年5月29日福建科技公司數(shù)據(jù)安全系統(tǒng)技術(shù)方案文檔僅供參考福建宏茂科技有限公司數(shù)據(jù)安全系統(tǒng)技術(shù)方案福建賽門鐵克科技有限公司目錄TOC\o"1-2"\h\z\u1 建設(shè)背景 32 信息系統(tǒng)現(xiàn)狀分析 33 建設(shè)目標(biāo) 44 華賽數(shù)據(jù)存儲和數(shù)據(jù)保護解決方案 44.1 方案架構(gòu)設(shè)計與部署說明 44.2 部署方案的主要設(shè)備配置表 64.3 部署方案的主要優(yōu)勢 6建設(shè)背景近年來福建宏茂科技有限公司的信息化進展迅猛,隨之增加的各種圖形設(shè)計應(yīng)用系統(tǒng)的運行產(chǎn)生了大量的數(shù)據(jù),而這些數(shù)據(jù)作為福建宏茂科技有限公司最重要的資源,越來越受到公司的重視。如何確保數(shù)據(jù)的一致性、安全性和高可用性,如何實現(xiàn)數(shù)據(jù)的集中管理,建立一個強大的、高性能的、可靠的數(shù)據(jù)存儲和數(shù)據(jù)保護的管理平臺是福建宏茂科技有限公司當(dāng)前所面臨的一個重要問題。同時,在信息安全保護和知識產(chǎn)權(quán)保護方面面臨著越來越嚴峻的挑戰(zhàn)。企業(yè)大量的機密圖紙保存在計算機中,存在著巨大的安全隱患,比如圖紙容易被非法拷貝、非法傳輸、惡意篡改等等,從而給企業(yè)或機構(gòu)造成了巨大的威脅,稍有不慎就可能造成巨大損失!信息系統(tǒng)現(xiàn)狀分析福建宏茂科技有限公司現(xiàn)在主要的研發(fā)和生產(chǎn)地址在南安市宏茂工業(yè)園區(qū),另外一個研發(fā)地址在廈門市,并在全國各地設(shè)有辦事處。由于公司是以機械設(shè)計制造為核心的生產(chǎn)型企業(yè),為保證公司的核心競爭力必須防止公司的設(shè)計數(shù)據(jù)外泄,故要求嚴格管理各種圖形設(shè)計的文件。福建宏茂科技有限公司現(xiàn)有拓撲如下:現(xiàn)狀分析如下:當(dāng)前福建宏茂科技有限公司的業(yè)務(wù)網(wǎng)絡(luò)主要由普通交換機組成的百兆網(wǎng)絡(luò)架構(gòu),內(nèi)網(wǎng)傳輸性能低下。各種圖形設(shè)計文件主要保存在南安市公司總部的一臺捷科1202NAS存儲設(shè)備上,并在該設(shè)備上設(shè)置相關(guān)設(shè)計人員所擁有的使用權(quán)限。在圖形設(shè)計電腦上為防止圖形設(shè)計文件的外泄,該類電腦在公司內(nèi)網(wǎng)是單獨隔離的,而且不能上互聯(lián)網(wǎng),而且該類電腦的外設(shè)接口如USB接口等都被禁用。當(dāng)前各種圖形設(shè)計文件沒有數(shù)據(jù)保護的措施,一旦捷科1202NAS存儲設(shè)備發(fā)生軟硬件故障、人為誤操作、中電腦病毒、黑客入侵或發(fā)生災(zāi)難性事件等都將導(dǎo)致圖形設(shè)計文件丟失。由于不能經(jīng)過互聯(lián)網(wǎng)傳輸各種圖形設(shè)計文件,在廈門分部的圖形設(shè)計人員要按需出差到福建宏茂科技有限公司南安市總部來做圖形設(shè)計,如此造成工作效率的低下和長期往返兩地的費用開銷。建設(shè)目標(biāo)建立一個高效可控的數(shù)據(jù)存儲和數(shù)據(jù)保護系統(tǒng),其中數(shù)據(jù)保護系統(tǒng)采用集中數(shù)據(jù)備份管理的方式和加強終端安全性,以盡可能提高業(yè)務(wù)數(shù)據(jù)的安全性和可管理性,并對設(shè)計圖進行加密。華賽數(shù)據(jù)存儲和數(shù)據(jù)保護解決方案方案架構(gòu)設(shè)計與部署說明根據(jù)上述對福建宏茂科技有限公司的需求分析以及對數(shù)據(jù)存儲和數(shù)據(jù)備份系統(tǒng)的設(shè)計原則的要求,我們?yōu)楹昝萍继峁┮粋€全面的數(shù)據(jù)存儲和數(shù)據(jù)保護系統(tǒng)方案,向福建宏茂科技有限公司提供在業(yè)界屬于領(lǐng)先地位的高性能、高可用的數(shù)據(jù)存儲和數(shù)據(jù)保護解決方案。