档案局数据安全方案.docx
《档案局数据安全方案.docx》由会员分享,可在线阅读,更多相关《档案局数据安全方案.docx(13页珍藏版)》请在冰豆网上搜索。
档案局数据安全方案
昆明市官渡区档案局
数据安全存储建设方案
云南星飓力科技有限公司
2011年5月10日
目录
第一章概述3
1.1数据安全的重要性3
1.2项目建设目标3
第二章如何进行数据安全建设3
2.1为什么采用数据集中存储系统4
2.3为什么采用数据自动备份系统5
2.4为什么采用高可用系统5
2.5为什么采用冗灾系统5
2.6数据安全建设存储、备份、高可用、冗灾的比较表5
第三章项目建设具体状况和需求7
3.1整体建设要求7
3.2网络状况7
3.3业务系统7
第四章方案设计8
4.1方案拓扑8
4.2新增设备9
4.3系统描述(从存储、高可用两个方面进行了数据安全建设)9
4.4目标分析9
4.5功能描述9
第五章产品清单10
第六章产品技术资料10
6.1MSAP2000G3磁盘阵列技术参数10
第一章概述
1.1数据安全的重要性
在现代的信息化社会中,数据是服务的基础,是数据中心最重要的财富.尤其在提供数字化信息的数据中心,没有数据就没有有服务,所有的考虑都应该以数据为中心.如何确保数据的安全存储?
如何使数据有最大的高可用性?
如何使系统持续运行服务不间断?
是架构数据中心数字化信息管理系统的网络计算环境必须优先考虑的.基于这种以数据为中心的概念,数据中心数字化信息管理系统的中心应该是数据的安全存储设备.所以我们在架构这样一个数字化信息系统的网络计算环境时,必须考虑到这个计算环境是否具有高可用性以维持不间断的高品质服务?
所谓高可用性的计算环境,也是信息管理人员所必需考虑的四件事:
∙如何集中存储数据,最大化利用存储空间并集中管理维护
∙如何保证数据的安全
∙要怎样使数据有一个安全的存储和操作方式,即使在设备故障时仍能保持数据的完整一致.
∙要怎样使服务器系统持续运行,即使发生故障仍然能使服务持续下去.
∙要怎样使整个计算环境能更好的管理,如何容错、容灾、集群共享.
∙如何使投资有最好的效益,使系统有最佳的扩充能力,符合现在及未来的需要,及有最低的整体拥有成本.
也就是在任何情况之下均能确保数据的完整一致,系统持续运行,维持高品质的不间断服务,同时还有最好的投资回报率.
1.2项目建设目标
为整个存储系统提供稳定、安全、高速、可靠、易扩展的存储空间,使昆明市官渡区档案局存储系统成为信息资源整合、共享和优化配置的先进技术手段和载体;成为一个真正的数据中心,实现信息共享和增值服务。
存储系统方案的设计定位在昆明市官渡区档案局整体存储上,方便以后各系统的接入和存储系统扩容。
第二章如何进行数据安全建设
完整的数据安全包括:
存储、备份、高可用、冗灾四个部分,下面分别做详细说明:
2.1为什么采用数据集中存储系统
现状及问题
1.数据格式的不统一所导致的管理困难,不利于业务的发展。
多年以来,各地方各自为政,按照自己的喜好采购硬件,开发软件系统,导致不同的系统平台,数据格式也不完全统一,数据之间的迁移/转换更加复杂,需要额外的硬件和软件支持;而且,最为关键的是政府部门没有一本完整的账目,不能做出及时的决策,对今后的发展极为不利;
2.分布式管理所带的巨额管理费用已经得不偿失。
以前,相关委办局往往会陷入一个误区,认为分布式管理会节省费用,但一旦购买了一定量的存储容量后,管理费用(维护费用,升级费用,人工费用等)成为最大的支出项目,而且这笔支出将贯穿整个产品的生命周期,因此管理费用是整套产品的最大投资,而且这个管理费用还在不断上升。
因此,银行,电信,企业,教育等均在着手对存储数据进行整合。
解决方案
今天来说,集中化的存储管理思想是一种非常有效的经济的存储管理解决方案。
因为对于磁盘阵列来说,只有一套管理系统,这样就可以极为方便地进行磁盘监控,性能调试。
增加或者重新配置磁盘也变得非常简单。
最大化的合成集中设备,也使得存储系统的宕机风险降至最低。
同时,一套完善的备份方案就可以有效地进行数据备份及恢复。
方案的优点
1.可以极大地保护用户的投资,降低用户管理费用,从而确保整体拥有成本最低。
2.降低管理难度,维护数据管理的统一性。
3.提高了电子化数据管理的可靠性。
数据的集中化管理,能够确保数据的一致性和完整性,保证电子化数据的可靠性。
4.开放的标准,能够支持多平台的整合,包括:
HP-UX,IBMAIX,SunSolaris和MicrosoftWindowsNT,W2K.
