的记录。该记录主要为新的用户名和密码。 3、获取对应权限、用户和密码后,断开数据库连接,然后按新的数据库用户 和密码进行连接。 4、连接成功后,开始个人用户的登陆。 三、核心内容: 该安全方案的核心内容为:三层式数据访问机制、数据加密处理机制。 三层式数据访问机制的内容: 第一层:通用用户方式登陆。对于通用用户而言,所有用户均只有一个表的访问权限,并且对该表只能读取和修改。 第二层:本地注册(或安装)信息的读取和专用数据库用户密码的对应获取。 根据安装类型,获取对应的(数据库)用户和密码,此用户一般有多个表的操作权限。 第三层:断开通用连接,以新的用户和密码进行登陆。登陆成功后,再用个人用户帐号和密码进行登陆处理。 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。采用当前较为流行的基数数据加密机制,主要方式为:采用数据基数数组方式进行加密与解密。变动加解密机制时,只需修改对应的基数位置或基数值即可。实现方式简单方便,而解密则极为困难。 四、数据库设计: 系统主要涉及到的数据库为用户登陆数据库表。这张表与数据库的使用用户表数据内容类似,主要保存类用户信息。
能源系统数据安全方案
能源系统数据安全方案 随着计算机技术的发展和应用的延伸,人们对它的认识也有了一个逐渐深入的过程。最初,在人们的价值观中,只有计算机的硬件设备才能反映其价值;而后有更多的人意识到人们是通过软件来对计算机进行操作的,软件也应具有相应的价格体现;进而更深地认识到,存储于计算机中的数据才是真正的财富,人们通过对计算机软硬件的操作,实质上是为了利用其中的数据资源,数据的价值大于设备的价值已不是天方夜谭。 数据爆炸是人们谈论的一个热点话题,这主要是由于多媒体、大型数据库、网络、Internet、电子商务等的应用越来越广。“数字化生存”观念已为人们接受,人们越来越感觉到自己的生活和工作与计算机中的数据是紧密联系的,并且将越来越依赖这些数据。如何保证数据的完整性是信息化社会的一个关键问题。存储备份是一种数据安全策略,是将原始数据完全一样地复制,严格来说应复制两份,保存在异地。在原始数据丢失或遭到破坏的情况下,利用存储备份的数据把原始的数据恢复出来,使系统能够正常工作。重要数据的存在隐患 : 数据丢失的原因自然灾害地震、火灾、雷电、洪水、飓风;安全风险盗窃、故意破坏、病毒;软硬件故障如硬盘划伤;人为因素误操作、误删除硬件故障、软件错误、人的误操作是数据丢失的最主要原因。50%以上的数据丢失是由于硬件故障或软件错误造成的,30%以上的数据丢失是由于人的误操作造成的,病毒和自然灾害造成的数据丢失不到15%。 存储备份的理由硬盘驱动器毁坏:由于一个系统或电器的物理损坏使你的文件丢失。 人为错误:你偶然地删除一个文件或重新格式化一个磁盘。 黑客:有人在你的计算机上远程侵入并破坏信息。 病毒:你的硬盘驱动器或磁盘被病毒感染。 盗窃:有人从你的计算机上复制或删除信息或侵占整个单元系统。 自然灾害:火灾或洪水破坏你的计算机和硬盘驱动器。 电源浪涌:一个瞬间过载电功率损害在你的硬盘驱动器上的文件。 磁干扰:你的软盘接触到有磁性的物质,比如有人用曲别针盒,使文件被清
道孚县人民法院大数据安全系统存储及备份容灾系统建设方案设计
道孚县人民法院 数据安全存储及备份容灾系统建设方案 一、建设意义 随着计算机的普及和信息技术的进步,特别是计算机网络的飞 速发展,信息安全的重要性日趋明显。但是作为信息安全的一个重 要内容数据备份的重要性却往往被人们所忽视。只要发生数据传输、数据存储和数据交换,就有可能产生系统失效、数据丢失或遭到破坏。如果没有采取数据备份和数据恢复手段与措施,就会导致数据 丢失或损毁,给数据中心造成的损失是无法弥补与估量的。 道孚县人民法院近年来越来越依赖于数据处理来进行管理及办公,对业务系统的依赖性也随之增加。我法院从2010年开始着重推 进信息化,但在进行信息化建设的同时灾难也随之潜伏进来,使得 业务系统在潜伏着威胁的环境里运行。因此在进行信息化建设过程 中保证法院的业务系统连续运行及数据处理的高可靠性和高可用性 已经成为首先要考虑。 二、我院可能面临的灾难事故风险 1、存储介质风险:,包括存储和服务器硬盘,设备老化,影响 数据安全,发生概率较高。 2、应用服务器风险:服务器硬件故障,影响应用业务间断,发 生概率比较高。 3、逻辑错误风险:受人为误操作,病毒,升级等因素。影响数 据和应用,发生概率非常高。 4、机房环境风险:机房断点,异常电压,灰尘,气温等,影 响数据和应用。 5、自然灾害风险:地震、火灾、动乱等发生将是彻底灾难事故。影响数据和应用。 如果不能对风险采取有效治理,一旦数据由于上述某种原因丢失,就有可能造成整个法院在管理及办公上的严重问题,法院的形 象也将受到影响。如果核心数据丢失,严重时完全有可能造成整个 法院的瘫痪。
