高校智慧校园数据安全保护解决方案.docx

高校智慧校园数据安全保护解决方案.docx

《高校智慧校园数据安全保护解决方案.docx》由会员分享，可在线阅读，更多相关《高校智慧校园数据安全保护解决方案.docx（15页珍藏版）》请在冰豆网上搜索。

高校智慧校园数据安全保护解决方案

高校智慧校园

数据安全保护解决方案

第1章数字化校园发展现状及需求分析

1.1智慧校园概念

在20世纪末提出“智慧校园”概念以来的十几年中，智慧校园经过高校信息化建设的不断摸索，逐渐的发展起来，目前已进入快速发展期。

信息技术的飞速发展为高校信息化建设提供了机遇和条件，也不断暴露出很多新问题，如信息孤岛、信息安全等问题导致业务流程不通畅、用户使用不方便、系统应用推广难等等。

随着应用系统的增多，经常需要牵扯到其它应用和流程的改造，以便进行数据共享、交换和更新。

这就需要建设一个统一的信息访问平台。

目前，国内智慧校园的发展具有明显的地域性和层次性。

发达地区的教育机构智慧校园建设程度好于欠发达地区。

高教、普教、职教、幼教、成教等各种教育层次，由于业务特性、管理体制和信息化普及程度存在差异，对智慧校园的需求和体会也存在着很大的差异性。

从差异中总结共性，针对个性化的需求模式提供定制化的校园建设方案，将现代教育思想和现代信息技术结合起来，建立了一套数字化校园解决方案，保证了学校的投资最大化、业务个性化、管理职能整合化、老师学生便利化。

智慧校园是一个广范围概念，它包括了现实校园及数字化空间，也包含了当前流行的虚拟大学。

现实校园是智慧校园的基础，智慧校园是现实校园通过信息技术在时间和空间上的扩展与延伸，它包含了现实校园及其所衍生出来的数字空间，虚拟大学是智慧校园的远程教育功能部分，是智慧校园的对外服务的部分职能，它是传统校园数字化后社会功能的延伸。

智慧校园是利用计算机技术、网络技术、通信技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制；把学校建设成面向校园内，也面向社会的一个超越时间和空间的虚拟大学。

智慧校园是以网络为基础，从环境、资源、到活动的全部数字化校园网络及其应用系统构成整个校园的神经系统，完成校园的信息传递和服务。

在智慧校园里，可以通过现代化手段，方便地实现学校的教学、科研、管理、服务等活动的全部过程，从而达到提高传统校园效率，扩展传统校园功能，最终实现教育过程的全面信息化，达到提高教育水平、管理效率的目的。

1.2智慧校园需求分析

智慧校园应用系统建设，就是通过利用校园网上的网络基础设施，构建各种校园的应用支撑平台与信息服务系统，建立一个虚拟校园的校园应用系统，实现数字化的学习和数字化的管理。