存储的基本模式
1.NAS模式:
将存储设备直接联入核心交换机
2.DAS模式:
将存储设备直接与服务器连接的模式
3.SAN模式:
将所有的服务器、存储设备通过专用存储光纤交换机连接
总体来说,NAS只能作为文件级别的存储,主要用于文件的管理和存储,同时进行数据备份,DAS是90年代用的最广泛的模式,近年来,随着光纤技术和光纤存储的日益完善,以及光纤存储在速度、稳定、安全、高效各方面的优势,SAN存储模式已经逐步替代了DAS模式而成为目前最为广泛、先进、成熟的存储模式
存储模式
NAS
DAS
SAN
组合模式
存储对象
文件
文件、数据库
文件、数据库
根据需求进行组合,集中各种模式的优势
速度
快
较快
快
安全性
高
较高
高
容量
高
较高
高
扩展性
不易扩展
扩展柜扩展
方便扩展
价格
低
中
高
2.3为什么采用数据自动备份系统
昆明市官渡区档案局的核心业务系统,系统上的数据极其重要。
因而,如何保护好计算机系统里存储的数据,保证系统稳定可靠地运行,并为业务系统提供快捷可靠的访问,是系统建设中最重要的问题之一。
而要保证系统稳定可靠地运行,除了要利用高可用的在线数据解决方案,另外一个关键的要素是要保护基于计算机的信息,也就是存储在计算机内的数据。
虽然,计算机技术的发展给人们的日常生活提供了很多便利,然而,人为的操作错误,系统软件或应用软件的缺陷、硬件的损毁、电脑病毒、骇客攻击、自然灾难等等诸多因素都有可能造成计算机中数据的丢失,从而给企业造成无可估量的损失。
为了保护出版社应用系统的关键业务数据,我们必须对这些数据进行有效的备份,并支持快速恢复。
2.4为什么采用高可用系统
无论网络核心的服务器发生何种硬件和软件故障,都能保证数据不丢失、网络不断线,保持整个网络时时可用
高可用是保证无论在网络中任何一台服务器故障宕机后整个网络正常运行的关键,也是网络中关键应用的必须保障,在现代的OA办公、电子政务、收费系统等均采用了这种方式。
2.5为什么采用冗灾系统
任何先进的设备和网络都无法避免存在不可抗拒的灾难,包括火灾、机器的损坏、地震等,冗灾的目标就是在保证发生灾难后,数据依然能够保持完整,并为网络提供实时可用的数据。
2.6数据安全建设存储、备份、高可用、冗灾的比较表
数据安全
存储
备份
高可用
冗灾
定义
将整个网络的数据集中保存在磁盘阵列
采用专业备份软件将文件、数据库、系统等重要数据全自动、按策略的定时备份到目标存储设备
采用高可用软件将网络服务器、存储设备捆绑,防止网络中任何一台服务器、存储设备的故障造成的网络瘫痪
采用冗灾软件将重要数据“镜像”到另外一个存储设备,防止某一存储设备发生不可抗拒灾难后的数据完整和实时可用
实现方式
NAS/DAS/SAN
专业备份软件
高可用软件
冗灾软件
目标
整和分散存储数据,提高本地数据存储的速度和安全性,提高存储空间利用效率
将重要数据备份后,可以防止系统崩溃、人为误操作、病毒、黑客等对数据的破坏
防止网络中某一台服务器或者光纤交换机、存储设备的故障造成的网络瘫痪
防止发生不可抗拒外力时的数据完整性
好处
提高网络速度、提高数据安全性、方便管理数据和维护
不会因为各种人为原因造成数据丢失
防止因为网络硬件的故障造成网络瘫痪
防止灾难造成的数据丢失和网络瘫痪
说明:
1.存储磁盘阵列实现后,类似服务器多出一个大容量、高安全的本地硬盘,但它提高了数据的传输速度、数据本地的安全性等,是整个网络在线访问本地数据的集中地。
2.备份可以定时、全自动、按设置好的策略进行数据“拷贝”,它的好处在于可以防止人为的误操作、病毒、黑客的破坏,当意外破坏发生后,我们可以按照要求将文件或者数据库数据恢复到我们需要的一个时间点,从而避免各种破坏造成的影响,但它只能将数据恢复到上次备份的时间点,不能做到恢复到任意时刻