具體架構(gòu)設(shè)計如圖:部署說明:本方案由數(shù)據(jù)集中備份系統(tǒng)、分布式服務(wù)器存儲系統(tǒng)、遠程訪問管理系統(tǒng)、文檔安全管理系統(tǒng)組成,具體部署如下:1、數(shù)據(jù)集中備份系統(tǒng):在南安總部建立一套數(shù)據(jù)集中備份系統(tǒng),各地辦事處的數(shù)據(jù)定時自動備份到災(zāi)備中心,由異地數(shù)據(jù)復(fù)制軟件、服務(wù)器和存儲系統(tǒng)組成,一旦分布式服務(wù)器存儲系統(tǒng)發(fā)生軟硬件故障、人為誤操作、中電腦病毒等造成各種圖形設(shè)計數(shù)據(jù)丟失的情況,保證能快速、簡單的恢復(fù)各種圖形設(shè)計數(shù)據(jù)。2、分布式服務(wù)器存儲系統(tǒng):各辦事處的設(shè)計資料先集中存儲到本地的存儲服務(wù)器中,提高公司的各種圖形設(shè)計數(shù)據(jù)存儲性能和數(shù)據(jù)安全性。同時,能夠設(shè)置各種圖形設(shè)計文件的使用權(quán)限和文件共享安全性能。3、遠程訪問管理系統(tǒng):現(xiàn)有的ASA5505已經(jīng)具備遠程訪問功能,需要進行配置調(diào)整,同時在各辦事處增加華賽USG2100遠程訪問管理設(shè)備能夠經(jīng)過一個公用網(wǎng)絡(luò)(一般是因特網(wǎng))建立安全穩(wěn)定的具有加密、認證和數(shù)據(jù)防篡改功能的IPSecVPN隧道,使福建宏茂科技有限公司廈門市分部的圖形設(shè)計電腦或在外出差人員都能夠安全地連接ＶＰＮ來訪問南安市總部的華賽統(tǒng)一存儲網(wǎng)關(guān)上的數(shù)據(jù),保證各種圖形設(shè)計文件在公司傳輸?shù)陌踩?提高公司圖形設(shè)計人員的工作效率。同時具備日后擴展異地容災(zāi)功能,防止發(fā)生災(zāi)難性事件等造成公司的圖形設(shè)計文件數(shù)據(jù)丟失。4、文檔安全管理系統(tǒng):部署文檔安全管理系統(tǒng)對文檔使用進行控制,將公司的機密文檔加密保存在硬盤里,不允許硬盤存有明文的公司機密文檔,即使硬盤丟失、轉(zhuǎn)手或者被盜也不會導(dǎo)致文檔內(nèi)容丟失;嚴格控制機密文檔的權(quán)限,限制文檔的離線閱讀權(quán)限,即使經(jīng)過郵件發(fā)送到公司外部,連接不到公司的內(nèi)部服務(wù)器也無法打開文檔和難以用其它方式獲取文檔內(nèi)容;對于公司的機密文檔,限制普通人員的打印權(quán)限;對于非法或者由于不小心導(dǎo)致的共享,沒有權(quán)限的人獲取到的只是密文,難以解密還原成明文文檔;使用強度大的加密算法對文檔進行加密,使丟失或者被盜的文檔基本無法可解密;對于機密文檔,需要嚴格控制每個人的權(quán)限和權(quán)限的有效時間;對已授權(quán)的文檔權(quán)限支持實時回收,使損失降低到最小甚至無損失。部署方案的主要設(shè)備配置表序號設(shè)備名稱設(shè)備主要配置描述數(shù)量一、數(shù)據(jù)集中備份系統(tǒng)配置方案1異地數(shù)據(jù)備份軟件華為賽門鐵克VERITASVolumeReplicator異地數(shù)據(jù)復(fù)制備份軟件,能夠以同步/異步自適應(yīng)模式進行工作,能夠?qū)崿F(xiàn)數(shù)據(jù)的脫機處理,支持不少于32個節(jié)點,不需要依賴于任何的存儲硬件平臺,對各種商業(yè)數(shù)據(jù)庫提供數(shù)據(jù)的完整的數(shù)據(jù)復(fù)制,如Oracle,SQL,Sybase等,能經(jīng)過IP網(wǎng)絡(luò)進行復(fù)制,LAN或者WAN,提供多種用途的基于卷的復(fù)制,WEB方式管理,要求提供設(shè)備初次原廠工程師現(xiàn)場安裝驗收服務(wù)與標(biāo)準(zhǔn)軟硬件原廠技術(shù)支持與售后服務(