中小企业数据安全管理解决方案7doc.docx
《中小企业数据安全管理解决方案7doc.docx》由会员分享,可在线阅读,更多相关《中小企业数据安全管理解决方案7doc.docx(11页珍藏版)》请在冰豆网上搜索。
中小企业数据安全管理解决方案7doc
中小企业数据安全管理解决方案7
第38卷增刊2009年11月
电子科技大学学报
JournalofUniversityofElectronicScienceandTechnologyofChina
V01.38Suppl
NOV.2009中小企业数据安全管理解决方案
孟向向,兰雨睛
(北京航空航天大学计算机学院北京海淀区100191)
【摘要】由于数据安全管理问题日益突出,中小企业迫切需要一种符合自身技术力量特点,能综合实现上网行为控制、重要数据集中管理、计算机系统快速备份与恢复的解决方案.针对这一需求,该文给出了基于Linux的中小企业数据安全管理解决方案,并对解决方案中的关键技术给出了详细的实现方法.根据解决方案实现的中小企业数据安全管理系统(sMEDsMs),能有效地满足中小企业数据安全管理需求.中标软件将SMEDSMS与Pc服务器硬件配套形成了“中标普华数据安全管理一体机”,并成功地部署应用于该企业内部。
关键词系统快速备份与恢复;数据集中管理;上网行为控制;中小企业数据安全管理
中图分类号TP315文献标识码Adoi:
10.3969/j.issn.1001-0548.2009.z1.006
DataSecurityManagementSolutionsforSmalland
Medium-SizedEnterprises
MENGXiang-xiangandLANYu-qing
(SchoolofComputerScienceandTechnology,BeijingUniversityofAeronantiesandAstronauticsHaidianBeijing100191)AbstractFordatasecuritymanagement,thesmallandmedium.sizedenterprisesneedtIlesolutionsthatareconsistentwiththeirowntechnologyandCanachievevariousfunctionssuchasIntemetaccesscontrol,centralizeddatamanagement,andbackupandrecoveryofcomputersystem,ete.Accordingtotheserequirements,thepaperpresentsaLinux.baseddatasecuritymanagementsolutionforsmallandmedium.sizedenterprisesandalSOi11仃oducesthedetailedimplementationofkeytechnologyinthesolution.Thesmallandmedium-sizedenterprisesdatasecuritymanagementsystem(referredtoasSMEDSMS)designedbythesolutionCaneffectivelymeetthedatasecuritymallagementrequirementsoftllesmallandmedium-sizedenterprises.
Keywordsbackupandrecoveryofcomputersystem:
centralizeddatamanagement;intemetaccesscontrol;SM匝DSMS
计算机和网络在企业内部的广泛应用大大提高了企业办公效率。
然而,计算机技术是把“双刃剑”,其飞速发展使实施信息化的企业在生产、经营和管理等多方面的能力得到全面的提升,为企业创造出巨大的价值。
但计算机技术的破坏性同样巨大而无情,有很多高度依赖信息化的企业遭受到巨大的甚至毁灭性的损失【Il。
计算机系统突然崩溃、员工误操作、网络侵入等问题成为企业信息安全的隐患。
因为企业计算机系统内存储的数据成为企业最重要的资产,企业都高度重视数据安全管理,并努力寻求满足自身管理需求的实施方案。
计算机技术力量雄厚的大型企业往往用大量资金购置数据安全管理方面的软件、硬件设备、管理服务来实现企业数据的安全管理;中小规模的企业无法承受高额的买入成本和维护费用,它们需要一种功能完备、成本低廉的系统来实现企业自身的数据安全管理。
由于Linux操作系统具有安全可靠的特点,并且随着企业正版化的不断推进,国产Linux操作系统成为中小企业操作系统平台的首选。
本文结合中小企业数据安全管理现状,提出了基于Linux的中小企业数据安全管理解决方案。
该方案旨在解决中小企业面临的数据集中管理、系统快速备份与恢复、上网行为管理等常见数据安全管理问题。
1基于Linuxfl{J中小企业数据安全管理解决方案
本文的方案为中小企业数据安全管理系统(smallandmedium—sizedenterprisesdatasecurity
收稿日期:
2009—09—15
基金项目:
国家863计划
作者简介:
盂向1句(1983一)。
男.硕士生,主要从事软件工程方面的研究.万方数据
电子科技大学学报第38卷
managementsystem,SMEDSMS),其功能涵盖用户管理、数据备份与恢复、系统快速备份与恢复、上网行为管理,可有效地解决中小企业面临的数据集中管理、系统备份与恢复、上网行为管理等数据安全管理问题。
1.1系统功能
1.1.1用户管理
企业数据安全管理是对企业办公计算机上存储的数据、文件的管理。
企业为每名员工创建一个用户帐号,并设置一个管理员用户,其他的员工都是普通用户。
用户管理是管理员通过管理员控制台对普通用户进行的一系列管理操作。
用户管理包括用户的创建与删除、修改用户配置、导出用户信息等功能。