3.高可用实现后,可以从服务器、光纤交换机、磁盘阵列、连接线缆等各个方面保证整个网络的时时可用,是提高网络可用性的关键,即使这些设备发生故障,网络仍然可以使用并没有任何影响,同时报警,及时修复。
4.冗灾可以保证两个存储设备的时时同步,如同对数据做了一个“镜像”,两个存储设备间的数据完全一致,当某一个存储设备故障后,另外一个存储设备可以自动进入网络,保证数据不丢失的情况下维持网络的时时可用,但如果出现人为误操作、病毒、黑客的破坏,因为两地的数据是同步的,所以两地的存储同时被破坏,不能恢复到你未被破坏的时间点。
5.完整的数据安全需要四个部分全部考虑,只考虑其中一个和几个不能做到完成绝对意义的数据安全,尤其是在备份和冗灾中,各有自身的特点,只是在考虑资金、安全性等各方面的同时先建设其中几个部分。
第三章项目建设具体状况和需求
3.1整体建设要求
整体采用先进的存储、数据安全建设模式
信息数据的安全最为重要
方案提供商必须是专业数据安全建设厂商,提供确实、有效、稳定、先进的方案
方案制定实施商并须具备丰富的数据安全中心建设经验案例
专业的数据存储管理工具软件
为以后的升级和扩展提供良好平台
3.2网络状况
目前已经建立了良好布线网络及应用,主要包括:
1、全部布线终点
2、预留的服务器、交换机、防火墙接口
3、机房、终端接入系统等
3.3业务系统
1、数据需要存入存储系统的数据包括:
应用服务器数据库、文件:
●系统数据(数据库)
●文件
2、要求存储系统的磁盘阵列可见容量8T。
3、接入存储系统情况
系统名称:
数据中心
应用系统
主机数量及型号
1台
主应用服务器
HPDL388G7
操作系统及版本
WINDOWSSEVER
配置信息
标配1个英特尔®至强®处理器E5620(四核2.40GHz,12MB共享三级缓存,80W);可支持2个四核或双核IntelXeon5600处理器,Intel5520芯片组;2GB(1x2GB)PC3-10600R(寄存式内存);18个内存插槽,最多192GB内存;标配2个NC382i多功能双口千兆以太网卡;标配集成1个HPSmartArrayP410i智能阵列控制器,无缓存;标配3个PCI-E2.0插槽(1个全高全长x16,2个全高半长x8插槽),可额外添加3个;N+1个冗余系统风扇-4个(随第二个处理器附带可额外增加2个风扇);标配无硬盘;标配支持8块SFF小尺寸热插拔硬盘,可选16SFF小尺寸硬盘笼;5个USB(后面2个,前面2个,内部1个),SD插槽1个;集成Lights-Out3(iLO3);1个460W热插拔电源,支持1+1冗余;2U高度;含导轨
存储文件的类型
数据库数据;文本、视频、音频、图片等文件
第四章方案设计
根据需求,我们制定如下的技术方案:
4.1方案拓扑
HPDL388G7server
MSAP2000G3磁盘阵列
4.2新增设备
硬件类:
1)MSAP2000G3磁盘阵列1台
软件类:
1)存储管理软件
详细设备清单请参考附件的设备清单。
4.3系统描述(从存储、高可用两个方面进行了数据安全建设)
1.存储模式:
整体方案采用DAS的模式建立,其中服务器直接连接磁盘阵列组成DAS网络。
形成网络和对日常采集文件、处理中文件、数据库数据的分级存储
4.4目标分析
1、速度:
✓磁盘阵列速度:
每台磁盘阵列具备4个4GbFC主机通道
✓磁盘阵列本身采用64位RISCCPU,为磁盘阵列本身提供高速度运算能力
2、安全:
✓网络安全:
黑客防火墙、病毒防火墙完成