在面向信息服务的架构下，在计算资源整合、信息整合、应用整合的基础上，实现流程与内容的整合。

通过任务驱动与流程调度控制，可有效协调校园所有人员、资源调配。

可以有效提高教学、科研、管理和生活水平和运作效率。

从长远的应用和服务上，建立完善的信息管理和运作机制，全面提升学校的信息化程度。

我们认为数字化校园应该包括以下几个部分：

网络基础设施

应用支撑平台

基础应用/服务

校园网综合管理平台（电子教务、电子图书馆、一卡通、……）

网络认证体系

安全保障体系

图1智慧校园逻辑结构图

上图表示的是数字化校园系统模型，表示了智慧校园各系统模块的层次划分和关系。

关于智慧校园的分层模型描述如下：

第一层“绿色数据中心基础设施”层，包括网络、服务器、存储等硬件设备。

其中绿色数据中心支撑着智慧校园的上层应用，是智慧校园的构建基础。

第二层“应用支撑体系“层，包括数据库、网络管理、域名服务、目录服务、网上支付、校园卡等智慧校园建设所需的各核心平台。

第三层“平台软件”层，包括用户权限管理、安全运维管理、数据交换、信息发布、资源分享等，它为上层应用提供服务，是上层应用系统集成的基础。

第四层“各类校园应用”层，它是智慧校园中运行的各类业务系统，包括数字图书馆、办公自动化、网络教学、后勤服务等。

第五层“校园门户”层，它将各类信息资源与服务集成起来，是智慧校园的总入口，为用户提供统一的界面与个性化服务。

为了更好的解决众多难题和挑战，的教育行业解决方案以需求为导向，面向服务构建智慧校园整体架构体系。

通过信息服务化，将资源、数据、信息和应用流程，按照基于服务的方式整合起来，使它们之间彼此互相关联，数据共享、融通，并通过组织和业务流程再造，有效协调人员、资源，以提高教学、科研、管理、办公、学习方面的整体办事效率。

从而实现IT与业务的紧密结合，满足个性化需求，同时其快速应变能力能够灵活响应各种需求变化，支持教育改革和创新。

我们的方案着重从以下几点进行设计：

合理分布资源、信息和应用，充分利用已有建设成果，保护学校投资；

关注数据的整合和数据流的完整实现，从根源上消除信息孤岛；

支持国家要求的以及学校内的各级标准和统计上报需求，基于统一数据源，实现各种统计口径的信息汇总和决策支持；

实现应用的集成，支持业务协作、部门间流转和全校性业务的实现；

关注用户使用效率，支持多校区、多级管理和服务的实现，支持移动应用；

第2章高校虚拟化环境备份解决方案

2.1校园备份与恢复需求分析

现如今，大多数高校数据中心都建立起基于虚拟化技术的业务应用。

虚拟化可以将一台物理服务器划分为多个虚拟服务器，虚拟服务器的数量越多，资源利用率就越高。

虚拟化服务器大规模部署的同时，需要保护的数据也随之急剧增长，同时虚拟化环境中包含大量的重复数据，虚拟机环境包含很多类似的VM,每个虚拟机又有多个用于保护和灾难恢复的存储映像版本，整个虚拟机环境所需的存储容量会非常巨大。

当虚拟化服务器的数量不多时，传统的备份方式还可以解决数据备份需求，然而随着虚拟化程度的提升，以传统方式在每台虚拟机安装代理程序的作法，开始显得吃力。

当备份时间一到，所有虚拟机都开始执行备份时，无疑将制造一场备份争夺战。

如果一台物理服务器上同时进行10个备份，服务器内部的内存、CPU、网络和存储将出现激烈争斗，不仅会占用处理器运算资源，甚至数据I/O的负荷也会大到系统无法应付，以至于可能无法在预定时间内完成备份。

虚拟化环境需要有针对性的备份方案，解决系统资源占用、性能降低、备份窗口过长、备份数据量大的问题。

北京针对VMware环境的备份解决方案可以大大减少主机资源占用、降低备份容量、提高备份和恢复效率，并简化部署和管理，为VMware虚拟化环境提供高效、灵活、简单的数据备份方案，充分发挥虚拟化架构优势。

2.2校园备份与恢复解决方案

通过整合存储系统、VMwareVADPAPI、赛思备份软件或其他主流备份软件，为高校虚拟化环境提供备份解决方案，为VMware虚拟化环境提供灵活、快速、高效、可靠的备份与恢复操作。

本方案适用于高校数据中心有大量VM虚拟机，有恢复整个虚拟机或单个文件需求，且备份过程中不允许虚拟机停机的备份场景。

通过VADPAPI，备份软件可以直接访问存储上的虚拟磁盘，可以执行调用、查询，能够对运行中的虚拟机实现文件级别和虚拟机级别的备份。

还能实现增量备份，提高备份效率，极大地缩短备份窗口，而且还能有效地减轻备份对底层存储设备的I/O负担。

用户不需要在目标虚拟机上安装备份代理，备份过程从ESXserver转移到了VMware备份主机，通过备份主机就可以在不增加ESX服务器负载以及不影响虚拟机运行状态的基础上，对给定的ESX服务器上所有的虚拟机进行集中式、全面的备份和恢复。

