数据安全系统技术方案.docx

《数据安全系统技术方案.docx》由会员分享，可在线阅读，更多相关《数据安全系统技术方案.docx（10页珍藏版）》请在课桌文档上搜索。

1、数据安全系统技术方案界4Huaweixl1/Symantec福建赛门铁克科技有限公司目录1 建设背景22 信息系统现状分析23 建设目标34 华赛数据存储与数据保护解决方案34.1 方案架构设计与部署说明34.2 部署方案的要紧设备配置表54.3 部署方案的要紧优势71建设背景近年来福建宏茂科技有限公司的信息化进展迅猛，随之增加的各类图形设计应用系统的运行产生了大量的数据，而这些数据作为福建宏茂科技有限公司最重要的资源，越来越受到公司的重视。如何确保数据的一致性、安全性与高可用性，如何实现数据的集中管理，建立一个强大的、高性能的、可靠的数据存储与数据保护的管理平台是福建宏茂科技有限公司目前所面

2、临的一个重要问题。同时，在信息安全保护与知识产权保护方面面临着越来越严峻的挑战。企业大量的机密图纸储存在计算机中，存在着巨大的安全隐患，比如图纸容易被非法拷贝、非法传输、恶意篡改等等，从而给企业或者机构造成了巨大的威胁，稍有不慎就可能造成巨大缺失！2信息系统现状分析福建宏茂科技有限公司现在要紧的研发与生产地址在南安市宏茂工业园区，另外一个研发地址在厦门市，并在全国各地设有办事处。由于公司是以机械设计制造为核心的生产型企业，为保证公司的核心竞争力务必防止公司的设计数据外泄，故要求严格管理各类图形设计的文件。福建宏茂科技有限公司现有拓扑如下：福建宏茂科技有限公司现有拓扑图宏茂公司厦门市分部普通兆二

3、号也 D现状分析如下:1) 目前福建宏茂科技有限公司的业务网络要紧由普通交换机构成的百兆网络架构，内网传输性能低下。各类图形设计文件要紧储存在南安市公司总部的一台捷科1202NAS存储设备上，并在该设备上设置有关设计人员所拥有的使用权限。2) 在图形设计电脑上为防止图形设计文件的外泄，该类电脑在公司内网是单独隔离的，同时不能上互联网，而且该类电脑的外设接口如USB接口等都被禁用。3) 目前各类图形设计文件没有数据保护的措施，一旦捷科1202NAS存储设备发生软硬件故障、人为误操作、中电脑病毒、黑客入侵或者发生灾难性事件等都将导致图形设计文件丢失。4) 由于不能通过互联网传输各类图形设计文件，在

4、厦门分部的图形设计人员要按需出差到福建宏茂科技有限公司南安市总部来做图形设计，如此造成工作效率的低下与长期往返两地的费用开销。3建设目标建立一个高效可控的数据存储与数据保护系统，其中数据保护系统使用集中数据备份管理的方式与加强终端安全性，以尽可能提高业务数据的安全性与可管理性，并对设计图进行加密。4华赛数据存储与数据保护解决方案4.1 方案架构设计与部署说明根据上述对福建宏茂科技有限公司的需求分析与对数据存储与数据备份系统的设计原则的要求，我们为宏茂科技提供一个全面的数据存储与数据保护系统方案，向福建宏茂科技有限公司提供在业界属于领先地位的高性能、高可用的数据存储与数据保护解决方案。具体架构设

5、计如图：数据安全系统设计架构图部署说明:本方案由数据集中备份系统、分布式服务器存储系统、远程访问管理系统、文档安全管理系统构成，具体部署如下：1、数据集中备份系统：在南安总部建立一套数据集中备份系统，各地办事处的数据定时自动备份到灾备中心，由异地数据复制软件、服务器与存储系统构成，一旦分布式服务器存储系统发生软硬件故隙、人为误操作、中电脑病毒等造成各类图形设计数据丢失的情况，保证能快速、简单的恢复各类图形设计数据。2、分布式服务器存储系统：各办事处的设计资料先集中存储到本地的存储服务器中，提高公司的各类图形设计数据存储性能与数据安全性。同时，能够设置各类图形设计文件的使用权限与文件共享安全性能