用户帐号是员工在客户机登录服务器、进行数据备份与恢复、实施远程系统备份与恢复以及通过服务器认证进入网络的依据。
用户配置是指管理员根据用户的具体需求赋予他们特定的权限,使其能够实施不同的任务管理和操作。
导出用户信息是指管理员将系统中的用户配置信息以文件形式导出并保存。
1.1.2数据集中管理
企业内部计算机分散在各科室部门,通过局域网相互连接。
数据集中管理是指在局域网内由服务器开辟共享区,并在共享区内为每个员工用户分配一个对应的存储空间用来进行数据备份。
在服务器端开辟共享区后,要提供管理员控制平台对共享区进行管理。
对共享区的管理包括以下功能。
(1)磁盘限额。
管理员对共享区内与用户对应的存储空间的大小进行限制,以有效地管理磁盘资源。
其作用是当用户所使用的空间超过限制时,该用户就会被禁止往共享区中写入文件;除非用户清除一些文件,才能被允许写入。
(2)RAID管理。
采用RAID技术的数据存储设备逻辑上将多个磁盘作为一个磁盘驱动器来使用,具有容量大、速度快、安全可靠等优点,成为大型信息系统存储数据的最佳选择【21。
管理员可在服务器端新建或删除RAID设备来扩充或缩减共享区空间。
(3)LVM管理。
管理员可在服务器创建或删除逻辑盘卷,对逻辑卷的大小、访问权限、分配方法进行设置。
LVM具有良好的可伸缩性,可以方便地对卷组、逻辑卷的大小进行调整。
客户端软件提供普通用户控制台作为实现数据的备份和恢复的操作平台。
数据备份就是在用户通过服务器认证登录成功后,连接到服务器共享区内与该用户对应的存储空间,并把要备份的数据文件
上传到存储空间中。
数据恢复就是用户通过普通用
户控制台把在存储空间里备份的数据文件下载恢复
到用户所登录的客户机上。
1.1.3系统备份与恢复
系统快速备份与恢复是指企业员工计算机系统
崩溃后,能通过从LAN启动的方式引导,获得远程
操作系统并运行本文设计的系统备份与恢复工具。
通过系统备份与恢复工具,用户可以在局域网内快
速备份或恢复系统。
系统备份就是通过系统备份与
恢复工具将用户客户机的磁盘分区或整个磁盘备份
到服务器共享区:
系统恢复就是通过系统备份与恢
复工具从共享区中将之前的系统备份镜像恢复到用
户客户机上。
1.1.4上网行为管理
上网行为管理即针对企业员工的上网行为进行
的控制管理。
该方案对网络访问控制实现基于角色
簪j管理,为不同的用户赋予不同的角色。
企业员工
佳JH的帐号、密码通过服务器认证后,才能连接到
外部网络,并根据被赋予的角色获得相应的权限。
管理员通过控制平台可以创建角色、制定网络访问
控制策略、为用户分配角色等操作。
上网行为管理
支持安全防护,自动拒绝非法的外部连接,从而保.护局域网数据安全。
上网行为管理中除了设置控制策略外,还包括DHCP服务设置等基本的网络管理功能。
DHCP服务
设置分为子网配置和客户选项配置。
子网配置是指对DHCP服务器网络地址、网络掩码、可分配给客户
端的IP地址范围进行配置;客户选项则对客户端连接的路由地址、客户端使用的广播地址、域名、DNS服务器地址等进行配置。
1.2系统设计
本文中SMEDSMS采用C/S结构设计。
客户端提供与服务器端认证连接功能,保证用户成功登录即
可获得与该用户绑定的相关权限;还提供浏览已备份数据文件、进行数据备份与恢复的操作界面;并且实现了客户端的跨平台移植以适应企业内部计算
机系统平台的多样化。
服务器端是SMEDSMS的主体,它提供系统的局域网共享空间管理、上网行为
管理、远程系统备份与恢复3大功能。
服务器端是基于Linux操作系统设计的,包括系统备份与恢复工具
和管理员控制台两个部分。
系统备份与恢复工具提供系统备份与恢复服务,客户机可远程获得并运行该工具进行系统备份与恢复操作;管理员控制台是
万方数据
增刊孟向向等:
中小企业数据安全管理解决方案47
进行SMEDSMS管理配置的操作平台,采用B/S结构设计实现,使企业管理员可以通过浏览器对服务器端进行远程配置和管理。
SMEDSMS系统结构如图1所示。
图1SMEDSMS系统结构图
1.2.1数据集中管理
在本文的方案中,采用RAID(redundantarrayofindependentdisk)技术在服务器端建立磁盘阵列作为局域网内的共享区。
运用LVM(109icalvolumemanager)技术进行逻辑盘卷管理划分逻辑分区,以实现在局域网共享区内为企业员工用户划分各自对应的存储空间,并进行管理等功能。
在服务器端架设SambaJ报务器,并开启smbd、nmbdH艮务。
客户端连接Samba服务器后自动把在服务器端开辟的存储空间映射到本地文件夹上,利用Samba共享实现数据的备份与恢复。
1.2.2上网行为管理
本文的方案实现了基于角色的上网行为管理,即分配给每个用户一个合适的角色,每个角色都具有其对应的权限,角色是安全控制策略的核心【3】。
运用基于数据包过滤的防火墙技术实现底层的网络访问控制,即通过检查每个数据包的报头,获得到达的物理网络接口、源/目的IP地址、协议类型等头部信息。
根据这些信息判断是否与网络访问规则集中的规则相匹配,并对匹配包执行规则中相应的禁止或允许动作。
在应用层,提供管理员控制台可以针对不同的用户制定网络访问规则、为用户创建/分配角色,从而实现基于角色的上网行为管理。
1.2.3系统备份与恢复
本文的方案中,用户计算机通过PXE(prebootexecuteenvironment)方式从服务器端获取无盘Linux
核心及文件系统并启动,系统启动后自动运行系统备份与恢复工具。
工具启动后,先以samba方式挂载用户在服务器共享空间中对应的存储分区,建立用户机与共享区的映射关系。
接着运行partimage程序即可把用户计算机的系统分区或整个硬盘生成镜像文件备份到共享区存储目录中;同样,也可以在共享区存储目录中选择先前备份所得的镜像文件进行系统分区或整个硬盘分区的恢复,从而实现系统备份与恢复功能。
1.3系统实现
根据上述设计方案,实现SMEDSMS的关键点包括客户端监听服务程序的实现、网络访
升级会员 