SEPATON容災(zāi)解決方案上海某保險(xiǎn)公司目前已建立了完備的數(shù)據(jù)備份機(jī)制，但備份數(shù)據(jù)都存儲(chǔ)在本地?cái)?shù)據(jù)中心，一旦發(fā)生火災(zāi)或者其他自然災(zāi)害，數(shù)據(jù)安全將得不到有效的保障。所以用戶希望將備份數(shù)據(jù)復(fù)制到北京的遠(yuǎn)程數(shù)據(jù)中心，從而達(dá)到容災(zāi)的目的，希望容災(zāi)系統(tǒng)能保證在災(zāi)難發(fā)生后1天時(shí)間內(nèi)恢復(fù)業(yè)務(wù)的正常運(yùn)行，并把數(shù)據(jù)的損失控制在4小時(shí)之內(nèi)。容災(zāi)系統(tǒng)的實(shí)現(xiàn)最好能利用現(xiàn)有的IP網(wǎng)絡(luò)，并且具有靈活策略驅(qū)動(dòng)機(jī)制。實(shí)現(xiàn)數(shù)據(jù)遠(yuǎn)程復(fù)制有很多種方式，有基于磁盤(pán)存儲(chǔ)的，有基于磁帶介質(zhì)的，有基于交換機(jī)的。根據(jù)用戶提出的上述要求，并考慮到充分利用用戶現(xiàn)有的備份環(huán)境，為用戶節(jié)省投資成本，我們建議采用美國(guó)SEPATON公司的S2100ES2虛擬磁帶庫(kù)（以下簡(jiǎn)稱VTL）加Site2遠(yuǎn)程磁帶復(fù)制技術(shù)的方案。首先用戶在備份系統(tǒng)中使用S2100ES2VTL可以提升整個(gè)備份系統(tǒng)的效率；并且Site2遠(yuǎn)程磁帶復(fù)制技術(shù)支持多種網(wǎng)絡(luò)傳輸方式，可以充分利用用戶現(xiàn)有的IP專線網(wǎng)絡(luò);再者Site2支持命令觸發(fā)和策略驅(qū)動(dòng)，支持用戶建立靈活的遠(yuǎn)程數(shù)據(jù)復(fù)制機(jī)制;最后，在發(fā)生災(zāi)難時(shí)，S2100ES2VTL強(qiáng)大的恢復(fù)性能完全可以保證在用戶希望的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)運(yùn)行。在本方案中，我們用S2100ES2VTL替代了用戶本地?cái)?shù)據(jù)中心的STK機(jī)械磁帶庫(kù)，配合用戶原有的VeritasNBU軟件進(jìn)行數(shù)據(jù)備份，使得整個(gè)備份系統(tǒng)的備份性能、無(wú)故障工作時(shí)間等指標(biāo)獲得了大幅度的提升。同時(shí)在S2100ES2VTL上安裝Site2遠(yuǎn)程磁帶復(fù)制軟件。北京數(shù)據(jù)中心作為遠(yuǎn)程容災(zāi)站點(diǎn)，同樣配置一臺(tái)S2100ES2VTL并安裝Site2軟件。兩個(gè)數(shù)據(jù)中心之間通過(guò)用戶原有的IP專線網(wǎng)絡(luò)連接，實(shí)現(xiàn)本地站點(diǎn)和遠(yuǎn)程站點(diǎn)之間的虛擬磁帶傳送。通過(guò)這樣的設(shè)計(jì)，當(dāng)用戶的本地中心發(fā)生災(zāi)難導(dǎo)致數(shù)據(jù)丟失時(shí)就可以從北京容災(zāi)站點(diǎn)獲得所需要的數(shù)據(jù)，通過(guò)遠(yuǎn)程恢復(fù)重新啟動(dòng)本地業(yè)務(wù)。同樣，北京中心的數(shù)據(jù)也可以遠(yuǎn)程傳送到上海中心，形成一種互為容災(zāi)的模式。具體實(shí)施過(guò)程如下：1)首先，在上海本地?cái)?shù)據(jù)中心用SepatonS2100ES2VTL替代原有的STK機(jī)械磁帶庫(kù)，并將VTL模擬成機(jī)械磁帶庫(kù)的型號(hào)，在系統(tǒng)級(jí)別以及備份軟件層重新掃描設(shè)備后即可投入使用。原有的STK機(jī)械磁帶庫(kù)作為二線備用設(shè)備繼續(xù)發(fā)揮作用。2)根據(jù)用戶的業(yè)務(wù)需求以及S2100ES2VTL的實(shí)測(cè)指標(biāo)，調(diào)整了原有備份策略的備份頻率，確保用戶的RPO目標(biāo)。3)本地的SepatonES2虛擬磁帶庫(kù)上通過(guò)CLI界面配置Site2軟件的策略引擎，策略引擎可以和備份軟件協(xié)同工作，自動(dòng)挑選需要復(fù)制到遠(yuǎn)程容災(zāi)站點(diǎn)的數(shù)據(jù)，實(shí)現(xiàn)了磁帶傳送的智能化和自動(dòng)化。