数据安全系统技术方案.docx

《数据安全系统技术方案.docx》由会员分享，可在线阅读，更多相关《数据安全系统技术方案.docx（10页珍藏版）》请在优知文库上搜索。

1、数据安全系统技术方案界4Huaweixl1/Symantec福建赛门铁克科技有限公司目录1 建设背景22 信息系统现状分析23 建设目标34 华赛数据存储与数据保护解决方案34.1 方案架构设计与部署说明34.2 部署方案的要紧设备配置表54.3 部署方案的要紧优势71建设背景近年来福建宏茂科技有限公司的信息化进展迅猛，随之增加的各类图形设计应用系统的运行产生了大量的数据，而这些数据作为福建宏茂科技有限公司最重要的资源，越来越受到公司的重视。如何确保数据的一致性、安全性与高可用性，如何实现数据的集中管理，建立一个强大的、高性能的、可靠的数据存储与数据保护的管理平台是福建宏茂科技有限公司目前所面

2、临的一个重要问题。同时，在信息安全保护与知识产权保护方面面临着越来越严峻的挑战。企业大量的机密图纸储存在计算机中，存在着巨大的安全隐患，比如图纸容易被非法拷贝、非法传输、恶意篡改等等，从而给企业或者机构造成了巨大的威胁，稍有不慎就可能造成巨大缺失！2信息系统现状分析福建宏茂科技有限公司现在要紧的研发与生产地址在南安市宏茂工业园区，另外一个研发地址在厦门市，并在全国各地设有办事处。由于公司是以机械设计制造为核心的生产型企业，为保证公司的核心竞争力务必防止公司的设计数据外泄，故要求严格管理各类图形设计的文件。福建宏茂科技有限公司现有拓扑如下：福建宏茂科技有限公司现有拓扑图宏茂公司厦门市分部普通兆二

3、号也 D现状分析如下:1) 目前福建宏茂科技有限公司的业务网络要紧由普通交换机构成的百兆网络架构，内网传输性能低下。各类图形设计文件要紧储存在南安市公司总部的一台捷科1202NAS存储设备上，并在该设备上设置有关设计人员所拥有的使用权限。2) 在图形设计电脑上为防止图形设计文件的外泄，该类电脑在公司内网是单独隔离的，同时不能上互联网，而且该类电脑的外设接口如USB接口等都被禁用。3) 目前各类图形设计文件没有数据保护的措施，一旦捷科1202NAS存储设备发生软硬件故障、人为误操作、中电脑病毒、黑客入侵或者发生灾难性事件等都将导致图形设计文件丢失。4) 由于不能通过互联网传输各类图形设计文件，在

4、厦门分部的图形设计人员要按需出差到福建宏茂科技有限公司南安市总部来做图形设计，如此造成工作效率的低下与长期往返两地的费用开销。3建设目标建立一个高效可控的数据存储与数据保护系统，其中数据保护系统使用集中数据备份管理的方式与加强终端安全性，以尽可能提高业务数据的安全性与可管理性，并对设计图进行加密。4华赛数据存储与数据保护解决方案4.1 方案架构设计与部署说明根据上述对福建宏茂科技有限公司的需求分析与对数据存储与数据备份系统的设计原则的要求，我们为宏茂科技提供一个全面的数据存储与数据保护系统方案，向福建宏茂科技有限公司提供在业界属于领先地位的高性能、高可用的数据存储与数据保护解决方案。具体架构设

5、计如图：数据安全系统设计架构图部署说明:本方案由数据集中备份系统、分布式服务器存储系统、远程访问管理系统、文档安全管理系统构成，具体部署如下：1、数据集中备份系统：在南安总部建立一套数据集中备份系统，各地办事处的数据定时自动备份到灾备中心，由异地数据复制软件、服务器与存储系统构成，一旦分布式服务器存储系统发生软硬件故隙、人为误操作、中电脑病毒等造成各类图形设计数据丢失的情况，保证能快速、简单的恢复各类图形设计数据。2、分布式服务器存储系统：各办事处的设计资料先集中存储到本地的存储服务器中，提高公司的各类图形设计数据存储性能与数据安全性。同时，能够设置各类图形设计文件的使用权限与文件共享安全性能