wù),并在當(dāng)?shù)卦O(shè)有原廠服務(wù)機構(gòu)32統(tǒng)一備份服務(wù)器華為TecalTMRH2285機架式存儲服務(wù)器,采用IntelXeon5500/5600系列四核處理器,配置2顆IntelXeon四核5620,2.40GHz,三級高速緩存≥12MB,QPI速度5.86GT/秒,處理器支持虛擬化與64位內(nèi)存擴展技術(shù),配置8GBRDIMMDDR3主內(nèi)存,可擴展≥192GB內(nèi)存;配備SASRAID控制器,不占用PCI插槽,支持RAID0、RAID1、RAID0+1、RAID5、6等管理方式;配備2塊146GB,熱插拔SAS主硬盤,支持≥8個3.5"熱插拔SAS/SATA硬盤與2個1TBSSD存儲卡;配置PCI插槽,3個以上USB2.0接口,配置2個10/100/1000M-BaseT以太網(wǎng)接口,配置2塊冗余熱插拔750W金牌交流電源模塊,冗余散熱系統(tǒng);支持多種主流操作系統(tǒng);配置專用帶外遠程管理功能模塊,提供專用的管理以太網(wǎng)接口,支持遠程Firmware升級及更新;配置KVMoverIP(Remote-KVM)管理模塊、虛擬媒體及媒體重定向功能模塊,配置鏡像恢復(fù)軟件,提供OS和業(yè)務(wù)軟件快速恢復(fù),而且具有OS自動備份功能;要求所配軟件需采用統(tǒng)一品牌,支持USB2.0重定向、SerialoverLAN功能、遠程開/關(guān)機操作、風(fēng)扇監(jiān)控、硬件監(jiān)控、電源監(jiān)控等功能;具備CCC、CE、UL標(biāo)準(zhǔn)認證;要求提供原廠商工程師上門安裝調(diào)試并提供3年免費人工、部件,7x24小時響應(yīng),4小時帶備件上門的原廠服務(wù);標(biāo)準(zhǔn)2U機架式服務(wù)器。13統(tǒng)一備份存儲網(wǎng)關(guān)華為OceanStorTMS2600存儲系統(tǒng),配置雙控制器,采用64位多核芯片,Cache/控制器≥2GB,可擴展至8GB,配置緩存鏡像功能,支持FC/ISCSI/SAS/FC-iSCSICombo的主機端口,具備4個1GbiSCSI主機接口,可擴展FC接口,配置12GbSAS磁盤通道,配置8塊1000GB7.2KRPMSATAII企業(yè)級硬盤單元,系統(tǒng)最大支持96個磁盤,在同一磁盤框內(nèi)支持SAS、SATA、SSD混插,具備RAID0、1、3、5、6、10、50,支持RAID后臺初始化及在線容量擴展,必須支持快照與SymantecBackupExec結(jié)合,無需備份客戶端,支持磁盤休眠及磁盤降速技術(shù)、磁盤壞道自動修復(fù)、磁盤預(yù)拷貝功能,配置多路徑軟件,支持快照、卷復(fù)制、遠程鏡像等功能,支持掉電后將內(nèi)存的數(shù)據(jù)寫入硬盤,支持長時間掉電,支持控制器、電源、風(fēng)扇、UPS電池冗余保護能力,支持短信、郵件、聲音、燈光等多種報警方式;控制器、電源、磁盤等模塊均支持在線熱插拔,支持JWS免安裝技術(shù),提供配置向?qū)?5分鐘內(nèi)可完成所有配置,要求采用與服務(wù)器同一品牌,非OEM產(chǎn)品,擁有自主知識產(chǎn)權(quán),含3年標(biāo)準(zhǔn)服務(wù)并提供設(shè)備初次原廠工程師現(xiàn)場安裝驗收服務(wù)及產(chǎn)品正品證明。14千兆三層交換機Quidway?S5300系列全千兆交換機,是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代全千兆高性能以太網(wǎng)交換機,可為客戶提供強大的以太網(wǎng)功能服務(wù)。S5300基于新一代高性能硬件和華為公司統(tǒng)一的VRP?(VersatileRoutingPlatform)軟件,具備大容量、高密度千兆端口,可提供萬兆上行,充分滿足客戶對高密度千兆和萬兆上行設(shè)備的需求。S5300可滿足運營商園區(qū)網(wǎng)匯聚、企業(yè)網(wǎng)匯聚、IDC千兆接入以及企業(yè)千兆到桌面等多種場合的需求。