三、我院现状 道孚县人民法院地处甘北入口之重县,目前下设三个派出法庭,在未来几年还将再建四个派出法庭。随着“数字法院”的建设发展,业务应用系统的增加现有的数据保障模式已无法满足我院及其派出 法庭的数据安全和应用持续性保护。 (1)道孚县人民法院机房业务环境有: 法院信息化管理系统,它包括:案件绩效评估系统,审判管理 系统,OA系统,邮件系统,人事系统等;科技法庭系统还在建设之中。全院服务器有两台,一台为数据库服务器,一台为中间件服务器,均为windows操作系统平台,数据库服务器由Sybase数据库支撑。 (2)道孚县法院存储数据主要类型: 1、日常材料的扫描图片; 2、服务器业务运行产生的文件; 3、以后科技法庭建成后所产生的大量音视频文件; (3)备份数据的主要类型: 1、日常材料的扫描件; 2、服务器操作系统; 3、服务器业务运行产生的文件; 4、应用模块产生的业务数据,数据库等; 由于各种环境因素和升级问题,法院系统可能会出现故障。随 着硬件使用逐渐老化,应用程序故障等其他问题,会导致系统时常 停顿。保障这些业务系统不间断运行,需要构建一套能够及时恢复 故障设备,应用高可用性保障系统。 四、方案设计要求 (1)异地容灾: 方案设计需考虑备份的数据往往会因为非人为操作错误外的其 他因素所影响而导致毁坏,如地震、火灾、丢失等。因此必须在不 同的地点建立备份系统。
信息安全解决方案
河南CA信息安全解决方案河南省数字证书认证中心
一、身份鉴别 (一)、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动 退出等措施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度 检查以及登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中 不存在重复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。 (三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 二、访问控制 (一)、基本要求 1、应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体 的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作; 5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形 成相互制约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;(二)、实现方式 通过部署PKI/CA与应用系统相结合实现该项技术要求。
(三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一)、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二)、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一)、基本要求 1、应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2、应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二)、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技术实现。 (三)、部署方式 通过部署CA实现应用抗抵赖功能。 五、数据完整性 (一)、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; 4、应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
信息安全及数据质量保障方案
信息安全及数据质量保障方案 信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性和信息数据的质量。为贯彻遵守《中华人民共和国安全生产法》等相关法律法规规定以及国家、地方关于安全生产的方针、政策,落实安全生产责任制,加强对生产(特别是工程施工和维护服务)的安全管理,保障从业人员安全和健康,减少经济损失,制定信息安全及数据质量保障方案有其必要。 概述 在安防信息安全方面,IP产品和系统在安防市场得到了广泛的应用。在安防系统保障信息安全或数据安全,主要有如下两方面: 1、数据本身的安全,主要是指采用密码算法对数据进行主动保护,如数据保密、数据完整性、登陆安防管理系统双向身份认证等; 2、数据保护的安全,主要是采用安全的数据信息存储手段对数据的保护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据保存的安全,数据安全是一种主动的保护措施。 数据安全的基本特点:信息不能被其他不应获得者获得。在数据的存储过程中需要有保密性相关的设定,防止数据外泄。视频监控系统中的系统日志文件和视频录像文件显而易见需要防止外泄;数据完整性指在传输、存储信息数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。在前端视频流通过IP传输网络传输到视频存储系统,以及视频存储网络的各个环节都必须考虑相应的防护措施;
