档案局数据安全方案.docx

1、档案局数据安全方案昆明市官渡区档案局数据安全存储建设方案 云南星飓力科技有限公司2011年5月10日目录第一章 概述 31.1数据安全的重要性 31.2项目建设目标 3第二章 如何进行数据安全建设 32.1为什么采用数据集中存储系统 42.3为什么采用数据自动备份系统 52.4为什么采用高可用系统 52.5为什么采用冗灾系统 52.6数据安全建设存储、备份、高可用、冗灾的比较表 5第三章 项目建设具体状况和需求 73.1整体建设要求 73.2网络状况 73.3业务系统 7第四章 方案设计 84.1 方案拓扑 84.2 新增设备 94.3 系统描述（从存储、高可用两个方面进行了数据安全建设） 9

2、4.4 目标分析 94.5 功能描述 9第五章 产品清单 10第六章 产品技术资料 106.1 MSA P2000 G3磁盘阵列技术参数 10 第一章 概述1.1数据安全的重要性在现代的信息化社会中, 数据是服务的基础, 是数据中心最重要的财富. 尤其在提供数字化信息的数据中心, 没有数据就没有有服务, 所有的考虑都应该以数据为中心. 如何确保数据的安全存储? 如何使数据有最大的高可用性? 如何使系统持续运行服务不间断? 是架构数据中心数字化信息管理系统的网络计算环境必须优先考虑的. 基于这种以数据为中心的概念, 数据中心数字化信息管理系统的中心应该是数据的安全存储设备. 所以我们在架构这样一

3、个数字化信息系统的网络计算环境时, 必须考虑到这个计算环境是否具有高可用性以维持不间断的高品质服务? 所谓高可用性的计算环境, 也是信息管理人员所必需考虑的四件事： 如何集中存储数据，最大化利用存储空间并集中管理维护 如何保证数据的安全 要怎样使数据有一个安全的存储和操作方式，即使在设备故障时仍能保持数据的完整一致. 要怎样使服务器系统持续运行, 即使发生故障仍然能使服务持续下去. 要怎样使整个计算环境能更好的管理，如何容错、容灾、集群共享. 如何使投资有最好的效益，使系统有最佳的扩充能力, 符合现在及未来的需要, 及有最低的整体拥有成本.也就是在任何情况之下均能确保数据的完整一致, 系统持续

4、运行, 维持高品质的不间断服务, 同时还有最好的投资回报率.1.2项目建设目标为整个存储系统提供稳定、安全、高速、可靠、易扩展的存储空间，使昆明市官渡区档案局存储系统成为信息资源整合、共享和优化配置的先进技术手段和载体；成为一个真正的数据中心，实现信息共享和增值服务。存储系统方案的设计定位在昆明市官渡区档案局整体存储上，方便以后各系统的接入和存储系统扩容。第二章 如何进行数据安全建设完整的数据安全包括：存储、备份、高可用、冗灾四个部分，下面分别做详细说明：2.1为什么采用数据集中存储系统现状及问题 1. 数据格式的不统一所导致的管理困难，不利于业务的发展。多年以来，各地方各自为政，按照自己的喜

5、好采购硬件，开发软件系统，导致不同的系统平台，数据格式也不完全统一，数据之间的迁移转换更加复杂，需要额外的硬件和软件支持；而且，最为关键的是政府部门没有一本完整的账目，不能做出及时的决策，对今后的发展极为不利； 2. 分布式管理所带的巨额管理费用已经得不偿失。以前，相关委办局往往会陷入一个误区，认为分布式管理会节省费用，但一旦购买了一定量的存储容量后，管理费用（维护费用，升级费用，人工费用等）成为最大的支出项目，而且这笔支出将贯穿整个产品的生命周期，因此管理费用是整套产品的最大投资，而且这个管理费用还在不断上升。因此，银行，电信,企业,教育等均在着手对存储数据进行整合。 解决方案 今天来说，集