6、。3、远程访问管理系统：现有的ASA5505已经具备远程访问功能，需要进行配置调整，同时在各办事处增加华赛USG2100远程访问管理设备能够通过一个公用网络（通常是因特网）建立安全稳固的具有加密、认证与数据防篡改功能的IPSeCVPN隧道，使福建宏茂科技有限公司厦门市分部的图形设计电脑或者在外出差人员都能够安全地连接VPN来访问南安市总部的华赛统一存储网关上的数据，保证各类图形设计文件在公司传输的安全性，提高公司图形设计人员的工作效率。同时具备日后扩展异地容灾功能,防止发生灾难性事件等造成公司的图形设计文件数据丢失。4、文档安全管理系统：部署文档安全管理系统对文档使用进行操纵，将公司的机密文档

7、加密储存在硬盘里，不同意硬盘存有明文的公司机密文档，即使硬盘丢失、转手或者者被盗也不可能导致文档内容丢失；严格操纵机密文档的权限，限制文档的离线阅读权限，即使通过邮件发送到公司外部，连接不到公司的内部服务器也无法打开文档与难以用其它方式获取文档内容；关于公司的机密文档，限制普通人员的打印权限；关于非法或者者由于不小心导致的共享，没有权限的人获取到的只是密文，难以解密还原成明文文档；使用强度大的加密算法对文档进行加密，使丢失或者者被盗的文档基本无法可解密；关于机密文档，需要严格操纵每个人的权限与权限的有效时间；对已授权的文档权限支持实时回收，使缺失降低到最小甚至无缺失。4.2 部署方案的要紧设备

8、配置表序号设备名称设备要紧配置描述数量、数据集中备份系统配置方案1异地数据备份软件华为赛门铁克VERITASVolumeRePliCatOr异地数据复制备份软件，能够以同步/异步自习惯模式进行工作，能够实现数据的脱机处理，支持很多于32个节点，不需要依靠于任何的存储硬件平台，对各类商业数据库提供数据的完整的数据复制，如OraCle,SQL,Sybase等,能通过IP网络进行复制，LAN或者者WAN,提供多种用途的基于卷的复制，WEB方式管理，要求提供设备初次原厂工程师现场安装验收服务与标准软硬件原厂技术支持与售后服务，并在当地设有原厂服务机构32统一备份服务器华为TecalTMRH2285机架

9、式存储服务器,使用IntelXeon5500/5600系列四核处理器，配置2颗IntelXeon四核5620,2.40GHz,三级高速缓存212MB,QPl速度5.86GT/秒，处理器支持虚拟化与64位内存扩展技术，配置8GBRDIVMDDR3主内存，可扩展2192GB内存；配备SASRAlD操纵器，不占用PCl插槽，支持RAID0、RAID1、RAlDO+1、RAID5、6等管理方式；配备2块146GB,热插拔SAS主硬盘，支持28个3.5热插拔SAS/SATA硬盘与2个ITBSSD存储卡；配置PCI插槽,3个以上USB2.0接口,配置2个以上OO/lOOOM-BaseT以太网接口，配置2块

10、冗余热插拔750W金牌交流电源模块，冗余散热系统；支持多种主流操作系统；配置专用带外远程管理功能模块，提供专用的管理以太网接口，支持远程FirmWare升级及更新；配置KVMoVerTP(Rcmote-KVM)管理模块、虚拟媒体及媒体重定向功能模块，配置镜像恢复软件，提供OS与业务软件快速恢复，同时具有OS自动备份功能；要求所配软件需使用统一品牌，支持USB2.0重定向、SerialOVerLAN功能、远程开/关机操作、风扇监控、硬件监控、电源监控等功能；具备CCC、CE、UL标准认证；要求提供原厂商工程师上门安装调试并提供3年免费人工、部件，7x24小时响应，4小时带备件上门的原厂服务；标准

11、2U机架式服务器。13统一备份存储网关华为OCeanStOrTMS2600存储系统，配置双操纵器，使用64位多核芯片,Cache/操纵器22GB,可扩展至8GB,配置缓存镜像功能，支持FC/ISCSI/SAS/FC-iSCSICombo的主机端口,具备4个IGbiSCSI主机接口，可扩展FC接口，配置12GbSAS磁盘通道，配置8块IOoOGB7.2KRPMSATATT企业级硬盘单元，系统最大支持96个磁盘,在同一磁盘框内支持SAS、SATA、SSD混插，具备RAID0、1、3、5、6、10、50,支持RAID后台初始化及在线容量扩展,务必支持快照与SymantecBackupExec结合，无