威胁数据安全的主要因素:威胁数据安全的主要因素包括:存储设备物理损坏、操作失误、非法侵入、病毒感染、信息窃取、自然灾害、电源故障、电磁干扰。随着视频监控技术与计算机信息技术的不断融合,视频监控系统的数据信息安全也成为产品研发、系统设计及实施过程必须认真考虑的环节之一。 要正确实施视频监控系统的数据信息安全,按照安防行业应用特点结合信息安全技术是较好的选择。 我公司将在如下几方面做好信息安全及数据质量的保障 为确保企业信息安全,要坚持积极防御,综合防范的方针,全面提高信息安全防护能力。实施对企业的信息安全管理,建设信息安全管理体系,建立完善的安全管理制度,将信息安全管理自始至终贯彻落实于信息管理系统的方方面面,企业信息安全才能得以实现。企业信息安全的解决方案,具体表现在以下三个方面: 一、制定信息数据安全制度: 在IT安全技术防范的规则中,制定正确的安全制度保证日常数据信息的使用合规。 1、对应用系统使用、产生的介质或数据按其重要性进行分类,对存放有重要数据的介质(硬盘、移动存储设备),必须备份2份数量,并分别存放在不同的安全地方(防火、防高温、防震、防磁、防静电及防盗),建立严格的保密保管制度; 2、保留在机房内的重要数据,应为系统有效运行所必需的最少数量即一套,除此之外禁止保留在机房内; 3、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审
企业网络信息安全整体解决方案
企业网络信息安全整体解决方案 技术白皮书
目录 一、完善、优化企业内部网络架构 (4) 1、域结构管理模式 (4) 2、网络拓扑结构设计 (4) 3、三层交换与VLAN结合 (5) 4、企业网管软件 (6) 二、构建全方位的数据泄漏防护系统 (13) 1、文档安全管理系统 (14) 2、企业U盘认证系统 (15) 3、打印监控系统 (17) 三、建立一体化的本地/异地备份与容灾体系 (18) 四、建立防火墙、防入侵及一体化安全网关解决方案 (21) 1、趋势科技防毒墙-服务器版(SP): (22) 2、Juniper 防火墙: (23)
随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时,基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题,我们可以从几方面入手:首先,完善、优化企业内部网络架构;其次,构建全方位的数据泄漏防护系统;再次,建立一体化的本地/异地备份与容灾体系;最后,建立防火墙、防入侵及一体化安全网关解决方案,达到净化企业内部网络环境提升员工工作效率的目的。
一、完善、优化企业内部网络架构 在规划和设计企业总体网络架构时,应从企业应用为最基本出发点,将企业当前和各类应用和将来会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策,以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性,可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。 1、域结构管理模式 在很多小型企业公司内部的网络还是采用对等网模式(工作组),在这种工作模式下任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。 在由Windows 9x构成的对等网中,数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理,导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外,还可以对属于域的所有计算机的操作权限(安装/卸载软件、更改IP地址、更改计算机设置等)进行有效的控制,以达到集中化管理的目的。 2、网络拓扑结构设计 组网方式:树形组网方案 该方案引入二级联网方式,骨干层交换机采用了高性能的千兆级二层交换机,连接服务器、路由器与网
系统安全和备份方案
1.1 系统安全方案 1.1.1认证与授权 认证与授权是系统安全防范和保护的主要策略,它的主要任务是保证信息资源不被非法使用和非法访问,它是维护网络系统安全、保护信息资源的重要手段。本部分主要从用户身份管理、认证管理和授权管理三个部分描述认证与授权的控制措施。 ●身份管理 业务运营管理系统内的用户身份信息需要进行统一管理,制定相应的管理规范和命名规则,确保用户与身份标识的维一性。 ●认证管理 业务管理系统对于内部用户和外部用户本系统采用了不同的认证方式。 对于内部用户可以采取传统的用户名—口令的认证方式,系统提供灵活的口令维护和配置功能,包括对弱口令的识别、口令定期更改的提示等。 对于外部用户可以采用数字签名技术,服务器端和客户端证书采用CA中心颁发的证书。服务器采用Web服务器证书,安装在Web服务器上;而个人使用个人证书,存放在较为安全的存储介质(如USB Key)上。 安全代理服务器是用于服务器端的建立安全通信信道的软件,通过数字证书实现用户与服务器之间的通信与交易安全,可以满足用户对于