✓磁盘阵列本身:
具备控制器、cache、HDD三层保护RAID信息来保护raid信息安全,同时,可以通过各种RAID级别保护因为硬盘的损坏造成的数据丢失
✓网络数据安全:
通过高可用达到最高安全要求
4.5功能描述
1、存储扩展:
✓磁盘阵列扩展:
可以直接通过JBOD模式最大扩充到114块硬盘容量
✓DAS存储扩展:
可以通过直接在阵列上增加存储设备在线扩展
2、数据集中:
✓支持将所有数据库数据等集中保存到磁盘阵列,做到集中管理,集中维护,降低TCO成本
3、管理集中:
✓通过管理工具软件RAIDWATCH实现对所有的存储系统的集中管理
✓RAIDWATCH可以监控存储系统的状况、可用性、性能表现、各类性能参数以及配置情况
✓存储管理软件可以对数据进行安全保护,防止未授权的用户打开保护的文件系统
4、多平台支持:
✓存储系统支持目前最广泛的平台,包括:
UNIXAIX/SUNSOLARIS/LINUX/WINOWS等
5、系统持续支持高可用性:
✓存储系统采用专业64位RISCCPU,专用cache,掉电保护cache数据等功能可以为网络提供高可用性
6、系统性能:
✓存储系统采用单通道4000MB带宽、I/O处理能力大于220000,最大4GCache、优化的Cache算法等来保证系统的高性能
7、支持的RAID级别:
✓存储系统支持RAID0/1/3/5/10/50等多种RAID级别
✓存储系统盘位饱合后,可以采用JBOD的模式增加扩展柜来提高存储空间
8、数据共享:
✓提供所有的DAS网络服务器共享所有的存储设备空间,该共享包括存储硬件设备、文件、数据库等
✓多个服务器共享存储设备上的数据,通过专业存储管理软件,可以同时具备优异的文件读写效率、完善的安全访问控制及并发读写控制
✓共享文件系统支持主流集群操作系统和数据库应用
✓共享文件系统支持异构平台的读写访问,这些异构平台包括Solaris、WindowsNT、Linux等并支持目前通用的共享文件协议,如NFS、CIFS等
第五章产品清单
名称
品牌
型号
数量
描述
详细参考附件的EXCEL文档
第六章产品技术资料
6.1MSAP2000G3磁盘阵列技术参数
1)高可靠性
磁盘阵列要和服务器之间真正实现了物理隔离,磁盘阵列有自己的CPU、内存、有自己的IO通道,有自己的CACHE,有RAID控制器,不再占用服务器的资源,也不受服务器的影响和控制。
磁盘阵列系统采用的是真正光纤通路的RAID系统,它的传输速率可达4GB/S。
专门为企业级用户关键性应用场合而设计,是服务器和工作站首选的数据存储设备。
采用RAID技术和光纤模块可使主机系统具有高速度、大容量和容错的特征。
是一组结合高可靠性、可扩充性及高效率的磁盘阵列系统。
磁盘阵列系统支持的RAID级别有0,1,3,5,6,10,支持通过RJ45接口的带外管理有简单易操作的JAVA的图形界面。
图形界面可以显示RAID状态、硬盘重建、RAID等级及缓存容量,监视磁盘阵列的运行状态,并可以设定和建立RAID系统。
磁盘阵列系统还提供RS-232串口,通过终端或个人电脑(PC)来设定参数,建立可管理RAID系统。
磁盘阵列系统模块可满足数据安全、超大容量和高速度的要求。
在设计中采用了多重冗余措施(电源、风扇、硬盘甚至控制器),从而保证所存储的数据不会被意外破坏,采用高速接口使得数据传输更快、更安全。
硬盘的在线拔插和热备用(HotSpare)功能使得数据的安全性进一步大大加强。
选用BatteryBack-up模组可保护高速缓存内的资料在停电时72-168小时不会丢失,并在电源恢复后将缓存内的高速缓存数据写回硬盘。
2)可扩充性