12、需备份客户端,支持磁盘休眠及磁盘降速技术、磁盘坏道自动修复、磁盘预拷贝功能,配置多路径软件，支持快照、卷复制、远程镜像等功能,支持掉电后将内存的数据写入硬盘，支持长时间掉电,支持操纵器、电源、风扇、UPS电池冗余保护能力,支持短信、邮件、声音、灯光等多种报警方式；操纵器、电源、磁盘等模块均支持在线热插拔,支持JWS免安装技术，提供配置向导，5分钟内可完成所有配置,要求使用与服务器同一品牌,非OEM产品，拥有自主知识产权，含3年标准服务并提供设备初次原厂工程师现场安装验收服务及产品正品证明。14千兆三层交换机QuidwayS5300系列全千兆交换机，是华为公司为满足大带宽接入与以太网多业务汇聚而

13、推出的新一代全千兆高性能以太网交换机，可为客户提供强大的以太网功能服务。S5300基于新一代高性能硬件与华为公司统一的VRP(VersatileRoutingPlatform)软件，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆与万兆上行设备的需求。S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入与企业千兆到桌面等多种场合的需求。1数据分布存储系统配置方案(分支机构)1数据分布式服务器存储网关（分支）RH1200分布式服务器存储网关,支持IPSANsNAS、FCSAN,使用64位多核芯级专用操纵器,主频22.OGHz,CaChe/操纵器28GB,可扩展至48G

14、B,具备2个IGbiSCSI主机接口，支持可扩展4个4GB光纤主机接口、6个IGBTSCSI主机接口及InfiniBand主机接口,配置16GbSAS后端磁盘通道，配置1.5TBSATAH磁盘空间，支持2120块硬盘扩展单元,最大支持磁盘容量2240TB,在同一磁盘框内支持SAS.SATASSD混插,具备RAID0、1、3、5、6、10、50功能,具备RAID线容量扩展,可扩展NAS功能、本地镜像、虚拟卷拷贝、虚拟卷映射功能模块与文件备份功能模块，支持快照、远程镜像、远程复制功能,具备Cache掉电数据保护,支持电源、风扇冗余保护能力,具备多种报警方式；具备WEB配置管理方式,要求提供设备初次

15、原厂工程师现场安装验收服务及提供三年免费软硬件原厂技术支持与售后服务。3数据分布式远程管理系统1远程管理系统设备增加12远程管理系统设备升级改造思科ASA5505远程访问系统改造安装调试1四、文档安全管理系统1文档安全管理系统支持多级密钥体系，底层设计、安全性高，加密无形，解密无痕，涉密文档智能监控，监控与上网操纵全面，涉密文件远程安全分发，流程管理简洁有用，日志查询方便，介质管理灵活方便，含30个客户端302专用USB-KEY客户端加密KEY,使用自主研制U-KEY304.3 部署方案的要紧优势D数据集中备份系统的优势Symantec为广泛的IT平台提供了一个完整的容灾解决方案一Storag

16、eFoundationDR,该方案是基于主机的容灾方案，它降低了容灾技术的复杂度，并为容灾系统的搭建提供一个可同意的成本。关于一个容灾系统而言，最重要的情况包含两点：将企业关键在线数据复制到异地的容灾中心，并在这个过程中保证数据的实时性与正确性，在数据已复制的基础上，建立广域的群集系统，以便在灾难发生时能快速地让灾备中心系统接管信息服务，保障IT系统的不间断运行。VERITASVolumeRePliCatOr（简称VVR）是StorageFoundation企业级管理软件中用于帮助客户实现远距离异地数据复制的功能模块。VVR复制基于卷（逻辑磁盘）进行。复制的数据能够是数据库中的数据（文件方式或