6、。3、远程访问管理系统：现有的ASA5505已经具备远程访问功能，需要进行配置调整，同时在各办事处增加华赛USG2100远程访问管理设备能够通过一个公用网络（通常是因特网）建立安全稳固的具有加密、认证与数据防篡改功能的IPSeCVPN隧道，使福建宏茂科技有限公司厦门市分部的图形设计电脑或者在外出差人员都能够安全地连接VPN来访问南安市总部的华赛统一存储网关上的数据，保证各类图形设计文件在公司传输的安全性，提高公司图形设计人员的工作效率。同时具备日后扩展异地容灾功能,防止发生灾难性事件等造成公司的图形设计文件数据丢失。4、文档安全管理系统：部署文档安全管理系统对文档使用进行操纵，将公司的机密文档

7、加密储存在硬盘里，不同意硬盘存有明文的公司机密文档，即使硬盘丢失、转手或者者被盗也不可能导致文档内容丢失；严格操纵机密文档的权限，限制文档的离线阅读权限，即使通过邮件发送到公司外部，连接不到公司的内部服务器也无法打开文档与难以用其它方式获取文档内容；关于公司的机密文档，限制普通人员的打印权限；关于非法或者者由于不小心导致的共享，没有权限的人获取到的只是密文，难以解密还原成明文文档；使用强度大的加密算法对文档进行加密，使丢失或者者被盗的文档基本无法可解密；关于机密文档，需要严格操纵每个人的权限与权限的有效时间；对已授权的文档权限支持实时回收，使缺失降低到最小甚至无缺失。4.2 部署方案的要紧设备

8、配置表序号设备名称设备要紧配置描述数量、数据集中备份系统配置方案1异地数据备份软件华为赛门铁克VERITASVolumeRePliCatOr异地数据复制备份软件，能够以同步/异步自习惯模式进行工作，能够实现数据的脱机处理，支持很多于32个节点，不需要依靠于任何的存储硬件平台，对各类商业数据库提供数据的完整的数据复制，如OraCle,SQL,Sybase等,能通过IP网络进行复制，LAN或者者WAN,提供多种用途的基于卷的复制，WEB方式管理，要求提供设备初次原厂工程师现场安装验收服务与标准软硬件原厂技术支持与售后服务，并在当地设有原厂服务机构32统一备份服务器华为TecalTMRH2285机架

9、式存储服务器,使用IntelXeon5500/5600系列四核处理器，配置2颗IntelXeon四核5620,2.40GHz,三级高速缓存212MB,QPl速度5.86GT/秒，处理器支持虚拟化与64位内存扩展技术，配置8GBRDIVMDDR3主内存，可扩展2192GB内存；配备SASRAlD操纵器，不占用PCl插槽，支持RAID0、RAID1、RAlDO+1、RAID5、6等管理方式；配备2块146GB,热插拔SAS主硬盘，支持28个3.5热插拔SAS/SATA硬盘与2个ITBSSD存储卡；配置PCI插槽,3个以上USB2.0接口,配置2个以上OO/lOOOM-BaseT以太网接口，配置2块

10、冗余热插拔750W金牌交流电源模块，冗余散热系统；支持多种主流操作系统；配置专用带外远程管理功能模块，提供专用的管理以太网接口，支持远程FirmWare升级及更新；配置KVMoVerTP(Rcmote-KVM)管理模块、虚拟媒体及媒体重定向功能模块，配置镜像恢复软件，提供OS与业务软件快速恢复，同时具有OS自动备份功能；要求所配软件需使用统一品牌，支持USB2.0重定向、SerialOVerLAN功能、远程开/关机操作、风扇监控、硬件监控、电源监控等功能；具备CCC、CE、UL标准认证；要求提供原厂商工程师上门安装调试并提供3年免费人工、部件，7x24小时响应，4小时带备件上门的原厂服务；标准