6、中化的存储管理思想是一种非常有效的经济的存储管理解决方案。因为对于磁盘阵列来说，只有一套管理系统，这样就可以极为方便地进行磁盘监控，性能调试。增加或者重新配置磁盘也变得非常简单。最大化的合成集中设备，也使得存储系统的宕机风险降至最低。同时，一套完善的备份方案就可以有效地进行数据备份及恢复。 方案的优点 1. 可以极大地保护用户的投资，降低用户管理费用，从而确保整体拥有成本最低。 2. 降低管理难度，维护数据管理的统一性。 3. 提高了电子化数据管理的可靠性。数据的集中化管理，能够确保数据的一致性和完整性，保证电子化数据的可靠性。 4. 开放的标准，能够支持多平台的整合，包括：HP-UX,IBM

7、 AIX, Sun Solaris和Microsoft Windows NT, W2K. 存储的基本模式1. NAS模式：将存储设备直接联入核心交换机2. DAS模式：将存储设备直接与服务器连接的模式3. SAN模式：将所有的服务器、存储设备通过专用存储光纤交换机连接总体来说，NAS只能作为文件级别的存储，主要用于文件的管理和存储，同时进行数据备份，DAS是90年代用的最广泛的模式，近年来，随着光纤技术和光纤存储的日益完善，以及光纤存储在速度、稳定、安全、高效各方面的优势，SAN存储模式已经逐步替代了DAS模式而成为目前最为广泛、先进、成熟的存储模式存储模式NASDASSAN组合模式存储对象文

8、件文件、数据库文件、数据库根据需求进行组合，集中各种模式的优势速度快较快快安全性高较高高容量高较高高扩展性不易扩展扩展柜扩展方便扩展价格低中高2.3为什么采用数据自动备份系统昆明市官渡区档案局的核心业务系统，系统上的数据极其重要。因而，如何保护好计算机系统里存储的数据，保证系统稳定可靠地运行，并为业务系统提供快捷可靠的访问，是系统建设中最重要的问题之一。而要保证系统稳定可靠地运行，除了要利用高可用的在线数据解决方案，另外一个关键的要素是要保护基于计算机的信息，也就是存储在计算机内的数据。虽然，计算机技术的发展给人们的日常生活提供了很多便利，然而，人为的操作错误，系统软件或应用软件的缺陷、硬件的

9、损毁、电脑病毒、骇客攻击、自然灾难等等诸多因素都有可能造成计算机中数据的丢失，从而给企业造成无可估量的损失。为了保护出版社应用系统的关键业务数据，我们必须对这些数据进行有效的备份，并支持快速恢复。2.4为什么采用高可用系统无论网络核心的服务器发生何种硬件和软件故障，都能保证数据不丢失、网络不断线，保持整个网络时时可用高可用是保证无论在网络中任何一台服务器故障宕机后整个网络正常运行的关键，也是网络中关键应用的必须保障，在现代的OA办公、电子政务、收费系统等均采用了这种方式。2.5为什么采用冗灾系统 任何先进的设备和网络都无法避免存在不可抗拒的灾难，包括火灾、机器的损坏、地震等，冗灾的目标就是在保

10、证发生灾难后，数据依然能够保持完整，并为网络提供实时可用的数据。2.6数据安全建设存储、备份、高可用、冗灾的比较表数据安全存储备份高可用冗灾定义将整个网络的数据集中保存在磁盘阵列采用专业备份软件将文件、数据库、系统等重要数据全自动、按策略的定时备份到目标存储设备采用高可用软件将网络服务器、存储设备捆绑，防止网络中任何一台服务器、存储设备的故障造成的网络瘫痪采用冗灾软件将重要数据“镜像”到另外一个存储设备，防止某一存储设备发生不可抗拒灾难后的数据完整和实时可用实现方式NAS/DAS/SAN专业备份软件高可用软件冗灾软件目标整和分散存储数据，提高本地数据存储的速度和安全性，提高存储空间利用效率将重