1二、數(shù)據(jù)分布存儲系統(tǒng)配置方案(分支機構(gòu))1數(shù)據(jù)分布式服務(wù)器存儲網(wǎng)關(guān)(分支)RH1200分布式服務(wù)器存儲網(wǎng)關(guān),支持IPSAN、NAS、FCSAN,采用64位多核芯級專用控制器,主頻≥2.0GHz,Cache/控制器≥8GB,可擴展至48GB,具備2個1GbiSCSI主機接口,支持可擴展4個4GB光纖主機接口、6個1GBISCSI主機接口及InfiniBand主機接口,配置16GbSAS后端磁盤通道,配置1.5TBSATAII磁盤空間,支持≥120塊硬盤擴展單元,最大支持磁盤容量≥240TB,在同一磁盤框內(nèi)支持SAS、SATA、SSD混插,具備RAID0、1、3、5、6、10、50功能,具備RAID線容量擴展,可擴展NAS功能、本地鏡像、虛擬卷拷貝、虛擬卷映射功能模塊和文件備份功能模塊,支持快照、遠程鏡像、遠程復(fù)制功能,具備Cache掉電數(shù)據(jù)保護,支持電源、風(fēng)扇冗余保護能力,具備多種報警方式;具備WEB配置管理方式,要求提供設(shè)備初次原廠工程師現(xiàn)場安裝驗收服務(wù)及提供三年免費軟硬件原廠技術(shù)支持與售后服務(wù)。3三、數(shù)據(jù)分布式遠程管理系統(tǒng)1遠程管理系統(tǒng)設(shè)備增加華為USG2100服務(wù)器遠程管理系統(tǒng),標(biāo)配9個10/100M以太網(wǎng)口,至少擴展19個10/100M以太網(wǎng)接口,支持3個MIC擴展插槽及1個USB接口,支持供FE、ADSL2+、E1/CE1、WiFi、SA等多種接口。采用多核專用硬件平臺,吞吐量≥200Mbps,每秒新建連接數(shù)≥,最大并發(fā)連接數(shù)≥20萬,具備內(nèi)置高性能VPN硬件加解密芯片,配置LT2TPVPN≥64個隧道,IPSECVPN≥64個隧道,SSLVPN用戶數(shù)≥3個,具備入侵保護IPS、AS、反垃圾郵件、P2P阻斷與限流、IM軟件阻斷等擴展功能,支持IPS+特征庫,支持5大常見協(xié)議HTTP,SMTP,POP3,IMAP4,FTP協(xié)議識別,支持包括BT/迅雷/電驢/pplive等幾十種協(xié)議的P2P阻斷和限流,支持游戲/股票軟件的控制,支持flow流日志和標(biāo)準(zhǔn)Syslog日志,支持WEB管理,支持L2TP、IPSec、SSL、MPLS、GRE等多種VPN組網(wǎng)技術(shù),支持DES、3DES、AES等多種加密算法,標(biāo)準(zhǔn)維保。12遠程管理系統(tǒng)設(shè)備升級改造思科ASA5505遠程訪問系統(tǒng)改造安裝調(diào)試1四、文檔安全管理系統(tǒng)1文檔安全管理系統(tǒng)支持多級密鑰體系,底層設(shè)計、安全性高,加密無形,解密無痕,涉密文檔智能監(jiān)控,監(jiān)控和上網(wǎng)控制全面,涉密文件遠程安全分發(fā),流程管理簡潔實用,日志查詢方便,介質(zhì)管理靈活方便,含30個客戶端302專用USB-KEY客戶端加密KEY,采用自主研制U-KEY30部署方案的主要優(yōu)勢1)數(shù)據(jù)集中備份系統(tǒng)的優(yōu)勢Symantec為廣泛的IT平臺提供了一個完整的容災(zāi)解決方案—StorageFoundationDR,該方案是基于主機的容災(zāi)方案,它降低了容災(zāi)技術(shù)的復(fù)雜度,并為容災(zāi)系統(tǒng)的搭建提供一個可接受的成本。對于一個容災(zāi)系統(tǒng)而言,最重要的事情包括兩點:將企業(yè)關(guān)鍵在線數(shù)據(jù)復(fù)制到異地的容災(zāi)中心,并在這個過程中保證數(shù)據(jù)的實時性和正確性,在數(shù)據(jù)已復(fù)制的基礎(chǔ)上,建立廣域的群集系統(tǒng),以便在災(zāi)難發(fā)生時能快速地讓災(zāi)備中心系統(tǒng)接管信息服務(wù),保障IT系統(tǒng)的不間斷運行。