11、2U机架式服务器。13统一备份存储网关华为OCeanStOrTMS2600存储系统，配置双操纵器，使用64位多核芯片,Cache/操纵器22GB,可扩展至8GB,配置缓存镜像功能，支持FC/ISCSI/SAS/FC-iSCSICombo的主机端口,具备4个IGbiSCSI主机接口，可扩展FC接口，配置12GbSAS磁盘通道，配置8块IOoOGB7.2KRPMSATATT企业级硬盘单元，系统最大支持96个磁盘,在同一磁盘框内支持SAS、SATA、SSD混插，具备RAID0、1、3、5、6、10、50,支持RAID后台初始化及在线容量扩展,务必支持快照与SymantecBackupExec结合，无

12、需备份客户端,支持磁盘休眠及磁盘降速技术、磁盘坏道自动修复、磁盘预拷贝功能,配置多路径软件，支持快照、卷复制、远程镜像等功能,支持掉电后将内存的数据写入硬盘，支持长时间掉电,支持操纵器、电源、风扇、UPS电池冗余保护能力,支持短信、邮件、声音、灯光等多种报警方式；操纵器、电源、磁盘等模块均支持在线热插拔,支持JWS免安装技术，提供配置向导，5分钟内可完成所有配置,要求使用与服务器同一品牌,非OEM产品，拥有自主知识产权，含3年标准服务并提供设备初次原厂工程师现场安装验收服务及产品正品证明。14千兆三层交换机QuidwayS5300系列全千兆交换机，是华为公司为满足大带宽接入与以太网多业务汇聚而

13、推出的新一代全千兆高性能以太网交换机，可为客户提供强大的以太网功能服务。S5300基于新一代高性能硬件与华为公司统一的VRP(VersatileRoutingPlatform)软件，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆与万兆上行设备的需求。S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入与企业千兆到桌面等多种场合的需求。1数据分布存储系统配置方案(分支机构)1数据分布式服务器存储网关（分支）RH1200分布式服务器存储网关,支持IPSANsNAS、FCSAN,使用64位多核芯级专用操纵器,主频22.OGHz,CaChe/操纵器28GB,可扩展至48G

14、B,具备2个IGbiSCSI主机接口，支持可扩展4个4GB光纤主机接口、6个IGBTSCSI主机接口及InfiniBand主机接口,配置16GbSAS后端磁盘通道，配置1.5TBSATAH磁盘空间，支持2120块硬盘扩展单元,最大支持磁盘容量2240TB,在同一磁盘框内支持SAS.SATASSD混插,具备RAID0、1、3、5、6、10、50功能,具备RAID线容量扩展,可扩展NAS功能、本地镜像、虚拟卷拷贝、虚拟卷映射功能模块与文件备份功能模块，支持快照、远程镜像、远程复制功能,具备Cache掉电数据保护,支持电源、风扇冗余保护能力,具备多种报警方式；具备WEB配置管理方式,要求提供设备初次

15、原厂工程师现场安装验收服务及提供三年免费软硬件原厂技术支持与售后服务。3数据分布式远程管理系统1远程管理系统设备增加12远程管理系统设备升级改造思科ASA5505远程访问系统改造安装调试1四、文档安全管理系统1文档安全管理系统支持多级密钥体系，底层设计、安全性高，加密无形，解密无痕，涉密文档智能监控，监控与上网操纵全面，涉密文件远程安全分发，流程管理简洁有用，日志查询方便，介质管理灵活方便，含30个客户端302专用USB-KEY客户端加密KEY,使用自主研制U-KEY304.3 部署方案的要紧优势D数据集中备份系统的优势Symantec为广泛的IT平台提供了一个完整的容灾解决方案一StorageFoundationDR,该方案是基于主机的容灾方案，它降低了容灾技术的复杂度，并为容灾系统的搭建提供一个可同意的成本。关于一个容灾系统而言，最重要的情况包含两点：将企业关键在线数据复制到异地的容灾中心，并在这个过程中保证数据的实时性与正确性，在数据已复制的基础上，建立广域的群集系统，以便在灾难发生时能快速地让灾备中心系统接管信息服务，保障IT系统的不间断运行。VERITASVolumeRePliCatOr（简称VVR）是StorageFoundation企业级管理软件中用于帮助客户实现远距离异地数据复制的功能模块。VVR复制基于卷（逻辑磁盘）进行。复制