4)在北京異地容災(zāi)數(shù)據(jù)中心安裝同型號(hào)的Sepaton虛擬磁帶庫(kù)，作為備份影像復(fù)制的目的地，并同時(shí)作為其他輔助業(yè)務(wù)備份的目的地，其上也安裝有Site2軟件。5)在上海中心執(zhí)行一次全量備份，通過(guò)CLI激活Site2的復(fù)制過(guò)程，將備份的虛擬磁帶傳送到北京中心，以此測(cè)試整個(gè)容災(zāi)系統(tǒng)的性能是否滿足用戶要求。6)為用戶制定了災(zāi)難應(yīng)急處理方案，進(jìn)行預(yù)演。保證在發(fā)生災(zāi)難時(shí)用戶可以從遠(yuǎn)程容災(zāi)站點(diǎn)快速地恢復(fù)業(yè)務(wù)，并將預(yù)演過(guò)程形成文檔，作為將來(lái)應(yīng)對(duì)災(zāi)難的指導(dǎo)方針。在系統(tǒng)改造完畢后，實(shí)現(xiàn)了兩點(diǎn)間的Site2軟件由策略驅(qū)動(dòng)將備份的虛擬磁帶及時(shí)傳送到遠(yuǎn)程站點(diǎn)。在虛擬磁帶傳送過(guò)程中遇到了IP網(wǎng)絡(luò)帶寬不足的問(wèn)題，但通過(guò)配合S2100ES2的DeltaStor冗余數(shù)據(jù)刪除功能，在網(wǎng)絡(luò)上只傳輸非重復(fù)的數(shù)據(jù)，圓滿解決了這個(gè)問(wèn)題。經(jīng)過(guò)災(zāi)難預(yù)演測(cè)試，上述方案完全能夠滿足用戶的RTO以及RPO目標(biāo)。上述方案在滿足用戶的RPO以及RTO需求的同時(shí)，充分利用了用戶現(xiàn)有的備份環(huán)境和網(wǎng)絡(luò)資源，并且也不需要重新組織容災(zāi)系統(tǒng)的維護(hù)人員隊(duì)伍，只需要對(duì)原有的備份維護(hù)人員進(jìn)行簡(jiǎn)單的Site2軟件培訓(xùn)就可以滿足需要，最大化地為用戶節(jié)省了投資。

SEPATON數(shù)據(jù)容災(zāi)方案示意圖SafeNet微軟平臺(tái)安全方案(三)SSL加速/密鑰保護(hù)SafeNet能解決部分系統(tǒng)內(nèi)部的安全和應(yīng)用問(wèn)題，包括SSL加速和密鑰保護(hù)。LunaSALunaSA作為SSL服務(wù)器服務(wù)端加速設(shè)備，能夠大大減輕SSL服務(wù)器的SSL連接壓力，相比使用更多的SSL服務(wù)器來(lái)說(shuō)，LunaSA是便于管理，經(jīng)濟(jì)的方案。由于SSL使用證書(shū)驗(yàn)證，頻繁的用戶登陸是服務(wù)器瓶頸所在，LunaSA針對(duì)RSA加速的設(shè)計(jì)，一臺(tái)Luna設(shè)備最高能達(dá)到1200RSA簽名/秒，既達(dá)到了高性能，又減輕CPU的處理壓力，從而能夠達(dá)到更大的吞吐量。安全密鑰存儲(chǔ)Luna硬件安全模塊（HardwareSecurityModules,HSM）是專為產(chǎn)生、存儲(chǔ)和使用私鑰提供更加安全的硬件環(huán)境而設(shè)計(jì)的，它消除了在脆弱的軟件庫(kù)上存儲(chǔ)私鑰產(chǎn)生的風(fēng)險(xiǎn)。通過(guò)把電腦和應(yīng)用程序上的關(guān)鍵資料進(jìn)行物理的和邏輯的分離，HSM可以確保使用傳統(tǒng)的網(wǎng)絡(luò)攻擊不可能獲得這些資料。另外，通過(guò)把抗損壞的物理設(shè)計(jì)和嚴(yán)格的操作策略結(jié)合在一起，能夠確保直接的物理攻擊以及可信的內(nèi)部產(chǎn)生的攻擊都是無(wú)效的。網(wǎng)絡(luò)共享基于SSL的LunaSA可進(jìn)行網(wǎng)絡(luò)共享，從而允許多個(gè)Web服務(wù)器同時(shí)使用LunaSA的SSL加速功能，并成為擁有多個(gè)Web服務(wù)器的服務(wù)供應(yīng)商或企業(yè)用戶的首選?；赟SL的LunaSA客戶端連接到LunaSA,去使用HSM功能的Web服務(wù)器。每個(gè)Web服務(wù)器與LunaSA通過(guò)NTLS認(rèn)證的數(shù)字證書(shū)和獨(dú)特的客戶端密碼進(jìn)行通信?？蓴U(kuò)展性多個(gè)LunaSAforSSL能夠整合在