11、要数据备份后，可以防止系统崩溃、人为误操作、病毒、黑客等对数据的破坏防止网络中某一台服务器或者光纤交换机、存储设备的故障造成的网络瘫痪防止发生不可抗拒外力时的数据完整性好处提高网络速度、提高数据安全性、方便管理数据和维护不会因为各种人为原因造成数据丢失防止因为网络硬件的故障造成网络瘫痪防止灾难造成的数据丢失和网络瘫痪说明：1. 存储磁盘阵列实现后，类似服务器多出一个大容量、高安全的本地硬盘，但它提高了数据的传输速度、数据本地的安全性等，是整个网络在线访问本地数据的集中地。2. 备份可以定时、全自动、按设置好的策略进行数据“拷贝”，它的好处在于可以防止人为的误操作、病毒、黑客的破坏，当意外破坏发

12、生后，我们可以按照要求将文件或者数据库数据恢复到我们需要的一个时间点，从而避免各种破坏造成的影响，但它只能将数据恢复到上次备份的时间点，不能做到恢复到任意时刻3. 高可用实现后，可以从服务器、光纤交换机、磁盘阵列、连接线缆等各个方面保证整个网络的时时可用，是提高网络可用性的关键，即使这些设备发生故障，网络仍然可以使用并没有任何影响，同时报警，及时修复。4. 冗灾可以保证两个存储设备的时时同步，如同对数据做了一个“镜像”，两个存储设备间的数据完全一致，当某一个存储设备故障后，另外一个存储设备可以自动进入网络，保证数据不丢失的情况下维持网络的时时可用，但如果出现人为误操作、病毒、黑客的破坏，因为两

13、地的数据是同步的，所以两地的存储同时被破坏，不能恢复到你未被破坏的时间点。5. 完整的数据安全需要四个部分全部考虑，只考虑其中一个和几个不能做到完成绝对意义的数据安全，尤其是在备份和冗灾中，各有自身的特点，只是在考虑资金、安全性等各方面的同时先建设其中几个部分。第三章 项目建设具体状况和需求3.1整体建设要求整体采用先进的存储、数据安全建设模式信息数据的安全最为重要方案提供商必须是专业数据安全建设厂商，提供确实、有效、稳定、先进的方案方案制定实施商并须具备丰富的数据安全中心建设经验案例专业的数据存储管理工具软件为以后的升级和扩展提供良好平台3.2网络状况目前已经建立了良好布线网络及应用，主要包

14、括：1、全部布线终点2、预留的服务器、交换机、防火墙接口3、机房、终端接入系统等3.3业务系统1、数据需要存入存储系统的数据包括：应用服务器数据库、文件： 系统数据（数据库） 文件2、要求存储系统的磁盘阵列可见容量8T。3、接入存储系统情况系统名称：数据中心应用系统主机数量及型号1台主应用服务器HP DL388G7操作系统及版本WINDOWS SEVER配置信息标配1个英特尔至强处理器 E5620 (四核 2.40 GHz,12MB共享三级缓存,80W);可支持2个四核或双核Intel Xeon 5600处理器，Intel 5520芯片组；2GB (1x2GB) PC3-10600R (寄存式

15、内存);18个内存插槽，最多192GB内存；标配2个NC382i多功能双口千兆以太网卡;标配集成1个HP Smart Array P410i智能阵列控制器,无缓存;标配3个PCI-E 2.0插槽（1个全高全长x16，2个全高半长x8 插槽），可额外添加3个；N+1个冗余系统风扇- 4个(随第二个处理器附带可额外增加2个风扇)；标配无硬盘;标配支持8块SFF小尺寸热插拔硬盘,可选16 SFF小尺寸硬盘笼;5个USB（后面2个，前面2个，内部1个），SD插槽1个；集成 Lights-Out 3(iLO 3)；1个460W热插拔电源，支持1+1冗余；2U高度；含导轨存储文件的类型数据库数据；文本、视