本方案采用赛思自主知识产权的具有重复数据删除技术的存储介质，可有效节省备份存储空间。

图：

逻辑拓扑图

方案说明：

1）虚拟机不需要安装备份客户端，减少了主机资源占用，增量备份方式大大减少备份恢复时间，备份数据直接从存储传到备份服务器，不需要经过虚拟机，对虚拟机业务“零”影响，避免了备份操作对业务的影响。

2）简化的部署减少了软件License的投入，高效的备份降低了资源占用和基础设施成本，该方案可以降低管理难度和投入，用低TCO提供高效的备份服务。

2.3方案亮点

加快了虚拟化环境中的备份和恢复—满足时间安排更紧的备份窗口的要求，并可以在需要的时间内（而不是几天）恢复关键应用程序。

减少了备份窗口—最大限度地减少备份窗口以减少对应用程序和系统可用性的影响。

减少了业务风险—使用内置的硬件冗余和RAID保护，快速而准确地恢复数据。

提高了IT效率—节省大量用于备份/恢复管理工作的员工时间，大大提高用户生产效率。

节省了存储空间—采用具备重复数据删除功能的消冗网关，最大限度的实现了备份设备的容量优化。

2.4备份产品推荐

VTL3000是为提升用户数据服务效率推出的中端虚拟磁带库产品。

它采用高可靠、高可用、高安全的第五代智能引擎，拥有良好的备份和恢复速度，能大幅降低用户数据丢失的风险。

VTL3000不仅为海量数据备份提供绿色解决方案，也为用户提供从数据保护到数据容灾的完善解决方案，主要使用于政府、教育、科研、制造业和医疗等行业。

高性能

   采用企业级大容量SAS、SATA磁盘作为存储介质，采用专业的硬盘校验控制技术，支持8GbFC光纤主机接口，可选配万兆iSCSI主机接口，其多驱动、多业务并发备份吞吐率可达800MB/s。

   具有强大的虚拟能力，可同时仿真128个磁带库、1024个磁带驱动器和65535盘虚拟磁带。

灵活易用

   全冗余架构，电源、风扇等均采用冗余配置，提供部件级的可用性；iSCSI端口、FC端口均可配置为冗余工作方式。

这种配置能有效消除链路故障隐患，保证数据服务高的可用性。

   支持iSCSI和FC-SAN主机连接方式，可快速部署于现有的FC-SAN和IP-SAN中，减少部署时间。

   激活自动磁带缓冲功能后，VTL3000可无缝融入用户已有的物理磁带备份系统中。

当系统进行磁带的导入、导出及归档操作时，无需修改备份服务器的配置和策略，就可以快速提升原有物理磁带备份系统的备份性能。

   该产品采用全中文管理界面，便于用户理解掌握。

其全自动备份操作和介质管理功能，可以免除人工干预，降低管理维护难度。

高安全性

   支持磁带的导入、导出及自动归档功能。

在将数据写入到物理磁带之前，对数据进行加密，保证储存到物理磁带上的数据是加密过的安全数据。

   对于已作废的数据，可用VTL3000系统自带的磁带粉碎功能将数据彻底清除。

为保证数据安全并遵从法律法规，用户可通过粉碎功能彻底“清除”虚拟磁带数据，即便使用磁盘取证工具也无法访问已“清除”的数据。

粉碎功能可为选定的虚拟磁带执行3道清除操作：

第一道使用字符，第二道使用该字符的二进制补码，而第三道则使用随机字符。

绿色高效

   提供磁带按需扩容功能，采用虚拟化空间管理技术，仅当虚拟磁带中需要写入数据时，系统才会自动分配真实物理空间，有效避免了物理空间闲置造成的投资浪费。

   磁带压缩功能，能根据不同的备份数据类型提供不同的压缩比，最高可达8倍，充分利用磁带的物理空间。

   对于海量数据存储需求，VTL3000提供可选的重复数据删除功能，可对已备份的数据进行重复分析，剔除重复数据，去重比可达20:

1，更进一步提高存储效率；重复数据删除功能可兼容SymentecNBU、EMCNetWorker等多种主流备份软件。

远程复制/容灾

   提供虚拟磁带的远程复制功能，可一次复制超过512盘磁带，本地的备份数据可自动复制到远程的虚拟磁带中，可实现基于策略的复制，并可提供基于网络协议的数据压缩和优化，可实现128/256bitAES加密。

   本地和远端都启动重复数据删除功能后，复制前先进行重复数据删除，仅传输唯一的数据，减少复制的带宽占用，缩减备份窗口，提高备份效率，可快速实现远程容灾备份。

第3章高校容灾备份解决方案

3.1高校信息化现状

　高校信息化建设现状如何？

对容灾备份的需求点在哪里？

根据市场调研数据分析如下：

　　高校主要是各综合性高等院校。

根据走访的行业渠道及终端院校，高校信息化建设基本成型，主要应用系统基本部署完毕，大致如下：

　　1、综合治理平台：

主要包括校园OA系统、教育治理系统、学籍治理系统等普教综合业务，是基于数据库服务的应用系统，基本上每个学校都有这样的系统。

　　2、教学治理管理平台：

大致包括教师备课系统、远程教育系统、数字图书馆系统、在线考试系统等。

教师备课系统：

基于文件型服务的应用系统，主要记录教师的课件、科研、心得体会、总结等。

数据类型通常是非结构化的文件。

远程教育系统：

是一个整体的网络化学习解决方案，一般包括：

在线学习及管理系统、课件制作系统、在线同步音视频课堂系统、录播室、配套的网络设备及服务器等，可以完成在线学习课程、学习管理、资源管理、课件制作、在线同步音视频课堂、录课等功能。

数字图书馆系统：

实现电子图书及多媒体资源的阅读与管理,是信息发布和资源共享的互动平台及信息门户，提供一个面向知识管理、知识检索、知识学习、知识传播的数字化学习和教育的资源管理系统。