17、者裸设备方式）与关键业务系统中的文件。VVR与StorageFoUndation完全集成在一起。用StorageFoUndation管理界面与命令统一配置管理，同时客户也能够使用WEB方式进行管理；由于VVR仅仅将Volume上每次1/0变化的实际数据实时复制到远程节点，因此在网络线路上传输的数据量相对较少，对带宽的需求也不是很高。数据复制的能够以同步/异步自习惯模式进行工作，即在网络延时情况较好、数据能够及时复制时，工作在同步方式，完全保证两边数据的一致性；当网络延时情况较差、数据不能及时复制时，工作在异步方式下，保证主节点的1/0性能。数据复制根据实际情况，自行在两种工作模式之间切换。假如

18、数据复制的线路带宽有限，出于保证本地服务器读写性能的考虑，能够将复制工作模式定义为异步，也是VVR默认的工作模式。由于VVR的数据复制严格按照1/0的修改顺序进行，因此，不管在同步还是异步工作方式下，能够保证数据的完整性。关于数据库系统，该复制机制能够保证灾备节点的数据库中数据与主节点一致在灾难发生时正常启动并提供服务。当某些严重意外情况发生后，后备节点会变成新的主节点，称之角色转换（Takeove）o当原先的主节点在灾难后恢复正常，需要进行数据反向同步与角色转换。脱机处理。通过使用VVR的In-BandCOntrOIoBC）消息、Snapshot、与VolumeManager（VXVM）的F

19、aStReSynC（简称FR,即快速同步）功能，能够实现数据的脱机处理。脱机处理要紧指对后备节点种的数据进行处理，比如进行备份、打印报表、数据仓库处理等。脱机处理由打破后备节点的镜像卷、对镜像数据进行处理、重镜像等几个过程构成。2）分布式服务器存储系统优势数据进行分布存储，避免数据丢失风险，同时，提升本地读写速度，该设备具有如下特点： 具备统一存储平台(含NAS,FC-SAN,IP-SAN)能力。它所具有的高可靠性、高可扩展性、高性能与便利的管理能够满足高性能计算，数据库，网站，文件服务，流媒体，数字化视频监控，文件备份等领域的应用。 支持动态分级存储功能，基于文件访问频率，在不一致存储介质之

20、间实现双向动态迁移，对应用透明，降低企业投资成本。 支持文件系统同步镜像，实现低成本数据保护。 支持文件系统远程复制功能。 支持重复数据删除功能。 支持多NAS引擎节点内置SymantecNetBackupClient,成倍提升备份性能,缩短备份窗口。3)远程访问管理系统优势基于业界领先的软、硬件体系架构，具备防火墙、防病毒、入侵防御、应用操纵、URL过滤、VPN.反垃圾邮件等多种安全能力，支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。提供了L2TP、GRE.IPSec,MPLS等多种VPN组网技术，为用户提供了更多

21、的选择。凭借华为公司硬件及芯片开发领域强大的技术实力，在USG2000系列统一安全网关中内置了高性能硬件加解密芯片，使产品加密性能在业界同类产品中处于领先位置，同时支持DES、3DES、AES.RSA,SCB2等多种加密算法，能够为用户提供高强度的加密传输保隙，同时，结合华为公司全系列的网络安全产品，能够为用户提供完整的VPN解决方案。4)文档安全管理系统优势使用“驱动级透明动态加解密技术”对指定类型的文件进行实时、强制、透明的加解密。并能对文档进行细分化的权限设置，确保加密信息在特定授权范围内进行指定操作。通过文档强制加密与实时权限操纵，为企业提供安全授权下的机密信息共享机制,有效防止数据丢

22、失或者泄露，有助于更深入、更全面地实施数据保护，从而确保企业机密数据的高度安全。系统支持动态文档权限操纵，持久保护文档安全，作者能够实时更换与回收文档权限，实现对权限的动态操纵。只有通过授权的用户才能在授权范围内使用机密文件，在没有任何权限的情况下无法打开文档。其部署的效果如图：合法网正岗使用餐制加交与主动加臣授权相结合无权限/非法惠网衰现为SL码会望离&a机*ft*ttMe*a比口A文H审围外及C言文外及C11*m主文nIP售、员工a，、MlAS;anttm/xnBBCJ（主动加定植机）8P、曾、MJ63AXRmMA演法WapMXClJPtpXC2MXC3覆权文忖演杆格冬内加41无，窗lbMH.1ts9.设备更失霏/Bt机