磁盘阵列系统支持4GB光纤通道。
可使磁盘阵列同时连接多部主机,使主机间能够共享磁盘阵列系统。
最多可以支持多达512个LUN,每一LUN可以规划使用不同的RAID级别,并可以在线扩充硬盘容量。
同时磁盘阵列提供多种扩充组件,使整个系统的连接更富有弹性。
3)先进性
磁盘阵列系统有64个主机通道。
磁盘阵列系统内部全部采用模块化设计,如:
硬盘盒、电源、风扇等,使系统更加容易维护和管理。
精良的设计使产品的抗干扰性、空气流通性以及结构稳定性大大加强;比前一代产品更加合理,外观设计也更加美观。
5)兼容性
几乎所有的服务器(如:
HP、IBM、COMPAQ、SUN、ACER、联想、浪潮、方正等)和小型机(如:
HP、IBM、SUN等)都可以和磁盘阵列系统进行无缝连接。
支持所有流行网络操作系统(如:
UNIX、WINDOWS、Solarix、LINUX、HPUNIX、IBMAIX等)
6)高性能
采用全新的体系结构―提高了系统的I/O能力,在目前4个4Gbps的接口情况下系统最大IO能力可以达到220000IOPS。
7)高灵活性
磁盘阵列支持在线的逻辑卷扩容。
在线更改RAID级别,在线更改条带深度。
RAID信息保存在每一块成员盘上,硬盘顺序打乱数据不丢失。
RAID可在同型号盘阵中迁移。
8)全光纤模块化设计,负载平衡的后端结构:
产品在其控制器内部通路与主机连接通道两个部分均采用了全光纤通道标准设计,每条通路可达到400MB/S 传输速度,形成了一个良好通路传输环境。
并且在系统的后端磁盘环路结构中,公司采用了业界独有的HA的结构这样的好处显而易见,无单点失败。
无论是控制模块还是容量扩展模块中的磁盘都是平均分布在两个负载分担的光纤通道环路对上,这样保证了在任何容量规格配置的情况下都具有很好的性能表现。
9)模块设计与易升级设计:
产品均采用模块设计,所有部件均可在带电情况下热插拔升级、扩充、维护与维修。
10)全新的高性能结构:
采用全新的体系结构提高了系统的I/O能力,在目前4个4Gbps的接口情况下系统最大IO能力可以达到220000IOPS。
11)很好的扩展性:
系统最大容量可以配置114块磁盘,在使用300G磁盘的情况下可以达到35TB的磁盘容量,并且支持不同容量的硬盘混装。
12)可管理性:
可以通过多种方式进行系统管理,包括:
RAIDWATCH带内方式和带外方式,方便用户管理。
技术规格
RAID技术特性
MSAP2000G3
RAID控制器
双互活动RAID控制器
控制器缓存
2GB
支持RAID级别
0、1、3、5、6和10
存储分区数量
最大支持到64
扩展连通性
主机接口特性
支持光纤通道交换和FC仲裁环路(FC-AL)
主机接口数量
最大支持64个主机
磁盘通道接口
16位可热插拔式FC磁盘通道
FC接口模块
标准光纤4Gbps接口转换器(SFP)
特性
集中存储
支持
分级存储
支持
存储虚拟化管理
支持
基于磁盘阵列的冗灾
支持
备份及指针快照功能
支持
系统性能
每秒最大I/O(Cache)
220,000IOPS
每秒最大传输率(MB/s)
1600MB/s
操作供电规范
温度
10℃-40℃
湿度
8%-80%(非凝结环境)
电源
115V-230V、47Hz—63Hz
系统兼容性
支持操作系统
WindowsNT/2000
NovellNetWare
Linux
IBMAIX
SUNSolaris
HP-UX
光纤设备支持
Brocade
Vixel
Gadzoox
Qlogic
系统管理软件
RAIDWATCH
通过认证
MicrosoftCluster认证,SANMARK认证
升级会员 