在线考试系统：

此系统多为有在线考试需求后者在线教育机制的高校启用，且系统应用多为周期性，时间不长，但在用期间要求业务不中断、数据高可用。

　　3、一卡通系统：

以食堂、浴室、校园超市等其它校园消费渠道为业务载体的信息化管理系统。

目前已发展成为多种应用功能的集成卡片，为各大院校所追捧。

多为各大银行与一卡通厂商合作推广，从资金流通中获取收益，学校一般不需要购买系统。

　　4、财务管理系统：

多为各主流财务管理软件，windows平台，数据库比较简单。

操作者为单一部门，数据非常重要，应用系统不可中断，与教育系统内部系统及外部金融管理机构有数据交换。

　　5、后勤管理系统：

主要是学校后勤物资信息化管理系统，服务于后勤物资的采购、归档等资产物流管理。

另外，还包括节能环保系统等服务于后勤部门信息建设的各业务应用系统。

目前基本上没有做备份，多为冷备份。

　　6、国家实验室管理系统：

部分重点高校用于技术研究、实验教学的系统系统。

7、门户网站：

各院校的网站门户，可与其它应用系统做接口，用于学校宣传、信息发布的服务性系统。

3.2容灾备份需求分析

针对以上高校信息系统数据及业务特点，容灾备份需求分析如下：

　　1、综合治理平台：

首先，应用系统具有普遍性，可以说必备的系统。

因此，容灾需求是统一的，项目的可复制性很强，容易做成标准化项目做推广。

唯一的不同在于各校负责人对基础数据安全的重视程度不一，也决定了容灾备份需求的轻重缓急。

其次，对应用级容灾的需求较高，数据要求实时备份，业务不中断，尤其是OA系统。

第三，不允许有单点故障，数据零丢失，出现数据丢失时可以找回丢失的数据。

　　2、教师备课系统：

因为数据多为非结构化的文件系统，需要做实时数据备份或定时备份，当教师的计算机出现问题时，可以通过服务器找回数据，快速恢复。

目前，此项需求在条件较好、有一定的购买力的学校，需要引导和挖掘。

　　3、在线考试系统：

从系统的特点上看，属于应用级容灾需求，目前主要在HA方面做了很多部署，容灾备份方面基本上没有做数据备份，更多的关注系统备份。

应引导客户在重视数据高可用的同时更应该关注系统及数据的备份容灾。

客户群体数量一般。

　　4、远程教育系统、数字图书馆系统：

要求数据零丢失，业务可以允许中断，属于数据级容灾需求。

　　5、一卡通系统：

此系统由于涉及师生的消费，和经济利益直接挂钩，且实时运营。

因此，容灾备份的需求最明显，且要做到数据零丢失、业务不中断，最好有异地备份，当数据丢失时能够找回丢失的数据。

目前，部分高校面临系统升级和扩容，项目周期较长，一般在假期实施。

一卡通厂商同样很乐意与容灾备份厂商合作，是教育行业容灾备份做的最多的一个系统。

　　6、财务管理系统：

此系统由于和金钱关联，所以系统的重要性也是很高，但目前很多教育行业用户不重视，多采取定时拷贝的冷备份方式，甚至纸质存档为主。

容灾备份需求同样属于应用级容灾，数据零丢失，业务不中断，数据可找回。

需要引导客户重视此系统的数据安全，做好容灾备份，后期做应用推广。

　　7、后勤管理系统：

实时性要求不高，多为定时备份。

数据比较重要，需要做备份。

属于数据及容灾，除逻辑性数据外还包括部分文件数据。

8、门户网站系统：

各个用户对门户网站的重视度不一样，决定了容灾需求不同。

但数据是比较重要的，包括一些非结构化文件数据信息。

数据级容灾是最低要求，也可做成应用级容灾，保障门户网站的业务不中断。

3.3高校容灾备份解决方案

目前大多高校数据中心多为刀片服务器集群，并做虚拟化，客户在选择容灾备份产品时，更多地关注传统虚拟化设备或软件厂商提供的建设方案，甚至将数据的高可用误认为是容灾备份方案。

事实上，无论是服务器的集群还是存储的冗余，高可用的方案对于数据来讲只有一份，不是备份的概念，且无法解决逻辑性错误、存储的单点故障等问题。

因此，在容灾备份建设的前期要从根本上确立容灾备份建设目标，选择合适的容灾备份方案。

　　目前，容灾备份技术已发展为CDP（持续数据保护）阶段，关于CDP的定义，SNIA（全球网络存储工业协会）的CDP技术小组公布了一份CDP的技术文档，其中明确指出了CDP的三要素：

可以捕获任意的数据变化，至少可以备份到另外一个地方（异地容灾），可以恢复到任意时间点。

只有全部满足以上这三条要求的CDP产品才能称为真CDP。

依据这样的标准，复制类技术（同步以及异步镜像等）、快照技术（指针快照以及分割镜像快照等）以及任何有备份窗口的计划备份都不属于CDP产品。

“由此可见，CDP一定能实现RPO为零的实时备份，但是能实现实时备份的产品未必是CDP，因为所谓的实时备份产品也未必能实现恢复到任意时间点。

　　由以上分析可以看出，高校信息系统即有数据级容灾需求，也有应用级容灾需求。

在容灾建设投入时应该根据高校自身应用系统特点，做到全面、适宜的保护，结合自身的资金预算，选择TCO合理整体解决方案。

北京产品线可以因地制宜为高校用户量身打造适合目前需求及未来容灾规划的解决方案。

针对这一需求，推荐采用以下数字化校园容灾解决方案，确保当单个系统出现故障时，最大限度减少数据的丢失量（包括零丢失），最快速度的恢复关键应用系统，提高数字化信息系统的整体服务级别。