16、频、音频、图片等文件第四章 方案设计根据需求，我们制定如下的技术方案：4.1 方案拓扑HP DL388G7 server MSA P2000 G3磁盘阵列 4.2 新增设备硬件类：1） MSA P2000 G3磁盘阵列1台软件类：1) 存储管理软件详细设备清单请参考附件的设备清单。4.3 系统描述（从存储、高可用两个方面进行了数据安全建设）1. 存储模式：整体方案采用DAS的模式建立，其中服务器直接连接磁盘阵列组成DAS网络。形成网络和对日常采集文件、处理中文件、数据库数据的分级存储4.4 目标分析1、速度： 磁盘阵列速度：每台磁盘阵列具备4个4Gb FC主机通道 磁盘阵列本身采用64位RIS

17、C CPU，为磁盘阵列本身提供高速度运算能力2、安全： 网络安全：黑客防火墙、病毒防火墙完成 磁盘阵列本身：具备控制器、cache、HDD三层保护RAID信息来保护raid信息安全，同时，可以通过各种RAID级别保护因为硬盘的损坏造成的数据丢失 网络数据安全：通过高可用达到最高安全要求4.5 功能描述1、存储扩展： 磁盘阵列扩展：可以直接通过JBOD模式最大扩充到114块硬盘容量 DAS存储扩展：可以通过直接在阵列上增加存储设备在线扩展2、数据集中： 支持将所有数据库数据等集中保存到磁盘阵列，做到集中管理，集中维护，降低TCO成本3、管理集中： 通过管理工具软件RAIDWATCH实现对所有的存

18、储系统的集中管理 RAIDWATCH可以监控存储系统的状况、可用性、 性能表现、各类性能参数以及配置情况 存储管理软件可以对数据进行安全保护，防止未授权的用户打开保护的文件系统4、多平台支持： 存储系统支持目前最广泛的平台，包括：UNIX AIX/SUN SOLARIS/LINUX/WINOWS等5、系统持续支持高可用性： 存储系统采用专业64位RISC CPU，专用cache，掉电保护cache数据等功能可以为网络提供高可用性6、系统性能： 存储系统采用单通道4000MB带宽、I/O处理能力大于220000 ， 最大4G Cache、优化的Cache算法等来保证系统的高性能7、支持的RAID

19、级别： 存储系统支持RAID0/1/3/5/10/50等多种RAID级别 存储系统盘位饱合后，可以采用JBOD的模式增加扩展柜来提高存储空间8、数据共享： 提供所有的DAS网络服务器共享所有的存储设备空间，该共享包括存储硬件设备、文件、数据库等 多个服务器共享存储设备上的数据，通过专业存储管理软件，可以同时具备优异的文件读写效率、完善的安全访问控制及并发读写控制 共享文件系统支持主流集群操作系统和数据库应用 共享文件系统支持异构平台的读写访问，这些异构平台包括Solaris、Windows NT、Linux等并支持目前通用的共享文件协议，如NFS、CIFS等第五章 产品清单名称品牌型号数量描述

20、详细参考附件的EXCEL文档第六章 产品技术资料6.1 MSA P2000 G3磁盘阵列技术参数1）高可靠性 磁盘阵列要和服务器之间真正实现了物理隔离，磁盘阵列有自己的CPU、内存、有自己的IO通道，有自己的CACHE，有RAID控制器，不再占用服务器的资源，也不受服务器的影响和控制。磁盘阵列系统采用的是真正光纤通路的RAID系统，它的传输速率可达4GB/S。专门为企业级用户关键性应用场合而设计，是服务器和工作站首选的数据存储设备。采用RAID技术和光纤模块可使主机系统具有高速度、大容量和容错的特征。是一组结合高可靠性、可扩充性及高效率的磁盘阵列系统。 磁盘阵列系统支持的RAID级别有0，1，

21、3，5，6，10，支持通过RJ45接口的带外管理有简单易操作的JAVA的图形界面。图形界面可以显示RAID状态 、硬盘重建、RAID等级及缓存容量，监视磁盘阵列的运行状态，并可以设定和建立RAID系统。磁盘阵列系统还提供RS-232串口，通过终端或个人电脑（PC）来设定参数,建立可管理RAID系统。 磁盘阵列系统模块可满足数据安全、超大容量和高速度的要求。在设计中采用了多重冗余措施（电源、风扇、硬盘甚至控制器），从而保证所存储的数据不会被意外破坏，采用高速接口使得数据传输更快、更安全。硬盘的在线拔插和热备用（Hot Spare）功能使得数据的安全性进一步大大加强。选用 Battery Back