VERITASVolumeReplicator(簡稱VVR)是StorageFoundation企業(yè)級管理軟件中用于幫助客戶實現(xiàn)遠距離異地數(shù)據(jù)復(fù)制的功能模塊。VVR復(fù)制基于卷(邏輯磁盤)進行。復(fù)制的數(shù)據(jù)能夠是數(shù)據(jù)庫中的數(shù)據(jù)(文件方式或裸設(shè)備方式)和關(guān)鍵業(yè)務(wù)系統(tǒng)中的文件。VVR與StorageFoundation完全集成在一起。用StorageFoundation管理界面和命令統(tǒng)一配置管理,同時客戶也能夠使用WEB方式進行管理;由于VVR僅僅將Volume上每次I/O變化的實際數(shù)據(jù)實時復(fù)制到遠程節(jié)點,因此在網(wǎng)絡(luò)線路上傳輸?shù)臄?shù)據(jù)量相對較少,對帶寬的需求也不是很高。數(shù)據(jù)復(fù)制的能夠以同步/異步自適應(yīng)模式進行工作,即在網(wǎng)絡(luò)延時情況較好、數(shù)據(jù)能夠及時復(fù)制時,工作在同步方式,完全保證兩邊數(shù)據(jù)的一致性;當(dāng)網(wǎng)絡(luò)延時情況較差、數(shù)據(jù)不能及時復(fù)制時,工作在異步方式下,保證主節(jié)點的I/O性能。數(shù)據(jù)復(fù)制根據(jù)實際情況,自行在兩種工作模式之間切換。如果數(shù)據(jù)復(fù)制的線路帶寬有限,出于保證本地服務(wù)器讀寫性能的考慮,能夠?qū)?fù)制工作模式定義為異步,也是VVR默認的工作模式。由于VVR的數(shù)據(jù)復(fù)制嚴格按照I/O的修改順序進行,因此,無論在同步還是異步工作方式下,能夠保證數(shù)據(jù)的完整性。對于數(shù)據(jù)庫系統(tǒng),該復(fù)制機制能夠保證災(zāi)備節(jié)點的數(shù)據(jù)庫中數(shù)據(jù)與主節(jié)點一致在災(zāi)難發(fā)生時正常啟動并提供服務(wù)。當(dāng)某些嚴重意外情況發(fā)生后,后備節(jié)點會變成新的主節(jié)點,稱為角色轉(zhuǎn)換(Takeove)。當(dāng)原來的主節(jié)點在災(zāi)難后恢復(fù)正常,需要進行數(shù)據(jù)反向同步和角色轉(zhuǎn)換。脫機處理。經(jīng)過使用VVR的In-BandControl(IBC)消息、Snapshot、以及VolumeManager(VxVM)的FastResync(簡稱FR,即快速同步)功能,能夠?qū)崿F(xiàn)數(shù)據(jù)的脫機處理。脫機處理主要指對后備節(jié)點種的數(shù)據(jù)進行處理,例如進行備份、打印報表、數(shù)據(jù)倉庫處理等。脫機處理由打破后備節(jié)點的鏡像卷、對鏡像數(shù)據(jù)進行處理、重鏡像等幾個過程組成。2)分布式服務(wù)器存儲系統(tǒng)優(yōu)勢數(shù)據(jù)進行分布存儲,避免數(shù)據(jù)丟失風(fēng)險,同時,提升本地讀寫速度,該設(shè)備具有如下特點:●具備統(tǒng)一存儲平臺(含NAS,FC-SAN,IP-SAN)能力。它所具有的高可靠性、高可擴展性、高性能以及便捷的管理能夠滿足高性能計算,數(shù)據(jù)庫,網(wǎng)站,文件服務(wù),流媒體,數(shù)字化視頻監(jiān)控,文件備份等領(lǐng)域的應(yīng)用?！裰С謩討B(tài)分級存儲功能,基于文件訪問頻率,在不同存儲介質(zhì)之間實現(xiàn)雙向動態(tài)遷移,對應(yīng)用透明,降低企業(yè)投資成本?！裰С治募到y(tǒng)同步鏡像,實現(xiàn)低成本數(shù)據(jù)保護。●支持文件系統(tǒng)遠程復(fù)制功能?！裰С种貜?fù)數(shù)據(jù)刪除功能?！裰С侄郚AS引擎節(jié)點內(nèi)置SymantecNetBackupClient,成倍提升備份性能,縮短備份窗口。3)遠程訪問管理系統(tǒng)優(yōu)勢基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu),具備防火墻、防病毒、入侵防御、應(yīng)用控制、