信息传输的安全性及身份认证的需要。 数字签名系统为客户提供了基于Web 浏览器和Web 服务器的数字签名解决方案,可以实现对Web 页面中的指定内容和文件进行数字签名和验证。 安全代理产品及数字签名产品,其主要工作原理如下图所示: CA 认证工作流程 WEB 证书通过与客户端个人证书的结合,可以实现用户的安全登录,通过证书检验身份,其作用相当于一串1024位密码,这样就避免了因简单的用户名、密码被猜到、试到或黑客破解的风险。 访问管理 通常访问控制模式主要分为自主访问控制(DAC )、强制访问控制(MAC )和基于角色的访问控制(RBAC )。航空安全管理平台需要支持基于角色的访问控制模式,如下图所示: 用户群组角色权限n:n n:n n:n 角色访问控制模式
校园网信息安全整体解决方案
校园网信息安全整体解决方案 一.网络状况和安全隐患 大学校园网作为服务于教育、科研和行政管理的计算机网络,实现了校园内连网、信息共享,并与Internet 互联,在校园网的建设上采用光纤连接,以电教楼为中心,通过二级交换机向校内其他建筑物辐射。校园网连接的除了各级行政单位网络,还连接校内学生机,因此存在许多安全隐患,主要表现有: ?校园网与Internet 相连,面临着外网攻击的风险。 ?来自内部的安全威胁。 ?接入校园网的节点数日益增多,这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。 大学校园网的大多数节点没有采取防护措施,因此,建立一套有效的网络安全机制就显得尤为重要,以下是必须考虑的安全防护要点: ?网络病毒的防范 网络病毒将会对网络的重要数据的安全、网络环境的正常运行带来严重危害,因此防止计算机网络病毒是安全工作的重要环节。 二.瑞星文化教育行业解决方案 根据大学校园网的结构特点及面临的安全隐患,我们将通过瑞星防毒墙、瑞星网络安全预警系统、网络版杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求,为大学校园构建统一、安全的网络。 ?防毒墙的部署 在Internet与校园网内网之间部署了一台瑞星防毒墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路 由器与Internet 连接。这样,通过Internet 进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。 ?瑞星网络安全预警系统的部署 入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星网络安全预警系统,接入Cisco 中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
能源行业数据安全解决方案
能源行业数据安全解决方案 一、能源行业行业背景 能源行业是国家的支柱行业,也是政府大力支持的核心产业之一。办公自动化(OA)、生产管理、机械自动化控制、ERP、财务管理等信息化管理手段已在能源行业广泛应用。 信息技术的发展对于能源行业有着革命性的意义,为了完善企业生产、管理,发展更新更好更为先进的专业应用平台,企业需要累积大量的信息数据。能源行业已从基础的生产自动化逐步向管理信息化发展,以提高自身在国内国际的竞争力,从而提高企业效益。信息化的发展极大推动了电力、水利、石油、煤矿产业的发展,信息技术大幅度提高企业的内部管理效率、降低管理所需成本、提高生产效率及价值链竞争效率。 数据资料在各种系统中起到重要决策依据的能源行业,如何确保数据的安全,完善信息化管理也是目前急需解决的问题。 二、需求分析 能源行业主要的数据为历史积累数据、生产控制系统数据、企业管理数据、办公文档及财务管理数据等。 根据能源行业的自身特点,数据多样化、信息量庞大以及计算机分散是其数据安全管理的难点,各部门、各科室、分支机构地域分散,而如何将分散的数据集中备份、集中管理、防止泄漏是我们解决的重点,下图向您展示了能源行业网络结构图。
根据数据的重要性,需要实现对各服务器数据库、数据进行备份,当服务器数据丢失或损坏时能够以最快速度恢复生产和管理,减少生产中断时间。自动备份企业各部门的办公、管理、财务等数据,有效防止数据丢失或损坏。PYD信息防泄漏系统还能够为企业提供了全面的信息防泄漏保护,有效防止因重要管理数据泄漏造成的不可弥补的损失。 三、软件向能源行业提供的全面数据安全解决方案 在信息化管理中还意味着有以下令人堪忧的隐患: 硬件设备损坏、磁盘逻辑错误、应用程序故障,导致关键数据丢失、业务中断; 人为误操作、破坏,导致数据丢失或系统无法正常运行; 病毒破坏、黑客攻击、操作系统故障导致数据丢失或损坏; 没有预防火灾、天灾等不可抗力灾难对系统构成的威胁; 重要管理数据损坏; 重要生产、管理数据被窃取; 数据信息的安全性、可靠性和私密性影响企业的生存能力。 企业需要信息数据安全的可靠保障,软件为您提供全面的数据安全解决方案。强大的数据安全备份解决方案和信息防泄漏保护方案,为企业信息化发展保驾护航: 数据备份 LAN 备份解决方案 NAS存储备份解决方案