22、-up模组可保护高速缓存内的资料在停电时72-168小时不会丢失，并在电源恢复后将缓存内的高速缓存数据写回硬盘。2）可扩充性 磁盘阵列系统支持4GB光纤通道。可使磁盘阵列同时连接多部主机，使主机间能够共享磁盘阵列系统。最多可以支持多达512个 LUN，每一 LUN可以规划使用不同的RAID级别，并可以在线扩充硬盘容量。同时磁盘阵列提供多种扩充组件，使整个系统的连接更富有弹性。 3）先进性 磁盘阵列系统有64个主机通道。磁盘阵列系统内部全部采用模块化设计，如：硬盘盒、电源、风扇等，使系统更加容易维护和管理。精良的设计使产品的抗干扰性、空气流通性以及结构稳定性大大加强；比前一代产品更加合理，外观设

23、计也更加美观。5）兼容性 几乎所有的服务器（如：HP、IBM、COMPAQ、SUN、ACER、联想、浪潮、方正等）和小型机（如：HP、IBM、SUN等）都可以和磁盘阵列系统进行无缝连接。支持所有流行网络操作系统（如：UNIX、WINDOWS 、Solarix、LINUX、HPUNIX、IBM AIX等）6）高性能 采用全新的体系结构提高了系统的I/O能力，在目前4个4Gbps的接口情况下系统最大IO能力可以达到220000IOPS。7）高灵活性磁盘阵列支持在线的逻辑卷扩容。在线更改RAID级别，在线更改条带深度。RAID信息保存在每一块成员盘上，硬盘顺序打乱数据不丢失。RAID可在同型号盘阵中

24、迁移。8）全光纤模块化设计，负载平衡的后端结构:产品在其控制器内部通路与主机连接通道两个部分均采用了全光纤通道标准设计，每条通路可达到400MB/S传输速度，形成了一个良好通路传输环境。并且在系统的后端磁盘环路结构中，公司采用了业界独有的HA的结构这样的好处显而易见，无单点失败。无论是控制模块还是容量扩展模块中的磁盘都是平均分布在两个负载分担的光纤通道环路对上，这样保证了在任何容量规格配置的情况下都具有很好的性能表现。9）模块设计与易升级设计:产品均采用模块设计，所有部件均可在带电情况下热插拔升级、扩充、维护与维修。10）全新的高性能结构:采用全新的体系结构提高了系统的I/O能力，在目前4个4

25、Gbps的接口情况下系统最大IO能力可以达到220000IOPS。11）很好的扩展性:系统最大容量可以配置114块磁盘，在使用300G磁盘的情况下可以达到35TB的磁盘容量，并且支持不同容量的硬盘混装。12）可管理性:可以通过多种方式进行系统管理，包括：RAIDWATCH带内方式和带外方式，方便用户管理。技术规格RAID技术特性MSA P2000 G3RAID控制器双互活动RAID控制器控制器缓存2GB支持RAID级别0、1、3、5、6和10存储分区数量最大支持到64扩展连通性主机接口特性支持光纤通道交换和FC仲裁环路(FC-AL)主机接口数量 最大支持64个主机磁盘通道接口16位可热插拔式F

26、C磁盘通道 FC接口模块标准光纤4Gbps 接口转换器(SFP)特性集中存储支持分级存储支持存储虚拟化管理支持基于磁盘阵列的冗灾支持备份及指针快照功能支持系统性能每秒最大I/O (Cache)220,000IOPS每秒最大传输率（MB/s）1600MB/s操作供电规范温度1040湿度880（非凝结环境）电源115V230V、47Hz63Hz系统兼容性支持操作系统Windows NT/2000Novell NetWareLinuxIBM AIXSUN SolarisHP-UX光纤设备支持BrocadeVixelGadzooxQlogic系统管理软件RAIDWATCH通过认证Microsoft Cluster认证，SANMARK认证