容灾备份方案的拓扑结构如下图所示：

图：

高校CDP异地容灾备份方案拓扑图

方案说明：

　　CDP实现了高校主校区生产数据中心与分校区容灾中心之间的容灾。

在灾难发生时，用户可以根据需要立即使用容灾数据接管生产或进行数据恢复，用户可以随时在不影响生产系统正常运行的情况下，进行恢复演习或数据验证。

根据学校的未来发展规划，将在本部校区与远在异地的其它分校区之间建立起远程容灾体系，实现更加完善可靠的数据保护。

而CDP搭建的容灾系统，可以轻松扩展，帮助用户实现“两地三中心”的更高级容灾架构需求。

3.4方案亮点

✓基于存储虚拟化平台，实现数据的集中存储，提高数据存取访问性能，提高系统可用性及数据安全性

✓提供两个校区间的异地容灾备份能力，能够防御一定级别的灾难

✓即使发生生产中心主磁盘整体故障，仍然可以通过灾备中心提供的存储设备继

续生产，极大提升系统可用性

✓无需备份窗口，数据恢复时间从数小时缩短为几分钟

✓备份数据所占用空间由原来的生产数据容量的数倍缩减为1.5倍

✓便于未来基于广域网窄带链路的远程异地容灾架构扩展

3.5赛思CDP产品介绍

图：

SR1000CP

SR1000CP持续数据保护系统，可实现企业级用户对本地数据的持续数据保护要求，可保障PRO接近于零；通过数据接管功能可以实现主机业务系统的不间断运行，满足窗口行业对RTO的苛刻要求；其独特的时间点数据的提取与映射功能，可在不影响业务系统情况下随时进行数据的测试及验证；对于数据的历史版本可按需进行归档至带库设备；而其灵活性的设计，可以实现一对多、多对一等容灾架构。

极好的稳定性、高性能设计，让您的数据高枕无忧。

广泛的兼容性、灵活的扩展性和简化的全中文图形化管理更是有效地降低成本。

传统的备份机制通常是一天产生一份副本，还原点的计算单位为天，若生产数据出现故障或损坏需要进行恢复时，也只能以天为单位来选择还原点，会导致以天为单位的数据丢失。

SR1000CP通过虚拟快照技术有别于其它产品的快照技术，其它产品通常都有快照数量的限制，而SR1000CP可提供无数个可恢复点，因此能提供无限制的还原能力，用户可将数据还原到过去任何一个可恢复点，可避免由于病毒、误操作等原因导致的数据丢失。

同时任何一个可恢复点都可以快速进行分配，便于查询及验证数据的有效性。

由于我们的虚拟快照技术只是记录地址指针的变化，一旦需要将系统回退到某一时间点，SR1000CP可以立即实现历史数据的瞬间映射和恢复机制。

在容灾备份体系中，可以轻松、快速地实现数据库数据、文件数据等时间点的即刻恢复，保障数据提取和分析、查询等功能应用。

在持续数据保护的机制下，快速恢复当前及历史数据已经不再是难事。

这样的高效备份和恢复技术是容灾备份解决方案的独到之处。

产品特性

统一的平台

-备份容灾一体化

-本地、异地统一管理

满足RPO\RTO的苛刻需求

-无需恢复，立即可用

-可快速恢复任意时间点数据

满足多种容灾需求

-快速容灾切换

-“多对一”应用级容灾

-不影响主机业务的容灾演练

便捷管理

-适应国人习惯的全中文图形化界面

-支持全功能统一管理界面